Comment gérer le fait religieux en entreprise ?

https://www.faceaurisque.com/2018/10/04/le-fait-religieux-en-entreprise/

 

Face au développement, parfois revendicatif ou prosélytiste, du fait religieux sur les lieux de travail, les chefs d’entreprise se sentent parfois démunis. Pourtant, un corpus juridique existe qui encadre la pratique religieuse au travail et surtout protège « le principe de neutralité ». Néanmoins, pour être pleinement efficaces, ces règles demandent une prise en compte dans le règlement intérieur, ce qui ne peut être fait qu’après un travail de réflexions et de dialogue. Il peut être utile d’être accompagné dans ce travail qui demande de prendre du recul et d’avoir une forte expérience de la sûreté en entreprise et de l’interculturalité.

un excellent point sur la réglementation par maître Thibault du Manoir

RGPD : arrêtez de faire peur

La date du 25 mai est agitée par beaucoup comme un épouvantail….ou un argumentaire de démarches commerciales.

Oui, le RGPD va profondément modifier le rapport des entreprises, et des administrations, aux données personnelles des citoyens européens, non le 25 mai ne sera pas un grand soir qui plongera les entreprises dans le chaos.

Le 10 avril 2018, à l’occasion d’une conférence de presse, la présidente de la CNIL (la Commission Nationale de l’Informatique et des Libertés), Isabelle Falque-Pierrotin, à fait un point sur le RGPD et ses enjeux. Elle s’est montrée rassurante quant à la mise en oeuvre des mesures de contrôle qui accompagneront l’application du règlement européen.

S’il n’y aura pas de « période de grâce », il n’y aura pas, non plus, de « chasse aux sorcières », dit-elle. D’ailleurs, on peut se demander comment la CNIL pourrait, des le 26 mai, lancer une vaste opération de contrôle sur l’ensemble des administrations et des entreprises françaises (plus de 3,5 millions!) et étrangères détenant des données personnelles de français.

De façon beaucoup plus réaliste, La Commission Nationale de l’Informatique et des Libertés souhaite s’engager dans un processus de pédagogie et d’accompagnement. Ce qui est recherché, c’est que les entreprises et les administrations publiques prennent conscience des données à caractères personnels et sensibles qu’elles demandent à leurs clients ou usagers mais également à leurs collaborateurs, qu’elles soient conscientes de leurs responsabilités quant à la conservation et la sécurité de ces données (les exemples de fuites ou de pillages massives de données sont multiples) et qu’elles assument ces responsabilités en cas de perte de données.

Bien entendu, les organisations qui, par leur nature ou par leur taille, collectent déjà beaucoup de données à caractères personnels et sensibles (grandes entreprises, marketing, surveillance, hôpitaux….) feront plus rapidement et plus régulièrement l’objet de contrôles, et les citoyens ne peuvent que s’en réjouirent. L’immense majorité des PME, voire des ETI, ne sera, dans un premier temps, concerné que de loin….tant que ces entreprises ne seront pas touchées par une fuite ou une attaque visant à mettre leurs données sur la place publique….et qu’une plainte ne sera pas déposée par une victime.

C’est pourquoi, il est important pour tout organisme, public ou privé, de pouvoir démontrer qu’il a initié sincèrement une démarche RGPD, que son mode de traitement des données est dans l’esprit du RGPD, c’est à dire, que des données à caractères sensibles ne sont pas demandées sans raisons, qu’elles font l’objet d’une identification et d’un traitement spécifiques mais également d’une attention particulière. Plus qu’un travail de juriste ou d’informaticien, c’est d’abord une œuvre de bon sens et d’inventaire.

D’ailleurs, les entreprises auraient tout intérêt de profiter de ce travail d’inventaire pour le compléter par un examen de l’ensemble des données dont elles disposent et qui, sans présenter de caractères personnels et sensibles, sont, pour autant, vitales pour son développement. Il s’agit en particulier, des données dont le vol ou la dégradation pourraient faire perdre un avantage concurrentiel et avoir des conséquences sur le chiffre d’affaire et l’emploi (secrets de fabrique, plan marketing, données commerciales ou financières….).

Avoir l’esprit RGPD c’est donc :

  • penser RGPD au moment d’initier une nouvelle démarche de collecte d’informations personnelles et de se doter de nouveaux outils numériques pour cela (privacy by design) ;

  • cartographier et caractériser les données à caractères personnels dont on dispose déjà (dans une PME il y a en, en général, finalement assez peu)  ;

  • réagir avec le soucis des individus en cas de pertes de leurs données personnelles (c’est le bon sens)


Une explosion dans une usine pétrochimique suite a une cyber-attaque

Selon le "New York Times", des hackers ont tenté de causer une explosion dans une usine pétrochimique saoudienne en août dernier (image d'illustration)

http://www.parismatch.com

Une explosion dans une usine pétrochimique saoudienne aurait été évitée de justesse en août dernier. Ce cas illustre parfaitement les risques de confluence entre les cyber-attaques, le terrorisme et les enjeux géostatistiques, économiques et politiques.

Une PME peut être victime de ce type d’attaque, non pour elle même, mais pour les dégâts et les pertes humaines qu’une destruction chez elle peut provoquer dans son environnement.

Il convient, de plus en plus, d’envisager sa cyber-sécurité dans une analyse complète de son environnement, de son écosystème mais également de son environnement géopolitique.

La sûreté n’est pas uniquement de la technique.

Protectionnisme ou politique industrielle ?

Le président américain a mis un terme à la tentative d’OPA de Qualcomm, géant américain des puces électroniques par Broadcom une société d’origine américaine basée à Singapour depuis son rachat en 2015 par le malaisien Hock Tan.

Par ces manières toujours brutales, Trump n’impose pas moins une vision claire des intérêts états-uniens dans le secteur stratégique des semi-conducteurs. C’est aussi un avertissement à des firmes comme Apple, qui, pour beaucoup de spécialistes, soutenait en sous-main son fournisseur asiatique.

L’idéal du libre-echange pur et parfait, érigé en idéologie par l’Europe est bien mort, il faut vite en tirer toutes les conséquences.

article le monde

article l’usine nouvelle

article le journal du geek

Slingshot : Un malware discret, spécialisé dans l’espionnage économique ?

http://www.zdnet.fr/actualites/slingshot

Un malware n’a pas forcement pour unique objet de planter vos ordinateurs. Il peut rester tapi dans un coin de vos systèmes informatiques, ne pas se faire remarquer pour mieux copier et piller vos données. Une part importante des attaques informatiques n’est jamais détectée. Il s’agit alors, le plus souvent, d’espionnage économique.

On peut soupçonner une infection par ce type de malware lors de la perte d’un marché ou de l’apparition de produits similaires et concurrents. En complément d’une analyse et d’une sécurisation des systèmes informatique, il sera tout aussi utile de procéder à une analyse de type « contre ingérence économique » de son écosystème.

Le minage de crypto-monnaies, une menace encore mal comprise par les entreprises

https://www.undernews.fr/malwares

Le minage de crypto-monnaie consiste a squatter votre système informatique pour détourner sa puissance de calcul à son profil. L’idéal pour le pirate est de ne pas se faire remarquer pour pouvoir rester chez vous le plus longtemps possible. Pour cela il doit ne pas (trop) faire de dégâts apparents.

D’où une prise de conscience moindre de cette menace. Outre le fait d’héberger un passager clandestin dans vos SI, ces techniques ont quand même l’inconvénient de ralentir vos systèmes, voir de les fragiliser, de les exposer et de les planter.

Meilleurs voeux 2018

2017 a été pour moi l’année de la conception de mon projet consacré à la diffusion de la culture de la sûreté économique et de la protection des informations qui manque parfois cruellement à nos entreprises.

2018 sera l’année du développement de Vigi-Lance et de la construction de partenariats pour pouvoir proposer, notamment dans le grand ouest, des solutions de « sûreté globale » plus particulièrement destinées aux PME et ETI ainsi qu’aux collectivités territoriales et aux organisations professionnelles.

Je vous souhaite mes meilleurs vœux pour 2018, que cette année soit pour vous et vos familles heureuse, prospère et de bonne santé.

Uber illustre parfaitement ce qu’il ne faut pas faire en matiere de gestion de crise cyber

http://www.zdnet.fr/actualites

Uber s’est fait pirater les données de 57 millions de clients que l’entreprise entreposait dans un cloud extérieur. Sa réaction est une parfaite illustration de ce qu’il ne faut pas faire dans des cas similaires : elle n’a rien dit à ses usagers et chauffeurs, les laissant en danger pendant plus d’un an, et elle a payé les pirates.

A partir d’avril 2018 et grâce au RGPD un tel mépris de ses clients ne sera plus possible. L entreprise aura 72h pour déclarer le piratage. Au passage, il est intéressant de constater que l’information sort au moment où Uber négocie une partie de la vente de son capital….

conseil de lecture : L’arme des lanceurs d’alerte est devenue celle des puissants

http://www.leparisien.fr

De wikeleaks aux paradises papers, il y a 2 questions que personne ne pose : d’où viennent ces documents, qui a intérêt à leur diffusion. Sans aucun doute, il s’agit d’un travail brillant et acharné de quelques journalistes courageux, il faut le souligner, mais la plupart d’entre eux, par sécurité, travaillent sur des matériaux dont ils ne connaissent pas l’origine initiale.

En matière d’évasion fiscale ou de corruption active, je m’étonne de voir beaucoup de noms d’entreprises européennes et peu d’américaines, il est vrai qu’elles sont plus vertueuses. Pierre Gastineau et Philippe Vasset nous conduisent, dans ce libre, a regarder plus loin que la scène qu’on nous propose.

Protection des informations, un exemple concret a Heathrow

http://www.silicon.fr/securite-it-cle-usb

Des informations ultra-confidentielles sur la sécurité de l’aéroport de Heathrow ont été retrouvées dans les rues de Londres sur une clé USB. Cette négligence aurait pu avoir des conséquences catastrophiques. Déjà, par précaution, elle impliquera le renouvellement complet des procédures et des installations de sécurité ainsi compromises.

Cette affaire illustre une règle essentielle en matière de protection des informations : toute donné sensible doit être classifiée (« tagger ») et toute donnée classifiée doit faire l’objet d’un suivi : qui y a accès, sur quelle support est-elle, où est ce support ?…..