Mettre son entreprise en conformité avec la CNIL, secrets et mode d’emploi

– Quels sont les étapes indispensables et les pièges à éviter pour que cette mise en conformité ne se transforme pas en fausse déclaration ?

Nous organisons régulièrement des actions de sensibilisation ou de formation au risque informatique, à l’hygiène informatique, à la cybercriminalité et à la mise en conformité auprès de la CNIL. Nos actions peuvent aussi être personnalisées et organisées dans votre établissement.
Besoin d’informations complémentaires ?

Contactez-nous

Denis JACOPINI
formateur n°93 84 03041 84

Accompagnant depuis 2012 de nombreux établissements, Denis JACOPINI, Expert informatique diplômé en cybercriminalité, certifié en gestion des risques sur les systèmes d'information (ISO 27005) et formé par la CNIL depuis 2011 sur une trentaine de thèmes, est en mesure de vous accompagner dans votre démarche de mise en conformité RGPD.

   

---

Besoin d'un expert pour vous mettre en conformité avec le RGPD ?

Contactez-nous

---

Accompagné de son équipe d'auditeurs et de formateurs, notre Expert, Denis JACOPINI est spécialisé en cybercriminalité et en protection des Données à Caractère Personnel, formateur depuis 1998 et consultant depuis 1996. Avec bientôt une expérience d'une dizaine d'années dans la mise en conformité avec la réglementation relative à la Protection des Données à Caractère Personnel, de formation d'abord technique, Correspondant CNIL en 2012 (CIL : Correspondant Informatique et Libertés) puis en 2018 Délégué à la Protection des Données, en tant que praticien de la mise en conformité et formateur, il lui est ainsi aisé d'accompagner les organismes dans leur démarche de mise en conformité avec le RGPD.

« Mon objectif, vous assurer une démarche de mise en conformité validée par la CNIL.  ».

 

 

Nous vous aidons à vous mettre en conformité avec le RGPD de 2 manières :

  

Quelques articles sélectionnés par nos Experts :
Comment se mettre en conformité avec le RGPD
Accompagnement à la mise en conformité avec le RGPD de votre établissement
Formation RGPD : L’essentiel sur le règlement Européen pour la Protection des Données Personnelles
Comment devenir DPO Délégué à la Protection des Données
Des guides gratuits pour vous aider à vous mettre en conformité avec le RGPD et la CNIL
Mise en conformité RGPD : Mode d’emploi
Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016
DIRECTIVE (UE) 2016/680 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 27 avril 2016
Comprendre le Règlement Européen sur les données personnelles en 6 étapes
Notre sélection d'articles sur le RGPD (Règlement Européen sur la Protection des données Personnelles) et les DPO (Délégués à la Protection des Données)

 

---

[block id="24761" title="Pied de page HAUT"]

---

 

Source : Denis JACOPINI

Les conseils pour faire connaître son site Internet et les outils pour Webmasters

Pourquoi supprimer vos données personnelles si vous rendez votre ordinateur professionnel à votre employeur ?

Imaginez, votre ordinateur, protégé ou non, tombe entre les mains d’une personne malveillante. Il pourra :

• Accéder à vos documents et découvrir les informations qui peuvent soit être professionnelles et être utilisées contre vous, soit personnelles permettant à un voyou de les utiliser contre vous soit en vous demandant de l’argent contre son silence ou pour avoir la paix ;
• Accéder aux identifiants et mots de passe des comptes internet que vous utilisez (même pour des sites Internet commençant par https) et ainsi accéder à nos comptes facebook, twitter, dropbox… ;
• Avec vos identifiants ou en accédant à votre système de messagerie, le pirate pourra facilement déposer des commentaires ou envoyer des e-mails en utilisant votre identité. Même si l’article 226-4 du code pénal complété par la loi LOPPSI du 14 mars 2011 d’un article 226-4-1,  l’usurpation d’identité numérique est un délit puni de deux ans d’emprisonnement et de 20 000 euros d’amende, il sera fastidieux d’une part pour vous, de prouver que vous n’êtes pas le véritable auteur des faits reprochés, et difficile pour les enquêteurs de retrouver le véritable auteur des faits.

Ne pas effacer ses données personnelles sur l’ordinateur que l’on rend, donne, vend, c’est laisser l’opportunité à un inconnu de fouiller dans vos papier, violer votre intimité et cambrioler votre vie.

Pire ! vous connaissez bien le donataire de votre matériel et vous savez qu’il n’y a aucun risque qu’il ait des intentions répréhensibles. Mais êtes vous certain qu’il sera aussi prudent que vous avec son matériel ?
Êtes-vous prêt à prendre des risques s’il perdait ce matériel ?
Dormiriez-vous tranquille si vous imaginiez que votre ancien ordinateur est actuellement sous l’emprise d’un pirate informatique prêt à tout pour tricher, voler et violer en utilisant votre identité ?

Original de l’article mis en page : 5 applications pour effacer des données de façon sécurisée – ZDNet

Denis JACOPINi en direct sur LCI : « Les fraudeurs ont toujours une longueur d’avance – MYTF1News 

En direct sur LCI avec Serge Maître Maître, président de l’AFUB (Association Française des Usagers des Banques) et Nicolas CHATILLON, Directeur du développement-fonctions transverses du groupe BPCE et Denis JACOPINI, Expert informatique assermenté spécialisé en cybercriminalité débattent sur les techniques des cybercriminels pour vous pirater votre CB.

http://lci.tf1.fr/france/societe/cartes-bancaires-les-fraudeurs-ont-toujours-une-longueur-d-avance-8722056.html

Réagissez à cet article

Pourquoi, malgré le danger connu, cliquons nous sur des e-mails d’expéditeurs inconnus ?

Le site d’information Français Pure Player Atlantico à interrogé à ce sujet Denis JACOPINI, Expert Informatique assermenté spécialisé en cybercriminalité et en protection des données personnelles

Atlantico :

Pourquoi donc, selon vous, le font-ils malgré tout ? Qu’est-ce qui rend un mail d’un inconnu si attirant, quitte à nous faire baisser notre garde ?

Denis JACOPINI :

Ça-vous est très probablement déjà arrivé de recevoir un e-mail provenant d’un expéditeur anonyme ou inconnu.

Avez-vous résisté à cliquer pour en savoir plus ? Quels dangers se cachent derrière ces sollicitations inhabituelles ? Comment les pirates informatiques peuvent se servir de nos comportements incontrôlables ?

Aujourd’hui encore, on peut comparer le courrier électronique au courrier postal.

Cependant, si l’utilisation du courrier postal est en constante diminution (-22% entre 2009 et 2014), l’usage des messages électroniques par logiciel de messagerie ou par messagerie instantanée a lui par contre largement augmenté.

Parmi les messages reçus, il y a très probablement des réponses attendues, des informations souhaitées, des messages de personnes ou d’organismes connus nous envoyant une information ou souhaitant de nos nouvelles et quelques autres messages que nous recevons avec plaisir de personnes connues et puis il y a tout le reste, les messages non attendus, non désirés qui s’appellent des spams.

En 2015, malgré les filtres mis en place par les fournisseurs de systèmes de messagerie, il y avait tout de même encore un peu plus de 50% de messages non désirés.

Parmi ces pourriels (poubelle + e-mail) se cachent de nombreux message ayant des objectifs malveillant à votre égard. Les risques les plus répandus sont les incitations au téléchargement d’une pièce jointe, au clic sur un lien renvoyant vers un site Internet piégé ou vous proposer d’échanger dans le but de faire « copain copain » et ensuite vous arnaquer.

La solution : ne pas cliquer sur un e-mail ou un message provenant d’un inconnu, de la même manière qu’on apprend aux enfants de ne pas parler à un inconnu…Pourtant, des millions de personnes en France se font piéger chaque année. Pourquoi ?

A mon avis, les techniques d’Ingenierie sociale sont à la base de ces correspondances. L’ingénierie sociale est une pratique qu exploite les failles humaines et sociales. L’attaquant va utiliser de nombreuses techniques dans le but d’abuser de la confiance, de l’ignorance ou de la crédulité des personnes ciblées.
Imaginez, vous recevez un message ressemblant à ça :

« Objet : changements dans le document 01.08.16

Expéditeur : Prénom et Nom d’une personne inconnue

Bonjour,

Nous avons fait tous les changements necessaires dans le document.

Malheureusement, je ne comprends pas la cause pour la quelle vous ne recevez pas les fichier jointes.

J’ai essaye de remettre les fichier jointes dans le e-mail. »

Dans cet exemple, on ne connaît pas la personne, on ne connaît pas le contenu du document, mais la personne sous-entend un nouvel envoi qui peut laisser penser à une ultime tentative. Le document donne l’impression d’être important, le ton est professionnel, il n’y pas trop de faute d’orthographe… Difficile de résister au clic pour savoir ce qui se cache dans ce mystérieux document.

Un autre exemple d’e-mail ou similaire souvent reçu :

« Objet : Commande – CD2533

Expéditeur : Prénom et Nom d’une personne inconnue

Madame, Monsieur,

Nous vous remercions pour votre nouvelle « Commande – CD2533″.

Nous revenons vers vous au plus vite pour les delais

Meilleures salutations,

VEDISCOM SECURITE »

En fait, bien évidemment pour ce message aussi, la pièce jointe contient un virus et si le virus est récent et s’il est bien codé, il sera indétectable par tous les filtres chargés de la sécurité informatique de votre patrimoine immatériel.

Auriez-vous cliqué ? Auriez-vous fais partie des dizaines ou centaines de milliers de personnes qui auraient pu se faire piéger ?

Un autre exemple : Vous recevez sur facebook un message venant à première vue d’un inconnu mais l’expéditeur a un prénom que vous connaissez (par exemple Marie, le prénom le plus porté en France en 2016). Serait-ce la « Marie » dont vous ne connaissez pas le nom de famille, rencontrée par hasard lors d’un forum ou d’une soirée qui vous aurait retrouvé sur Facebook ?

Dans le doute vous l’acceptez comme amie pour en savoir plus et engager pourquoi pas la conversation…

C’est un autre moyen utilisé par les pirates informatiques pour rentrer dans votre cercle d’amis et probablement tenter des actes illicites que je ne détaillerai pas ici.

Vous rappelez-vous avoir accepté une demande de mise en contact provenant d’un inconnu sur Facebook ? Peut-être que vous ne connaissiez pas les risques, mais qu’est-ce qui vous a poussé à répondre à un inconnu ? La politesse ? La curiosité ?

A mon avis, le principal levier utilisé pour pousser les gens à cliquer sur les emails pour en voir l’objet, cliquer sur les pièces jointes pour en voir le contenu ou cliquer sur les liens pour découvrir la suite, est une des nombreuses failles humaine : la curiosité.

Cette curiosité peut nous faire faire des choses complètement irresponsables, car on connaît les dangers des pièces jointes ou des liens dans les e-mails. Malgré cela, si notre curiosité est éveillée, il sera difficile de résister au clic censé la satisfaire.

Il est clair que la curiosité positive est nécessaire, mais dans notre monde numérique où les escrocs et pirates oeuvrent en masse le plus souvent en toute discrétion et en toute impunité, la pollution des moyens de communication numériques grand public est telle que le niveau de prudence doit être augmenté au point de ne plus laisser de place au hasard. Le jeu vaut-il vraiment la chandelle face aux graves conséquences que peut engendrer un simple clic mal placé ?

Denis Jacopini anime des conférences et des formations et est régulièrement invité à des tables rondes en France et à l’étranger pour sensibiliser les décideurs et les utilisateurs aux CyberRisques (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84).

Nous animons conférences et formations pour sensibiliser décideurs et utilisateurs aux risques en informatique, découvrir et comprendre les arnaques et les piratages informatiques pour mieux s’en protéger et se mettre en conformité avec la CNIL en matière de Protection des Données Personnelles. Nos actions peuvent être personnalisées et organisées dans votre établissement.

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article

10 techniques de cybercriminels pour vous pirater votre carte bancaire

Une puce spécifique et une batterie insérées dans la carte permettent de gérer le changement de CVV toutes les heures, en totale indépendance par rapport à la puce de la carte. En parallèle, les banques émettrices pourront déléguer à Oberthur ou installer chez elles les serveurs fonctionnant avec le même algorithme et permettant ainsi de vérifier que la carte est bien en possession de son propriétaire au moment de l’achat sur internet. Un nouveau moyen de lutte contre la fraude.

Est-ce vraiment efficace ?

Revenons sur les principaux moyens de fraude à la carte bancaire.

1. VOL OU PERTE PHYSIQUE DE LA CARTE BANCAIRE

Exemple :
Vous faire voler votre carte bancaire ou l’égarer ne vous est jamais arrivé ? Vous êtes chanceux. Entre les professionnels de la chipe à l’affût de la moindre inattention et les étourdis comme moi qui ont beaucoup de mal à rester concentré sur ce qu’ils font s’ils ont trop de sollicitations à traiter en même temps, il est tout de même courant qu’on ne retrouve plus sa si précieuse CB. Horreur ! Danger ! Fin du monde ! se dit-on si ça nous arrive.

Le risque :
Il est clair que le nouveau propriétaire d’une carte bancaire perdue ou volée n’a que très peu de temps pour agir. Il pourra rapidement faire des achats sur Internet avec cette bourse malhonnête, ou pourra également revendre cette carte ultra-fraîche sur le DarkNet pour un usage frauduleux similaire.

Pour se protéger :

Par anticipation, vous pourrez gratter le cryptogramme

Si c’est trop tard

Appelez le  0 892 705 705, le serveur interbancaire pour la mise en opposition des Cartes Bancaires.

2°/ COPIE AU DISTRIBUTEUR SOL. : CONFIANCE A PERSONNE DISCRET

Exemple :
Vous allez retirer de l’argent dans un distributeur (isolé la plupart du temps) et faites attention aux regards indiscrets et aux personnages inquiétants pouvant roder autour. Le danger peut venir de là où on ne l’attend pas. En effet, les pirates professionnels peuvent maquiller le distributeur de votre banque avec un appareil enregistrant la bande magnétique de votre carte au moment ou vous l’introduisez (skimmer) et enregistrant le code de votre carte soit par le clavier (piégé) ou par une discrète caméra captant votre code en le filmant par dessus le clavier.

Le risque :
Le pirate agissant ainsi pourra, à partir de la lecture de la bande magnétique reproduire votre carte bancaire et avec le code qu’il vous a discrètement dérobé, reproduire un clone de votre carte. Les informations captées étant numériques, elle peuvent être vendues ou envoyées dans le monde entier.

Pour se protéger :

Prenez l’habitude d’aller dans un distributeur de billets connu.

Si c’est trop tard

Appelez le  0 892 705 705, le serveur interbancaire pour la mise en opposition des Cartes Bancaires.

3°/ VOL CHEZ LES COMMERCANTS

Exemple :
Il a été démantelé à plusieurs reprises en France des réseaux de cybercriminels embauchant dans des bars ou des cafés des serveurs équipés d’appareils portables permettant la copie de la bande magnétique de la carte bancaire.  Puisqu’ils ont la CB dans la main, ils peuvent également recopier le cryptogramme et discrètement vous voir taper votre code.

Le risque :
Il est clair que le nouveau propriétaire d’une carte bancaire dont la piste magnétique a été volée sans que le vrai propriétaire le sache, a tout son temps pour agir. Les informations captées étant numériques, elle peuvent être vendues ou envoyées dans le monde entier.

Pour se protéger :

Ne vous séparez jamais de votre carte sauf pour payer et lorsque vous les avez sous les yeux (la carte et le serveur).

Si c’est trop tard

Appelez le  0 892 705 705, le serveur interbancaire pour la mise en opposition des Cartes Bancaires.

4°/ VOL DES COORDONNÉES PAR NFC

Exemple :
La technique de vol de vos coordonnées bancaires par NFC consiste à utiliser un lecteur de cartes NFC portable, à distance et autonome et à se balader dans des lieux ou la densité de passants est très forte (par exemple dans le métro). L’appareil autonome pouvant aisément être camouflé dans un sac à dos détectera les CB se trouvant dans son rayon de détection, enregistrera les données émises par les CB répondant aux commandes NFC envoyées par l’outil du pirate.

Le risque :
Il est clair que le nouveau propriétaire d’une carte bancaire dont la piste magnétique a été volée sans que le vrai propriétaire le sache, a tout son temps pour agir. Les informations captées étant numériques, elle peuvent être vendues ou envoyées dans le monde entier.

Pour se protéger :

Protégez votre carte bancaire dans une boite ou un coffret metallique (la pochette de protection des boitiers Telepeage peut aussi bien faire l’affaire).

Si c’est trop tard

Appelez le  0 892 705 705, le serveur interbancaire pour la mise en opposition des Cartes Bancaires.

5°/ OUVERTURE D’UN COMPTE EN USURPANT L’IDENTITÉ D’UNE VICTIME

Témoignage
« Au début du mois de septembre, ma colocataire m’a avertie que quelqu’un d'[une banque] voulait me joindre. Comme le numéro que la personne avait laissé était avec un indicatif régional que je ne connaissais pas, j’ai cru qu’on voulait me vendre des produits financiers et j’ai failli ne pas rappeler comme je partais en vacances le lendemain. Finalement, j’ai appelé et le numéro m’amenait directement au département des fraudes. On m’a demandé si j’avais un compte avec [la banque en question] (non), et on m’a dit qu’on suspectait que j’ai été victime d’un vol d’identité. Une personne avait commandé une carte de crédit en ligne en mars, en changeant mon numéro d’appartement et avait fait des transactions pour près de 14 000 $, somme bien sûr qu’elle n’avait jamais remboursée. On m’a suggéré d’aller au poste de police porter plainte et de passer en succursale si je voulais plus d’informations, choses que j’ai faites. »

La Technique
Le fraudeur possédait nos noms, adresses exactes et numéros d’assurance sociale. Il commandait des cartes de crédit en ligne et indiquait les bons noms et les bonnes adresses, à une différence près : il n’indiquait pas le bon numéro d’appartement. De ce fait, nos voisins qui recevaient des lettres qui ne leur étaient pas adressées (mais qui comportaient les cartes de crédit) les laissaient sur les boîtes postales et le fraudeur les ramassait, tout simplement.

Le moyen de se protéger
Lorsque ça arrive, il faut que les gens ne déposent pas des lettres qui ne leur sont pas adressées sur le dessus de leur boîte, mais aillent plutôt les porter directement aux personnes dont les noms apparaissent sur l’enveloppe ou au pire, les remettent dans des boîtes aux lettres de la Poste en indiquant mauvaise adresse.

6°/ INFECTION DES DAB (2003-2015) 

Exemple :
Comme les ordinaeurs, smarphones et tablettes, les distributeurs automatiques de billets ont leur Virus. Dernièrement, en 2015, GreenDispenser, puisque c’est ainsi qu’il est baptisé, vient s’ajouter aux redoutables Suceful, Plotus ou Padpin pour le malheur des banques et de leurs clients. Le virus est introduit dans le D.A.B. (distributeurs automatiques de billets) et va en perturber le fonctionnement au point ou ce dernier distribuera des billets à la demande, sans suivre les procédures pourtant savamment verrouillées.

La Technique
Le fraudeur en fonction du type de DAB vient utiliser une de ses failles pour pouvoir lui faire croire qu’une carte a été rentrée et que de l’argent a demandé d’être retirée sans limite (sauf le stock).

Le moyen de se protéger
C’est aux constructeurs de DAB de mettre à jour et protéger leurs appareils.

http://www.crime-expertise.org/suceful-le-malware-nouvelle-generation

7°/ VOL DES COORDONNEES PAR PHISHING

Exemple :
Chaque seconde, sont envoyés dans le monde un peu plus de 2,5 millions d’e-mails. Cela représente un peu plus de 210 milliards d’e-mails par jour (en moyenne 64 e-mails par jour et par personne). Un peu plus de 56 % représente du SPAM. Cela fait un peu plus de 36 spams par jour et par personne. 11% de ce spam est du Phishing. Cela fait aux alentours de 4 e-mail de phishing (hameçonnage) par jour et par personne, dont le seul but de ces e-mails est de vous récupérer identifiants mots de passe et coordonnées bancaires.

Selon le site Internet « jegardecapourmoi.com », 71 % des attaques d’hameçonnage utilisent le nom et le logo des institutions financières.

La Technique
Se faire passer pour un organisme (financier de préférence) de confiance, prétexter une quelconque bonne raison pour gentiment demander (le plus souvent pour vérification) à la victime de vous communiquer les informations de sa carte bancaire pour pouvoir ensuite les vendre sur le DarkNet ou les utiliser.

Le moyen de se protéger
Apprenez à détecter les e-mails de hameçonnage, de harponnage ou de phishing.

8°/ VOL LORS D’UN ACHAT SUR INTERNET (CLIENT/SERVEUR)

Exemple :
Soit l’ordinateur de la victime est infecté (par un Virus « Man In the Browser »)
Soit la ligne internet est piratée (« Man in the Middle »)
Soit le serveur peut avoir une faille (exemple de « Heart Bleed »)

La Technique
Utiliser une faille de l’équipement informatique du client ou du commerçant pour récupérer les données bancaires,

Le moyen de se protéger
Mettre un logiciel de sécurité à jour

9°/ PIRATAGE DES BASES DE DONNÉES (INJECTION SQL)

Exemple :
Target s’est fait voler 70 millions de données personnelles de ses clients dont 40 millions de coordonnées bancaires.

La Technique
Utiliser une faille des serveurs pour accéder à leur base de données. Les données non protégées peuvent alors être bavardes et riches en informations confidentielles et sensibles tel que des coordonnées bancaires.

Le moyen de se protéger
N’utilisez que des cartes bancaires virtuelles et à usage unique.
N’enregistre jamais vos CB par facilité dans les sites Internet

10°/ PIRATAGE DES ORDINATEURS

Exemple :
Parce qu’il est tellement plus facile de noter les coordonnées de sa carte bancaire dans un fichier dans un ordinateur plutôt que d’essayer de s’en rappeler, ces informations ultra sensibles, si elle ne bénéficient pas d’un soin particulier, ne résisteront pas à la curiosité professionnelle de pirates informatiques.

La Technique
Scruter les disques durs à la recherche de tout  ce qui pourrait ressembler à 16 chiffres.

Le moyen de se protéger
Utilisez un cryptage fort pour sécurités des informations bancaires et sensibles

LA BIOMETRIE AU SECOURS DE LA FRAUDE PAR CARTE BANCAIRE

La Banque Postale se lance dans la biométrie vocale car, en ce début de mois de mars 2016, elle vient d’obtenir l’autorisation de la CNIL (Commission nationale de l’informatique et des libertés) d’utiliser cette technologie de reconnaissance vocale pour sécuriser les paiements en ligne de ses clients. C’est une première en France.

Pour effectuer un paiement sur Internet, le client recevra un appel de la banque pour s’identifier. Il lui suffira alors de prononcer quelques mots pour vérifier son identité. Ensuite il pourra payer.

INFOS DIVERSES

2012 :
560 milliards d’euros de transactions en France;
450 millions d’euros de fraudes (0,08%).

Avant de faire des achats importants, les pirates font de petits dons à des œuvres charitables. Une manière philanthropique de tester la carte. Ensuite, celle-ci servira à toutes sortes de trafics, mondialisés ou locaux.

Les grands commerçants s’équipent désormais de la protection 3D Secure – sans quoi ils subissent le coût de la fraude –, et travaillent à l’obtention du standard de sécurité PCI DSS. Pour obtenir cette certification, l’entreprise subit un check-up complexe (900 points sont contrôlés), mais fondé sur une philosophie simple : tout doit être mis en œuvre pour protéger les données des Cartes bleues des clients.

Une fraude qui a marqué l’actu :

Fin 2008, le président Sarkozy s’était aperçu que de petits montants avaient été prélevés sur son compte pour un total de 170 euros.

Enfin, pour répondre à la question « La protection par cryptogramme dynamique, est-ce vraiment efficace ?« , je répondrais : « Ca dépend ».

Oui dans presque tous les cas pour lesquels le numéro de CB a été dérobé, mais vu que de nombreux pays ne demandent pas le cryptogramme et que certains sites Internet le demandent mais ne le vérifient pas, le consommateur peut se sentir protégé pour des achats qu’il effectue en France et en Europe, mais pas pour des achats effectués ailleurs sauf s’il s’est renseigné sur le respect des normes de sécurité 3DS par la banque du commerçant .

Réagissez à cet article