Les entreprises françaises toujours trop exposées aux risques de cyber-attaque

Les entreprises françaises sous-estiment les risques de cyber-attaque

Les entreprises françaises toujours trop exposées aux risques de cyber-attaque
A l’exception des grands groupes, la majorité des entreprises françaises sous-estiment les risques de cyber-attaque ; moins de 4 sur 10 d’entre elles décideurs considèrent comme « important », ou « très important », le risque que leur société subisse une cyber-attaque ces prochaines années… et ce, alors que 52% des entreprises ont déjà été piratées. C’est ce que montre une enquête réalisée par la cabinet Denjean & Associés en partenariat avec Gan Assurances

 

 

Les décideurs d’entreprise se font de fausses idées sur la cyber-fraude. Plus de trois sur quatre sous-estiment la vitesse de propagation de ce fléau dans l’Hexagone, pensant que le nombre des cyber-fraudes recensées en France n’a augmenté « que » de 10% ou de 25% en 2015, alors qu’il a crû de 50% ! (Source : Anssi, Agence nationale de sécurité des systèmes d’information). Questionnés sur les cibles visées en priorité par les pirates, 50% des décideurs citent les multinationales ; et pour 23% des répondants, les organismes publics constituent le premier choix des hackers. Seulement 28% des personnes interrogées connaissent la bonne réponse : les PME concentrent dans notre pays près de 80% des cyber-attaques (source : Syntec).

 

 

8-securite1

 

 

Globalement, 70% des entreprises s’estiment bien protégées contre la cyber-fraude. Une statistique qui recouvre des disparités : 100% des grands groupes affichent leur confiance dans leurs process de cybersécurité, tandis que 58% des TPE et environ 75% des PME et des ETI se jugent bien protégées.

 

 

Quelles bonnes pratiques ?

Les entreprises ayant adopté une politique de cybersécurité ont mis en place, en moyenne, trois bonnes pratiques. Les plus répandues sont le changement régulier par l’entreprise des codes d’accès à son réseau (mesure existant dans 56% des structures), et l’instauration en son sein d’une procédure d’authentification de tous les ordinateurs et commutateurs (53% des entreprises). La formation interne aux enjeux et aux précautions de base en matière de cybersécurité, et la création de différents degrés d’accès au réseau pour les collaborateurs selon leur niveau hiérarchique (respectivement pratiquées par 45% et 44% des sociétés) se disputent la troisième place sur le podium.

Deux entreprises sur trois comptent adopter en 2017 de nouvelles mesures pour lutter contre le piratage informatique qui se décomposent comme l’indique l’infographie ci-dessous.

 

 

8-securite2

 

 

90% des entreprises françaises sont disposées à investir chaque année pour se protéger efficacement contre la cyber-fraude, et 60% sont même prêtes à y consacrer un budget supérieur ou égal à 1% de leur chiffre d’affaires. Parmi les différentes catégories d’entreprises, les PME et les ETI se montrent les plus enclines à réaliser un effort financier conséquent : les trois-quarts d’entre elles acceptent de dépenser chaque année pour leur cybersécurité entre 1% et 2% de leur chiffre d’affaires.

Si l’on exclut les dirigeants de très petites structures, peu ou pas du tout concernés par ces sujets, les décideurs apparaissent bien conscients des nouveaux risques encourus par les entreprises, et décidés à les combattre. En effet, 66% des décisionnaires indiquent qu’ils se préoccuperont au cours des trois années à venir de lutter contre les « ransomwares » ; 70% disent qu’ils s’attacheront à sécuriser les données mises sur le cloud ; et 70% déclarent qu’ils veilleront à prévenir les risques liés aux objets connectés…

 

Original de l’article mis en page : Les entreprises françaises sous-estiment les risques de cyber-attaque

Notre métier : Vous aider à vous protéger des pirates informatiques (attaques, arnaques, cryptovirus…) et vous assister dans vos démarches de mise en conformité avec la réglementation relative à la protection des données à caractère personnel.

Par des actions de formation, de sensibilisation ou d’audits dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

 

Réagissez à cet article

 



Tendances actuelles et émergentes pour la cybersécurité en 2017

Sophos : tendances actuelles et émergentes pour la cybersécurité en 2017 - Global Security Mag Online

Tendances actuelles et émergentes pour la cybersécurité en 2017
L’année 2016 a été marquée par un grand nombre de cyberattaques très diverses, allant d’attaques de type DDoS par le bais de caméra de sécurité connectées, jusqu’au supposé piratage de partis politiques durant les élections américaines. Nous avons aussi constaté une forte augmentation des fuites de données, aussi bien au niveau des petites que des grandes organisations, avec des pertes significatives de données personnelles des utilisateurs. En cette fin d’année, nous réfléchissons donc aux directions que vont prendre ces tendances en 2017.

 

Les tendances actuelles et émergentes :

Les attaques destructives de type DDoS utilisant les objets connectés vont augmenter.

En 2016, Mirai a montré le potentiel destructeur important que pouvaient avoir les attaques DDoS, du fait notamment du manque de sécurité des objets connectés. Les attaques de Mirai exploitaient seulement un faible nombre d’équipements et de vulnérabilités, en utilisant des techniques simples pour deviner les mots de passe. Cependant, d’autres cybercriminels n’auront aucun mal à étendre la portée de ce type d’attaque, du fait du nombre considérable d’objets connectés contenant des codes obsolètes, ainsi que des applications et systèmes d’exploitation non mis à jour contenant souvent des vulnérabilités bien connues. Il faut s’attendre à une utilisation plus systématique des exploits présents au sein des objets connectés et de techniques avancées permettant de deviner les mots de passe, pour compromettre une plus grande variété d’objets connectés, afin de mener des attaques de type DDoS ciblant d’autres équipements connectés à votre réseau.

 

 

Les attaques ciblées d’ingénierie sociale seront plus sophistiquées.

Les cybercriminels sont de plus en plus expérimentés pour exploiter la première des vulnérabilités : l’être humain. Des attaques ciblées de plus en plus sophistiquées et convaincantes cherchent à duper et à amadouer les utilisateurs, afin de les pousser à se mettre en danger eux-mêmes. Par exemple, il est courant de voir des emails s’adressant à leurs destinataires par leurs noms et qui prétendent que ces deniers ont une dette impayée, que l’expéditeur en question serait autorisé à collecter. La peur, l’intimidation et les menaces de recouvrement au nom de la loi, sont des tactiques très utilisées et assez classiques. L’email en question vous redirige alors vers un lien malveillant, sur lequel les utilisateurs cliquent dans la panique, amorçant alors l’attaque. De telles attaques par hameçonnage (phishing), ne peuvent plus être détectées à la lecture par de simples erreurs grossières commises par les cybercriminels.

 

 

Les infrastructures financières deviendront des cibles privilégiées.

Les attaques ciblées de phishing, et particulièrement celles ciblant les dirigeants (whaling), vont continuer de croître. Ces attaques utilisent des informations détaillées concernant les dirigeants d’entreprises, afin de duper les employés et les inciter à envoyer de l’argent à des cybercriminels, ou à compromettre certains comptes bancaires. Nous nous attendons aussi à voir davantage d’attaques ciblant des infrastructures financière sensibles, telles que l’attaque ayant pris pour cible les institutions connectées au système SWIFT, qui a coûté à la banque centrale du Bangladesh 81 millions $, en février dernier. SWIFT a récemment admis que d’autres attaques de ce type avaient eu lieu, et qu’il s’attendait à en voir davantage en déclarant, dans une lettre adressée aux clients de la banque : « La menace est très persistante, adaptative et sophistiquée. Il faut s’attendre à ce qu’elle continue de sévir. ».

 

 

L’exploitation de l’infrastructure intrinsèquement non sécurisée d’Internet va se poursuivre.

Tous les internautes font encore confiance à de vieux protocoles fondateurs, que leur omniprésence empêche de réorganiser ou de remplacer. Ces protocoles archaïques qui ont pendant longtemps été les piliers de l’Internet et des réseaux professionnels sont aujourd’hui fragilisés, parfois d’une manière surprenante. Par exemple, les attaques contre BGP (Border Gateway Protocol) auraient pu, en théorie, perturber ou même mettre hors service une bonne partie du Web. Les attaques DDoS visant Dyn en octobre dernier (lancées depuis une multitude d’objets connectés) ont mis hors service un fournisseur majeur de services DNS, et ont de ce fait rendu inaccessible une partie de l’Internet. Il s’agissait de l’un des plus importants assauts jamais observés, et ceux à l’origine de ces attaques ont déclaré qu’il s’agissait seulement d’un coup d’essai. Les fournisseurs d’accès Internet et les entreprises peuvent bien évidemment prendre des mesures pour se protéger, mais pourraient trouver difficile d’éviter tous les dégâts importants potentiellement causés par des individus ou des états qui auront choisi d’exploiter les failles de sécurité les plus profondes du Web.

 

 

La sophistication des attaques va augmenter.

Le nombre d’attaques continue à augmenter, avec une sophistication croissante des techniques et de l’ingénierie sociale, qui reflète une analyse minutieuse et répétée des organisations et des réseaux de leurs victimes. Les cybercriminels peuvent compromettre de nombreux serveurs et stations de travail bien avant de commencer à voler des données ou agir de façon plus agressive. Ces attaques, en général pilotées par des experts, sont plus stratégiques que tactiques, et peuvent au final causer des dommages considérables. Il s’agit ici d’un monde très différent des attaques par malwares programmés et automatisés dont nous avons l’habitude. C’est un monde où la stratégie et la patience jouent un rôle beaucoup plus important pour échapper aux détections.

 

 

De plus nombreuses attaques utiliseront des outils d’administration intégrés.

Nous voyons davantage d’exploits basés sur PowerShell, le langage et kit de développement de Microsoft pour l’automatisation des tâches administratives. En tant que langage de script, PowerShell contourne les détections visant les exécutables. Nous voyons également plus d’attaques utilisant des tests de pénétration et d’autres outils d’administration existants, sans qu’ils soient à priori infiltrés et en général suspectés. Ces outils puissants demandent une vigilance toute particulière et des contrôle plus robustes.

 

 

Les ransomwares vont continuer à progresser.

Comme de plus en plus d’utilisateurs sont conscients de l’existence du risque d’attaques par ransomware via les emails, les cybercriminels exploitent d’autres vecteurs. Certains expérimentent des malwares qui infectent à nouveau le système ultérieurement, longtemps après que la rançon ait été payée. D’autres commencent à utiliser des outils intégrés, à la place de malwares exécutables, afin d’éviter d’être détectés par les solutions de protection Endpoint qui se focalisent sur des fichiers exécutables. De récents exemples ont proposé de déchiffrer les fichiers de leurs victimes si elles acceptaient de diffuser le ransomware vers deux autre contacts, et que ces personnes acceptent de payer. Les ransomwares commencent également à utiliser des techniques autres que le chiffrement, par exemple en détruisant ou corrompant les en-têtes de fichiers. Qui plus est, avec le grand nombre de ransomwares qui persistent sur le Web, les utilisateurs peuvent se retrouver victimes d’attaques sans espoir de pouvoir payer en dernier recours, car le système de paiement ne fonctionne plus.

 

 

Des attaques visant des objets personnels connectés vont émerger.

Les utilisateurs d’objets connectés domestiques s’imaginent rarement que leur veilleuse écoute-bébé puisse être piratée pour attaquer des sites internet. Cependant, dès qu’un pirate contrôle un équipement connecté à un réseau domestique, il peut plus facilement pirater d’autres équipements de ce réseau, tels que des ordinateurs portables contenant des données personnelles sensibles. Nous nous attendons à voir plus d’attaques de ce genre, ainsi que des attaques impliquant des caméras vidéo ou des microphones afin d’espionner les foyers. Les cybercriminels trouvent toujours un moyen de tirer profit de leurs attaques.

 

 

Le malvertising et la corruption des écosystèmes de publicités en ligne vont s’étendre.

Le malvertising, qui fonctionne en répandant des malwares sur les réseaux publicitaires et les pages web, existe déjà depuis plusieurs années. Cependant, nous avons pu observer en 2016 une recrudescence de ce phénomène. Ces attaques mettent en évidence des problèmes plus importants au sein de l’écosystème des publicités en ligne, telle que la fraude au clic, qui génère des clics payants et ne correspondent pas en réalité aux véritables centres d’intérêts de l’internaute. Le malvertising a engendré la fraude au clic, mettant les utilisateurs en danger et abusant les annonceurs par la même occasion.

 

 

La diffusion du chiffrement entraînera des problèmes collatéraux.

Le chiffrement se diffuse très largement et il est devenu plus difficile pour les solutions de sécurité d’inspecter le trafic, facilitant ainsi la vie des cybercriminels qui cherchent à s’infiltrer sans être repérés. Sans surprise, les cybercriminels utilisent le chiffrement de manière créative. Les produits de sécurité vont devoir rapidement intégrer les protections réseaux et client afin de pouvoir détecter des évènements pouvant affecter la sécurité après que le code ait été déchiffré au niveau des systèmes Endpoint.

 

 

Les cybercriminels s’intéresseront aux exploits des systèmes virtualisés dans le Cloud.

Les attaques contre des composants physiques (exemple de Rowhammer) ouvrent la voie à de nouveaux exploits potentiellement dangereux contre des systèmes cloud virtualisés. Les cybercriminels peuvent abuser d’un hôte ou bien d’un invité sur un système hôte partagé, attaquer la gestion des privilèges et potentiellement accéder aux données de tiers. De plus, comme Docker et les écosystèmes de conteneurs logiciels (« serverless ») deviennent de plus en plus populaires, les cybercriminels vont certainement se mettre à chercher des failles à exploiter dans le cadre de cette nouvelle tendance des systèmes d’information. Nous nous attendons donc à voir des tentatives actives pour rendre de telles attaques opérationnelles.

Des attaques techniques visant les Etats et les populations apparaîtront. Les attaques technologiques sont devenues hautement politiques. Les populations doivent faire face à des risques grandissants en matière de désinformation (« les fausses nouvelles ») et concernant les systèmes de vote. Par exemple, les experts ont démontré l’existence d’attaques permettant à un électeur, au niveau local, de voter de manière répétitive sans aucune détection. Même si les Etats n’organisent jamais d’attaques contre leurs adversaires aux élections, le sentiment que ce type d’attaques puisse exister est en soi une arme puissante…[lire la suite]

Notre métier : Vous aider à vous protéger des pirates informatiques (attaques, arnaques, cryptovirus…) et vous assister dans vos démarches de mise en conformité avec la réglementation relative à la protection des données à caractère personnel.

Par des actions de formation, de sensibilisation ou d’audits dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles



 

Réagissez à cet article

Original de l’article mis en page : Sophos : tendances actuelles et émergentes pour la cybersécurité en 2017 – Global Security Mag Online



Le règlement européen de protection des données et les contrats fournisseurs

Le règlement européen de protection des données et les contrats fournisseurs

Le Règlement général sur la protection des données (RGPD) du 27 avril 2016 est paru au JO le 4 mai 2016.…[Lire la suite ]

Denis JACOPINI anime des conférences, des formations sur la mise en conformité CNIL, des formations sur la protection des données Personnelles et est régulièrement invité à des tables rondes en France et à l’étranger pour sensibiliser les décideurs et les utilisateurs aux obligations et moyens de se mettre en conformité avec le RGPD, futur règlement européen relatif à la Protection des Données Personnelles (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84).
Plus d’informations sur notre page formations.

Denis JACOPINI est Expert Informatique assermenté spécialisé en cybercriminalité et en protection des données personnelles.Expertises techniques (virus, espions, piratages, arnaques Internet…) et judiciaires (contentieux, détournements de clientèle…), Expertises de systèmes de vote électronique, Formations et conférences en cybercriminalité, Formation de C.I.L. (Correspondants Informatique et Libertés), Accompagnement à la mise en conformité CNIL de votre établissement.

Réagissez à cet article



En 2017, les pirates informatiques vont mettre les bouchées doubles

En 2017, les pirates informatiques vont mettre les bouchées doubles
Les hackers vont notamment chercher à ébranler la confiance que l’on porte aux données, annonce un rapport de CyberArkBy SHOSHANNA SOLOMON

 

Les cyber-criminels du monde entier devraient intensifier leur activité l’année prochaine en utilisant l’intelligence artificielle et la manipulation des sources d’information pour créer des attaques plus fortes et plus dévastatrices, mettent en garde les experts de CyberArk.

En infiltrant et en manipulant les sources d’information, les pirates s’efforceront de saper la confiance des gens dans l’intégrité des données qu’ils reçoivent, utiliseront l’intelligence artificielle pour mener des cyber-attaques plus sophistiquées et augmenteront la collaboration entre eux pour déclencher un plus grand désordre, selon les prévisions cybersécuritaires pour 2017.
« L’intégrité de l’information sera l’un des plus grands défis auxquels les consommateurs, les entreprises et les gouvernements du monde devront faire face en 2017, où les informations venant de sources vénérées ne seront plus dignes de confiance », ont déclaré les experts.

« Les cyber-attaques ne se concentreront pas seulement sur une entreprise spécifique, il y aura des attaques contre la société visant à éliminer la confiance elle-même ».

Les attaquants ne se contentent pas d’accéder à l’information : ils « contrôlent les moyens de changer l’information là où elle réside et la manipulent pour les aider à atteindre leurs objectifs », affirment les auteurs.

Un Cyber-chercheur de CyberArk Kobi Ben-Naim (Crédit : Autorisation)
Un Cyber-chercheur de CyberArk Kobi Ben-Naim (Crédit : Autorisation)

Manipuler l’information – dans une campagne électorale par exemple – peut être un outil puissant. L’altération de contenus inédits, comme les fichiers audio, pourrait conduire à une augmentation des tentatives d’extorsion, en utilisant des informations qui peuvent ne pas être réelles ou prises hors de leur contexte.

« Il sera plus facile que jamais de rassembler des informations réelles volées dans une brèche avec des informations fabriquées, pour créer un déséquilibre ce qui rendra plus difficile pour les gens de déterminer ce qui est réel et ce qui ne l’est pas ».

L’augmentation de l’utilisation mobile, du web et des médias sociaux sont parmi les facteurs clés contribuant à l’augmentation explosive des cyber-menaces, a déclaré MarketsandMarkets, une firme de recherche basée au Texas, dans un rapport. La semaine dernière, Yahoo a subi le plus grand piratage au monde connu à ce jour, dans lequel la société a découvert une violation de sécurité vielle de 3 ans qui a permis à un pirate de compromettre plus d’un milliard de comptes d’utilisateurs.

Le marché mondial de la cyber-sécurité atteindra plus de 170 milliards de dollars d’ici 2020, selon une estimation de MarketsandMarkets, avec des entreprises qui se concentrent globalement sur les solutions de sécurité mais aussi sur les services…[lire la suite]

Notre métier : Vous aider à vous protéger des pirates informatiques (attaques, arnaques, cryptovirus…) et vous assister dans vos démarches de mise en conformité avec la réglementation relative à la protection des données à caractère personnel.

Par des actions de formation, de sensibilisation ou d’audits dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

 

Réagissez à cet article

Original de l’article mis en page : Les pirates informatiques vont mettre les bouchées doubles en 2017 | The Times of Israël



Que nous réserve la CyberSécurité en 2017 ?

Les grandes tendances 2017 de la cybersécurité, Le Cercle

Que nous réserve la CyberSécurité en 2017 ?
La fin de l’année c’est aussi et surtout la période des bilans. Dans cet article, nous mettrons en évidence les cinq tendances les plus importantes tendances à venir. Qu’elles se maintiennent ou évoluent durant l’année 2017, une chose est sûre, elles risquent de donner du fil à retordre aux professionnels de la cybersécurité.

 

1 : intensification de la guerre de l’information

S’il y a bien une chose que la cybersécurité nous a apprise en 2016, c’est que désormais, les fuites de données peuvent être motivées aussi bien par la recherche d’un gain financier ou l’obtention d’un avantage concurrentiel que pour simplement causer des dommages dus à la divulgation d’informations privées. À titre d’exemples, le piratage du système de messagerie électronique du Comité National Démocrate (DNC) américain qui a conduit à la démission de Debbie Wassermann Schultz de son poste de présidente ; ou encore, la sécurité des serveurs de messagerie qui a miné la campagne présidentielle américaine de la candidate Hillary Clinton dans sa dernière ligne droite. Il est également inexcusable d’oublier que Sigmundur Davíð Gunnlaugsson, le Premier ministre islandais, a été contraint de démissionner en raison du scandale des Panama Papers.

Les évènements de ce type, qui rendent publiques de grandes quantités de données dans le cadre d’une campagne de dénonciation ou pour porter publiquement atteinte à un opposant quelconque d’un gouvernement ou d’une entreprise, seront de plus en plus fréquents. Ils continueront de perturber grandement le fonctionnement de nos institutions et ceux qui détiennent actuellement le pouvoir.

 

 

2 : l’ingérence de l’État-nation

Nous avons assisté cette année à une augmentation des accusations de violations de données orchestrées par des États-nations. À l’été 2015, l’administration Obama a décidé d’user de représailles contre la Chine pour le vol d’informations personnelles relatives à plus de 20 millions d’Américains lors du piratage des bases de données de l’Office of Personnel Management. Cette année, le sénateur américain Marco Rubio (républicain, État de Floride) a mis en garde la Russie contre les conséquences inévitables d’une ingérence de sa part dans les élections présidentielles.

Il s’agit là d’une autre tendance qui se maintiendra.
Les entreprises doivent donc comprendre que si elles exercent ou sont liées de par leur activité à des secteurs dont les infrastructures sont critiques (santé, finance, énergie, industrie, etc.), elles risquent d’être prises dans les tirs croisés de ces conflits.

 

 

3 : la fraude est morte, longue vie à la fraude au crédit !

Avec l’adoption des cartes à puces – notamment EMV (Europay Mastercard Visa) – qui a tendance à se généraliser, et les portefeuilles numériques tels que l’Apple Pay ou le Google Wallet qui sont de plus en plus utilisés, les fraudes directes dans les points de vente ont chuté, et cette tendance devrait se poursuivre. En revanche, si la fraude liée à des paiements à distance sans carte ne représentait que de 9 milliards d’euros en 2014, elle devrait dépasser les 18 milliards d’ici 2018.

Selon l’article New Trends in Credit Card Fraud publié en 2015, les usurpateurs d’identité ont délaissé le clonage de fausses cartes de crédit associées à des comptes existants, pour se consacrer à la création de nouveaux comptes frauduleux par l’usurpation d’identité. Cette tendance devrait se poursuivre, et la fraude en ligne augmenter.
Le cybercrime ne disparaît jamais, il se déplace simplement vers les voies qui lui opposent le moins de résistance. Cela signifie, et que les fraudeurs s’attaqueront directement aux systèmes de paiement des sites Web.

 

 

4 : l’Internet des objets (IdO)

Cela fait maintenant deux ans que les experts prédisent l’émergence d’un ensemble de risques inhérents à l’Internet des objets. Les prédictions sur la cybersécurité de l’IdO ont déjà commencé à se réaliser en 2016. Cela est en grande partie dû à l’adoption massive des appareils connectés d’une part par les consommateurs, mais aussi par les entreprises. En effet, d’après l’enquête internationale portant sur les décideurs et l’IdO conduite par IDC, environ 31 % des entreprises ont lancé une initiative relative à l’IdO, et 43 % d’entre elles prévoient le déploiement d’appareils connectés dans les douze prochains mois. La plupart des entreprises ne considèrent pas ces initiatives comme des essais, mais bien comme faisant partie d’un déploiement stratégique à part entière.

Cette situation va considérablement empirer. L’un des principaux défis de l’IdO n’est pas lié à la sécurisation de ces appareils par les entreprises, mais plutôt au fait que les fabricants livrent des appareils intrinsèquement vulnérables : soit ils sont trop souvent livrés avec des mots de passe par défaut qui n’ont pas besoin d’être modifiés par les utilisateurs, soit la communication avec les appareils ne requiert pas une authentification de niveau suffisant ; ou encore, les mises à jour des firmwares s’exécutent sans vérification adéquate des signatures. Et la liste des défauts de ces appareils n’en finit pas de s’allonger.

Les entreprises continueront d’être touchées par des attaques directement imputables aux vulnérabilités de l’IdO, que ce soit par des attaques par déni de service distribué (attaques DDoS), ou par le biais d’intrusions sur leurs réseaux, rendues possibles par les « faiblesses » inhérentes de l’IdO.

 

 

5 : bouleversements de la réglementation[lire la suite]

Notre métier : Vous aider à vous protéger des pirates informatiques (attaques, arnaques, cryptovirus…) et vous assister dans vos démarches de mise en conformité avec la réglementation relative à la protection des données à caractère personnel.

Par des actions de formation, de sensibilisation ou d’audits dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

 

Réagissez à cet article

Original de l’article mis en page : Les grandes tendances 2017 de la cybersécurité, Le Cercle



Les mails de Clinton piratés par des «hackeurs russes», stratégie de diversion ?

Les mails de Clinton piratés par des  «hackeurs russes», stratégie de diversion ?
Les Etats-Unis utilisent la Russie comme un «ennemi commode», dont l’existence est indispensable pour entretenir leur complexe militaro-industriel, explique Jean-Robert Raviot, professeur des études russes.

 

RT France : Barack Obama a donné vendredi passé sa dernière conférence de presse en tant que président, où il a évoqué la Russie et les hackers russes qui auraient piraté les comptes du Parti démocrate américain alors que, selon la déclaration du procureur général des Etats-Unis, il n’y a pas de preuve de l’origine de ces attaques. Pourquoi alors accuser la Russie ?   

Jean-Robert Raviot (J.-R. R.) : Il faut chercher la réponse dans une logique qui n’est pas proprement en Russie, mais plutôt à Washington. C’est à dire qu’on assiste aujourd’hui à un tir de barrage contre Donald Trump de la part du Parti démocrate et d’un certain nombre de gens qui soutenaient la candidature de Hillary Clinton. Dans cette affaire il y a trois points qui soulèvent question pour moi. Premièrement, sur un plan technique – pourquoi est-ce que ce hacking, s’il est avéré qu’il a été repéré par la CIA, n’est-il pas rendu public ? Et surtout, pourquoi la NSA, qui en principe devrait avoir une vision assez claire des opérations de hacking sur le territoire américain, ne s’est-elle pas prononcée ?

Le fait d’accuser le Kremlin et les hackers russes d’avoir monté cette opération, permet de détourner l’attention du fond des mails

Je crois qu’il faut remarquer que personne de la NSA n’a donné son avis sur la question. Pour moi, ça met déjà un gros doute sur la réalité de ce hacking, sur la preuve qu’on peut avoir que des hackers russes ont agi pour prendre possession de ces mails de Podesta et ceux de Clinton. C’est un point technique, mais qui me semble important quand-même. Parce que cette question n’est pas résolue, et personne ne la pose vraiment.

On a cherché à discréditer Bernie Sanders. C’est ça le problème

Le deuxième point, comme je l’analyse, c’est la volonté de brouiller un peu l’information. Le fond de l’affaire c’est ce qu’il y a dans ces mails, et la preuve, que du côté de Hillary Clinton, on a cherché à discréditer Bernie Sanders. C’est ça le problème. On voit très clairement dans ces mails une opération interne du Parti démocrate visant tout simplement à mettre de côté Bernie Sanders, à lui mettre des bâtons dans les roues dans cette campagne électorale et dans cette primaire. C’est très clairement avéré. Le fait d’accuser la Russie ou le Kremlin ou les hackers russes d’avoir monté cette opération, permet de détourner l’attention du fond des mails.

Barack Obama
Barack Obama exige un rapport sur le piratage, dont les résultats ne seraient pas rendus publics

Du coup, plus personne ne parle de la réalité de ce qui est dit dans ces mails, et du fait qu’ils ne sont pas rédigés par les hackers, mais par les gens qui ont tenu ces correspondances. Je dirais, c’est un moyen de détourner l’attention du grand public sur un problème qui n’est pas le même. C’est comme le vieux proverbe chinois : «Le sage montre la lune, et l’idiot regarde le doigt qui montre la lune». C’est absolument une stratégie de diversion.

La volonté c’est de se servir d’un ennemi assez commode, parce que c’est l’ennemi historique de la guerre froide – ça permet de mobiliser des récits qui sont déjà écrits et qui résonnent dans les têtes des gens

Le troisième point c’est la véritable volonté de la part d’un groupe dirigeant actuellement aux Etats-Unis, qui est autour d’Obama, autour du Parti démocrate, de Hillary Clinton et leurs soutiens, d’essayer de ramasser un maximum d’arguments. Pour l’instant, je pense qu’il y a des gens qui préparent l’impeachment de Trump. Je pense que c’est un peu rapide de dire ça – pour le moment, il n’est pas encore investi, on ne peut pas faire la destitution de quelqu’un qui n’est pas encore investi. Mais je pense que l’objectif c’est de faire une campagne, de tenter d’orienter le vote des grands électeurs et de faire en sorte qu’ils ne votent pas pour Trump.

RT France : Pourquoi ont-ils choisi Vladimir Poutine et la Russie, et non pas la Chine, par exemple, en guise de bouc émissaire ?

J.-R. R. : Parce que la Russie, je dirais, a été désignée comme l’ennemi principal non seulement des Etats-Unis, mais aussi de l’Alliance atlantique. Rappelez-vous, quand en juillet 2016, au sommet de Varsovie de l’OTAN, on a désigné la Russie comme menace principale, alors que le djihadisme apparaît à peine dans le texte. C’est quand-même incroyable. La volonté c’est de se servir d’un ennemi qui existe, un ennemi qui est assez commode, parce que c’est l’ennemi historique de la guerre froide – ça permet de mobiliser des récits qui sont déjà écrits et qui résonnent dans les têtes des gens. C’est un ennemi familier, en quelque sorte. En même temps, l’image de Poutine permet d’associer cette image à un homme fort, anti-Obama, par sa personnalité, on peut facilement l’opposer aux dirigeants occidentaux. Et puis, ça résonne aussi assez bien dans le contexte de la guerre en Syrie et surtout de la guerre qu’on veut mener. C’est la narration de cette guerre qu’on veut imposer, c’est-à-dire, un soutien certainement des forces anti-Assad et anti-régime, de continuer ces opérations de «regime change», qui ont commencé en 2003, tout en s’appuyant sur le pays qui s’y oppose pour l’instant militairement, d’une manière directe…[lire la suite]

Notre métier : Vous aider à vous protéger des pirates informatiques (attaques, arnaques, cryptovirus…) et vous assister dans vos démarches de mise en conformité avec la réglementation relative à la protection des données à caractère personnel.

Par des actions de formation, de sensibilisation ou d’audits dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

 

Réagissez à cet article

Original de l’article mis en page : Les «hackeurs russes», une stratégie de diversion pour oublier le contenu des mails de Clinton — RT en français



Le Règlement Général sur la Protection des Données (RGPD) en détail

RGPD : le Règlement Général sur la Protection des Données qui bouleverse la loi Informatique et Liberté. Par Bernard Rineau, Avocat, et Julien Marcel, Juriste.

Le Règlement Général sur la Protection des Données (RGPD)  en détail
Après quatre années d’âpres négociations, les États Membres de l’Union Européenne sont enfin convenus d’un texte venant moderniser la directive 1995/46/CE du 24 octobre 1995, laquelle datait des débuts d’Internet. Mais, contrairement à une directive, le Règlement adopté le 8 avril 2016 par le Conseil de l’Europe puis, le 16 avril, par le Parlement européen, est d’application directe et s’imposera aux États Membres à compter du 25 mai 2018, sans qu’il soit besoin de le transposer dans les législations nationales.

 

 

Le processus d’élaboration du texte, long et émaillé de près de 4000 amendements, a mis au monde un texte très long – plus de 200 pages – comportant 99 articles introduits par 173 considérants.

Intitulé « Règlement n°2016/679 du Parlement Européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données », le texte résultant, complexe et technique, est particulièrement difficile à aborder par les entreprises et les administrations, lesquelles sont pourtant les principaux acteurs visés par le texte. Ainsi, dans un article du 18 octobre 2016, le journal La Tribune écrivait que « 96% des entreprises des trois principales économies européennes [France, Allemagne, Royaume-Uni] ne comprennent pas encore clairement le Règlement général de protection des données (RGPD) (…) Selon une étude publiée ce mardi par la société de sécurité informatique Symantec, 92% des dirigeants et décideurs français s’inquiètent de ne pas être en conformité au moment de l’entrée en vigueur de la RGPD » !

Les acteurs du traitement de données vont donc devoir investir considérablement pour se mettre à niveau de la nouvelle réglementation, d’autant que toutes les entreprises du monde traitant des données personnelles de citoyens européens sont concernées par le Règlement.

Nous nous proposons, à travers cet article, d’exposer les principales nouveautés du texte sous une forme compréhensible pour le non-initié. Nous dresserons au préalable un tableau général des intentions du texte (I) avant d’insister sur ses innovations principales (II).

 

 

I- Présentation générale du RGPD

Le but déclaré du texte est de renforcer le contrôle des citoyens européens sur l’utilisation de leurs données personnelles, tout en simplifiant, en l’unifiant, la réglementation pour les entreprises.

Les citoyens pourront désormais réclamer contre l’utilisation abusive de leurs données auprès d’une autorité unique, chargée de la protection des données, plutôt que de devoir le faire auprès de l’entreprise détentrice de leurs données. Les particuliers pourront également se joindre à des recours collectifs via des organisations représentatives qui, si la loi nationale les y autorise, pourront agir de leur propre initiative.

Le RGPD développe ainsi considérablement les droits reconnus à la personne dont les données sont collectées. Ainsi, des trois droits reconnus à la personne par la loi Informatique et Liberté (opposition au traitement sous réserve de motif légitime, droit d’accès/communication aux données, droit de rectification/suppression), l’on passe à 11 droits (droit à une information complète en langage clair, droit à l’oubli, droit à la limitation du traitement, droit à la portabilité des données, droit d’opposition (notamment au profilage), etc …). D’une manière générale, la personne concernée dispose d’un droit étendu et facilité à accéder aux données à caractère personnel qui la concernent et le texte réaffirme les principes essentiels de la protection de la vie privée :

  • Restriction d’utilisation ;
  • Minimisation des données ;
  • Précision ;
  • Limitation du stockage ;
  • Intégrité ;
  • Confidentialité.

Les entreprises sont incitées à privilégier l’utilisation de pseudonymes avant et pendant le traitement des données pour en garantir la protection (concept de la prise en compte du respect de la vie privée dès la conception). La « pseudonymisation  » consiste à s’assurer que les données sont conservées sous une forme ne permettant pas l’identification directe d’un individu sans l’aide d’informations supplémentaires.

 

 

II- Principales mesures du RGPD

 

1. Réalisation d’une analyse d’impact avant la mise en place d’un traitement de données

Avant la mise en place d’un traitement de données pouvant présenter des risques pour la protection des données personnelles, l’entreprise devra réaliser une analyse d’impact : « Lorsqu’un type de traitement, en particulier par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement effectue, avant le traitement, une analyse de l’impact des opérations de traitement envisagées sur la protection des données à caractère personnel. » (Article 35 du Règlement)

Le RGPD introduit ainsi le concept de prise en compte du respect de la vie privée dès la conception du traitement : les différentes obligations pesant sur la collecte des données doivent être prises en compte dès la conception du traitement de données (« privacy by design and by default »).

 

 

2. Consentement clair et explicite à la collecte des données

La directive 1995/46/CE donnait une définition du consentement à la collecte des données, laquelle a été transposé de manière très hétérogène dans les législations nationales, certaines exigeant un consentement explicite, d’autres décidant qu’un consentement implicite était suffisant. Notre loi Informatique et Liberté se contente ainsi de définir des cas dans lesquels le consentement devrait être explicite. Le Règlement vient unifier une fois pour toute cette définition au onzième point de son article 4 consacré aux définitions, en définissant le consentement comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ».

Ce consentement doit donc être express. Il doit résulter d’un acte positif. La personne doit réellement avoir été mise devant la nécessité de donner son accord au traitement. Ainsi, dans son considérant n°32, le Règlement précise qu’ «  il ne saurait dès lors y avoir de consentement en cas de silence, de case cochée par défaut ou d’inactivité. » Plus encore, la charge de la preuve du consentement pèse sur le responsable du traitement (article 7, 1°). En outre, la personne dont les données sont collectées peut retirer son consentement à tout moment (article 7, 3°).

Malgré cela, le Règlement prévoit un certain nombre de cas pour lesquels le traitement demeure licite même sans consentement (article 6, b) à f)) :

  • Lorsque ce traitement est nécessaire à l’exécution d’un contrat accepté par la personne ;
  • Lorsque le traitement découle d’une obligation légale ;
  • Le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne ;
  • Le traitement est nécessaire à l’exécution d’une mission d’intérêt public ;
  • Tout autre intérêt légitime du responsable du traitement, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne, en particulier s’il s’agit d’un enfant.

 

 

3. Accès facilité de la personne à ses données

Les personnes dont les données sont collectées disposent de droits à la rectification, à l’effacement des données et à l’oubli : « la personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données la concernant et le responsable du traitement a l’obligation d’effacer ces données dans les meilleurs délais  » (Article 17), et ce pour six motifs : les données ne sont plus nécessaires, la personne concernée retire son consentement, la personne concernée s’oppose au traitement à des fins de prospection, les données ont fait l’objet d’un traitement illicite, les données doivent être effacées pour respecter une obligation légale, ou encore les données ont été collectées dans le cadre d’une offre de service à destinations de mineurs.

 

 

4. Notification des violations de données personnelles (« Data Breach Notification »)

A l’heure actuelle, les différentes directives européennes font peser sur les entreprises du secteur de la télécommunication l’obligation d’informer les autorités en cas « d’accès non autorisé » à des données personnelles. En clair, lors d’un piratage. Le Règlement, quant à lui, généralise cette obligation de signalement à l’ensemble des responsables de traitement, en ce compris leurs sous-traitants, et ce au plus tard 72 heures après la découverte du problème (Article 33). Bien entendu, il faut que le problème atteigne une certaine gravité pour qu’il soit nécessaire de le rapporter, et tout va donc dépendre de la détermination du seuil à partir duquel le signalement devient obligatoire. L’article 34 du Règlementindique que ce signalement devra intervenir « lorsqu’une violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique. » L’emploi du mot « élevé  » laisse donc place à appréciation et donnera donc probablement lieu au développement d’une jurisprudence abondante.

Les personnes concernées par la violation des données doivent également être notifiées dans les meilleurs délais, sauf si des mesures de protection ont été mises en œuvre ou seront prises ultérieurement.

 

 

5. La création et la maintenance d’un registre des traitements devient obligatoire

Aux termes de l’article 30 du RGPD, un registre détaillé des traitements doit désormais être obligatoirement conservé non seulement par le responsable du traitement mais également par ses éventuels sous-traitants. Ce registre doit pouvoir être mis à tout moment à disposition des autorités de contrôle.

Le texte insiste ainsi sur la responsabilité du contrôleur des données, lequel est responsable de la conformité du traitement avec le Règlement et doit être, à tout moment, en mesure de la démontrer.

Lorsque le traitement de données est délégué par le responsable du traitement à un sous-traitant, ou « data processor », même situé hors de l’Union Européenne, celui-ci a désormais les mêmes obligations que le responsable du traitement, y compris la désignation d’un délégué à la protection des données, et ce même dans le cas d’un traitement de données gratuit.

 

 

6. Création des délégués à la protection des données (Data Protection Officer)

Si notre loi Informatique et Liberté, et ses mises à jour, ont créé le Correspondant Informatique et Liberté (le « CIL  »), le Règlement, quant à lui, rend obligatoire dans certains cas la nomination d’un délégué à la protection des données (DPD ou, en anglais, DPO : Data Protection Officer) pour les organismes privés ou publics dont « les activités de base (…) exigent un suivi régulier et systématique à grande échelle des personnes concernées » ou lorsque « le traitement est effectué par une autorité publique ou un organisme public » (article 37), à l’exception des juridictions. Ce délégué n’est obligatoire que dans certains cas, mais il est fortement recommandé de le nommer systématiquement puisque toute entreprise ou administration doit être capable à tout moment de rendre comptes à l’autorité de contrôle de l’état de ses traitements de données.

Le rôle du délégué à la protection des données sera de garantir la conformité des traitements de données avec les principes de protection de la sphère privée, tels que fixés par le RGPD, ainsi que de gérer les relations entre les personnes concernées (employés, clients) et les autorités de surveillance.

 

 

7. Le transfert des données est soumis à vérification et peut être demandé par la personne elle-même

Les transferts de données personnelles vers des pays étrangers sont désormais soumis à la vérification des garanties offertes par les lois de ce pays pour préserver un niveau de sécurité équivalent pour les données. L’article 45 du Règlement prévoit que, dans l’idéal, le pays destinataire devra être listé par la Commission européenne. A défaut, des clauses de garantie spéciales devront être prévues dans les contrats, outre la possibilité de recourir à des codes de conduite, des certifications et autres labels. Auquel cas, il ne sera pas nécessaire d’obtenir une autorisation auprès de l’autorité nationale du pays d’origine des données.

En outre, l’article 49 du Règlement prévoit que, si le traitement nécessitait de recueillir le consentement de la personne, alors celle-ci devra être informée du transfert de ses données et des risques que présentent l’opération. Ceci, bien entendu, afin de permettre à la personne de revenir éventuellement sur son consentement.

Enfin, les personnes dont les données sont collectées disposent elles-mêmes d’un droit à demander le transfert des données les concernant (ou « droit à la portabilité des données ») vers un autre fournisseur de services : « Les personnes concernées ont le droit de recevoir les données à caractère personnel les concernant qu’elles ont fournies à un responsable du traitement, dans un format structuré, couramment utilisé et lisible par machine, et ont le droit de transmettre ces données à un autre responsable du traitement sans que le responsable du traitement auquel les données à caractère personnel ont été communiquées y fasse obstacle » (Article 20).

 

 

8. Restriction du profilage automatisé servant de base à une décision

L’article 21 du Règlement dispose que « La personne concernée a le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l’affectant de manière significative de façon similaire », sauf si ce traitement est nécessaire à l’exécution d’un contrat entre la personne concernée et le responsable du traitement, ou bien que la décision est autorisée par le droit de l’Union européenne, ou bien encore que le consentement explicite de la personne concernée a été recueilli en amont.

 

 

9. Recours et aggravation considérable des sanctions

La directive 1995/46/CE prévoyait jusqu’ici simplement la possibilité, pour la personne dont les droits ont été violés, de recourir aux tribunaux et d’obtenir du responsable du traitement réparation de son préjudice.

Le Règlement prévoit quant à lui un « droit à un recours effectif » (articles 78 et 79) et un « droit à réparation » (article 82). Il définit des règles de compétences des juridictions se substituant aux règles de droit international privé des États Membres et détermine les amendes qui devront être délivrées par les autorités nationales de contrôle (article 83). Or, les amendes mises en place par le Règlement sont considérables, puisqu’elles peuvent aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaire mondial ! Le risque qui pèse sur les entreprises imprudentes est donc très sérieux…[lire la suite]

Notre métier :

Nous proposons des service d’accompagnement sur plusieurs niveaux :

1/ Au niveau des utilisateurs qui, face à la résistance au changement, doivent comprendre l’intérêt des démarches de mise en conformité des traitements des données personnelles, pour favoriser leur implication et faciliter la mission du Correspondant aux Données Personnelles.

1’/ Au niveau des utilisateurs encore pour sensibiliser les utilisateurs aux différentes formes d’attaques et d’arnaques informatiques (cybercriminalité) dont les établissements sont très largement victimes.
Les services chargés de gérer les fournisseurs sont fortement incités à suivre notamment un module sur les arnaques aux FOVI et à voir leurs procédures auditées et probablement améliorées.

2/ Au niveau de l’établissement complet afin de faire un état des lieux des traitements concernés et un audit des mesures de sécurité en place et à faire évoluer pour les rendre acceptables vis à vis de la Réglementation relative aux Données Personnelles.

3/ Au niveau du futur CIL ou du futur DPO afin de lui faire découvrir ses misions, l’accompagner dans sa prise de fonction et l’accompagner au fil des changements.

 

Par des actions de formation, de sensibilisation ou d’audits dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles


 

Réagissez à cet article

Original de l’article mis en page : RGPD : le Règlement Général sur la Protection des Données qui bouleverse la loi Informatique et Liberté. Par Bernard Rineau, Avocat, et Julien Marcel, Juriste.



Vigilance – faux appels passés au nom de la CNIL

Vigilance – faux appels passés au nom de la CNIL
Vigilance – faux appels passés au nom de la CNIL

Des entreprises ont reçu, ces derniers jours, des appels téléphoniques de personnes se faisant passer pour la CNIL et prétextant devoir envoyer des documents.

Ces appels frauduleux ont pour but de collecter des informations sur votre organisation, et notamment l’adresse mail de dirigeants (directeur informatique, directeur des achats, etc.), pour préparer une attaque informatique (rançongiciel / ransomware) ou une escroquerie financière (« arnaque au Président »).

N’y répondez pas ! En cas de doute, vous pouvez contacter la CNIL au 01 53 73 22 22

 

Notre métier : Vous aider à vous protéger des pirates informatiques (attaques, arnaques, cryptovirus…) et vous assister dans vos démarches de mise en conformité avec la réglementation relative à la protection des données à caractère personnel.

Par des actions de formation, de sensibilisation ou d’audits dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles



 

Réagissez à cet article

Original de l’article mis en page : Vigilance – faux appels passés au nom de la CNIL | CNIL



Victime de Ransomware ? Payer ou ne pas payer ?

Victime de Ransomware ? Payer ou ne pas payer ?
Selon une étude d’IBM, près de 70% des entreprises victimes d’un ransomware acceptent de payer les cybercriminels pour récupérer leurs données. 50% de celles-ci ont versé plus de 10.000 dollars. Pourquoi payer ? Pour récupérer l’accès à leurs données critiques.

« On ne paie pas, ce n’est pas une solution raisonnable » jugeait en début d’année le patron de l’agence de sécurité de l’Etat (Anssi). Pour Guillaume Poupard, verser des rançons aux auteurs de ransomware n’est pas la solution.

Pourquoi ? Car, entre autres, « cela contribue uniquement à soutenir financièrement les développeurs du malware » justifie Catalin Cosoi, responsable de la stratégie sécurité de BitDefender. Mais voilà, faute de sauvegarde et compte tenu de l’importance des données, des entreprises se résignent à payer.

Ransomware : des attaques à large spectre

C’est ce qu’observe IBM Security dans une étude. D’après Big Blue, les entreprises sont de plus en plus victimes de ransomware. Mais d’abord par opportunisme. Ces attaques sont désormais bien moins ciblées et affectent des victimes plus que des cibles.

L’attaque fin novembre contre le système de transport de San Francisco en est une illustration. Les pirates expliquaient ainsi automatiser l’infection par un ransomware après détection de vulnérabilités. La municipalité avait cependant refusé de payer la rançon de 100 bitcoins (alors plus de 70.000 dollars).

Selon IBM, la rentabilité du ransomware encourage à la multiplication des attaques. Près de 40% des emails de spam contiendraient désormais un tel programme malveillant. Cela se traduit mécaniquement par une hausse du nombre de victimes.

Et les entreprises victimes auraient donc majoritairement tendance, à près de 70%, à payer la rançon pour récupérer leurs données, chiffrées par les cybercriminels et donc inexploitables. Le préjudice financier dépasserait les 10.000 dollars pour 50% de ces sociétés.

Payer ou renoncer à ses données critiques

Les 20% restants auraient versé plus de 40.000 dollars, estime IBM. Au total, Big Bue évalue à 1 milliard de dollars, le montant ainsi extorqué aux entreprises grâce à un ransomware…[lire la suite]

Notre métier : Vous aider à vous protéger des pirates informatiques (attaques, arnaques, cryptovirus…) et vous assister dans vos démarches de mise en conformité avec la réglementation relative à la protection des données à caractère personnel.

Par des actions de formation, de sensibilisation ou d’audits dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles



 

Réagissez à cet article

Original de l’article mis en page : Ransomware – Payer ou ne pas payer ? Une large majorité d’entreprises a choisi – ZDNet



Publication de contenus à caractére privé sur internet : La Cdp condamne et agite des sanctions

Publication de contenus à caractére privé sur internet : La Cdp condamne et agite des sanctions

La Commission de protection des données personnelles (Cdp) condamne fermement, à travers un communiqué, la publication de vidéos, de photos et d’enregistrements audio notée ces derniers temps sur les réseaux sociaux et les sites d’information en ligne.…[Lire la suite ]

Denis JACOPINI anime des conférences, des formations sur la mise en conformité CNIL, des formations sur la protection des données Personnelles et est régulièrement invité à des tables rondes en France et à l’étranger pour sensibiliser les décideurs et les utilisateurs aux obligations et moyens de se mettre en conformité avec le RGPD, futur règlement européen relatif à la Protection des Données Personnelles (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84).
Plus d’informations sur notre page formations.

Denis JACOPINI est Expert Informatique assermenté spécialisé en cybercriminalité et en protection des données personnelles.Expertises techniques (virus, espions, piratages, arnaques Internet…) et judiciaires (contentieux, détournements de clientèle…), Expertises de systèmes de vote électronique, Formations et conférences en cybercriminalité, Formation de C.I.L. (Correspondants Informatique et Libertés), Accompagnement à la mise en conformité CNIL de votre établissement.

Réagissez à cet article