Privacy Shield et donnés personnelles : un décret de Trump inquiète

L’accord Privacy Shield, qui présume que les données personnelles des Européens exportées aux États-Unis par des entreprises bénéficient du même degré de protection qu’en droit européen, aura nécessité de longs mois de négociation entre les États-Unis et l’Union européenne avant d’être adopté en juillet dernier.

Si de grands noms du milieu, comme Microsoft, Google et Facebook n’ont pas tardé à s’engager à le respecter — alors que de nombreuses critiques perdurent à son sujet — son application est désormais directement menacée par Donald Trump.

EXCLUSION DES « NON-CITOYENS AMÉRICAINS »

La quatorzième clause du décret «  d’amélioration de la sécurité publique au sein des États-Unis » — le fameux texte anti-immigration de Trump — signé cette semaine par le 45ème président affirme en effet : «  Les agences [comme la NSA et le FBI] devront, dans la mesure permise par la loi en vigueur, s’assurer que leurs politiques de protection des données personnelles excluent les non-citoyens américains et les non-résidents permanents autorisés, des protections offertes par le Privacy Act au regard des informations personnelles identifiables. »

Le rapporteur du Parlement européen en matière de protection de données, Jan Philipp Albrecht, n’a pas caché son inquiétude sur Twitter : « Si cela est confirmé, la Commission européenne doit immédiatement suspendre le Privacy Shield et sanctionner les États-Unis d’avoir violé l’accord ».

LA COMMISSION EUROPÉENNE SE VEUT RASSURANTE

La Commission européenne, elle, a tenu à se montrer rassurante en indiquant que le Privacy Shield ne dépendait pas du Privacy Act, le texte de 1974 qui encadre l’usage des données personnelles de citoyens américains par les agences fédérales : « Nous sommes au courant du décret qui a été adopté. Le Privacy Act américain n’a jamais garanti la protection des données personnelles des Européens. » Cette affirmation contredit pourtant une déclaration antérieure de l’Union européenne à propos du Privacy Act.

Dans une explication de septembre 2015 sur le contenu du Privacy Shield, elle le présentait en effet comme une « extension du cœur des garanties juridiques » fournies par le Privacy Act. L’adoption du Privacy Shield a été permise par le Judicial Redress Act adopté par Barack Obama en 2014, une extension directe des garanties du Privacy Act aux citoyens non-Américains.

L’Union européenne affirme tout de même sa vigilance : « Nous continuerons à suivre de près […] le moindre changement aux États-Unis qui pourrait avoir un impact sur les droits des Européens en matière de protection de leurs données personnelles »…[lire la suite]

Notre métier : Vous aider à vous protéger des pirates informatiques (attaques, arnaques, cryptovirus…) et vous assister dans vos démarches de mise en conformité avec la réglementation relative à la protection des données à caractère personnel.

Par des actions de formation, de sensibilisation ou d’audits dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article

La CyberMenace jihadiste grandit

D’autant qu’ils sont déjà en mesure de trouver, auprès de hackers et de mercenaires de l’ère digitale prêts à tout pour de l’argent, les capacités techniques qui leur manquent pour utiliser internet pour autre chose que de la propagande et du recrutement, ajoutent-ils.
« Daech (acronyme arabe du groupe État islamique), Al Qaïda, tous les groupes terroristes aujourd’hui : nous avons le sentiment que pour l’instant, ils ne disposent pas des compétences offensives cyber », déclare à l’AFP Guillaume Poupard, directeur de l’Agence nationale des systèmes d’information (ANSSI).
« Ces compétences sont compliquées à acquérir, même si ce n’est pas l’arme atomique. Avec quelques dizaines de personnes, un petit peu d’argent mais pas tant que ça, il y a la possibilité d’être efficace. Ils pourraient monter en compétence. Nous avons le sentiment que pour l’instant ils n’y sont pas. Ils ont d’autres soucis, et c’est compliqué pour eux », ajoute-t-il à Lille, où il a participé mercredi au 9e Forum international de la Cybersécurité.

« Les voir à court terme mener des attaques informatiques avec des impacts majeurs, on n’y croit pas trop. En revanche ça pourrait changer très vite. Notre vraie crainte, et on y est peut-être déjà, c’est qu’ils utilisent les services de mercenaires. Ce sont des gens qui feraient tout et n’importe quoi pour de l’argent », ajoute-t-il.

– Inscrit dans l’ADN –
Ce recours par des groupes jihadistes à des sous-traitants informatiques pour monter des cyber-attentats (mise en panne de réseaux électriques, paralysie de réseaux de transport ou de systèmes bancaires, prise de contrôle de sites ou de médias officiels, sabotage à distance de sites industriels critiques, par exemple), le directeur d’Europol, Rob Wainwright, l’évoquait le 17 janvier à Davos.
« Même s’il leur manque des savoir-faire, ils peuvent aisément les acheter sur le darknet (partie d’internet cryptée et non référencée dans les moteurs de recherche classiques qui offre un plus grand degré d’anonymat à ses utilisateurs, ndlr), où le commerce d’instruments de cyber-criminalité est florissant », estimait-il lors d’une table ronde intitulée « Terrorisme à l’âge digital »…[lire la suite]

Notre métier : Vous aider à vous protéger des pirates informatiques (attaques, arnaques, cryptovirus…) et vous assister dans vos démarches de mise en conformité avec la réglementation relative à la protection des données à caractère personnel.

Par des actions de formation, de sensibilisation ou d’audits dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article

Comment protéger un compte avec une clé USB de sécurité (U2F)

Nous ne cesserons de le répéter : la sécurité de vos comptes est primordiale et souvent, il suffit de prendre de petites habitudes pour renforcer considérablement l’accès à vos espaces personnels. Qu’il s’agisse de réseaux sociaux, de sites qui hébergent vos fichiers ou vos projets ou de banque en ligne, vous ne voulez pas que les mots de passe qui protègent ces données personnelles ressemblent de près ou de loin à 123456.

La première étape, la plus simple, est de renforcer son mot de passe. La deuxième, c’est d’activer la double authentification dès que vous le pouvez. Avec cela sur la plupart de vos comptes, vous allez éviter la plupart des ennuis. Mais il existe un autre moyen d’ajouter de sécuriser un compte qui passe par une clé USB de sécurité et le protocole U2F.

Explications

QU’EST-CE QU’UNE CLÉ USB DE SÉCURITÉ ?

Il s’agit d’un objet qui se présente sous la forme d’une clé USB traditionnelle, sauf qu’au lieu de stocker des fichiers, elle contient une puce sécurisée qui renferme une clef chiffrée unique qui vous appartient. Métaphoriquement, on pourrait dire qu’il s’agit d’un équivalent numérique à la clé d’un coffre-fort, qui se base sur le concept de clé publique / clé privée. 

Elles reposent sur un standard ouvert nommé U2F pour Universal Second Factor (Double Facteur Universel) qui a été développé par Google, Yubico et NXP (l’entreprise derrière les puces NFC) et qui est maintenant maintenu par l’alliance FIDO qui regroupe plusieurs entreprises et organismes.

Ces clefs USB sont vendues à partir d’une dizaine d’euros et sont disponibles partout dans le monde. Vous n’avez besoin que d’une clé, qui fonctionnera avec tous les comptes.

COMMENT UNE CLÉ USB PEUT-ELLE PROTÉGER UN COMPTE ?

Une fois que vous avez votre clé USB de sécurité, vous pouvez l’associer à un compte, si l’entreprise propose l’option. Après cela, une fois que vous avez entré votre mot de passe, il vous suffit de brancher votre clé USB à votre ordinateur pour qu’elle transmette votre clé chiffrée au site qui vous authentifie. En pratique, le processus est donc similaire à la vérification en 2 étapes.

Notez que contrairement aux apparences, il ne s’agit pas d’une authentification biométrique par reconnaissance d’empreinte digitale.

POURQUOI CERTAINES CLÉS SONT-ELLES PLUS CHÈRES QUE D’AUTRES ?

La qualité de fabrication, les fonctionnalités (NFC par exemple) et le lieu de construction font varier les prix, pas la sécurité de la puce. Si elle est certifiée FIDO U2F, c’est bon. Une clé comme la Yubikey NEO, construite en Suède ou aux États-Unis, coûte par exemple 44 €.

EN QUOI EST-CE PLUS SÉCURISÉ QUE LA VÉRIFICATION EN 2 ÉTAPES ?

Cette méthode de sécurisation des comptes prend en considération quelque chose de fondamental : l’ingénierie sociale. 6 chiffres qui apparaissent sur l’écran de votre smartphone et que vous devez entrer pour confirmer votre identité, c’est bien, mais imaginez que la personne qui cherche à vous pirater ait accès à une caméra de surveillance derrière vous et puisse lire ces chiffres. Trop tiré par les cheveux ? Imaginez alors qu’un site de hameçonnage particulièrement intelligent parvient à vous faire entrer ces chiffres, pirates aux aguets pour les intercepter. Loin d’être impossible.

De manière générale, on peut considérer que le meilleur mot de passe est celui que vous ne connaissez pas. Même sous la torture, vous serez incapable de donner la clef d’identification contenue dans la puce de votre clef USB…[lire la suite]

Notre métier : Vous aider à vous protéger des pirates informatiques (attaques, arnaques, cryptovirus…) et vous assister dans vos démarches de mise en conformité avec la réglementation relative à la protection des données à caractère personnel.

Par des actions de formation, de sensibilisation ou d’audits dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article

« Fake news » avant l’élection présidentielle

Les autorités prennent les fausses informations au sérieux. Selon L’Express, la direction interministérielle des systèmes d’informations et de communication de l’État (DISIC), le ministère de l’Intérieur et l’Agence nationale de sécurité des systèmes d’information (ANSSI) souhaitent rencontrer les représentants de Facebook, Google, YouTube et DailyMotion. L’objectif est d’éviter la propagation et la mise en avant par le biais des algorithmes de référencement de contenus de désinformation susceptibles de manipuler l’opinion et d’influencer l’élection présidentielle en cas de scrutin serré.

Confirmant les informations de L’Express, l’ANSSI explique à RTL.fr qu’il s’agit d’une « démarche de bon sens, engageante pour personne, permettant de partager nos inquiétudes et notre vision des choses pour voir s’il est possible de trouver des solutions à court terme afin d’éviter les effets pervers de la manipulation de l’information » mais qu’il n’est pas question de mettre en place « un contrôle de l’information ». Une première rencontre informelle est prévue la semaine prochaine entre des représentants de la DISIC et Google. Cette initiative s’inscrit dans un processus plus large visant à anticiper les risques de piratage du scrutin. Fin octobre, l’ANSSI a organisé un séminaire pour sensibiliser les partis politiques à cette menace.

Intox et manipulation

Aux États-Unis, où près d’un Américain sur deux utilise Facebook comme source d’information, le réseau social est accusé d’avoir favorisé l’élection de Donald Trump à la Maison Blanche en laissant proliférer les articles de désinformation sur sa plateforme. De nombreuses voix ont mis en cause ses algorithmes qui font remonter les fausses informations dans les fils d’actualité des utilisateurs en favorisant les contenus viraux suscitant le plus d’engagement. Les détracteurs de la plateforme sociale lui reprochent également d’alimenter une pensée unique sans contradiction possible. Google a été pointé du doigt pour avoir fait remonter sur son moteur de recherche des articles publiés sur des sites de fake news.

En France, Alain Juppé et François Fillon ont subi pendant la campagne pour la primaire de la droite et du centre des attaques sur leur supposée collusion avec des organisations islamistes radicales à travers la diffusion de vidéos sur YouTube et d’articles sur les réseaux sociaux les caricaturant en « Ali Juppé » et « Farid Fillon ». Idem à gauche où Benoît Hamon et Emmanuel Macron sont grimés en « Bilal Hamon » et « Djamel Macron ». La problématique est prise au sérieux par les équipes des candidats. Une page du site internet de François Fillon est désormais dédiée à la lutte contre les rumeurs et les déformations afin de véhiculer la communication officielle du candidat Les Républicains sur les thématiques visées par ces intox.

Une responsabilité limitée

Sous le feu des critiques, Facebook et Google ont modifié les règles de leurs régies publicitaires pour priver les éditeurs de fake news de recettes. Google propose désormais le label « fact check » sur les éditions anglo-saxonnes de Google News. Facebook permet à ses utilisateurs américains de signaler les articles qu’ils considèrent comme mensongers afin qu’ils soient vérifiés par une équipe de journalistes puis assortis d’une mention danger s’ils s’avèrent être des fausses informations. Ce système a été déployé mi-janvier pour la première fois en Europe en Allemagne, où la manipulation des faits par l’extrême-droite inquiète les autorités. Rien n’a filtré pour la France pour l’instant…[lire la suite]

ESET intègre un bouclier anti-ransomware et rejoint « No More Ransom »

De plus, ESET renforce la sécurité de ses utilisateurs en ajoutant une couche de sécurité supplémentaire capable de bloquer les ransomwares. La fonctionnalité est disponible gratuitement et sans intervention de l’utilisateur dès maintenant pour les solutions de sécurité Windows destinées aux particuliers.

Le bouclier anti-ransomware d’ESET contrôle et évalue toutes les applications exécutées en utilisant l’heuristique comportementale. Il bloque activement tous les comportements qui s’apparentent à une attaque par ransomware et peut également forcer l’arrêt des modifications apportées aux fichiers existants (c’est-à-dire leur chiffrement).

Activé par défaut, le bouclier anti-ransomware ne demande l’intervention de l’utilisateur qu’une fois la menace détectée en lui demandant d’approuver ou non son blocage.

Pour plus d’informations à propos de notre bouclier anti-ransomware et de l’implication d’ESET au sein de l’organisation « No More Ransom », n’hésitez pas à nous contacter.

Notre métier : Vous aider à vous protéger des pirates informatiques (attaques, arnaques, cryptovirus…) et vous assister dans vos démarches de mise en conformité avec la réglementation relative à la protection des données à caractère personnel.

Par des actions de formation, de sensibilisation ou d’audits dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article

Nasty Android Malware that Infected Millions Returns to Google Play Store

80 % des entreprises françaises ont constaté au moins une cyberattaque dans l’année

Le verre à moitié vide ou à moitié plein donc, puisque même si la moitié des RSSI se disent faire confiance à leur système de sécurité, la hausse perpétuelle des attaques ne fait aucun doute. D’après le CESIN, elles ont augmenté pour 46% des RSSI entre 2015 et 2016 alors que 53% s’estiment stables. Plus frappant encore, le pourcentage d’entreprises françaises recensant au moins une cyberattaque entrante dans leurs serveurs sur les 12 derniers mois, s’élève à 80%. Et c’est là que le bas blesse, il leur faut généralement en moyenne une à six heures pour détecter l’attaque et entre 3 jours et trois semaine pour corriger le système.

Des moyens de protection jugés peu efficaces

Afin d’assurer leur cyber-sécurité, 84% des entreprises vont acquérir de nouvelles solutions techniques, 55% jugeront utile d’augmenter leur budget et 44% vont accroître leur effectif, comme le rappelle La Tribune.

Si les pare-feux (91%), le VPN (89%) et le filtrage web (78%) sont jugées efficaces, les sondes de sécurité conseillées par l’Agence nationale de la sécurité des systèmes d’information (ANSSI) sont jugées peu efficace (54%) ainsi que le chiffrement de base de données (60%). A ce propos, Olivier Ligneul, vice président du CESIN martèle : « Les RSSI ne peuvent plus se contenter d’être les ultra-spécialistes qui gérent les règles des pare-feux des entreprises .»

En résumé, 40% des entreprises affirment que les solutions techniques proposées par le marché ne sont pas adaptées aux différents types de menaces.

Les types d’attaques 

Toujours selon le CESIN, l’attaque en tête de classement est de loin le « ransomware » soit la demande de rançon (80%), en seconde position arrive l’attaque par déni de service (40%), complète le podium les attaques virales générales (36%).

D’ailleurs à l’avenir et avec la transformation numérique, l’exposition aux attaques se multipliera notamment avec les mobiles, cloud et objets connectés, les entreprises devront ainsi revoir leur priorité en terme de protection et améliorer leur défense. Il y a du pain sur la planche.

Notre métier : Vous aider à vous protéger des pirates informatiques (attaques, arnaques, cryptovirus…) et vous assister dans vos démarches de mise en conformité avec la réglementation relative à la protection des données à caractère personnel.

Par des actions de formation, de sensibilisation ou d’audits dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article

GRIZZLY STEPPE – Russian Malicious Cyber Activity

GRIZZLY STEPPE – Russian Malicious Cyber Activity

GRIZZLY STEPPE – Russian Malicious Cyber Activity