Deep web, objet et outil de la sécurité économique

http://www.journaldunet.com

Le Dark Net, dernier far-west où les gens honnêtes et non initiés ne se promènent pas au risque de se perdre, de se faire agresser ou pire encore d’être verbalisés.

Pourtant, la sécurité économique de votre entreprise s’y joue en partie. On y parle d’elle, ou de vous, des informations la concernant s’y échangent ou des renseignements introuvables ailleurs y sont accessibles.

Plus que jamais, la partie cachée du web, doit être prise en compte dans des stratégies défensives ou actives de veille. Cependant attention, comme en plongée bouteille, le deep web ne s’aborde pas sans précaution.

Je rajoute une illustration a cet article

Kaspersky, agent des services de renseignement russes ?

Le gouvernement américain n’autorise plus l’usage des antivirus et logiciels de sécurité de Kaspersky

Le célèbre anti-virus installé sur des millions d’ordinateurs dans le monde est désormais interdit dans l’administration américaine. Il serait un outil des services russes. C’est ce que croit les autorités états-uniennes (bien placées pour parler d’agents d’influence russes…) et ce qu’affirme Bloomberg dans un récent article.

Sur un sujet aussi sensible, aussi régalien que la sécurité numérique, comment imaginer un instant que les tout puissants services de renseignement russes s’intéressent à une entreprise privée dont le siège social est à Moscou !

Même les américains ont le droit d’être parano ! A moins d’y voir un lien avec le conflit que kaspersky a avec Microsoft !

Des informations personnelles collectées sur 198 millions d’américains dans la nature…

Fuite BDD

http://www.fredzone.org/

Une société d’analyse de données travaillant pour le parti Républicain à subi une perte massive d’informations confidentielles et très personnelles concernant 198 millions de citoyens américains.

L’existence même de tels fichiers en dit long sur le marketing politique et surtout sur le peu de cas que les data brokers font de la sécurité des informations qu’ils collectent à l’insu des populations étudiées.

Que nous soyons un simple citoyen ou une entreprise, ce cas, qui serait un scandale majeur en Europe, doit nous faire réfléchir l’utilisation et le devenir, à moyen et long termes, des informations que nous laissons en libre disposition sur Internet ou que nous confions à n’importe qui.

Les obligations européennes sur la protection des données personnes (GDPR) qui s’imposeront à toutes les entreprises à partir de mai 2018, sont une contrainte de plus, notamment pour les PME, mais c’est aussi une garantie contre des incompétences aussi cyniques. Les entreprises doivent se préparer dès maintenant aux enjeux et défis du GDPR (ou RGPD en français, Règlement général sur la protection des données).

Par ailleurs, il convient de se poser quelques questions simples et saines :

  • Quelles sont mes informations réellement sensibles ?
  • Où et comment sont-elles stockées ?
  • Qui y a accès en dehors de moi ?
  • Que se passera-t-il si ces informations venaient a être diffusées publiquement ?

Cyber sécurité et PME

 

Cyber securite et pme

Une très belle infographie réalisée par Ael Bernard, étudiant à la Rennes School of Business, qui synthétise bien les menaces cyber pour une PME et donne des préconisations simples.

Je rajouterai seulement que les risques pour le patrimoine informationnel et réputationnel d’une entreprise sont multiformes et cumulatifs. L’humain est la première cible, il sera toujours plus facile de rentrer sur un ordinateur si un collaborateur vous en aura donné les codes d’accès. C’est là toute la démarche du renseignement économique.

La sécurité des informations et la sécurité économique commence donc par un travail de formation des collaborateurs.

Pour la sécurité des informations, développez une culture de la sécurité économique

 https://www.generation-nt.com/

password

La sécurité des systèmes d’information est un défis technologique majeur certes, mais comme le laisse à comprendre cet article, c’est avant tout un défis humain.

Toute les lignes Maginot que pourront mettre en place les spécialistes de la sécurité pour contrôler les portes seront inutiles si vous laissez les fenêtres ouvertes.

Une stratégie de sécurité des informations doit donc être complète et cohérente. l’information n’est pas qu’une donnée informatique, elle est dans un dossier qu’on oublie dans le train, dans un indice qu’on évoque sur facebook, dans un clé USB que l’on perd, dans une conversation au coin d’un bar…. ou protégée par un mot de passe écrit sur un post-it au dessus de l’écran.

Pour accompagner d’indispensables stratégies de sécurisation techniques, Il ne sert a rien de mettre en place des règlements et des contraintes comminatoires. Il sera beaucoup plus utile de développer dans l’entreprise ou la structure publique une véritable « culture de la sécurité économique ».

Ce n’est qu’en prenant conscience des risques et des menaces que naturellement les utilisateurs des moyens numériques  comprendront l’utilité d’adopter des pratiques saines, efficaces et simples.

 

 

Le VPN, un outil pour la sécurité des voyages d’affaires

VPN

Le VPN est le minimum des outils à mettre en place pour accéder à internet à partir d’un hot spot public. Il permet également une véritable protection de votre vie privée et de vos connexions, très utile lors de voyages d’affaires dans certains pays.

Désormais, il existe de très nombreux services de VPN gratuits, souvent intégrés dans les navigateurs, il suffit de les activer. Pensez-y ?

https://www.generation-nt.com/vpn

Les États-Unis sont déçus de l’effet des cyberattaques contre l’État islamique

Dans la cyber-guerre comme dans la vrai guerre, il est important de prendre en compte les effets asymétriques. Tout comme il a été compliqué pour l’armée américaine de combattre les insurgés wietcong, son arsenal d’attaque cyber trouve ses limites face à un ennemi aux moyens limités mais non conventionnels, très mobiles et disposant de fortes capacités de réadaptation.

A la différence d’une organisation (réellement) étatique, ou d’une structure hiérarchisée et pyramidale comme l’est Al Kaïda, Daech est une structure qui organise et contrôle sa décentralisation sur le modèle des réseaux sociaux. Cette souplesse, voire sa rusticité, lui apportent sa résilience.

Ces caractéristiques sont à garder en mémoire dans le cadre de la prise en compte de la radicalisation dans l’entreprise.

Voir l’article

Sécurité numérique : d’abord l’humain !

Dans son rapport annuel sur l’évolution des menaces qui pèsent sur les systèmes d’information, la société californienne Proofpoint, souligne une évolution de fond dans la nature des attaques informatiques, qu’elles soient à buts criminels ou d’espionnage économique : l’exploitation des vulnérabilités humaines.

En effet, les outils de sécurité informatique sont de mieux en mieux configurés sur les réseaux d’entreprises. Neutraliser une stratégie de défense demande des investissements en temps, en compétences, et donc en argent, de plus en plus conséquents.

Pour contourner les boucliers qui se mettent en place, les cyber attaquants ciblent désormais les collaborateurs de l’entreprise ou de l’administration publique, les personnes sans formation spécifique à la sécurité numérique. Quand les accès de votre appartement sont de mieux en mieux blindés, il est plus facile de vous inciter, par la ruse, à laisser une fenêtre ouverte, plutôt que de prendre le risque et perdre du temps à fracturer la porte.

Par l’ingénierie sociale, par des mails malveillants, des techniques de hameçonnage, des applications frauduleuses, les collaborateurs de l’entreprise sont conduits à faciliter le contournement des outils de sûreté numérique et, par la même, à permettre la pénétration des réseaux informatiques aux pirates. Ils sont d’autant plus vulnérables à ce type d’attaque qu’ils se croient en sécurité derrière les protections construites par les spécialistes.

La mise en place de sécurités informatiques solides est fondamentale mais doit impérativement s’accompagner d’une politique de sensibilisation et de formation des usagers. Le développement d’une culture de la sécurité économique et numérique devient un enjeu de croissance.

Action contre la cybermalveillance (ACYMA) : nouveau dispositif de lutte contre la cybermalveillance 

https://www.cybermalveillance.gouv.fr

Un dispositif encore expérimental qu’il convient néanmoins de saluer. l’ANSSI a très largement participé au développement d’ACYMA, une groupement d’intérêt public (GIP) qui aura pour tâche de faire le lien entre les PME, les collectivités locales ou les particuliers, victimes de cyber-attaques et des experts capables de les assister.

Parce que l’État ne peut pas tout faire alors que le besoin est immense, ACYMA proposera des experts privés dont les compétences auront été évaluées.

Le site d’ACYMA devrait également devenir une référence en matière de sensibilisation à la cybersécurité en proposant des articles, un blog, des fiches réflexes… .

Rappelons cependant qu’en matière de défense rien ne vaut la prévention. Développer chez chacun la culture de la sécurité, reste l’investissement le plus rentable.

 

 

Pirater un pacemaker, ce n’est pas juste de la fiction

pirater-un-pacemaker

Un pacemaker piraté c’est inquiétant, angoissant même pour les personnes qui en sont équipées, néanmoins cet exemple concret et extrême illustre parfaitement tous les risques des objets connectés.

Ce qui est possible avec un équipement médical installé dans votre poitrine l’est aussi avec une machine-outil dans le fond de votre atelier ou une camera dans votre bureau.

Il ne faut pas avoir peur des objets connectés, il faut simplement en connaître les vulnérabilités pour en contrôler l’accès.