Les caméras de surveillance de Washington paralysées par le Ransomware again

Quelques jours avant l’investiture de Donald Trump, la ville de Washington a fait face à une mauvaise surprise : selon le Washington Post, les cameras de la ville ont été victimes d’un malware de type ransomware qui les a rendus inutilisables, empêchant l’enregistrement d’image pendant plusieurs jours.

L’attaque a été détectée lorsque la police a réalisé que quatre caméras municipales ne fonctionnaient pas correctement et a contacté son prestataire informatique afin de résoudre le problème. La société a immédiatement détecté la présence de deux types de ransomware au sein des cameras, ce qui les a poussés à lancer une évaluation globale portant sur l’ensemble des appareils connectés au réseau de la ville. Au total, 123 caméras sur les 187 connectées au réseau présentaient des signes d’infection.

Les services municipaux n’ont néanmoins pas eu besoin de sortir leur porte-monnaie bitcoin pour remettre le système en route : une simple réinitialisation des cameras utilisées a permis de se débarrasser du malware et de relancer le fonctionnement. Le CTO de la ville a précisé qu’aucune rançon n’avait été payée par la ville et que le malware n’avait pas cherché à accéder au reste du réseau interne de la ville de Washington DC.

Washington s’en sort donc plutôt bien, contrairement à cet hôtel de luxe qui s’est vu contraint de payer les opérateurs d’un ransomware qui avaient bloqué l’ensemble du système de clef magnétique utilisé pour accéder aux chambres. Mais peu d’informations ont été diffusées par la ville sur la nature exacte de l’attaque, du ransomware ou même de la demande de rançon.

Notre métier : Vous aider à vous protéger des pirates informatiques (attaques, arnaques, cryptovirus…) et vous accompagner dans vos démarches de mise en conformité avec la réglement Européen relatif à la protection des données à caractère personnel (RGPD).

Denis JACOPINI est Expert Judiciaire en Informatique, Diplômé en Cybercriminalité (Droit, Sécurité de l’information & Informatique légale), Diplômé en Droit de l’Expertise Judiciaire et Risk Manager ISO 27005, spécialisé en Cybercriminalité et en protection des Données à Caractère Personnel.

Par des actions de formation, de sensibilisation ou d’audits dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article

Des fabricants d’objets connectés poursuivis en raison de failles de sécurité

Et de trois ! La plainte déposée en janvier 2017 contre D-Link fait partie du plan de campagne de la FTC visant à renforcer la confidentialité et la sécurité des consommateurs par rapport à ce que l’on appelle l’Internet des objets (IoT). La FTC avait déjà dégainé deux fois, contre ASUS (un fabricant de matériel informatique) et TRENDnet (un distributeur de caméras vidéo).

IoT ?

Internet se transforme progressivement en un réseau étendu, appelé « Internet des objets », reliant tous les objets devenus connectables. Cette évolution soulève de nombreuses questions concernant la croissance économique et les mutations sociales, mais aussi les libertés individuelles et la souveraineté nationale, auxquelles les décideurs publics devront au plus tôt répondre. (http://www.strategie.gouv.fr).

Selon certaines études, c’est pas moins de 80 milliards d’objets connectés qui interagiront d’ici 2020. De la montre intelligente au téléphone, en passant par le frigo connecté, la webcam, le système d’alarme, la domotique, les outils de Smartcities (parcmètres, etc.), … la liste est quasiment infinie.

À côté des enjeux sociétaux, il y en a un autre dont on parle de plus en plus souvent : la sécurité.

La sécurité, enjeu technique mais aussi juridique

Les objets connectés ont, pour certains, mauvaise réputation. Surtout lorsqu’il s’agit objets connectés ayant une petite valeur économique. On songe par exemple aux webcams connectées à l’Internet. On peut en acheter pour quelques dizaines d’euros. Le problème vient du fait qu’étant connectés à l’Internet, ces objets représentent un point de faiblesse s’ils ne sont pas bien conçus et protégés. Une personne malintentionnée peut utiliser cet appareil connecté pour pénétrer le réseau, et ensuite s’y balader.

Exemples : si le système d’alarme connecté à l’Internet est mal protégé au niveau du routeur, on pourrait le désactiver à distance et entrer dans la maison. Si la webcam est mal protégée, on pourrait observer à distance une personne, voire enregistrer ses conversations, et la faire chanter ensuite.

La Federal Trade Commission a déposé une plainte contre le fabricant de matériel de réseau informatique Taiwanais D-Link Corporation et sa filiale américaine, alléguant que les mesures de sécurité inadéquates prises par la société ont laissé ses routeurs sans fil et caméras Internet vulnérables aux attaques de pirates, mettant en danger la sécurité et la vie privée des consommateurs américains.

Dans une plainte déposée dans le district nord de la Californie, la FTC a accusé D-Link de ne pas prendre de mesures raisonnables pour sécuriser ses routeurs et ses caméras (de surveillance) connectées, créant un risque important pouvant aller jusqu’à l’interception des flux audio et vidéo. En clair : on vous observe en vidéo ou on vous écoute, sans que vous le sachiez !

Pour la FTC, « les pirates informatiques ciblent de plus en plus les routeurs et les caméras IP – et les conséquences pour les consommateurs peuvent inclure non seulement un problème de défectuosité du matériel, mais aussi un enjeu en termes de sécurité de l’individu et de sa vie privée. Lorsque les fabricants disent aux consommateurs que leur équipement est sécurisé, il est essentiel qu’ils prennent les mesures nécessaires pour s’assurer que ce soit vrai ».

La sécurité est-elle défaillante ?

La FTC relève notamment :

• Défaut de sécurité lié aux identifiants de connexion intégrés en usine. Si tous les appareils d’un même modèle sortent de l’usine avec un paramétrage par défaut comprenant une identification et un mot de passe identiques, le risque est important que ces réglages d’usine ne soient pas modifiés par l’utilisateur, créant une voie d’entrée royale pour les pirates ;
• Sécurité insuffisante par rapport aux attaques par injection de commande. Ces attaques permettent d’utiliser une page d’erreur pour poser une série de questions de type True/False afin de prendre le contrôle total de la base de données ou d’exécuter des commandes sur un système. On en a beaucoup parlé avec les consoles de jeu en 2016.
• Mauvaise gestion d’un code d’accès privé utilisé pour se connecter au logiciel D-Link, ouvert sur un site public pendant six mois ;
• Absence de sécurisation des informations d’identification des utilisateurs pour l’application mobile (texte clair et lisible sur les appareils mobiles) alors qu’il existe des logiciels disponibles pour sécuriser ces informations.

Selon la plainte, les pirates pourraient exploiter ces vulnérabilités en utilisant plusieurs méthodes relativement simples.

Par exemple, en utilisant un routeur compromis, un pirate pourrait obtenir les déclarations de revenus des consommateurs ou d’autres fichiers stockés sur le périphérique de stockage attaché du routeur. Ils pourraient rediriger un consommateur vers un site Web frauduleux ou utiliser le routeur pour attaquer d’autres périphériques sur le réseau local, tels que des ordinateurs, des smartphones, des caméras IP ou d’autres appareils connectés.

Autre exemple : la FTC allègue qu’en utilisant une caméra compromise, un pirate pourrait surveiller le lieu où se trouve le consommateur afin de les cibler en cas de vol ou d’autres crimes, ou de regarder et d’enregistrer leurs activités personnelles et leurs conversations.

Original de l’article mis en page : Internet des objets : des fabricants poursuivis en raison des failles de sécurité des objets connectés – Droit & Technologies

Notre métier : Vous aider à vous protéger des pirates informatiques (attaques, arnaques, cryptovirus…) et vous accompagner dans vos démarches de mise en conformité avec la réglement Européen relatif à la protection des données à caractère personnel (RGPD).

Denis JACOPINI est Expert Judiciaire en Informatique, Diplômé en Cybercriminalité (Droit, Sécurité de l’information & Informatique légale), Diplômé en Droit de l’Expertise Judiciaire et Risk Manager ISO 27005, spécialisé en Cybercriminalité et en protection des Données à Caractère Personnel.

Par des actions de formation, de sensibilisation ou d’audits dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article

Des pirates informatiques demandes une rançon pour débloquer les serrures électroniques d’un hôtel de luxe

Des pirates informatiques ont transformé les vacances de plusieurs clients d’un hôtel autrichien en un véritable cauchemar. En effet, ils ont utilisé un ransomware qui a ciblé le système de sécurité et a désactivé les clés électroniques de l’établissement, en coinçant les touristes à l’extérieur de leurs chambres. La caisse, les ordinateurs et le système de réservation ont été également bloqués par l’attaque. L’affaire s’est déroulée au début de la dernière saison hivernale dans le Romantik Seehotel Jaegerwirt, situé près d’un lac idyllique au milieu des Alpes autrichiennes.

À vrai dire, les responsables de l’établissement affirment qu’il s’agit de la troisième attaque informatique menée par ces pirates informatiques, qui demandent chaque fois des rançons de plusieurs milliers d’euros. Cette fois, les propriétaires ont dû payer 1 500 euros en bitcoin pour pouvoir rétablir le système et réactiver les clés magnétiques.

L’ÉTABLISSEMENT AVAIT 180 CLIENTS, IL N’Y AVAIT PAS D’AUTRE CHOIX

Le directeur général de l’hôtel, Christoph Brandstaetter, explique : « L’établissement avait 180 clients, nous n’avions pas d’autre choix. Ni la police, ni l’assurance vous aide dans ce cas-là. » Payer la rançon était la solution la plus rapide et la plus efficace d’après le directeur.

Cependant, Brandstaetter ajoute avec frustration manifeste : « La réactivation de notre système, après la première attaque de cet été, nous a coûté plusieurs milliers d’euros. Nous n’avons reçu aucun remboursement de la part de l’assurance, parce que les coupables n’ont pas été trouvés. » Ainsi, l’hôtel devient malheureusement une double victime des nouvelles technologies et d’un système bureaucratique sans pitié.

Mais Brandstaetter avoue que son hôtel n’est pas un cas isolé : « Nous savons que d’autres collègues ont subi ces attaques, qui se sont déroulées de la même façon. »

Finalement, pour contraster efficacement les prochains attaques informatiques, l’équipe de l’hôtel a décidé de s’appuyer sur un système efficace. Après avoir remplacé les ordinateurs, l’établissement utilisera à nouveau des clés traditionnelles et des serrures. Et Brandstaetter de conclure : « Nous sommes en train de planifier la rénovation des chambres pour installer des serrures avec de véritables clés. Comme c’était au temps de nos arrière-grand-pères il y a 111 ans  »…

Notre métier : Vous aider à vous protéger des pirates informatiques (attaques, arnaques, cryptovirus…) et vous accompagner dans vos démarches de mise en conformité avec la réglement Européen relatif à la protection des données à caractère personnel (RGPD).

Denis JACOPINI est Expert Judiciaire en Informatique, Diplômé en Cybercriminalité (Droit, Sécurité de l’information & Informatique légale), Diplômé en Droit de l’Expertise Judiciaire et Risk Manager ISO 27005, spécialisé en Cybercriminalité et en protection des Données à Caractère Personnel.

Par des actions de formation, de sensibilisation ou d’audits dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article

Comment s’authentifier sur Facebook avec une clé USB chiffrée ?

Marre de retenir les mots de passe ? La réponse est peut-être dans les clés USB sécurisées, autrement appelées U2F (Universal Second Factor). Ce standard a été développé par Google, Yubico et NXP au sein de l’alliance FIDO (Fast Identity Online).

Facebook vient d’annoncer le support de ce type de support pour s’authentifier. Plutôt que de taper un code à caractères multiples en plus d’un mot de passe, l’abonné Facebook saisit ses identifiants et place la clé dans le port USB de son terminal. Il l’active en appuyant sur le bouton central lorsque le réseau social l’y invite.

Déverrouillage en NFC aussi

Disposant de la technologie NFC, il est possible de déverrouiller un compte Facebook sur un smartphone Android à condition d’utiliser les dernières versions de Chrome et Authentificator. Sur la partie PC, la technologie U2F est compatible avec Chrome et Opera. Firefox travaille sur le sujet.

A noter que la clé USB U2F n’est pas une clé traditionnelle, mais bien une clé USB spécifique. Elle se trouve chez des e-commerçants pour une vingtaine d’euros. Cette clé n’est pas à usage unique, elle permet de s’authentifier sur plusieurs autres services comme les services Google (Gmail, etc), GitHub, BitBucket, FastMail, DashLane ou WordPress.

Notre métier : Vous aider à vous protéger des pirates informatiques (attaques, arnaques, cryptovirus…) et vous accompagner dans vos démarches de mise en conformité avec la réglement Européen relatif à la protection des données à caractère personnel (RGPD).

Denis JACOPINI est Expert Judiciaire en Informatique, Diplômé en Cybercriminalité (Droit, Sécurité de l’information & Informatique légale), Diplômé en Droit de l’Expertise Judiciaire et Risk Manager ISO 27005, spécialisé en Cybercriminalité et en protection des Données à Caractère Personnel.

Par des actions de formation, de sensibilisation ou d’audits dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article

La CyberMenace jihadiste grandit

D’autant qu’ils sont déjà en mesure de trouver, auprès de hackers et de mercenaires de l’ère digitale prêts à tout pour de l’argent, les capacités techniques qui leur manquent pour utiliser internet pour autre chose que de la propagande et du recrutement, ajoutent-ils.
« Daech (acronyme arabe du groupe État islamique), Al Qaïda, tous les groupes terroristes aujourd’hui : nous avons le sentiment que pour l’instant, ils ne disposent pas des compétences offensives cyber », déclare à l’AFP Guillaume Poupard, directeur de l’Agence nationale des systèmes d’information (ANSSI).
« Ces compétences sont compliquées à acquérir, même si ce n’est pas l’arme atomique. Avec quelques dizaines de personnes, un petit peu d’argent mais pas tant que ça, il y a la possibilité d’être efficace. Ils pourraient monter en compétence. Nous avons le sentiment que pour l’instant ils n’y sont pas. Ils ont d’autres soucis, et c’est compliqué pour eux », ajoute-t-il à Lille, où il a participé mercredi au 9e Forum international de la Cybersécurité.

« Les voir à court terme mener des attaques informatiques avec des impacts majeurs, on n’y croit pas trop. En revanche ça pourrait changer très vite. Notre vraie crainte, et on y est peut-être déjà, c’est qu’ils utilisent les services de mercenaires. Ce sont des gens qui feraient tout et n’importe quoi pour de l’argent », ajoute-t-il.

– Inscrit dans l’ADN –
Ce recours par des groupes jihadistes à des sous-traitants informatiques pour monter des cyber-attentats (mise en panne de réseaux électriques, paralysie de réseaux de transport ou de systèmes bancaires, prise de contrôle de sites ou de médias officiels, sabotage à distance de sites industriels critiques, par exemple), le directeur d’Europol, Rob Wainwright, l’évoquait le 17 janvier à Davos.
« Même s’il leur manque des savoir-faire, ils peuvent aisément les acheter sur le darknet (partie d’internet cryptée et non référencée dans les moteurs de recherche classiques qui offre un plus grand degré d’anonymat à ses utilisateurs, ndlr), où le commerce d’instruments de cyber-criminalité est florissant », estimait-il lors d’une table ronde intitulée « Terrorisme à l’âge digital »…[lire la suite]

Notre métier : Vous aider à vous protéger des pirates informatiques (attaques, arnaques, cryptovirus…) et vous assister dans vos démarches de mise en conformité avec la réglementation relative à la protection des données à caractère personnel.

Par des actions de formation, de sensibilisation ou d’audits dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article

Comment protéger un compte avec une clé USB de sécurité (U2F)

Nous ne cesserons de le répéter : la sécurité de vos comptes est primordiale et souvent, il suffit de prendre de petites habitudes pour renforcer considérablement l’accès à vos espaces personnels. Qu’il s’agisse de réseaux sociaux, de sites qui hébergent vos fichiers ou vos projets ou de banque en ligne, vous ne voulez pas que les mots de passe qui protègent ces données personnelles ressemblent de près ou de loin à 123456.

La première étape, la plus simple, est de renforcer son mot de passe. La deuxième, c’est d’activer la double authentification dès que vous le pouvez. Avec cela sur la plupart de vos comptes, vous allez éviter la plupart des ennuis. Mais il existe un autre moyen d’ajouter de sécuriser un compte qui passe par une clé USB de sécurité et le protocole U2F.

Explications

QU’EST-CE QU’UNE CLÉ USB DE SÉCURITÉ ?

Il s’agit d’un objet qui se présente sous la forme d’une clé USB traditionnelle, sauf qu’au lieu de stocker des fichiers, elle contient une puce sécurisée qui renferme une clef chiffrée unique qui vous appartient. Métaphoriquement, on pourrait dire qu’il s’agit d’un équivalent numérique à la clé d’un coffre-fort, qui se base sur le concept de clé publique / clé privée. 

Elles reposent sur un standard ouvert nommé U2F pour Universal Second Factor (Double Facteur Universel) qui a été développé par Google, Yubico et NXP (l’entreprise derrière les puces NFC) et qui est maintenant maintenu par l’alliance FIDO qui regroupe plusieurs entreprises et organismes.

Ces clefs USB sont vendues à partir d’une dizaine d’euros et sont disponibles partout dans le monde. Vous n’avez besoin que d’une clé, qui fonctionnera avec tous les comptes.

COMMENT UNE CLÉ USB PEUT-ELLE PROTÉGER UN COMPTE ?

Une fois que vous avez votre clé USB de sécurité, vous pouvez l’associer à un compte, si l’entreprise propose l’option. Après cela, une fois que vous avez entré votre mot de passe, il vous suffit de brancher votre clé USB à votre ordinateur pour qu’elle transmette votre clé chiffrée au site qui vous authentifie. En pratique, le processus est donc similaire à la vérification en 2 étapes.

Notez que contrairement aux apparences, il ne s’agit pas d’une authentification biométrique par reconnaissance d’empreinte digitale.

POURQUOI CERTAINES CLÉS SONT-ELLES PLUS CHÈRES QUE D’AUTRES ?

La qualité de fabrication, les fonctionnalités (NFC par exemple) et le lieu de construction font varier les prix, pas la sécurité de la puce. Si elle est certifiée FIDO U2F, c’est bon. Une clé comme la Yubikey NEO, construite en Suède ou aux États-Unis, coûte par exemple 44 €.

EN QUOI EST-CE PLUS SÉCURISÉ QUE LA VÉRIFICATION EN 2 ÉTAPES ?

Cette méthode de sécurisation des comptes prend en considération quelque chose de fondamental : l’ingénierie sociale. 6 chiffres qui apparaissent sur l’écran de votre smartphone et que vous devez entrer pour confirmer votre identité, c’est bien, mais imaginez que la personne qui cherche à vous pirater ait accès à une caméra de surveillance derrière vous et puisse lire ces chiffres. Trop tiré par les cheveux ? Imaginez alors qu’un site de hameçonnage particulièrement intelligent parvient à vous faire entrer ces chiffres, pirates aux aguets pour les intercepter. Loin d’être impossible.

De manière générale, on peut considérer que le meilleur mot de passe est celui que vous ne connaissez pas. Même sous la torture, vous serez incapable de donner la clef d’identification contenue dans la puce de votre clef USB…[lire la suite]

Notre métier : Vous aider à vous protéger des pirates informatiques (attaques, arnaques, cryptovirus…) et vous assister dans vos démarches de mise en conformité avec la réglementation relative à la protection des données à caractère personnel.

Par des actions de formation, de sensibilisation ou d’audits dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article

ESET intègre un bouclier anti-ransomware et rejoint « No More Ransom »

De plus, ESET renforce la sécurité de ses utilisateurs en ajoutant une couche de sécurité supplémentaire capable de bloquer les ransomwares. La fonctionnalité est disponible gratuitement et sans intervention de l’utilisateur dès maintenant pour les solutions de sécurité Windows destinées aux particuliers.

Le bouclier anti-ransomware d’ESET contrôle et évalue toutes les applications exécutées en utilisant l’heuristique comportementale. Il bloque activement tous les comportements qui s’apparentent à une attaque par ransomware et peut également forcer l’arrêt des modifications apportées aux fichiers existants (c’est-à-dire leur chiffrement).

Activé par défaut, le bouclier anti-ransomware ne demande l’intervention de l’utilisateur qu’une fois la menace détectée en lui demandant d’approuver ou non son blocage.

Pour plus d’informations à propos de notre bouclier anti-ransomware et de l’implication d’ESET au sein de l’organisation « No More Ransom », n’hésitez pas à nous contacter.

Notre métier : Vous aider à vous protéger des pirates informatiques (attaques, arnaques, cryptovirus…) et vous assister dans vos démarches de mise en conformité avec la réglementation relative à la protection des données à caractère personnel.

Par des actions de formation, de sensibilisation ou d’audits dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article

5 conseils de base en Cybersécurité

Les attaques sont pour beaucoup organisées de l’extérieur, cependant il ne faut jamais exclure l’idée qu’elles puissent venir également de l’intérieur. Quel que soit le cas de figure, des mesures simples à mettre en place et à adopter permettent de compliquer la tâche de ceux qui chercheraient à s’emparer des informations critiques et vitales au fonctionnement de l’entreprise :

1. Identifier et classer les informations confidentielles
Tous les documents ne sont pas protégés. La création d’un simple système de classification avec des catégories permettant de discerner quel document est amené à être ouvert, partagé ou classé pour confidentialité, donne une vision précise de comment traiter chaque document et quels groupes de personnes y ont accès.

2. Définir les responsabilités
Tous les employés n’ont pas besoin d’accéder à toutes les informations sur le serveur de l’entreprise. Cela peut également concerner le service informatique qui peut intervenir dans de nombreux cas sans limitation. Plus le nombre de personnes admissibles est restreint, plus il est facile d’exclure les abus. Des fonctionnalités comme un historique et une gestion des droits d’information sont utiles pour restreindre, par exemple, l’impression ou l’enregistrement d’un document localement.

3. Protéger l’information au moyen des technologies
Outre les dispositions à prendre auprès des employés, les mesures techniques pour la sécurité de l’information sont aussi indispensables. De nombreuses conditions doivent cependant être remplies pour assurer une sécurité optimale comme un chiffrement de bout en bout, une gestion des accès et des droits et un contrôle par piste d’audit, associés à une facilité d’utilisation. Il existe des solutions Cloud qui répondent à ces exigences sécuritaires tout en proposant une implémentation simple. Chaque société nécessitant une telle solution doit tout d’abord s’assurer que son fournisseur n’ait jamais accès à ses données sensibles. L’emplacement du centre de données sera également important, le choix devant être déterminé en fonction des lois de protection des données valides. Les solutions Brainloop telles que Brainloop Secure Dataroom tiennent compte de ces exigences et permettent le stockage de données dans le pays d’origine des données, ainsi que dans son propre centre de données.

4. Introduire des politiques internes et former les employés
Même les meilleurs moyens de défense mis en place contre la cybercriminalité ne fonctionnent que s’ils sont connus et acceptés de tous. Cela suppose que la solution doit être facile d’utilisation et que l’entreprise investisse dans la formation de ses employés. Les règles établies pour traiter les données sensibles doivent être communiquées clairement, intégrées dans la culture de l’entreprise et être appliquées par tous.

5. Surveiller la conformité
L’entreprise doit veiller à ce que toutes les exigences soient effectivement respectées. Dans le cas d’une fuite de données, elle doit pouvoir garder une trace des données et pouvoir vérifier qui a eu accès.

Original de l’article mis en page : Cybersécurité en entreprises : cinq conseils pour ne plus passer à côté

Notre métier : Vous aider à vous protéger des pirates informatiques (attaques, arnaques, cryptovirus…) et vous assister dans vos démarches de mise en conformité avec la réglementation relative à la protection des données à caractère personnel.

Par des actions de formation, de sensibilisation ou d’audits dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article

Tendances en cybersécurité que les décideurs devraient connaître en 2017

• Focus sur la gestion de la mobilité. Les appareils mobiles sont l’une des principales voies d’accès aux réseaux d’entreprise. 67% des professionnels de la sécurité informatique des entreprises du classement Global 2000 (selon l’étude Ponemon Institute) a reconnu que son organisation avait subi des vols de données qui avaient son origine dans les appareils mobiles des employés. Et il est qu’un smartphone infecté peut conduire à une perte d’argent à peut près de 9.000 euros pour une entreprise.

• Demandez-vous: suis-je prêt à battre un ransomware? Selon le dernier Rapport de vérification de sécurité mené par Check Point, les entreprises ont téléchargé 971 fois des logiciels malveillants sur le temps, neuf fois plus que l’an dernier. Les portes d’entrée: le spam, les e-mails de phishing et les sites Web. Les cybercriminels savent passer les barrières standards modifiant légèrement le malware existant. Plus précisément, le ransomware peut être introduit dans les entreprises par le biais de macros incluses dans les documents joints grâce à des très petites lignes de code qui n’attirent pas l’attention, et qu’une fois elles sont activés elles téléchargent des logiciels malveillants. Seulement le ransomware Locky a été responsable de 6% de toutes les attaques de logiciels malveillants en septembre dernier, et plus de 40.000 entreprises ont été touchées par elle.
• Sécurité cloud. Dans l’écosystème technologique des entreprises, des environnements de cloud sont de plus en plus importants. Selon une étude réalisée par le fournisseur de cloud Rackspace, 43% des propriétés des organisations informatiques sont dans le nuage. Il est donc essentiel de les protéger, car l’un des principaux défis auxquels font face les entreprises est la sécurité lors de la migration vers le nuage.
• Toujours éviter. Lorsque des menaces sont détectées, une fois qu’ils ont atteint le réseau, il peut être déjà trop tard. Donc, les experts recommandent pour prévenir d’arrêter les infections avant qu’ils obtiennent grâce à des techniques de sandboxing avancés, qui sont capables de créer une assurance d’écosystème virtuel extérieur de l’entreprise simulant un point final, de contrôler le trafic et de bloquer les fichiers infectés avant qu’ils entrent dans le réseau. Il est particulièrement important, en ce qui concerne la protection des appareils intelligents. Un exemple de leur potentiel est le refus récent de service (DDoS).
• Sensibilisation, clé. 2016 a été joué par un grand nombre de cyber-attaques dont l’objectif était le vol de données. Et beaucoup d’entre elles ont été compilées par l’ingénierie sociale et lance-phishing. Cela peut devenir très sophistiqué et tromper les employés à divulguer leurs informations d’identification et des données personnelles. Une fois qu’ils ont vos mots de passe, les cybercriminels peuvent accéder à la plupart des réseaux de l’entreprise sans laisser de trace. Le problème est souvent le manque de connaissance ouverte et la sensibilisation des utilisateurs, indispensable pour éviter les cybercriminels pour entrer dans cette façon.

Original de l’article mis en page : Voici les tendances de la cybersécurité que les PDG devraient connaître en 2017 – Globb Security FR

Notre métier : Vous aider à vous protéger des pirates informatiques (attaques, arnaques, cryptovirus…) et vous assister dans vos démarches de mise en conformité avec la réglementation relative à la protection des données à caractère personnel.

Par des actions de formation, de sensibilisation ou d’audits dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article

Forum International de la Cybersécurité 24 et 25 janvier 2017 à LILLE

Favoriser l’innovation

Résolument tournée vers l’innovation, les écoles Epitech ont développé au sein de chaque campus des Innovation, des espaces dédiés aux expérimentations, au prototypage et au développement de projet innovants. Ces Hub reposent sur une méthodologie collaborative et transversale, reposant sur 5 domaines de compétences permettant de balayer le champ des innovations dont celui de la sécurité.

Ainsi, situé au sein de l’Espace Carrières, réunissant des écoles spécialisées, des étudiants d’Epitech et des encadrants pédagogiques proposeront des démonstrations d’attaques/défense lors des Hacking Trucks du Forum.

Les démonstrations proposées par l’Epitech :

• Démonstration de la facilité d’interception et d’altération des communications sur le(s) réseau(x) GSM et/ou Wi-Fi, par l’interception de SMS, de conversations vocales (pour le GSM) et autres communications quelconques (pour le Wi-Fi),
• Démonstration Ransomware : Démonstration du mode opératoire et des conséquences d’une campagne d’attaque par rançongiciel,
• Hacking Live : Démonstration d’une attaque en live d’une plateforme CMS Web, de la découverte de la faille Web jusqu’à la prise de contrôle du serveur l’hébergeant,
• Poisontap : À l’aide d’un matériel peu coûteux, il suffira de quelques minutes à nos étudiants démonstrateurs pour siphonner les communications d’un ordinateur, même verrouillé.

  Ces démonstrations ont pour but de sensibiliser tout visiteur sur la protection des données, notamment avec le développement des usages et des nouvelles technologies afin que les consommateurs soient de plus en plus soucieux de leur sécurité tout en gardant un confort d’utilisation. Le FIC est un événement gratuit dont l’inscription est soumise à la validation des organisateurs…[lire la suite]

Notre métier : Vous aider à vous protéger des pirates informatiques (attaques, arnaques, cryptovirus…) et vous assister dans vos démarches de mise en conformité avec la réglementation relative à la protection des données à caractère personnel.

Par des actions de formation, de sensibilisation ou d’audits dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article