Près de 20% des entreprises sont victimes d’escroqueries bancaires. La dernière ruse en vigueur est celle qui profite de la norme SEPA

Les organisations professionnelles et les pouvoirs publics s’émeuvent de ce phénomène croissant qui montre l’ingéniosité de ces escrocs de plus en plus pointus en terme de détournement d’informations saisies en entrant dans les systèmes informatiques et réseaux.

Une entreprise sur six  reconnait avoir été victime d’au moins une tentative de fraude en 2013. Les grandes PME sont les cibles préférées des escrocs.

Ce chiffre est le résultat d’une étude interne au secteur bancaire publié par la  Fédération Bancaire Française.

Une entreprise sur deux comptant entre 500 et 1.000 salariés avec un chiffre d’affaires supérieur à 75 millions d’euros a déclaré avoir été visée par une tentative de fraude.

Ce chiffre descend entre 10 et 15% pour les plus petites entreprises.

Si ces fraudes touchent tous les secteurs d’activité sans exception, elles concernent plus fréquemment le commerce, compte tenu du grand nombre de transactions réalisées dans ce secteur.

Trois types de fraude à souligner :

Les fraudes aux virements internationaux peuvent se présenter sous plusieurs formes, selon une note d’information publiée par le Service Régional de Police Judiciaire de Clermont-Ferrand (SRPJ).

1. La première d’entre elles est baptisée «escroquerie à la nigériane», en raison de l’origine des escrocs qui opèrent depuis l’Ouest africain.
   Ceux-ci détournent des transactions entre les entreprises françaises et leurs fournisseurs asiatiques.
   Leur méthode consiste à  envoyer des courriels aux entreprises en se faisant passer pour le fournisseur. Les fraudeurs parlent alors de «dysfonctionnements bancaires» et souhaitent que le prochain virement soit réalisé sur un compte «plus sécurisé» et …qui va donc tout droit chez eux !
2. Une autre technique de fraude est celle de l’«escroquerie au président » ou arnaque «au faux patron».
   Selon le SRPJ, cette méthode est «la plus redoutable». Les escrocs exigent des virements des responsables d’une entreprise, en se faisant passer pour leur PDG.
   Ce genre d’escroquerie nécessite selon les auteurs de l’étude  «une autorité naturelle, un certain aplomb et, un don pour la comédie» pour duper le comptable qui exécutera servilement les instructions écrites du « faux patron ».Ceci passe par plusieurs ruses:
   La première ruse consiste à insister sur le caractère urgent de la requête dans le cas d’un futur contrôle fiscal, ou autre évènement perturbateur annoncé.

   La seconde catégorie, dite de «l’ingénierie sociale», est d’effectuer une collecte d’informations sur l’entreprise via les réseaux sociaux pour en adopter les codes.

   Cette méthode qui touche un nombre restreint d’entreprise est de loin la plus redoutable car elle émane de bandes parfaitement organisées.

   Pour les petites entreprises, les méthodes de fraude les plus répandues restent toutefois les plus banales, comme la fraude à la carte bancaire volée ou usurpée.

3. Enfin la dernière ruse en vigueur  est celle qui profite de la norme SEPA, l’espace de paiement unique européen :Les escrocs se font passer pour le responsable informatique de la banque qui gère les comptes de l’entreprise ciblée. Ils arrivent alors à convaincre l’interlocuteur de la société d’effectuer une série de tests et, à distance, ils prennent le contrôle de l’ordinateur et effectuent des virements directement sur leur compte en banque.
   Cette technique est rendue possible par le système SEPA grâce auquel la banque n’a plus à se soucier de l’accord du client avant d’effectuer un virement.
   Le client peut toutefois contester l’opération dans le cas où il constate un virement anormal.

   60% des entreprises sont satisfaites de la réaction de leur banque.

4. Enfin, il existe aussi un dernière fraude, plus automatisée, moins humaine car basée sur le principe de fonctionnement des virus : Les ransomwares.Un ransomware, ou rançongiciel, est un logiciel malveillant qui prend en otage des données personnelles. Pour ce faire, un rançongiciel chiffre des données personnelles puis demande à leur propriétaire d’envoyer de l’argent en échange de la clé qui permettra de les déchiffrer.

   Un ransomware peut aussi bloquer l’accès de tout utilisateur à une machine jusqu’à ce qu’une clé ou un outil de débridage soit envoyé à la victime en échange d’une somme d’argent. Les modèles modernes de rançongiciels sont apparus en Russie initialement, mais on constate que le nombre d’attaques de ce type a grandement augmenté dans d’autres pays, entre autres l’Australie, l’Allemagne, les États-Unis.

   Malheureusement, cette stratégie criminelle s’est avérée rentable et c’est pourquoi de nouvelles versions de cheval de Troie plus puissantes sont apparues en 2014. Nous souhaitions vous avertir contre le ransomware « Onion » (aussi connu sous le nom de CTB-Locker) qui utilise le réseau anonyme TOR (The Onion Router) et les Bitcoins pour mieux protéger des autorités, les criminels, leurs fonds et leurs clés d’accès aux fichiers des victimes.

Cet article vous à plu ? Laissez-nous un commentaire (Source de progrès)

Source : 
https://www.aiservice.fr/News/2014/Septembre/depannage-informatique-domicile-paris-2014-429-entreprises-sont-victimes-escroqueries-bancaires-derniere-ruse-norme-sepa-espace-de-paiement-unique-europeen

http://blog.kaspersky.fr/ransomwares-tor-cryptolocker/

http://fr.wikipedia.org/wiki/Ransomware

http://acteursdeleconomie.latribune.fr/finance-droit/2014-06-26/kpmg-les-dessous-d-une-escroquerie-record-a-7-6-millions.html

« Escroquerie au dirigeant » ou « Escroquerie au Président » ça n’arrive pas qu’aux autres…

Denis JACOPINI

L’Escroquerie au Président : faux dirigeants et véritable escroquerie ! 

L’imagination humaine étant rarement à court d’idée ; une vague d’escroqueries est en recrudescence ces derniers temps : l’« Escroquerie au Président ».

Media Participations : 987000 euros (tentative)
Areva, Scor, Quick, Nestle, CMA CGM, Michelin : Montant inconnus (Tentatives)
Elysée : 2 millions d’euros (tentative)
Valrhona : 400000 euros (tentative)
Le groupe Terrena : 489 872 euros  puis 3,4 millions d’euros (tentative)

Brittany Ferries : 1 million d’euros (réussite)
Vinci : Montant non divulgué (réussite)
Robertet, l’un des leaders mondiaux des parfums implanté à Grasse : 900000 euros (réussite)
Société spécialisée dans l’optique dans le Pas-de-Calais : 497 000 euros (réussite) et 800 000 euros gelé au dernier moment par la police…
Michel (le transporteur) : 7000 euros (réussite)
KPMG : 7,6 millions d’euros (réussite)

Pour arriver à leurs fins, les aigrefins ont recours à des méthodes très pointues. Dans l’arnaque aux faux virements, ils commencent par mener une enquête fouillée sur leurs cibles. « Pendant un mois, une équipe se renseigne sur la société et ses filiales à l’étranger, témoigne Bernard Petit, sous-directeur à la lutte contre la criminalité organisée, l’un des pontes de la police. Elle collecte les PV d’assemblées générales et de conseils d’administration, et s’imprègne de la culture maison en étudiant les messages des dirigeants aux salariés ou les newsletters internes aux directeurs. » Les filous vont même jusqu’à enquêter sur la vie privée des cadres de l’entreprise. « Grâce aux réseaux sociaux, Facebook ou Twitter, ils peuvent savoir le prénom des enfants ou la date d’anniversaire de la secrétaire », relève Michèle Bruno, chef de la brigade de répression de la délinquance astucieuse.

En quelques années, les as de “l’escroquerie au Président”, comme l’appellent maintenant les spécialistes, ont prélevé environ 100 millions d’euros aux sociétés françaises et à leurs banques, selon le commissaire Souvira, patron de l’Office central de lutte contre la grande délinquance financière (OCLGDF) en Janvier 2013. « Jusqu’à deux tentatives par jour enregistrées dans les grands groupes français et pas moins de 700 faits ou tentatives recensés entre 2010 et 2014.=

.Mi 2014, 250 millions d’euros ont été extorqués par ce biais aux entreprises françaises depuis 2010.

Ce type de filouterie bénéficie d’un mode opératoire très simple :

–  Le fraudeur contacte, par téléphone ou par écrit, les services comptables de la société cible en se faisant passer pour son Président. Ces prises de contact ont fréquemment lieu en période de vacances, lorsque les dirigeants sont absents.

–  Il invoque alors une opération confidentielle en cours (facture urgente à régler, acquisition, contrôle fiscal…) nécessitant un virement conséquent et urgent à destination d’un pays étranger.

–  Devant l’urgence de la situation, la force de persuasion de l’interlocuteur (imitation de la voix, connaissance de l’organigramme de l’entreprise…) et l’intimidation dont il fait preuve (menace de licenciement) le comptable sollicité s’exécute.

Les opérations demandées sont généralement réalisés en dehors du processus habituel via une procédure de virement manuel, en raison de leur sécurisation moindre. Les sommes en jeu peuvent être considérables : entre 100.000 euros et plusieurs millions d’euros.

Afin de vous prémunir contre ce type d’escroquerie, plusieurs actions sont à réaliser en amont :

–  Informer vos salariés de ces manœuvres et mettre en place un processus de sécurisation ;

– Rappeler aux services comptables et financiers de s’en tenir strictement aux procédures habituelles appliquées en matière de paiement et de signaler à la DAF toute demande inhabituelle ;

– Ré-examiner les procédures de virements manuels pour s’assurer qu’elles sont correctement sécurisées, notamment prévoir un double contrôle pour tout virement important ;

– Examiner la sécurité des accès au système d’information de l’entreprise pour vérifier son intégrité et rappeler aux salariés l’importance de ne pas livrer sur les réseaux sociaux des informations qui pourraient être utilisées aux dépens de l’entreprise…. Tels que les données personnelles des dirigeants, leurs coordonnées, leur planning, tout acte présentant la signature d’un membre de la direction, le cachet de l’entreprise …

Si vous êtes victime d’une telle escroquerie, en premier lieu :

– Portez plainte dans les plus brefs délais, même si l’escroquerie a été déjouée ! Souvent cette démarche est accompagnée d’une usurpation de l’identité du Président ou de membres de la direction ;

– Prenez contact avec un avocat spécialisé pour vous aider à mettre en place la stratégie nécessaire à la défense des intérêts de votre société mais également des intérêts des personnes physiques dont l’identité aura été usurpée.

Ce type d’escroquerie se démultiplie ces derniers temps, nous accompagnons nombre de nos clients qui sont victimes de tentative de cette nature depuis ces 24 derniers mois : Les modes opératoires de ce type de fraude varient et continueront à se perfectionner.

Il faut rester vigilant et surtout réagir très vite lorsque vous avez connaissance d’une telle fraude ou tentative de fraude.

Claudia WEBER, Avocat Associée, et Arthur DUCHESNE, Elève Avocat

Au travers de conférences ou de formations, Denis JACOPINI sensibilise des directeurs, des cadres et des salariés aux risques induits par les nouveaux usages de l’informatique en entreprise et dans les collectivités, ainsi que leurs responsabilités pénales.
Contactez-nous

Cet article vous à plu ? Laissez-nous un commentaire (Source de progrès)

Source : 
http://www.itlaw.fr/fr/index.php/articles/287-l-escroquerie-au-president-faux-dirigeants-et-veritables-escroqueries

http://www.challenges.fr/entreprise/20120516.CHA6506/menace-sur-le-cac-40-les-nouveaux-escrocs-pechent-au-gros.html

http://business.lesechos.fr/directions-generales/partenaire/attention-a-l-escroquerie-au-president-4416.php

http://www.egaliteetreconciliation.fr/Alerte-sur-une-gigantesque-arnaque-israelienne-aux-faux-virements-26662.html

Alerte iCloud : une campagne de phishing tente de dérober des Apple ID

Comme en politique, un évènement chasse l’autre. Une bonne chose pour Apple qui, grâce au lancement imminent de l’iPhone 6, a visiblement réussi à faire oublier la fuite sur Internet des photos de nombreuses vedettes américaines et les faiblesses de la sécurité de son service iCloud.

Souvent opportunistes, les cybercriminels voient au contraire dans cette récente actualité une bonne occasion de parvenir à leurs fins. Symantec signale ainsi le lancement d’une campagne de phishing visant justement à moissonner Apple ID et mots de passe auprès des utilisateurs d’Apple.

Attention, achat illicite sur votre compte ! Cliquez, vite !
La recette reste invariablement la même : des emails sont envoyés aux internautes et se présentent comme légitimes, ici envoyés par Apple. Le destinataire est ainsi informé d’un risque de compromission de son compte, un achat ayant été réalisé par son intermédiaire, depuis une IP en Russie.

Sans plus de surprise, l’internaute est prié de se rendre sur un site, reproduction d’un formulaire d’authentification d’Apple, afin de se connecter à son compte en saisissant pour cela son identifiant ainsi que son mot de passe. L’utilisateur abusé transmettra alors ses données d’accès aux pirates.

Et c’est peut-être notamment par le biais de mail de phishing que certaines des célébrités, utilisatrices d’iCloud, ont pu être abusées récemment et des photos intimes dérobées. Car selon Apple, ces informations ont été obtenues seulement par l’intermédiaire d’attaques ciblées et non grâce à une intrusion dans ses serveurs.

Néanmoins, dans une interview,  Tim Cook s’est engagé à renforcer la sécurité de son service en ligne : authentification à deux facteurs, alerte mail lors de tentatives de modification du mot de passe, de la restauration des données iCloud sur de nouveaux terminaux ou de l’authentification depuis un terminal Apple encore non-enregistré.

Cet article vous à plu ? Laissez-nous un commentaire (Source de progrès)

Source : 
http://www.zdnet.fr/actualites/icloud-une-campagne-de-phishing-tente-de-derober-des-apple-id-39806035.htm

15 millions de terminaux mobiles seraient infectés d’un malware

Le cabinet Kindsight Security Labs du groupe Alcatel Lucent, a publié son rapport semestriel sur la sécurité des terminaux mobiles (smartphones et PC portables). Parmi les principaux malwares identifiés, le nombre de spywares augmenterait, certains allant jusqu’à récupérer des informations personnelles. D’autres effectuent des appels ou envoient des SMS vers des numéros surtaxés.

D’après les analystes entre janvier et juin 2014, le nombre d’infections touchant les terminaux mobiles a progressé de 17%. A titre de comparaison, sur l’année 2013 complète ce chiffre était de 20%. Sur l’ensemble des appareils en circulation l’on estime que 0,65% d’entre eux sont infectés d’un malware, soit 15 millions d’appareils à travers le monde.

Les smartphones équipés d’Android comptent 60% des équipements mobiles infectés contre 40% pour les PC portables équipés de Windows. De leur côté, les iPhone, les BlackBerry, les téléphones sous Symbian et sous Windows Phone totaliseraient moins de 1%.

Rouge: Android – Bleu : Windows

Le cheval de Troie Android.Trojan.Coogos.A!tr représenterait 35,69% des attaques ciblant Android. Ce dernier vérifie si le smartphone de la victime est rooté et télécharge automatiquement un fichier. Ce malware récupère en outre les numéros IMEI et IMSI pour les envoyer vers un serveur en Chine. A ses débuts Coogos.A!tr se présentait sous la forme d’un fond d’écran dynamique à installer. ll est aujourd’hui distribué au sein d’un jeu.

Retrouvez l’étude dans son intégralité. (PDF)

Cet article vous à plu ? Laissez-nous un commentaire (Source de progrès)

Source : http://pro.clubic.com/it-business/securite-et-donnees/actualite-725971-etude-15-smartphones-infectes-malware.html

Comment sont volés les smartphones

Une étude menée par IDG pour Lookout auprès de 2403 personnes tente de détailler le phénomène. Ainsi, parmi les utilisateurs détroussés, 32% des interrogés européens l’ont été par des pickpockets. Evidemment, le ton résolument alarmiste de l’étude doit être relativisé dans le sens où Lookout propose des solutions de sécurité pour les mobiles…

Le vol à l’arraché ou par ruse reste donc et de loin, le principal moyen de voir son précieux portable disparaître. L’oubli ne représente que 18% des pertes tandis que le vol à la maison ou dans sa voiture représente 11% des larcins.

Le lieu du délit varie selon les régions. Les Anglais constatent plus souvent des vols au bar, au pub ou en discothèque (23%). En France en revanche, les transports en commun semblent être le lieu de prédilection des voleurs (17%).

Prêts à payer pour récupérer leurs données
L’étude nous apprend également qu’il y a des heures « plus propices » aux vols. « Que ce soit au Royaume-Uni, en France ou Allemagne, la tranche horaire comprise entre midi et dix-sept heures semble être la plus courue des malfrats », peut-on lire.

Et le smartphone est désormais tellement une extension de sa personne que les utilisateurs sont prêts à prendre des risques pour le récupérer. Les Allemands semblent être les moins timides et les plus téméraires, 89% d’entre eux (71% au Royaume-Uni et 68% en France) étant prêts à se mettre en situation relativement dangereuse pour récupérer leur smartphone volé.

Pire, une victime sur 5 serait prête à payer 750 euros pour récupérer ses données perdues ! De quoi donner des idées, pas forcément très légales.

Les victimes françaises qui passent à l’action en cas de vol de leur téléphone procèdent de manière très organisée, la majorité d’entre eux déposant plainte auprès de la police locale (71%) et informant leur opérateur (74%). En Allemagne en revanche, seulement 58% des victimes signalent le vol à leur opérateur et 63% portent plainte auprès de la police.

Au lieu de cela, 26% des Allemands tendent à utiliser une application de localisation de mobiles (contre 17% de Français et 19% de Britanniques) lorsque leur téléphone est volé.

Avec des smartphones de plus en plus puissants et chers, il faudra encore renforcer les mesures anti-vol ce qui semble être le cas avec la généralisation de la fonction ‘kill switch’.

La Californie vient ainsi de passer une loi qui contraindra les constructeurs à proposer ce ‘kill switch’ à l’utilisateur sur tous les portables vendus en Californie à compter du 1er juillet 2015. Ce n’est pas une première : le Minnesota avait ainsi déjà fait passer une loi comparable en mai.

De plus, les constructeurs ont déjà pris les devants. C’est notamment le cas d’Apple, qui propose à ses clients un ‘kill switch’ permettant de désactiver à distance les fonctionnalités de l’iPhone. Au mois de juin, le procureur général de la ville de New York avait ainsi plaidé en faveur de la mise en place de cette fonction, expliquant notamment que les vols d’iPhone avaient chuté de 38% d’une année sur l’autre, suite au déploiement de cette fonctionnalité au sein d’iOS 7.

Cet article vous à plu ? Laissez-nous un commentaire (Source de progrès)

Source : 
http://www.zdnet.fr/actualites/comment-sont-voles-les-smartphones-39805631.htm

Le travail du futur va s’appuyer sur le numérique et le partage de données

Les avancées technologiques auront un impact conséquent sur le monde du travail dans les cinq à dix années à venir, c’est l’avis que partagent 53% des personnes interrogées par PwC lors de sa dernière étude portant sur le devenir du travail en 2022. 10 000 employés ont été interrogés en Allemagne, Chine, Etats-Unis, Inde et Royaume-Uni, ainsi que 500 professionnels des ressources humaines, afin de recueillir leur point de vue sur l’évolution de leur lieu de travail et le management de la main-d’œuvre. Si les innovations technologiques auront le plus gros impact sur la manière de travailler dans le futur, la gestion des ressources climatiques, économiques et démographiques influenceront également – quoique dans une moindre mesure – le travail des employés interrogés.

Le partage des données comme outil de performance
Point sensible mais nerf central, l’utilisation des données personnelles par l’employeur dans le but d’améliorer la performance des employés et mieux comprendre leurs motivations au travail. Presqu’un tiers des sondés n’y sont pas opposés dès lors que les données personnelles se résument à leur profil sur les réseaux sociaux ou leur profil de santé. Une proportion liée à l’arrivée dans la décennie à venir de la génération Y sur le marché du travail, et qui constituera la moitié de la main-d’œuvre d’ici à 2022. Cette génération est particulièrement à l’aise avec le partage de ses données pour l’amélioration de son mode de travail. A terme, à l’instar des commerçants qui collectent des informations sur leurs clients pour offrir une meilleure offre, les entreprises collecteront des données sur leurs employés.

L’impact du numérique, positif ou négatif ?
Plus de la moitié des sondés (64%) considèrent que les technologies constituent un moyen d’améliorer les perspectives d’emploi. L’utilisation du numérique a un impact sur les horaires de travail classiques qui se trouvent bouleversées. Cela apporte flexibilité au travail mais le revers de la médaille se ressent sur la séparation vie professionnelle/vie privée. Ainsi, 59% des sondés disent être joignables à tout moment afin de s’assurer un poste ou une embauche. Concernant les employés de la génération Y, 64% partagent cet avis. La technologie n’est pas seulement source d’opportunités, et certains la considèrent comme une menace puisqu’un quart des sondés pense que l’automatisation des tâches pourrait avoir un risque sur leur poste.

Par Eliane HONG 01 septembre 2014

Cet article vous à plu ? Laissez-nous un commentaire (Source de progrès)

Source : 
http://www.atelier.net/trends/articles/travail-futur-va-appuyer-numerique-partage-de-donnees_431005

Nouveau vol de données : Home Depot victime d’une cyberattaque et d’un vol massif de données ?

Home Depot pourrait bien être la dernière enseigne américaine de la distribution à avoir fait l’objet d’une attaque informatique de grande envergure avec pour conséquence le vol de données bancaires de ses clients.

Toutefois, pour l’heure, l’entreprise ne confirme pas une telle menace. Le commerçant se borne pour le moment à faire savoir qu’il a identifié une « activité inhabituelle » en lien avec ses données de clientèle.

Néanmoins, plusieurs éléments semblent attester d’une fuite de données sensibles, dont l’ampleur reste à évaluer. D’après Brian Krebs, un spécialiste de la sécurité, Home Depot collabore avec les forces de police et « plusieurs banques » soupçonnent l’enseigne d’être la source de l’utilisation illicite de données bancaires vendues au marché noir.

Dernier naufrage d’une enseigne de distribution ?
« Protéger les données de nos clients est pour nous un sujet de très grande importante et nous faisons actuellement tout notre possible pour réunir des faits tout en nous efforçant de protéger les clients » commente auprès de la presse une porte-parole de Home Depot, qui admet la possibilité d’une faille.

« Si nous confirmons qu’une fuite s’est produite, nous nous assurerons que nos clients sont prévenus immédiatement » précise-t-elle ainsi. Et pour Brian Krebs, il y a bien eu fuite. Celle-ci aurait débuté en avril dernier et concernerait les 2.200 magasins de Home Depot aux US.

La faille pourrait ainsi s’avérer de plus grande ampleur que celle qui a touché Target en 2013, et pourtant déjà affecté plus de 110 millions de données clients (numéros de cartes, codes PIN et informations personnelles).

Cet article vous à plu ? Laissez-nous un commentaire (Source de progrès)

Source : 
http://www.zdnet.fr/actualites/home-depot-victime-d-une-cyberattaque-et-d-un-vol-massif-de-donnees-39805665.htm

73% des entreprises ne sont pas prêtes après un sinistre dans le cloud

L’utilisation massive du cloud pour héberger les applications critiques des entreprises multiplie les risques en cas de sinistre sur les équipements. Or, les entreprises ne semblent pas prêtes dans ce scénario à restaurer rapidement l’activité. Telle est la conclusion d’une étude mondiale menée pour Unitrends, un spécialiste des plans de reprise d’activité.

Les chiffres sont assez parlants : 78% des personnes interrogées ont connu des coupures des applications critiques, dont 63% estiment que les pertes ainsi engendrées vont de quelques centaines de dollars à plus de 5 millions. 28% des entreprises touchées par un incident estiment que leurs entreprises ont été privées de fonctions clés de leurs datacenters pendant des périodes pouvant aller jusqu’à plusieurs semaines.

« Le phénomène est particulièrement prégnant en Amérique du Nord où les ruptures d’alimentation énergétique des datacenters sont fréquentes. Mais on peut aussi évoquer la complexité de la cartographie applicative et les erreurs humaines », explique à ZDNet.fr, Carlos Escapa, SVP chez Unitrends.

Or, 73% des entreprises déclarent ne pas prêtes pour la restauration après sinistre. 64% des personnes interrogées estiment que le budget alloué par l’entreprise au plan de restauration après sinistre est inadapté et insuffisant. Et plus de 60% estiment qu’elles n’ont pas complètement documenté leur plan de reprise d’activité. Parmi la minorité qui dit l’avoir correctement renseigné, 23% n’ont jamais testé ces plans de reprise d’activité.

78% des entreprises interrogées ont subi des coupures dans les applications critiques
Evidemment, ces chiffres alarmants sont à relativiser étant donné que la source de cette étude n’est autre qu’un fournisseur de solutions dédiées aux PRA (plans de reprise d’activité) issus d’environnements virtualisés. Mais ils illustrent une tendance : le passage des applications critiques dans le cloud n’a pas été suivi d’un adaptation des PRA.

« Les pannes de service ne sont pas tolérables, encore moins aujourd’hui avec des processus qui s’appuient sur des applications, notamment mobiles », ajoute le responsable. « La protection des données ne suffit pas et les directions prennent conscience de l’importance de PRA adaptés ».

Cette prise de conscience est désormais en progressions dans les directions et les DSI « car les applications mobiles sont au coeur du business », résume prosaïquement Carlos Escapa. « Et puis, il y a la pression des contraintes légales comme Bâle 2 qui impose à certains secteurs des politiques précises en matière de panne ».

Pour autant, le chiffre de 73% d’entreprises pas prêtes paraît colossal. « Cela ne nous étonne pas. La plupart des PME estime que les PRA sont trop coûteux et estiment mal le risque financier de sinistre dans les datacenters. Notre discours est de dire qu’avec le cloud, le ticket d’entrée est moins élevé, ce qui permet d’adresser les entreprises plus petites ».

L’argumentaire est d’autant plus complexe à tenir qu »il n’y pas moyen de calculer le ROI d’un projet PRA », reconnaît notre interlocuteur. Tout en précisant « qu’en France, la prise de conscience est forte ».

Unitrends, qui affiche un chiffre d’affaires de 65 millions de dollars (+57% sur un an) indique protéger 1 exabyte de données dans le monde, et ses technologies de backup permettent de garantir un rétablissement après sinistre de une heure.

Par Olivier Chicheportiche | Lundi 01 Septembre 2014

Cet article vous à plu ? Laissez-nous un commentaire (Source de progrès)

Source : 
http://www.zdnet.fr/actualites/reprise-d-activite-73-des-entreprises-ne-sont-pas-pretes-apres-un-sinistre-dans-le-cloud-39805553.htm

5 conseils pour protéger ses photos et données perso dans le cloud

Avec le piratage des photos nues de stars féminines, le problème de la sécurité des services cloud se rappelle à notre bon souvenir. Externaliser le stockage de ses données auprès d’un service en ligne peut être très pratique, mais cela présente aussi des risques, et même de plus en plus. Lors des dernières conférences de sécurité BlackHat et Defcon à Las Vegas, les experts en sécurité sont d’ailleurs unanimes à ce sujet : à force d’interconnecter de plus en plus de services en ligne et d’objets, on augmente la surface d’attaque, et donc le risque de se faire pirater. « Un bon hacker suffisamment motivé peut pirater presque n’importe quoi aujourd’hui », estime même Dan Geer, un expert américain reconnu en sécurité informatique.

Mais alors, le combat est-il perdu d’avance ? Par forcément, car il existe un certain nombre de règles de bons sens qui permettent quand même de limiter le risque.

1)  Evitez le cloud pour stocker des données confidentielles. Stocker ses photos sur iCloud ou Google Drive, c’est très pratique, notamment pour les synchroniser et les partager avec vos amis. Mais, de grâce, n’y mettez pas les clichés de vos derniers ébats sexuels. Vous pourriez le regretter.

2)  Utilisez un bon mot de passe. Certains experts pensent que le service d’Apple a été victime d’un attaque par force brute, c’est-à-dire le test une par une de toutes les combinaisons possibles (voir ci-dessous). Avec un mot de passe tel que « 0123456 », votre compte explose en quelques secondes. Choisissez, de préférence, une suite aléatoire de chiffres et de lettres. Evidemment, il est impossible de s’en souvenir, c’est pourquoi il faut utiliser un gestionnaire de mots de passe tel que 1pass ou LastPass.

3)  Chiffrez vos données. Si vous avez des données confidentielles et que vous voulez quand même utiliser le cloud, il y a une solution : le chiffrement préalable. Les données sont d’abord cryptées par un logiciel tel que TrueCrypt, puis envoyées vers le service de stockage en ligne. Même en cas de vol, les données sont (théoriquement) inutilisables. Certains services en ligne, comme SpiderOak, intègrent d’emblée cette procédure de chiffrement, la rendant plus simple d’usage (technologie Zero-Knowledge). Le revers de la médaille est que le chiffrement n’autorise pas certaines fonctionnalités très pratiques comme le partage ou la modification en ligne. Il faut faire un choix…

4)  Analysez la sécurité de votre fournisseur. Tous les fournisseurs cloud ne sont pas au même niveau technologique. Certes, tous utilisent au minimum le chiffrement HTTPS, mais qu’en est-il du chiffrement des communications entre les datacenters (comme l’ont implémenté Google et Yahoo désormais) ? Le fournisseur propose-t-il l’authentification à deux étapes (comme Twitter, Google + ou Apple) ? Utilise-t-il la technologie Perfect Forward Secrecy pour blinder encore plus ses communications chiffrées (comme Microsoft ou Twitter) ? Cette analyse n’est pas aisée à faire, mais elle s’impose dès lors que les données sont sensibles.

5)  Ne partagez pas tout avec n’importe qui. Le niveau de sécurité de vos données est égal au plus bas niveau de sécurité mis en place par vos amis avec qui vous les partagez. C’est le principe du maillon faible. Donc, sélectionnez bien les amis avec qui vous partagez vos photos confidentielles. Evitez, par exemple, d’inclure votre ex-petit ami(e) dans la liste…

Gilbert Kallenborn01netle 02/09/14 à 15h09

Pour information, Denis JACOPINI et son équipe proposent des solutions pour protéger vos données :

– protection contre la perte de données

– protection contre la fuite de données

– cryptage de clés usb, d’ordinateurs, d’espace Cloud ou de données

– renforcement des autorisations (sécurité avancée par SMS, biométrie…)

Audit – Conseils – Sensibilisation/Formation des utilisateurs à la sécurité informatique

Contactez-nous

Cet article vous à plu ? Laissez-nous un commentaire (Source de progrès)

Source : 
http://www.01net.com/editorial/625810/vol-de-photos-de-nus-5-conseils-pour-proteger-ses-donnees-dans-le-cloud/#?xtor=EPR-1-NL-01net-Actus-20140902

L’Internet des objets ne doit pas devenir un cauchemar pour la sécurité des entreprises

C’est ce que dit en substance Mark O’Neill, vice-président de l’innovation chez Axway. Dans un récent article publié dans le Science Technology Magazine, il presse les responsables IT de commencer à s’intéresser de plus près à la sécurité de l’IoT.

« Chaque appareil intelligent, chaque application connectée récolte des données et chaque appareil intelligent, chaque application connectée risque d’exposer ces données. Les entreprises promettant une expérience exceptionnelle avec leurs produits et services connectés à l’Internet des objets doivent tenir cette promesse avec une sécurité sans précédent. »

Il estime qu’il faut prendre en compte les implications d’une chaîne d’approvisionnement bien équipée en capteurs et appareils intelligents. « Les entreprises laissent des données sensibles dans la nature et risquent une perturbation de leur chaîne d’approvisionnement si elles ne s’inquiètent pas de la sécurité quand elles utilisent codes barres, RFID ou GPS pour surveiller le fonctionnement de leur chaîne, et quand elles connectent à Internet des fonctionnalités traditionnellement gérées derrière le pare-feu de l’entreprise. »

Le temps où « les fabricants pouvaient masquer leurs API et espérer que les hackers ne les localisent et ne les manipulent pas » est révolu, ajoute Mark O’Neill.

Il y a diverses façons de mitiger ces risques. Les portails et passerelles de déploiement d’API [« API portals » et « API gateways », NdT] sont des mesures pro-actives qui peuvent aider à sécuriser un objet connecté. « La sécurité doit être pensée au niveau de l’API », affirme-t-il [sans étonnement, puisque c’est la solution que propose Axway, NdT]. Cela permet de donner « un contrôle complet de la sécurité des appareils aux vendeurs et aux fabricants, qui est dans le monde de l’Internet des objets l’endroit le plus sûr pour gérer la sécurité… Les API peuvent être le point à partir duquel les entreprises imposent leurs politiques de protection des données et de sécurité. »

Les API Gateways « permettent aux API de recevoir des patchs virtuels, une forme de sécurité montante qui évite que le trafic malicieux puisse atteindre l’API sans modifier le fonctionnement de l’appareil. Les patchs virtuels fonctionnent sans modifier le code source de l’API et permettent de gérer les risques rapidement. »

Les API Portals « permettent aux développeurs de voir comment les appareils utilisent les API dans le temps. » Ce qui permet aux entreprises de produire des audits, utiles pour « aider à enquêter sur les attaques d’API et assurer la conformité avec les réglementations de l’industrie. » Ces données sont une nécessité absolue dans certains domaines comme la santé, ajoute O’Neill. De plus, « les entreprises utilisent de plus en plus les API pour la collaboration B2B et l’échange de données ; dans ces cas précis les enregistrements d’audits pour les API peuvent être utilisés comme des méthodes de traçage sur la façon dont les gens accèdent à l’information ».

Cet article vous à plu ? Laissez-nous un commentaire (Source de progrès)

Source : 
http://www.zdnet.fr/actualites/l-internet-des-objets-ne-doit-pas-devenir-un-cauchemar-pour-la-securite-des-entreprises-39805409.htm