La loi Sapin II : une opportunité pour les entreprises,

https://portail-ie.fr/analysis/1593/jdr-loi-sapin-ii-et-pratique-des-affaires-quelles-consequences-pour-lentreprise-33

 

 

 

 

 

Depuis, le 1er juin 2017, toute entreprise de plus de 500 salariés et d’un chiffre d’affaires supérieur à 100 millions d’euros exerçant toute ou partie de son activité en France, devra s’être dotée d’outils et de mesures appropriés à la lutte contre les manquements à la probité. Il s’agit en particulier :

  • de l’adoption d’un code de bonne conduite,
  • de mise en place d’outils d’audit et d’alerte interne,
  • de la réalisation d’une cartographie des risques,
  • de formations spécifiques.

Plus qu’une contrainte supplémentaire, ces nouvelles normes doivent être considérées comme une protection des entreprises françaises face aux menaces concurrentielles « non conventionnelles » (atteinte à la réputation, mise en cause par des juridictions étrangères, sanctions internationales….).

Néanmoins, si les grandes entreprises pourront organiser des compétences internes qui souvent existent déjà, les ETI en ont rarement les moyens et devront externaliser ces nouvelles fonctions. Le choix de l’intervenant, qui aura accès à des informations sensibles de l’entreprise, sera important. La confiance devra être un critère de choix majeur.

Des informations personnelles collectées sur 198 millions d’américains dans la nature…

Fuite BDD

http://www.fredzone.org/

Une société d’analyse de données travaillant pour le parti Républicain à subi une perte massive d’informations confidentielles et très personnelles concernant 198 millions de citoyens américains.

L’existence même de tels fichiers en dit long sur le marketing politique et surtout sur le peu de cas que les data brokers font de la sécurité des informations qu’ils collectent à l’insu des populations étudiées.

Que nous soyons un simple citoyen ou une entreprise, ce cas, qui serait un scandale majeur en Europe, doit nous faire réfléchir l’utilisation et le devenir, à moyen et long termes, des informations que nous laissons en libre disposition sur Internet ou que nous confions à n’importe qui.

Les obligations européennes sur la protection des données personnes (GDPR) qui s’imposeront à toutes les entreprises à partir de mai 2018, sont une contrainte de plus, notamment pour les PME, mais c’est aussi une garantie contre des incompétences aussi cyniques. Les entreprises doivent se préparer dès maintenant aux enjeux et défis du GDPR (ou RGPD en français, Règlement général sur la protection des données).

Par ailleurs, il convient de se poser quelques questions simples et saines :

  • Quelles sont mes informations réellement sensibles ?
  • Où et comment sont-elles stockées ?
  • Qui y a accès en dehors de moi ?
  • Que se passera-t-il si ces informations venaient a être diffusées publiquement ?

Cyber sécurité et PME

 

Cyber securite et pme

Une très belle infographie réalisée par Ael Bernard, étudiant à la Rennes School of Business, qui synthétise bien les menaces cyber pour une PME et donne des préconisations simples.

Je rajouterai seulement que les risques pour le patrimoine informationnel et réputationnel d’une entreprise sont multiformes et cumulatifs. L’humain est la première cible, il sera toujours plus facile de rentrer sur un ordinateur si un collaborateur vous en aura donné les codes d’accès. C’est là toute la démarche du renseignement économique.

La sécurité des informations et la sécurité économique commence donc par un travail de formation des collaborateurs.

Pour la sécurité des informations, développez une culture de la sécurité économique

 https://www.generation-nt.com/

password

La sécurité des systèmes d’information est un défis technologique majeur certes, mais comme le laisse à comprendre cet article, c’est avant tout un défis humain.

Toute les lignes Maginot que pourront mettre en place les spécialistes de la sécurité pour contrôler les portes seront inutiles si vous laissez les fenêtres ouvertes.

Une stratégie de sécurité des informations doit donc être complète et cohérente. l’information n’est pas qu’une donnée informatique, elle est dans un dossier qu’on oublie dans le train, dans un indice qu’on évoque sur facebook, dans un clé USB que l’on perd, dans une conversation au coin d’un bar…. ou protégée par un mot de passe écrit sur un post-it au dessus de l’écran.

Pour accompagner d’indispensables stratégies de sécurisation techniques, Il ne sert a rien de mettre en place des règlements et des contraintes comminatoires. Il sera beaucoup plus utile de développer dans l’entreprise ou la structure publique une véritable « culture de la sécurité économique ».

Ce n’est qu’en prenant conscience des risques et des menaces que naturellement les utilisateurs des moyens numériques  comprendront l’utilité d’adopter des pratiques saines, efficaces et simples.

 

 

Le VPN, un outil pour la sécurité des voyages d’affaires

VPN

Le VPN est le minimum des outils à mettre en place pour accéder à internet à partir d’un hot spot public. Il permet également une véritable protection de votre vie privée et de vos connexions, très utile lors de voyages d’affaires dans certains pays.

Désormais, il existe de très nombreux services de VPN gratuits, souvent intégrés dans les navigateurs, il suffit de les activer. Pensez-y ?

https://www.generation-nt.com/vpn

Les États-Unis sont déçus de l’effet des cyberattaques contre l’État islamique

Dans la cyber-guerre comme dans la vrai guerre, il est important de prendre en compte les effets asymétriques. Tout comme il a été compliqué pour l’armée américaine de combattre les insurgés wietcong, son arsenal d’attaque cyber trouve ses limites face à un ennemi aux moyens limités mais non conventionnels, très mobiles et disposant de fortes capacités de réadaptation.

A la différence d’une organisation (réellement) étatique, ou d’une structure hiérarchisée et pyramidale comme l’est Al Kaïda, Daech est une structure qui organise et contrôle sa décentralisation sur le modèle des réseaux sociaux. Cette souplesse, voire sa rusticité, lui apportent sa résilience.

Ces caractéristiques sont à garder en mémoire dans le cadre de la prise en compte de la radicalisation dans l’entreprise.

Voir l’article

Sécurité numérique : d’abord l’humain !

Dans son rapport annuel sur l’évolution des menaces qui pèsent sur les systèmes d’information, la société californienne Proofpoint, souligne une évolution de fond dans la nature des attaques informatiques, qu’elles soient à buts criminels ou d’espionnage économique : l’exploitation des vulnérabilités humaines.

En effet, les outils de sécurité informatique sont de mieux en mieux configurés sur les réseaux d’entreprises. Neutraliser une stratégie de défense demande des investissements en temps, en compétences, et donc en argent, de plus en plus conséquents.

Pour contourner les boucliers qui se mettent en place, les cyber attaquants ciblent désormais les collaborateurs de l’entreprise ou de l’administration publique, les personnes sans formation spécifique à la sécurité numérique. Quand les accès de votre appartement sont de mieux en mieux blindés, il est plus facile de vous inciter, par la ruse, à laisser une fenêtre ouverte, plutôt que de prendre le risque et perdre du temps à fracturer la porte.

Par l’ingénierie sociale, par des mails malveillants, des techniques de hameçonnage, des applications frauduleuses, les collaborateurs de l’entreprise sont conduits à faciliter le contournement des outils de sûreté numérique et, par la même, à permettre la pénétration des réseaux informatiques aux pirates. Ils sont d’autant plus vulnérables à ce type d’attaque qu’ils se croient en sécurité derrière les protections construites par les spécialistes.

La mise en place de sécurités informatiques solides est fondamentale mais doit impérativement s’accompagner d’une politique de sensibilisation et de formation des usagers. Le développement d’une culture de la sécurité économique et numérique devient un enjeu de croissance.

Action contre la cybermalveillance (ACYMA) : nouveau dispositif de lutte contre la cybermalveillance 

https://www.cybermalveillance.gouv.fr

Un dispositif encore expérimental qu’il convient néanmoins de saluer. l’ANSSI a très largement participé au développement d’ACYMA, une groupement d’intérêt public (GIP) qui aura pour tâche de faire le lien entre les PME, les collectivités locales ou les particuliers, victimes de cyber-attaques et des experts capables de les assister.

Parce que l’État ne peut pas tout faire alors que le besoin est immense, ACYMA proposera des experts privés dont les compétences auront été évaluées.

Le site d’ACYMA devrait également devenir une référence en matière de sensibilisation à la cybersécurité en proposant des articles, un blog, des fiches réflexes… .

Rappelons cependant qu’en matière de défense rien ne vaut la prévention. Développer chez chacun la culture de la sécurité, reste l’investissement le plus rentable.

 

 

Pirater un pacemaker, ce n’est pas juste de la fiction

pirater-un-pacemaker

Un pacemaker piraté c’est inquiétant, angoissant même pour les personnes qui en sont équipées, néanmoins cet exemple concret et extrême illustre parfaitement tous les risques des objets connectés.

Ce qui est possible avec un équipement médical installé dans votre poitrine l’est aussi avec une machine-outil dans le fond de votre atelier ou une camera dans votre bureau.

Il ne faut pas avoir peur des objets connectés, il faut simplement en connaître les vulnérabilités pour en contrôler l’accès.

Essayez les moteurs de recherche alternatifs

Après Qwant, une nouvelle alternative française à Google : Xaphir.

Sans tomber dans l’anti-google primaire, il est bon de permettre le développement de moteurs de recherche alternatifs, pour le moins, pour éviter la constitution d’un monopole.

Le quasi-monopole de google est, en effet, autant vertical qu’horizontal. Non seulement, nous lui confions l’intégralité de nos recherches, et donc de nos centres d’intérêt, mais nous lui faisons confiance pour notre courrier (Gmail), pour notre smartphone (Android), pour nos traductions, notre cartographie et nos itinéraires, notre revue de presse, notre agenda…. .

j’aime la diversité numérique.

Xaphir, le moteur de recherche français qui veut affronter Google