12 bons conseils pour la sécurité de votre entreprise

Depuis 2013, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) publie une liste de mesures non-contraignantes à l’attention des professionnels. Ce document donne des indications et conseils clairs pour sécuriser au mieux leurs installations informatiques.

Les recommandations servent également à faire comprendre à l’ensemble des collaborateurs l’importance d’adopter certains comportements. L’objectif de la mesure est que chacun comprenne les risques en termes de sécurité au sein de l’entreprise, mais également en situation de mobilité.

Les recommandations, au nombre de douze, regroupent des instructions classiques dans le domaine de la sécurité. L’ANSSI conseille ainsi de :

1. Choisir avec soin son mot de passe.
2. Mettre à jour régulièrement vos logiciels.
3. Bien connaître ses utilisateurs et ses prestataires.
4. Effectuer des sauvegardes régulières.
5. Sécuriser l’accès Wi-Fi de votre entreprise.
6. Être aussi prudent avec son smartphone ou sa tablette qu’avec son ordinateur.
7. Protéger ses données lors de ses déplacements.
8. Être prudent lors de l’utilisation de sa messagerie.
9. Télécharger ses programmes sur les sites officiels des éditeurs.
10. Être vigilant lors d’un paiement sur Internet.
11. Séparer les usages personnels des usages professionnels.
12. Prendre soin de ses informations personnelles, professionnelles et de son identité numérique.

Au-delà de ces conseils, l’ANSSI recommande de nommer un référent pour la sécurité informatique au sein de la société. Pour ce faire, il est possible de rédiger une charte dans laquelle des références au chiffrement de certaines informations sensibles figureront tout comme des recommandations quant à l’installation d’un antivirus ou d’un pare-feu.

Expert Informatique assermenté et formateur spécialisé en sécurité Informatique, en cybercriminalité et en déclarations à la CNIL, Denis JACOPINI et Le Net Expert sont en mesure de prendre en charge, en tant qu’intervenant de confiance, la sensibilisation ou la formation de vos salariés afin de leur enseigner les bonnes pratiques pour assurer une meilleure protection juridique du chef d’entreprise.

Contactez-nous

Après cette lecture, quel est votre avis ?
Cliquez et laissez-nous un commentaire…

Source : http://pro.clubic.com/it-business/securite-et-donnees/actualite-760239-bonnes-pratiques-securite-anssi.html
http://www.ssi.gouv.fr/uploads/2015/03/guide_cgpme_bonnes_pratiques.pdf

Par Olivier Robillart

Arnaques par courriel (scam, phishing) : la CNIL peut-elle agir ?

Ces procédés ne sont pas liés à la protection des données personnelles : ce sont des tentatives d’escroquerie ou d’extorsion de fonds.

Si vous en êtes victime, signalez-les sur le service PHAROS du ministère de l’Intérieur et au service phishing-initiative mis en place par plusieurs acteurs de l’internet.

Vous pouvez également joindre par téléphone le service Info Escroquerie de la police nationale au 0811 02 02 17 (coût d’un appel local).

Même si remplir un formulaire de déclaration à la CNIL est gratuit et enfantin, il vous engage cependant, par la signature que vous apposez, à respecter scrupuleusement la loi Informatique et Libertés. Cette démarche doit d’abord commencer par un Audit de l’ensemble de vos systèmes de traitements de données. Nous organisons régulièrement des actions de sensibilisation ou de formation au risque informatique, à l’hygiène informatique, à la cybercriminalité et à la mise en conformité auprès de la CNIL. Nos actions peuvent aussi être personnalisées et organisées dans votre établissement.
Besoin d’informations complémentaires ?

Contactez-nous

Denis JACOPINI
Tel : 06 19 71 79 12
formateur n°93 84 03041 84

Denis JACOPINI est Expert Judiciaire en Informatique, consultant, formateur et chargé de cours.
Nos domaines de compétence :

• Expertises et avis techniques en concurrence déloyale, litige commercial, piratages, arnaques Internet… ;
• Consultant en sécurité informatique, cybercriminalité et mises en conformité et déclarations à la CNIL ;
• Formateur et chargé de cours en sécurité informatique, cybercriminalité et déclarations à la CNIL.

Cet article vous plait ? Partagez !
Un avis ? Laissez-nous un commentaire !

Source : http://www.aide.cnil.fr/selfcnil/site/template.do;jsessionid=5318D41E172CDCBFD4A28353ED692C06?id=194&back=true

RGPD : Impact sur l’Email Marketing

Sarbacane Software propose une infographie* résumant les réels changements qui seront apportés par le RGPD, et son implication pratique dans le domaine de l’emailing.

[lire la suite]

• ACCOMPAGNEMENT RGPD (ÉTAT DES LIEUX ⇒ MISE EN CONFORMITÉ)
  • ANALYSE DE VOTRE ACTIVITÉ
  • CARTOGRAPHIE DE VOS TRAITEMENTS DE DONNÉES
  • IDENTIFICATION DES RISQUES
  • ANALYSE DE RISQUE (PIA / DPIA)
  • MISE EN CONFORMITÉ RGPD de vos traitements
  • SUIVI de l’évolution de vos traitements
• FORMATIONS / SENSIBILISATION :
  • CYBERCRIMINALITÉ
  • PROTECTION DES DONNÉES PERSONNELLES
  • AU RGPD
  • À LA FONCTION DE DPO
• RECHERCHE DE PREUVES (outils Gendarmerie/Police)
  • ORDINATEURS (Photos / E-mails / Fichiers)
  • TÉLÉPHONES (récupération de Photos / SMS)
  • SYSTÈMES NUMÉRIQUES
• EXPERTISES & AUDITS (certifié ISO 27005)
  • TECHNIQUES | JUDICIAIRES | ADMINISTRATIVES
  • SÉCURITÉ INFORMATIQUE
  • SYSTÈMES DE VOTES ÉLECTRONIQUES

Notre Expert, Denis JACOPINI, est assermenté, spécialisé en Cybercriminalité, Recherche de preuves et en Protection des données personnelles. Diplômé en Cybercriminalité (Droit, Sécurité de l’information & Informatique légale), en Droit de l’Expertise Judiciaire et certifié en gestion des risques en Sécurité des Systèmes d’Information (ISO 27005), Denis JACOPINI est aussi formateur inscrit auprès de la DDRTEFP (Numéro formateur n°93 84 03041 84).

Réagissez à cet article

Vote électronique – Mode d’emploi

Les mesures de sécurité sont donc essentielles pour un succès des opérations de vote mais mettent en œuvre des mesures compliquées, comme par exemple l’utilisation de procédés cryptographiques pour le scellement et le chiffrement. Pour éclairer les responsables de traitement, les fournisseurs de solution de vote et les experts sur les sécurités que la CNIL estime indispensables, une recommandation a été adoptée en 2003 et mise à jour en 2010.

Pour être valide, un système de vote électronique doit strictement respecter les obligations légales applicables aux systèmes de vote électronique, énoncées notamment dans le décret n° 2007-602 et l’arrêté correspondant du 25 avril 2007 relatifs aux conditions et aux modalités de vote par voie électronique pour l’élection des délégués du personnel et des représentants du personnel au comité d’entreprise, et dans le décret n° 2011-595 du 26 mai 2011 relatif aux conditions et modalités de mise en œuvre du vote électronique par internet pour l’élection des représentants du personnel au sein des instances de représentation du personnel de la fonction publique de l’Etat.

Le système de vote électronique doit également respecter la délibération n°2010-371 du 21 octobre 2010 de la CNIL portant adoption d’une recommandation relative à la sécurité des systèmes de vote électronique qui précise notamment :

• Tout système de vote électronique doit faire l’objet d’une expertise indépendante.
• L’expertise doit couvrir l’intégralité du dispositif installé avant le scrutin (logiciel, serveur, etc.), l’utilisation du système de vote durant le scrutin et les étapes postérieures au vote (dépouillement, archivage, etc.).
• Le rapport d’expertise doit être remis au responsable de traitement. Les prestataires de solutions de vote électronique doivent, par ailleurs, transmettre à la CNIL les rapports d’expertise correspondants à la première version et aux évolutions substantielles de la solution de vote mise en place.

Source : http://www.cnil.fr/les-themes/vie-citoyenne/vote-electronique/
http://www.cnil.fr/documentation/deliberations/deliberation/delib/249/

L’adresse IP est-elle une donnée à caractère personnel ?

I/ L’adresse IP au regard de la loi du 6 janvier 1978.

L’article 2 alinéa 2 de la loi du 6 janvier 1978, dite loi informatique et libertés telle que modifiée par la loi du 6 aout 2004, définit la donnée personnelle comme étant « toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. »

Par cette vague définition, le législateur, conscient de l’évolution rapide et constante des nouvelles technologies, a sciemment élargi la définition de la donnée personnelle afin d’y inclure toute nouvelle donnée qui est susceptible d’identifier directement ou indirectement une personne physique, dans le but de la protéger.

Ainsi, dans cet éventail d’informations, peuvent se glisser aussi bien des informations personnelles « classiques » telles que le nom, prénom, adresse postale, photo, numéro de téléphone, empreintes digitales etc, que des informations du monde numérique. Tel est le cas de l’adresse IP (Internet Protocol) d’un ordinateur.

Toutefois, le fait de ne pas dresser une nomenclature des informations qui constituent les données à caractère personnel, présente la souplesse d’inclure de nouvelles données, mais l’absence d’une telle précision laisse planer le doute en cas de conflit, d’où le nombre d’affaires porté devant les tribunaux et dont la qualification est laissée à l’appréciation des juges.

Interrogée sur cette question, la CNIL (Commission Nationale Informatique et Libertés), à travers ses interventions (recommandation ou déclaration), a répondu favorablement à la reconnaissance de l’adresse IP comme une donnée à caractère personnel en se basant sur la définition large de l’article 2 de la loi du 6 janvier 1978 précité.

II/ L’adresse IP selon les recommandations de la CNIL.

Dans un article du 2 aout 2007, la CNIL [1] [2] comme le G29 [3] ont soutenu que l’adresse IP, à l’instar d’une plaque d’immatriculation d’un véhicule ou d’un numéro de téléphone, entre dans le champ d’application large de la définition de l’article 2 de la loi du 6 janvier 1978 modifiée étant donné qu’elle permet l’identification directe ou indirecte de la personne physique [4]. La CNIL a rappelé à ce titre, que l’ensemble des autorités de protection des données des Etats membres ont précisé dans un avis du 20 juin 2007 relatif au concept de données à caractère personnel que l’adresse IP lié à l’ordinateur d’un internaute constitue une donnée à caractère personnel. S’inquiétant ainsi des décisions judiciaires qui refusent de considérer cette donnée comme personnelle. L’évolution récente de la jurisprudence va dans ce sens.

III/ l’adresse IP et l’évolution jurisprudentielle.

La position de la CNIL n’est pas toujours partagée par la jurisprudence française. Si dans certains arrêts elle a à juste titre prôné pour cette assimilation en affirmant que « L’adresse IP, est, au sens strict, un identifiant d’une machine lorsque celle-ci se connecte sur l’Internet et non d’une personne. Mais au même titre qu’un numéro de téléphone n’est, au sens strict, que celui d’une ligne déterminée mais pour laquelle un abonnement a été souscrit par une personne déterminée ; un numéro IP associé à un fournisseur d’accès correspond nécessairement à la connexion d’un ordinateur pour lequel une personne déterminée a souscrit un abonnement auprès de ce fournisseur d’accès. L’adresse W de la connexion associée au fournisseur d’accès constitue un ensemble de moyens permettant de connaitre le nom de l’utilisateur » [5]. Dans cet arrêt, les juges du fond se sont basés sur la définition légale de la donnée personnelle de l’article 2 de la loi du 6 janvier 1978 précité comme étant une information qui peut identifier indirectement une personne physique par référence à un numéro d’identification.

Dans d’autres arrêts, les juges du fond français [6]ont refusé toute assimilation de l’adresse IP à une donnée personnelle [7] en ce qu’elle ne permet pas d’identifier l’auteur de la connexion [8]. Dans ce contexte, par un arrêt du 5 septembre 2007, la chambre criminelle de la Cour de cassation a considéré que l’adresse IP est une donnée parmi d’autres d’un faisceau d’indices, et donc, insuffisante à elle seule pour être qualifiée de donnée personnelle [9]

La problématique de l’adresse IP ne semble pas être résolue étant donné que cette question a été soulevée récemment devant la Cour d’appel de Rennes du 28 avril 2015, qui s’est prononcée en défaveur de cette qualification en considérant que « (….) le simple relevé d’une adresse IP aux fins de localiser un fournisseur d’accès ne constitue pas un traitement automatisé de données à caractère personnel au sens des articles 2, 9 et 25 de la loi « informatique et libertés » du 6 janvier 1978. L’adresse IP est constituée d’une série de chiffres, n’est pas une donnée, même indirectement nominative alors qu’elle ne se rapporte qu’à un ordinateur et non à l’utilisateur (….) ».

Analyse.

La problématique de cette question se résume ainsi : si l’adresse IP est considérée comme donnée personnelle cela implique qu’il s’agit d’un traitement de donnée personnelle régi par la loi du 6 janvier 1978, et de ce fait, bénéficie de l’arsenal de dispositions protectrices prévu pour protéger la personne physique d’une part, et risque de tomber sous le coup des sanctions prévues en cas de non respect des dispositions légales prévues à cet effet d’autre part.

Cela implique le recours à la CNIL en amont de tout traitement pour autorisation, et en cas de conflit, c’est le tribunal de grande instance qui sera matériellement compétent. Encore faut il que cela concerne une personne physique dans la mesure où la loi du 6 janvier 1978 ne protège que cette catégorie de personnes.

Le seul moyen de mettre fin à cette incertitude c’est l’adoption d’une disposition légale claire et précise sur la notion de donnée personnelle. Cela pourra bientôt se concrétiser après l’adoption de la proposition de Règlement européen relatif à la protection des données à caractère personnel et sa transposition ultérieure dans le droit positif français.

Auteure : Zahra Reqba

Cet article vous plait ? Partagez !
Un avis ? Laissez-nous un commentaire !

Accompagnant depuis 2012 de nombreux établissements, Denis JACOPINI, Expert informatique diplômé en cybercriminalité, certifié en gestion des risques sur les systèmes d'information (ISO 27005) et formé par la CNIL depuis 2011 sur une trentaine de thèmes, est en mesure de vous accompagner dans votre démarche de mise en conformité RGPD.

   

---

Besoin d'un expert pour vous mettre en conformité avec le RGPD ?

Contactez-nous

---

Accompagné de son équipe d'auditeurs et de formateurs, notre Expert, Denis JACOPINI est spécialisé en cybercriminalité et en protection des Données à Caractère Personnel, formateur depuis 1998 et consultant depuis 1996. Avec bientôt une expérience d'une dizaine d'années dans la mise en conformité avec la réglementation relative à la Protection des Données à Caractère Personnel, de formation d'abord technique, Correspondant CNIL en 2012 (CIL : Correspondant Informatique et Libertés) puis en 2018 Délégué à la Protection des Données, en tant que praticien de la mise en conformité et formateur, il lui est ainsi aisé d'accompagner les organismes dans leur démarche de mise en conformité avec le RGPD.

« Mon objectif, vous assurer une démarche de mise en conformité validée par la CNIL.  ».

 

 

Nous vous aidons à vous mettre en conformité avec le RGPD de 2 manières :

  

Quelques articles sélectionnés par nos Experts :
Comment se mettre en conformité avec le RGPD
Accompagnement à la mise en conformité avec le RGPD de votre établissement
Formation RGPD : L’essentiel sur le règlement Européen pour la Protection des Données Personnelles
Comment devenir DPO Délégué à la Protection des Données
Des guides gratuits pour vous aider à vous mettre en conformité avec le RGPD et la CNIL
Mise en conformité RGPD : Mode d’emploi
Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016
DIRECTIVE (UE) 2016/680 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 27 avril 2016
Comprendre le Règlement Européen sur les données personnelles en 6 étapes
Notre sélection d'articles sur le RGPD (Règlement Européen sur la Protection des données Personnelles) et les DPO (Délégués à la Protection des Données)

 

---

[block id="24761" title="Pied de page HAUT"]

---

 

Victime d’une arnaque sur Internet  ? Faites-nous part de votre témoignage

Devant une explosion de cas d’arnaques et de piratages par Internet et des pouvoirs publics débordés par ce phénomène, nous avons souhaité apporter notre pierre à l’édifice.

Vous souhaitez nous faire part de votre témoignage,  contactez-nous.

Vous devez nous communiquer les informations suivantes (tout message incomplet et correctement rédigé ne sera pas traité) :

• une présentation de vous (qui vous êtes, ce que vous faites dans la vie et quel type d’utilisateur informatique vous êtes) ;
• un déroulé chronologique et précis des faits (qui vous a contacté, comment et quand et les différents échanges qui se sont succédé, sans oublier l’ensemble des détails même s’ils vous semblent inutiles, date heure, prénom nom du ou des interlocuteurs, numéro, adresse e-mail, éventuellement numéros de téléphone ;
• Ce que vous attendez comme aide (je souhaite que vous m’aidiez en faisant la chose suivante : ….)
• Vos nom, prénom et coordonnées (ces informations resteront strictement confidentielles).

Réagissez à cet article

Comment les salariés peuvent lutter contre la cybercriminalité

Le cybercrime est un phénomène complexe intégrant en son sein un spectre très large de méthodes, de cibles et de motivations.  On assiste de moins en moins aux actions de l’hacker isolé uniquement motivé par la mise en lumière de ses exploits ou à celles de l’hacktiviste politique développant des attaques à des fins de sabotage. Le cybercrime est aujourd’hui de plus en plus organisé. Appâté par des gains financiers directs, il met en œuvre ses exactions via des mécaniques sophistiquées comme le spear fishing, l’ingénierie sociale ou encore les menaces furtives APT (Advanced Persistent Threats) au travers d’attaques ciblées, de grande envergure et de plus en plus dévastatrices.  Et comme l’a dévoilé la retentissante affaire Edward Snowden aux Etats-Unis, les cyber armées misent en branle par les gouvernements à des fins de renseignement ou d’espionnage industriel sont également très actives.

Un contexte technologique propice aux failles mais pas uniquement …

Si les attaques cybercriminelles réussissent aujourd’hui, c’est que les évolutions technologiques majeures comme le Cloud, le BYOD (Bring Your Own Devive) ou encore les objets connectés… – en augmentant de manière exponentielle les données disponibles au niveau mondial – ont ouvert et donc fragilisé le réseau de l’entreprise. Ce contexte de démultiplication des périphériques, des utilisateurs et des usages génère des failles et des vulnérabilités, largement exploitées par les cyber assaillants. Mais même si leur impact est bel et bien réel, les transformations technologiques ne sont pas les seules au banc des accusés. En 2015, selon un rapport de sécurité Check Point, 81% des entreprises ont subi des fuites de données causées par des négligences humaines. L’humain, ce « maillon faible » est un élément clé de toute stratégie cyber défense même s’il n’est toujours pas appréhendé sérieusement par les entreprises. Et c’est là que les RH ont leur carte à jouer.

Le rôle déterminant des RH: transformer l’humain en un atout pour la sécurité de l’entreprise

Redoublant d’ingéniosité pour arriver à leurs fins, les cyber assaillants mettent en œuvre des attaques d’ingénierie sociale et d’hameçonnage qui exploitent les faiblesses humaines (vanité, reconnaissance, ignorance, gentillesse…) avec pour finalité le vol de données sensibles, le gain direct ou encore l’espionnage industriel. Ces attaques sont très difficiles à détecter par les entreprises car elles ne sont pas identifiées par leurs barrages technologiques et peuvent même passer inaperçues aux yeux de leurs victimes! Pour déjouer les manœuvres des cybercriminels, une culture « sécurité » portée par les RH doit être mise en œuvre pour sensibiliser et responsabiliser les employés de l’entreprise, à chaque couche fonctionnelle et dans le cadre d’une véritable démarche collaborative. Comment?

1/ En assumant la responsabilité des risques de sécurité posés par les collaborateurs de l’entreprise. La grande majorité des employés ne se sent pas vraiment concernée par les problématiques de sécurité de leur entreprise. Elle les considère comme seule responsabilité du département informatique et cette attitude rend les entreprises bien trop vulnérables. Une politique de sécurité interne ne sera efficace que si elle est comprise et intégrée par les collaborateurs via un véritable état d’esprit associé à une somme de comportements quotidiens. Les RH doivent mener des politiques de sensibilisation actives, sur la durée, portant sur les dangers, les techniques employées par les cyber délinquants et l’impact comportemental des employés sur la sécurité de l’entreprise.

2/ En identifiant le personnel vulnérable. Un des risques majeurs en matière de sécurité est l’accès des employés aux données sensibles de l’entreprise. Dans le cas du piratage de Sony Pictures, les experts ont évoqué l’implication d’un ou de plusieurs ex-employés du Groupe dont l’accès toujours actif au réseau a permis le vol d’informations critiques. En outre, les cybercriminels ont besoin du support de collaborateurs ou de partenaires de l’entreprise qui vont les aider volontairement ou non à arriver à leur fins. Ils utilisent ainsi les réseaux sociaux pour identifier leur cible/victime potentielle, celle qui aura une prédisposition à briser les systèmes de sécurité de l’entreprise, sera démotivée ou en désaccord avec sa hiérarchie. Au cœur de ces informations, les RH doivent ainsi redoubler de vigilance vis-à-vis de ressources à risques ou plus exposées comme les nouveaux arrivants, les employés sur le départ, des fonctions spécifiques (accueil/helpdesk, secrétariats, …) ou stratégiques tels que les directeurs financiers …

3/  En sensibilisant la Direction Générale. La mise en place d’une culture de la sécurité au sein de l’entreprise doit bénéficier du support du top management. Or les Directions Générales ne sont pas encore forcément sensibles à la mise en place de ces programmes de formations, orientant leurs investissements sécuritaires plutôt vers des dispositifs technologiques. Messieurs les Directeurs, comme l’a si justement souligné Derek Bok, Président de la prestigieuse université d’Harvard « Si vous pensez que l’éducation est chère, alors tentez l’ignorance » ! Il est aujourd’hui impératif pour les entreprises de mettre en place une vraie stratégie de sécurité basée sur une mobilisation interne transverse associant les métiers, le comité de direction, les RH et le RSSI.

Le cybercrime est bien réel, organisé, déterminé et atteint son but même pour les plus grandes organisations internationales aux murailles technologiques dites « infranchissables ». C’est aux entreprises maintenant de penser et de développer une organisation de sécurité en miroir, dotée d’un niveau de maturité technique et organisationnel tout aussi élevé que celui de leurs cybers assaillants. La sensibilisation de l’humain, clé de voûte d’une bonne stratégie de cyberdéfense ne doit pas être négligée et les RH devront vite s’emparer du sujet avant que l’ennemi ne soit dans la place !

Nous organisons régulièrement des actions de sensibilisation ou de formation au risque informatique, à l’hygiène informatique, à la cybercriminalité et à la mise en conformité auprès de la CNIL. Nos actions peuvent aussi être personnalisées et organisées dans votre établissement.
Besoin d’informations complémentaires ?

Contactez-nous

Denis JACOPINI
Tel : 06 19 71 79 12
formateur n°93 84 03041 84

Expert Informatique assermenté et formateur spécialisé en sécurité Informatique, en cybercriminalité et en déclarations à la CNIL, Denis JACOPINI et Le Net Expert sont en mesure de prendre en charge, en tant qu’intervenant de confiance, la sensibilisation ou la formation de vos salariés afin de leur enseigner les bonnes pratiques pour assurer une meilleure sécurité des systèmes informatiques et améliorer la protection juridique du chef d’entreprise.

Contactez-nous

Cet article vous plait ? Partagez !
Un avis ? Laissez-nous un commentaire !

Source : http://www.challenges.fr/tribunes/20150624.CHA7247/comment-les-salaries-peuvent-lutter-contre-la-cybercriminalite.html

par Emmanuel Stanislas, fondateur du cabinet de recrutement Clémentine.

Combien de temps une crèche peut-elle conserver des informations sur les enfants et leurs familles ?

La durée de conservation de ces informations ne doit pas dépasser la durée nécessaire aux finalités pour lesquelles ces informations sont collectées et traitées.

Dans le cas de l’accueil de jeunes enfants, la CNIL recommande que ces informations soient effacées au plus tard trois ans après leur départ. Au-delà de ce délai, elles ne peuvent être conservées que de manière anonymisée, dans un but statistique par exemple.

L’employé comme pion dans la lutte pour la cyber-sécurité

L’employé en tant que hacker

Il ressort du rapport de la RAND intitulé « Markets for Cybercrime Tools and Stolen Data » que l’élément humain reste un point faible. Parfois, des actes de malveillance entrent en jeu, comme par exemple l’employé mécontent ou envieux qui disperse ou subtilise les informations confidentielles d’une entreprise. En janvier, Morgan Stanley licenciait un travailleur, qui avait prétendument subtilisé des données personnelles (en ce compris des numéros de compte) concernant près de 900 de ses clients et les avait brièvement publiées sur Internet. Néanmoins, le plus souvent, les cyber-incidents connus par une entreprise peuvent être imputés à des actes de négligence, ce dont les criminels tirent volontiers profit. Selon le rapport de la RAND, lesdites campagnes de « phishing » et « spear-phishing » augmenteront substantiellement et sont en même temps de plus en plus sophistiquées. Un exemple connu de spear-phishing concerne la fuite de données – entretemps devenue tristement célèbre – de la chaîne de magasins américaine Target. Les enquêteurs avaient découvert que les hackers avaient obtenu l’accès aux systèmes informatiques de Target au moyen d’un e-mail de spear-phishing adressé à un employé de l’un des fournisseurs externes de Target.

Les conséquences de tels actes de malveillance ou de négligence sont souvent tout sauf anecdotiques. Dans l’exemple de Target, le préjudice se chiffre actuellement à plus de 162 millions de dollars. L’attaque faite sur la marque et la perte de parts de marché constituent à cet égard des dommages importants. Les employeurs se sentent souvent impuissants dans ce genre de situation et observent les bras ballants la manière dont une cyber-attaque cause un préjudice grave à leur entreprise. Cependant, cela ne devrait pas être le cas. Ci-dessous, nous esquissons certains outils ou méthodes pouvant aider à mobiliser vos propres employés, en tant que frères d’armes privilégiés dans la lutte pour la cyber-sécurité.

L’employé en tant que pion contre les hackers

La prévention est et reste le meilleur remède. Les mesures suivantes – spécifiquement en lien avec les activités des employés – fonctionnent en tout cas comme mesures préventives :

– Des dispositifs de sécurité adéquats

Outre la sécurisation effective des données et de l’infrastructure de l’entreprise, il est recommandé de couler les règles d’entreprises concernant la protection des données, la sécurité des systèmes, l’utilisation d’appareils propres (ordinateurs portables, smartphones, tablettes) au sein du réseau de l’entreprise, le travail à distance et d’autres encore, dans ce que l’on appelle des « policies ».

– Des formations périodiques et adaptées pour les employés

Afin de pouvoir mettre en oeuvre les protocoles de sécurité mentionnés ci-dessus de manière effective, les employés au sein de l’entreprise devraient au moins être au courant de leur existence, ainsi que de leur contenu (ainsi que de toute modification), ce que l’on obtient en donnant des formations périodiques et adaptées. Un employé qui de manière durable est bien informé sur ses responsabilités en termes de cyber-sécurité au sein de l’entreprise, et qui sait comment traiter des informations sensibles et confidentielles concernant l’entreprise ou les personnes, constituera une cible moins évidente pour les hackers externes et sera plus attentif. Une telle approche met également l’accent sur l’intérêt que l’entreprise porte à la sécurité de ses propres systèmes et données.

– Un screening adéquat des nouveaux employés

Lors du recrutement et de la sélection de nouveaux employés, l’employeur scrute de plus en plus souvent le profil d’un candidat sur les réseaux sociaux (Facebook, Twitter etc.). Attention cependant : l’employeur peut consulter ces données, mais ne peut les traiter sans respecter les règles légales sur la protection des données personnelles. En outre, il existe également une interdiction de discrimination : le fait de vérifier des informations qui sont publiées par un candidat sur un réseau social ne peut mener à une sélection inéquitable.

– Prévoyez un dispositif d’alerte adéquat

Afin de révéler certains sujets, que l’employé ne peut faire remonter via la voie hiérarchique habituelle et pour lesquels il n’existe pas de procédure ou organe organisé par la loi, l’on peut prévoir un dispositif d’alerte (« whistleblowing ») au sein de l’entreprise. Ce dispositif doit être établi conformément à la législation sur la vie privée et aux recommandations de la Commission de la protection de la vie privée sur le sujet.

– Surveillance de l’utilisation d’Internet et des e-mails par les employés

Une autre mesure de prévention importante réside dans l’installation d’un système au moyen duquel le contrôle de l’utilisation d’Internet et des e-mails par les employés peut être effectué par l’employeur. En effet, une entreprise qui est victime d’une cyberattaque et suppose que l’un de ses membres du personnel en est responsable, ne peut pas rechercher l’employé coupable à la légère. L’employeur doit, à cet égard, respecter la législation sur la vie privée, en ce compris la CCT n° 81, qui met en balance le droit à la vie privée de l’employé et le droit de surveillance de l’employeur.

Un tel système de contrôle ne peut (i) être institué sans que l’employeur en ait informé le conseil d’entreprise et les employés individuellement sur tous les aspects du contrôle ; (ii) seulement être implémenté qu’en raison d’une finalité légitime, telle que par exemple la sécurité et le bon fonctionnement technique du système de réseau IT de l’entreprise. En outre, l’employeur ne peut effectuer qu’un contrôle graduel et progressif. En premier lieu, seuls les contrôles généralisés et anonymes (au moyen d’échantillons) sont autorisés sans que les données puissent être individualisées et donc sans pouvoir cibler un employé en particulier. Ce n’est que lorsque l’employeur suspecte qu’un abus par un employé a eu lieu qu’il peut procéder à l’individualisation des données personnelles afin de pouvoir rechercher le « coupable ».

Conclusion

En résumé, l’on peut dire qu’au vu des atteintes à la réputation et autres conséquences financières des cyber-incidents sur les entreprises, il vaut mieux prévenir que guérir. La mise en application des mesures décrites ci-dessus constitue en tout cas un pas dans la bonne direction.

Expert Informatique assermenté et formateur spécialisé en sécurité Informatique, en cybercriminalité et en déclarations à la CNIL, Denis JACOPINI et Le Net Expert sont en mesure de prendre en charge, en tant qu’intervenant de confiance, la sensibilisation ou la formation de vos salariés afin de leur enseigner les bonnes pratiques pour assurer une meilleure protection juridique du chef d’entreprise.

Contactez-nous

Après cette lecture, quel est votre avis ?
Cliquez et laissez-nous un commentaire…

Source : http://datanews.levif.be/ict/actualite/l-employe-comme-pion-dans-la-lutte-pour-la-cyber-securite/article-opinion-373053.html

La sensibilisation des utilisateurs est la principale clé pour se protéger des pirates informatiques. Il n’est pas trop tard !

L’avis de Denis JACOPINI, Expert informatique assermenté spécialisé en cybercriminalité (arnaques, virus, phishing…) en Direct sur LCI le 23 mai 2016 dans l’émission « Ca nous Concerne » de Valérie Expert.

En mai 2016, Denis JACOPINI nous sensibilisait encore et déjà aux cyber risques.

Nos formations / nos sentibilisations

Toutes nos vidéos

LE NET EXPERT ET DENIS JACOPINI FONT DÉSORMAIS PARTIE
DES PRESTATAIRES DE CONFIANCE DE LA PLATEFORME 

• ACCOMPAGNEMENT RGPD (ÉTAT DES LIEUX ⇒ MISE EN CONFORMITÉ)
  • ANALYSE DE VOTRE ACTIVITÉ
  • CARTOGRAPHIE DE VOS TRAITEMENTS DE DONNÉES
  • IDENTIFICATION DES RISQUES
  • ANALYSE DE RISQUE (PIA / DPIA)
  • MISE EN CONFORMITÉ RGPD de vos traitements
  • SUIVI de l’évolution de vos traitements
• FORMATIONS / SENSIBILISATION :
  • CYBERCRIMINALITÉ
  • PROTECTION DES DONNÉES PERSONNELLES
  • AU RGPD
  • À LA FONCTION DE DPO
• RECHERCHE DE PREUVES (outils Gendarmerie/Police)
  • ORDINATEURS (Photos / E-mails / Fichiers)
  • TÉLÉPHONES (récupération de Photos / SMS)
  • SYSTÈMES NUMÉRIQUES
• EXPERTISES & AUDITS (certifié ISO 27005)
  • TECHNIQUES | JUDICIAIRES | ADMINISTRATIVES
  • SÉCURITÉ INFORMATIQUE
  • SYSTÈMES DE VOTES ÉLECTRONIQUES

Réagissez à cet article