Vigilance – faux appels passés au nom de la CNIL

Des entreprises ont reçu, ces derniers jours, des appels téléphoniques de personnes se faisant passer pour la CNIL et prétextant devoir envoyer des documents.

Ces appels frauduleux ont pour but de collecter des informations sur votre organisation, et notamment l’adresse mail de dirigeants (directeur informatique, directeur des achats, etc.), pour préparer une attaque informatique (rançongiciel / ransomware) ou une escroquerie financière (« arnaque au Président »).

N’y répondez pas ! En cas de doute, vous pouvez contacter la CNIL au 01 53 73 22 22

Notre métier : Vous aider à vous protéger des pirates informatiques (attaques, arnaques, cryptovirus…) et vous assister dans vos démarches de mise en conformité avec la réglementation relative à la protection des données à caractère personnel.

Par des actions de formation, de sensibilisation ou d’audits dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article

Demande d’annulation du Privacy Shield par UFC Que Choisir

Après l’invalidation en 2015 par la Cour de justice de l’Union européenne de l’accord encadrant le transfert de données entre les Etats-Unis et l’Europe, le « Safe Harbour », compte tenu du niveau de protection insuffisant des consommateurs européens, l’Union européenne a négocié un nouvel accord avec les Etats-Unis, le Privacy Shield. Cet accord a été adopté le 8 juillet 2016, malgré les inquiétudes formulées par le Parlement européen, plusieurs gouvernements, les CNIL et les associations de consommateurs européennes.
Loin de renforcer significativement le cadre juridique du transfert des données personnelles aux Etats-Unis et d’offrir un niveau de protection « adéquate », comme exigé par les textes communautaires, le nouvel accord n’offre qu’une protection lacunaire aux ressortissants européens :
L’admission d’une collecte massive et indifférenciée des données personnelles par les services de renseignements américains

 
Les lois américaines autorisent encore aujourd’hui, malgré les critiques formulées dans le cadre de l’invalidation du Safe Harbour, la collecte massive d’information par la NSA et les services de renseignement américains auprès des entreprises détentrices de données personnelles, incluant des données de consommateurs français qui ont été transférées aux Etats unis.
Bien que le gouvernement américain se soit moralement engagé à réduire cette collecte autant que possible, aucune mesure concrète n’a encore été mise en place pour limiter ces traitements de données personnelles.
Cette situation est d’autant plus inquiétante que les autorités américaines sont aussi autorisées, sur la seule base de vos données personnelles, à rendre des décisions susceptibles de produire des effets juridiques préjudiciables à votre égard. Ainsi, suite à l’envoi d’un message privé sur Facebook, exprimant une opinion politique ou critiquant la collecte à tous crins des données par les multinationales américaines, vous pourriez vous voir interdire l’entrée aux Etats Unis par les autorités américaines !

 
Un ersatz de droit au recours pour les consommateurs européens

Alors que le droit européen exige un droit au recours effectif et un accès à un tribunal impartial, le dispositif de réclamation prévu par le Privacy Shield est stratifié et complexe… Le principal recours en cas de décision préjudiciable rendue par les autorités américaines à l’encontre d’un ressortissant européen, est un médiateur… nommé par le Secrétaire d’état américain.
Enfin, le droit de s’opposer à un traitement est prévu uniquement en cas de «modification substantielle de la finalité du traitement », alors même que le droit européen offre le droit de s’opposer à un traitement de ses données personnelles à tout moment, aussi bien lors de la collecte, qu’en cours de traitement de données personnelles.
Dans le contexte de mondialisation des échanges et de transfert des données vers des Etats avec des niveaux moindres de protection que le niveau européen, ces risques sont loin d’être théoriques comme l’a souligné récemment l’association s’agissant de la collecte de données via des jouets connectés ou des applications mobiles et leur transfert vers les Etats-Unis.
Au vu de ces éléments inquiétants, deux recours en annulation ont été déposés en septembre 2016 devant le Tribunal de l’Union européenne : l’un par le ‘Digital Right Ireland’, groupe lobbyiste Irlandais de défense de la vie privée sur Internet, l’autre par les ‘Exégètes amateurs’, groupe de travail regroupant trois associations françaises…[lire la suite]

Notre métier : Vous aider à vous protéger des pirates informatiques (attaques, arnaques, cryptovirus…) et vous assister dans vos démarches de mise en conformité avec la réglementation relative à la protection des données à caractère personnel.

Par des actions de formation, de sensibilisation ou d’audits dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article

Six secondes suffisent pour pirater une carte bancaire

Votre carte bleue n’est en sécurité nulle part. Sans connaître aucun détail de celle-ci, des pirates peuvent facilement pirater un compte en banque. Il leur suffit simplement d’un ordinateur, d’un accès à Internet et de six secondes, révèlent les chercheurs de l’université de Newcastle, au Royaume-Uni, dans une étude publiée dans le journal académique IEEE Security & Privacy(IEEE signifiant Institute of Electrical and Electronics Engineer).

Dans la pratique, les chercheurs ont utilisé une attaque par force brute pour contourner les mesures de sécurité visant à protéger le système de paiement en ligne des fraude. Connectée sur différents sites, l’équipe de chercheurs a généré de façon répétée et continue des variations des différentes informations sécurisés de cartes de paiement (numéro de carte, date d’expiration et cryptogramme visuel) jusqu’à obtenir un résultat favorable. D’après l’étude, c’est vraisemblablement une attaque du genre qui était au cœur de l’attaque informatique contre la filiale bancaire du géant britannique de la distribution Tesco, dont 20.000 clients ont été victimes.

Deux petites faiblesses qui en font une grosse

Si l’attaque parvient à réussir, c’est parce que le système ne détecte en effet pas les échecs répétés sur une même carte si cela se produit sur différents sites, d’autre part, tous les sites ne demandent pas les mêmes informations au même moment, ce qui permet de deviner un champ à la fois.

« Ce type d’attaque exploite deux faiblesses qui ne sont pas trop graves d’elles-même mais lorsque utilisées simultanément présentent un sérieux risque pour l’ensemble du système de paiement », explique dans le communiqué Mohammed Ali, étudiant en doctorat à l’école d’informatique de l’université de Newcastle et auteur principal de l’étude.

Simplement en partant des six premiers numéros de la carte de paiement, qui servent à indiquer la banque et le type de carte et sont donc identiques pour chaque fournisseur unique, « un pirate peut obtenir les trois informations essentielles pour réaliser un achat en ligne en tout juste six secondes ». Le délai peut être extrêmement réduit dans les cas où le pirate dispose des numéros de cartes, ce qui risque d’arriver de plus en plus souvent au vue de la récente vague d’intrusions informatiques survenues dans les plus grandes entreprises. Il leur suffit dans ce cas de deviner la date d’expiration – moins de 60 essais puisque la plupart des cartes de crédit sont valides cinq an au maximum -, puis le cryptogramme visuel composé de trois chiffres – ce qui prend dans le pire des cas 1.000 essais.

Mohammed Ali souligne toutefois que cette technique d’attaque par force brute ne marche qu’avec le réseau VISA, « le réseau centralisé de MasterCard a été capable de détecter l’attaque après moins de 10 essais – même lorsque les paiements étaient répartis sur différentes réseaux ». Autre point faible de la technique : la confirmation par SMS, que demandent bon nombre de sites d’e-commerce en France…[lire la suite]

Rapport 2015 de l’Observatoire de la sécurité des cartes de paiement

Original de l’article mis en page : Il suffit de six secondes pour pirater une carte bancaire

Notre métier : Vous aider à vous protéger des pirates informatiques (attaques, arnaques, cryptovirus…) et vous assister dans vos démarches de mise en conformité avec la réglementation relative à la protection des données à caractère personnel.

Par des actions de formation, de sensibilisation ou d’audits dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article

La chasse aux pirates informatiques est bien lancée

A la télévision, il y a Les experts, capables de retrouver des criminels à l’autre bout du pays, via une connexion internet, ou de dévoiler une identité en « crackant » le mot de passe d’un site. Dans le réel, la gendarmerie française fait la même chose, et bien d’autres investigations encore.
La cybercriminalité est en effet un phénomène regardé avec beaucoup d‘attention. Et s’il est difficile de donner des chiffres précis pour le quantifier, une minorité d’affaires étant au final connue, son importance et son évolution sont réelles, indique avec le lieutenant-colonel Cyril Piat, numéro 2 du Centre de lutte contre les criminels numériques, le C3N (la police a un équivalent).

Le darkweb, c’est quoi ?

Beaucoup d’utilisateurs ne connaissent d’internet que sa face lumineuse d’échanges d’informations et de connexions humaines à travers le monde entier. Pourtant, existe aussi le darkweb, l’autre face, parfois très sombre d’internet. Celle qui se cache derrière des mots de passe, dans laquelle il faut déjà connaître l’adresse du site que l’on souhaite rejoindre pour pouvoir y accéder, et que l’on découvre à travers Tor, I2P ou Freenet, des navigateurs et réseaux très spécifiques qui pratiquent l’anonymat.

Que peut-on y trouver ?

Imaginés pour contourner la surveillance et la censure, ces derniers sont devenus un lieu parfait pour les criminels. Ils utilisent des nœuds de serveurs dans le monde entier et pratiquent le chiffrement des données en cascade et sont souvent intraçables. Que peut-on y trouver ? De nombreux services tels que la vente de drogues, d’armes, de faux papiers, ou le piratage informatique. Sur Alphabay Market, par exemple, 31 000 annonces pour fraudes sont proposées. On trouve aussi un service de mise en relation de personnes pour des bijoux ou des armes.

Des dizaines d’enquêteurs

« Cela peut représenter de 2 à 5 millions d’euros par mois. Et la cybercriminalité est en permanente évolution, tous les trois ou six mois, en fonction des évolutions technologiques. » Avec une difficulté supplémentaire : intervenir à l’échelle mondiale et devoir demander la coopération d’opérateurs pas toujours conciliants…[lire la suite]

Notre métier : Vous aider à vous protéger des pirates informatiques (attaques, arnaques, cryptovirus…) et vous assister dans vos démarches de mise en conformité avec la réglementation relative à la protection des données à caractère personnel.

Par des actions de formation, de sensibilisation ou d’audits dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article

Nouveautés dans l’organisation des votes électroniques pour les élections professionnelles

Elections professionnelles : un recours facilité au vote électronique

C’est la loi travail qui avait prévu de faciliter les modalités de recours au vote électronique. Un décret précise les choses.
Ainsi le vote électronique peut être utilisé pour les élections professionnelles des délégués du personnel ou du comité d’entreprise :

• si un accord d’entreprise ou de groupe le prévoit ;
• ou, désormais, à défaut d’accord, sur décision de l’employeur.

	Cette possibilité de décider du recours au vote électronique même sans accord s’applique depuis le 7 décembre 2016. Cela vaut aussi pour les élections partielles.

Si vous décidez de recourir au vote électronique

Si vous décidez de recourir au vote électronique, cela doit se faire en respectant le protocole d’accord préélectoral. Vous devrez aussi notamment :

• établir un cahier des charges que vous mettrez à disposition des salariés sur le lieu de travail ainsi que le cas échéant sur l’Intranet ;
• informer les organisations syndicales de salariés représentatives dans l’entreprise ou les établissements concernés, de l’accomplissement des formalités déclaratives préalables auprès de la CNIL.

	Ces règles s’appliquent si vous suivez un accord collectif mais aussi en son absence

Pendant le déroulement du scrutin

Sachez que pendant le déroulement du scrutin, aucun résultat partiel ne peut être donné mais que vous pouvez prévoir ou non de révéler le nombre de votants.

Vous pouvez autoriser ou exclure un vote à bulletin secret sous enveloppe. S’il n’a pas été exclu, l’ouverture du vote n’a lieu qu’après la clôture du vote électronique. Le président du bureau de vote dispose également, avant cette ouverture, de la liste d’émargement des électeurs ayant voté par voie électronique, de façon à être sûr que personne ne puisse voter deux fois.

Elections professionnelles : représentation équilibrée des hommes et des femmes

A partir du 1^er janvier 2017, pour chaque collège électoral, les listes électorales qui comportent plusieurs candidats vont devoir être composées d’un nombre de femmes et d’hommes correspondant à la part de femmes et d’hommes inscrits sur la liste électorale. Il va falloir alterner un candidat de chaque sexe jusqu’à épuisement des candidats d’un sexe (Code du travail, art. L. 2314-24).

Cela vaut pour l’élection des titulaires comme des suppléants.

Le protocole d’accord préélectoral doit mentionner la proportion de femmes et d’hommes composant chaque collège électoral.

Si le nombre de candidats à désigner pour chaque sexe n’est pas entier, il est arrondi :

• à l’entier supérieur en cas de décimale supérieure ou égale à 5 ;
• à l’entier inférieur en cas de décimale strictement inférieure à 5.

	Si le nombre de sièges à pourvoir est impair et que le nombre d’hommes et de femmes inscrit sur les listes est égal, la liste peut comprendre soit un homme soit une femme supplémentaire.

Attention, si un sexe est surreprésenté, ou que l’alternance hommes-femmes n’est pas respectée, l’élection de certains élus pourra être annulée.

Vous voulez en savoir plus sur les élections professionnelles ? Les Editions Tissot vous proposent leur documentation « Les représentants du personnel dans les PME ».

Anne-Lise Castell

Décret n° 2016-1676 du 5 décembre 2016 relatif au vote par voie électronique pour l’élection des délégués du personnel et des représentants du personnel au comité d’entreprise, Jo du 6

Loi n° 2015-994 du 17 août 2015 relative au dialogue social et à l’emploi, Jo du 18

Les 15 mesures clés de la loi Numérique

Une nouvelle doctrine en matière de cybersécurité

« L’irruption du numérique dans toutes les activités de la vie quotidienne nous oblige à repenser en profondeur l’art de la guerre. » Hier, à Bruz, au sud de Rennes, dans les locaux de DGA maîtrise de l’information, « le cœur battant du ministère de la Défense », Jean-Yves Le Drian a présenté les grandes lignes de la nouvelle doctrine cyber des armées françaises.

Des combattants numériques

Cette doctrine s’appuiera sur trois piliers, a expliqué le ministre de la Défense. D’abord le renseignement, «  pour détecter les actions hostiles et leurs auteurs.  ». Ensuite, la protection et la défense : «  Nous devons bâtir d’épaisses murailles numériques. » Enfin, la lutte informatique offensive : «  Nous avons besoin de combattants numériques pour riposter et neutraliser les cyber agresseurs.  »

Jean-Yves Le Drian a annoncé la création, en janvier 2017, d’un commandement français des opérations cyber (le « CyberCom »), placé sous la responsabilité directe du chef d’état-major des armées.

Ministre de la Cyberdéfense

C’est donc un Jean-Yves Le Drian, « ministre de la Cyberdéfense »,qui a passé la journée de lundi en Bretagne. Il a commencé par inaugurer officiellement le Pôle d’excellence cyber à Rennes. Cette association regroupe les chercheurs, les écoles et universités, les entreprises, les collectivités et les industriels qui œuvrent dans le numérique, la cybersécurité et la cyberdéfense.

Deuxième inauguration, un peu plus tard, dans les locaux de la DGA (direction générale de l’armement), à Bruz, au sud de Rennes. C’est ici que sont mis au point tous les systèmes d’information et de communication et les équipements électroniques des forces armées.

Le bâtiment baptisé Louis Pouzin – du nom d’un ingénieur français, précurseur d’Internet – est un bâtiment « de haute qualité cyber » qui accueille 270 experts sur 9 000 m2. Il est équipé de plus de 7 000 capteurs de sécurité, de 4 000 prises de réseau, dont 2 000 en fibre optique, le tout enveloppé dans 7 000 m3 de béton. Ici, des ingénieurs travaillent, entre autres, à détecter et à mettre hors d’état de nuire, les ennemis qui veulent capter les conversations téléphoniques des personnalités françaises, ou qui entendent prendra la main, à distance, sur la conduite des véhicules…[lire la suite]

Notre métier : Vous aider à vous protéger des pirates informatiques (attaques, arnaques, cryptovirus…) et vous assister dans vos démarches de mise en conformité avec la réglementation relative à la protection des données à caractère personnel.

Par des actions de formation, de sensibilisation ou d’audits dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article

La surveillance au travail pourrait être modifiée

Un patron pourrait bientôt ne plus avoir besoin de demander une autorisation préalable à la Commission nationale pour la protection des données (CNPD) avant de placer ses employés sous vidéosurveillance au travail. Cette mesure fait partie d’un projet de loi concernant la protection des données privées que les députés ont commencé à étudier lundi et qui s’inscrit dans le nouveau règlement européen qui entrera en vigueur le 25 mai 2018.

Le texte supprime la liste de traitement des données qui est aujourd’hui soumis à autorisation préalable de la CNPD, dont les traitements effectués à fin de surveillance. La CNPD fera, selon le projet de loi, des contrôles a posteriori, dans un but de simplification administrative. Un changement qui a suscité l’inquiétude de plusieurs députés, soucieux de protéger les citoyens d’une surveillance illégale par leurs employeurs.

La Chambre des salariés avait émis un avis défavorable en novembre, «dénonçant d’emblée la suppression de l’autorisation préalable (…). Elle s’oppose plus particulièrement, et de manière formelle, à cette exemption en faveur des traitements à des fins de surveillance sur le lieu de travail», expliquant que la loi actuelle, de 2002, «traduisait justement la volonté expresse du législateur luxembourgeois de protéger les personnes physiques de certains traitements « susceptibles de présenter des risques particuliers au regard des droits et libertés des personnes concernées »». À noter que le projet de loi introduit également des sanctions financières.

(JW/JV/L’essentiel)

Notre métier : Vous aider à vous protéger des pirates informatiques (attaques, arnaques, cryptovirus…) et vous assister dans vos démarches de mise en conformité avec la réglementation relative à la protection des données à caractère personnel.

Par des actions de formation, de sensibilisation ou d’audits dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article

Prévisions cybercriminalité pour 2017

Denis JACOPINI

Trend Micro présente son rapport annuel des prévisions en matière de sécurité: ‘The Next Tier – 8 Security Predictions for 2017’. L’année prochaine sera marquée par des attaques de plus grande envergure à tous les niveaux. Les cybercriminels adopteront des tactiques différentes pour tirer parti de l’évolution du paysage technologique.

« Nous pensons que la General Data Protection Regulation (GDPR) va non seulement changer fondamentalement la manière dont les entreprises gèrent leurs données, mais aussi induire de nouvelles méthodes d’attaque. La tactique du ransomware va également s’étendre pour toucher plus d’appareils, tandis que la cyberpropagande influencera de plus en plus l’opinion publique”, déclare Raimund Genes, CTO de Trend Micro.

En 2016, l’on a assisté à une formidable augmentation des vulnérabilités d’Apple avec pas moins de 50 fuites. A cela s’ajoutent 135 bugs Adobe et 76 bugs Microsoft. Alors que Microsoft continue d’améliorer ses facteurs limitatifs et qu’Apple est de plus en plus considéré comme le système d’exploitation prépondérant, ce déplacement apparent des ‘exploits’ des logiciels vulnérables va encore s’accentuer en 2017.

L’IoT et l’IIoT – dans la ligne de mire des attaques ciblées

L’Internet of Things (IoT – internet des objets) et l’Industrial Internet of Things (IioT – internet industriel des objets) seront de plus en plus dans la ligne de mire des attaques ciblées en 2017. Ces attaques tirent parti de l’engouement croissant suscité par les appareils connectés en exploitant les failles et les systèmes non protégés et en perturbant des processus d’entreprise. L’usage croissant d’appareils mobiles pour surveiller les systèmes de production dans les usines et les milieux industriels, combiné au nombre important de vulnérabilités dans ces systèmes constitue une réelle menace pour les organisations.

Explosion de l’extorsion professionnelle

Le Business E-mail Compromise (BEC) et le Business Process Compromise (BPC) représentent de plus en plus une forme relativement simple et économiquement rentable d’extorsion professionnelle. En incitant un employé innocent à verser de l’argent sur le compte bancaire d’un criminel, une attaque BEC peut rapporter 140.000 dollars. Bien que le piratage direct d’un système de transaction financière exige plus d’efforts, cela représente une manne de pas moins de 81 millions de dollars pouvant tomber aux mains des criminels.

Autres faits marquants du rapport

Le nombre de nouvelles familles de ransomware ne progresse que de 25 %. Mais le ransomware s’étend désormais aux appareils IoT et aux terminaux informatiques autres que les desktops (par exemple les systèmes POS ou les distributeurs automatiques).
Les fournisseurs ne parviendront pas à protéger à temps les appareils IoT et IIoT pour éviter des attaques DoS (refus de service) ou d’autres types d’attaques.
Le nombre de failles découvertes dans les technologies Apple et Adobe augmente, ce qui vient s’ajouter aux « exploit-kits ».
46 pour cent de la population mondiale est aujourd’hui reliée à l’internet : la cyberpropagande ne va cesser d’augmenter, à présent que les nouveaux dirigeants des grands pays sont en place. L’opinion publique risque donc d’être influencée par de fausses informations.
Comme ce fut le cas lors de l’attaque de la Banque du Bangladesh plus tôt cette année, les cybercriminels parviennent à modifier des processus d’entreprise via des attaques BPC, et à en tirer largement profit. Les attaques BEC restent d’actualité pour extorquer des fonds à des employés qui ne se doutent de rien.
Le GDPR produira des changements de politique et administratifs qui auront un lourd impact sur les coûts. Cela exigera aussi des examens complexes des processus de données pour assurer la conformité réglementaire.
De nouvelles méthodes d’attaques ciblées déjoueront les techniques de détection modernes, permettant aux criminels de s’attaquer à différentes organisations.

Original de l’article mis en page : Le ransomware s’étend aux appareils connectés et à l’internet des objets – Press Releases – Informaticien.be

Notre métier : Vous aider à vous protéger des pirates informatiques (attaques, arnaques, cryptovirus…) et vous assister dans vos démarches de mise en conformité avec la réglementation relative à la protection des données à caractère personnel.

Par des actions de formation, de sensibilisation ou d’audits dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article

Ce que les entreprises doivent savoir pour se mettre en conformité avec Règlement européen de protection des données en vigueur dans 18 mois

Qui est concerné?

Le RGPD s’applique « au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier. » Ce règlement s’applique à toute structure (responsable de traitement des données ou sous-traitant) ayant un établissement dans l’Union européenne ou bien proposant une offre de biens ou de services visant les personnes qui se trouvent sur le territoire de l’Union européenne. Les actions de profilage visant cette cible sont également concernées. Ainsi, alors que la loi Informatique et libertés se basait sur des critères d’établissement et de moyens de traitement, le règlement européen 16-679 introduit la notion de ciblage: le critère principal d’application est désormais le traitement des données d’une personne se trouvant au sein de l’UE.

Qu’est-ce qu’une donnée à caractère personnel?

L’une des difficultés posées par le RGPD va consister à définir les données personnelles concernées. Le règlement stipule qu’il s’agit de « toute information concernant une personne physique identifiée ou identifiable », directement ou indirectement. Des données indirectement identifiantes, telles qu’un numéro de téléphone, ou un identifiant, sont donc concernées. De même, les données comportementales collectées sur Internet (notamment recueillies dans le cadre d’actions marketing de profilage), si elles sont corrélées à une identité, deviennent des données à caractère personnel. Selon le traitement appliqué aux données, des informations non identifiantes peuvent ainsi devenir identifiantes, par croisement des informations collectées. À noter, le RGPD prévoit des exceptions selon les traitements concernés, notamment au niveau des traitements de données RH (recrutement, contrat de travail…), pour lesquels les États membres peuvent prévoir « des règles plus spécifiques pour assurer la protection des droits et libertés » (article 88).

Quelles obligations pour les entreprises?

La loi Informatique et libertés se basait sur du déclaratif initial et des contrôles ponctuels. Le nouveau règlement européen remplace cette obligation de déclaration par une obligation de prouver à chaque moment que l’entreprise protège les données. Dès lors, la structuration même des outils permettant la collecte des données (CRM, DMP, solutions de tracking ou de géolocalisation…), mais aussi les contrats passés avec les sous-traitants et clients sont impactés. « Le règlement couple des notions techniques et juridiques », souligne Thomas Beaugrand, avocat au sein du cabinet Staub & Associés. Il introduit des nouveaux principes et concepts qui renvoient désormais vers plus de précautions techniques. Par ailleurs, les entreprises ont, entre autres, l’obligation de donner la finalité précise de la collecte des données (il s’agit du principe de minimisation, un des grands principes de la dataprotection, qui impose que seules les données nécessaires à la finalité poursuivie pourront être collectées).

Le GRPD impose également le principe de conservation limitée des données, ainsi que celui de coresponsabilité des sous-traitants et des entreprises en matière de protection de la data, qui permet de distribuer les responsabilité en fonction de la mainmise de chacun sur les données.

Enfin, parmi les changements majeurs, la nomination d’un DPO, ou délégué à la protection des données, qui sera obligatoire dans tout le secteur public, ainsi que dans les structures privées qui font des traitements de données exigeant un suivi régulier et systématique des personnes à grande échelle (dans le secteur du marketing, notamment). Il sera le garant de la conformité au règlement (voir encadré en page suivante)…[lire la suite]

Notre métier : Vous aider à vous protéger des pirates informatiques (attaques, arnaques, cryptovirus…) et vous assister dans vos démarches de mise en conformité avec la réglementation relative à la protection des données à caractère personnel.

Par des actions de formation, de sensibilisation ou d’audits dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article