Les États-Unis sont déçus de l’effet des cyberattaques contre l’État islamique

Dans la cyber-guerre comme dans la vrai guerre, il est important de prendre en compte les effets asymétriques. Tout comme il a été compliqué pour l’armée américaine de combattre les insurgés wietcong, son arsenal d’attaque cyber trouve ses limites face à un ennemi aux moyens limités mais non conventionnels, très mobiles et disposant de fortes capacités de réadaptation.

A la différence d’une organisation (réellement) étatique, ou d’une structure hiérarchisée et pyramidale comme l’est Al Kaïda, Daech est une structure qui organise et contrôle sa décentralisation sur le modèle des réseaux sociaux. Cette souplesse, voire sa rusticité, lui apportent sa résilience.

Ces caractéristiques sont à garder en mémoire dans le cadre de la prise en compte de la radicalisation dans l’entreprise.

Voir l’article

Sécurité numérique : d’abord l’humain !

Dans son rapport annuel sur l’évolution des menaces qui pèsent sur les systèmes d’information, la société californienne Proofpoint, souligne une évolution de fond dans la nature des attaques informatiques, qu’elles soient à buts criminels ou d’espionnage économique : l’exploitation des vulnérabilités humaines.

En effet, les outils de sécurité informatique sont de mieux en mieux configurés sur les réseaux d’entreprises. Neutraliser une stratégie de défense demande des investissements en temps, en compétences, et donc en argent, de plus en plus conséquents.

Pour contourner les boucliers qui se mettent en place, les cyber attaquants ciblent désormais les collaborateurs de l’entreprise ou de l’administration publique, les personnes sans formation spécifique à la sécurité numérique. Quand les accès de votre appartement sont de mieux en mieux blindés, il est plus facile de vous inciter, par la ruse, à laisser une fenêtre ouverte, plutôt que de prendre le risque et perdre du temps à fracturer la porte.

Par l’ingénierie sociale, par des mails malveillants, des techniques de hameçonnage, des applications frauduleuses, les collaborateurs de l’entreprise sont conduits à faciliter le contournement des outils de sûreté numérique et, par la même, à permettre la pénétration des réseaux informatiques aux pirates. Ils sont d’autant plus vulnérables à ce type d’attaque qu’ils se croient en sécurité derrière les protections construites par les spécialistes.

La mise en place de sécurités informatiques solides est fondamentale mais doit impérativement s’accompagner d’une politique de sensibilisation et de formation des usagers. Le développement d’une culture de la sécurité économique et numérique devient un enjeu de croissance.

Action contre la cybermalveillance (ACYMA) : nouveau dispositif de lutte contre la cybermalveillance 

https://www.cybermalveillance.gouv.fr

Un dispositif encore expérimental qu’il convient néanmoins de saluer. l’ANSSI a très largement participé au développement d’ACYMA, une groupement d’intérêt public (GIP) qui aura pour tâche de faire le lien entre les PME, les collectivités locales ou les particuliers, victimes de cyber-attaques et des experts capables de les assister.

Parce que l’État ne peut pas tout faire alors que le besoin est immense, ACYMA proposera des experts privés dont les compétences auront été évaluées.

Le site d’ACYMA devrait également devenir une référence en matière de sensibilisation à la cybersécurité en proposant des articles, un blog, des fiches réflexes… .

Rappelons cependant qu’en matière de défense rien ne vaut la prévention. Développer chez chacun la culture de la sécurité, reste l’investissement le plus rentable.

 

 

Pirater un pacemaker, ce n’est pas juste de la fiction

pirater-un-pacemaker

Un pacemaker piraté c’est inquiétant, angoissant même pour les personnes qui en sont équipées, néanmoins cet exemple concret et extrême illustre parfaitement tous les risques des objets connectés.

Ce qui est possible avec un équipement médical installé dans votre poitrine l’est aussi avec une machine-outil dans le fond de votre atelier ou une camera dans votre bureau.

Il ne faut pas avoir peur des objets connectés, il faut simplement en connaître les vulnérabilités pour en contrôler l’accès.

Essayez les moteurs de recherche alternatifs

Après Qwant, une nouvelle alternative française à Google : Xaphir.

Sans tomber dans l’anti-google primaire, il est bon de permettre le développement de moteurs de recherche alternatifs, pour le moins, pour éviter la constitution d’un monopole.

Le quasi-monopole de google est, en effet, autant vertical qu’horizontal. Non seulement, nous lui confions l’intégralité de nos recherches, et donc de nos centres d’intérêt, mais nous lui faisons confiance pour notre courrier (Gmail), pour notre smartphone (Android), pour nos traductions, notre cartographie et nos itinéraires, notre revue de presse, notre agenda…. .

j’aime la diversité numérique.

Xaphir, le moteur de recherche français qui veut affronter Google

Les nouvelles obligations de compliance des entreprises,

De nouvelles dispositions législatives s’imposent désormais aux entreprises françaises en matière de compliance. Il s’agit des dispositions anti-corruption de la loi Sapin II qui entreront en vigueur à partir du 1 juin 2017 ainsi que des mesures imposées par la loi du 27 mars 2017 sur l’obligation de vigilance des sociétés mères.

Ces innovations sont souvent présentées comme des opportunités de développement nouvelles et surtout comme des outils pour lutter contre l’impérialisme juridique états-uniens (voir article : https://www.linkedin.com/pulse/le-droit-américain-comme-arme-de-guerre-économique). Néanmoins, si les grandes entreprises disposent de compétences pour mettre en place ces obligations nouvelles, il en est tout autrement des structures de tailles plus modestes, typiquement les ETI. Sans parler de distorsion de concurrence au bénéfice des grosses structures, celles-ci peuvent quand même y trouver un avantage concurrentiel.

La Loi Sapin II s’applique à toute entreprise de plus de 500 salariés et d’un chiffre d’affaires annuel supérieur à 100 millions d’euros exerçant toute ou partie de son activité en France.

Ces entreprises devront mettre en place des outils et des mesures destinés à lutter contre les manquements à la probité. Il s’agit en particulier :

  • d’intégrer au règlement intérieur de l’entreprise un code de conduite décrivant les comportements à proscrire ;
  • de mettre en place des formations à destination des cadres et des personnels de la société les plus exposés ;
  • de mettre en place un dispositif d’alerte et d’écoute interne;
  • de réaliser des contrôles comptables internes ou externes, pour permettre la détection de comportements à risques ;
  • d’établir une cartographie des risques propre à l’environnement et à l’activité de chaque entreprise ;
  • de mettre en place des procédures d’évaluation de la situation des clients, des fournisseurs et des intermédiaires ;

La loi Sapin II instaure également une Agence Française Anti-corruption dont le rôle sera de participer à la mise en application de la réglementation.

La loi relative au devoir de vigilance des sociétés mères s’applique, quant à elle, aux entreprises de plus grandes tailles (5 à 10 000 salariés dans le groupe en direct et dans les filiales selon que le siège social est en France ou à l’étranger).

Cette loi impose, cette fois, de mettre en place un plan de vigilance comportant des mesures «  propres à identifier les risques et à prévenir les atteintes graves envers les droits humains et les libertés fondamentales, la santé et la sécurité des personnes ainsi que l’environnement », résultant des activités de la société … ainsi que des activités des sous-traitants ou fournisseurs avec lesquels est entretenue une relation commerciale établie »,

Ce plan doit permettre de mettre en place, entre autre, :

  • Une cartographie des risques destinée à leur identification, leur analyse et leur hiérarchisation ;
  • Des procédures d’évaluation régulière de la situation des filiales, des sous-traitants ou fournisseurs ;
  • Des actions adaptées d’atténuation des risques ou de prévention des atteintes graves;
  • Un mécanisme d’alerte et de recueil ;

Au delà du risque légal, les entreprises sont désormais confrontées aux risques réputationnels, aux conséquences souvent bien plus importantes que les sanctions judiciaires et, de toute façon, cumulées avec celles-ci. Se conformer de façon efficace et pro-active à ces lois est également un moyen de se protéger et d’afficher un comportement responsable et durable.

Les entreprises de tailles intermédiaires ne doivent pas hésiter à faire appel à des spécialistes extérieurs pour transformer ces obligations légales en opportunités.

Les entreprises ne savent pas protéger leurs informations sensibles

Cette étude illustre la difficulté qu’ont de très nombreuses entreprises à maîtriser la diffusion de l’information au sein de leurs structures et, par là même, à l’extérieur. Les spécialistes du darkweb expliquent que l’on y trouve, en libre accès ou à l’achat, des documents confidentiels et stratégiques de tout type d’entreprises ou d’administrations.

Cette situation peut avoir des conséquences graves pour les activités de l’entreprise mais également pour sa réputation. Par ailleurs, a partir de 2018, le Règlement général sur la protection des données (RGPD) imposera à tous de sécuriser les données personnelles de ses collaborateurs et clients. Les sanctions pourront être très lourdes.

Plus que jamais il est nécessaire de pouvoir répondre à des questions simples: Quelle est mon information sensible ?, ou est-elle stockée ? Qui y a accès ?

http://www.silicon.fr/

Les directions juridiques en entreprises, les débats du Cercle Montesquieu vu sous l’angle de la sécurité économique,

Le Cercle Montesquieu, association des directeurs juridiques, organisait le 25 avril 2017 son colloque annuel. Ce fut l’occasion de débats très intéressants notamment sur la judiciarisation croissante de la vie économique et sur l’évolution du droit des affaires. La loi Sapin II a souvent été au cœur des débats et des préoccupations. S’ils s’adressaient avant tout à des juristes, ces échanges pouvaient également être abordés sous l’angle de la sécurité économique et de la sécurité des informations.

Les débatteurs se sont accordés à stigmatiser la complexification de notre droit, la sur-interpretation des transcriptions des directives européennes, voir la contradiction des normes et exigences des régulateurs, qui conduisent à l’excès de sollicitations des juges et à la rupture de la confiance directe, chacun craignant à tout moment un procès de la part d’un partenaire, d’un client ou d’un associé.

Beaucoup ont salué les intentions de la loi sapin II, qui en renforçant la lutte, en France, contre la corruption pourrait empêcher la justice américaine de sanctionner des entreprises françaises comme elle l’a fait, à maintes reprises, en se basant sur le Foreign Corrupt Practices Act (FCPA). Les promoteurs de la loi espèrent que le principe « non bis in idem » (jamais deux fois pour la même chose) sera respecté et appliqué par les juges américains.

Pourtant, rien n’est moins sur, ce principe étant surtout porté par des conventions européennes. Par ailleurs, il est nécessaire de garder en mémoire que le droit américain est utilisé comme une arme d’intelligence économique, notamment parce que le gouvernement américain, peut utiliser ses services de renseignement pour faire appliquer ces normes juridiques et surtout parce que les procédures engagées se concluent souvent par un « deferred prosecution agreements » (DPA) qui place l’entreprise incriminée sous surveillance pendant 1 à 3 ans et l’oblige à fournir des documents et des informations internes, voire à accepter la mise en place d’un contrôleur externe. Ceci est, bien entendu, l’occasion de collecter des données sensibles et stratégiques au profit des entreprises états-uniennes. Une analyse en « contre intelligence économique » doit donc accompagner la démarche juridique.

(voir notre article précédent : https://www.linkedin.com/pulse/le-droit-américain-comme-arme-de-guerre-économique)

Il a été aussi beaucoup question de « compliance » (mais malheureusement sans évoquer de façon plus large la due diligence), certains regrettant d’ailleurs que cette fonction tende à s’émanciper des directions juridiques. Cette évolution tendancielle du droit s’inscrit, là aussi, dans une logique de concurrence des normes avec le droit américain et transforme progressivement la conduite de nos affaires.

Il n’a pas été évoqué l’implication et du lobbying des ONG anglo-saxonnes dans la diffusion de ces normes, cela aurait également été intéressant a mettre en parallèle (voir sur ce sujet : https://www.linkedin.com/pulse/les-ong-une-arme-économique-du-capitalisme).

Il a été souligné que l’obligation de compliance, notamment quand il s’agit de l’obligation de vérifier la compliance d’un tiers partenaire, peut être considérée comme un transfert de charge de l’action publique sur l’entreprise. Cela induit des coûts supplémentaires et, concrètement, de renforcer et spécialiser les équipes juridiques ce que ne peuvent pas toujours faire les PME et ETI. Il y a là un véritable risque de distorsion de concurrence au bénéfice des grosses structures, même s’il est toujours possible de faire appel à des consultants extérieurs.

Cette journée de débat a, au final, mis en évidence, toute l’actualité des directions juridiques dans les entreprises mais également leurs besoins de s’ouvrir vers des spécialités voisines.

Merci à Nicolas Guerin, président du Cercle Montesquieu, pour l’organisation de cette journée.

La chaîne RH, premier acteur de la sécurité des informations de l’entreprise.

Le patrimoine informationnel est probablement la plus grande richesse d’une entreprise, richesse parfois mal évaluée, souvent mal protégée, toujours objet de convoitises.

Ce patrimoine, par nature immatériel est constitué des savoirs et savoir-faire, des projets et des archives, des points forts et des vulnérabilités. En perdre le contrôle, se le faire voler ou dégrader a rapidement des conséquences sur les résultats de l’entreprise, sa réputation, sa capitalisation boursière ou sur ses emplois.

Il est toujours possible de protéger ce patrimoine par des brevets, de l’enfermer dans des coffre-forts ou de le chiffrer mais il y aura toujours quelqu’un qui aura la clé de chiffrement du fichier, la clé du coffre ou du local de la photocopieuse…et qui pourra l’oublier sur un banc public.

Non, l’homme n’est pourtant pas le maillon faible de la sécurité, il est le maillon créatif et générateur de valeurs mais aussi d’erreurs (erreurs volontaires ou involontaires d’ailleurs). L’entreprise a tout intérêt de réduire cette seconde caractéristique pour développer la première. Dans tous les cas, il s’agit bien de manager la ressource humaine, c’est pourquoi la chaîne RH est bien le premier acteur de la sécurité du patrimoine informationnel de l’entreprise. Sa responsabilité est continue, du recrutement à la gestion des départs en passant par la formation.

Savoir recruter

Recruter c’est introduire un corps étranger dans l’entreprise. Les chaînes RH savent sélectionner et intégrer de nouvelles compétences compatibles avec l’esprit de l’entreprise et les équipes déjà constituées mais elles doivent aussi s’assurer que la nouvelle recrue, aussi brillante soit-elle, ne constituera pas une menace pour le patrimoine informationnel de l’entreprise. Elles ne doivent pas introduire le loup dans la bergerie ou l’éléphant dans le magasin de porcelaine.

La tache est compliquée, tout en respectant la loi, l’éthique et sans aucun esprit discriminatoire, le recruteur doit déterminer et écarter celui, ou celle, qui sera négligeant, vulnérable ou délibérément malveillant. L’entrisme, cette veille technique trotskiste, est aujourd’hui utilisé par des groupes activistes ou radicaux, voire par des cabinets d’espionnage économique (on ne peut plus ici parler d’intelligence économique).

Savoir accompagner

La sécurité ne se limite pas à introduire un corps sain dans une entreprise saine. Une fois recruté, le collaborateur peut être conduit, volontairement ou non, à agir contre les intérêts de l’entreprise :

– par négligence, car il n’aura peut être pas été suffisamment formé ou informé ;

– par contrainte, dans certaines circonstances ou dans certains pays (notamment pour les personnels locaux), il peut être difficile de résister à des pressions ou tentations extérieures, le management doit être en mesure d’identifier les situations à risques pour ne pas y exposer ses collaborateurs ;

– par dépit, un collaborateur heureux et fier de travailler dans une entreprise valorisante est moins tenté de lui nuire, le développement d’un environnement de travail agréable n’a pas des effets bénéfiques que sur la productivité, la sécurité y est également gagnante.

Accompagner, c’est également gérer la fin de la collaboration dans les meilleures conditions possibles. Combien d’entreprises ont découvert, trop tard, les bombes à retardement laissées dans les systèmes informatiques par des salariés remerciés. Dans un autre registre, le départ d’un ancien, c’est souvent la perte d’une partie du patrimoine informel, « quand un ancien part, c’est une bibliothèque qui brûle… ».

savoir former

Si les directions, ou les chargés, de la sûreté/sécurité, s’efforcent de mettre en place des chartes ou des règles, voire, pour les plus avisés, de développer une politique de sensibilisation à la sécurité économique, la chaîne RH est bien souvent le maître d’œuvre principal de la politique de formation. Or c’est bien en intégrant le souci de la sécurité économique dans les parcours de formations internes qu’il sera possible de conscientiser et responsabiliser les collaborateurs de l’entreprise.

Néanmoins, le première fonction à former sera sans doute la chaîne RH elle même. Comment éviter qu’un collaborateur ne nuise à l’effort collectif, si le recruteur ou le gestionnaire ne connaît pas la valeur et la localisation du patrimoine informationnel de l’entreprise, s’il n’a pas une idée des menaces et des vulnérabilités ?

Une chaîne RH consciente des problématiques de sécurité économique protégera mieux l’entreprise et ses collaborateurs.

Une chaîne RH bien conseillée

La sécurité économique est rarement un domaine que la chaîne RH maîtrise, et c’est normal, ce n’est pas son cœur de métier. Pour ces raisons, elle doit être proche, et en dialogue constant, avec la direction sûreté et le RSSI. La sécurité doit conseiller la RH dans son travail de recrutement et de gestion mais, inversement, la RH doit orienter le travail de sécurité en fonction de la population des collaborateurs.

Si l’entreprise ne dispose pas de façon organique d’une direction sûreté, la chaîne RH ne doit pas hésiter à faire appel à un expert extérieur. Celui-ci l’aidera à prendre conscience du périmètre de l’information sensible à protéger et des menaces. Fort de ce constat, il pourra alors lui conseiller un programme de formation et des outils de sensibilisation.