Tag Archives: securite

Risque informatique

Comment protéger son entreprise contre les risques informatiques ?

À l’ère du numérique, les entreprises traitent et manipulent à un plus haut degré de multiples  informations en ligne. Ces données sensibles attirent les hackers ou autres cybercriminels qui font preuve d’ingéniosité pour les dérober. Les risques se multiplient avec des emails frauduleux, l’hameçonnage, les escroqueries financières et l’espionnage industriel. Ils deviennent de plus en plus efficaces, laissant les sociétés face au danger grandissant des pirates informatiques et de leurs attaques. Voici les principaux éléments pour protéger au mieux votre entreprise de ces menaces.

Les risques informatiques sont multiples, mais ce sont les cyberattaques qui menacent le plus les entreprises. L’étude « Risk in Focus » réalisée en 2018 par sept instituts européens d’audit interne, membres de l’ECIIA (« European Confederation of Institutes of Internal Auditing », « Confédération Européenne des Instituts d’Audit Interne » en français,ndlr) le souligne bien. Pour 66 % des experts interrogés, le principal risque auquel seront confrontées les entreprises en 2019 est la cybersécurité. Ils placent en deuxième position, la protection des données et la mise en place de stratégies autour du RGPD (Règlement Général de Protection des Données personnelles, ndlr). Selon le sondage OpinionWay pour le CESIN (Club des experts de la sécurité de l’information et du numérique, ndlr), 73 % des attaques informatiques sont des ransomware (« rançongiciel » en français, ndlr), 91 % des offensives passent par les emails et 49 % d’entre elles impactent considérablement le business d’une firme. Respectivement à une étude publiée par Balabit / One Identity (société qui conçoit des logiciels pour faire aux menaces informatiques, ndlr) en mars dernier, près de 80 % des entreprises auraient été touchées par des attaques informatiques. Voici quelques réflexes à mettre en place pour prévenir les risques informatiques.

Des petits détails primordiaux à prendre en compte

Des précautions d’usages sont à effectuer pour protéger au mieux l’entreprise et ses données. Ce sont des petits éléments basiques, mais qui peuvent faire la différence. Il faut tout d’abord prendre une précaution singulière au choix des mots de passe qui permettent de protéger des contenus sensibles sur l’entreprise comme le compte bancaire de la société, la messagerie professionnelle ou encore des données sur les clients. La précaution à prendre est d’éviter les dates d’anniversaire ou les derniers mots à la mode. La Cnil (Commission nationale de l’informatique et des libertés, ndlr) conseille de choisir des mots de passe composés d’au moins 12 caractères mélangeant majuscules, minuscules, chiffres et caractères spéciaux. L’entreprise se doit d’élaborer une stratégie de gestion des mots de passe, c’est à dire de définir les règles de création des mots de passe (dimension, composition) et leur gestion (périodicité de changement, par exemple). Les mots de passe ne doivent en aucun cas être conservés sur un ordinateur ou sur des supports papier visibles à la vue de tous comme des post-it. Il est important de mettre à jour le parc informatique de l’entreprise comme les logiciels et le firehall afin de protéger au maximum les données en cas de virus ou encore d’un piratage par un rançongiciel. Il existe un ensemble varié de solutions et d’outils pour cette question comme les pare-feux nouvelle génération (NGFW) qui détectent les menaces dans les applications collaboratives ou gèrent le trafic internet avec des règles précises ou encore les solutions de type NGES qui bloquent les logiciels malveillants et proposent des protections anti-malware et anti-ransomware.

En dehors des ordinateurs, il faut prendre des précautions sur les tablettes et les smartphones professionnelles en faisant pré-enregistrer les mots de passe, en effectuant des sauvegardes régulières tout en étant prudent en téléchargeant des applications. Enfin, l’aspect le plus important est de sauvegarder les données de l’entreprise sur un support indépendant d’un ordinateur et du réseau, sous peine de menacer l’avenir de celle-ci en cas de risques informatiques. Il est alors recommandé de créer deux copies de sauvegarde, l’une qui sera stockée dans un service spécifique, sur le Cloud, ainsi qu’une autre sur un support physique comme un disque dur externe ou une clé USB.

Former les salariés à la sécurité informatique

Les salariés sont les plus susceptibles d’être attaqués par un cybercriminel ou un pirate informatique. Selon le baromètre Opinion Way réalisé en 2016 pour le Club des Experts de la Sécurité de l’Information et du Numérique (CESIN), 48 % des entrepreneurs pensent que leurs salariés ne suivent pas les recommandations en termes de cybersécurité. Il est alors primordial de former les membres de l’entreprise à la sécurité informatique, pour qu’ils détectent les attaques pour agir au plus vite et limiter les dégâts. Pour responsabiliser le personnel, leur formation peut se faire via de nombreux outils pour apprendre les bons comportements à tenir face aux menaces et les éléments pour les déjouer. Cela peut se faire via une charte informatique diffusée à l’ensemble de l’entreprise pour partager les bonnes pratiques ou des formations de groupes qui permettent de rapprocher les liens et de partager des expériences via des dispositifs ludiques comme des serious games ou des quiz. S’ajoutent également des sessions d’e-learning (formations en ligne, ndlr) qui permettent aux salariés d’apprendre à leur rythme. Enfin la solution qui donne lieu à une meilleure compréhension et sensibilisation des risques informatiques reste celle des sessions de live-hacking, des démonstrations simulant des attaques informatiques.

Un rapport de l’Institut Montaigne intitulé « Cybermenace: avis de tempête » et publié fin novembre dresse un constat alarmant sur la crainte de plusieurs cyberattaques majeures menaçant des milliers d’entreprises, des services de l’État, le transport ferroviaire ou encore les médias. En dressant un scénario catastrophe, l’organisme met en lumière la nature de ce risque et cherche à identifier les solutions. Elle souligne également que la France n’est pas encore en phase de maturité en matière de cybersécurité. Le niveau de sécurité des systèmes d’informatiques des grandes entreprises est particulièrement hétérogène : les firmes bancaires et les sociétés dans le secteur du service et particulièrement celles en B2C (Business to Consumer, ndlr) seraient les plus armées en matière de cybersécurité. Quant aux TPE/PME/ETI, elles seraient les moins bien protégées : l’Institut Montaigne justifie son propos en reprenant une étude de SystemX (Institut de recherche technologique dédié au domaine de l’ingénierie numérique du futur, ndlr) qui démontre que 50 000 PME dans l’Hexagone sont victimes de cyberattaques par an. Pour conclure son rapport, le groupe de réflexion expose treize recommandations pour accroître la cyber-résilience. Parmi elles, une incitation à la création et la souscription d’offres cybersécurité par les TPE/PME/ETI, notamment des offres de connectivité réseau intégrant par défaut des mesures de sécurité de base (nettoyage du trafic).

Source

Biométrie comportementale : Les sites Web et les applications apprennent comment vous tapez sur le clavier, maniez votre téléphone ou utilisez votre souris

À quelle fréquence maintenez-vous votre téléphone dans votre main gauche ? Quelle est la taille de vos mains ? Vos mains tremblent-elles lorsque vous cliquer ou déplacez une souris ? Si votre pointeur disparaît de votre écran, que faites-vous ? Vous ne connaissez peut-être pas les réponses à ces questions, mais il y a des chances que votre banque le sache. Ces détails sont connus sous le nom de comportementale et sont de plus en plus utilisés pour identifier et authentifier les utilisateurs lorsqu’ils interagissent avec des banques, des détaillants et d’autres organisations via leurs sites Web et applications.

Quelles sont les biométries comportementales et comment elles fonctionnent

La  implique la création de profils utilisateur uniques, la collecte et l’analyse de données telles que la manière de glisser ou d’utiliser une souris, la force avec laquelle vous appuyez sur l’écran ou les touches et le rythme de vos touches. Ces données sont souvent utilisées en tant que mesure de sécurité et d’authentification, en tentant d’identifier l’activité frauduleuse du compte en fonction des variations du comportement de l’utilisateur.

Par exemple, si un utilisateur, demandant une carte de crédit, tarde à entrer des  dans l’application en ligne, telles que son nom, sa date de naissance et son numéro de sécurité sociale, alors cela peut indiquer que l’utilisateur prend le temps de rechercher ces données. plutôt que de le rappeler personnellement. Si l’utilisateur est également capable de naviguer dans la page de la banque et dans l’application en ligne avec une rapidité et une familiarité supérieures à l’utilisateur moyen, cela peut également indiquer qu’il a effectué cette action fréquemment et peut indiquer une activité frauduleuse.

Les préoccupations et les risques pour l’utilisateur

Bien que la biométrie comportementale ne soit pas nouvelle, la disponibilité d’une puissance de calcul abordable et la vaste gamme de capteurs disponibles sur les smartphones modernes ont considérablement augmenté son utilisation selon un excellent article publié par le New York Times. En plus de donner un aperçu de la technologie et de son utilisation, l’auteur met en évidence trois principaux domaines d’intérêt pour les utilisateurs soucieux de leur  :

  • La biométrie comportementale peut révéler des informations personnelles et sanitaires sensibles. Que ce soit une diminution soudaine de la coordination œil-main ou l’apparition d’un tremblement de la main, la biométrie comportementale peut donner un aperçu de notre santé et de nos capacités personnelles. Surtout lorsque des données peuvent être collectées par des fournisseurs d’assurance et d’autres organisations ayant un intérêt commercial dans notre bien-être, cela peut avoir des implications éthiques larges et substantielles.
  • Peu d’entreprises admettent l’utilisation de la biométrie comportementale et très peu de firmes recherchent activement le consentement de ses utilisateurs pour recueillir et analyser ces informations. Dans un article de suiviStacy Cowley a discuté de sa difficulté à étudier l’utilisation de la biométrie comportementale. Alors que les fournisseurs étaient disposés à discuter de leur technologie, de son fonctionnement et à parler de cas d’utilisation, peu de banques ou de détaillants étaient prêts à admettre que la biométrie comportementale faisait partie de leur stratégie de sécurité. S’ils ne sont pas disposés à divulguer l’utilisation de ces outils, ils ne demandent certainement pas le consentement de leurs clients pour l’utilisation et l’analyse de ces données.
  • Peu de lois régissent, voire traitent, la collecte et l’utilisation de données biométriques comportementales. Alors que certaines lois couvrent les données biométriques physiques, telles que les empreintes digitales, la reconnaissance faciale et l’iris, la plupart des lois ont été élaborées avant même que l’intelligence artificielle et la technologie soient suffisamment avancés pour créer des profils uniques. Lorsque les lois traitent ou couvrent des données comportementales, ces lois font souvent exception aux exigences de divulgation et de consentement lorsque ces données sont utilisées pour la prévention de la fraude et de la sécurité.

Bien que la biométrie comportementale offre des implications prometteuses pour la sécurité en ligne et la prévention de la fraude, il est évident que ce domaine devrait bénéficier d’une sensibilisation et d’une recherche accrues. Avec la collecte de données qui peuvent être si spécifiques et délicates, les secteurs privé et public devraient également adopter des lois, des directives et des pratiques qui protègent les intérêts du public. Etant donné que la technologie biométrique comportementale est de plus en plus répandue, il est important de veiller à ce que nos données soient utilisées de manière transparente et éthique par les entreprises auxquelles nous faisons confiance dans nos activités bancaires et nos activités.

Traduction d’un article de Private Internet Access

Facebook révèle une faille de sécurité qui a compromis 50 millions de comptes

Facebook a révélé vendredi une faille de sécurité affectant « presque 50 millions de comptes », qui a permis à des pirates de prendre le contrôle de comptes d’utilisateurs.

« La faille a été réparée hier (jeudi) soir », a indiqué vendredi le patron de Facebook Mark Zuckerberg pendant une conférence téléphonique qui a débuté vers 17H00 GMT.

Les équipes du réseau social ont « découvert un problème de sécurité affectant près de 50 millions de comptes. Nous prenons cela extrêmement au sérieux », avait écrit plus tôt le groupe dans un communiqué, ajoutant « prendre des actions immédiates ».

C’est un nouveau déboire –dont la gravité reste à déterminer– pour le premier réseau social du monde et ses plus de 2 milliards d’usagers à travers le monde.

Son action reculait en Bourse, abandonnant un peu plus de 3% à la même heure.

La confiance des utilisateurs a été passablement ébranlée depuis plusieurs mois par plusieurs scandales dont la révélation du partage de données personnelles à des fins politiques à l’insu des usagers ou encore la diffusion de messages destinés à influer secrètement sur les élections dans plusieurs pays, y compris en France ou aux Etats-Unis.

©AFP

Gmail : Google avoue que les développeurs ont accès à vos données

es données des utilisateurs de Gmail restent accessibles aux développeurs tiers. C’est ce que vient d’avouer Google, interrogé par le Sénat américain autour de sa politique de protection des données personnelles.

Depuis 2017, Google a cessé de scanner les comptes d’utilisateurs de son service Gmail pour récupérer des mots-clés. Cependant, la firme vient d’avouer aux sénateurs américains qu’elle continue à laisser les développeurs tiers accéder à ces données.

Selon le représentant de l’entreprise, Google ouvre une enquête lorsqu’un comportement suspect est détecté. De plus, lorsqu’une application est suspendue, la firme avertit les utilisateurs afin qu’ils interdisent l’accès aux données à cette application.

Le géant de Mountain View demande aussi leur consentement aux utilisateurs avant d’installer des extensions tierces pour Gmail. En théorie, les développeurs tiers qui créent ces extensions sont donc obligés d’informer les utilisateurs sur la façon dont leurs données Gmail seront collectées et partagées. De fait, tant que les développeurs font preuve de transparence à ce sujet, ils sont autorisés à partager les données avec des tiers.

Gmail : Google ne peut préciser combien de développeurs enfreignent les règles

Cependant, l’entreprise américaine n’a pas été en mesure de préciser combien de développeurs enfreignent les règles qui régissent cette pratique. Or, c’est ce que veulent savoir les législateurs et régulateurs américains afin de déterminer si Google doit faire l’objet d’une sanction.

Depuis le scandale de l’affaire Facebook / Cambridge Analytica, survenu en mars 2018, les autorités et les régulateurs américains se penchent assidument sur la façon dont les entreprises technologiques gèrent et protègent les données personnelles de leurs utilisateurs.

Le 26 septembre 2018, Google devra répondre à une nouvelle série de questions dans le cadre d’une audition auprès du Senate Commerce Committee. Les entreprises Apple, Twitter et AT&T sont également convoquées.

www.lebigdata.fr