Pouvez-vous refuser la carte sans contact délivrée par votre banque ?

En France, plus de 33 millions de cartes de paiement ont des fonctionnalités sans contact, ce qui représente plus de 50 % des cartes en circulation, rappelle la Cnil (Commission nationale de l’informatique des libertés). Grâce à ce système, il est possible d’utiliser sa carte bancaire sans avoir à taper son code secret lorsque les achats sont inférieurs à 20 euros. Depuis la recommandation de la Cnil de juillet 2013, les porteurs de ce type de carte doivent être clairement informés de la fonctionnalité sans contact et doivent pouvoir la refuser.

Comment exercer son droit d’opposition ?

Dans un premier temps, le client doit se tourner vers sa banque pour lui demander la désactivation ou la réédition gratuite d’une nouvelle carte dépourvue de la fonctionnalité paiement sans contact.

Les banques sont libres de choisir les moyens à engager pour respecter ce droit d’opposition. Certaines proposent de distribuer une nouvelle carte identique aux anciens modèles, d’autres incitent à une désactivation via le site internet de la banque.

Si la banque ne respecte pas son devoir d’information ou si elle refuse de désactiver le paiement sans contact, le client peut alors s’adresser au service des plaintes de la Cnil, sur le site internet de la Commision, en appelant le 01 53 73 22 22 (du lundi au vendredi de 10h à 12h et de 14h à 16h) ou en écrivant un courrier à la Cnil – Service des plaintes – 8, rue Vivienne – CS 30223- 75083 Paris cedex 02

Comment se débarrasser d’un cryptovirus qui revient sans arrêt ?

Que ça soit à la suite des nombreux défaçages de sites Internet (piratage du site Internet et changement de la page d’accueil) dont ont été victimes des dizaines de milliers de sites Internet en 2015 ou à la suite de vagues de virus cryptant la quasi totalité des données de votre ordinateur et vous demandant de payer une rançon pour continuer à les utiliser, nous avons été surpris par les mesures prises par le ou les informaticiens.

En effet, à la suite d’échanges avec ces pompiers informatiques afin de vérifier les mesures prises à la suite de l’attaque informatique, nous avons eu, et leurs clients également, la désagréable surprise que leurs actions se restreignaient à nettoyer le ou les postes infectés et restaurer la dernière sauvegarde. En d’autres termes, excepté pour ceux profitant de cette situation pour constater que leurs systèmes de sauvegardes parfois lourdement facturés ne fonctionnait pas ou ne sauvegardait pas tout, la quasi totalité des techniciens contactés nous ont confirmé que le grand changement dans leurs procédure à la suite d’une telle attaque de pirate, consistait à renforcer la vérification des procédures de sauvegarde !!!

Vous l’aurez compris, la conséquence évidente que si l’on ne soigne pas la cause du mal et qu’on ne fait qu’atténuer les effets, le mal reviendra.

Sauf à que ça vous plaise de passer votre temps de restaurer des données à chaque nouvelle attaque, il est peut-être temps de changer quelque chose.

En cas d’attaque par ransomware (cryptovirus), nous vous recommandons de vous former ou d’utiliser un spécialiste pour suivre les étapes suivantes (l’ordre peut être adapté en fonction de vos priorités) :

1. Payer ? nous ne recommandons pas ça car non seulement vous favorisez le développement de ces actes en récompensant les cybercriminels, mais également rien ne vous assure que vous pourrez récupérer l’utilisation de vos fichiers et enfin, même si vous payez et que vous en avez pour votre argent, il est fort probable que le même pirate ou un autre vous piège à nouveau.
2. Constatez et recueillez les preuves ;
3. Conservez les preuves soit pour une analyse ultérieure en vue de la recherche d’un antidote, soit pour une analyse approfondie de la technique utilisée par le pirate informatique, soit pour pouvoir porter plainte (si vous avez une assurance ou pour vous protéger si votre système informatique victime contamine d’autres systèmes informatique , ce qui vous rendraient responsable) ;
4. Éventuellement, portez plainte ;
5. Nettoyez votre système informatique de toutes traces du virus ;
6. Pour éviter qu’elle se reproduise, analysez avec précision l’attaque informatique afin de trouver la faille utilisée pour pénétrer votre système informatique en vue de sa réparation;
7. Restaurez les données pour pouvoir remettre en route son système informatique le plus rapidement possible ;
8. Recherchez la faille ;
9. Corrigez la faille ;
10. Recherchez d’autres failles ;
11. Par prévention, corrigez d’autres failles et augmentez vos mesures de sécurité ;
12. Contactez éventuellement les autorités compétentes (Police, Gendarmerie, OCLCTIC, BETFI, votre CERT, le CERTA, PHAROS…) ;

Denis JACOPINI, Expert Informatique assermenté, est spécialisé en cybercriminalité et en protection des données personnelles pourra vous accompagner pour chacune de ces étapes.

Contactez-nous

Vous êtes une société d’informatique démunie devant une situation spécifique, il n’y a aucun inconvénient à vous faire aider par un spécialiste en cybercriminalité. Nous pouvons également vous accompagner.

Remarque :

Certaines de ces étapes peuvent être longues et nécessiteront un accès à distance de votre installation.

Vidéoprotection / vidéosurveillance : une caméra qui filme la voie publique peut-elle filmer l’intérieur des habitations ?

• De visualiser l’intérieur des habitations.
• De filmer de façon spécifique leurs entrées (par ex. les fenêtres d’un immeuble).

Des procédés de masquages irréversibles de ces zones doivent être utilisés afin de garantir la protection de la vie privée.

Même si remplir un formulaire de déclaration à la CNIL est simple et gratuit, il vous engage cependant, par la signature que vous apposez, à respecter point par point la loi Informatique et Libertés. Cette démarche doit commencer par une analyse précise et confidentielle de l’ensemble de vos systèmes de traitements de données. Nous pouvons vous accompagner pour vous mettre en conformité avec la CNIL, former ou accompagner un C.I.L. (correspondant CNIL) ou sensibiliser les agents et salariés à l’hygiène informatique.
Besoin d’informations complémentaires ?

Contactez-nous

#Conseils clé pour #se protéger contre la #cybercriminalité

La cybercriminalité est souvent médiatisée lorsque d’énormes failles de sécurité sont révélées et que les dommages sont significatifs pour les entreprises touchées. L’attaque massive organisée par des pirates informatiques russes il y a quelques semaines à une échelle mondiale en est un très bel et marquant exemple, avec plus de 1,2 milliard de mots de passe volés.

Mais les hackers ne se limitent pas aux attaques massives, et des petites brèches de sécurité d’apparence anodines peuvent pourtant s’avérer avoir de lourdes conséquences, tant pour les grandes entreprises que pour les plus petites organisations possédant des données sensibles ou à forte valeur ajoutée.

Ne perdez pas votre temps à anticiper, sachez surtout détecter les failles et limiter les dégâts
La meilleure chose qu’un directeur informatique ou un responsable de la sécurité puisse faire pour protéger son entreprise est de comprendre et d’accepter l’impossibilité de maintenir les attaquants à l’écart. Tout le monde est tôt ou tard victime d’une faille de sécurité. Le plus important est de savoir dans quel délai vous la détecterez et dans quelle mesure vous pourrez limiter les dommages. Il convient de mettre l’accent sur la réduction du risque dans les domaines clés et la surveillance des événements au niveau du pare-feu pour détecter le plus rapidement possible l’intrusion d’un attaquant et la tentative de vol de données. Toute autre action ne reviendra qu’à reproduire des stratégies qui ont déjà montré leurs limites dans le passé, pour un coût encore plus élevé.

Axez votre stratégie de sécurité sur l’identité et les données, et non plus l’infrastructure
Le mode de pensée centré sur le réseau et les appareils est de plus en plus délaissé en faveur d’une sécurité axée sur l’identité et les données.

Désormais, tenter de protéger l’infrastructure de l’entreprise n’apparaît plus comme une solution gagnante. Avec l’usage croissant de l’informatique mobile et du Cloud computing, cette tâche s’avère souvent trop complexe et n’est plus entièrement maîtrisée par le personnel informatique et de sécurité. En revanche, le personnel chargé de la sécurité réfléchit de plus en plus à la protection des données transférées d’un endroit à un autre, y compris dans le cloud, et à l’acquisition d’une meilleure connaissance de l’identité des individus qui ont accès à ces données. Néanmoins, suis-je certain de savoir qui accède actuellement à notre base de données de patients ? Est-il normal que ce salarié ouvre ce fichier de données clients ? Ces décisions sont de plus en plus complétées par l’introduction d’un contexte du type : dois-je permettre à ce salarié d’accéder à ces données sensibles alors qu’il est en vacances dans le Sud et qu’il se connecte depuis sa tablette dans un cybercafé ? Il s’agit là d’une façon plus intelligente (et efficace) d’appréhender les risques du comportement surveillé, en répondant aux problèmes de sécurité fondamentaux liés aux utilisateurs privilégiés, aux attaques internes et aux menaces persistantes avancées.

Ne misez pas tout sur la technologie, sensibilisez vos collaborateurs car ils sont les véhicules de vos données !
Il est toujours possible d’améliorer l’éducation – bien que je sois convaincu qu’il faille en changer le ton pour passer du « ne faites pas ceci » au « comme vous le ferez de toute façon, voici comment procéder pour éviter de prendre des risques ». Le pouvoir dans le monde de l’informatique professionnelle a changé de mains : il n’est plus dévolu au service IT autoritaire et centralisé, avec le personnel qui lui est associé, mais relève désormais des dirigeants de l’entreprise et des responsables métiers. Aujourd’hui plus que jamais, l’utilisateur de l’entreprise décide lui-même de la technologie à employer et de la façon de procéder. Dans ce contexte, l’éducation doit être recentrée sur les conseils et le choix de solutions sûres pour cesser de s’apparenter à une liste d’actions à éviter, qui sera de toute façon rarement respectée.

Comment détecter les arnaques sur Internet ? Denis JACOPINI vous en parle sur Europe 1 à l’occasion de la présentation de son livre « CYBERARNAQUES : S’informer pour mieux se protéger »

« Puisse cet ouvrage avoir de nombreux lecteurs ! Il ne devrait pas plaire aux arnaqueurs, car il est un réquisitoire contre leur perfidie et, sans aucun doute, une entrave à leur chiffre d’affaire. »
Général d’armée (2S) Watin- Augouard

Commandez CYBERARNAQUES

Plutôt qu’un inventaire, Denis Jacopini, avec la collaboration de
Marie Nocenti, a choisi de vous faire partager le quotidien de
victimes d’Internet en se fondant sur des faits vécus, présentés
sous forme de saynètes qui vous feront vivre ces arnaques en
temps réel. Il donne ensuite de précieux conseils permettant de
s’en prémunir. Si vous êtes confronté un jour à des circonstances
similaires, vous aurez le réflexe de vous en protéger et en éviterez
les conséquences parfois dramatiques… et coûteuses.
Un livre indispensable pour « surfer » en toute tranquillité !

Denis Jacopini est expert judiciaire en informatique, diplômé en
cybercriminalité et en droit, sécurité de l’information et informatique
légale à l’université de droit et science politique de Montpellier.
Témoin depuis plus de vingt ans d’attaques de sites Internet, de
piratages d’ordinateurs, de dépouillements de comptes bancaires
et d’autres arnaques toujours plus soigneusement élaborées,
il apprend aux professionnels à se protéger des pirates informatiques.
Marie Nocenti est romancière.

Comment créer sa charte Informatique ? (ANSSI)

1. L’OBJECTIF

La charte d’utilisation des moyens informatiques a pour finalité de contribuer à la préservation de la sécurité du système d’information de l’entité et fait de l’utilisateur un acteur essentiel à la réalisation de cet objectif…[lire la suite]

2. DES DÉFINITIONS CLAIRES ET PRÉCISES

Définir les termes clés du document permet de limiter leur interprétation juridique (administrateur, messagerie électronique, moyens d’authentification, système d’information, utilisateur, etc.)…[lire la suite]

3. L’OBJET ET SA PORTÉE

La charte doit rappeler ce sur quoi elle porte. Notamment, elle doit exprimer de manière explicite qu’elle a pour objet de préciser les droits et devoirs de l’utilisateur…[lire la suite]

4. LES USAGES

De nombreuses questions sont à envisager lorsque l’entité souhaite fixer les règles d’usage de son système d’information. L’entité met-elle à disposition une messagerie professionnelle ?…[lire la suite]

5. DÉFINIR LES DEVOIRS DE L’UTILISATEUR

Outre les obligations générales qu’il est bon de rappeler, les devoirs de l’utilisateur découlent directement des usages autorisés définis en amont…[lire la suite]

6. LES MESURES DE CONTRÔLE

Les mesures de contrôle que l’entité peut mettre en place peuvent être étendues, pourvu qu’elles aient fait l’objet d’une information préalable des utilisateurs (via la charte) et qu’elles soient conformes au droit en vigueur…[lire la suite]

7. LES SANCTIONS

La charte informatique étant un document de portée juridique, elle permettra de fonder les sanctions à l’encontre d’un utilisateur qui ne l’aurait pas respectée. Il est impératif de prévoir une échelle des sanctions disciplinaires…[lire la suite]

8. S’ASSURER DE L’OPPOSABILITÉ DE LA CHARTE

L’opposabilité de la charte nécessite également son acceptation par les utilisateurs (signature de la charte ou annexe au contrat de travail)…[lire la suite]
[Consultez le guide complet de l’ANSSI]

Mise en conformité RGPD. Attention aux arnaques…

Vous pensez avoir reçu une arnaque à la mise en conformité RGPD ?
Signalez ou demandez notre avis sur signalements@lenetexpert.fr

LNE : Combien coûte une mise en conformité pour une entreprise de petite taille ?

Denis JACOPINI : Il me paraît déjà important de préciser que si quelqu’un vous a dit qu’il est conforme RGPD, il y a de très forte chance que soit il n’ait rien compris à la démarche RGPD, soit que ce soit un menteur. En effet, un organisme n’est pas conforme RGPD ou non conforme RGPD. J’ajouterai même que personne n’est conforme RGPD. Par contre, on doit parler de  démarche de mise en conformité. Ainsi, soit un organisme a initié une démarche de mise en conformité, soit il n’a pas initié de démarche de mise en conformité.

Ensuite, les établissements professionnels, associations et administrations doivent savoir qu’il n’y a aucune obligation de payer quoi que ce soit ou de faire appel à un professionnel. En effet, les organismes souhaitant entamer ou poursuivre leur démarche de mise en conformité peuvent réaliser eux même ces démarches. Le coût sera alors seulement lié au temps passé à réaliser cette démarche qui peut ne pas être négligeable selon la taille ou l’activité de votre structure. Cette démarche peut donc être gratuite pour un établissement qui aura choisi de se former de manière autodidacte ou peut être remboursée en totalité si la formation que vous suivez est entièrement prise en charge par un organisme collecteur de la taxe formation.

En fait, le vrai prix dépend du contexte de départ, du volume d’éléments à améliorer et du temps consacré à la démarche de mise en conformité RGPD.

Quel type d’organisme accompagnez-vous dans leur démarche de mise en conformité ?

Tout organisme étant concerné, j’accompagne toute taille et tout type d’organisme. En fonction de la taille ou du secteur d’activité la démarche sera différente. Individuelle, de groupe, plus axée sur la formation, plus orientée sur l’accompagnement ou parfois encore, exclusivement basée sur la réalisation de la démarche de mise en conformité, nous nous adaptons à chaque organisme.

Comment bénéficier d’une démarche de mise en conformité gratuite ou pour avoir une formation prise en charge ?

La plupart des dirigeants savent aujourd’hui qu’ils peuvent demander la prise en charge de formations par l’organisme auprès duquel ils cotisent pour la taxe formation. Il suffit ensuite de nous formuler votre demande  pour que nous vous envoyons une proposition qu’il vous suffira de communiquer à votre organisme. Au terme de cette démarche administrative, un accompagnement personnalisé vous sera proposé afin de vous apprendre l’essentiel de la démarche et l’usage d’outils gratuits à mettre en oeuvre.

Récemment, la CNIL vient de mettre en place une nouvelle formation en ligne ouverte à tous (MOOC) intitulée « L’atelier RGPD ». Elle est proposée aux professionnels pour leur permettre de découvrir ou mieux appréhender le RGPD. Il vous permet ainsi d’initier une mise en conformité dans votre organisme et de vous aider à la sensibilisation des opérationnels.

Une attestation de suivi sera délivrée dans le Mooc à tout participant ayant parcouru la totalité des contenus et ayant répondu correctement à 80 % des questions par module…[lire la suite]

Est-ce que déclarer à la CNIL est obligatoire ?

Sont dispensés de cette formalité :

certains fichiers exonérés par la loi ou la CNIL : voir liste des exonérations et des dispenses ;

certains fichiers mis en oeuvre par un organisme qui a désigné un Correspondant Informatique et Libertés (CIL).

Dans les autres cas, la déclaration auprès de la CNIL est obligatoire et s’effectue sur le site internet de la Commission. L’accomplissement de cette formalité est gratuite. 

A savoir : L’absence de formalité auprès de la CNIL, lorsqu’elle est obligatoire, peut constituer une infraction pénale.
Source : http://www.aide.cnil.fr/selfcnil/site/template.do?name=D%C3%A9clarer%C2%A0%C3%A0+la+CNIL%2C+c%27est+obligatoire+%3F&id=335

#Télémédecine : l’#échange de données de santé est-il autorisé ?

Le patient doit avoir été informé au préalable de l’utilisation de la télémédecine et des actes ou examens médicaux qui seront réalisés de cette façon.

La réponse à la question : L’échange de données de santé est-il autorisé ? est donc Oui.

Comment bâtir et préserver son e-réputation ?

L’e-réputation est déterminée par la circulation sur le Web d’informations, d’échanges, d’avis, de commentaires, d’articles, de rumeurs qui forgent une opinion commune. L’identité d’une marque telle qu’elle est diffusée à ses différents publics par tous les moyens de médiatisation, ajoutée à la perception que les internautes en ont, créé l’e-réputation. Avec plusieurs milliards de contenus diffusés et partagés chaque jour rien que sur Facebook, la réputation d’une marque ou d’une enseigne échappe totalement à son contrôle.

Si le site de l’enseigne est le premier vecteur de la création de l’e-réputation, elle se forge aussi via son personnel interne, des articles publiés sur les sites de médias importants, les informations diffusées sur les blogs d’influence, les forums, les réseaux sociaux, les libres commentaires sur les sites communautaires, mais aussi via des plateformes de vidéo et photos.

Rester accessible évite le dénigrement 

La majeure partie des problèmes d’e-réputation vient du fait que l’enseigne ne donne pas la possibilité à un client mécontent d’entrer directement et rapidement en contact avec elle. Dépité et frustré, il se tourne alors vers des canaux simples d’accès tels que Twitter, des blogs ou des sites de consommateurs. Afin d’éviter ce genre de dérive, il faut afficher clairement toutes les informations de contacts et non pas un simple formulaire, et apporter rapidement des solutions au client insatisfait. Un portail Web de service client peut aider à fluidifier l’information.

Créer du contenu positif

Diffuser des messages qui inspirent la sympathie, valoriser les produits par des témoignages utilisateurs, donner la possibilité d’ajouter des avis, ou encore certifier les modes de paiement… autant de moyens servant à sensibiliser et fidéliser une communauté. En pratiquant une politique de marketing social, les consommateurs « heureux » prennent le pouvoir, défendent la marque, se diffusent entre eux les bons plans, les promotions, les nouveautés et donc contribuent à bâtir comme une trainée de poudre la e-réputation. Mais attention, dans ce cas, à ne pas perdre le contrôle de son image !

S’emparer du contenu négatif

Les clients mécontents redoublant d’imagination pour faire savoir à un plus grand nombre les problèmes rencontrés avec une marque, ou par pure volonté de nuire, n’hésitent pas à créer des blogs, voire même des sites structurés portant l’URL de l’enseigne suivi d’un terme de type « problèmes » : www.nomdelenseigne-problemes.com .

Acheter des noms de domaine négatifs permet de recenser en un clic la mauvaise réputation car au final vous offrez aux mécontents la possibilité de s’exprimer tout en maîtrisant les problématiques.

Plus simple, créez une page « Foire aux questions » ou « service clients » et engagez-vous à répondre aux critiques ou aux avis négatifs dans un délai raisonnable. Pour garder le client, un geste commercial peut montrer de la considération à son égard et faire basculer du négatif au positif.

Enfin, un démenti public contre une rumeur permet de retrouver une forme de crédibilité et d’afficher une grande transparence dans sa manière de fonctionner.

Pratiquer la technique de l’enfouissement 

Trop, c’est trop ! Si de nombreux commentaires négatifs apparaissent sur les premières pages de Google ou autre moteur de recherche lorsqu’on tape votre nom, il est vraiment temps de réagir ! Il faut alors pratiquer la technique dite « de l’enfouissement » qui consiste à créer du contenu positif pour faire baisser dans le référencement tous les liens négatifs. Il est en effet assez rare qu’un internaute dépasse la page 3 ou 4 lorsqu’il souhaite se renseigner sur une marque.

Une politique suivie de Relations Presse aide aussi à diffuser du contenu porteur, à crédibiliser l’offre, à redorer son blason et à nettoyer la toile.

Si la liberté d’expression permet de faire, défaire et refaire des réputations, il faut se dire que c’est une grande richesse. Alors pourquoi se contenter d’être simplement populaire alors qu’il est possible aujourd’hui de devenir influent.