Vous offrez aux hackers des données invisibles sans le savoir

Le « V » de la victoire pourrait être celui des hackers. Un chercheur japonais avertissait début janvier contre le danger contenu dans ce signe parfois associé aux selfies: en montrant vos doigts, vous courez le risque de vous faire voler vos empreintes digitales, prévient Isao Echizu.

Alors que les «données sont le pétrole du 21ème siècle », comme on l’entend à l’envi, nous avons une fâcheuse tendance à livrer les nôtres, intentionnellement, sur les réseaux sociaux, en négligeant bien souvent les règles de confidentialité ou l’utilisation commerciale qui est leur est destinée. Mais la vigilance se complique quand on n’a même pas conscience qu’une donnée en est une…

Attention aux données invisibles…

Permettez-moi d’emprunter vos empreintes

Avec la haute résolution des photos prises par les smartphones, une opération – assez complexe, toutefois, et loin d’être à la portée de tout le monde – peut permettre de récupérer les empreintes. « Or à l’inverse des mots de passe, les empreintes, une fois volées, ne pourront jamais être changées», rappelle à 20 Minutes Gérôme Billois, expert cybersécurité au cabinet Wavestone.

Il note que si l’avertissement du professeur japonais a fait le tour du monde, « on connaissait le risque depuis 2014 »: un hacker avait montré lors d’une conférence qu’il était parvenu à cloner les empreintes digitales de la ministre allemande de la Défense. Depuis, les empreintes digitales sont de plus en plus utilisées, pour déverrouiller smartphones, objets connectés ou pour réaliser certains paiements.

Des photos très bavardes

Autre donnée invisible, la géolocalisation associée aux photos, la grande majorité étant prise aujourd’hui par des smartphones équipés d’une puce GPS (qui ne sert pas qu’à vous guider sur la route jusqu’à Palavas-Les-Flots). Aux images numériques sont associées tout un ensemble de métadonnées, qui «peuvent renseigner la date, l’heure, voire les données GPS de l’image, la marque, le numéro de série de l’appareil ainsi qu’une image en taille réduite de l’image originale», comme le précise We Fight Censorship, qui indique la marche à suivre pour nettoyer ces métadonnées.«Internet abonde de ces images floutées dont le fichier EXIF contient toujours le document avant floutage», lit-on encore.

En septembre dernier, deux étudiants de Harvard ont pu démasquer 229 dealers grâce aux coordonnées géographiques contenues dans les métadonnées associées à des photos qu’ils avaient prises et postées en ligne.

En huit tweets, tout est dit 

Sur Twitter, si la géolocalisation des tweets est désactivée par défaut, beaucoup l’activent. En mai dernier, des experts du MIT et d’Oxford démontraient que huit tweets (d’utilisateurs pour lesquels la géolocalisation est activée) suffisaient à localiser quelqu’un de façon très précise. « Il est extrêmement simple pour des personnes avec très peu de connaissance technique de trouver où vous travaillez ou vivez », expliquaient-ils, à l’issue d’une expérience concluante.

Le secret imaginaire des questions secrètes 

Il y a enfin ces infos que nous livrons publiquement sur les réseaux sociaux alors qu’elles contiennent parfois les réponses aux questions censées être «secrètes». «Les questions secrètes sont le talon d’Achille des réseaux sociaux, souligne Gérôme Billois. Elles vous permettent d’accéder à vos comptes en cas d’oubli de mot de passe et ce sont toujours les mêmes: Quel est le prénom de votre mère? Quel est votre plat préféré? Or toutes ces infos peuvent être retrouvées facilement sur les réseaux sociaux.»

… et surtout aux données plus évidentes, qui permettent de personnaliser le phishing 

Pour les scénarios ci-dessus, qui peuvent avoir le mérite d’attirer l’attention, la probabilité d’utilisation malveillante est pourtant « faible », assure Gérôme Billois. Parallèlement, «nous passons notre temps à livrer des informations hypersensibles», et de façon bien plus directe. Or l’occupation principale des cybercriminels reste les mails de phishing, et ces données les aident à les personnaliser.

«Si le mail est pointu, que c’est votre « bonne » banque qui vous dit qu’elle a remarqué votre passage à telle heure la veille, et que toutes ces infos sont correctes parce que vous avez partagé ces données sur les réseaux sociaux, il y a toutes les chances pour que vous cliquiez sur le lien malveillant.»…[lire la suite]

Notre métier : Vous aider à vous protéger des pirates informatiques (attaques, arnaques, cryptovirus…) et vous accompagner dans vos démarches de mise en conformité avec la réglement Européen relatif à la protection des données à caractère personnel (RGPD).

Denis JACOPINI est Expert Judiciaire en Informatique, Diplômé en Cybercriminalité (Droit, Sécurité de l’information & Informatique légale), Diplômé en Droit de l’Expertise Judiciaire et Risk Manager ISO 27005, spécialisé en Cybercriminalité et en protection des Données à Caractère Personnel.

Par des actions de formation, de sensibilisation ou d’audits dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article

Précautions à prendre avant de se débarrasser du vieux matériel informatique

Les imprimantes et photocopieurs multifonctions

Les imprimantes et photocopieurs multifonctions se comportent comme un ordinateur en intégrant souvent un navigateur web, une messagerie électronique, une connectivité Wifi et Ethernet, un accès USB et un disque dur. Le fonctionnement standard de ce type de matériel implique de stocker sur le disque dur les documents à imprimer ou à scanner. Selon vos activités ou votre mission, ce disque dur pourrait stocker des données confidentielles de votre entreprise. Un point d’attention particulier doit être porté sur les contrats de maintenance qui intègrent parfois un accès distant non contrôlé à l’équipement depuis Internet.

L’imprimante ou le photocopieur propose souvent des fonctionnalités de sécurité permettant l’effacement du disque dur ou la suppression des données liées aux impressions, copies, télécopies et numérisations pouvant être enregistrées sur le disque dur. Ce processus d’effacement peut parfois être activé automatiquement après chaque utilisation, ou programmé pour s’exécuter à intervalles spécifiés. Ces fonctionnalités ne garantissent pas toujours un effacement sécurisé des données considérées, et les périphériques de stockages internes et externes devront faire l’objet d’une procédure similaire aux autres équipements informatiques avant le décommissionnement de l’appareil. Attention toutefois, ces composants restent généralement la propriété de la société louant les appareils.

Lors de la réception d’un matériel de ce type, il conviendra de désactiver les fonctionnalités de stockage «dans le cloud» lors du paramétrage initial de l’appareil si celles-ci sont disponibles, et de s’assurer du niveau de mise à jour de l’appareil. Il faudra bien sûr maintenir ce niveau régulièrement afin de limiter l’exposition de son système d’information à des failles éventuellement apportées par cet équipement.

Les autres matériels informatiques

La plupart des matériels modernes intègrent des fonctions de restauration des paramètres d’usine. Il convient a minima de réinitialiser ainsi tout équipement entrant ou sortant de l’entreprise afin de supprimer par exemple certains mots de passes ou autres paramètres de configuration sensibles qui pourraient être stockés sur ces appareils.

Une réinitialisation permet également de se prémunir d’un éventuel piégeage logiciel simple de l’appareil par son précédent propriétaire.

Documentation

• Guide technique n° 972-1/SGDN/DCSSI : Guide technique pour la confidentialité des informations enregistrées sur les disques durs à recycler ou exporter.

  http://www.ssi.gouv.fr/archive/fr/documentation/Guide_effaceur_V1.12du040517.pdf
  

• Instruction générale interministérielle n° 1300 sur la protection du secret de la défense nationale :

  http://www.sgdsn.gouv.fr/IMG/pdf/IGI_1300.pdf
  

• CSPN du logiciel Blancco :

  http://www.ssi.gouv.fr/entreprise/qualification/blancco-data-cleaner-version-4-8/
  

Notre métier : Vous aider à vous protéger des pirates informatiques (attaques, arnaques, cryptovirus…) et vous accompagner dans vos démarches de mise en conformité avec la réglement Européen relatif à la protection des données à caractère personnel (RGPD).

Denis JACOPINI est Expert Judiciaire en Informatique, Diplômé en Cybercriminalité (Droit, Sécurité de l’information & Informatique légale), Diplômé en Droit de l’Expertise Judiciaire et Risk Manager ISO 27005, spécialisé en Cybercriminalité et en protection des Données à Caractère Personnel.

Par des actions de formation, de sensibilisation ou d’audits dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article

Apprenez à vous protéger contre le piratage de vos objets connectés du quotidien 

On peut aussi s’interroger sur certaines pratiques des constructeurs. Le fait de mettre un mot de passe commun à tous les appareils avant une première connexion a déjà été pointé du doigt. Quels autres dysfonctionnements peut-on mettre en avant ? Face à l’augmentation du nombre d’objets connectés, comment s’adaptent précisément les constructeurs en termes de sécurité ? 

Tout d’abord il est important de préciser que ce type d’attaques par déni de service n’a rien de nouveau : les cybercriminels utilisent depuis des années des armées d’ordinateurs piratés pour inonder de requêtes les sites ciblés et les rendre inaccessibles.

Du côté des constructeurs d’objets connectés, tous les thermostats, toutes les webcams ou les imprimantes ne présentent pas de faille de sécurité, mais il s’agit d’un point préoccupant car pour la plupart des fabricants, la sécurité n’a pas été la priorité dès le départ, ayant souvent été donnée à la rapidité de la mise à disposition du produit sur le marché pour répondre à un nouveau besoin. Il faudrait que des normes minimales de sécurité puissent être définies comme le cryptage des données échangées sur le réseau ou l’exigence de mot de passe sécurisé mêlant caractères spéciaux et chiffres pour l’accès à distance et l’interdiction de mots de passe comme « 123456 » particulièrement vulnérables. Dans cet esprit, la Online Trust Alliance, qui regroupe des éditeurs comme Microsoft, Symantec (Norton) et AVG, a rédigé un guide des bonnes pratiques pour minimiser les risques de piratage. Les constructeurs d’objets connectés peuvent, par ailleurs, faire évaluer leurs systèmes de cryptage par des sociétés spécialisées, pour identifier les éventuelles vulnérabilités.

Comment se prémunir du piratage d’objets connectés ? Quels sont les bons comportements à adopter ? Que faire en cas de doute ?

Du côté des particuliers, il apparait préférable de privilégier les produits de sociétés à la pointe des questions de sécurité informatique, comme Google ou Apple. Il faut également installer régulièrement les mises à jour de sécurité et les mises à jour logicielles, pour limiter le nombre de vulnérabilités connues qui pourraient être exploitées. Après, il faut changer le nom et le mot de passe par défaut de chaque objet connecté, car c’est la première chose qu’un hacker tentera d’attaquer pour en prendre le contrôle. Pour finir, il faut limiter l’accès d’un objet connecté aux autres objets connectés dans la maison. Par exemple, si vous avez une Smart TV, vous devrez restreindre l’accès à cette TV et autoriser seulement son accès à des ressources particulières du réseau. Par exemple, il n’est pas vraiment nécessaire que l’imprimante soit connectée à la télévision.

Notre métier : Vous aider à vous protéger des pirates informatiques (attaques, arnaques, cryptovirus…) et vous accompagner dans vos démarches de mise en conformité avec la réglement Européen relatif à la protection des données à caractère personnel (RGPD).

Denis JACOPINI est Expert Judiciaire en Informatique, Diplômé en Cybercriminalité (Droit, Sécurité de l’information & Informatique légale), Diplômé en Droit de l’Expertise Judiciaire et Risk Manager ISO 27005, spécialisé en Cybercriminalité et en protection des Données à Caractère Personnel.

Par des actions de formation, de sensibilisation ou d’audits dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article

Protéger son identité contre le vol sur Internet devrait être une priorité

Actuellement, le vol d’identité est considéré comme un phénomène inéluctable d’après les enquêtes réalisées par Lookout. Les résultats démontrent que près de 35 % des sondées ont été victimes de vol d’identité. 41 % affirment que leurs données personnelles ne peuvent plus être sécurisées et, à un moment donné, elles seront inévitablement volées. D’ailleurs, aux États-Unis, le pourcentage d’infraction sur les identités des personnes a augmenté de près de 20 % depuis octobre 2015.

Internet : principal moyen de vol

Lookout affirme que le vol de données personnelles ne se passe plus par les méthodes classiques telles que la fouille des ordures dans les rues ou encore le vol de courrier dans les boîtes aux lettres ou il est très facile d’y trouver des informations permettant d’accéder aux numéros de carte de crédit ou de comptes divers. De nos jours, les criminels sont plus malins et bien plus discrets en usant de moyens sophistiqués et d’Internet comme les techniques de « phishing ».

Cette méthode profite de la faille humaine et non de l’informatique. Les voleurs se font passer pour une banque, un opérateur téléphonique ou une entreprise pour pousser la victime à se connecter sur leur site à travers un faux lien hypertexte. De cette manière, ils peuvent récolter des informations personnelles (des coordonnées bancaires surtout) qu’ils vont utiliser pour réaliser des achats ou des transferts d’argent vers leur compte.

En effet, l’étude menée par Lookout démontre que 60 % des Américains ont effectué à leur insu, des achats à de grandes entreprises de vente en ligne ou des transactions bancaires à cause d’une cyberattaque via de courriels frauduleux d’hameçonnage (phishing).

Les chiffres démontrés par l’étude de Lookout

D’autres chiffres révèlent aussi que les personnes ne se sentent pas en sécurité : 77 % craignent de perdre leur numéro de sécurité sociale, 74 % leurs données bancaires, 71 % leur code et carte de crédit et 56 % leurs données personnelles.

Par ailleurs, la plus grande peur des gens concerne le fait qu’ils ne soient pas immédiatement au courant du vol de leur identité au moment des actes de fraudes commises par les criminels. Selon l’enquête faite par Lookout, une personne victime d’un vol d’identité ne le découvrira que par une lettre postale (33 %), une information télévisée ou radio (31 %) ou un mail inattendu (31 %). Cela résulte du fait que les factures sur les crimes commis lui sont toujours renvoyées plus tard par mail ou par la poste.

Toujours d’après l’étude, 65 % des personnes ayant subi un vol ou une usurpation de leur identité via un site sur lequel elles se sont inscrites n’en seront averties qu’un mois après la cyberattaque. De même, 75 % des usurpés ne connaissent pas les actions à entreprendre dans de telles situations.

Notre métier : Vous aider à vous protéger des pirates informatiques (attaques, arnaques, cryptovirus…) et vous accompagner dans vos démarches de mise en conformité avec la réglement Européen relatif à la protection des données à caractère personnel (RGPD).

Denis JACOPINI est Expert Judiciaire en Informatique, Diplômé en Cybercriminalité (Droit, Sécurité de l’information & Informatique légale), Diplômé en Droit de l’Expertise Judiciaire et Risk Manager ISO 27005, spécialisé en Cybercriminalité et en protection des Données à Caractère Personnel.

Par des actions de formation, de sensibilisation ou d’audits dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article

Comment s’authentifier sur Facebook avec une clé USB chiffrée ?

Marre de retenir les mots de passe ? La réponse est peut-être dans les clés USB sécurisées, autrement appelées U2F (Universal Second Factor). Ce standard a été développé par Google, Yubico et NXP au sein de l’alliance FIDO (Fast Identity Online).

Facebook vient d’annoncer le support de ce type de support pour s’authentifier. Plutôt que de taper un code à caractères multiples en plus d’un mot de passe, l’abonné Facebook saisit ses identifiants et place la clé dans le port USB de son terminal. Il l’active en appuyant sur le bouton central lorsque le réseau social l’y invite.

Déverrouillage en NFC aussi

Disposant de la technologie NFC, il est possible de déverrouiller un compte Facebook sur un smartphone Android à condition d’utiliser les dernières versions de Chrome et Authentificator. Sur la partie PC, la technologie U2F est compatible avec Chrome et Opera. Firefox travaille sur le sujet.

A noter que la clé USB U2F n’est pas une clé traditionnelle, mais bien une clé USB spécifique. Elle se trouve chez des e-commerçants pour une vingtaine d’euros. Cette clé n’est pas à usage unique, elle permet de s’authentifier sur plusieurs autres services comme les services Google (Gmail, etc), GitHub, BitBucket, FastMail, DashLane ou WordPress.

Notre métier : Vous aider à vous protéger des pirates informatiques (attaques, arnaques, cryptovirus…) et vous accompagner dans vos démarches de mise en conformité avec la réglement Européen relatif à la protection des données à caractère personnel (RGPD).

Denis JACOPINI est Expert Judiciaire en Informatique, Diplômé en Cybercriminalité (Droit, Sécurité de l’information & Informatique légale), Diplômé en Droit de l’Expertise Judiciaire et Risk Manager ISO 27005, spécialisé en Cybercriminalité et en protection des Données à Caractère Personnel.

Par des actions de formation, de sensibilisation ou d’audits dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article

Comment protéger un compte avec une clé USB de sécurité (U2F)

Nous ne cesserons de le répéter : la sécurité de vos comptes est primordiale et souvent, il suffit de prendre de petites habitudes pour renforcer considérablement l’accès à vos espaces personnels. Qu’il s’agisse de réseaux sociaux, de sites qui hébergent vos fichiers ou vos projets ou de banque en ligne, vous ne voulez pas que les mots de passe qui protègent ces données personnelles ressemblent de près ou de loin à 123456.

La première étape, la plus simple, est de renforcer son mot de passe. La deuxième, c’est d’activer la double authentification dès que vous le pouvez. Avec cela sur la plupart de vos comptes, vous allez éviter la plupart des ennuis. Mais il existe un autre moyen d’ajouter de sécuriser un compte qui passe par une clé USB de sécurité et le protocole U2F.

Explications

QU’EST-CE QU’UNE CLÉ USB DE SÉCURITÉ ?

Il s’agit d’un objet qui se présente sous la forme d’une clé USB traditionnelle, sauf qu’au lieu de stocker des fichiers, elle contient une puce sécurisée qui renferme une clef chiffrée unique qui vous appartient. Métaphoriquement, on pourrait dire qu’il s’agit d’un équivalent numérique à la clé d’un coffre-fort, qui se base sur le concept de clé publique / clé privée. 

Elles reposent sur un standard ouvert nommé U2F pour Universal Second Factor (Double Facteur Universel) qui a été développé par Google, Yubico et NXP (l’entreprise derrière les puces NFC) et qui est maintenant maintenu par l’alliance FIDO qui regroupe plusieurs entreprises et organismes.

Ces clefs USB sont vendues à partir d’une dizaine d’euros et sont disponibles partout dans le monde. Vous n’avez besoin que d’une clé, qui fonctionnera avec tous les comptes.

COMMENT UNE CLÉ USB PEUT-ELLE PROTÉGER UN COMPTE ?

Une fois que vous avez votre clé USB de sécurité, vous pouvez l’associer à un compte, si l’entreprise propose l’option. Après cela, une fois que vous avez entré votre mot de passe, il vous suffit de brancher votre clé USB à votre ordinateur pour qu’elle transmette votre clé chiffrée au site qui vous authentifie. En pratique, le processus est donc similaire à la vérification en 2 étapes.

Notez que contrairement aux apparences, il ne s’agit pas d’une authentification biométrique par reconnaissance d’empreinte digitale.

POURQUOI CERTAINES CLÉS SONT-ELLES PLUS CHÈRES QUE D’AUTRES ?

La qualité de fabrication, les fonctionnalités (NFC par exemple) et le lieu de construction font varier les prix, pas la sécurité de la puce. Si elle est certifiée FIDO U2F, c’est bon. Une clé comme la Yubikey NEO, construite en Suède ou aux États-Unis, coûte par exemple 44 €.

EN QUOI EST-CE PLUS SÉCURISÉ QUE LA VÉRIFICATION EN 2 ÉTAPES ?

Cette méthode de sécurisation des comptes prend en considération quelque chose de fondamental : l’ingénierie sociale. 6 chiffres qui apparaissent sur l’écran de votre smartphone et que vous devez entrer pour confirmer votre identité, c’est bien, mais imaginez que la personne qui cherche à vous pirater ait accès à une caméra de surveillance derrière vous et puisse lire ces chiffres. Trop tiré par les cheveux ? Imaginez alors qu’un site de hameçonnage particulièrement intelligent parvient à vous faire entrer ces chiffres, pirates aux aguets pour les intercepter. Loin d’être impossible.

De manière générale, on peut considérer que le meilleur mot de passe est celui que vous ne connaissez pas. Même sous la torture, vous serez incapable de donner la clef d’identification contenue dans la puce de votre clef USB…[lire la suite]

Notre métier : Vous aider à vous protéger des pirates informatiques (attaques, arnaques, cryptovirus…) et vous assister dans vos démarches de mise en conformité avec la réglementation relative à la protection des données à caractère personnel.

Par des actions de formation, de sensibilisation ou d’audits dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article

5 conseils de base en Cybersécurité

Les attaques sont pour beaucoup organisées de l’extérieur, cependant il ne faut jamais exclure l’idée qu’elles puissent venir également de l’intérieur. Quel que soit le cas de figure, des mesures simples à mettre en place et à adopter permettent de compliquer la tâche de ceux qui chercheraient à s’emparer des informations critiques et vitales au fonctionnement de l’entreprise :

1. Identifier et classer les informations confidentielles
Tous les documents ne sont pas protégés. La création d’un simple système de classification avec des catégories permettant de discerner quel document est amené à être ouvert, partagé ou classé pour confidentialité, donne une vision précise de comment traiter chaque document et quels groupes de personnes y ont accès.

2. Définir les responsabilités
Tous les employés n’ont pas besoin d’accéder à toutes les informations sur le serveur de l’entreprise. Cela peut également concerner le service informatique qui peut intervenir dans de nombreux cas sans limitation. Plus le nombre de personnes admissibles est restreint, plus il est facile d’exclure les abus. Des fonctionnalités comme un historique et une gestion des droits d’information sont utiles pour restreindre, par exemple, l’impression ou l’enregistrement d’un document localement.

3. Protéger l’information au moyen des technologies
Outre les dispositions à prendre auprès des employés, les mesures techniques pour la sécurité de l’information sont aussi indispensables. De nombreuses conditions doivent cependant être remplies pour assurer une sécurité optimale comme un chiffrement de bout en bout, une gestion des accès et des droits et un contrôle par piste d’audit, associés à une facilité d’utilisation. Il existe des solutions Cloud qui répondent à ces exigences sécuritaires tout en proposant une implémentation simple. Chaque société nécessitant une telle solution doit tout d’abord s’assurer que son fournisseur n’ait jamais accès à ses données sensibles. L’emplacement du centre de données sera également important, le choix devant être déterminé en fonction des lois de protection des données valides. Les solutions Brainloop telles que Brainloop Secure Dataroom tiennent compte de ces exigences et permettent le stockage de données dans le pays d’origine des données, ainsi que dans son propre centre de données.

4. Introduire des politiques internes et former les employés
Même les meilleurs moyens de défense mis en place contre la cybercriminalité ne fonctionnent que s’ils sont connus et acceptés de tous. Cela suppose que la solution doit être facile d’utilisation et que l’entreprise investisse dans la formation de ses employés. Les règles établies pour traiter les données sensibles doivent être communiquées clairement, intégrées dans la culture de l’entreprise et être appliquées par tous.

5. Surveiller la conformité
L’entreprise doit veiller à ce que toutes les exigences soient effectivement respectées. Dans le cas d’une fuite de données, elle doit pouvoir garder une trace des données et pouvoir vérifier qui a eu accès.

Original de l’article mis en page : Cybersécurité en entreprises : cinq conseils pour ne plus passer à côté

Notre métier : Vous aider à vous protéger des pirates informatiques (attaques, arnaques, cryptovirus…) et vous assister dans vos démarches de mise en conformité avec la réglementation relative à la protection des données à caractère personnel.

Par des actions de formation, de sensibilisation ou d’audits dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article

Les consommateurs estiment que la protection de leurs données personnelles revient aux entreprises

Pourtant, moins d’un tiers des consommateurs interrogés (29%) pensent que les entreprises prennent très au sérieux la sécurisation de leurs données personnelles. Cela fait écho à la crainte du vol des données personnelles qui s’accentue : 58% des personnes interrogées pensent qu’elles seront les futures victimes d’un vol de données.

Plus de 4,8 milliards de données enregistrées ont été exposées depuis 2013, le vol d’identité étant le principal type de brèche de données. Il représente en effet 64% de l’ensemble des failles de données recensées.

Des comportements à risque

Si les répondants se montrent conscients des menaces auxquelles ils sont exposés en ligne, seulement une personne sur dix (11%) pense qu’aucune application ni aucun site Web ne peut présenter un quelconque risque direct pour eux. Ils ne semblent pour autant pas être enclins à adopter un changement d’attitude lorsqu’ils sont en ligne. Ainsi, 80% des répondants utilisent les médias sociaux, même si 59% d’entre eux pensent que ces réseaux présentent un grand risque. 87% utilisent les services bancaires en ligne ou mobiles, même si 34% estiment être vulnérables face aux cybercriminels. Ils sont également plus susceptibles de faire des achats en ligne pendant les périodes commerciales très chargées comme le « black friday » et Noël (2% d’augmentation en ligne contre -2% de baisse en magasin), bien que 21% d’entre eux admettent que la cybercriminalité augmente beaucoup pendant ces périodes.

Les attitudes des consommateurs face aux violations de données

Près de six consommateurs sur dix (58%) pensent qu’ils seront victimes d’une attaque à un moment ou à un autre, d’où la nécessité pour les organisations de se préparer aux conséquences pouvant être causées par de tels incidents. La majorité des utilisateurs en ligne prétendent qu’ils cesseraient d’utiliser un site de vente en ligne (60%), un site de banque en ligne (58%) ou un média social (56%) si l’un d’eux venait à subir une brèche. De même, 66% déclarent qu’ils seraient peu enclins à rester en contact avec une entreprise victime d’une attaque au cours de laquelle leurs données personnelles et financières auraient été volées.

Impact des violations de données sur les consommateurs

L’étude révèle également que l’utilisation frauduleuse d’informations financières a touché 21% des consommateurs, tandis que d’autres ont été victimes de l’utilisation frauduleuse de leurs données personnelles (15%) et de vol de données d’identité (14%). Plus d’un tiers (36%) de ceux ayant été exposés à une violation, attribuent celle-ci à un site Web frauduleux. Le clic sur un mauvais lien (34%) et le phishing (33%) sont les principaux pièges dans lesquels les consommateurs sont tombés. Concernant l’origine des attaques, plus d’un quart (27%) a attribué la violation à un échec des solutions de sécurité des données de l’entreprise.

Le manque de mesures de sécurité influe sur la confiance des consommateurs

Le manque de confiance des consommateurs pourrait s’expliquer par l’absence de mesures de sécurité efficaces mises en œuvre par les entreprises. Pour les services bancaires en ligne, le mot de passe reste encore la méthode d’authentification la plus courante – 84% des services bancaires en ligne et 82% des services bancaires mobiles y ont recours, suivi par des méthodes de sécurité avancée pour les transactions (respectivement 50% en ligne et 48% pour les services mobiles). Des solutions comme l’authentification à deux facteurs (43% en ligne et 42% sur mobile) et le chiffrement des données (31% en ligne et 27% mobile) viennent compléter le tableau.

Des résultats similaires peuvent être observés dans le retail, avec seulement 25% des répondants ayant des comptes clients en ligne affirmant que l’authentification à deux facteurs est utilisée sur toutes les applications et sites Web, et sur les réseaux sociaux, et 21% utilisent l’authentification pour toutes les plates-formes. Seulement 16% des personnes interrogées ont admis avoir une compréhension complète de ce qu’est le chiffrement de données….[lire la suite]

Notre métier : Vous aider à vous protéger des pirates informatiques (attaques, arnaques, cryptovirus…) et vous assister dans vos démarches de mise en conformité avec la réglementation relative à la protection des données à caractère personnel.

Par des actions de formation, de sensibilisation ou d’audits dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article

Meitu, l’application qui récupère vos données personnelles

Après avoir conquis 450 millions d’utilisateurs en Asie, l’application chinoise Meitu est en train de se faire une place aux côtés de snapchat ou d’Instagram sur de nombreux smartphones européens. L’application permet de détourner des selfies façon manga, ou encore de modifier vos portraits afin de leur donner un aspect plus professionnel.

Petit à petit, les portraits « kawaï » (mignons en Français) se sont multipliés sur les réseaux sociaux et de nombreux internautes se sont également amusés à détourner les images de personnalités :

Récupération de données

Jusque-là, l’application ressemblait finalement à de nombreuses autres applications qui connaissent des succès plus ou moins éphémères. Mais, le problème est que l’application ne serait finalement pas si « kawaï » qu’il n’y paraît.

En effet, plusieurs sites spécialisés ont noté que Meitu demandait l’accès à un très grand nombre de fonctionnalités du téléphone dont certaines n’avaient absolument aucun rapport avec l’utilisation de l’application.

Selon le site recode.net, parmi les nombreuses permissions demandées, figurent l’enregistrement des données de géolocalisation, la consultation du calendrier ou encore des SMS et MMS ou l’accès au numéro IMEI de l’appareil.

Entièrement gratuite, l’application revendrait les données de ses utilisateurs selon différents experts en sécurité informatique. Une information démentie par Meitu qui indique « suivre rigoureusement les règles concernant la vie privée » et affirme « collecter des informations uniquement en vue d’améliorer les performances de l’application ». Difficile d’y croire…

Notre métier : Vous aider à vous protéger des pirates informatiques (attaques, arnaques, cryptovirus…) et vous assister dans vos démarches de mise en conformité avec la réglementation relative à la protection des données à caractère personnel.

Par des actions de formation, de sensibilisation ou d’audits dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article

Forum International de la Cybersécurité 24 et 25 janvier 2017 à LILLE

Favoriser l’innovation

Résolument tournée vers l’innovation, les écoles Epitech ont développé au sein de chaque campus des Innovation, des espaces dédiés aux expérimentations, au prototypage et au développement de projet innovants. Ces Hub reposent sur une méthodologie collaborative et transversale, reposant sur 5 domaines de compétences permettant de balayer le champ des innovations dont celui de la sécurité.

Ainsi, situé au sein de l’Espace Carrières, réunissant des écoles spécialisées, des étudiants d’Epitech et des encadrants pédagogiques proposeront des démonstrations d’attaques/défense lors des Hacking Trucks du Forum.

Les démonstrations proposées par l’Epitech :

• Démonstration de la facilité d’interception et d’altération des communications sur le(s) réseau(x) GSM et/ou Wi-Fi, par l’interception de SMS, de conversations vocales (pour le GSM) et autres communications quelconques (pour le Wi-Fi),
• Démonstration Ransomware : Démonstration du mode opératoire et des conséquences d’une campagne d’attaque par rançongiciel,
• Hacking Live : Démonstration d’une attaque en live d’une plateforme CMS Web, de la découverte de la faille Web jusqu’à la prise de contrôle du serveur l’hébergeant,
• Poisontap : À l’aide d’un matériel peu coûteux, il suffira de quelques minutes à nos étudiants démonstrateurs pour siphonner les communications d’un ordinateur, même verrouillé.

  Ces démonstrations ont pour but de sensibiliser tout visiteur sur la protection des données, notamment avec le développement des usages et des nouvelles technologies afin que les consommateurs soient de plus en plus soucieux de leur sécurité tout en gardant un confort d’utilisation. Le FIC est un événement gratuit dont l’inscription est soumise à la validation des organisateurs…[lire la suite]

Notre métier : Vous aider à vous protéger des pirates informatiques (attaques, arnaques, cryptovirus…) et vous assister dans vos démarches de mise en conformité avec la réglementation relative à la protection des données à caractère personnel.

Par des actions de formation, de sensibilisation ou d’audits dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article