Comment réagir lorsque vous êtes victime de harcèlement en ligne ?

Qui sont les cyber-harceleurs ?

Un(e) internaute peut être harcelé(e) pour son appartenance à une religion, sa couleur de peau, ses opinions politiques, son comportement, ses choix de vie … Le harceleur peut revêtir l’aspect d’un « troll » (inconnu, anonyme) mais également faire partie de l’entourage de la victime (simple connaissance, ex-conjoint, camarade de classe, collègue, voisin, famille …).

A quoi ressemble une situation de cyber-harcèlement ?

• Happy slapping : lynchage en groupe puis publication de la vidéo sur un site
• Propagation de rumeurs par téléphone, sur internet.
• Création d’un groupe, d’une page ou d’un faux profil à l’encontre de la personne.
• Publication de photographies sexuellement explicites ou humiliante
• Messages menaçants, insulte via messagerie privée
• Commande de biens/services pour la victime en utilisant ses données personnelles
• …

Comment réagir ?

Ne surtout pas répondre ni se venger

Vous avez la possibilité de bloquer l’accès de cette personne à vos publications, de la signaler auprès de la communauté ou d’alerter le réseau social sur un comportement qui contrevient à sa charte d’utilisation.

Verrouiller l’ensemble de vos comptes sociaux

Il est très important de limiter au maximum l’audience de vos comptes sociaux. Des options de confidentialité existent pour « ne plus me trouver », « ne pas afficher/partager ma liste d’amis ». Il est également possible de « bannir » les amis indésirables. Sur Facebook, une option vous permet d’être avertis si un autre utilisateur mentionne votre nom sur une photo (tag).

Les paramétrages conseillés sur Facebook :

• Capture écran des propos / propos tenus

Ces preuves servent à justifier votre identité, l’identité de l’agresseur, la nature du cyber-harcèlement, la récurrence des messages, les éventuels complices. Sachez qu’il est possible de faire appel à un huissier pour réaliser ces captures.Fiche pratique : comment réaliser une copie d’écran ?

• Portez plainte auprès de la Gendarmerie/Police si le harcèlement est très grave  

Vous avez la possibilité de porter plainte auprès du commissariat de Police, de Gendarmerie ou du procureur du tribunal de grande instance le plus proche de votre domicile.

• En parler auprès d’une personne de confiance

La violence des termes employés par l’escroc et le risque d’exposition de votre vie privée peuvent être vécus comme un traumatisme. Il est conseillé d’en parler avec une personne de confiance.

Si quelqu’un d’autre est harcelé ?

Le fait de « partager » implique votre responsabilité devant la loi.  Ne faites jamais suivre de photos, de vidéos ou de messages insultants y compris pour dénoncer l’auteur du harcèlement. Un simple acte de signalement ou un rôle de conseil auprès de la victime est bien plus efficace ! Le chiffre : 61% des victimes indiquent qu’elles n’ont reçu aucun soutien quel qu’il soit de la part d’organismes ou d’une personne de leur réseau personnel. * Source: rapport européen sur le cyber-harcèlement (2013)

Si vous êtes victime et avez moins de 18 ans …

Composez le 3020. Il est ouvert du lundi au vendredi de 9h à 18h (sauf les jours fériés). Le numéro vert est géré par la plateforme nonauharcelement.education.gouv.fr qui propose de nombreuses ressources pour les victimes, témoins, parents et professionnels (écoles, collèges, lycées). Si le harcèlement a lieu sur internet,vous pouvez également composer le 0800 200 000 ou vous rendre sur netecoute.fr. La plateforme propose une assistance gratuite, anonyme, confidentiel par courriel, téléphone, chat en ligne, Skype. Une fonction « être rappelé par un conseiller » est également disponible. La réponse en ligne est ouverte du lundi au vendredi de 9h à 19h. Un dépôt de plainte est envisagé ? Renseignez vous surle dépôt de plainte d’un mineur. Celui-ci doit se faire en présence d’un ou de plusieurs parents ou d’un représentant légal. N’hésitez pas à contacter les télé-conseillers du fil santé jeune au 0800 235 236.

Quelles sanctions encourues par l’auteur de ces violences en ligne ?

L’auteur de tels actes est susceptible de voir sa responsabilité engagée sur le fondement du Droit civil, du Droit de la presse ou du Code pénal. Quelques exemples de sanctions : 

• Une injure ou une diffamation publique peut être punie d’une amende de 12.000€ (art. 32 de la Loi du 29 juillet 1881).
• Pour le droit à l’image, la peine maximum encourue est d’un an de prison et de 45.000 € d’amende (art. 226-1, 226-2 du Code pénal).
• L’usurpation d’identité peut être punie d’un an d’emprisonnement et de 15.000€ d’amende (art. 226-4-1 du Code pénal).

Quels sont les recours auprès de la CNIL ?

La qualification et la sanction de telles infractions relève de la seule compétence des juridictions judiciaires. En parallèle de telles démarches, vous pouvez demander la suppression de ces informations à chaque site ou réseau social d’origine, en faisant valoir votre droit d’opposition, pour des motifs légitimes, sur le fondement de l’article 38 de la loi du 6 janvier 1978 modifiée dite « Informatique et Liberté ». Le responsable du site dispose d’un délai légal de deux mois pour répondre à votre demande. La majorité des sites propose un bouton « signaler un abus ou un contenu gênant ». Si aucun lien n’est proposé, contactez directement par courriel ou par courrier le responsable du site en suivant la procédure expliquée sur notre site.  Par ailleurs, si ces informations apparaissent dans les résultats de recherche à la saisie de vos prénom et nom, vous avez la possibilité d’effectuer une demande de déréférencement auprès de Google en remplissant le formulaire. En cas d’absence de réponse ou de refus, vous pourrez revenir vers la CNIL en joignant une copie de votre demande effectuée auprès du moteur de recherche incluant le numéro de requête Google. Pour plus d’informations, consulter la fiche.

Source : CNIL

Mettre son entreprise en conformité avec la CNIL, secrets et mode d’emploi

– Quels sont les étapes indispensables et les pièges à éviter pour que cette mise en conformité ne se transforme pas en fausse déclaration ?

Nous organisons régulièrement des actions de sensibilisation ou de formation au risque informatique, à l’hygiène informatique, à la cybercriminalité et à la mise en conformité auprès de la CNIL. Nos actions peuvent aussi être personnalisées et organisées dans votre établissement.
Besoin d’informations complémentaires ?

Contactez-nous

Denis JACOPINI
formateur n°93 84 03041 84

Accompagnant depuis 2012 de nombreux établissements, Denis JACOPINI, Expert informatique diplômé en cybercriminalité, certifié en gestion des risques sur les systèmes d'information (ISO 27005) et formé par la CNIL depuis 2011 sur une trentaine de thèmes, est en mesure de vous accompagner dans votre démarche de mise en conformité RGPD.

   

---

Besoin d'un expert pour vous mettre en conformité avec le RGPD ?

Contactez-nous

---

Accompagné de son équipe d'auditeurs et de formateurs, notre Expert, Denis JACOPINI est spécialisé en cybercriminalité et en protection des Données à Caractère Personnel, formateur depuis 1998 et consultant depuis 1996. Avec bientôt une expérience d'une dizaine d'années dans la mise en conformité avec la réglementation relative à la Protection des Données à Caractère Personnel, de formation d'abord technique, Correspondant CNIL en 2012 (CIL : Correspondant Informatique et Libertés) puis en 2018 Délégué à la Protection des Données, en tant que praticien de la mise en conformité et formateur, il lui est ainsi aisé d'accompagner les organismes dans leur démarche de mise en conformité avec le RGPD.

« Mon objectif, vous assurer une démarche de mise en conformité validée par la CNIL.  ».

 

 

Nous vous aidons à vous mettre en conformité avec le RGPD de 2 manières :

  

Quelques articles sélectionnés par nos Experts :
Comment se mettre en conformité avec le RGPD
Accompagnement à la mise en conformité avec le RGPD de votre établissement
Formation RGPD : L’essentiel sur le règlement Européen pour la Protection des Données Personnelles
Comment devenir DPO Délégué à la Protection des Données
Des guides gratuits pour vous aider à vous mettre en conformité avec le RGPD et la CNIL
Mise en conformité RGPD : Mode d’emploi
Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016
DIRECTIVE (UE) 2016/680 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 27 avril 2016
Comprendre le Règlement Européen sur les données personnelles en 6 étapes
Notre sélection d'articles sur le RGPD (Règlement Européen sur la Protection des données Personnelles) et les DPO (Délégués à la Protection des Données)

 

---

[block id="24761" title="Pied de page HAUT"]

---

 

Source : Denis JACOPINI

Les entreprises ne sont pas prêtes pour la nouvelle législation européenne sur la protection des données

Il ressort de cette enquête que 80 % des personnes interrogées pensent qu’une banque sera très probablement la première entreprise à être frappée par l’amende maximale de 100 millions d’euros pour non-respect de la réglementation européenne sur la protection des données. À la question concernant le pays le plus probable de cette banque, les répondants indiquent l’Allemagne (30 %), les États-Unis (28 %) et 22 % mentionnent un autre pays européen. 48 % seulement des personnes interrogées pensent que leur entreprise pourrait signaler une violation dans le délai obligatoire de 72 heures.

Seuls 31 % disposent d’un plan leur permettant de se conformer à la nouvelle législation et seulement un tiers des personnes enquêtées a mis en place les processus et la technologie nécessaires pour empêcher leur entreprise de se voir infliger une amende importante dans le cadre de cette loi. 71 % des répondants sont incapables de dire ce que les entreprises doivent faire pour se conformer à la nouvelle réglementation.

Seuls 22 % des répondants savaient que l’amende maximale prévue par la nouvelle législation est de 100 millions d’euros, 41 % pensaient qu’elle ne serait que de 10 millions d’euros et 32 % l’estimaient à 1 million d’euros, avec un nombre réduit de personnes interrogées croyant qu’elle pouvait s’élever à un milliard d’euros. Un tiers a déclaré que la réglementation européenne sur la protection des données entrera en vigueur en 2015, 28 % ont indiqué que tel serait le cas en 2016, 7 % estiment que la loi ne verra jamais le jour et 32 % des personnes interrogées ont dit ne pas savoir quand la loi entrerait en vigueur.

« Nous pouvons attendre une refonte majeure de la loi européenne sur la protection des données au cours des prochains 12 à 24 mois », déclare David Gibson, vice-président du marketing de Varonis. « Les amendes devraient s’élever à 2 % du revenu annuel avec un plafond de 100 millions d’euros ou de dollars pour la non-protection des données personnelles des citoyens européens. Il pourrait également y avoir un nombre important de plaintes individuelles en plus des amendes et les sommes mises en jeu pourraient donc représenter des coûts substantiels, même pour les grandes entreprises. La nouvelle loi marquera aussi le passage d’un environnement autoréglementé à un régime d’application obligatoire qui aura une incidence sur toute entreprise stockant des informations d’identification personnelle concernant les citoyens européens (y compris sur les sociétés américaines menant des activités dans l’UE). Les entreprises doivent être préparées à protéger les données de leurs clients et prouver qu’elles le font avec le soin approprié, rendre compte de toute violation et supprimer les données à la demande des citoyens de l’UE. »

« Compte tenu de la vaste portée de la nouvelle réglementation et de l’importance accrue des amendes, cette enquête révèle des inquiétudes très importantes quant aux efforts que les entreprises sont prêtes à fournir pour se conformer aux conditions de la réglementation et gérer les scénarios de violation de données », indique Mark Deem, partenaire de Cooley LLP au Royaume-Uni. « En fait, l’échelle des amendes potentielles sera plus proche de celles infligées pour corruption ou violation antitrust, ou dans le secteur des services financiers. La conformité en matière de protection des données sera tout aussi importante que la conformité aux réglementations de la FCA. Même si la législation n’entre pas en vigueur avant 2017, un travail considérable doit être accompli par ceux qui souhaitent offrir des biens et des services aux habitants de l’UE et s’assurer qu’ils se trouvent dans la meilleure situation possible pour respecter la loi. »

Varonis propose 7 conseils pour garantir la conformité des données non structurées et permettre aux entreprises de se préparer à la réglementation européenne sur la protection des données :

1. Minimiser la collecte des données : la proposition de loi de l’UE comporte de fortes exigences en ce qui concerne la limitation des données recueillies auprès des consommateurs.

2. Favoriser le signalement des violations de données : la notification des atteintes à la protection des données constitue une nouvelle exigence que les entreprises européennes devront respecter.

3. Conserver les données avec attention : les règles de minimisation de la nouvelle loi concernent non seulement l’étendue des données collectées, mais aussi leur durée de rétention. En d’autres termes, une entreprise ne doit pas stocker les données plus longtemps que nécessaire aux fins prévues.

4. Nouvelle définition des identifiants personnels : l’UE a étendu la définition des identifiants personnels et ce changement s’avère important parce que les lois de l’UE portent sur la protection de ces identifiants.

5. Employez un langage clair : il faudra à une entreprise le consentement préalable et explicite des consommateurs lors de la collecte des données.

6. Bouton d’effacement : le « droit d’effacement » signifie qu’en cas de retrait du consentement accordé par les consommateurs, les sociétés devront supprimer les données concernées.

7. Le Cloud computing n’échappe pas à cette nouvelle loi de l’UE, car celle-ci suit les données.

Méthodologie de l’enquête

Les 145 personnes interrogées constituent un échantillon représentatif des participants du plus grand salon informatique d’Allemagne qui a compté 221 000 visiteurs en mars 2015. Parmi les répondants, 16 % sont issus de banques allemandes, 3 % de banques américaines, 3 % de banques européennes, 45 % d’entreprises allemandes hors du secteur financier, 26 % d’entreprises européennes hors du secteur financier et 7 % d’entreprises américaines.

Nous organisons régulièrement des actions de sensibilisation ou de formation au risque informatique, à l’hygiène informatique, à la cybercriminalité et à la mise en conformité auprès de la CNIL. Nos actions peuvent aussi être personnalisées et organisées dans votre établissement.
Besoin d’informations complémentaires ?

Contactez-nous

Denis JACOPINI
Tel : 06 19 71 79 12
formateur n°93 84 03041 84

Expert Informatique assermenté et formateur spécialisé en sécurité Informatique, en cybercriminalité et en déclarations à la CNIL, Denis JACOPINI et Le Net Expert sont en mesure de prendre en charge, en tant qu’intervenant de confiance, la sensibilisation ou la formation de vos salariés afin de leur enseigner les bonnes pratiques pour assurer une meilleure sécurité des systèmes informatiques et améliorer la protection juridique du chef d’entreprise.

Contactez-nous

Cet article vous plait ? Partagez !
Un avis ? Laissez-nous un commentaire !

Source : http://www.infodsi.com/articles/157046/entreprises-sont-pas-pretes-nouvelle-legislation-europeenne-protection-donnees.html

Loi Renseignement : la boîte à outils pour apprendre à protéger votre vie privée, en chiffrant vos données et communications

Nous sommes le soir du mardi 5 mai, et c’est un jour funeste pour la démocratie. La France s’était autoproclamée « pays des Lumières » parce qu’il y a 250 ans notre pays  éclairait l’Europe et le monde grâce aux travaux philosophiques et politiques de Montesquieu, qui prônait la séparation des pouvoirs, et de Voltaire et Rousseau.

À dater d’aujourd’hui, jour du vote en première lecture du projet de loi sur le renseignement, à cause d’une classe politicienne d’une grande médiocrité, s’enclenche un processus au terme duquel le peuple français va probablement devoir subir une loi dangereuse, qui pourrait s’avérer extrêmement liberticide si elle tombait entre de mauvaises mains, par exemple celles de l’extrême droite.

Même si la loi doit encore passer devant le Sénat puis peut-être revenir en seconde lecture à l’Assemblée Nationale, même si une saisine du Conseil Constitutionnel va être déposée par une soixantaine de courageux députés en complément de celle déjà annoncée par François Hollande, mieux vaut se préparer au pire, en imaginant que cette loi sera un jour promulguée. En faisant un peu de mauvais esprit, j’ai imaginé un nom pour le dispositif qui sera chargé de collecter nos données personnelles afin de détecter les comportements suspects : « Surveillance Totalement Automatisée via des Systèmes Informatiques » et bizarrement l’acronyme est STASI !

Dès lors, à titre préventif et sans préjuger de l’avenir, il me semble important d’apprendre à protéger sa vie privée. Ceci passe par le chiffrement de ses communications, qu’il s’agisse d’échanges sur Internet ou via SMS, et cela peut se faire au moyen de différents outils à la fois efficaces et légaux.

Bien évidemment, les « vrais méchants » que sont les terroristes, djihadistes, gangsters et autres trafiquants connaissent et utilisent déjà ces outils : vous vous doutez bien qu’ils n’ont pas attendu ce billet de blog pour les découvrir….

Une boîte à outils pour protéger votre vie privée

Anonymat sur Internet

Pour protéger votre identité sur Internet et notamment sur le web, vous pouvez combiner l’utilisation d’un réseau privé virtuel, ou VPN, et de TOR, un système d’anonymisation qui nécessite l’installation d’un logiciel spécifique, TOR Browser. Je ne vous donne pas de référence particulière en matière de VPN, car l’offre est pléthorique.

MAJ : un lecteur m’a indiqué l’existence de La brique Internet, un simple boîtier VPN couplé à un serveur. Pour que la Brique fonctionne, il faut lui configurer un accès VPN, qui lui permettra de créer un tunnel jusqu’à un autre ordinateur sur Internet. Une extension fournira bientôt aussi en plus un accès clé-en-main via TOR en utilisant la clé wifi du boîtier pour diffuser deux réseaux wifi : l’un pour un accès transparent via VPN et l’autre pour un accès transparent via Tor.

Chiffrement des données

Pour chiffrer le contenu de vos données, stockées sur les disques durs de vos ordinateurs ou dans les mémoires permanentes de vos smartphones, vous pouvez mettre en œuvre des outils tels que LUKS pour les systèmes Linux ou TrueCrypt  pour les OS les plus répandus : même si TrueCrypt a connu une histoire compliquée, son efficacité ne semble pas remise en cause par le dernier audit de code effectué par des experts.

Je vous signale aussi que l’ANSSI – Agence nationale de la sécurité des systèmes d’information –  signale d’autres outils alternatifs comme Cryhod, Zed !, ZoneCentral, Security Box et StormShield. Même si l’ANSSI est un service gouvernemental il n’y a pas de raison de ne pas leur faire confiance sur ce point 🙂

Chiffrement des e-mails et authentification des correspondants

GPG, acronyme de GNU Privacy Guard, est l’implémentation GNU du standard OpenPGP. Cet outil permet de transmettre des messages signés et/ou chiffrés ce qui vous  garantit à la fois l’authenticité et la confidentialité de vos échanges. Des modules complémentaires en facilitent l’utilisation sous Linux, Windows, MacOS X et Android.

MAJ : un lecteur m’a signalé PEPS, une solution de sécurisation française et Open Source, issue d’un projet mené par la DGA – Direction générale de l’armement – à partir duquel a été créée la société MLState.

Messagerie instantanée sécurisée

OTR, Off The Record, est un plugin à greffer à un client de messagerie instantanée. Le logiciel de messagerie instantanée Jitsi, qui repose sur le protocole SIP de la voix sur IP, intègre l’outil de chiffrement ZRTP.

Protection des communications mobiles

A défaut de protéger les métadonnées de vos communications mobiles, qu’il s’agisse de voix ou de SMS, vous pouvez au moins chiffrer les données en elles-mêmes, à savoir le contenu de vos échanges :

RedPhon est une application de chiffrement des communications vocales sous Android capable de communiquer avec Signal qui est une application du même fournisseur destinée aux iPhone sous iOS.

TextSecure est une application dédiée pour l’échange sécurisé de SMS, disponible pour Android et compatible avec la dernière version de l’application Signal. Plus d’information à ce sujet sur le blog de Stéphane Bortzmeyer.

MAJ : un lecteur m’a indiqué l’application APG pour Android qui permet d’utiliser ses clés GPG pour chiffrer ses SMS.

Allez vous former dans les « cafés Vie Privée »

Si vous n’êtes pas geek et ne vous sentez pas capable de maîtriser ces outils sans un minimum d’accompagnement, alors le concept des « cafés Vie Privée » est pour vous : il s’agit tout simplement de se réunir pour apprendre, de la bouche ceux qui savent le faire, comment mettre en œuvre les outils dont je vous ai parlé plus haut afin de protéger sa vie privée de toute intrusion, gouvernementale ou non.

Tout simplement, il s’agit de passer un après-midi à échanger et à pratiquer la cryptographie. Pour cela sont proposés des ateliers d’une durée minimum de 1 heure, axés autour de la sécurité informatique et de la protection de la vie privée.

Et comme le disent avec humour les organisateurs, « les ateliers sont accessibles à tout type de public, geek et non-geek, chatons, poneys, loutres ou licornes. ». Bref, le « café Vie Privée » est à la protection de la vie privée ce que la réunion Tupperware était à la cuisine 🙂

Voilà, vous avez je l’espère suffisamment d’éléments pratiques pour commencer à protéger votre vie privée… en espérant vraiment que le Conseil Constitutionnel abrogera les points les plus contestables de cette loi et nous évitera d’avoir à déployer un tel arsenal sécuritaire.

PS : l’image « 1984 was not a manual » a été créée par Arnaud Velten aka @Bizcom.

Expert Informatique assermenté et formateur spécialisé en sécurité Informatique, en cybercriminalité et en déclarations à la CNIL, Denis JACOPINI et Le Net Expert sont en mesure de prendre en charge, en tant qu’intervenant de confiance, la sensibilisation ou la formation de vos salariés afin de leur enseigner les bonnes pratiques pour assurer une meilleure sécurité des systèmes informatiques et améliorer la protection juridique du chef d’entreprise.

Contactez-nous

Après cette lecture, quel est votre avis ?
Cliquez et laissez-nous un commentaire…

Source : http://www.zdnet.fr/actualites/loi-renseignement-la-bo-te-a-outils-pour-apprendre-a-proteger-votre-vie-privee-en-chiffrant-vos-donnees-et-communications-39818894.htm

Par Pierre Col

52 % des entreprises ont indiqué avoir subi un rançongiciel « majeur » dans les 12 derniers mois

« Les entreprises se sentent parfois sous pression pour payer la rançon afin d’éviter les temps d’arrêt préjudiciables. À première vue, effectuer le paiement de la rançon semble être une manière efficace de restaurer les données, mais ce n’est qu’illusoire (…) En effet, une simple clé de chiffrement n’est pas un remède miracle et il faut souvent bien plus pour restaurer les données« , a expliqué Chester Wisniewski, Principal Research Scientist chez Sophos.

En France, plus de la moitié (61%) des responsables IT interrogés déclarent avoir pu restaurer leurs données à partir de sauvegardes sans payer la rançon. Dans 2 % de cas, le paiement de la rançon n’a pas permis de restaurer les données. À l’échelle mondiale, ce chiffre s’élève à 5 % pour les organisations du secteur public.

…[lire la suite]

Commentaire de notre Expert : Denis JACOPINI

La demande de rançon est la résultante dans la quasi totalité des cas de l’ouverture d’une pièce jointe à e-mail piégé ou le clic sur un lien aboutissant sur un site Internet piégé.

Les conséquences

Il n’est plus a rappeler qu’être victime d’un ransomware entraînent un arrêt de l’outil informatique, une perte de productivité et une dégradation de la réputation auprès des clients et partenaires.

Les solutions

Nous le répéterons jamais assez, les seuls moyens d’empêcher ce type de situation sont l’utilisations d’outils de filtrage et la sensibilisation. N’hésitez pas à nous contacter pour l’organisation de sessions de sensibilisation auprès de vos équipes pour leur apprendre à détecter e-mails et sites Internet malvéillants, en quasi totalité à l’origine des rançongiciels dans les systèmes informatiques.

Pour ceux qui continuent le travail à domicile, respectez les cybergestes barrière

Restez en sécurité

Comme vous ne savez peut-être pas dans quelle mesure votre environnement de travail assure la sécurité de vos informations, vous risquez de devenir une cible facile pour les hackers une fois que vous serez en confinement ou que vous travaillez à domicile.

Appareils & Équipements de travail

Si vous utilisez un ordinateur de bureau ou un appareil mobile fourni par l’entreprise, il est fort probable que vous soyez déjà muni de quelques éléments de base pour vous protéger. En tant que propriétaire ou dirigeant d’entreprise, vous devrez également vous assurer que les mesures suivantes soient en place pour votre équipe.

1. Sécurisez votre connexion
   Si vous n’êtes pas encore installé, demandez à votre responsable informatique de vous fournir un VPN. Il vous aidera à sécuriser votre activité professionnelle. Le wifi public – que vous utilisiez un hotspot local ou que vous partagiez un réseau avec votre voisin – est plus vulnérable que votre propre réseau privé, mais un VPN vous protégera des menaces sur les deux.
2. Sécurisez votre Cloud
   Disposer d’une solution de sécurité premium pour le Cloud (CASB) permet de limiter l’accès à vos données dans le Cloud aux seuls membres autorisés de l’équipe.
3. N’installez pas de logiciels non autorisés
   Si vous avez apporté votre ordinateur portable de travail à la maison, n’installez aucun logiciel qui ne soit pas lié au travail et n’utilisez pas de clés USB sans être sûr de ce qu’elles contiennent.

Appareils personnels

Mélanger le travail et le plaisir ? Dans certains cas, vous n’avez pas vraiment le choix.

1. Vérifier la présence des malwares
   Vérifiez que votre logiciel antivirus est à jour et recherchez tout logiciel malveillant sur votre ordinateur ou votre téléphone portable personnel.
2. Protéger les mots de passe
   Utiliser un gestionnaire de mots de passe pour se tenir au courant des meilleures pratiques d’utilisation des différents mots de passe sur le web.
3. Utiliser un VPN
   Comme nous l’avons déjà mentionné, un VPN conservera vos informations cryptées pendant toute la durée du confinement – et vous aurez en plus la possibilité d’accéder à l’ensemble de la bibliothèque Netflix dans le monde entier une fois votre journée de travail terminée.
4. Fermer les applications fonctionnant en arrière-plan
   N’utilisez pas de logiciels ou d’applications qui ne sont pas en rapport avec le travail, y compris en les laissant s’exécuter en arrière-plan. Évitez également de télécharger de nouvelles applications qui ne sont pas liées au travail pendant cette période.
5. Ne pas enregistrer vos données sans autorisation
   Lorsque vous travaillez sur votre ordinateur personnel, évitez de sauvegarder vos données professionnelles, à l’exception de ce qui est absolument nécessaire pour travailler.
6. Garder les choses séparées
   Si vous utilisez un ordinateur partagé, créez un espace de travail séparé. Créez un nouvel utilisateur pour l’ordinateur, si possible. Sinon, créez une nouvelle session de navigation avec vos informations spécifiques au travail et pour le travail uniquement – et n’oubliez pas de vous déconnecter à chaque fois !

[L’article complet de l’auteur Chase Williams]

« Vous avez été en contact avec une personne testée positive au Covid-19 » : Attention aux arnaques sur les smartphones 

A l’approche de la levée du confinement, profitant de l’inquiétude qui règne au sein de la population, les pirates informatiques agissent, multipliant fraudes et arnaques sur le web, notamment à travers la pratique de l’hameçonnage (ou « phishing » en anglais), particulièrement lucrative. Pour rappel, cette technique consiste à « piéger » une personne en le poussant à cliquer sur un lien dans le but d’installer un logiciel malveillant sur son appareil ou de collecter ses informations personnelles. …[lire la suite]

Le prestataire informatique responsable en cas de perte de données par un cryptovirus

Un arrêt de la Cour d’Appel de Paris, dans un litige entre un prestataire de maintenance et son client, vient rappeler qu’un virus ou un ransomware ne constituent pas un cas de force majeure permettant d’exonérer qui que ce soit de ses obligations.

Le litige est né en 2016 mais la Cour d’Appel de Paris vient de le juger après une décision de première instance du tribunal de commerce en janvier 2018. Si l’affaire est assez complexe et avec de nombreuses ramifications sur la responsabilité et les manquements de chaque partie, un point particulier mérite d’être relevé. En l’occurrence, un crypto-virus a rendu inexploitable les sauvegardes et les données de l’entreprise cliente, problème de plus en plus fréquent de nos jours. Le prestataire a voulu faire considérer ce fait comme une circonstance de force majeure l’exonérant de sa responsabilité. La Cour d’Appel vient rappeler qu’un virus n’est aucunement un cas de force majeure (Cour d’appel de Paris, Pôle 5 – chambre 11, 7 février 2020, affaire n° 18/03616, non-publié)…[lire la suite]

Commentaire de notre Expert : Denis JACOPINI

Il est évident qu’à partir du moment ou un prestataire informatique vend un service de sauvegarde et assure d’une quelconque manière sa maintenance, il devient responsable de la réalisation de cette prestation, quelles qu’en soient les conditions excepté dans des situations appelés cas de force majeure.

En droit, les conditions de la force majeure évoluent au gré de la jurisprudence et de la doctrine. Traditionnellement, l’événement doit être « imprévisible, irrésistible et extérieur » pour constituer un cas de force majeure. Cette conception classique est cependant remise en cause (Wikipédia).

Dans la vraie vie, la situation dans laquelle s’est produit la perte de données doit être vue d’un peu plus près. Il n’y a pas à mon avis un cas de figure mais des cas de figure et les situations doivent être étudiées au cas par cas (chers avocats, je suis à votre disposition).

Certes, il est vrai, que le cryptovirus puisse être considéré comme imprévisible et extérieur, mais l’article 1218 du Code Civil précise :
« Il y a force majeure en matière contractuelle lorsqu’un événement échappant au contrôle du débiteur, qui ne pouvait être raisonnablement prévu lors de la conclusion du contrat et dont les effets ne peuvent être évités par des mesures appropriées, empêche l’exécution de son obligation par le débiteur »

C’est là que la balance du mauvais coté pour le prestataire informatique. Depuis 1989, date du premier cryptovirus (PC Cyborg) et pour être un peu plus gentil, depuis 2017, année durant laquelle le nombre de cas de rançongiciels a explosé de plusieurs centaines de pourcents, les cryptovirus sont prévisibles et les effets peuvent être évités par des mesures appropriées.

Ainsi, mesdames et messieurs les prestataires informatiques, mesdammes et messieurs les chefs d’entreprises, je ne peux que vous recommander de faire auditer techniquement et juridiquement vos services de sauvegarde afin d’en analyser les risques résiduels car seule une analyse de risques permettra non seulement d’avoir une visibilité technique complète de votre services, mais vous pourrez également adapter vos contrats au résultat de cette dernière et convenir avec vos clients de l’existence ou non de cas pour lesquels la panne de votre système de sauvegarde sera « éligible » au cas de force majeure.

Intéressé par la réalisation d’un tel audit ?

N’hésitez pas à me contacter.

Denis JACOPINI (Expert informatique près les tribunaux diplômé en Cybercriminalité, Gestion des risques et Investigation Numérique)

Coronavirus (Covid-19) : Ce que les employeurs doivent faire (ou pas) vis à vis de la CNIL

Ce qu’il ne faut pas faire

Si chacun doit mettre en œuvre des mesures adaptées à la situation telles que la limitation des déplacements et réunions ou encore le respect de mesures d’hygiène, les employeurs ne peuvent pas prendre des mesures susceptibles de porter atteinte au respect de la vie privée des personnes concernées, notamment par la collecte de données de santé qui iraient au-delà de la gestion des suspicions d’exposition au virus. Ces données font en effet l’objet d’une protection toute particulière, tant par le RGPD que par les dispositions du Code de la santé publique.

Par exemple, les employeurs doivent s’abstenir de collecter de manière systématique et généralisée, ou au travers d’enquêtes et demandes individuelles, des informations relatives à la recherche d’éventuels symptômes présentés par un employé/agent et ses proches.

Il n’est donc pas possible de mettre en œuvre, par exemple :

• des relevés obligatoires des températures corporelles de chaque employé/agent/visiteur à adresser quotidiennement à sa hiérarchie ;
• ou encore, la collecte de fiches ou questionnaires médicaux auprès de l’ensemble des employés/agents. 

Ce qu’il est possible de faire

L’employeur est responsable de la santé et de la sécurité des salariés/agents conformément au Code du travail et des textes régissant la fonction publique (particulièrement l’article L. 4121-1 du Code du travail). Il doit, à ce titre, mettre en œuvre des actions de prévention des risques professionnels, des actions d’information et de formation, et enfin mettre en place une organisation et des moyens adaptés.

Dans ce contexte, l’employeur peut :

• sensibiliser et inviter ses employés à effectuer des remontées individuelles d’information les concernant en lien avec une éventuelle exposition, auprès de lui ou des autorités sanitaires compétentes ;
• faciliter leur transmission par la mise en place, au besoin, de canaux dédiés ;
• favoriser les modes de travail à distance et encourager le recours à la médecine du travail.

En cas de signalement, un employeur peut consigner :

• la date et l’identité de la personne suspectée d’avoir été exposée ;
• les mesures organisationnelles prises (confinement, télétravail, orientation et prise de contact avec le médecin du travail, etc.).

Il pourra ainsi communiquer aux autorités sanitaires qui le demanderaient les éléments liés à la nature de l’exposition,  nécessaires à une éventuelle prise en charge sanitaire ou médicale de la personne exposée.

Les entreprises et administrations peuvent également être amenées à établir un « plan de continuité de l’activité » (PCA), qui a pour objectif de maintenir l’activité essentielle de l’organisation. Ce plan doit notamment prévoir toutes les mesures pour protéger la sécurité des employés, identifier les activités essentielles devant être maintenues et également les personnes nécessaires à la continuité du service.

Chaque employé/agent doit pour sa part mettre en œuvre tous les moyens afin de préserver la santé et la sécurité d’autrui et de lui-même (article L.4122-1 du Code du travail) : il doit informer son employeur en cas de suspicion de contact avec le virus.

Enfin, des données de santé peuvent être collectées par les autorités sanitaires, qualifiées pour prendre les mesures adaptées à la situation. L’évaluation et la collecte des informations relatives aux symptômes du coronavirus et des informations sur les mouvements récents de certaines personnes relèvent de la responsabilité de ces autorités publiques.

Si la situation sanitaire exige de l’ensemble des acteurs qu’ils fassent preuve d’une vigilance particulière, la CNIL invite particuliers et professionnels à suivre les recommandations des autorités sanitaires et à effectuer uniquement les collectes de données sur la santé des individus qui auraient été sollicitées par les autorités compétentes.

Une faille informatique concernant un milliard d’appareils connectés en Wi-Fi découverte !

Les chercheurs de l’Eset précisent que : “cette faille de sécurité est gigantesque puisqu’un hacker peut déchiffrer des données qui ont été transmises par un point d’accès Wi-Fi vulnérable, sur près d’un milliard d’appareils”. En réalité, Kr00k exploite une faiblesse qui se produit lorsque les appareils sans fil se dissocient d’un point d’accès sans fil. Plutôt que de chiffrer les données avec une clé pré-définie et utilisée lors de la connexion, les appareils vulnérables utilisent une clé composée de zéros, ce qui rend le déchiffrement très facile….[lire la suite]