Moyens pour les entreprises de (re)gagner la confiance des clients

Lorsque ces bases ne sont pas respectées, ou si nous téléchargeons et communiquons des informations personnelles via la dernière application incontournable sans être sûrs de sa source, nous prenons simplement un énorme risque avec nos propres informations. Bien que de plus en plus de particuliers prennent conscience de ce qu’ils doivent faire pour sécuriser leurs données, comment pouvons-nous être sûrs que ces dernières sont traitées correctement lorsqu’elles sont communiquées à des entreprises? Afin de regagner la confiance de leurs clients et de l’opinion publique, les entreprises doivent travailler sur plusieurs points.

• Assurer la transparence et la confidentialité des données constamment ;
•  Contrôler et chiffrer les données où qu’elles soient, stockées ou en transit;
• #GDPR : Investir pour respecter la conformitéGDPR :  (GDPR #General Data Protection Regulation / #Projet de règlement européen sur la protection des données personnelles)

Réagissez à cet article

Projet de règlement européen relatif à la protection des données personnelles (en anglais #GDPR #General Data Protection Regulation)

Il s’agit de l’acronyme anglais d’un nouveau règlement européen modifiant le cadre juridique relatif à la protection des données personnelles au sein de l’union européenne, effectif début 2015. Il impactera toutes les entreprises collectant, gérant, ou stockant des données et aura pour but principal de simplifier et harmoniser la protection des données dans les 28 pays de l’union européenne. En cas de non respect du règlement par les entreprises, des amendes allant jusqu’à 20 millions d’euros ou 4% du chiffre d’affaire mondial seront applicables.

L’objectif du GDPR est de faire face aux nouvelles réalités du marché, notamment en matière de protection des données liée aux réseaux sociaux ou encore au cloud computing, Les notions de transferts de fichiers sécurisés et de droit à l’oubli font également parti du GDPR.

Le développement des clouds privés, publics, ou encore de solutions hybrides a compliqué le stockage et le traitement des données au cours de ces dernières années. Le GDPR clarifiera les responsabilités de chaque entreprise en contact avec les données, facilitant ainsi la mise en conformité.

2/ Actuellement, comment les organisations gèrent-elles les impératifs de protection des données ? Existe-t-il des différences en fonction des pays ?

Chaque pays détient sa propre autorité de protection des données pour le moment. Puisque le GDPR est un règlement et non une directive, il s’appliquera directement à tous les pays de l’UE sans avoir besoin de changer les législations nationales.

Le GDPR aura un impact significatif sur les compagnies non-européennes opérant sur le sol européen, puisqu’il s’appliquera aussi bien aux compagnies européennes qu’aux non-européennes commerçant dans l’UE, reflétant ainsi la réalité actuelle : le business est sans frontière.

3/ Quel sera l’impact sur les entreprises ?

Les entreprises devront repenser la manière dont elles collectent, traitent et stockent les données.Il sera obligatoire de tenir à disposition des internautes dont les données sont stockées un texte clair expliquant la politique de sécurisation des données. Les entreprises devront également pouvoir leur fournir toutes leurs données personnelles dans un format simple et transférable via internet. Bien sur le droit à l’oubli devra également rendre possible la suppression rapide de toutes les données. Cette partie du règlement influence déjà certaines sociétés, comme Facebook et Google qui se préparent peu à peu au GDPR.

4/ Les entreprises sont elles prêtes pour la mise en place de ce règlement ?

Il semble que peu d’entreprises soient prêtes. Selon un sondage Ipswitch réalisé fin 2014 sur 316 entreprises européennes, 52% des sondés ont répondu ne pas être prêts. Plus grave encore 56% ne savaient pas exactement à quoi correspond le sigle GDPR.

Par ailleurs, 64 % des personnes interrogées ont reconnu n’avoir aucune idée de la date d’entrée en vigueur supposée de ce règlement. Seules 14 % des personnes interrogées ont pu indiquer clairement que le GDPR est censé entrer en vigueur début 2015.Autre point préoccupant : 79% des sondés font appel à un fournisseur cloud, mais seulement 6% ont pensé à demander à leur prestataire s’il était en règle avec le règlement européen.

5/ Que peuvent faire les entreprises pour s’assurer qu’elles sont en conformité avec le GDPR ?

Plusieurs mesures peuvent être prises pour s’assurer de la conformité de sa structure informatique. Les contrats avec tous les prestataires informatiques, notamment les fournisseurs de services cloud, doivent être passer en revue. Il faut s’assurer que, pour chaque information collectée, une demande de consentement soit effectuée et enfin il est nécessaire de savoir précisément où les données sont stockées.Une fois les processus en règle, l’entreprise pourra demander un certificat européen, valable 5 ans, attestant sa conformité au GDPR.* Enquête en ligne réalisée en octobre 2014 par Ipswitch, à laquelle ont répondu 316 professionnels de l’informatique (104 du Royaume-Uni, 101 de France et 111 d’Allemagne).

Réagissez à cet article

Stocker des données pendant des milliards d’années est désormais possible 

Les données sont sauvegardées sous forme de « nanostructures » gravées sur un disque de verre à l’aide d’un laser ultrarapide, dit « laser femtoseconde ». Le procédé permet d’encoder des informations en cinq dimensions: les trois coordonnées spatiales, la taille et l’orientation des nanostructures. Ces dernières modifient le trajet de la lumière à travers le verre et sa polarisation, ce qui permet ensuite de lire les données sauvegardées en utilisant à cet effet un microscope optique et un polariseur.

© FLICKR/ A HEALTH BLOG

Les pensées humaines dévoilées en temps réel par un ordinateur

Le support, dit « disque 5D », est capable de stocker jusqu’à 360 téraoctets d’information et ce, à des températures allant jusqu’à 1.000°C. Selon les inventeurs de cette technologie, il peut également rester opérationnel pendant 13,8 milliards d’années à une température ambiante.

Les scientifiques de Southampton avaient déjà présenté leur innovation en 2013, mais ils n’avaient à l’époque réussi à enregistrer qu’un fichier texte de 300 kilooctets. Depuis, ce mode de stockage a considérablement évolué, ce qui a permis d’enregistrer en 5D la Déclaration universelle des droits de l’homme, l’Optique de Newton, la Magna Carta et la Bible.

« Il est fascinant de penser que nous avons créé une technologie permettant de sauvegarder et de stocker des documents et des informations pour les générations futures. Grâce à cette technologie nous pouvons être sûrs que notre civilisation, tout ce que nous avons appris ne sera pas oublié », a déclaré le professeur Peter Kazansky, du Centre de recherche en optoélectronique (ORC) de Southampton… [Lire la suite]

Réagissez à cet article

Apple condamné à créer un firmware spécial pour le FBI

À la demande du FBI, un tribunal de Californie a ordonné mardi à Apple de fournir une « assistance technique raisonnable » aux enquêteurs de la police fédérale, qui cherchent à accéder au contenu en clair du téléphone de l’auteur de la tuerie de San Bernardino, Syed Rizwan Farook. Cette attaque terroriste avait fait 14 morts le 2 décembre 2015.

Estimant que ses principes de protection de la confidentialité des données de ses clients étaient indérogeables, Apple avait refusé d’apporter son concours actif au déchiffrement de l’iPhone 5C du suspect, dont le contenu est illisible tant qu’il n’est pas débloqué. La firme de Cupertino se dit de toute façon incapable de déchiffrer le contenu, puisque la clé est générée et stockée sur le téléphone lui-même, et qu’il n’a donc pas davantage la main que les experts en cryptologie des services de renseignement américains.

FAIRE SAUTER LA PROTECTION APRÈS 10 TENTATIVES INFRUCTUEUSES

Mais le FBI a obtenu de la justice qu’Apple l’aide autrement. L’entreprise dirigée par Tim Cook devra fournir une mise à jour du firmware, qui fasse sauter la protection du téléphone contre les tentatives abusives d’accès (il n’est pas précisé comment une telle mise à jour pourrait être installée). En effet le suspect avait activé sur son smartphone la fonctionnalité de sécurité d’iOS qui fait qu’après 10 saisies erronées de codes PIN, le contenu du téléphone est automatiquement effacé.

Apple devra fournir au FBI le moyen de modifier le système iOS sur l’iPhone 5c de Farook, pour que la fonction d’effacement du contenu du téléphone ne soit pas activée. Le FBI espère ainsi opérer par force brute pour deviner le mot de passe à force de tentatives répétées, et ainsi gagner l’accès au contenu en clair du téléphone.

APPLE DEVRAIT FAIRE APPEL
Par ailleurs, toujours dans le même objectif, Apple devra fournir au FBI le moyen de tester rapidement plusieurs combinaisons, pour éviter d’avoir à construire un robot qui tape lui-même lentement les codes les uns après les autres. Avec quatre chiffres pour le code PIN, 10 000 combinaisons sont possibles.

Selon la BBC, Apple devrait toutefois faire appel de la décision. L’entreprise craint certainement que sa coopération soit interprétée comme la fourniture d’un backdoor à l’administration américaine, qui minerait la confiance qu’ont les clients dans la protection apportée par Apple.

« Apple n’a jamais collaboré avec une quelconque autorité publique, de quelque pays que ce soit, afin de créer une « porte dérobée » dans ses produits ou services », peut-on lire sur le site officiel d’Apple. « Sur les appareils sous iOS 8 ou ultérieur, vos données personnelles sont protégées par votre code. En effet, pour ces appareils, Apple ne peut répondre aux demandes d’extraction de données iOS émanant des autorités : les fichiers à extraire sont protégés par une clé de chiffrement liée au code de l’utilisateur, auquel Apple n’a pas accès ».

… [Lire la suite]

Réagissez à cet article

Ransomware – Les Français disposés à payer 190 euros pour récupérer leurs données 

Si vous étiez victime d’un ransomware (ou rançongiciel), paieriez-vous la rançon exigée pour récupérer vos fichiers ou enverriez-vous les cybercriminels promener ? Le fait que vous soyez au travail ou à votre domicile ferait-il une différence ?

Selon une étude, le comportement des victimes de ransomware pourrait bien dépendre du lieu où celles-ci se trouvent lorsque la demande de rançon leur parvient. Ce qui varierait également, c’est le montant de cette rançon.

32% des sondés français paieraient pour leurs fichiers. 
Comme son nom le suggère, le ransomware va chiffrer les fichiers enregistrés sur l’ordinateur compromis. Menaçant les utilisateurs de l’impossibilité de récupérer ces documents, les cybercriminels exigent le versement d’une rançon. Une fois celle-ci versée, promesse serait faite de déchiffrer les données des victimes.

Et d’après une étude de l’éditeur de sécurité Bitdefender, tous les internautes, en fonction de leur nationalité, ne sont pas égaux face à ces logiciels malveillants. Ainsi aux Etats-Unis, 50% des victimes de ransomware ont accepté de payer.

En France ? Cette donnée n’est pas disponible. En revanche, 32% des internautes français interrogés déclarent qu’ils paieraient en cas d’infection. Cette part dépend aussi, très logiquement, de l’importance accordée aux fichiers devenus inaccessibles en raison du chiffrement.

Par exemple, 18% des répondants du Royaume-Uni paieraient pour les documents personnels, 17% pour les photos personnelles et seulement 10% pour les documents liés au travail » détaille BitDefender.

Accepter de payer est une chose, mais quel montant ? Sur ce point aussi, les sommes varient très significativement d’un pays à un autre. Au Royaume-Uni, une victime accepterait de verser jusqu’à 568 dollars, contre 203 dollars en France.

Payer la rançon aide juste les cybercriminels
Un tel comportement consistant à céder aux cybercriminels est-il cependant recommandé ? Catalin Cosoi, responsable de la stratégie sécurité de BitDefender, déconseille de payer. « Alors que les victimes sont généralement enclines à payer la rançon, nous les encourageons à ne pas à se livrer à de telles actions, car cela contribue uniquement à soutenir financièrement les développeurs du malware. »

En janvier, à l’occasion du FIC 2016, le directeur de l’Anssi a évoqué l’infection du ministère des Transports par un ransomware. Et Guillaume Poupard était formel : « On ne paie pas, ce n’est pas une solution raisonnable. »

Pourquoi ? Notamment, car le cybercriminel peut tout à fait choisir de ne pas livrer les clefs nécessaires au déchiffrement des fichiers, et rien ne garantit non plus qu’il ne relancera pas une nouvelle attaque ultérieurement. Les sauvegardes restent donc la meilleure parade face à ces malwares, préconise l’Anssi … [Lire la suite]

Réagissez à cet article

Un #ransomware paralyse un hôpital américain 

La France n’est pas la seule à voir ses infrastructures infectées par les ransomwares. Aux États Unis, le Hollywood Medical Presbyterian Center a été victime d’une attaque similaire à celle relayée dans la presse au ministère des Transports en début d’année.

Le système informatique de l’hôpital a été infecté par des cyberattaquants ayant recours à un malware de type ransomware (ou rançongiciel) : celui-ci chiffre les données contenues sur la machine et les rend inaccessibles à l’utilisateur, qui se voit contraint de verser une rançon afin d’espérer récupérer l’accès à ses fichiers. Sans système de sauvegarde fonctionnel, la situation peut rapidement devenir critique et cela semble être le cas de cet hôpital, dont les services administratifs se retrouvent paralysés depuis une semaine comme le relatent les médias locaux.

Si l’attaque n’a pas entièrement bloqué le traitement des patients, mais environ 900 nouveaux entrants ont été redirigés vers d’autres hôpitaux en attendant que le problème soit résolu.

L’attaque n’est, selon les déclarations du directeur de l’établissement, pas directement ciblée contre l’hôpital. Il s’agirait plutôt d’une attaque classique, issue d’un utilisateur peu précautionneux ou d’une politique de sécurité informatique défaillante.

Néanmoins, plusieurs sources expliquent que les cybercriminels exigent le versement de 9000 bitcoins afin de déchiffrer les données retenues par le malware.

Un plan sans accroc?
Et on avoue être un peu surpris : effectivement, les ransomwares sont une menace en pleine expansion et le ministère des Transports a récemment été victime d’une attaque de ce type. En revanche, le succès de ce nouveau type de menace tient à un modèle économique bien rodé. Les auteurs d’attaques par ransomware visent généralement un large panel de cibles et demandent des rançons relativement modérées, afin de s’assurer que les victimes pourront les payer.

9000 bitcoins, même pour un hôpital de grande taille, paraissent être une somme inhabituelle pour une demande de rançon. Cela ne représente pas moins de 3,6 millions de dollars. L’information n’a pas été confirmée par les sources officielles en charge du dossier ou par la communication de l’hôpital, prudence donc avant de tirer des conclusions hâtives. Gageons que si cette information venait à se vérifier, le FBI ne conseillera pas de simplement payer la rançon pour résoudre le problème.

Rançon extravagante ou non, les dégâts sont réels pour l’hôpital : le directeur explique ainsi que les formalités administratives et le renseignement des dossiers médicaux se fait maintenant à la main en attendant que le système informatique soit rétabli… [Lire la suite]

Réagissez à cet article

Comment motiver vos salariés par l’e-réputation ?

Parmi les canaux de communication autour de la marque employeur, il y a ceux que l’entreprise peut directement maîtriser (le site web, le profil LinkedIn, etc.) et ceux sur lesquels elle n’a pas la main (les comptes personnels des collaborateurs sur les réseaux sociaux). Or, les avis des collaborateurs sont considérés comme plus fiables que la communication officielle. Il est plus naturel de faire confiance à des témoignages individuels qui seront, à tort ou à raison, considérés comme plus authentiques.

En dépit de ce constat, beaucoup d’entreprises tardent à « numériser » leur marque employeur et subissent leur e-réputation plus qu’ils ne la construisent. Seules 28 % des entreprises (enquête StepStone) donnent une place centrale à la communication numérique au cœur de leur stratégie. Pourtant, beaucoup ont conscience de l’importance de celle-ci sur le recrutement puisque 79 % des employeurs prévoient de s’investir dans cette direction.

Pour commencer, il serait judicieux d’identifier, en interne, les collaborateurs engagés et volontaires et de les inviter à participer à la communication numérique sur la marque employeur. Il convient aussi d’encourager, former et conseiller les moins sensibilisés à la question.

L’usage des réseaux sociaux par les employés

En 2014, encore 20 % des salariés français n’étaient pas présents sur les réseaux sociaux selon l’étude Cegos sur l’impact du digital dans l’entreprise. Soit par manque d’intérêt, soit par crainte de divulguer leurs informations personnelles.

Si les 80 % restants eux, utilisent les réseaux sociaux, beaucoup en ont avant tout un usage personnel et peu y voient une utilité professionnelle. Parmi ceux qui ont décidé d’en faire un outil de travail cependant, on retrouve en grande majorité des cadres, des dirigeants et des managers. Les raisons d’utiliser les réseaux sociaux dans un but professionnel sont pourtant multiples :

• Entretenir et agrandir son réseau professionnel
• Exercer une veille professionnelle
• Rechercher un emploi / recruter de nouveaux collaborateurs
• Etc.

30 % des directeurs et managers s’en serviraient même pour « véhiculer une image positive de leur entreprise » !

Malgré cette tendance à communiquer sur leur entreprise, les salariés sont méfiants : 38 % craignent des répercussions de la part de leur employeur. Et pour cause, nous avons tous entendu parler de cas de licenciements, abusifs ou non, suite à des messages publiés par des usagers imprudents…

Paradoxalement, les salariés acceptent de plus en plus d’être en relation avec leur hiérarchie et leurs collègues sur les réseaux sociaux. 46 % d’entre eux seraient « amis » avec leur patron ou certains membres de la direction !

L’importance d’un accompagnement

Plus d’un salarié sur trois publierait des informations à propos de son entreprise sur les réseaux sociaux. Ces messages vont de simples appréciations sur les produits ou services proposés par l’entreprise à la diffusion d’informations confidentielles, en passant par des avis donnés sur la stratégie, le cadre de vie, l’ambiance, etc. Les salariés s’expriment de plus en plus au sujet de leur entreprise sur internet et cela peut être une force autant qu’une faiblesse pour la réputation de l’employeur.
Les conséquences sur l’e-réputation peuvent être importantes si des dispositifs d’accompagnement ne sont pas mis instaurés. Dans les faits, seuls 6 % des entreprises ont remis un guide de bonnes pratiques sur les réseaux sociaux et 9 % auraient organisé des réunions d’information sur le sujet.

Il serait pourtant temps d’y penser ! On identifie 3 conséquences majeures d’une mauvaise e-réputation sur la marque employeur :

• Un problème de recrutement (une entreprise dont l’image est mauvaise sur Internet n’apparaît pas comme attractive)
• Une démotivation du personnel
• Une augmentation des coûts due à la création d’un poste spécifique de chargé de veille et e-réputation

Une bonne e-réputation apporte de bons candidats

Dans leur recherche d’emploi, les candidats se renseignent sur la réputation de l’entreprise avant de postuler. Ils se rendent sur les sites web et les comptes officiels des entreprises sur les réseaux sociaux en premier lieu.

L’une des premières conséquences d’une mauvaise réputation pour une entreprise est économique. Pour travailler dans une société à la réputation “peu séduisante”, les candidats réclament un supplément salariat minimum de 5 %, selon une étude de LinkedIn sur la marque employeur, publiée en septembre dernier.

Par ailleurs, plus d’un tiers des candidats français refuseraient catégoriquement un poste dans une entreprise affligée d’une mauvaise réputation employeur, quel que soit le supplément salarial proposé.

60 % des salariés à plein temps affirment que la perception d’une entreprise qu’ils connaissent peut s’améliorer s’ils entendent ou lisent des commentaires positifs de la part de personnes travaillant dans leur secteur d’activité. De quoi confirmer que les collaborateurs sont bel et bien les meilleurs ambassadeurs de la marque employeur… [Lire la suite]

Réagissez à cet article

Un site Internet pour le règlement en ligne des litiges

Pour l’utiliser, vous devez vivre dans l’Union Européenne et le professionnel concerné doit y être établi

Les professionnels de certains pays peuvent également utiliser ce site pour déposer plainte contre un consommateur concernant un bien ou service vendu en ligne. … [Lien vers le site https://webgate.ec.europa.eu]

Réagissez à cet article

Comment un pirate a fait pour pirater Le FBI ?

Sur le site qui a dévoilé l’affaire en premier il est intéressant de suivre le récit de l’attaquant qui a réussi à pirater le système.

Tout a commencé lorsqu’il a réussi à avoir accès à un compte email appartenant à sa victime, un employé du département de la justice. Il n’explique pas comment il a pu obtenir cet accès mais a pu utiliser le compte puisqu’il est rentré en contact avec le journaliste par ce biais.

Le département de la justice a fourni le code

A partir du compte le hacker a tenté de se connecter, sans succès dans un premier temps, au portail intranet du département de la Justice. Devant cet échec, il a ensuite directement pris contact avec le support du service prétextant être nouveau et n’arrivant pas à accéder au portail. Son correspondant l’a simplement questionné pour savoir s’il était en possession du code de sécurité et, constatant que ce n’était pas le cas, lui en a fourni un sans difficulté.

Une fois connecté au service, le pirate a ensuite pu prendre la main à distance sur l’ordinateur personnel de sa victime. C’est ce qui lui a permis de récupérer les données, dont les noms et informations de contacts de 22000 employés du FBI. Sur 1 To de fichiers, seuls 200 Go seraient passés entre les mains du pirate qui dit détenir des documents incluant des informations de contact de militaires et des numéros de cartes de crédit.

Un compte email est relativement simple à pirater puisqu’il s’agit la plupart du temps de deviner ou dérober le mot de passe grâce à des méthodes d’ingénierie sociale. Des protections supplémentaires existent pourtant, la plupart des services proposent notamment un système de double authentification qui nécessite la saisie d’un code reçu par SMS en plus du mot de passe… [Lire la suite]

Réagissez à cet article

Comment maîtriser sa réputation sur Internet ?

Tout ce que nous communiquons volontairement ainsi que l’ensemble des données issues d’autres interlocuteurs constituent une masse d’informations visibles et disponibles qui forgent une image de soi sur le net et construisent la perception des internautes sur notre identité.

Pourquoi l’utiliser ?
Gérer sa e-réputation est désormais devenu incontournable : il s’agit de réfléchir à l’image que l’on souhaite développer, aux messages que nous délivrons, aux modes de communication adéquats pour notre objectif. Faire de la veille sur sa e-réputation nécessite également une analyse claire et étayée de ce que disent et pensent les internautes de nous.

Il n’y a pas de moment précis pour développer sa e-réputation : c’est un travail de tous les jours et de longue haleine. Néanmoins, certains contextes ou périodes stratégiques (par exemple des entretiens avec des chasseurs de tête ou des directeurs de ressources humaines) sont des moments clé pour se googliser !

Comment l’utiliser ?
7 étapes pour maîtriser son identité en ligne :

• Définir sa stratégie de communication personnelle : votre Personal Branding, vos messages phares, les personnes ou organismes à atteindre et les meilleurs canaux de communication à utiliser.
• Élaborer sa net strategy : sur quels outils web voulez-vous apparaître ? Faut-il créer de nouveaux supports ? Par exemple, vous pouvez être présents sur les réseaux sociaux professionnels existants tels que Viadeo LinkedIn mais également créer vote blog personnel pour mettre en avant votre expertise.
• Se construire un  » personnage  » : choisissez les mots-clés et les images qui vous représentent.
• Faire vivre son identité numérique et sa  » marque  » par une présence régulière et un mode de communication identifiable.
• Décider d’être présent (ou pas) sur les différents réseaux sociaux personnels et professionnels et personnaliser les préférences et paramètres de sécurité ou confidentialité : maîtrisez au mieux votre image et la visibilité de vos informations.
• Ne pas hésiter à supprimer ou bannir des utilisateurs si nécessaire.
• Faire de la veille et regarder régulièrement comment on apparaît dans les moteurs de recherche. Analysez les commentaires que les autres font de vous et réagissez !

Gérer sa e-réputation est un exercice d’analyse et de diagnostic des résultats positifs, neutres ou négatifs qui apparaissent quand on recherche son nom sur les principaux moteurs de recherche. Avoir du contenu positif qui apparaît sur la première page d’un moteur de recherche comme Google contribue à asseoir votre image et à véhiculer des éléments positifs potentiellement contributeurs du succès ou de nouveaux business. Si un bad buzz vous concernant apparaît, le détecter rapidement grâce à la veille permet de réagir et de répondre à vos détracteurs en mettant en oeuvre les actions correctrices utiles…. [Lire la suite]

Réagissez à cet article