Les 10 failles de cyber sécurité qui ont marqué l’année 2018

L’intelligence artificielle bouleverse la comptabilité

La RGPD et la relation client : les principaux points d’attention

Pour quels types de traitements est requis une Analyse d’Impact relative à la protection des données (PIA / DPIA) ?

• Traitements de données de santé mis en œuvre par les établissements de santé ou les établissements médico-sociaux pour la prise en charge des personnes ;
• Traitements portant sur des données génétiques de personnes dites « vulnérables » (patients, employés, enfants, etc.) ;
• Traitements établissant des profils de personnes physiques à des fins de gestion des ressources humaines ;
• Traitements ayant pour finalité de surveiller de manière constante l’activité des employés concernés ;
• Traitements ayant pour finalité la gestion des alertes et des signalements en matière sociale et sanitaire ;
• Traitements ayant pour finalité la gestion des alertes et des signalements en matière professionnelle ;
• Traitements des données de santé nécessaires à la constitution d’un entrepôt de données ou d’un registre ;
• Traitements impliquant le profilage des personnes pouvant aboutir à leur exclusion du bénéfice d’un contrat ou à la suspension voire à la rupture de celui-ci ;
• Traitements mutualisés de manquements contractuels constatés, susceptibles d’aboutir à une décision d’exclusion ou de suspension du bénéfice d’un contrat ;
• Traitements de profilage faisant appel à des données provenant de sources externes ;
• Traitements de données biométriques aux fins de reconnaissance des personnes parmi lesquelles figurent des personnes dites « vulnérables » (élèves, personnes âgées, patients, demandeurs d’asile, etc.) ;
• Instruction des demandes et gestion des logements sociaux ;
• Traitements ayant pour finalité l’accompagnement social ou médico-social des personnes ;
• Traitements de données de localisation à large échelle

Comment peut-on savoir si vous êtes chez vous et dans quelle pièce grâce au Wifi ?

Nous avons tous des routeurs Wi-Fi à la maison, ils sont si pratiques pour accéder à Internet. Mais les ondes radio émises par ces appareils trahissent également, de façon involontaire, notre présence dans le foyer.
Des chercheurs des universités de Santa Barbara et Chicago viennent de montrer qu’il suffit de se munir d’un smartphone et d’un plan des locaux ciblés, puis de se balader un peu autour pour savoir si une personne est présente, et parfois même dans quelle pièce. Et cela avec une précision qui dépasse les 87 %. Pour une espion ou un voleur, c’est une information plutôt intéressante….[lire la suite]

La protection des données à caractère personnel dans le monde

Cette carte vous permet de visualiser les différents niveaux de protection des données des pays dans le monde. Vous pouvez afficher les autorités de protection des données à l’aide de l’icône « calque » située en haut à gauche de la carte.

Retenez que les Pays auprès desquels vous pouvez envoyer des données à caractère personnel sans vous poser de questions sont :

• Tous les pays membres de l’UE ou de l’EEE,
• les Départements ou Régions français d’Outre-Mer,
• la Suisse,
• l’Uruguay,
• l’Argentine,
• la Nouvelle Zélande,
• les Iles, Féroé,
• les Terres Australes Françaises,
• Israël.

La Protection des données à caractère personnel dans le monde

Ailleurs, il est interdit d’envoyer des données à caractère personnel sans vous assurer que le destinataire est en adéquation partielle avec la législation française ou européenne relative à la protection des données à caractère personnel.

Le cryptojacking peut-il débarrasser le web de la publicité ? Avis de Denis JACOPINI

La ruée vers l’or immatériel continue. Un rapport publié par la Cyber Threat Alliance fait état d’une augmentation de 459% des attaques dites de « cryptojacking » entre 2017 et 2018. Cette pratique cybercriminelle consiste à exploiter la puissance de calcul d’ordinateurs tiers pour miner des cryptomonnaies.

Pour rappel, le terme « mining » désigne les calculs qui permettent de vérifier les transactions en monnaies virtuelles et de les consigner dans un registre public, la blockchain. Le mining est un procédé long, coûteux en ressources informatiques et néanmoins indispensable. De ce fait, ceux qui s’en acquittent peuvent toucher une récompense financière sous la forme de nouvelles unités de cryptomonnaie.

Suivant ce principe, la recette des cryptojackers est simple : en insérant quelques lignes de code malveillant (CoinHive, par exemple) sur un site web, ils peuvent s’approprier les ressources informatiques des visiteurs à leur insu pour miner. Difficile pour les internautes d’identifier cette spoliation : le seul signe visible est un léger ralentissement de leur machine. En septembre, Europol a décrit cette pratique comme « la nouvelle tendance en matière de cybercrime. »

…

Pour Denis Jacopini, ingénieur expert en cybercriminalité, ce modèle économique à grande échelle sur le web est « parfaitement envisageable : c’est un mode de fonctionnement qui est amené à se généraliser. » Il insiste en revanche sur la nécessité de penser la dimension éthique de cette pratique. Tout site qui envisagerait de rétribuer ses créateurs grâce au minage doit avant tout faire preuve de transparence vis-à-vis de ses utilisateurs…[lire la suite]

Certification des compétences des DPO – Ce que va proposer la CNIL

La certification des personnes physiques

La certification n’est pas obligatoire pour exercer les fonctions de délégué à la protection des données. Ce n’est pas non plus un préalable nécessaire à la désignation auprès de la CNIL. Inversement, il n’est pas exigé d’être désigné en tant que délégué pour être candidat à la certification des compétences du DPO.

Il s’agit d’un mécanisme volontaire permettant aux personnes physiques de justifier qu’elles répondent aux exigences de compétences et de savoir-faire du DPO prévues par le règlement. Acteur clé de la conformité au RGPD, le DPO doit en effet disposer de connaissances spécialisées du droit et des pratiques en matière de protection des données. Le certificat constitue un vecteur de confiance à la fois pour l’organisme faisant appel à ces personnes certifiées mais également pour ses clients, fournisseurs, salariés ou agents.

Les conditions préalables pour accéder à la certification sont précisées à l’exigence 1 du référentiel de certification.

L’agrément des organismes certificateurs par la CNIL

Les organismes certificateurs qui souhaitent délivrer une certification de compétences sur la base du référentiel d’agrément de la CNIL peuvent déposer une demande d’agrément auprès de la CNIL (modalités décrites dans les FAQ). La demande devra respecter les exigences prévues dans le référentiel d’agrément.

Dans l’attente de l’élaboration d’un programme d’accréditation spécifique portant sur la certification de DPO avec le COFRAC, les organismes certificateurs candidats à l’agrément de la CNIL doivent être agréés par un organisme d’accréditation au regard de la norme ISO/CEI 17024:2012 (Évaluation de la conformité – Exigences générales pour les organismes de certification procédant à la certification de personnes) dans un domaine existant.

Le fonctionnement de ce dispositif fera l’objet, au plus tard dans un délai de deux ans à compter de son entrée en vigueur, d’une évaluation en vue d’adapter, le cas échéant, les exigences des référentiels. Les éventuelles modifications du référentiel d’agrément ou du référentiel de certification seront sans incidence sur les certifications ou les agréments qui auront déjà été délivrés.

Ces référentiels pourront être partagés avec les autres autorités de protection européennes au sein du CEPD (Comité européen de la protection des données).

L’agrément de la CNIL n’est obligatoire que pour les organismes qui souhaitent délivrer une certification DPO sur la base du référentiel élaboré par la CNIL. Cela signifie que tout organisme peut néanmoins certifier des DPO sur la base de son propre référentiel de certification, non approuvé par la CNIL, comme c’est déjà le cas aujourd’hui.

[Lien vers la source]

Vers la fin des mots de passe simples

Les mots de passe «admin» et autre «password» risquent bientôt de devoir quitter le hit-parade des plus populaires de la Toile. En vigueur dès 2020, la mesure vise particulièrement les objets connectés qui se multiplient. Cela implique la constitution d’un sésame unique ou d’une procédure de démarrage obligeant le client à générer son propre code lorsqu’il utilise le gadget pour la première fois, explique le site TheRegister….[lire la suite]

Données personnelles – Les WiFi publics sont dangereux

En effet, se connecter à ces réseaux peut être un risque pour vos données personnelles qu’il s’agisse de photos, de pages internet consultées ou pire, de vos informations bancaires.

Ainsi, lorsque vous vous connecterez dans un endroit public à l’avenir pensez à ne pas laisser d’accès à des dossiers partagés, à n’effectuer des paiements que sur des sites sécurisés, ou encore à éviter de cliquer sur des liens disponibles sur les réseaux sociaux de type Twitter, Facebook ou encore Instagram.

Pour ce dernier point, gardez toujours en tête que certaines offres sont justement trop belles pour être vraies.

Pensez également à regarder si les sites sur lesquels vous vous trouvez sont effectivement sécurisés (sites mentionnant dans la barre d’adresse des connexions via HTTPS vs la connexion http, non sécurisée).

Conseil de Denis JACOPINI

Afin de palier au risque des Wifi Publics, nous vous recommandons :

• de partager et d’utiliser l’accès à Internet de votre smartphone en veillant à vérifier que vous êtes au moins en communication 3G, 4G ou +
• d’utiliser un VPN (Virtual Private Network) qui aura pour effet de crypter l’ensemble des échanges Internet entrants et sortants. Notez toutefois que l’utilisation d’un VPN ne protégera pas votre ordinateur contre les intrusions via le Wifi Public. Ainsi, une intrusion étant toujours possible, nous vous recommandons de ne connecter au Wifi Public que des équipements sécurisés avec un logiciel de sécurité,  ne contenant aucune donnée stratégique.
• Si vous n’avez pas le choix et vous devez absolument vous connecter  un Wifi Public pour accéder à votre messagerie par exemple, nous vous recommandons de vérifier que vous vous rendez bien sur un site Internet dont l’URL commence par « https » et de ne réaliser que des échanges non confidentiels sur cette ligne, évitez ainsi de communiquer votre numéro de CB !

Même si on entend beaucoup parler du RGPD qui a pour objectif de protéger nos données à Caractère Personnel, sachez qu’il ne sagît qu’un Réglement et qu’il ne protège pas des pirates informatiques.