Google condamné à 375 Millions d’euros…

Décryptage du réglement européen sur les données personnelles

A compter du 25 mai 2018, le nouveau Règlement Européen 2019/679 sur la protection des données personnelles s’appliquera dans toutes les entreprises de l’Union Européenne. Ce texte modifie considérablement la législation en vigueur et fait peser des obligations nouvelles sur les responsables de traitements. L’AFCDP (Association française des correspondants à la protection des données personnelles) a réalisé une version française commentée de ce texte.

Le résultat de ce travail est librement accessible sur le site de l’association. Outre une rapide introduction et un index très complet, bien pratique pour retrouver des thèmes précis, l’essentiel du document est constitué par le texte même du Règlement. Les commentaires apparaissent dans une colonne sur le tiers de la page, en regard de la portion commentée. Si parfois, surtout au début, les commentaires se limitent à quelques mots, à d’autres moments ces commentaires explicitent en profondeur et contextualisent un article du Règlement.

Ne nous cachons pas que la simple mise en page du document en français est des plus agréables pour travailler. Les DSI et les directions juridiques ont en effet fort à faire d’ici 2018 et télécharger dès à présent ce document est donc des plus utiles.

Article original de Bertrand Lemaire

Réagissez à cet article

Le premier label Coffre-Fort Numérique a été délivré

Pourquoi les vols de données sont en forte hausse ?

Trois entreprises sur quatre ont été victimes de la perte ou du vol de données importantes au cours des deux dernières années. Selon une nouvelle enquête menée auprès de plus de 3 000 collaborateurs et informaticiens aux États-Unis et en Europe, cela représente une très forte augmentation depuis 2014. Le rapport publié aujourd’hui a été rédigé par le Ponemon Institute et sponsorisé par Varonis Systems, Inc., principal fournisseur de solutions logicielles permettant de protéger les données contre les menaces internes et les cyberattaques.

Selon l’enquête, l’augmentation de la perte et du vol des données est en grande partie due aux compromissions de comptes internes. Celles-ci sont aggravées par des accès aux informations critiques bien plus permissifs que nécessaire par les collaborateurs et les tiers. Sans oublier le constant défaut de supervision des accès et de l’activité dans les systèmes de messagerie et les systèmes de fichiers, là où se trouvent les données les plus sensibles et les plus confidentielles.

Parmi les principales conclusions :

• 76 % des informaticiens indiquent que leur entreprise a fait l’expérience de la perte ou du vol de ses données au cours des deux dernières années. Ce chiffre représente une augmentation importante par rapport aux 67 % d’informaticiens interrogés ayant donné la même réponse lors de l’étude de 2014 réalisée par Ponemon pour le compte de Varonis.
• Les informaticiens indiquent que la négligence des collaborateurs a deux fois plus de chances d’entraîner la compromission des comptes internes que tout autre facteur, y compris les attaquants externes ainsi que les collaborateurs ou les prestataires malveillants.
• 78 % des informaticiens déclarent être très préoccupés par les ransomware, un type de logiciels malveillants qui bloque l’accès aux fichiers jusqu’au paiement d’une somme d’argent. 15 % des entreprises ont déjà fait l’expérience des ransomware et seule une petite moitié d’entre elles a détecté l’attaque au cours des 24 premières heures.
• 88 % des utilisateurs finaux indiquent que leur travail exige l’accès et l’emploi d’informations propriétaires telles que des données relatives aux clients, des listes de contacts, des renseignements sur les collaborateurs, des rapports financiers, des documents commerciaux confidentiels ou d’autres actifs informationnels critiques. C’est nettement plus que les 76 % enregistrés dans l’étude de 2014.
• 62 % des utilisateurs finaux indiquent avoir accès à des données de l’entreprise qu’ils ne devraient probablement pas pouvoir consulter.
• Seuls 29 % des informaticiens interrogés indiquent que leur entreprise applique un modèle strict de moindre privilège pour s’assurer que les collaborateurs ont accès aux données de l’entreprise en fonction de leur besoin de les connaître.
• Seulement 25 % des entreprises supervisent toute l’activité relative à la messagerie et aux fichiers, alors que 38 % ne supervisent aucune activité.
• 35 % des entreprises ne disposent d’aucun enregistrement interrogeable de l’activité du système de fichiers, ce qui les rend incapables de déterminer les fichiers chiffrés par ransomware (entre autres choses).

Le rapport d’étude intitulé « Closing Security Gaps to Protect Corporate Data: A Study of U.S. and European Organizations » se fonde sur des entretiens menés en avril et mai 2016 auprès de 3 027 employés aux États-Unis, au Royaume-Uni, en France et en Allemagne.  L’ensemble des personnes interrogées comprend 1 371 utilisateurs finaux ainsi que 1 656 informaticiens et professionnels de la sécurité informatique issus d’entreprises de tailles variant de quelques douzaines à plusieurs dizaines de milliers d’employés. Ils proviennent de divers secteurs, dont les services financiers, le secteur public, le secteur des soins de santé et des sciences de la vie, la vente au détail, le secteur industriel, le secteur technologique et l’industrie du logiciel…[lire la suite]

Denis Jacopini anime des conférences et des formations et est régulièrement invité à des tables rondes en France et à l’étranger pour sensibiliser les décideurs et les utilisateurs aux CyberRisques (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84).

Nous animons conférences et formations pour sensibiliser décideurs et utilisateurs aux risques en informatique, découvrir et comprendre les arnaques et les piratages informatiques pour mieux s’en protéger et se mettre en conformité avec la CNIL en matière de Protection des Données Personnelles. Nos actions peuvent être personnalisées et organisées dans votre établissement.

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article

Les 15 mesures clés de la loi Numérique

Un sous-traitant de la NSA accusé de vol de données secrètes

L’homme arrêté, Harold Thomas Martin III, travaillait comme sous-traitant à l’agence de renseignement américaine, spécialisée dans l’espionnage des communications mondiales. Il était employé par Booz Allen Hamilton, un grand groupe privé américain qui fournit de nombreux sous-traitants aux agences du renseignement des Etats-Unis.

« Lorsque nous avons appris l’arrestation de notre employé, nous avons immédiatement joint les autorités fédérales pour proposer notre totale coopération, et nous avons licencié » le sous-traitant, a confirmé, mercredi, dans un communiqué Craig Veith, le vice-président de Booz Allen Hamilton.

Embarrassant pour la NSA

Pour la deuxième fois en trois ans, la NSA voit l’un de ses sous-traitants dérober des informations ultrasecrètes. Edward Snowden, qui a révélé au grand public l’ampleur des programmes de surveillance de la NSA, était également un sous-traitant de Booz Allen Hamilton. La NSA n’a pas répondu aux sollicitations de l’Agence France-Presse.

Selon le New York Times, M. Martin est « soupçonné d’avoir pris les codes source très secrets développés par la NSA pour s’introduire dans les systèmes informatiques d’adversaires comme la Russie, la Chine, l’Iran et la Corée du Nord ».

L’acte d’accusation se borne à mentionner que M. Martin a emporté chez lui du matériel informatique et des documents confidentiels qui n’auraient jamais dû sortir du bureau où il travaillait. Il encourt respectivement un an et dix ans de prison pour ces faits, selon la même source.
[Source : Le Monde]

Notre métier : Sensibiliser les décideurs et les utilisateurs aux risques liés à la Cybercriminalité et à la Protection des Données Personnelles (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84).

Denis JACOPINI anime dans toute le France et à l’étranger des conférences, des tables rondes et des formations pour sensibiliser les décideurs et les utilisateurs aux risques liés à la Cybercriminalité et à la protection de leurs données personnelles (Mise en Place d’un Correspondant Informatique et Libertés (CIL) dans votre établissement.

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article

MasterCard déploie le paiement par selfie

C’est une procédure que vous connaissez forcément si vous avez déjà eu l’occasion d’effectuer un achat en ligne. Au moment du paiement, la boutique vous demande de renseigner les informations de votre carte bancaire (son numéro, sa date d’expiration et son cryptogramme visuel).

Une fois ces informations envoyées, votre banque est censée vous envoyer un SMS de confirmation contenant un code qu’il faut inscrire sur le site du marchand afin de valider définitivement la transaction. Cette mesure est nécessaire en cas de vol de la carte, afin de neutraliser toute tentative d’utilisation frauduleuse.

Avec l’envoi d’un code par texto (ou par mail), le client limite déjà beaucoup le risque de se faire avoir. Mais la méthode ne contre pas 100 % des menaces. Des fraudeurs très motivés et compétents peuvent modifier le numéro de téléphone censé recevoir le code ou accéder à la boîte mail pour y recevoir le courrier de validation. C’est en ayant ces problématiques en tête que MasterCard tente une autre approche, avec l’utilisation du selfie.

Évidemment, des interrogations apparaissent : que se passe-t-il si on utilise une photo de moi ? MasterCard dit avoir trouvé une parade en demandant à l’usager, pendant le selfie, de cligner des yeux. Et si une vidéo de moi est utilisée alors ? La parade pourrait être plus difficile à trouver, mais encore faut-il que le fraudeur puisse obtenir une vidéo de la victime, de face, en train de cligner des yeux. Or, elle n’existe peut-être pas.

Et quid des données biométriques qui sont par nature hautement sensibles ? MasterCard assure au Figaro qu’aucune information de cette nature n’est récupérée par le groupe sous sa forme originale. Manifestement, l’image est convertie en une sorte de signature numérique, qui est ensuite transmise à l’entreprise sans que celle-ci ne soit en mesure de faire le chemin inverse pour reconstituer le visage…[lire la suite]

Notre métier : Sensibiliser les décideurs et les utilisateurs aux risques liés à la Cybercriminalité et à la Protection des Données Personnelles (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84).

Denis JACOPINI anime dans toute le France et à l’étranger des conférences, des tables rondes et des formations pour sensibiliser les décideurs et les utilisateurs aux risques liés à la Cybercriminalité et à la protection de leurs données personnelles (Mise en Place d’un Correspondant Informatique et Libertés (CIL) dans votre établissement.

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article

Le projet de loi République Numérique enfin adopté

L’open data, une des nouveautés du projet de loi République Numérique

Deux mois après, les sénateurs font donc le même choix que les députés ce qui signifie que la promulgation de ce texte est pour bientôt.

Parmi les nouveautés qu’il apporte, il y a l’open data. En effet, ce projet de loi prévoit l’ouverture d’une partie des données de l’administration publique mais aussi des données de certaines sociétés du secteur privé ayant une mission de service public. Ceci est en particulier une grande avancée pour la recherche puisque des données à l’accès restreint seront accessibles à un public plus large.

Vers un meilleur accès aux réseaux numériques

Initié par Axelle Lemaire, secrétaire d’Etat chargée du Numérique, le projet de loi République Numérique a vocation à faciliter l’entrée de la République dans l’ère du numérique.

Par conséquent, les idées et mesures présentes dans le texte sont nombreuses et variées et visent à :

• Améliorer la protection des données sur le web
• Rendre accessible Internet au plus grand nombre
• Mettre en concurrence tous les acteurs de l’Internet
• Rendre obligatoire l’information « claire et loyale » des clients
• Accélérer la couverture du territoire en très haut débit
• Rendre accessible les contenus numériques aux personnes souffrant de handicap (visuel, auditif, etc…)
• Reconnaître le e-sport et définir le statut des joueurs

Autrement dit, la loi République Numérique devrait éclaircir bien des situations et cas complexes…[lire la suite]

Notre métier : Sensibiliser les décideurs et les utilisateurs aux risques liés à la Cybercriminalité et à la Protection des Données Personnelles (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84).

Denis JACOPINI anime dans toute le France et à l’étranger des conférences, des tables rondes et des formations pour sensibiliser les décideurs et les utilisateurs aux risques liés à la Cybercriminalité et à la protection de leurs données personnelles (Mise en Place d’un Correspondant Informatique et Libertés (CIL) dans votre établissement.

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article

Introduction au  Règlement Européen sur la Protection des Données

Deux tiers (68 %) des entreprises, selon Compuware, risquent de ne pas être en conformité avec le RGPD, en raison d’une augmentation de la collecte des données, de la complexité informatique grandissante, de la multiplicité des applications, de l’externalisation et de la mobilité. Ce risque tient aussi aux politiques laxistes concernant le masquage des données et l’obtention d’une autorisation explicite des clients en matière de données. Les entreprises européennes comme américaines doivent, par conséquent, adopter une série de bonnes pratiques, notamment un masquage plus rigoureux des données de test et de meilleurs pratiques concernant le consentement des clients, afin d’éviter des sanctions financières et une altération possible de leur image de marque résultant d’une non-conformité.

Le RGPD de l’Union européenne a été adopté en avril 2016, afin d’unifier des obligations auparavant réparties à travers différentes juridictions européennes concernant l’utilisation, la gestion et la suppression des informations personnellement identifiables (IPI) des clients par les entreprises. Toutes les entreprises dans l’UE, aux États-Unis et ailleurs, qui collectent des IPI relatives à des citoyens de l’UE, ont jusqu’en mai 2018 pour se conformer à ces dispositions. Tout non-respect du RGPD expose les entreprises à des amendes pouvant atteindre 20 millions € ou 4 % du chiffre d’affaires mondial….[lire la suite]

Denis Jacopini anime des conférences et des formations et est régulièrement invité à des tables rondes en France et à l’étranger pour sensibiliser les décideurs et les utilisateurs aux CyberRisques (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84).

Nous animons conférences et formations pour sensibiliser décideurs et utilisateurs aux risques en informatique, découvrir et comprendre les arnaques et les piratages informatiques pour mieux s’en protéger et se mettre en conformité avec la CNIL en matière de Protection des Données Personnelles. Nos actions peuvent être personnalisées et organisées dans votre établissement.

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article

Comment préparer les enfants aux Réseaux Sociaux ?

Ce rapport montre que les enfants âgés de 8 à 16 ans sont accros aux réseaux sociaux. En outre, l’activité peut les mettre en danger, eux et leurs familles. 35% des enfants disent qu’ils ne veulent pas être sans réseaux sociaux, et sont désireux de rejoindre des groupes en leur sein, ils sont en mesure de partager beaucoup d’informations personnelles. Le problème est qu’ils le font sans avoir conscience que les données qu’ils partagent sont vues par de nombreux utilisateurs et peuvent être utilisées par des personnes potentiellement dangereuses.

Trop d’informations personnelles

Mais qu’est-ce que les mineurs partagent le plus ? La plupart des enfants, 66%, montrent l’école où ils étudient, 54% des lieux qu’ils visitent, et 22% partagent même la gestion de leurs maisons. Mais, 33% des enfants donnent également des informations sur les effets de leur famille et de leurs parents, sur leur travail (36%) ou sur ce que leurs parents facturent (23% des enfants).

Mais, outre le partage des données réelles, les mineurs sont également prêts à mentir sur le réseau, et ils le font surtout si ça peut leur ouvrir des portes. Un tiers des enfants est prêt à mentir au sujet de l’âge. 17% des enfants font semblant d’être plus âgés, et de modifient leur âge en fonction du web ou le service qu’ils veulent utiliser, étant donné que beaucoup d’entre eux ont des restrictions (très facile à sauter) d’âge.

Avec ces données, les cybercriminels disposent d’informations suffisantes pour être utilisés à des fins malveillantes. Parmi les activités criminelles qu’ils pourraient commettre, ils trouvent l’emplacement physique des mineurs. Tous les enfants doivent apprendre à un âge précoce ce qu’ils devraient partager en ligne, ou non. Et connaître les paramètres des réseaux sociaux de la vie privée, de sorte que seuls leurs amis peuvent voir leurs publications et leurs données.

Comprendre quelles sont vos données et la façon de les protéger

Tous les enfants et leurs parents doivent comprendre ce que sont les données personnelles, et la façon dont on peut les protéger. “Ceci est comparable aujourd’hui à lire et à écrire», dit Janice Richardson, consultant senior chez European Schoolnet, qui explique que «les enfants ont besoin d’apprendre à un âge précoce que la vie privée est votre bien le plus précieux, et un droit fondamental ».

Comme des conseils de base qui sont donnés par Kaspersky Lab afin d’éviter autant que possible les risques:

• Une bonne communication est essentielle. Il faut parler aux enfants au sujet de leurs expériences et préoccupations.
• Réalisez les premières étapes dans les réseaux sociaux avec eux pour créer le profil, activez les options de confidentialité, publiez votre premier poste …
• Les réseaux sociaux ont des restrictions d’âge. La plupart sont fixée à 13 ans. À cet âge, il est commode d’en profiter pour leur parler et leur expliquer leurs droits, les responsabilités et les préparer à l’entrée dans le monde numérique.
• Cela peut devenir un jeu, quelque chose que vous faites en famille: par exemple, l’impression de leur profil, accroché au mur, leurs postes … Ils pourront visualiser le public à qui est destiné chaque contenu.
• Établir des règles pour leur utilisation.
• Encourager les enfants à communiquer avec vous, ils vous apprendront de nouvelles applications récemment installées, les services qu’ils utilisent … Si cela devient une habitude depuis le début, il sera plus facile de partager des informations et de leur parler de la vie privée et de sécurité.

Denis Jacopini anime des conférences et des formations et est régulièrement invité à des tables rondes en France et à l’étranger pour sensibiliser les décideurs et les utilisateurs aux CyberRisques (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84).

Nous animons conférences et formations pour sensibiliser décideurs et utilisateurs aux risques en informatique, découvrir et comprendre les arnaques et les piratages informatiques pour mieux s’en protéger et se mettre en conformité avec la CNIL en matière de Protection des Données Personnelles. Nos actions peuvent être personnalisées et organisées dans votre établissement.

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article