Comment gérer le fait religieux en entreprise ?

https://www.faceaurisque.com/2018/10/04/le-fait-religieux-en-entreprise/

 

Face au développement, parfois revendicatif ou prosélytiste, du fait religieux sur les lieux de travail, les chefs d’entreprise se sentent parfois démunis. Pourtant, un corpus juridique existe qui encadre la pratique religieuse au travail et surtout protège « le principe de neutralité ». Néanmoins, pour être pleinement efficaces, ces règles demandent une prise en compte dans le règlement intérieur, ce qui ne peut être fait qu’après un travail de réflexions et de dialogue. Il peut être utile d’être accompagné dans ce travail qui demande de prendre du recul et d’avoir une forte expérience de la sûreté en entreprise et de l’interculturalité.

un excellent point sur la réglementation par maître Thibault du Manoir

RGPD : arrêtez de faire peur

La date du 25 mai est agitée par beaucoup comme un épouvantail….ou un argumentaire de démarches commerciales.

Oui, le RGPD va profondément modifier le rapport des entreprises, et des administrations, aux données personnelles des citoyens européens, non le 25 mai ne sera pas un grand soir qui plongera les entreprises dans le chaos.

Le 10 avril 2018, à l’occasion d’une conférence de presse, la présidente de la CNIL (la Commission Nationale de l’Informatique et des Libertés), Isabelle Falque-Pierrotin, à fait un point sur le RGPD et ses enjeux. Elle s’est montrée rassurante quant à la mise en oeuvre des mesures de contrôle qui accompagneront l’application du règlement européen.

S’il n’y aura pas de « période de grâce », il n’y aura pas, non plus, de « chasse aux sorcières », dit-elle. D’ailleurs, on peut se demander comment la CNIL pourrait, des le 26 mai, lancer une vaste opération de contrôle sur l’ensemble des administrations et des entreprises françaises (plus de 3,5 millions!) et étrangères détenant des données personnelles de français.

De façon beaucoup plus réaliste, La Commission Nationale de l’Informatique et des Libertés souhaite s’engager dans un processus de pédagogie et d’accompagnement. Ce qui est recherché, c’est que les entreprises et les administrations publiques prennent conscience des données à caractères personnels et sensibles qu’elles demandent à leurs clients ou usagers mais également à leurs collaborateurs, qu’elles soient conscientes de leurs responsabilités quant à la conservation et la sécurité de ces données (les exemples de fuites ou de pillages massives de données sont multiples) et qu’elles assument ces responsabilités en cas de perte de données.

Bien entendu, les organisations qui, par leur nature ou par leur taille, collectent déjà beaucoup de données à caractères personnels et sensibles (grandes entreprises, marketing, surveillance, hôpitaux….) feront plus rapidement et plus régulièrement l’objet de contrôles, et les citoyens ne peuvent que s’en réjouirent. L’immense majorité des PME, voire des ETI, ne sera, dans un premier temps, concerné que de loin….tant que ces entreprises ne seront pas touchées par une fuite ou une attaque visant à mettre leurs données sur la place publique….et qu’une plainte ne sera pas déposée par une victime.

C’est pourquoi, il est important pour tout organisme, public ou privé, de pouvoir démontrer qu’il a initié sincèrement une démarche RGPD, que son mode de traitement des données est dans l’esprit du RGPD, c’est à dire, que des données à caractères sensibles ne sont pas demandées sans raisons, qu’elles font l’objet d’une identification et d’un traitement spécifiques mais également d’une attention particulière. Plus qu’un travail de juriste ou d’informaticien, c’est d’abord une œuvre de bon sens et d’inventaire.

D’ailleurs, les entreprises auraient tout intérêt de profiter de ce travail d’inventaire pour le compléter par un examen de l’ensemble des données dont elles disposent et qui, sans présenter de caractères personnels et sensibles, sont, pour autant, vitales pour son développement. Il s’agit en particulier, des données dont le vol ou la dégradation pourraient faire perdre un avantage concurrentiel et avoir des conséquences sur le chiffre d’affaire et l’emploi (secrets de fabrique, plan marketing, données commerciales ou financières….).

Avoir l’esprit RGPD c’est donc :

  • penser RGPD au moment d’initier une nouvelle démarche de collecte d’informations personnelles et de se doter de nouveaux outils numériques pour cela (privacy by design) ;

  • cartographier et caractériser les données à caractères personnels dont on dispose déjà (dans une PME il y a en, en général, finalement assez peu)  ;

  • réagir avec le soucis des individus en cas de pertes de leurs données personnelles (c’est le bon sens)


Uber illustre parfaitement ce qu’il ne faut pas faire en matiere de gestion de crise cyber

http://www.zdnet.fr/actualites

Uber s’est fait pirater les données de 57 millions de clients que l’entreprise entreposait dans un cloud extérieur. Sa réaction est une parfaite illustration de ce qu’il ne faut pas faire dans des cas similaires : elle n’a rien dit à ses usagers et chauffeurs, les laissant en danger pendant plus d’un an, et elle a payé les pirates.

A partir d’avril 2018 et grâce au RGPD un tel mépris de ses clients ne sera plus possible. L entreprise aura 72h pour déclarer le piratage. Au passage, il est intéressant de constater que l’information sort au moment où Uber négocie une partie de la vente de son capital….

RGPD, au secours? non restons calmes

www.silicon.fr/RGPD

Débat intéressant hier au club de la presse informatique BtoB mais, comme le compte rendu qui en est fait ici, cela reste, même pour les « experts » un peu touffu.

Pour une PME, une collectivité locale, une ETI, il faut faire simple :

  • désigner un DPO (Data protection Officer) interne ou externalisé,
  • faire l’inventaire (cartographie) des données personnelles demandées et détenues ainsi que de la façon dont celles-ci sont stockées et utilisées,
  • faire l’inventaire des services et produits informatiques utilisés et alimentés en données sur des personnes (clients, employés, …) et s’assurer qu’ils sont conçus pour éviter toute fuite d’informations, à défaut, les faire évoluer. Ne pas hésiter à solliciter vos fournisseurs de solutions informatiques sur la conformité de leurs produits.

En plus de vous mettre en conformité cela renforcera débord la sécurité de vos informations.

Le GDPR : le grand chantier des mois à venir sur la protection des données personnelles dans l’entreprise

Comprendre vos obligations  https://www.cnil.fr/

Plus que 10 mois pour se mettre en conformité avec le Règlement Général sur la Protection des Données qui s’imposera à toutes les entreprises à partir du mois de mai 2018. Contrairement aux obligations de compliance imposées par la loi Sapin II (voir : ici ), le RGPD concerne toute structure qui collecte, exploite et stocke des données personnelles : un fichier client, une base salarié, une application pour smartphone….

Dimensionner pour être une arme de dissuasion contre les majors états-uniennes, les sanctions financières seront lourdes (jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial). La mise en œuvre du RGPD doit mobiliser des compétences diverses (gestion de l’information, juridique, sécurité des systèmes d’information, RH, ….) . Au niveau d’une PME ou d’une ETI, la tache n’est pas insurmontable, elle aura même pour intérêt collatéral de renforcer la maitrise de leurs systèmes d’informations. Il convient néanmoins de s’y atteler avec rigueur et méthode en faisant, si besoin, appel à un prestataire spécialisé et compétant.

Kaspersky, agent des services de renseignement russes ?

Le gouvernement américain n’autorise plus l’usage des antivirus et logiciels de sécurité de Kaspersky

Le célèbre anti-virus installé sur des millions d’ordinateurs dans le monde est désormais interdit dans l’administration américaine. Il serait un outil des services russes. C’est ce que croit les autorités états-uniennes (bien placées pour parler d’agents d’influence russes…) et ce qu’affirme Bloomberg dans un récent article.

Sur un sujet aussi sensible, aussi régalien que la sécurité numérique, comment imaginer un instant que les tout puissants services de renseignement russes s’intéressent à une entreprise privée dont le siège social est à Moscou !

Même les américains ont le droit d’être parano ! A moins d’y voir un lien avec le conflit que kaspersky a avec Microsoft !

Sécurité économique : le malware qui espionne les smartphones Android

Le malware pour android « spydealer », décrit dans cet article de silicon.fr, est une parfaite illustration des risques de surveillance sur vos activités à partir d’un outil que vous avez en permanence avec vous, votre smartphone.

Au delà du désagrément de savoir que quelqu’un peut venir fouiller dans votre poche, il convient de s’interroger sur les conséquences d’une captation extérieure des informations présentes ou transitant sur votre appareil téléphonique.

Ce virus espion récupère des données à partir des vos applications préférées, notamment les messageries  (WeChat, WhatsApp, Skype, BBM, Line, Viber, QQ, Tango, Telegram…) et les réseaux sociaux, où nous dévoilons tant de choses personnelles. Les éléments collectés peuvent ensuite être utilisés pour faire votre «profil », étape essentielle qui permet de mieux comprendre un interlocuteur, savoir comment il se comporte, connaître ses habitudes, ses points faibles ou forts…

Spydealer peut également vous localiser. Il relève votre position, les lieux ou vous vous êtes rendu, le temps que vous y avez passé. Autant d’éléments importants pour retracer vos activités.

Il permet aussi de relever les identifiants de votre appareil (IMEI) et de votre carte SIM (IMSI), éléments indispensables pour vous mettre sur écoute, vous localiser, même si vous n’avez pas activé la fonction GPS de votre appareil, connaître vos interlocuteurs et lire vos SMS.

Enfin, le must, il peut déclencher, à votre insu, le micro, voire la camera, de votre appareil et transmettre en direct le son du lieu (de la réunion par exemple) où vous êtes.

Spydealer est surtout répandu en Chine, ce n’est pas un hasard. La volonté de surveiller, à des fins politiques, sa population a conduit le gouvernement chinois à développer des outils et des structures aux moyens matériels et humains considérables. Ces structures sont étroitement liées à l’industrie chinoise et aux producteurs d’équipements électroniques. Ainsi le président de Huawei, Ren Zhengfei, est un ancien ingénieur des services de renseignement de l’armée populaire. Bien entendu ces outils d’état sont également utilisés pour l’autre grande priorité des autorités chinoises, la captation technologique et le gain d’avantages concurrentiels, autrement dit l’espionnage économique.

Une délégation française en Chine a donc toutes les chances d’être infectée par un malware du type de Spydealer. Une entreprise européenne intéressant l’économie chinoise, pourra également faire l’objet de ce type d’attaque. Une version « personnalisée » d’un malware pourra être développée à cette fin.

Enfin, comme en Russie, des liens entre les structures de cyber-attaque de l’état et les mafias existent. Les outils puissants développés dans un cadre gouvernemental se répandent dans les milieux pirates.

Soyez conscient qu’un smartphone n’est plus simplement le téléphone portable que nous utilisions il y a 10 ans. Il convient donc de porter une très grande vigilance à son cadre d’emploi et de réfléchir et contrôler l’usage que vous en avez :

  • Professionnel /personnel
  • Travail / loisir
  • Applications dédiées/applications ludiques
  • Déplacement à l’étranger, réunions….

Des informations personnelles collectées sur 198 millions d’américains dans la nature…

Fuite BDD

http://www.fredzone.org/

Une société d’analyse de données travaillant pour le parti Républicain à subi une perte massive d’informations confidentielles et très personnelles concernant 198 millions de citoyens américains.

L’existence même de tels fichiers en dit long sur le marketing politique et surtout sur le peu de cas que les data brokers font de la sécurité des informations qu’ils collectent à l’insu des populations étudiées.

Que nous soyons un simple citoyen ou une entreprise, ce cas, qui serait un scandale majeur en Europe, doit nous faire réfléchir l’utilisation et le devenir, à moyen et long termes, des informations que nous laissons en libre disposition sur Internet ou que nous confions à n’importe qui.

Les obligations européennes sur la protection des données personnes (GDPR) qui s’imposeront à toutes les entreprises à partir de mai 2018, sont une contrainte de plus, notamment pour les PME, mais c’est aussi une garantie contre des incompétences aussi cyniques. Les entreprises doivent se préparer dès maintenant aux enjeux et défis du GDPR (ou RGPD en français, Règlement général sur la protection des données).

Par ailleurs, il convient de se poser quelques questions simples et saines :

  • Quelles sont mes informations réellement sensibles ?
  • Où et comment sont-elles stockées ?
  • Qui y a accès en dehors de moi ?
  • Que se passera-t-il si ces informations venaient a être diffusées publiquement ?

Le VPN, un outil pour la sécurité des voyages d’affaires

VPN

Le VPN est le minimum des outils à mettre en place pour accéder à internet à partir d’un hot spot public. Il permet également une véritable protection de votre vie privée et de vos connexions, très utile lors de voyages d’affaires dans certains pays.

Désormais, il existe de très nombreux services de VPN gratuits, souvent intégrés dans les navigateurs, il suffit de les activer. Pensez-y ?

https://www.generation-nt.com/vpn

Action contre la cybermalveillance (ACYMA) : nouveau dispositif de lutte contre la cybermalveillance 

https://www.cybermalveillance.gouv.fr

Un dispositif encore expérimental qu’il convient néanmoins de saluer. l’ANSSI a très largement participé au développement d’ACYMA, une groupement d’intérêt public (GIP) qui aura pour tâche de faire le lien entre les PME, les collectivités locales ou les particuliers, victimes de cyber-attaques et des experts capables de les assister.

Parce que l’État ne peut pas tout faire alors que le besoin est immense, ACYMA proposera des experts privés dont les compétences auront été évaluées.

Le site d’ACYMA devrait également devenir une référence en matière de sensibilisation à la cybersécurité en proposant des articles, un blog, des fiches réflexes… .

Rappelons cependant qu’en matière de défense rien ne vaut la prévention. Développer chez chacun la culture de la sécurité, reste l’investissement le plus rentable.