Les données à caractère personnel du compte personnel de formation encadrées par la CNIL | Denis JACOPINI

Notre métier en RGPD et en CYBER : Auditer, Expertiser, Accompagner, Former et Informer
EXPERTISES VOTES ELECTRONIQUES : Expertise de systèmes de vote électronique et d'élections par Internet MISE EN CONFORMITÉ RGPD & CYBER : Accompagnement de votre établissement à la démarche de mise en conformité avec le RGPD et en CYBERSÉCURITÉ Expertise de systèmes de vote électronique - votes par Internet FORMATIONS & SEMINAIRES RGPD & CYBER ARNAQUES & PIRATAGES : Restez informé sur les techniques utilisées par les pirates informatiques

Isabelle Falque-Pierrotin, présidente de la Commission nationale de l'informatique et des libertés (CNIL)

Les données à caractère personnel du #compte personnel de formation encadrées par la CNIL
À l’instar des données de santé, la gestion des données à caractère personnel par le système d’information du compte personnel de formation (SI-CPF) nécessite d’équilibrer principe de précaution et souplesse. Précisément ce que vient de faire la Commission nationale de l’informatique et des libertés (CNIL) en indiquant la possibilité d’une « autorisation unique ». Explications. 

 

Choisie pour assurer fluidité et rapidité à la gestion des comptes personnels de formation, la dématérialisation de la gestion des droits inscrits ou mentionnés au CPF implique de nombreux acteurs. Parmi ceux-ci, des acteurs de la formation professionnelle non autorisés à traiter les numéros d’inscription des personnes au répertoire national d’identification des personnes physiques du titulaire d’un compte accompagné de son nom.

 

 

Le principe de « l’autorisation unique »

Saisie par le ministre du Travail, de l’Emploi, de la Formation professionnelle et du Dialogue social, la CNIL explique dans sa délibération du 9 juillet 2015 qu’il est toutefois possible de déroger : « dans la mesure où la connexion au SI-CPF est indispensable pour bénéficier d’une formation professionnelle et impose de renseigner le numéro d’inscription […], la Commission a souhaité alléger les formalités ». Aussi devient-il possible pour ces acteurs de bénéficier d’une « autorisation unique de traitements de données à caractère personnel mis en œuvre aux fins de gestion des comptes personnels de formation ».

 

 

Un spectre limité de données

Encadrée, cette autorisation bénéficie aux « organismes de droit privé habilités à intervenir dans le domaine de la formation professionnelle aux fins de mise en œuvre des CPF […] et de se connecter au SI-CPF […] ». Rappelant le concept de données « adéquates, pertinentes et non excessives au regard de la finalité poursuivie », la CNIL énumère de façon limitative les données susceptibles d’être collectées. Ceci, dans cinq domaines : informations personnelles du titulaire du compte ; données correspondantes aux comptes d’heures ; données des dossiers de formation ; passeports d’orientation, de formation et de compétences ; annuaires techniques des gestionnaires des organismes.

 

 

Des données à date de conservation limitée

L’article 3 de la délibération le précise, ces données « peuvent être conservées au maximum un mois à l’issue des opérations requises pour la gestion des comptes personnels de formation ».

Délibération n° 2015-227 du 9 juillet 2015 portant autorisation unique de traitements de données à caractère personnel mis en œuvre aux fins de gestion des comptes personnels de formation – JORF n° 1072 du 28 juillet 2015, texte n° 75 : format PDF – 136 ko

 

 

 

Nous organisons régulièrement des actions de sensibilisation ou de formation au risque informatique, à l’hygiène informatique, à la cybercriminalité et à la mise en conformité auprès de la CNIL. Nos actions peuvent aussi être personnalisées et organisées dans votre établissement.
Besoin d’informations complémentaires ?

Contactez-nous

Denis JACOPINI
Tel : 06 19 71 79 12
formateur n°93 84 03041 84

 

 

Expert Informatique assermenté et formateur spécialisé en sécurité Informatique, en cybercriminalité et en déclarations à la CNIL, Denis JACOPINI et Le Net Expert sont en mesure de prendre en charge, en tant qu’intervenant de confiance, la sensibilisation ou la formation de vos salariés afin de leur enseigner les bonnes pratiques pour assurer une meilleure sécurité des systèmes informatiques et améliorer la protection juridique du chef d’entreprise.

Contactez-nous

 

Cet article vous plait ? Partagez !
Un avis ? Laissez-nous un commentaire !

 

Source : http://www.actualite-de-la-formation.fr/rubriques/syntheses/la-cnil-encadre-la-gestion-des-donnees-personnelles-destinees-au-systeme-d.html

 

 


Qu’est ce qu’un bon mot de passe ? | Denis JACOPINI

Notre métier en RGPD et en CYBER : Auditer, Expertiser, Accompagner, Former et Informer
EXPERTISES VOTES ELECTRONIQUES : Expertise de systèmes de vote électronique et d'élections par Internet MISE EN CONFORMITÉ RGPD & CYBER : Accompagnement de votre établissement à la démarche de mise en conformité avec le RGPD et en CYBERSÉCURITÉ Expertise de systèmes de vote électronique - votes par Internet FORMATIONS & SEMINAIRES RGPD & CYBER ARNAQUES & PIRATAGES : Restez informé sur les techniques utilisées par les pirates informatiques

CNIL sur Twitter :

Qu’est ce qu’un #bon mot de passe ?

Un mot de passe efficace =

  1. Plus de 8 caractères
  2.  sans lien avec son détenteur
  3. MAJUSCULES
  4. ponctuation
  5. chiffres
  6. unique pour chaque site (si possible)

 

Au travers de conférences ou de formations, Denis JACOPINI vous propose de vous sensibiliser, responsable de la stratégie de l’entreprise qui DOIT désormais intégrer le risque informatique comme un fléau à combattre et à enrayer plutôt qu’une fatalité.
Contactez-nous

 

Après cette lecture, quel est votre avis ?
Cliquez et laissez-nous un commentaire…

 

Source : https://twitter.com/cnil/status/545603180487131136

 

 


Le public doit-il être informé qu’il est filmé ? | Denis JACOPINI

Notre métier en RGPD et en CYBER : Auditer, Expertiser, Accompagner, Former et Informer
EXPERTISES VOTES ELECTRONIQUES : Expertise de systèmes de vote électronique et d'élections par Internet MISE EN CONFORMITÉ RGPD & CYBER : Accompagnement de votre établissement à la démarche de mise en conformité avec le RGPD et en CYBERSÉCURITÉ Expertise de systèmes de vote électronique - votes par Internet FORMATIONS & SEMINAIRES RGPD & CYBER ARNAQUES & PIRATAGES : Restez informé sur les techniques utilisées par les pirates informatiques

CNIL Besoin d’aide ? - Vidéoprotection : le public doit-il être informé qu'il est filmé ?

Le public doit-il être informé qu’il est filmé ?
Les personnes filmées dans un espace public (rue, gare, centre commercial, zone marchande, etc.) doivent en être informées, au moyen de panneaux affichés de façon visible comportant :

  • Un pictogramme représentant une caméra ;
  • Le nom ou la qualité et le numéro de téléphone du responsable.
  • Ces panneaux doivent être affichés en permanence dans les lieux concernés et doivent être compréhensibles par tous les publics.

 

 

 

Nous organisons régulièrement des actions de sensibilisation ou de formation au risque informatique, à l’hygiène informatique, à la cybercriminalité et à la mise en conformité auprès de la CNIL. Nos actions peuvent aussi être personnalisées et organisées dans votre établissement.
Besoin d’informations complémentaires ?

Contactez-nous

Denis JACOPINI
Tel : 06 19 71 79 12
formateur n°93 84 03041 84

 

 

Expert Informatique assermenté et formateur spécialisé en sécurité Informatique, en cybercriminalité et en déclarations à la CNIL, Denis JACOPINI et Le Net Expert sont en mesure de prendre en charge, en tant qu’intervenant de confiance, la sensibilisation ou la formation de vos salariés afin de leur enseigner les bonnes pratiques pour assurer une meilleure sécurité des systèmes informatiques et améliorer la protection juridique du chef d’entreprise.

Contactez-nous

 

Cet article vous plait ? Partagez !
Un avis ? Laissez-nous un commentaire !

 

Source : http://www.aide.cnil.fr/selfcnil/site/template.do;jsessionid=D6FE4EA8F8C2B622744249AD69FABBA1?name=Vid%C3%A9oprotection+%3A+le+public+doit-il+%C3%AAtre+inform%C3%A9+qu%27il+est+film%C3%A9+%3F&id=410

 

 


6 conseils pour éviter la contamination du réseau par des ransomwares | Denis JACOPINI

Notre métier en RGPD et en CYBER : Auditer, Expertiser, Accompagner, Former et Informer
EXPERTISES VOTES ELECTRONIQUES : Expertise de systèmes de vote électronique et d'élections par Internet MISE EN CONFORMITÉ RGPD & CYBER : Accompagnement de votre établissement à la démarche de mise en conformité avec le RGPD et en CYBERSÉCURITÉ Expertise de systèmes de vote électronique - votes par Internet FORMATIONS & SEMINAIRES RGPD & CYBER ARNAQUES & PIRATAGES : Restez informé sur les techniques utilisées par les pirates informatiques

6 conseils pour éviter la contamination du réseau par des ransomwares

6 conseils pour #éviter la contamination du réseau par des ransomwares
6 conseils pour éviter la contamination du réseau par des ransomwaresUne étude réalisée par Bitdefender aux États-Unis montre que les APT (Advanced Persistent Threats), le spear phishing et les ransomware sont les types d’incidents les plus craints dans les entreprises.

 

Cette étude montre, en effet, qu’en termes d’importance, les APT (techniques complexes d’intrusion réseau) sont en tête des préoccupations : 19,7% des managers interrogés les estiment difficiles à gérer.

Les ransomware arrivent en seconde position (13,7%) avec les rootkits. Ces derniers préoccupent plus les DSI que les menaces 0-day.

Le Spear Phishing (des e-mails soigneusement préparés, destinés à des individus spécifiques au sein de l’entreprise) sont mentionnées par à peu près 13% des personnes interrogées. Reste qu’il s’agit là d’une des techniques les plus utilisées pour pénétrer la sécurité de l’entreprise et diffuser des malwares.

Quant aux incidents générés par le BYOD (Bring Your Own Device, l’utilisation de son appareil personnel dans le cadre du travail) et aux vulnérabilités zero-day, ils semblent moins inquiétants, puisque 11,3% des personnes interrogées voient le BYOD comme un risque potentiel pour leur entreprise, tandis que 10,3% des managers pensent que les attaques zero-day sont sources de menaces pour la sécurité de leur entreprise.

BitDefender fait donc 6 recommandations pour que les entreprises puissent limiter les risques d’infection :

  1. Mettre en garde les employés contre les nouvelles menaces et leur expliquer comment déceler un e-mail de spear phishing et d’autres attaques d’ingénierie sociale.
  2. Installer, configurer et maintenir à jour la solution de sécurité de l’entreprise.
  3. Bloquer l’exécution de certains programmes vecteurs d’infections, comme par exemple des logiciels de téléchargement illégal ou de P2P au bureau.
  4. Utiliser un pare-feu pour bloquer les connections entrantes vers des services qui n’ont pas lieu d’être publiquement accessibles via Internet.
  5. S’assurer que les utilisateurs aient les droits les plus faibles possible pour accomplir leurs missions. Lorsqu’une application requiert des droits d’administrateur, il faut être certain que l’application soit légitime.
  6. Activer la restauration système afin de retrouver les versions précédentes des fichiers qui ont été chiffrés, une fois que la désinfection a eu lieu.

 

 

Nous organisons régulièrement des actions de sensibilisation ou de formation au risque informatique, à l’hygiène informatique, à la cybercriminalité et à la mise en conformité auprès de la CNIL. Nos actions peuvent aussi être personnalisées et organisées dans votre établissement.
Besoin d’informations complémentaires ?

Contactez-nous

Denis JACOPINI
formateur n°93 84 03041 84

 

 

Expert Informatique assermenté et formateur spécialisé en sécurité Informatique, en cybercriminalité et en déclarations à la CNIL, Denis JACOPINI et Le Net Expert sont en mesure de prendre en charge, en tant qu’intervenant de confiance, la sensibilisation ou la formation de vos salariés afin de leur enseigner les bonnes pratiques pour assurer une meilleure sécurité des systèmes informatiques et améliorer la protection juridique du chef d’entreprise.

Contactez-nous

 

Cet article vous plait ? Partagez !
Un avis ? Laissez-nous un commentaire !

 

Source : http://www.itrmobiles.com/index.php/articles/157764/6-conseils-eviter-contamination-reseau-ransomwares.html

 

 


Piratage de votre boite mail, quelles peuvent être les conséquences sur votre vie personnelle

Piratage de votre boite mail, quelles peuvent être les conséquences sur votre vie personnelle
Votre boite mail est souvent la clé qui permet d’accéder ou de vous inscrire aux services en ligne.Raison de plus pour la sécuriser au maximum ! 

Sécuriser sa boite email

Pour votre boite mail : un mot de passe solide

Vous devez utiliser un mot de passe propre et unique pour vous connecter à votre webmail et surtout ne pas l’utiliser pour un autre compte.

 

Pourquoi c’est important ?

Utiliser le même mot de passe pour votre compte de messagerie et votre compte de réseau social est une pratique risquée. Si votre fournisseur de réseau social est victime d’une fuite de données comprenant vos moyens d’authentification, une personne mal intentionnée pourrait les utiliser pour non seulement accéder à votre compte de réseau social mais aussi pour accéder à votre messagerie.

De plus, une fois l’accès à votre messagerie obtenu, il deviendra possible de voir la liste des messages d’inscriptions à vos comptes sur différents sites (si vous ne les avez pas supprimés de votre boîte). Il sera ainsi possible de connaître certains de vos identifiants de compte et d’utiliser la fonction d’oubli de mots de passe pour en prendre le contrôle.

 

 

Cette absence de sécurité ou l’utilisation d’un mot de passe faible vous expose à des risques :

  • Usurpation de votre boite mail pour piéger votre liste de contacts ;
  • Ajout d’une redirection de mail (souvent indétectable après la compromission d’une boite mail) : vos emails continuent de fuiter malgré tout changement de mot de passe ultérieur…
  • Connexion du pirate à vos sites et applications tierces ;
  • Utilisation de vos coordonnées bancaires pour payer ;
  • Usurpation d’identité grâce aux données collectées dans votre boite mail ;
  • Demande de rançon suite à des données compromettantes retrouvées dans votre boite mail ;

 

 

[CONSEIL] – En parallèle d’un bon mot de passe :

  • Il est déconseillé d’utiliser sa boite mail en tant qu’espace de stockage, notamment pour les données qui peuvent vous paraitre sensibles et notamment, les bulletin de paie, les justificatifs d’identité envoyés qui peuvent notamment contenir votre adresse postale personnelle, ou les mots de passe échangés en clair. Attention également aux photos qui permettent de vous ré-identifier sur des sites de réseaux sociaux et donnent la possibilité à une personne malveillante de se créer une fausse identité.
  • Il convient de supprimer les emails reçus, envoyés ou enregistrés en tant que brouillon qui paraissent avoir une importance particulière ou de chiffrer les documents que vous mettez en pièce jointe.
  • Enfin pour protéger votre identité, il est recommandé d’utiliser une boite mail sous pseudonyme pour l’inscription à des services que vous jugez intrusifs, ou particulièrement sensibles (site de jeux concours, site de rencontre …).

 

L’initiative

haveibeenpwened est un site conçu par Troy Int, informaticien indépendant. Il recense tous les mails compromis à l’occasion de fuite de données massive. L’utilisateur n’a qu’à entrer son email pour savoir s’il figure dans une base de données piratée et si ses mots de passes sont potentiellement entre les mains de personnes malveillantes.

Notre métier : Vous aider à vous protéger des pirates informatiques (attaques, arnaques, cryptovirus…) et vous accompagner dans vos démarches de mise en conformité avec la réglement Européen relatif à la protection des données à caractère personnel (RGPD).

Denis JACOPINI est Expert Judiciaire en Informatique, Diplômé en Cybercriminalité (Droit, Sécurité de l’information & Informatique légale), Diplômé en Droit de l’Expertise Judiciaire et Risk Manager ISO 27005, spécialisé en Cybercriminalité et en protection des Données à Caractère Personnel.

Par des actions de formation, de sensibilisation ou d’audits dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

 

Réagissez à cet article


5 conseils cyber pour vous protéger en vacances

Notre métier en RGPD et en CYBER : Auditer, Expertiser, Accompagner, Former et Informer
EXPERTISES VOTES ELECTRONIQUES : Expertise de systèmes de vote électronique et d'élections par Internet MISE EN CONFORMITÉ RGPD & CYBER : Accompagnement de votre établissement à la démarche de mise en conformité avec le RGPD et en CYBERSÉCURITÉ Expertise de systèmes de vote électronique - votes par Internet FORMATIONS & SEMINAIRES RGPD & CYBER ARNAQUES & PIRATAGES : Restez informé sur les techniques utilisées par les pirates informatiques

Cyber sécurité : 5 conseils pour protéger toute la famille en vacances - Femme Actuelle

5 conseils cyber pour vous protéger en vacances
Les attaques sur internet ne prennent pas de vacances, il faut être vigilant toute l’année. Protégez vos ordinateurs, installez un anti-virus et suivez nos conseils.

L’été bat son plein et chaque année les Français s’exposent sans le savoir à de nombreux cyber risques pendant les vacances. Norton by Symantec souligne l’importance de rester vigilant lorsque vous êtes connecté à internet et propose ci-dessous une liste de 6 conseils, utiles pour toute la famille :

 

En voyage, sur quel réseau WiFi se connecter en toute sécurité ?
Sans solution sécurité et VPN ou sur un accès Wi-Fi ouvert, un internaute/mobinaute, ainsi que ses enfants, peuvent être confrontés à certains risques…

 

Enfants sur internet : rester vigilant même pendant les vacances
De nombreuses plateformes d’hébergement de contenu vidéos notamment permettent de configurer un contrôle parental, également, ne pas hésiter à prendre connaissance du contenu consulté par les plus jeunes.

 

Modifier régulièrement ses mots de passe
Il est d’importance critique d’avoir un mot de passe complexe ou d’utiliser un gestionnaire de mot de passe pour éviter d’être victime d’une usurpation d’identité. Le bon réflexe est donc de créer des mots de passe forts et uniques qui ne peuvent être facilement devinés, voire, d’utiliser un gestionnaire de mots de passe tel que Identity Safe de Norton…

 

Les logiciels et applications doivent toujours être à jour
Plusieurs menaces peuvent être contrées par de simples mises à jour de vos applications et appareils…

 

Effectuer une sauvegarde physique et dans le cloud de ses données.
Que ce soit le contenu qui reste à la maison ou le contenu apporté en vacances, le vol d’un appareil s’accompagne du vol des données qu’il contient – il est donc vital d’être en mesure de les récupérer rapidement.

 

Source : Cyber sécurité : 5 conseils pour protéger toute la famille en vacances – Femme Actuelle

 

 

Autres conseils de Denis JACOPINI :

Et comme toujours, attention aux arnaques !

Apprenez à détecter de faux e-mails, de faux sites internet ou des sites internet piégés. Votre meilleur ennemi c’est vous, celui qui est imprudent, qui clique sans vérifier face à un e-mail qui vous fait peur ou qui vous annonce un cadeau…

 

 

Réagissez à cet article

CYBERARNAQUES - S'informer pour mieux se protéger (Le Livre)
Denis JACOPINI Marie Nocenti (Plon) ISBN : 2259264220

Livre CyberArnaques - Denis JACOPINI Marie Nocenti (Plon) ISBN : 2259264220

Denis Jacopini, expert judiciaire en informatique diplômé et spécialisé en cybercriminalité, raconte, décrypte et donne des parades contre toutes les cyberarnaques dont chacun peut être victime.

Il est témoin depuis plus de 20 ans d'attaques de sites Internet, de piratages d'ordinateurs, de dépouillements de comptes bancaires et d'autres arnaques toujours plus sournoisement élaborées.

Parce qu'il s'est rendu compte qu'à sa modeste échelle il ne pourrait sensibiliser tout le monde au travers des formations et des conférences qu'il anime en France et à l'étranger, il a imaginé cet ouvrage afin d'alerter tous ceux qui se posent la question : Et si ça m'arrivait un jour ?

Plutôt que de présenter une longue liste d'arnaques Internet recensées depuis plusieurs années, Denis Jacopini, avec la collaboration de Marie Nocenti, auteur du roman Le sourire d'un ange, a souhaité vous faire partager la vie de victimes d'arnaques Internet en se basant sur des faits réels, présentés sous forme de nouvelles suivies de recommandations pour s'en prémunir. Et si un jour vous rencontrez des circonstances similaires, vous aurez le réflexe de vous méfier sans risquer de vivre la fin tragique de ces histoires et d'en subir les conséquences parfois dramatiques.

Pour éviter de faire entrer le loup dans votre bergerie, il est essentiel de le connaître pour le reconnaître !

Commandez sur Fnac.fr

 

https://www.youtube.com/watch?v=lDw3kI7ra2s

06/04/2018 A l'occasion de la sortie de son livre "CYBERARNAQUES : S'informer pour mieux se protéger",Denis JACOPINI répond aux questions de Valérie BENHAÏM et ses 4 invités : 7 Millions de victimes de la Cybercriminalité en 2010 (Symantec) 13,8 Milions de victimes de la Cybercirminalité en 2016 (Symantec) 19,3 Millions de victimes de la Cybercriminalité en 2017 (Symantec) Plus ça va moins ça va ? Peut-on acheter sur Internet sans risque ? Si le site Internet est à l'étranger, il ne faut pas y aller ? Comment éviter de se faire arnaquer ? Comment on fait pour renifler une arnaque sur Internet ? Comment avoir un coup d'avance sur les pirates informatiques ? Quelle est l'arnaque qui revient le plus souvent ? Denis JACOPINI vous répond sur C8 avec Valérie BENHAÏM et ses invités.

Commandez sur Fnac.fr

https://youtu.be/usg12zkRD9I?list=UUoHqj_HKcbzRuvIPdu3FktA

12/04/2018 Denis JACOPINI est invité sur Europe 1 à l'occasion de la sortie du livre "CYBERARNAQUES S'informer pour mieux se protéger"
Comment se protéger des arnaques Internet

Commandez sur amazon.fr

 

Je me présente : Denis JACOPINI. Je suis l'auteur de ce livre coécrit avec Marie Nocenti, romancière.
Pour ma part, je suis Expert de justice en informatique spécialisé en cybercriminalité depuis 1996 et en protection des Données à Caractère Personnel.
J'anime des formations et des conférences sur le RGPD et la Cybercriminalité pour aider les organismes à se protéger des pirates informatiques et à se mettre en conformité avec la réglementation autour du numérique (dont le RGPD : Règlement Général sur la Protection des Données).

Commandez sur Fnac.fr

 



Recommandations de la CNIL sur les mot de passe (Délibération n° 2017-012 du 19 janvier 2017)

Le mot de passe reste le moyen d’authentification le plus répandu. Alors que les compromissions de bases entières de mots de passe se multiplient, la CNIL a adopté une nouvelle recommandation sur les mots de passe. Elle fixe les mesures minimales à mettre en œuvre.

Authentification par mot de passe : les mesures de sécurité élémentaires | CNIL

Recommandations de la CNIL sur les mot de passe (Délibération n° 2017-012 du 19 janvier 2017)
Le mot de passe reste le moyen d’authentification le plus répandu. Alors que les compromissions de bases entières de mots de passe se multiplient, la CNIL a adopté une nouvelle recommandation sur les mots de passe. Elle fixe les mesures minimales à mettre en œuvre.

 

Basée sur la gestion d’un secret, l’authentification par identifiant et mot de passe est un moyen simple et peu coûteux à déployer pour contrôler un accès.

Toutefois, cette méthode d’authentification présente un niveau de sécurité faible.

Ces dernières années, de nombreuses attaques informatiques ont entrainé la compromission de bases de données entières de comptes et des mots de passe associés. Ces fuites de données ont notamment contribué à enrichir les connaissances des attaquants en matière de mots de passe. Les risques de compromission des comptes associés à cette méthode d’authentification se sont fortement accrus et imposent une vigilance particulière.

 

Les risques liés à la gestion des mots de passe sont multiples et reposent notamment sur :

  1. la simplicité du mot de passe ;
  2. l’écoute sur le réseau afin de collecter les mots de passe transmis ;
  3. la conservation en clair du mot de passe ;
  4. la faiblesse des modalités de renouvellement du mot de passe en cas d’oubli (cas des questions « secrètes »).

 

 

Les principaux risques identifiés au cours du cycle de vie d’un mot de passe

Mots de passe : les risques identifiés au cours de son cycle de vie

Il n’existe pas de définition universelle d’un bon mot de passe, mais sa complexité et sa longueur permettent de diminuer le risque de réussite d’une attaque informatique qui consisterait à tester successivement de nombreux mots de passe (attaque dite en force brute). On considère que la longueur du mot de passe suffit pour résister aux attaques courantes à partir de 12 caractères. Lorsque la taille du mot de passe diminue, des mesures compensatoires doivent être prévues.

phrase2passe

PHRASE2PASSE : UN OUTIL POUR ACCOMPAGNER LES UTILISATEURS

Pour aider les utilisateurs à choisir un mot de passe robuste et un moyen mnémotechnique, la CNIL a développé un outil pour générer un mot de passe à partir d’une phrase.
Le code de cet outil est disponible sous la forme d’une extension logicielle en javascript, afin que vous puissiez l’intégrer dans vos applications.

>Télécharger l’extension

Les exigences de la CNIL

  1. L’authentification par mot de passe : longueur, complexité, mesures complémentaires

Les exigences minimales de la CNIL en termes de taille et de complexité du mot de passe varient en fonction des mesures complémentaires mises en place pour fiabiliser le processus d’authentification : ainsi, si une authentification est basée exclusivement sur un mot de passe, cela implique a minima l’utilisation d’un mot de passe complexe d’au moins 12 caractères composé de majuscules de minuscules, de chiffres et de caractères spéciaux.  Des mesures complémentaires à la saisie d’un mot de passe (restrictions, d’accès, collecte d’autres donnée, support détenu en propre par l’utilisateur) permettent de réduire la longueur et la complexité du mot de passe, car ces mesures permettent d’assurer un niveau de sécurité équivalent au mot de passe seul.

Le tableau ci-dessous fait état des 4 cas d’authentification par mot de passe identifiés par la CNIL dans sa recommandation 

Exemple d’utilisation Longueur minimum Composition du mot de passe Mesures complémentaires
Mot de passe seul FORUM, BLOG 12
  • majuscules
  • minuscules
  • chiffres
  • caractères spéciaux
 Conseiller l’utilisateur sur un bon mot de passe
Avec restriction d’accès
(le plus répandu)		 SITES DE E-COMMERCE, COMPTE D’ENTREPRISE, WEBMAIL 8 Au moins 3 des 4 types suivants :

  • majuscules
  • minuscules
  • chiffres
  • caractères spéciaux
 Blocage des tentatives multiples :
(exemples)

  • Temporisation d’accès au compte après plusieurs échecs
  • « Capcha »
  • Verrouillage du compte après 10 échecs
Avec information
complémentaire		 BANQUE EN LIGNE 5 Chiffres et/ou lettres Blocage des tentatives multiples

+

  • Information complémentaire communiquée en propre d’une taille d’au moins 7 caractères (ex : identifiant dédié au service)

ou

  • Identification du terminal de l’usager (ex : adresse IP, adresse MAC…)
Avec matériel détenu
par la personne		 CARTE BANCAIRE OU TÉLÉPHONE 4 Chiffres Matériel détenu en propre par la personne (ex : carte SIM, carte bancaire, certificat)

+

Blocage au bout de 3 tentatives échouées

 

Dans tous les cas,
le mot de passe ne doit pas être communiqué à l’utilisateur en clair par courrier électronique.

Ces exigences sont des règles minimales. Le contrôle d’accès peut devoir reposer sur des règles plus robustes selon les risques auxquels le système est exposé.

 

 

  1. Sécurisation de l’authentification

Quelles que soient les mesures mises en place, la fonction d’authentification doit être sûre :

  • elle utilise un algorithme public réputé fort ;
  • sa mise en œuvre logicielle est exempte de vulnérabilité connue.

Lorsque l’authentification n’a pas lieu en local, l’identité du serveur doit être contrôlée au moyen d’un certificat d’authentification de serveur et le canal de communication entre le serveur authentifié et le client doit être chiffré à l’aide d’une fonction de chiffrement sûre. La sécurité des clés privées doit être assurée.

 

 

  1. La conservation des mots de passe

Le mot de passe ne doit jamais être stocké en clair. Il doit être transformé au moyen d’une fonction cryptographique non-réversible et sûre, intégrant l’utilisation d’un sel ou d’une clé.

Le sel ou la clé doit être généré au moyen d’un générateur de nombre pseudo-aléatoires cryptographiquement sûr (il utilise un algorithme public réputé fort et sa mise en œuvre logicielle est exempte de vulnérabilité connue).  Il ne doit pas être stocké dans le même espace de stockage que l’élément de vérification du mot de passe.

 

 

  1. Le renouvellement du mot de passe

Renouvellement périodique

Le responsable de traitement veille à imposer un renouvellement du mot de passe selon une périodicité pertinente et raisonnable, qui dépend notamment de la complexité imposée du mot de passe, des données traitées et des risques auxquels il est exposé.

La personne concernée doit être en mesure de changer elle-même son mot de passe. Dans ce cas, les règles afférentes à la création de mots de passe s’appliquent.

Renouvellement sur demande

À la demande de la personne concernée, par exemple en cas d’oubli, le responsable de traitement met en œuvre une procédure de renouvellement du mot de passe.

Si ce renouvellement nécessite l’intervention d’un administrateur, un mot de passe temporaire est attribué à la personne concernée, le changement du mot de passe attribué temporairement lui est imposé lors de sa première connexion.

Si ce renouvellement intervient de manière automatique : le mot de passe ne doit pas être transmis en clair. L’utilisateur doit être redirigé vers une interface dont la validité ne doit pas excéder 24 heures,  lui permettant de saisir un nouveau mot de passe, et ne permettre qu’un seul renouvellement.

Si le renouvellement fait intervenir un ou plusieurs éléments supplémentaires (numéro de téléphone, adresse postale…) :

  • ces éléments ne doivent pas être conservés dans le même espace de stockage que l’élément de vérification du mot de passe ; sinon, ils doivent être conservés sous forme chiffrée à l’aide d’un algorithme public réputé fort, et la sécurité de la clé de chiffrement doit être assurée ;
  • afin de prévenir les tentatives d’usurpation s’appuyant sur le changement de ces éléments, la personne doit être immédiatement informée de leur changement.

Que faire en cas de risque de compromission du mot de passe ?

Si un responsable de traitement de données détecte une violation de données en rapport avec le mot de passe d’une personne,

  • Le responsable de traitement doit notifier la personne concernée, dans un délai n’excédant pas 72 heures ;
  • Il doit imposer à l’utilisateur concerné le changement de son mot de passe lors de sa prochaine connexion ;
  • Il doit lui recommander de veiller à changer ses mots de passe d’autres services dans l’hypothèse où il aurait utilisé le même mot de passe pour ceux-ci.
Faites-nous par de vos remarques

Les professionnels sont invités à remonter à la CNIL les difficultés de mise en œuvre que pourrait poser l’application de cette recommandation. Cette recommandation pourra faire l’objet de révisions et de mises à jour.

 

Texte officiel
> Délibération n° 2017-012 du 19 janvier 2017 portant adoption d’une recommandation relative aux mots de passe

[lire la suite]

Notre métier : Vous aider à vous protéger des pirates informatiques (attaques, arnaques, cryptovirus…) et vous assister dans vos démarches de mise en conformité avec la réglementation relative à la protection des données à caractère personnel.

Par des actions de formation, de sensibilisation ou d’audits dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles



 

Réagissez à cet article


RGPD et Vidéosurveillance dans les écoles : Comment éviter d’être épinglé par la CNIL

Notre métier en RGPD et en CYBER : Auditer, Expertiser, Accompagner, Former et Informer
EXPERTISES VOTES ELECTRONIQUES : Expertise de systèmes de vote électronique et d'élections par Internet MISE EN CONFORMITÉ RGPD & CYBER : Accompagnement de votre établissement à la démarche de mise en conformité avec le RGPD et en CYBERSÉCURITÉ Expertise de systèmes de vote électronique - votes par Internet FORMATIONS & SEMINAIRES RGPD & CYBER ARNAQUES & PIRATAGES : Restez informé sur les techniques utilisées par les pirates informatiques

RGPD et Vidéosurveillance dans les écoles : Comment éviter d’être épinglé par la CNIL
Épinglée en début de semaine pour avoir surveillé ses étudiants en continu, l’école parisienne Itic veut se conformer aux exigences de la Cnil, l’autorité de protection des données personnelles.

 

 

Un établissement supérieur parisien épinglé par l’autorité de protection des données personnelles, la Cnil, pour une vidéosurveillance permanente de ses classes va se mettre en conformité avec les demandes de l’autorité. «Si on nous dit qu’il faut enlever les caméras, on le fera», a expliqué Roger Hagege, cofondateur de l’Institut des techniques informatiques et commerciales (Itic), à l’AFP. «Je veux qu’ils (la Cnil) nous expliquent à quel moment» le besoin de sécurité «s’arrête» face à la nécessité de respecter la vie privée. «Je veux connaître cette limite et je me conformerai à la limite que va nous accorder la Cnil», poursuit-il…[lire la suite]

 

 

Denis JACOPINI vous informe :

Pour sécuriser les accès et éviter les incidents, des caméras sont installées dans les établissements scolaires pour filmer les couloirs, les halls d’entrées, mais aussi la rue. Ces dispositifs doivent respecter différentes règles afin de ne pas porter atteinte à la vie privée des personnes filmées.

Quelles sont ces règles ? Quelles précautions prendre ?

 

Dans quel but ?
Des caméras peuvent être installées à l’intérieur d’un établissement à des fins de sécurité des biens et des personnes (lutte contre les violences entre élèves, les dégradations sur les portes ou murs, les vols, etc). Des caméras peuvent également filmer l’extérieur de l’établissement afin
de renforcer la sécurité de ses abords (prévention d’actes de terrorisme).

 

Quelles précautions prendre lors de l’installation du dispositif ?
Les caméras peuvent filmer les accès de l’établissement (entrées et sorties) et les espaces de circulation. Il est exclu, sauf cas exceptionnels, de filmer les lieux de vie des établissements (cour de récréation, préau, salle de classe, cantine, foyer, etc.) pendant les heures d’ouverture de l’établissement : les élèves comme les enseignants et les autres personnels de l’établissement ont droit au respect de leur vie privée.

La sécurisation des biens et des personnes peut être obtenue par la mise en œuvre de moyens moins intrusifs. L’utilisation de caméras doit rester limitée et constituer un moyen complémentaire à d’autres mesures de sécurité. Seules des circonstances exceptionnelles (établissements scolaires victimes d’actes de malveillance fréquents et répétés) justifient de filmer les élèves et les enseignants en continu.
Dans une école maternelle ou élémentaire, c’est la commune qui décidera, ou non, d’installer des caméras.

La CNIL recommande aux chefs d’établissements concernés d’adopter une « charte d’utilisation de la vidéosurveillance » en impliquant l’ensemble des acteurs (administration,
personnel, représentants des parents d’élèves).

 

Pour compléter votre article, les recommandations de la CNIL sont accessibles sur :
https://www.cnil.fr/sites/default/files/atoms/files/_videosurveillance_etablissements_scolaires.pdf

 

Accompagnant depuis 2012 de nombreux établissements, Denis JACOPINI, Expert informatique diplômé en cybercriminalité, certifié en gestion des risques sur les systèmes d'information (ISO 27005) et formé par la CNIL depuis 2011 sur une trentaine de thèmes, est en mesure de vous accompagner dans votre démarche de mise en conformité RGPD.

Denis JACOPINI DPO n°15945  Denis JACOPINI formateur n°93 84 03041 84 Denis JACOPINI validé et référencé datadock

Besoin d'un expert pour vous mettre en conformité avec le RGPD ?

Contactez-nous

Accompagné de son équipe d'auditeurs et de formateurs, notre Expert, Denis JACOPINI est spécialisé en cybercriminalité et en protection des Données à Caractère Personnel, formateur depuis 1998 et consultant depuis 1996. Avec bientôt une expérience d'une dizaine d'années dans la mise en conformité avec la réglementation relative à la Protection des Données à Caractère Personnel, de formation d'abord technique, Correspondant CNIL en 2012 (CIL : Correspondant Informatique et Libertés) puis en 2018 Délégué à la Protection des Données, en tant que praticien de la mise en conformité et formateur, il lui est ainsi aisé d'accompagner les organismes dans leur démarche de mise en conformité avec le RGPD.

« Mon objectif, vous assurer une démarche de mise en conformité validée par la CNIL.  ».

 

 

Nous vous aidons à vous mettre en conformité avec le RGPD de 2 manières :

Nous animons des Formations sur le RGPD en individuel ou en groupe 
 

Quelques articles sélectionnés par nos Experts :
Comment se mettre en conformité avec le RGPD
Accompagnement à la mise en conformité avec le RGPD de votre établissement
Formation RGPD : L’essentiel sur le règlement Européen pour la Protection des Données Personnelles
Comment devenir DPO Délégué à la Protection des Données
Des guides gratuits pour vous aider à vous mettre en conformité avec le RGPD et la CNIL
Mise en conformité RGPD : Mode d’emploi
Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016
DIRECTIVE (UE) 2016/680 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 27 avril 2016
Comprendre le Règlement Européen sur les données personnelles en 6 étapes
Notre sélection d'articles sur le RGPD (Règlement Européen sur la Protection des données Personnelles) et les DPO (Délégués à la Protection des Données)

 

 

Réagissez à cet article

 

Source : Vidéosurveillance : l’école épinglée par la Cnil se mettra en conformité – Le Figaro Etudiant



Est-ce utile de protéger la WebCam et le microphone de son ordinateur avec de l’adhésif ? | Denis JACOPINI

Notre métier en RGPD et en CYBER : Auditer, Expertiser, Accompagner, Former et Informer
EXPERTISES VOTES ELECTRONIQUES : Expertise de systèmes de vote électronique et d'élections par Internet MISE EN CONFORMITÉ RGPD & CYBER : Accompagnement de votre établissement à la démarche de mise en conformité avec le RGPD et en CYBERSÉCURITÉ Expertise de systèmes de vote électronique - votes par Internet FORMATIONS & SEMINAIRES RGPD & CYBER ARNAQUES & PIRATAGES : Restez informé sur les techniques utilisées par les pirates informatiques

Pourquoi Mark Zuckerberg met du scotch sur la webcam et le micro de son Mac - Tech - Numerama

Est-ce utile de protéger la WebCam et le microphone de son ordinateur avec de l’adhésif ?
Cela peut sembler absurde, mais c’est une mesure de précaution élémentaire, probablement conseillée par la direction en charge de la sécurité de Facebook, sur tous les ordinateurs portables susceptibles d’être attaqués.

 

 

 

En 2013, des chercheurs en sécurité informatique de l’université John Hopkins, aux Etats-Unis, avaient démontré qu’il était possible de prendre le contrôle des webcams des Mac, ce qui est aussi chose fréquente sur les PC.

La firme Symantec avait même alerté, la même année, sur ce qu’elle désignait comme des « creepwares »,« Certaines personnes mettent un morceau d’adhésif sur la webcam de leur portable, peut-être vous-mêmes le faites. Sont-elles trop prudentes, paranoïaques, un peu étranges ? (…)

Beaucoup d’entre nous ont entendu des histoires de gens qui étaient espionnés sur leur ordinateur (…). Mais ces histoires sont-elles vraies et les précautions prises par des gens en apparence paranoïaques sont elles justifiées ? Malheureusement la réponse est oui », écrivait alors Symantec. L’éditeur a même publié une vidéo de prévention :

Source Numerama

 

Réagissez à cet article

 

Quelques articles sélectionnés par notre Expert qui pourraient aussi vous intéresser :
Les 10 conseils pour ne pas se faire «hacker» pendant l’été
Les meilleurs conseils pour choisir vos mots de passe
Victime d'un piratage informatique, quelles sont les bonnes pratiques ?
Victime d’usurpation d’identité sur facebook, tweeter ? Portez plainte mais d’après quel article de loi ?
Attaques informatiques : comment les repérer ?

 

Quel est notre métier ?
Former et accompagner les organismes à se mettre en conformité avec la réglementation numérique (dont le RGPD) et à se protéger des pirates informatiques.

 

Quel sont nos principales activités ?

 

 

 

Denis JACOPINI DPO n°15945  Denis JACOPINI formateur n°93 84 03041 84 Denis JACOPINI validé et référencé datadock
Notre Expert, Denis JACOPINI, est Expert en Informatique assermenté, spécialisé en Cybercriminalité, Recherche de preuves et en Protection des données personnelles. Diplômé en Cybercriminalité (Droit, Sécurité de l’information & Informatique légale), en Droit de l'Expertise Judiciaire et certifié en gestion des risques en Sécurité des Systèmes d'Information (ISO 27005), Denis JACOPINI est aussi formateur inscrit auprès de la DDRTEFP (Numéro formateur n°93 84 03041 84).

« Mon métier consiste à mettre à votre disposition l'expérience que j'ai acquise pendant des dizaines d'années et les connaissances que je maintiens continuellement à jour par des formations, certification et diplômes permanentes car le savoir c'est comme une mise en conformité, c'est une démarche quotidienne qui permet une amélioration sur le long terme.
Denis JACOPINI »

 

 

Besoin d'un Expert ? contactez-nous
 



 

 


Original de l’article mis en page : Pourquoi Mark Zuckerberg met du scotch sur la webcam et le micro de son Mac – Tech – Numerama



Quelles sont les mentions obligatoires sur un site internet ? | Denis JACOPINI

Quelles sont les #mentions obligatoires sur un site internet ?
Tous les sites internet édités à titre professionnel, qu’ils proposent des ventes en ligne ou non, doivent obligatoirement indiquer les mentions légales suivantes :

  • pour un entrepreneur individuel : nom, prénom, domicile
  • pour une société : raison sociale, forme juridique, adresse de l’établissement ou du siège social (et non pas une simple boîte postale), montant du capital social
  • adresse de courrier électronique et numéro de téléphone
  • pour une activité commerciale : numéro d’inscription au registre du commerce et des sociétés (RCS)
  • pour une activité artisanale : numéro d’immatriculation au répertoire des métiers (RM)
  • numéro individuel d’identification fiscale : numéro de TVA intracommunautaire
  • pour une profession réglementée : référence aux règles professionnelles applicables et au titre professionnel
  • nom et adresse de l’autorité ayant délivré l’autorisation d’exercer quand celle-ci est nécessaire
  • nom du responsable de la publication
  • coordonnées de l’hébergeur du site : nom, dénomination ou raison sociale, adresse et numéro de téléphone
  • pour un site marchand, conditions générales de vente (CGV) : prix (exprimé en euros et TTC), frais et date de livraison, modalité de paiement, service après-vente, droit de rétractation, durée de l’offre, coût de la technique de communication à distance
  • numéro de déclaration simplifiée Cnil, dans le cas de collecte de données sur les clients

 

Avant de déposer ou lire un cookie, les éditeurs de sites ou d’applications doivent :

  • informer les internautes de la finalité des cookies,
  • obtenir leur consentement,
  • fournir aux internautes un moyen de les refuser.

La durée de validité de ce consentement est de 13 mois maximum. Certains cookies sont cependant dispensés du recueil de ce consentement.

 

Le manquement à l’une de ces obligations peut être sanctionné jusqu’à un an d’emprisonnement, 75 000 € d’amende pour les personnes physiques et 375 000 € pour les personnes morales.

Remarque : Depuis l’entrée en application du RGPD, Règlement Général sur la Protection des Données), vous devez également prévoir des mentions relatives à la protection des données à caractère Personnel ainsi que prévoir des précautions relatives à la demande de consentement des internautes à utiliser leurs coordonnées.

Consultez notre dossier consacré à la demande de consentement

 

Nous organisons régulièrement des actions de sensibilisation ou de formation au risque informatique, à l’hygiène informatique, à la cybercriminalité et à la mise en conformité auprès de la CNIL. Nos actions peuvent aussi être personnalisées et organisées dans votre établissement.
Besoin d’informations complémentaires ?

Contactez-nous

Denis JACOPINI
formateur n°93 84 03041 84

 

 

Expert Informatique assermenté et formateur spécialisé en sécurité Informatique, en cybercriminalité et en déclarations à la CNIL, Denis JACOPINI et Le Net Expert sont en mesure de prendre en charge, en tant qu’intervenant de confiance, la sensibilisation ou la formation de vos salariés afin de leur enseigner les bonnes pratiques pour assurer une meilleure sécurité des systèmes informatiques et améliorer la protection juridique du chef d’entreprise.

Contactez-nous

 

Cet article vous plait ? Partagez !
Un avis ? Laissez-nous un commentaire !

 

Source : http://vosdroits.service-public.fr/professionnels-entreprises/F31228.xhtml