Protection des données personnelles : Les entreprises ne respectent pas la Loi et jouent avec les données de leur clients. Ca pourrait bien leur coûter cher !

A quoi sert la CNIL ?

Positionnez-vous d’abord en tant que consommateur. Lorsque vous commandez, achetez, communiquez, savez-vous où vont les informations personnelles ou confidentielles que vous confiez aveuglément ?Seriez-vous d’accord si toutes les données (coordonnées postales, e-mail, bancaires, santé, politique, religion, habitudes de consommation etc.) que vous communiquez en toute confiance à des tiers se retrouvent dispersées dans la nature et à la vue de tout le monde ? J’imagine que non ! Vous vous attendez plutôt à ce que tous les tiers prennent soin de conserver précieusement vos informations qui sont pour chacun d’entre nous précieuses et confidentielles pour certaines.

A la place de ça, que font les entreprises ?
Ils utilisent vos coordonnées pour envoyer de la publicité et surcharger votre boite e-mail, votre téléphone, votre boite aux lettres. Plus grave, certains vont vendre ou louer vos coordonnées à des tiers pour monnayer vos informations personnelles. Plus grave encore, d’autre encore vont stocker vos précieux éléments sur des systèmes informatiques non sécurités… Et c’est aussi comme ça qu’on se retrouve rapidement noyé par les spams ou les virus, victime d’usurpation d’identité ou pire…   C’est pour canaliser cela que la CNIL (Commission Nationale de l’Informatique et des Libertés) existe. Sa mission officielle est de « veiller à ce que le développement des nouvelles technologies ne porte atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques ».

Qui est concerné ?
Tout professionnel, organisme, association qui gère un fichier client, contact, mail, salariés, élèves, patients… que ce fichier soit informatisé ou géré sur papier. Les seuls qui n’ont pas à faire de telles déclarations sont les particuliers et les association, mais seulement pour les traitements qui concernent les données de leurs membres.

Les réactions les plus courantes lors de mes conférences
Lorsque j’anime des ateliers, des tables rondes ou des conférences sur le sujet des risques juridiques du chef d’entreprise face aux nouveaux usages de l’informatique ou des obligations des entreprises vis à vis de la CNIL, et que le volet des obligations par rapport à la #loi Informatique et Libertés est abordé, il m’est systématiquement posé la question suivante :

« Mais, comment se fait-il qu’on ne soit pas informé de ces obligations ? »

Et ma réponse au chef d’entreprises est systématiquement toujours la même :
« Par pure négligence de votre part . Que votre entreprise ait 0 ou 100 000 salariés, les obligations sont les mêmes et existent depuis 1978 au travers de la Loi Informatique et Libertés. Lorsque vous avez créé votre entreprise, vous vous êtes engagés à respecter la réglementation pendant toute la vie de votre entreprise. Et cette loi, je vous l’accorde, longtemps restée dans l’ombre, fait partie des règles qui doivent être obligatoirement respectées. Comme vous avez vu tout à l’heure, si vous vous positionnez en tant que consommateur, il vous semble évident que vos données personnelles soient protégées. Comme cette précaution absolue n’est pas une priorité naturelle pour les entreprises, un gendarme a été créé pour informer, surveiller, contrôler et sanctionner les entreprises fautives. Vous faites certainement partie des patrons qui essaient de gérer leur entreprise du mieux possible et avec vos problèmes et vos priorités vous y arriver je pense très bien. Vous vous souciez probablement d’abord de la réglementation à respecter en matière sociale, fiscale et en rapport de votre activité professionnelle. Je sais qu’il est matériellement impossible de tout savoir, et de connaitre toutes les lois. C’est ce que moi j’appelle faire des impasses. Sauf que là, c’est des impasses qui peuvent vous coûter jusqu’à 300 000 euros. »

Pourquoi parle-t-on de la CNIL si souvent aujourd’hui ?
Parce qu’elle tire la sonnette d’alarme devant les changements de nos habitudes et l’évolution de la technologie Fait très important qui s’est passé depuis le début des années 80 : L’informatique s’est répandue dans quasiment tous les domaines sans réellement tenir compte de la sécurité des données. Peu savent que depuis les années 90, Internet qui s’impose à nous utilise un protocole de communication qui à la base ne sont pas sécurisées . Ensuite, nous sommes entrés dans l’ère des objets connectés avec un risque permanent de se faire « pomper » nos données. On ne va plus seulement parler de coordonnées postales téléphoniques ou bancaires, mais aussi de données de santé, d’habitudes alimentaires, de sommeil, de sortie, de loisirs… Que vos joujoux hi-tech connectés, votre smartphone ou votre ordinateur soient perdus ou piratés, les données qu’ils stockent sont librement accessibles… De plus, il ne se passe pas un jour sans qu’un opérateur, une société Web, une entreprise se fasse pirater son système informatique et par la même occasion les données de ses clients. Il y a deux types de cibles : celles qui ont beaucoup de trésorerie à se faire voler, et les millions de malchanceux qui dont le manque de sécurité a été automatiquement détecté qui vont être la proie de cybercriminels. Pour vous donner une idée, 144 milliards d’emails sont échangés chaque jour et 68,8% d’entre eux sont des spams et nombreux cachent des réseaux cybercriminels. 400 Millions de personnes sont concernées par des cyberattaques chaque année. Vous comprenez maintenant pourquoi il devient urgent de canaliser tous ces usages et déjà les premier débordements avant que ça continue à s’aggraver.

Est-ce risqué de ne pas respecter la Loi Informatique t Libertés
Même si en référence la loi du 29 mars 2011 relative au défenseur des droits, la CNIL peut rendre publiques les sanctions pécuniaires qu’elle prononce, il n’y a jusqu’à maintenant eut que très peu de sanctions prononcées. En 2013, 414 contrôles ont aboutit à 14 sanctions.

On eut en avoir  liste sur http://www.cnil.fr/linstitution/missions/sanctionner/les-sanctions-prononcees-par-la-cnil/

Cependant, le niveau de risque devrait exploser en 2015 ou du moins, dès la mise en application du règlement européen relatif aux traitements de données à caractère personnel. Selon les infractions, le montant des sanctions peut aujourd’hui s’élever jusqu’à 300 000 euros. Cenpendant, compte tenu de leur chiffre d’affaire démesuré, certaines entreprises peuvent continuer à sourire avec de telles amendes (par exemple google et ses 60 milliards de chiffre d’affaire, ou Facebook, Appel, Orange…) .

Devant ces situations, la Commission Européenne décidé de frapper un grand coup avec un règlement européen et au travers de deux principales actions répressives :

1) Augmenter plafond des amendes jusqu’à 5% du chiffre d’affaire ( ça pourrait donner 3 milliards de dollars d’amende maximale par infractions pour google)

2) Rendre Obligatoire pour toute entreprise, de déclarer sous 24h à la CNIL le moindre incident de sécurité (virus, perte données, perte ou  vol de matériel, piratage…), laquelle pourra vous obliger d’informer tous vos clients que la sécurité de leurs donées personnelles a été compromise. Cette obligation existe déjà depuis juin 2013 mais seulement pour les OIV (Opérateurs d’importance Vitale).
Souvenez-vous l’affaire du piratage d’Orange en janvier et avril 2014 et les articles de presse peux valorisants pour la marque et inquiétant pour ses clients. Le règlement européen prévoir d’obliger toutes les entreprises d’informer l’ensemble des propriétaires dont la sécurité a été compromise suite à un piratage, une perte ou à un vol de données personnelles ou de matériel contenant des données personnelles. Ainsi, on ne parle plus d’un risque financier, mais d’un risque de mauvaise réputation des entreprises face à leurs clients et concurrents…

Concrètement, que faut-il faire pour de mettre en conformité avec la CNIL ?
L’aritcle premier de la Loi définit que l’informatique doit être au service de chaque citoyen. Son développement doit s’opérer dans le cadre de la coopération internationale. Elle ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques.

L’article 2 précise que la loi s’applique aux traitements de données à caractère personnel contenues ou appelées à figurer dans des fichiers.

Enfin l’article 22 indique que les traitements de données à caractère personnel font l’objet d’une déclaration auprès de la CNIL

En d’autres termes, pour se mettre en conformité, il faut déclarer à la CNIL l’ensemble des traitements de données qui concernent des informations permettant d’identifier des personnes.

Je tiens à préciser qu’on ne déclare pas ou on ne donne pas à la CNIL ses données, on ne déclare que des traitements de données à caractères personnel.

Lien vers le Loi Informatique et Libertés http://www.cnil.fr/documentation/textes-fondateurs/loi78-17/

Mon conseil en 4 étapes pour se mettre en conformité avec la CNIL
1) Identifier l’ensemble des traitements de données permettant d’identifier des personnes.

2) Procéder à l’analyse détaillée de ses traitements et corriger les actions qui ne sont pas conformes à la Loi Informatique et Libertés en terme de sécurité des fichiers, de confidentialité des données, de durée de conservation des documents, d’information des personnes, de demande d’autorisation et de finalité des traitements.

3) Déclarer le traitement à la CNIL ou désigner un Correspondant Informatique et Libetés  qui sera chargé de tenir à jour un registre des traitements sans avoir à les déclaréer séparément.

4) Faire un à deux points par an pour reporter dans le registre les changements sur les traitements existants et les y ajouter les nouveaux.

En cas d’impossibilité d’adapter votre traitement de données personnelles par rapport à la loi Informatique et Libertés, une demande d’avis ou d’autorisation doit être formulée à la CNIL.

Bien évidemment, la réponse de la CNIL doit être attendue avant d’utiliser le traitement concerné.

Une fois ces étapes de « mise sur rails » accomplie, la personne qui aura en charge la fonction de correspondant dans votre entreprise aura obligation de tenir un registre des traitements mis en œuvre au sein de l’organisme (consultable par la CNIL ou tout demandeur sur simple demande) et de veiller au respect des dispositions de la loi « informatique et libertés » au sein de l’organisme.

Est-on obligé de faire une déclaration pour chaque traitement ?
Oui et Non

Non si vous nommez un #correspondant Informatique et Libertés (#CIL). Qu’il soit interne à l’entreprise ou externe (si vous souhaitez déléguer la responsabilité  à quelqu’un d’externe à l’entreprise, comme je le fais pour de nombreuses entreprises). Le Cil n’aura alors qu’à tenir à jour un registre répertoriant l’ensemble des traitements de données à caractères personnel et leurs caractéristiques détaillées. Ce registre devra pouvoir être consultable par la CNIL mais auss par quiconque vous en fera la demande.

Oui si vous décidez de ne pas déclarer un Correspondant Informatique et Libertés.

Qui peut être ou devenir CIL ?
La loi prévoit que le correspondant Informatique et Libertés est une personne bénéficiant des qualifications requises pour exercer ses missions.
Aucun agrément n’est prévu et aucune exigence de diplôme n’est fixée.
Néanmoins, le CIL doit disposer de compétences variées et adaptées à la taille comme à l’activité du responsable des traitements.
Ces compétences doivent porter tant sur l’informatique et les nouvelles technologies que sur la réglementation et législation relative à la protection des données à caractère personnel.
…
L’absence de conflit d’intérêts avec d’autres fonctions ou activités exercées parallèlement est également de nature à apporter les garanties de l’indépendance du CIL. C’est pourquoi la fonction de correspondant est incompatible avec celle de responsable de traitements. Sont concernés le représentant légal de l’organisme (ex. : le maire / le PDG) et les autres personnes participant à la prise de décisions en matière de mise en oeuvre des traitements (ex. : les conseillers municipaux / les personnes disposant d’une délégation de pouvoirs).

Des difficultés pour vous mettre en conformité ?
Pour vous mettre en conformité avec la CNIL, il vaut mieux être sensibilisé à la loi Informatique et Libertés et aux règles et obligations qui en découlent (obligation d’information, droit d’accès, traitement des réclamations…).

Pour que votre mise en règle se fasse dans de bonnes conditions, nous pouvons nous charger de former et de suivre une personne de votre entreprise qui jouera le rôle de CIL (Correspondant Informatique et Libertés) ou bien, si vous le préférez, pour encore plus de tranquillité, Denis JACOPINI, expert Informatique spécialisé en protection des données personnelles, peut se charger d’être votre CIL externe en se chargeant de prendre en charge l’ensemble des formalités.

Plus de détails sur la CNIL
La CNIL est une AAI (Autorité Administrative Indépendante). C’est une structure gérée par l ‘état qui ne dépent d’aucun ministère et qui peut dresser des procès verbaux et sanctionner sans même à avoir à passer par un juge. La CNIL dépend directement du premier ministre qui peut en dernier recours, directement prendre des mesures pour mettre fin aux manquements.

Quelques chiffres

Audit en sécurité informatique : Liste des risques

Risques physiques

• Incendie ;
• Dégât des eaux, crue ;
• Pollution ;
• Accidents majeurs.

Risques naturels

• Phénomène climatique ;
• Phénomène sismique, volcanique ;
• Phénomène météorologique.

Perte de services essentiels

• Défaillance de la climatisation ;
• Perte d’alimentation énergétique ;
• Perte des moyens de télécommunication.

Rayonnements

• Rayonnements électromagnétiques ;
• Rayonnements thermiques.

Compromission des informations et des fonctions

• Interception de signaux parasites compromettants ;
• Espionnage à distance ;
• Ecoute passive ;
• Vol de supports ;
• Vol de documents ;
• Vol de matériels ;
• Divulgation interne ;
• Divulgation externe ;
• Piégeage du matériel ;
• Utilisation illicite du matériel ;
• Abus de droit ;
• Usurpation de droit ;
• Fraude ;
• Altération du logiciel ;
• Copie frauduleuse du logiciel ;
• Utilisation de logiciels contrefaits ou copiés ;
• Altération des données ;
• Utilisation de données personnelles dans autorisation ;
• Traitement de données personnelles nos déclarés
• Atteinte à la disponibilité du personnel.

Défaillances techniques

• Panne du matériel ;
• Dysfonctionnement du matériel ;
• Saturation du matériel ;
• Dysfonctionnement logiciel ;
• Atteinte à la maintenabilité du SI.

Agressions Physiques, Erreurs

• Destruction des matériels ;
• Reniement d’actions ;
• Erreurs de saisie ;
• Erreur d’utilisation.

Combien de temps une crèche peut-elle conserver des informations sur vous et vos enfants ?

La durée de conservation de ces informations ne doit pas dépasser la durée nécessaire aux finalités pour lesquelles ces informations sont collectées et traitées.

Dans le cas de l’accueil de jeunes enfants, la CNIL recommande que ces informations soient effacées au plus tard trois ans après leur départ. Au-delà de ce délai, elles ne peuvent être conservées que de manière anonymisée, dans un but statistique par exemple.

Comment empêcher Android de sauvegarder automatiquement nos données personnelles ?

N’avez-vous jamais remarqué que lorsque vous entrez-vos identifiants Google dans un nouvel appareil Android, ce dernier retrouvait automatiquement certaines de vos informations personnelles, notamment vos contacts. Pourtant, vous n’avez jamais rien fait pour, et pour cause puisque cette option est activée par défaut. Ce qui signifie que vous pouvez également la désactiver. La plupart des utilisateurs la conservent néanmoins activée pour des raisons de praticité.

Les données automatiquement sauvegardées par Google

Au sein de son OS, Google a intégré un outil du nom d’Android Backup Service qui sauvegarde certaines données liées aux services que vous utilisez. Ces données sont les suivantes :

• Contacts qui sont sauvegardés au sein de Google Contacts. Vous pouvez ainsi les retrouver sur tous vos appareils et même sur votre PC en vous connectant simplement à votre compte.
• Emails qui sont sauvegardés au sein de Gmail
• Documents, ce qui vous permet d’ailleurs d’éditer vos documents sauvegardés dans le cloud à partir de n’importe lequel de vos appareils
• Calendriers
• Chrome : vos favoris et votre historique de navigation sont synchronisés avec votre compte. Idem pour vos mots de passe si vous avez activé la fonction Smart Lock
• Hangouts : vos conversations sont sauvegardées
• Google Play Store : les applications que vous avez téléchargées sont automatiquement sauvegardées. Vous pouvez ensuite les retrouvez dans l’onglet « Mes applications » de la boutique. C’est très pratique lorsque vous changez de smartphone car vous n’avez pas besoin de les rechercher une par une, en outre, les applications achetées sont également sauvegardées
• Vos photos et vidéos, à condition d’utiliser l’application Google Photos et d’avoir activé la sauvegarde automatique de vos médias
• Certaines données d’applications

Comment empêcher Google de sauvegarder vos données

Vous n’êtes pas ravis à l’idée que Google en sache autant sur vous et vous souhaiteriez que certaines de vos données ne soient pas sauvegardées ? Et bien rassurez-vous, c’est possible et en quelques clics. Il vous suffit pour cela de :

• Vous rendre dans le menu Paramètres > Personnel > Comptes de votre smartphone
• Sélectionner votre compte Google
• Décocher toutes les données que vous ne voulez pas que Google sauvegarde

Et pour aller plus loin, n’hésitez pas à jeter un œil à notre tutoriel comment préserver sa vie privée sur Android.

Les données non sauvegardées par Google

Les données listées ci-dessous ne sont pas sauvegardées par Google. Pour éviter de les perdre en changeant de smartphone, il faudra donc utiliser une application tierce mais nous y viendrons après.

• Les SMS, il est néanmoins possible de sauvegarder ses SMS sur Android en utilisant une application
• Google Authentificator : pour des raisons de sécurité, les données d’authentification Google en deux étapes ne sont pas sauvegardées
• Réglages : les paramètres personnalisés de de votre smartphone ne sont pas sauvegardés
• Bluetooth : Android ne synchronise pas les périphériques Bluetooth appairés vers votre smartphone

Comment sauvegarder toutes ses données personnelles

Bien que Google ne le permette pas par défaut, il est tout à fait possible de sauvegarder toutes les données de votre smartphone Android à l’aide de notre précédent tutoriel. Certaines de vos données iront directement sur votre support externe, d’autres seront sauvegardées en ligne afin de pouvoir ensuite être réintégrées à votre nouveau smartphone si votre but est de sauvegarder vos données pour les retrouver sur un nouvel appareil.

N’oubliez pas non plus de jeter un œil à notre sélection d’applications pour sauvegarder ses données personnelles. Certaines nécessiteront que votre téléphone soit rooté, d’autres non, et elles vous permettront de sauvegarder toutes vos applications et pas seulement les données.

Denis JACOPINI sur LCI : Les techniques des cybercriminels pour pirater votre CB

En direct sur LCI avec Serge Maître Maître, président de l’AFUB (Association Française des Usagers des Banques) et Nicolas CHATILLON, Directeur du développement-fonctions transverses du groupe BPCE et Denis JACOPINI, Expert informatique assermenté spécialisé en cybercriminalité débattent le 7 mars 2016 sur les techniques des cybercriminels pour vous pirater votre CB.

[youtube https://www.youtube.com/watch?v=zPOt_h5Qb84?feature=oembed&w=610&h=343]

http://lci.tf1.fr/france/societe/cartes-bancaires-les-fraudeurs-ont-toujours-une-longueur-d-avance-8722056.html

Une liste non exhaustive avec 10 techniques de cybercriminels pour vous pirater votre carte bancaire :
http://www.lenetexpert.fr/10-techniques-de-cybercriminels-pour-vous-pirater-votre-carte-bancaire/

Le phishing, ça c’était avant : place aux fraudes au paiement par autorisation dans lesquelles on vous fait dire OK par téléphone

Le APP (Authorised Push Payment Fraud – fraude au paiement par autorisation) serait une des techniques de fraude en forte croissance au Royaume Uni, et combinerait des techniques sophistiquées, au travers de SMS et d’appels, pour soutirer de l’argent aux victimes. 19 370 cas auraient été répertoriés au Royaume Uni au cours de ces 6 derniers mois selon le daily mail. Quelles sont les techniques ici employées ? La France est-elle touchée ? 

Denis Jacopini : Cette technique de fraude utilise de nombreux ingrédients de base :

• L’ingénierie sociale (pratique utilisant des techniques de manipulation psychologique afin d’aider ou nuire à autrui)
• L’usurpation (d’identité);
• Le passage en mode émotionnel par la peur ;
• L’interlocuteur est votre sauveur et est là pour vous aider.

Dans le cas précis, nous avons aussi :

• L’usurpation du nom de la banque ;
• L’usurpation du numéro de téléphone de la banque ;
• Le passage en mode émotionnel de la victime basé sur la peur du piratage mais heureusement elle est en ligne avec un sauveur (baisse de la prudence, confiance aveugle…) ;
• La création d’une ambiance téléphonique de centre d’appel ;
• Un excellent comédien qui joue le rôle de l’employé de banque ;
• Une excellente connaissance des procédures internes des banques dont la banque usurpée.

En France, ce type d’arnaque n’est pas encore médiatisé. En effet, les banques n’aiment pas tellement communiquer sur leurs failles car :

• Ce n’est pas bon pour leur image ;
• Elles sont ensuite obligées de dépenser beaucoup pour corriger ;
• Elles préfèrent investir lorsque la fraude commence à leur coûter plus cher que les mesures de sécurité à mettre en place (gestion du risque).

Ces nouvelles techniques de fraude marquent elles une réelle professionnalisation de cette forme de criminalité ? 

Denis Jacopini : Cette forme de criminalité existe depuis très longtemps et n’a pas attendu l’informatique et Internet pour se développer et se professionnaliser. Prétexter un gros risque et usurper l’identité des pompiers, des policiers, du plombier en utilisant leur costume, leur jargon, leur outils pour vous rassurer et reviennent ensuite pour mieux vous arnaquer ou vous cambrioler existe depuis que les escrocs existent.

Plus récemment, Gilbert Chikli Pionnier de l’arnaque au faux président, utilisait des techniques de manipulation psychologique et se servait de sa parfaite connaissance des procédures internes aux très grandes entreprises et sa maîtrise du langage juridique ou financier en fonction de l’identité de la personne usurpé pour obtenir de ses victimes des virements définitifs pour des sommes détournées de plusieurs dizaines de millions d’euros.

Chaque fois que des techniques d’arnaque ou d’escroquerie sont déjouées, décortiquées et dévoilées au grand jour, il y a des millions d’escrocs du dimanche vont analyser l’arnaque pour la reproduire et l’utiliser pour eux. Une fois que l’arnaque commence à être connue et de plus en plus de gens sont sensibilisés, les escrocs professionnels et utilisant leur génie à des fins illicites modifient leurs techniques pour toujours utiliser des moyens basés sur les ingrédients de base + des failles inexploitées utilisant ou non la technologie.

Comme les banques ont mis en place des mesures de sécurité utilisant l’internet, le SMS, le téléphone, les escrocs utilisent ces mêmes technologies en recherchant le moyen d’exploiter les failles qui ne seront jamais suffisamment protégées : Les failles du cerveau humain.

Quels sont les réflexes à avoir pour éviter tout problème de ce type ?

Denis Jacopini : Le seul moyen que nous avons pour nous protéger est d’une part la prudence ultime en plus de la sensibilisation. Selon moi, les médias devraient signaler ce type d’arnaque afin de sensibiliser le plus grand nombre. Cependant, cette solution ne plait pas aux banques qui considèrent inutile de répandre la peur car cela risquerait d’écorcher de manière irréversible la confiance que nous avons mis des années à avoir envers les moyens de paiement électronique sur Internet.

A notre niveau, si j’ai un conseil à vous donner pour éviter tout problème de ce type, si vous vous trouvez dans une situation anormale qui vous est présenté par un interlocuteur, contactez directement l’établissement à l’origine de l’appel à partir des coordonnées dont vous disposez, et allez jusqu’au bout de la vérification AVANT de réaliser des opérations financières irréversibles et partagez le plus possible les cas d’arnaques.

Quand on sait à quoi ressemble le loup, on ne le fait pas rentrer dans sa bergerie. Par contre, s’il met un nouveau costume, le piège fonctionnera tant que ce nouveau costume ne sera pas connu du plus grand nombre. (d’où l’utilité de mon livre CYBERARNAQUES 😉

https://www.amazon.fr/Cyberarnaques-Denis-JACOPINI/dp/2259264220

3 points à retenir pour vos élections par Vote électronique

L’expertise préalable par un expert indépendant.

La déclaration à la CNIL.

Un guide pour aider les entreprises face à #Facebook ou #Twitter

Facebook, Twitter, LinkedIn, Viadeo: les réseaux sociaux n’ont plus secret pour des millions de Français. Les entreprises, elles, ne sont pas forcément à l’aise avec la question. Ces outils, qui sont souvent à la limite des sphères privées et publiques, induisent de nouveaux risques pour les sociétés: se faire dénigrer sur la Toile, se faire usurper son identité, ou voir des salariés, par des conversations sur les réseaux professionnels livrer, sans s’en rendre compte, des informations confidentielles. Pour aider les chefs d’entreprise, le Medef vient d’éditer un guide sur le sujet, intitulé «réseaux sociaux et entreprises, quels enjeux juridiques». Le petit livret est très didactique puisque le premier chapitre consiste à expliquer… ce qu’est un réseau social.

«On s’est rendu compte que les entreprises avaient en la matière des pratiques très différentes. Certaines encouragent leurs salariés à communiquer sur les réseaux sociaux, mais sans fixer aucun cadre. Dans d’autres, la communication est beaucoup plus contrôlée. Certaines ont déjà mené des actions de sensibilisation auprès de leurs salariés, dont une avec une pièce de théâtre», explique-t-on au Medef, où un groupe de travail avait été constitué pour rédiger le guide. D’après une étude du cabinet Proskauer, la manière forte est aussi de mise. 29% des 120 grandes entreprises internationales interrogées ont bloqué l’accès à Twitter, Facebook et autres réseaux sur le lieu de travail, et 27% en contrôlent l’utilisation. A vrai dire, ce sont les PME qui sont le plus «en retard»: elles n’ont souvent pas le temps de se pencher sur la question, ni les moyens de monter des cellules de veille. Le guide est donc là pour les sensibiliser.

Sur ces réseaux, les règles de droit classique – code du travail, code civil, code de la propriété intellectuelle etc… – s’appliquent. Mais il existe également des dispositifs spécifiques. Et tout cela s’entremêle. Le poids d’une charte sur l’utilisation des réseaux sociaux par les salariés ne sera pas le même si cette charte est inscrite dans le règlement intérieur, ou pas. Les salariés ont le droit de parler sur les réseaux de l’organisation et du fonctionnement de l’entreprise, à condition que leurs propos ne soient pas injurieux. L’entreprise elle-même doit évidemment respecter les règles de droit à l’image lorsqu’elle publie sur ces réseaux. Bref, un guide n’est pas de trop dans ce maquis!

Lien pour télécharger le guide

Comment se protéger sur Internet ? Denis JACOPINI vous répond sur Sud Radio à l’occasion de la présentation de son livre « CYBERARNAQUES : S’informer pour mieux se protéger »

« Puisse cet ouvrage avoir de nombreux lecteurs ! Il ne devrait pas plaire aux arnaqueurs, car il est un réquisitoire contre leur perfidie et, sans aucun doute, une entrave à leur chiffre d’affaire. »
Général d’armée (2S) Watin- Augouard

[youtube https://www.youtube.com/watch?v=usg12zkRD9I?feature=oembed&w=610&h=343]

Commandez CYBERARNAQUES

Plutôt qu’un inventaire, Denis Jacopini, avec la collaboration de
Marie Nocenti, a choisi de vous faire partager le quotidien de
victimes d’Internet en se fondant sur des faits vécus, présentés
sous forme de saynètes qui vous feront vivre ces arnaques en
temps réel. Il donne ensuite de précieux conseils permettant de
s’en prémunir. Si vous êtes confronté un jour à des circonstances
similaires, vous aurez le réflexe de vous en protéger et en éviterez
les conséquences parfois dramatiques… et coûteuses.
Un livre indispensable pour « surfer » en toute tranquillité !

Denis Jacopini est expert judiciaire en informatique, diplômé en
cybercriminalité et en droit, sécurité de l’information et informatique
légale à l’université de droit et science politique de Montpellier.
Témoin depuis plus de vingt ans d’attaques de sites Internet, de
piratages d’ordinateurs, de dépouillements de comptes bancaires
et d’autres arnaques toujours plus soigneusement élaborées,
il apprend aux professionnels à se protéger des pirates informatiques.
Marie Nocenti est romancière.

Les 5 règles essentielles pour se protéger de la Cybercriminalité que les PME doivent absolument respecter

Des PME de plus en plus touchées par la cybercriminalité

Les PME n’ont pas toujours conscience d’être devenues les cibles de prédilection des pirates informatiques, et pourtant celles-ci concentrent désormais près de 80 % des attaques en France ! Un chiffre en constante augmentation qui démontre un changement de stratégie de la part des «hackers» et «crackers» qui ciblent les petites structures du fait de leur sécurité souvent défaillante.

Cette montée de la cybercriminalité concerne surtout le vol de données numériques (les fichiers clients, les coordonnées bancaires ou les contrats) qui sont ensuite revendues au plus offrant sur le marché noir. On note également des cas d’espionnages économiques, d’escroqueries financières ou de sabotages des sites de commerce en ligne.

Cibler une PME peut aussi être un moyen de s’attaquer à un plus gros poisson, dans le cadre d’une attaque de long terme. Puisqu’en infiltrant le réseau de cette petite structure, il devient plus facile de pénétrer par la suite dans celui d’un grand groupe dont elle est le sous-traitant.

Une problématique sérieuse d’autant que les entreprises victimes de cyberattaques font face à de sévères répercussions en termes de pertes économiques et d’impact sur l’image de marque. Ce risque peut néanmoins être réduit en appliquant quelques bonnes pratiques.

Les règles essentielles pour bien protéger votre entreprise

1. Sensibiliser les employés de l’entreprise

Il est recommandé d’organiser une campagne de sensibilisation pour informer les employés sur le danger bien réel de la cybercriminalité en insistant sur la nécessité de :

• choisir des mots de passe d’au moins 12 ou 14 caractères mélangeant chiffres et lettres,
• effectuer des sauvegardes fréquentes sur des supports externes ou une plateforme cloud,
• adopter un usage prudent des messageries électroniques et des systèmes de paiement.

2. Sécuriser l’ensemble des accès Internet

L’entreprise doit protéger tous les accès Internet (y compris les accès Wi-Fi) qui sont les principaux points d’entrée des pirates. De plus en plus de sociétés choisissent d’ailleurs d’installer un réseau privé virtuel (VPN) comprenant un seul et unique point d’échange sécurisé avec Internet.

3. Uniformiser les logiciels et les maintenir à jour

Pour faire face aux nouvelles techniques d’attaques, il faut régulièrement mettre à jour les logiciels installés sur votre parc, dont les dernières versions doivent toujours être téléchargées sur les sites officiels des éditeurs. Une démarche qui peut être simplifiée en uniformisant le parc informatique avec un système d’exploitation et un logiciel de protection unique pour l’ensemble des appareils.

4. Redoubler de vigilance avec les appareils mobiles

Il convient de faire preuve d’une vigilance particulière avec tous les appareils mobiles (smartphones et tablettes tactiles) qui sont généralement beaucoup moins sécurisés que les ordinateurs fixes, car chaque machine constitue une porte d’entrée potentielle pour les attaques informatiques.

5. Adopter une politique de sécurité informatique

L’entreprise doit enfin mettre en place une politique de sécurité informatique précisant clairement les responsabilités de chacun et les procédures prévues en cas d’attaque, afin que les équipes ne soient pas prises au dépourvu et puissent reprendre l’activité le plus rapidement possible… [Lire la suite]