Les guides des bonnes pratiques de l’Anssi en matière de sécurité informatique | Denis JACOPINI

Les guides des bonnes pratiques de l’Anssi en matière de sécurité informatique

Vous voulez éviter que le parc informatique soit utilisé pour affaiblir votre organisation ? L’un des guides publiés par l’ANSSI vous aidera à vous protéger.

Initialement destinés aux professionnels de la sécurité informatique, les guides et recommandations de l’ANSSI constituent des bases méthodologiques utiles à tous. Vous trouverez sans peine votre chemin en utilisant les mots-clés, qu’un glossaire vous permet d’affiner, ou le menu thématique.

LISTE DES GUIDES DISPONIBLES

Expert Informatique et formateur spécialisé en sécurité Informatique, en cybercriminalité et en déclarations à la CNIL, Denis JACOPINI et Le Net Expert sont en mesure de prendre en charge, en tant qu’intervenant de confiance, la sensibilisation ou la formation de vos salariés afin de leur enseigner les bonnes pratiques pour assurer une meilleure protection juridique du chef d’entreprise.

Contactez-nous

Après cette lecture, quel est votre avis ?
Cliquez et laissez-nous un commentaire…

Source : http://www.ssi.gouv.fr/entreprise/bonnes-pratiques/

Guide du Cloud Computing et des Datacenters à l’attention des collectivités locales | Denis JACOPINI

Guide du Cloud Computing et des Datacenters à l’attention des collectivités locales

A l’attention des collectivités locales

Les concepts de Cloud Computing et de Datacenters suscitent un fort intérêt de la part des collectivités locales, mais soulèvent également de nombreuses questions.

La Direction Générale des Entreprises, la Caisse des Dépôts et le Commissariat Général à l’Egalité des territoires proposent un guide pratique pour orienter les collectivités locales dans leurs réflexions.

Comment répondre aux nouveaux besoins et disposer rapidement de nouvelles ressources informatiques ?
Comment gérer et administrer facilement les ressources nécessaires à l’ensemble des services ?
Comment assurer la disponibilité en continu de ces services ?
Comment garantir l’interopérabilité des plateformes et la pérennité des solutions technologiques ?
Comment gérer les problématiques de confidentialité et de sécurité des données ?
Comment maîtriser les coûts de construction et d’exploitation des solutions ?
Quels changements ces solutions imposent-elles dans le fonctionnement des Dsi et des services numériques ?
Comment contractualiser avec les fournisseurs de services et maîtriser la relation client – fournisseur ?
Quelles sont les contraintes liées à la construction et à la maintenance d’un Datacenter ?
Comment mesurer la rentabilité d’un Datacenter ?
Quelle est la pérennité des investissements dans les Datacenters locaux ou Datacenters de proximité implantés sur le territoire ?
Quelle stratégie adopter pour mutualiser les projets et conserver la maîtrise des coûts ?

Ce guide a ainsi pour mission d’apporter un éclairage sur les différents concepts et de proposer aux collectivités un ensemble de solutions et de moyens pour réussir leurs projets.

Il s’adresse à la fois aux élus locaux, aux responsables du développement économique des territoires, aux responsables informatiques, aux opérationnels au sein des collectivités, associations et structures de mutualisation , ainsi qu’à tous les acteurs publics et privés de ces écosystèmes.

Nous organisons régulièrement, en collectivité ou auprès des CNFPT des actions de sensibilisation ou de formation au risque informatique, à l’hygiène informatique, à la cybercriminalité et à la mise en conformité CNIL. Nos actions peuvent aussi être personnalisées et organisées dans votre établissement.

Besoin d’informations complémentaires ?

Contactez-nous

Denis JACOPINI
Tel : 06 19 71 79 12
formateur n°93 84 03041 84

Expert Informatique assermenté et formateur spécialisé en sécurité Informatique, en cybercriminalité et en déclarations à la CNIL, Denis JACOPINI et Le Net Expert sont en mesure de prendre en charge, en tant qu’intervenant de confiance, la sensibilisation ou la formation de vos salariés afin de leur enseigner les bonnes pratiques pour assurer une meilleure sécurité des systèmes informatiques et améliorer la protection juridique du chef d’entreprise.

Contactez-nous

Cet article vous plait ? Partagez !
Un avis ? Laissez-nous un commentaire !

Source : http://www.entreprises.gouv.fr/secteurs-professionnels/guide-du-cloud-computing-et-des-datacenters

Apple n’a pas été piraté, mais 250 millions de ses utilisateurs sont bien menacés

Apple n’a pas été piraté, mais 250 millions de ses utilisateurs sont bien menacés

Les données sur les utilisateurs Apple qu’affirme détenir la Turkish Crime Family ne proviennent pas d’une faille de sécurité de Cupertino. Mais d’une consolidation de données dérobées lors de différents piratages. 250 millions de comptes n’en sont pas moins menacés de réinitialisation.

Encore un dommage collatéral des piratages dont ont été victimes Yahoo, Linkedin et autres. On en sait en effet un peu plus sur la base de données renfermant des centaines de millions d’accès à des services Apple que le mystérieux groupe de hackers Turkish Crime Family affirme détenir. Rappelons que cette organisation inconnue jusqu’à récemment demande à Apple une rançon en crypto-monnaie (Bitcoin ou Ethereum) ou en cartes cadeaux iTunes, faute de quoi les comptes seraient réinitialisés.

Face à cette menace que les hackers disent vouloir mettre à exécution le 7 avril, Cupertino affirme ne pas être victime d’une faille de sécurité. Un point que confirment d’ailleurs les cybercriminels. Sur Pastebin, la Turkish Crime Family indique que la base de données qu’elle affirme détenir ne résulte en effet pas d’un piratage d’Apple. « Ils ont simplement annoncé ce que nous leur avions dit », se moquent les hackers, qui ajoutent que cela ne change rien à la situation des utilisateurs concernés.

« Services tiers précédemment compromis »

En effet, selon la Turkish Crime Family, la base de données qu’elle affirme détenir « a été construite à partir de multiples bases de données que nous avons vendues au cours des 5 dernières années, comme nous avons décidé de conserver les adresses en icloud.com, me.com ou mac.com (ces deux dernières étant les anciennes adresses de messagerie d’Apple, NDLR), des domaines peu populaires parmi la communauté des crackers (soit des pirates mal intentionnés, NDLR) », écrit le groupe. Qui précise avoir désormais en sa possession 250 millions de comptes vérifiés pour lesquels il explique posséder un accès (login + mot de passe), sur un total de 750 millions de comptes associés à un service Apple. « Une faille de sécurité ne signifie rien en 2017 quand vous pouvez extraire la même information sur les utilisateurs, à des échelles moindres via des entreprises mal sécurisées », ajoutent les hackers. The Next Web a eu accès à un petit échantillon de données et confirme qu’au moins certains des couples login / mot de passe sont bien valides.

Apple semble d’ailleurs avoir pris conscience du problème. Dans les colonnes de Fortune, la firme à la pomme indique, après avoir démenti toute faille dans iCloud ou son système d’authentification Apple ID : « la liste supposée d’adresses e-mail et de mots de passe semble avoir été obtenue de services tiers précédemment compromis ».

Le risque n’en est pas moins tout aussi prégnant pour les utilisateurs des terminaux Apple. Dans une vidéo postée sur YouTube, la Turkish Crime Family montre ce qui ressemble à un accès non autorisé au compte iCloud d’une femme âgée, un accès qui ouvre la porte à l’effacement des photos sauvegardées et même à une réinitialisation du terminal associé.

637 500 comptes effacés par minute

C’est ce processus que le groupe de hackers menace d’automatiser, en créant un script permettant de réinitialiser un grand nombre de comptes simultanément. Dans son post sur Pastebin, la Turkish Crime Family affirme que, si ses développements sont conformes à ses plans, elle sera en mesure d’effacer le 7 avril – date de la fin de l’ultimatum – 150 comptes par minute et par script. En parallélisant les tâches sur 250 serveurs, et compte tenu du fait qu’un serveur serait en mesure de faire tourner 17 scripts simultanément, les cybercriminels seraient en mesure d’effacer 637 500 comptes par minute.

Notre métier : Vous aider à vous protéger des pirates informatiques (attaques, arnaques, cryptovirus…) et vous assister dans vos démarches de mise en conformité avec la réglementation relative à la protection des données à caractère personnel.

Par des actions d’expertises, d’audits, de formations et de sensibilisation dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article

Source : Apple n’a pas été piraté, mais 250 millions de ses utilisateurs sont bien menacés

Tendances en cybersécurité que les décideurs devraient connaître en 2017

Chaque violation de la sécurité peut coûter à une entreprise environ quatre millions de dollars, et dans 26% des cas, une fuite peut éliminer plus de 10.000 dossiers. Voici quelques-uns des coûts de données d’une violation de données, selon une enquête Cost of a Breach Data qui a analysé les pratiques de sécurité de 383 entreprises dans 12 pays à travers le monde.

L’éditeur de sécurité Check Point prévient que le nombre de cyber-menaces contre les réseaux atteignera des niveaux records cette année et souligne que le début de l’année est le meilleur moment pour se préparer à ce qui est à venir. Les responsables des sociétés de sécurité connaissent les risques, mais l’ensemble de l’entreprise doit être au courant, en particulier le chef de la direction.

Ce sont les tendances pour 2017 que les experts de cybersécurité marquent comme essentiel pour tout manager correctement :

Focus sur la gestion de la mobilité. Les appareils mobiles sont l’une des principales voies d’accès aux réseaux d’entreprise. 67% des professionnels de la sécurité informatique des entreprises du classement Global 2000 (selon l’étude Ponemon Institute) a reconnu que son organisation avait subi des vols de données qui avaient son origine dans les appareils mobiles des employés. Et il est qu’un smartphone infecté peut conduire à une perte d’argent à peut près de 9.000 euros pour une entreprise.

Demandez-vous: suis-je prêt à battre un ransomware? Selon le dernier Rapport de vérification de sécurité mené par Check Point, les entreprises ont téléchargé 971 fois des logiciels malveillants sur le temps, neuf fois plus que l’an dernier. Les portes d’entrée: le spam, les e-mails de phishing et les sites Web. Les cybercriminels savent passer les barrières standards modifiant légèrement le malware existant. Plus précisément, le ransomware peut être introduit dans les entreprises par le biais de macros incluses dans les documents joints grâce à des très petites lignes de code qui n’attirent pas l’attention, et qu’une fois elles sont activés elles téléchargent des logiciels malveillants. Seulement le ransomware Locky a été responsable de 6% de toutes les attaques de logiciels malveillants en septembre dernier, et plus de 40.000 entreprises ont été touchées par elle.
Sécurité cloud. Dans l’écosystème technologique des entreprises, des environnements de cloud sont de plus en plus importants. Selon une étude réalisée par le fournisseur de cloud Rackspace, 43% des propriétés des organisations informatiques sont dans le nuage. Il est donc essentiel de les protéger, car l’un des principaux défis auxquels font face les entreprises est la sécurité lors de la migration vers le nuage.
Toujours éviter. Lorsque des menaces sont détectées, une fois qu’ils ont atteint le réseau, il peut être déjà trop tard. Donc, les experts recommandent pour prévenir d’arrêter les infections avant qu’ils obtiennent grâce à des techniques de sandboxing avancés, qui sont capables de créer une assurance d’écosystème virtuel extérieur de l’entreprise simulant un point final, de contrôler le trafic et de bloquer les fichiers infectés avant qu’ils entrent dans le réseau. Il est particulièrement important, en ce qui concerne la protection des appareils intelligents. Un exemple de leur potentiel est le refus récent de service (DDoS).
Sensibilisation, clé. 2016 a été joué par un grand nombre de cyber-attaques dont l’objectif était le vol de données. Et beaucoup d’entre elles ont été compilées par l’ingénierie sociale et lance-phishing. Cela peut devenir très sophistiqué et tromper les employés à divulguer leurs informations d’identification et des données personnelles. Une fois qu’ils ont vos mots de passe, les cybercriminels peuvent accéder à la plupart des réseaux de l’entreprise sans laisser de trace. Le problème est souvent le manque de connaissance ouverte et la sensibilisation des utilisateurs, indispensable pour éviter les cybercriminels pour entrer dans cette façon.

Original de l’article mis en page : Voici les tendances de la cybersécurité que les PDG devraient connaître en 2017 – Globb Security FR

Notre métier : Vous aider à vous protéger des pirates informatiques (attaques, arnaques, cryptovirus…) et vous assister dans vos démarches de mise en conformité avec la réglementation relative à la protection des données à caractère personnel.

Par des actions de formation, de sensibilisation ou d’audits dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article

Original de l’article mis en page : Voici les tendances de la cybersécurité que les PDG devraient connaître en 2017 – Globb Security FR

Quelles tendances en 2017 pour la sécurité du Cloud ?

Comme chaque année, le grand jeu des prédictions des nouvelles tendances bat son plein. J’ai donc pris le parti de vous proposer quelques réflexions portant sur le marché du Cloud et celui de la sécurité en m’appuyant sur les dernières évolutions que j’ai pu constater.

Les menaces inhérentes à l’IoT obligeront les nations à s’engager dans la lutte internationale contre le piratage

Après les incidents qui ont frappé des infrastructures critiques en France, aux Etats-Unis et en Ukraine cette année, et face aux risques de piratage des machines de vote électroniques, les administrations de nombreux pays ont décidé de prendre le problème du cyberespionnage à bras-le-corps. Si les États-Unis ont réussi, par le biais de négociations diplomatiques à huis clos, à faire baisser le nombre d’attaques informatiques de la Chine à l’encontre des entreprises du secteur privé, le piratage des objets connectés représente un enjeu d’une tout autre ampleur. Sur le plan de la défense, l’Union européenne a adopté des dispositions législatives appelant à un minimum de mesures de cybersécurité pour protéger les infrastructures névralgiques, et les États-Unis devraient lui emboîter le pas en 2017.

Des réglementations strictes influent sur la politique de cybersécurité des entreprises.

Les lois sur la protection de la vie privée des consommateurs sont censées avoir un effet dissuasif et sanctionner les négligences sécuritaires entraînant une violation de données. Or, jusqu’à présent, les organismes de réglementation semblent s’être bornés à de simples réprimandes. Sous l’impulsion de l’Europe et du nouveau règlement général sur la protection des données (GDPR), les autorités chargées de la protection des données redoublent de vigilance et revoient le montant des amendes à la hausse. L’importance des sanctions financières infligées fin 2016 pour violation de la réglementation HIPAA et des directives de l’UE relatives aux données à caractère personnel donnent le ton pour l’année à venir. Nul doute que l’entrée en vigueur du GDPR en 2018 incitera les entreprises internationales à instaurer des contrôles supplémentaires pour la protection de la confidentialité.

Les compromissions de données touchant des fournisseurs de services Cloud sensibilisent les entreprises aux risques de la « toile logistique ».Le Cloud a transformé la chaîne logistique traditionnelle en « toile logistique » où les partenaires commerciaux échangent des données via des passerelles numériques sur Internet. Une entreprise moyenne traite avec 1 555 partenaires commerciaux différents via des services Cloud, et 9,3 % des fichiers hébergés dans le Cloud et partagés avec l’extérieur contiennent des données sensibles. Dans la nouvelle économie du Cloud, les données passent entre les mains d’un nombre d’intervenants plus élevé que jamais. Une violation de données peut ainsi toucher le partenaire externe d’une entreprise dont le département informatique et le service Achats n’ont jamais entendu parler.

Restructuration des directions informatiques avec la promotion des RSSI

Avec l’avènement de la virtualisation, les technologies de l’information occupent une place tellement stratégique au sein de l’entreprise que les DSI endossent désormais le rôle de directeur de l’exploitation et de PDG. En 2017, la sécurité s’imposera en tant que moteur d’activité stratégique, aussi bien au niveau des systèmes internes que des produits. Aujourd’hui, toutes les entreprises utilisent des logiciels, ce qui fait qu’elles ont besoin de l’expertise de fournisseurs de sécurité logicielle. En 2017, la sécurité confirmera son rôle d’atout concurrentiel en aidant les RSSI à réduire les délais de commercialisation des produits, et à assurer la confidentialité des données des clients et des employés.

Microsoft réduira l’écart avec Amazon dans la guerre des offres IaaS

AWS s’est très vite imposé sur le marché de l’IaaS, mais Azure rattrape son retard. 35,8 % des nouvelles applications Cloud publiées au 4e trimestre ont été déployées dans AWS, contre 29,5 % dans Azure. Les fournisseurs spécialisés se sont taillé 14 % de parts de marché, indépendamment de marques telles que Google, Rackspace et Softlayer.

Qui protège les gardiens ? Une entreprise sera victime du premier incident de grande ampleur dans le Cloud lié au piratage d’un compte administrateur

En fin d’année, des chercheurs ont, pour la première fois, découvert la mise en vente de mots de passe d’administrateurs Office 365 globaux sur le Dark Web. Les comptes administrateur représentent un risque particulier dans le sens où ils disposent de privilèges supérieurs en matière de consultation, de modification et de suppression des données. Les entreprises rencontrent en moyenne 3,3 menaces de sécurité liées à des utilisateurs privilégiés tous les mois. Nous devons par conséquent nous attendre à voir un incident de ce type faire la une des journaux en 2017.

Les pirates délaissent les mots de passe au profit de la propriété intellectuelle

Maintenant que les entreprises ont toute confiance dans le Cloud et se servent d’applications SaaS pour les plans de produits, les prévisions de ventes, etc., les cybercriminels disposent de données de plus grande valeur à cibler. 4,4 % des documents exploités dans les applications de partage de fichiers sont de nature confidentielle et concernent des enregistrements financiers, des plans prévisionnels d’activité, du code source, des algorithmes de trading, etc. Si le piratage de bases de données comme celles de Yahoo se distinguent par leur ampleur, les secrets industriels représentent une manne d’informations plus restreinte, mais néanmoins précieuse. Pour répondre aux inquiétudes sur la confidentialité des informations hébergées dans le Cloud, des fournisseurs tels que Box établissent une classification des données permettant d’identifier les ressources qui revêtent le plus de valeur pour les entreprises…[lire la suite]

Notre métier : Vous aider à vous protéger des pirates informatiques (attaques, arnaques, cryptovirus…) et vous assister dans vos démarches de mise en conformité avec la réglementation relative à la protection des données à caractère personnel.

Par des actions de formation, de sensibilisation ou d’audits dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article

Original de l’article mis en page : Sécurité du Cloud : quelles tendances en 2017 ? – Globb Security FR

La coopération Internationale renforcée dans le Cloud

« Le quinzième anniversaire de la Convention de Budapest sur la cybercriminalité est un tournant dans la mesure où la Convention atteint maintenant les « nuages », a déclaré le Secrétaire Général du Conseil de l’Europe Thorbjørn Jagland lors de l’inauguration de la Conférence Octopus 2016.

Les données et donc les preuves électroniques sont de plus en plus stockées sur des serveurs relevant de juridictions étrangères, inconnus ou multiples. C’est pourquoi, il peut être extrêmement difficile pour les autorités chargées de la justice pénale d’obtenir régulièrement de telles preuves. Faute de celles-ci, les délinquants qui opèrent dans le cyberespace ne peuvent être poursuivis.

Le Secrétaire Général a salué le jeu de recommandations adoptées par le Comité de la Convention sur la cybercriminalité lors de sa réunion des 14-15 novembre, dans lesquelles il voit une réponse véritable au problème de l’informatique en nuage (cloud computing). Les recommandations prévoient la négociation d’un protocole additionnel à la Convention à partir du milieu de 2017.

« La coopération entre les Etats s’est considérablement améliorée. Cela est dû pour beaucoup au travail du Comité de la Convention. Les notes d’orientation adoptées par le Comité ont aidé à préserver la pertinence et l’actualité de la Convention, à renforcer notre capacité de combattre le terrorisme, le vol d’identités ou les attaques contre des infrastructures d’informations critiques », a déclaré le Secrétaire Général, qui a invité les gouvernements à mieux protéger les droits des particuliers dans le cyberespace.

« Nous avons élaboré une sorte de « triangle dynamique » – Convention, Comité et renforcement des capacités – si bien que la Convention de Budapest reste aujourd’hui le traité international le plus important sur la cybercriminalité et la preuve électronique », a-t-il conclu.

A l’occasion de la conférence, Andorre a ratifié la Convention en présence d’Eva Descarrega Garcia, Secrétaire d’Etat andorrane à la Justice et à l’Intérieur.

68 Etats sont soit déjà parties à la Convention de Budapest, soit se sont formellement engagés à la respecter. Au moins 70 pays de plus ont pris la Convention comme source d’inspiration pour élaborer leur législation interne.

[Discours de Thorbjørn Jagland (anglais)]

Notre métier : Sensibiliser les décideurs et les utilisateurs. Vous apprendre à vous protéger des pirates informatiques, vous accompagner dans votre mise en conformité avec la CNIL et le règlement Européen sur la Protection des Données Personnelles (RGPD). (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84).

Denis JACOPINI anime dans toute le France et à l’étranger des conférences, des tables rondes et des formations pour sensibiliser les décideurs et les utilisateurs aux risques liés à la Cybercriminalité et à la protection de leurs données personnelles (Mise en Place d’un Correspondant Informatique et Libertés (CIL) dans votre établissement.

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article

Original de l’article mis en page : Cybercriminalité : vers un nouvel outil juridique sur la preuve électronique – News

Les données de santé, la nouvelle cible des cybercriminels

Face au développement massif des nouvelles technologies, nos données personnelles sont aujourd’hui entièrement informatisées. De notre dossier médical jusqu’à nos données bancaires en passant par nos loisirs et notre consommation quotidienne, chaque minute de nos vies produit une trace numérique sans même que l’on s’en aperçoit.

Pendant des années nos données de santé étaient éparpillées entre médecins, laboratoire d’analyses, hôpitaux, dentistes dans des dossiers cartonnés qui s’accumulaient au coin d’un bureau ou sur une étagère. En 2012 la loi « hôpital numérique » avait permis un premier virage en obligeant la numérisation des données de santé par tous les professionnels pour une meilleure transmission inter-service. Depuis un an, la loi « santé 2015 » oblige à une unification et une centralisation des données de santé dans des serveurs hautement sécurisés constituant ainsi le Big Data.

Une centralisation des données qui n’est pas sans risque

Appliqué à la santé, le Big Data ouvre des perspectives réjouissantes dans le croisement et l’analyse de données permettant ainsi d’aboutir à de véritables progrès dans le domaine médical. Mais cela n’est pas sans risque.

Le statut strictement confidentiel et extrêmement protégé donne à ces données une très grande valeur. Nos données médicales deviennent ainsi la cible d’une nouvelle cybercriminalité, cotées sur le Dark Web.

Le Dark Web ou Deep Web est l’underground du net tel qu’on le connait. Il est une partie non référencée dans les moteurs de recherche, difficilement accessible où le cybertrafic y est une pratique généralisée. Sur le Dark Web les données personnelles sont cotées et prennent ou non de la valeur selon leur facilité d’accès et leur rendement.

Là où les données bancaires détournées sont de plus en plus difficiles à utiliser suite aux nombreuses sécurisations mise en place par les banques, l’usurpation d’identité et la récolte de données médicales prennent une valeur de plus en plus grande. Selon Vincent TRELY, président-fondateur de l’APSSIS, Association pour la Sécurité des Systèmes d’information, interviewer sur France Inter le 8 septembre 2016, le dossier médical d’une personne aurait une valeur actuelle qui peut varier entre 12 et 18 $.

Si l’on rapporte cette valeur unitaire au nombre de dossiers médicaux abrités par un hôpital parisien, on se rend compte que ceux-ci abritent une potentielle fortune pouvant aller jusqu’à des millions de dollars. Aussi pour protéger ces données, les organismes de santé se tournent vers des sociétés certifiées proposant un stockage dans des Datacenters surveillés, doublement sauvegardés, ventilés avec une maintenance 24h/24. Le stockage a donc un coût qui peut varier entre quelques centaines d’euros jusqu’à des centaines de milliers d’euros pour un grand hôpital. Le coût d’hébergement peut alors devenir un vrai frein pour des petites structures médicales où le personnel présent est rarement qualifié pour veiller à la sécurité numérique des données. Et c’est de cette façon que ces organismes deviennent des cibles potentielles pour les cybercriminels.

Des exemples il en existe à la Pelle. Le laboratoire Labio en 2015 s’est vu subtilisé une partie des résultats d’analyse de ses patients, pour ensuite devenir la victime d’un chantage. Les cybercriminels demandaient une rançon de 20 000 euros en échange de la non divulgation des données. Peu de temps après c’est le service de radiologie du centre Marie Curie à Valence qui s’est vu refuser l’accès à son dossier patients bloquant ainsi toute une journée les rendez-vous médicaux initialement fixés. Peu de temps avant, en janvier 2015, la Compagnie d’Assurance Américaine Anthem a reconnu s’être fait pirater. Toutes ses données clients ont été cryptées en l’échange d’une rançon.

Ces pratiques étant nouvelles, on peut s’attendre à une recrudescence de ce type de criminalité dans l’avenir selon les conclusions en décembre 2014 de la revue MIT Tech Review…[lire la suite]

Denis Jacopini anime des conférences et des formations et est régulièrement invité à des tables rondes en France et à l’étranger pour sensibiliser les décideurs et les utilisateurs aux CyberRisques (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84).

Nous animons conférences et formations pour sensibiliser décideurs et utilisateurs aux risques en informatique, découvrir et comprendre les arnaques et les piratages informatiques pour mieux s’en protéger et se mettre en conformité avec la CNIL en matière de Protection des Données Personnelles. Nos actions peuvent être personnalisées et organisées dans votre établissement.

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article

Original de l’article mis en page : Les données de santé, le nouvel El-Dorado de la cybercriminalité

10 point importants avant de faire le pas vers le Cloud hybride

9

10 point importants avant de faire le pas vers le Cloud hybride

Les entreprises semblent adopter pleinement le cloud computing hybride. Mais comment y aller de la bonne façon ? Voici quelques grands points auxquels il faut faire attention dans la conception de ce type de projet.

1. Complexité de l’architecture et ressources adéquates

Un environnement de cloud computing hybride est une architecture informatique extrêmement complexe qui implique différentes combinaisons de cloud computing public et privé et d’informatique sur site. Il faut un personnel informatique aguerri pour structurer et gérer une infrastructure de bout en bout qui doit prendre en charge des transferts de données continus entre toutes ces plates-formes…[lire la suite]

2. Coordination des achats de cloud computing et des besoins des utilisateurs finaux

La pire façon de se lancer dans une stratégie de cloud computing hybride est de le faire au petit bonheur la chance. Ces situations se produisent lorsque les départements métiers et le département informatique souscrivent indépendamment à des services de cloud computing…[lire la suite]

3. Bien gérer la complexité de la gestion des données

De plus en plus d’entreprises utilisent des systèmes automatiques dans leurs centres de données pour acheminer les données vers différents niveaux de stockage (rapides, moyens ou rarement utilisés), et ce en fonction du type de données et des besoins d’accès aux données…[lire la suite]

4. Sécurité et confidentialité des données

La sécurité et la confidentialité des données s’améliorent dans le cloud, mais cela ne change rien au fait que le département informatique d’entreprise a un contrôle direct sur la gouvernance, la sécurité et la confidentialité des données que l’entreprise conserve dans son propre centre de traitements, alors qu’il n’a pas ce contrôle direct dans le cloud computing…[lire la suite]

5. Débit et latence, deux points critiques

L’accès au cloud computing peut se faire via un réseau privé sécurisé ou, plus souvent, via Internet. Cela signifie que la gestion du débit et le risque de latence pour les flux de données en temps réel et les transferts de données en masse deviennent plus risqués que lorsqu’ils se produisent au sein du propre réseau interne de l’entreprise…[lire la suite]

6. Reprise après sinistre et reprise à chaud

Les entreprises qui transfèrent des données et des applications vers le cloud computing doivent demander à voir les plans de reprise après sinistre et les engagements de reprise après sinistre et reprise à chaud des fournisseurs de cloud computing…[lire la suite]

7. Changement de fournisseur

Pourrez-vous facilement changer de fournisseur de cloud computing si tel est votre choix ? Si cette opération peut être facile sur le plan technique, elle pourrait être plus compliquée d’un point de vue contractuel ou de la coopération…[lire la suite]

8. Gestion des contrats et des licences sur site

Si vous transférez des applications sur site vers le cloud computing, la coordination sera optimale si vous parvenez à opérer cette transition au moment où vos licences logicielles sur site expirent. La migration vers le cloud n’est généralement pas un problème si vous conservez le même fournisseur, mais elle peut le devenir si vous quittez un fournisseur pour un autre…[lire la suite]

9. SLA des fournisseurs

De nombreux fournisseurs de cloud computing ne publient pas de contrats de niveau de service (SLA) et ne les incluent non plus dans leurs contrats. Si vous prévoyez de migrer vers un environnement de cloud computing public ou un environnement de cloud privé hébergé par un fournisseur extérieur, les SLA de base que vous devez exiger de la part de votre fournisseur concernent le temps de disponibilité, le délai moyen de réponse, le délai moyen de résolution des problèmes et le délai de reprise après sinistre…[lire la suite]

10. Gestion du risque et responsabilité du fournisseur

Quelle est la responsabilité du fournisseur en cas de sinistre (et de temps d’arrêt) d’un service qui nuit à votre entreprise ? Que se passe-t-il si le fournisseur n’a pas de contrôle sur les circonstances qui ont conduit au problème ? (Cela peut être le cas si le fournisseur de cloud ne possède pas ses propres centres de traitements et les loue à des tiers et que le problème provient d’un de ces centres de traitements.) Qu’en est-il si une brèche de sécurité touche vos données dans le cloud ?…[lire la suite]

Denis Jacopini anime des conférences et des formations et est régulièrement invité à des tables rondes en France et à l’étranger pour sensibiliser les décideurs et les utilisateurs aux CyberRisques (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84).

Nous animons conférences et formations pour sensibiliser décideurs et utilisateurs aux risques en informatique, découvrir et comprendre les arnaques et les piratages informatiques pour mieux s’en protéger et se mettre en conformité avec la CNIL en matière de Protection des Données Personnelles. Nos actions peuvent être personnalisées et organisées dans votre établissement.

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article

Original de l’article mis en page : Cloud hybride : 10 points de vigilance à bien noter – ZDNet

Directive NIS adoptée: quelles conséquences pour les entreprises?

Directive NIS depuis juillet. Des changements pour les entreprises?

En juillet dernier, le Parlement européen a adopté la directive NIS (Network and Information Security). Les opérateurs de services ainsi que les places de marché en ligne, les moteurs de recherche et les services Cloud seront soumis à des exigences de sécurité et de notification d’incidents.

C’est fait ! La directive NIS a été approuvée le 6 juillet par le Parlement européen en seconde lecture, après avoir été adoptée en mai dernier par le Conseil de l’Union européenne. Cette directive est destinée à assurer un « niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union européenne ». Les « opérateurs de services essentiels » et certains fournisseurs de services numériques seront bien soumis à des exigences de sécurité et de notification d’incidents de sécurité.

Sécuriser les infrastructures

Du côté des fournisseurs de services numériques, les places de marché en ligne, les moteurs de recherche et les fournisseurs de services de Cloud actifs dans l’UE sont concernés. Ils devront prendre des mesures pour « assurer la sécurité de leur infrastructure » et signaler « les incidents majeurs » aux autorités nationales. Mais les exigences auxquelles devront se plier ces fournisseurs, seront moins élevées que celles applicables aux opérateurs de services essentiels.

Publication de la Directive NIS au Journal officiel de l’Union européenne

Adoption de la directive NIS : l’ANSSI, pilote de la transposition en France

Denis Jacopini anime des conférences et des formations pour sensibiliser les décideurs et les utilisateurs aux CyberRisques (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84).

Nous animons conférences et formations pour sensibiliser décideurs et utilisateurs aux risques en informatique, découvrir et comprendre les arnaques et les piratages informatiques pour mieux s’en protéger et se mettre en conformité avec la CNIL en matière de Protection des Données Personnelles. Nos actions peuvent être personnalisées et organisées dans votre établissement.

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article

Original de l’article mis en page : Directive NIS adoptée: quelles conséquences pour les entreprises?

Devez-vous changer votre mot de passe DropBox ?

Devez-vous changer votre mot de passe DropBox ?

On vous demande de créer un nouveau mot de passe sur dropbox.com. Pourquoi et que devez-vous faire ?

L’entité propose de faire des sauvegardes de ses fichiers dans le Cloud, le fameux nuage. Bref, des disques durs hors de chez vous, hors de votre entreprise, sur lesquels vous déposez vos données afin d’y accéder partout dans le monde, et peu importe le support : Ordinateur, smartphone…

Depuis quelques heures, une vague de courriels aux couleurs de DropBox vous indique « On me demande de créer un nouveau mot de passe sur dropbox.com. Pourquoi et que dois-je faire ?« , si les plus paranoïaques ont jeté la missive de peur d’être nez-à-nez avec un phishing, je me suis penché sur le sujet, histoire de m’assurer que l’alerte valait la peine d’être lancée. Je vais être rapide avec le sujet, oui, il s’agit bien d’un courriel officiel de la firme US.

Lors de votre prochaine visite sur dropbox.com, vous serez peut-être invité à créer un nouveau mot de passe. Une modification « à titre préventif à certains utilisateurs » souligne Dropbox. Les utilisateurs concernés répondent aux critères suivants : ils ont créé un compte Dropbox avant mi-2012 et ils n’ont pas modifié leur mot de passe depuis mi-2012. Vous commencez à comprendre le problème ? Comme je vous le révélais la semaine dernière, des espaces web comme Leakedsource, le site qui met en danger votre vie privée, sont capable de fournir aux pirates une aide précieuse. Comment ? En diffusant les informations collectées dans des bases de données piratées.

Que dois-je faire ?

Si, quand vous accédez à dropbox.com, vous êtes invité à créer un nouveau mot de passe, suivez les instructions sur la page qui s’affiche. Une procédure de modification des mots de passe qui n’a rien d’un hasard. Les équipes en charge de la sécurité de DropBox effectuent une veille permanente des nouvelles menaces pour leurs utilisateurs. Et comme vous l’a révélé ZATAZ, Leaked Source et compagnie fournissent à qui va payer les logins et mots de passe d’utilisateurs qui utilisent toujours le même sésame d’accès, peu importe les sites utilisés. Bref, des clients Adobe, Linkedin … ont peut-être exploité le même mot de passe pour DropBox.

Bilan, les pirates peuvent se servir comme ce fût le cas, par exemple, pour ma révélation concernant le créateur des jeux Vidéo Rush et GarryMod ou encore de ce garde du corps de Poutine et Nicolas Sarkozy. Les informaticiens de Dropbox ont identifié « d’anciennes informations d’identification Dropbox (combinaisons d’adresses e-mail et de mots de passe chiffrés) qui auraient été dérobées en 2012. Nos recherches donnent à penser que ces informations d’identification sont liées à un incident de sécurité que nous avions signalé à cette époque. » termine DropBox.

A titre de précaution, Dropbox demande à l’ensemble de ses utilisateurs qui n’ont pas modifié leur mot de passe depuis mi-2012 de le faire lors de leur prochaine connexion.

Article original de Damien Bancal

Les conseils de Denis JACOPINI

Comme tout e-mail reçu, la prudence est de rigueur. Avant de valider l’authenticité d’un e-mail envoyé par une firme telle que Dropbox, nous avons dû analyser l’entête de l’e-mail reçu et comparer les données techniques de celles répertoriées dans les bases de données connues.

J’imagine que vous n’aurez pas le courage d’apprendre à le faire vous même ni que vous trouverez l’intérêt de consacrer du temps pour ça.

Comme chaque mise à jour demandée par un éditeur ou un constructeur, comme tout changement de mot de passe recommandé par une firme, nous vous conseillons de le faire en allant directement sur le site concerné.

Dans le cas de « Dropbox », nous vous recommandons de rechercher « dropbox.com » dans google ou de taper « dropbox.com » dans votre barre d’adresse et de vous identifier. Vous serez ainsi sur le site officiel et en sécurité pour réaliser la procédure demandée.

Attention
Vous ne serez en sécurité que si votre ordinateur n’est pas déjà infecté. En effet, taper un nouveau mot de passe si votre ordinateur est déjà infecté par un programme espion revient à communiquer au voleur une copie de vos nouvelles clés. Taper l’ancien mot de passe revient aussi à donner au voleur la clé permettant peut-être d’ouvrir d’autres portes !!!

Besoin de conseils ? de formation ?, contactez Denis JACOPINI

Réagissez à cet article

Original de l’article mis en page : ZATAZ Changez votre mot de passe DropBox – ZATAZ