Uber illustre parfaitement ce qu’il ne faut pas faire en matiere de gestion de crise cyber

http://www.zdnet.fr/actualites

Uber s’est fait pirater les données de 57 millions de clients que l’entreprise entreposait dans un cloud extérieur. Sa réaction est une parfaite illustration de ce qu’il ne faut pas faire dans des cas similaires : elle n’a rien dit à ses usagers et chauffeurs, les laissant en danger pendant plus d’un an, et elle a payé les pirates.

A partir d’avril 2018 et grâce au RGPD un tel mépris de ses clients ne sera plus possible. L entreprise aura 72h pour déclarer le piratage. Au passage, il est intéressant de constater que l’information sort au moment où Uber négocie une partie de la vente de son capital….

conseil de lecture : L’arme des lanceurs d’alerte est devenue celle des puissants

http://www.leparisien.fr

De wikeleaks aux paradises papers, il y a 2 questions que personne ne pose : d’où viennent ces documents, qui a intérêt à leur diffusion. Sans aucun doute, il s’agit d’un travail brillant et acharné de quelques journalistes courageux, il faut le souligner, mais la plupart d’entre eux, par sécurité, travaillent sur des matériaux dont ils ne connaissent pas l’origine initiale.

En matière d’évasion fiscale ou de corruption active, je m’étonne de voir beaucoup de noms d’entreprises européennes et peu d’américaines, il est vrai qu’elles sont plus vertueuses. Pierre Gastineau et Philippe Vasset nous conduisent, dans ce libre, a regarder plus loin que la scène qu’on nous propose.

Protection des informations, un exemple concret a Heathrow

http://www.silicon.fr/securite-it-cle-usb

Des informations ultra-confidentielles sur la sécurité de l’aéroport de Heathrow ont été retrouvées dans les rues de Londres sur une clé USB. Cette négligence aurait pu avoir des conséquences catastrophiques. Déjà, par précaution, elle impliquera le renouvellement complet des procédures et des installations de sécurité ainsi compromises.

Cette affaire illustre une règle essentielle en matière de protection des informations : toute donné sensible doit être classifiée (« tagger ») et toute donnée classifiée doit faire l’objet d’un suivi : qui y a accès, sur quelle support est-elle, où est ce support ?…..

Nouvelle notion européenne du « secret des affaires », comment les PME et ETI peuvent en tirer partie

Après plusieurs tentatives infructueuses d’introduction de la notion de « secret des affaires » dans le droit français par la loi, c’est finalement par une directive européenne que cette notion, tant attendue par les professionnels, renforcera la capacité de nos entreprises à se protéger de la captation ou de la dégradation de leur patrimoine informationnel, socle de toute création de valeur.

Il s’agit de la directive (UE) 2016/943 du 8 juin 2016 (JOUE L 157 du 15 juin) sur « la protection des savoir-faire et des informations commerciales non divulgués (secrets d’affaires) contre l’obtention, l’utilisation et la divulgation illicites ». Elle devra être transposée au plus tard le 9 juin 2018 dans les droits des états. Dans les mois a venir le corpus juridique français devrait donc s’enrichir de cette notion mais c’est surtout la jurisprudence qu’il sera intéressant de suivre.

Une définition du secret des affaires

Jusqu’à présent le secret des affaires était protégé par des dispositions diverses du droit français: le contrat qui lie deux parties, le code de la propriété intellectuelle (brevets, droits d’auteur …) et de très nombreuses qualifications de droit pénal (secret professionnel, secret des correspondances, le vol, l’abus de confiance, l’accès ou le maintien frauduleux dans un système de traitement automatisé de données…). Cependant aucune définition n’existait en droit français.

Désormais, en Europe, le secret des affaires sera : « des informations secrètes, ayant une valeur commerciale parce qu’elles sont secrètes et ayant fait l’objet, de la part de leurs détenteurs, de dispositions raisonnables destinées à les garder secrètes ».

dispositions raisonnables destinées à les garder secrètes : ce dernier point est important et fera certainement le bonheur des avocats et des amateurs de jurisprudence. Si vous n’avez rien fait pour protéger votre patrimoine informationnel, vous ne pourrez pas vous prévaloir du secret des affaires devant les tribunaux. Des dispositions raisonnables, c’est d’abord d’identifier vos données stratégiques et de les classifier comme telles, puis d’y apporter un soin particulier dans leur exploitation et leur conservation et, enfin, d’informer et de former vos collaborateurs à des procédures de conservation du secret.

Les cas de violation du secret des affaires

La directive définit trois catégories d’accès au secret des affaires.

  • Les actes sont légaux, en particulier, dans les cas suivants :
    • la (re) découverte indépendante
    • le rétro-ingénierie (par exemple : acheter un airbus pour le démonter et le reproduire…)
    • l’exercice du droit des travailleurs ou de leurs représentants
    •  toute « pratique conforme aux usages honnêtes en matière commerciale » (là encore que de bonheur pour l’étude de la jurisprudence)
  • Les accès aux données sont illégaux quand il y a eu appropriation, utilisation, divulgation, production ou mise sur le marché sans le consentement de détenteur du secret des affaires. Ainsi la publication, même gracieuse d’informations relavant du secret des affaires est sanctionnable.
  • Cette définition large risquait de porter atteinte à la protection des journalistes et des lanceurs d’alertes. Aussi, des dérogations sont prévues pour ceux-ci. Un accès au secret des affaires, même sans le consentement de son propriétaire, n’est pas illégal quand il répond au droit à la liberté d’expression et d’information ou quand il s’agit de la  révélation « d’une faute, un acte répréhensible ou une activité illégale, à condition que le défendeur ait agi dans le but de protéger l’intérêt public général  ou un intérêt légitime reconnu par le droit de l’Union ou le droit national ».

La directive demande également aux états de prendre des dispositions pour que le secret des affaires ne soit pas mis à mal au cours de procédures judiciaires. Les tribunaux devront prendre des dispositions pour que la publication des actes respecte une réelle confidentialité. Quand on voit ce qui est fait au secret de l’instruction, ces vœux peuvent paraître illusoires mais il est vrai que le « renseignement juridictionnel » est un méthodologie largement utilisée par les cabinets d’Intelligence économique, notamment anglo-saxons.

Aux états désormais de transcrire cette directive dans leurs droits nationaux et de fixer des échelles de sanctions. Néanmoins le cadre existe désormais. Les entreprises européennes pourront plus facilement se défendre du pillage par des manœuvres d’intelligence économique ou des actes d’espionnage économique. C’est pourquoi, il est important pour une entreprise, même de petite taille, de prendre les dispositions nécessaires pour pouvoir, un jour, faire valoir ses droits. Pour cela, les PME et les ETI, si elle ne disposent pas en interne de compétences spécifiques, peuvent faire appel à l’assistance d’un spécialiste de la sûreté économique et de la protection des informations.

RGPD, au secours? non restons calmes

www.silicon.fr/RGPD

Débat intéressant hier au club de la presse informatique BtoB mais, comme le compte rendu qui en est fait ici, cela reste, même pour les « experts » un peu touffu.

Pour une PME, une collectivité locale, une ETI, il faut faire simple :

  • désigner un DPO (Data protection Officer) interne ou externalisé,
  • faire l’inventaire (cartographie) des données personnelles demandées et détenues ainsi que de la façon dont celles-ci sont stockées et utilisées,
  • faire l’inventaire des services et produits informatiques utilisés et alimentés en données sur des personnes (clients, employés, …) et s’assurer qu’ils sont conçus pour éviter toute fuite d’informations, à défaut, les faire évoluer. Ne pas hésiter à solliciter vos fournisseurs de solutions informatiques sur la conformité de leurs produits.

En plus de vous mettre en conformité cela renforcera débord la sécurité de vos informations.

Deep web, objet et outil de la sécurité économique

http://www.journaldunet.com

Le Dark Net, dernier far-west où les gens honnêtes et non initiés ne se promènent pas au risque de se perdre, de se faire agresser ou pire encore d’être verbalisés.

Pourtant, la sécurité économique de votre entreprise s’y joue en partie. On y parle d’elle, ou de vous, des informations la concernant s’y échangent ou des renseignements introuvables ailleurs y sont accessibles.

Plus que jamais, la partie cachée du web, doit être prise en compte dans des stratégies défensives ou actives de veille. Cependant attention, comme en plongée bouteille, le deep web ne s’aborde pas sans précaution.

Je rajoute une illustration a cet article

Le GDPR : le grand chantier des mois à venir sur la protection des données personnelles dans l’entreprise

Comprendre vos obligations  https://www.cnil.fr/

Plus que 10 mois pour se mettre en conformité avec le Règlement Général sur la Protection des Données qui s’imposera à toutes les entreprises à partir du mois de mai 2018. Contrairement aux obligations de compliance imposées par la loi Sapin II (voir : ici ), le RGPD concerne toute structure qui collecte, exploite et stocke des données personnelles : un fichier client, une base salarié, une application pour smartphone….

Dimensionner pour être une arme de dissuasion contre les majors états-uniennes, les sanctions financières seront lourdes (jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial). La mise en œuvre du RGPD doit mobiliser des compétences diverses (gestion de l’information, juridique, sécurité des systèmes d’information, RH, ….) . Au niveau d’une PME ou d’une ETI, la tache n’est pas insurmontable, elle aura même pour intérêt collatéral de renforcer la maitrise de leurs systèmes d’informations. Il convient néanmoins de s’y atteler avec rigueur et méthode en faisant, si besoin, appel à un prestataire spécialisé et compétant.

Kaspersky, agent des services de renseignement russes ?

Le gouvernement américain n’autorise plus l’usage des antivirus et logiciels de sécurité de Kaspersky

Le célèbre anti-virus installé sur des millions d’ordinateurs dans le monde est désormais interdit dans l’administration américaine. Il serait un outil des services russes. C’est ce que croit les autorités états-uniennes (bien placées pour parler d’agents d’influence russes…) et ce qu’affirme Bloomberg dans un récent article.

Sur un sujet aussi sensible, aussi régalien que la sécurité numérique, comment imaginer un instant que les tout puissants services de renseignement russes s’intéressent à une entreprise privée dont le siège social est à Moscou !

Même les américains ont le droit d’être parano ! A moins d’y voir un lien avec le conflit que kaspersky a avec Microsoft !

Sécurité économique : le malware qui espionne les smartphones Android

Le malware pour android « spydealer », décrit dans cet article de silicon.fr, est une parfaite illustration des risques de surveillance sur vos activités à partir d’un outil que vous avez en permanence avec vous, votre smartphone.

Au delà du désagrément de savoir que quelqu’un peut venir fouiller dans votre poche, il convient de s’interroger sur les conséquences d’une captation extérieure des informations présentes ou transitant sur votre appareil téléphonique.

Ce virus espion récupère des données à partir des vos applications préférées, notamment les messageries  (WeChat, WhatsApp, Skype, BBM, Line, Viber, QQ, Tango, Telegram…) et les réseaux sociaux, où nous dévoilons tant de choses personnelles. Les éléments collectés peuvent ensuite être utilisés pour faire votre «profil », étape essentielle qui permet de mieux comprendre un interlocuteur, savoir comment il se comporte, connaître ses habitudes, ses points faibles ou forts…

Spydealer peut également vous localiser. Il relève votre position, les lieux ou vous vous êtes rendu, le temps que vous y avez passé. Autant d’éléments importants pour retracer vos activités.

Il permet aussi de relever les identifiants de votre appareil (IMEI) et de votre carte SIM (IMSI), éléments indispensables pour vous mettre sur écoute, vous localiser, même si vous n’avez pas activé la fonction GPS de votre appareil, connaître vos interlocuteurs et lire vos SMS.

Enfin, le must, il peut déclencher, à votre insu, le micro, voire la camera, de votre appareil et transmettre en direct le son du lieu (de la réunion par exemple) où vous êtes.

Spydealer est surtout répandu en Chine, ce n’est pas un hasard. La volonté de surveiller, à des fins politiques, sa population a conduit le gouvernement chinois à développer des outils et des structures aux moyens matériels et humains considérables. Ces structures sont étroitement liées à l’industrie chinoise et aux producteurs d’équipements électroniques. Ainsi le président de Huawei, Ren Zhengfei, est un ancien ingénieur des services de renseignement de l’armée populaire. Bien entendu ces outils d’état sont également utilisés pour l’autre grande priorité des autorités chinoises, la captation technologique et le gain d’avantages concurrentiels, autrement dit l’espionnage économique.

Une délégation française en Chine a donc toutes les chances d’être infectée par un malware du type de Spydealer. Une entreprise européenne intéressant l’économie chinoise, pourra également faire l’objet de ce type d’attaque. Une version « personnalisée » d’un malware pourra être développée à cette fin.

Enfin, comme en Russie, des liens entre les structures de cyber-attaque de l’état et les mafias existent. Les outils puissants développés dans un cadre gouvernemental se répandent dans les milieux pirates.

Soyez conscient qu’un smartphone n’est plus simplement le téléphone portable que nous utilisions il y a 10 ans. Il convient donc de porter une très grande vigilance à son cadre d’emploi et de réfléchir et contrôler l’usage que vous en avez :

  • Professionnel /personnel
  • Travail / loisir
  • Applications dédiées/applications ludiques
  • Déplacement à l’étranger, réunions….

La loi Sapin II : une opportunité pour les entreprises,

https://portail-ie.fr/analysis/1593/jdr-loi-sapin-ii-et-pratique-des-affaires-quelles-consequences-pour-lentreprise-33

 

 

 

 

 

Depuis, le 1er juin 2017, toute entreprise de plus de 500 salariés et d’un chiffre d’affaires supérieur à 100 millions d’euros exerçant toute ou partie de son activité en France, devra s’être dotée d’outils et de mesures appropriés à la lutte contre les manquements à la probité. Il s’agit en particulier :

  • de l’adoption d’un code de bonne conduite,
  • de mise en place d’outils d’audit et d’alerte interne,
  • de la réalisation d’une cartographie des risques,
  • de formations spécifiques.

Plus qu’une contrainte supplémentaire, ces nouvelles normes doivent être considérées comme une protection des entreprises françaises face aux menaces concurrentielles « non conventionnelles » (atteinte à la réputation, mise en cause par des juridictions étrangères, sanctions internationales….).

Néanmoins, si les grandes entreprises pourront organiser des compétences internes qui souvent existent déjà, les ETI en ont rarement les moyens et devront externaliser ces nouvelles fonctions. Le choix de l’intervenant, qui aura accès à des informations sensibles de l’entreprise, sera important. La confiance devra être un critère de choix majeur.