Mise en conformité RGPD : ce que les PME doivent faire

Entré en vigueur depuis le 25 mai 2018, le Règlement Général sur la Protection des Données a déjà commencé à bouleverser l’organisation globale des entreprises, quelle qu’en soit leur taille. Apparues complexes, ces nouvelles règles finissent par cacher une démarche qui s’avère finalement simple en respectant quelques étapes. Denis JACOPINI, notre Expert RGPD nous en dit plus.

LeNetExpert : Où en sont aujourd’hui la plupart des PME vis à vis de la démarche de mise en conformité RGPD ? 

Denis JACOPINI : Avant de commencer l’animation d’une formation sur le RGPD, je demande toujours ce qu’on retenu les personnes ayant déjà assisté à des petits déjeuners, des déjeuners, dîners thématiques ou des Webinars sur ce thème.

Systématiquement elles me confient qu’elle n’ont retenu des informations sur leurs obligations, sur la complexité de la démarche mais pas sur la démarche concrète à réaliser.

Ce constat m’a permis de me conforter dans l’idée qu’il était important de construire le contenu de nos formations pour que les dirigeants de PME ou leurs futurs DPO (Data Protection Officer = en français Délégué à la Protection des Données) repartent à la fois en ayant compris l’intérêt de la démarche d’un tel règlement (et ils ont un intérêt direct) mais surtout avec de nombreux outils et des méthodes leur permettant une démarche de mise en conformité RGPD en toute autonomie.

LNE : Quelle sont les démarches que les PME devraient réaliser selon vous ?

Denis JACOPINI : Le 25 mai 2018, le règlement européen est entré en application. De nombreuses formalités auprès de la CNIL ont disparu mais en contrepartie, la responsabilité des organismes a été renforcée. Ils doivent désormais assurer une protection optimale des données à chaque instant et être en mesure de la démontrer en documentant leur conformité. Ces démarches doivent être réalisées avec méthode et étapes.

La CNIL a mis à disposition de tout les organismes concernés par ces démarches un guide : RGPD : se préparer en 6 étapes.

Dans ce guide ont peut y trouver 6 étapes indispensables pour initier la démarche de mise en conformité :

1/ DÉSIGNER UN PILOTE
Pour piloter la gouvernance des données personnelles de votre structure, vous aurez besoin d’un véritable chef d’orchestre qui exercera une mission d’information, de conseil et de contrôle en interne : le délégué à la protection des données. En attendant 2018, vous pouvez d’ores et déjà désigner un « correspondant informatique et libertés », qui vous donnera un temps d’avance et vous permettra d’organiser les actions à mener.

2/ CARTOGRAPHIER VOS TRAITEMENTS DE DONNÉES PERSONNELLES
Pour mesurer concrètement l’impact du règlement européen sur la protection des données que vous traitez, commencez par recenser de façon précise vos traitements de données personnelles. L’élaboration d’un registre des traitements vous permet de faire le point.

3/ PRIORISER LES ACTIONS À MENER
Sur la base de votre registre, identifiez les actions à mener pour vous conformer aux obligations actuelles et à venir. Priorisez ces actions au regard des risques que font peser vos traitements sur les droits et les libertés des personnes concernées. 

4/ GÉRER LES RISQUES
Si vous avez identifié des traitements de données personnelles susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes concernées, vous devrez mener, pour chacun de ces traitements, une analyse d’impact relative à la protection des données (AIPD).

5/ ORGANISER LES PROCESSUS INTERNES
Pour assurer un haut niveau de protection des données personnelles en permanence, mettez en place des procédures internes qui garantissent la prise en compte de la protection des données à tout moment, en prenant en compte l’ensemble des événements qui peuvent survenir au cours de la vie d’un traitement (ex : faille de sécurité, gestion des demande de rectification ou d’accès, modification des données collectées, changement de prestataire). 

6/ DOCUMENTER LA CONFORMITÉ
Pour prouver votre conformité au règlement, vous devez constituer et regrouper la documentation nécessaire. Les actions et documents réalisés à chaque étape doivent être réexaminés et actualisés régulièrement pour assurer une protection des données en continu.

LNE : Combien peut coûter à une PME ce type de démarche ?

Denis JACOPINI : Les établissements professionnels, associations et administrations doivent savoir qu’il n’y a aucune obligation de payer quoi que ce soit ou de faire appel à un professionnel. En effet, les organismes souhaitant entamer ou poursuivre leur démarche de mise en conformité peuvent réaliser eux même ces démarches. Le coût sera alors seulement lié au temps passé à réaliser cette démarche qui peut ne pas être négligeable selon la taille ou l’activité de votre structure. Cette démarche peut donc être gratuite pour un établissement qui aura choisi de se former de manière autodidacte ou ou remboursée en totalité si la formation que vous suivez est entièrement prise en charge par un organisme collecteur de la taxe formation.

En fait, le vrai prix dépend du contexte de départ, du volume d’éléments à améliorer et du temps consacré à la démarche de mise en conformité RGPD.

LNE : Quel type d’organisme accompagnez-vous dans leur démarche de mise en conformité ?

Denis JACOPINI : Tout organisme étant concerné, j’accompagne toute taille et tout type d’organisme. En fonction de la taille ou du secteur d’activité la démarche sera différente. Individuelle, de groupe, plus axée sur la formation, plus orientée sur l’accompagnement ou parfois encore, exclusivement basée sur la réalisation de la démarche de mise en conformité, nous nous adaptons à chaque organisme.

LNE : Comment bénéficier d’une démarche de mise en conformité gratuite ou pour avoir une formation prise en charge ?

La plupart des dirigeants savent aujourd’hui qu’ils peuvent demander la prise en charge de formations auprès de l’organisme auprès duquel ils versent leur taxe pour la formation professionnelle. Il vous suffit ensuite de nous formuler votre demande. Après quelques échanges, nous pouvons vous envoyer rapidement une proposition qu’il vous suffira de communiquer à votre organisme. Au terme de cette démarche administrative, un accompagnement personnalisé vous sera proposé afin de vous apprendre l’essentiel de la démarche et l’usage d’outils gratuits à mettre en oeuvre.

Comment se débarrasser d’un cryptovirus qui revient sans arrêt ?

Que ça soit à la suite des nombreux défaçages de sites Internet (piratage du site Internet et changement de la page d’accueil) dont ont été victimes des dizaines de milliers de sites Internet en 2015 ou à la suite de vagues de virus cryptant la quasi totalité des données de votre ordinateur et vous demandant de payer une rançon pour continuer à les utiliser, nous avons été surpris par les mesures prises par le ou les informaticiens.

En effet, à la suite d’échanges avec ces pompiers informatiques afin de vérifier les mesures prises à la suite de l’attaque informatique, nous avons eu, et leurs clients également, la désagréable surprise que leurs actions se restreignaient à nettoyer le ou les postes infectés et restaurer la dernière sauvegarde. En d’autres termes, excepté pour ceux profitant de cette situation pour constater que leurs systèmes de sauvegardes parfois lourdement facturés ne fonctionnait pas ou ne sauvegardait pas tout, la quasi totalité des techniciens contactés nous ont confirmé que le grand changement dans leurs procédure à la suite d’une telle attaque de pirate, consistait à renforcer la vérification des procédures de sauvegarde !!!

Vous l’aurez compris, la conséquence évidente que si l’on ne soigne pas la cause du mal et qu’on ne fait qu’atténuer les effets, le mal reviendra.

Sauf à que ça vous plaise de passer votre temps de restaurer des données à chaque nouvelle attaque, il est peut-être temps de changer quelque chose.

En cas d’attaque par ransomware (cryptovirus), nous vous recommandons de vous former ou d’utiliser un spécialiste pour suivre les étapes suivantes (l’ordre peut être adapté en fonction de vos priorités) :

1. Payer ? nous ne recommandons pas ça car non seulement vous favorisez le développement de ces actes en récompensant les cybercriminels, mais également rien ne vous assure que vous pourrez récupérer l’utilisation de vos fichiers et enfin, même si vous payez et que vous en avez pour votre argent, il est fort probable que le même pirate ou un autre vous piège à nouveau.
2. Constatez et recueillez les preuves ;
3. Conservez les preuves soit pour une analyse ultérieure en vue de la recherche d’un antidote, soit pour une analyse approfondie de la technique utilisée par le pirate informatique, soit pour pouvoir porter plainte (si vous avez une assurance ou pour vous protéger si votre système informatique victime contamine d’autres systèmes informatique , ce qui vous rendraient responsable) ;
4. Éventuellement, portez plainte ;
5. Nettoyez votre système informatique de toutes traces du virus ;
6. Pour éviter qu’elle se reproduise, analysez avec précision l’attaque informatique afin de trouver la faille utilisée pour pénétrer votre système informatique en vue de sa réparation;
7. Restaurez les données pour pouvoir remettre en route son système informatique le plus rapidement possible ;
8. Recherchez la faille ;
9. Corrigez la faille ;
10. Recherchez d’autres failles ;
11. Par prévention, corrigez d’autres failles et augmentez vos mesures de sécurité ;
12. Contactez éventuellement les autorités compétentes (Police, Gendarmerie, OCLCTIC, BETFI, votre CERT, le CERTA, PHAROS…) ;

Denis JACOPINI, Expert Informatique assermenté, est spécialisé en cybercriminalité et en protection des données personnelles pourra vous accompagner pour chacune de ces étapes.

Contactez-nous

Vous êtes une société d’informatique démunie devant une situation spécifique, il n’y a aucun inconvénient à vous faire aider par un spécialiste en cybercriminalité. Nous pouvons également vous accompagner.

Remarque :

Certaines de ces étapes peuvent être longues et nécessiteront un accès à distance de votre installation.

Comment détecter les arnaques sur Internet ? Denis JACOPINI vous en parle sur Europe 1 à l’occasion de la présentation de son livre « CYBERARNAQUES : S’informer pour mieux se protéger »

« Puisse cet ouvrage avoir de nombreux lecteurs ! Il ne devrait pas plaire aux arnaqueurs, car il est un réquisitoire contre leur perfidie et, sans aucun doute, une entrave à leur chiffre d’affaire. »
Général d’armée (2S) Watin- Augouard

[youtube https://www.youtube.com/watch?v=XgH6P7S4Lv0?feature=oembed&w=610&h=343]

Commandez CYBERARNAQUES

Plutôt qu’un inventaire, Denis Jacopini, avec la collaboration de
Marie Nocenti, a choisi de vous faire partager le quotidien de
victimes d’Internet en se fondant sur des faits vécus, présentés
sous forme de saynètes qui vous feront vivre ces arnaques en
temps réel. Il donne ensuite de précieux conseils permettant de
s’en prémunir. Si vous êtes confronté un jour à des circonstances
similaires, vous aurez le réflexe de vous en protéger et en éviterez
les conséquences parfois dramatiques… et coûteuses.
Un livre indispensable pour « surfer » en toute tranquillité !

Denis Jacopini est expert judiciaire en informatique, diplômé en
cybercriminalité et en droit, sécurité de l’information et informatique
légale à l’université de droit et science politique de Montpellier.
Témoin depuis plus de vingt ans d’attaques de sites Internet, de
piratages d’ordinateurs, de dépouillements de comptes bancaires
et d’autres arnaques toujours plus soigneusement élaborées,
il apprend aux professionnels à se protéger des pirates informatiques.
Marie Nocenti est romancière.

Comment créer sa charte Informatique ? (ANSSI)

1. L’OBJECTIF

La charte d’utilisation des moyens informatiques a pour finalité de contribuer à la préservation de la sécurité du système d’information de l’entité et fait de l’utilisateur un acteur essentiel à la réalisation de cet objectif…[lire la suite]

2. DES DÉFINITIONS CLAIRES ET PRÉCISES

Définir les termes clés du document permet de limiter leur interprétation juridique (administrateur, messagerie électronique, moyens d’authentification, système d’information, utilisateur, etc.)…[lire la suite]

3. L’OBJET ET SA PORTÉE

La charte doit rappeler ce sur quoi elle porte. Notamment, elle doit exprimer de manière explicite qu’elle a pour objet de préciser les droits et devoirs de l’utilisateur…[lire la suite]

4. LES USAGES

De nombreuses questions sont à envisager lorsque l’entité souhaite fixer les règles d’usage de son système d’information. L’entité met-elle à disposition une messagerie professionnelle ?…[lire la suite]

5. DÉFINIR LES DEVOIRS DE L’UTILISATEUR

Outre les obligations générales qu’il est bon de rappeler, les devoirs de l’utilisateur découlent directement des usages autorisés définis en amont…[lire la suite]

6. LES MESURES DE CONTRÔLE

Les mesures de contrôle que l’entité peut mettre en place peuvent être étendues, pourvu qu’elles aient fait l’objet d’une information préalable des utilisateurs (via la charte) et qu’elles soient conformes au droit en vigueur…[lire la suite]

7. LES SANCTIONS

La charte informatique étant un document de portée juridique, elle permettra de fonder les sanctions à l’encontre d’un utilisateur qui ne l’aurait pas respectée. Il est impératif de prévoir une échelle des sanctions disciplinaires…[lire la suite]

8. S’ASSURER DE L’OPPOSABILITÉ DE LA CHARTE

L’opposabilité de la charte nécessite également son acceptation par les utilisateurs (signature de la charte ou annexe au contrat de travail)…[lire la suite]
[Consultez le guide complet de l’ANSSI]

Mise en conformité RGPD. Attention aux arnaques…

Vous pensez avoir reçu une arnaque à la mise en conformité RGPD ?
Signalez ou demandez notre avis sur signalements@lenetexpert.fr

LNE : Combien coûte une mise en conformité pour une entreprise de petite taille ?

Denis JACOPINI : Il me paraît déjà important de préciser que si quelqu’un vous a dit qu’il est conforme RGPD, il y a de très forte chance que soit il n’ait rien compris à la démarche RGPD, soit que ce soit un menteur. En effet, un organisme n’est pas conforme RGPD ou non conforme RGPD. J’ajouterai même que personne n’est conforme RGPD. Par contre, on doit parler de  démarche de mise en conformité. Ainsi, soit un organisme a initié une démarche de mise en conformité, soit il n’a pas initié de démarche de mise en conformité.

Ensuite, les établissements professionnels, associations et administrations doivent savoir qu’il n’y a aucune obligation de payer quoi que ce soit ou de faire appel à un professionnel. En effet, les organismes souhaitant entamer ou poursuivre leur démarche de mise en conformité peuvent réaliser eux même ces démarches. Le coût sera alors seulement lié au temps passé à réaliser cette démarche qui peut ne pas être négligeable selon la taille ou l’activité de votre structure. Cette démarche peut donc être gratuite pour un établissement qui aura choisi de se former de manière autodidacte ou peut être remboursée en totalité si la formation que vous suivez est entièrement prise en charge par un organisme collecteur de la taxe formation.

En fait, le vrai prix dépend du contexte de départ, du volume d’éléments à améliorer et du temps consacré à la démarche de mise en conformité RGPD.

Quel type d’organisme accompagnez-vous dans leur démarche de mise en conformité ?

Tout organisme étant concerné, j’accompagne toute taille et tout type d’organisme. En fonction de la taille ou du secteur d’activité la démarche sera différente. Individuelle, de groupe, plus axée sur la formation, plus orientée sur l’accompagnement ou parfois encore, exclusivement basée sur la réalisation de la démarche de mise en conformité, nous nous adaptons à chaque organisme.

Comment bénéficier d’une démarche de mise en conformité gratuite ou pour avoir une formation prise en charge ?

La plupart des dirigeants savent aujourd’hui qu’ils peuvent demander la prise en charge de formations par l’organisme auprès duquel ils cotisent pour la taxe formation. Il suffit ensuite de nous formuler votre demande  pour que nous vous envoyons une proposition qu’il vous suffira de communiquer à votre organisme. Au terme de cette démarche administrative, un accompagnement personnalisé vous sera proposé afin de vous apprendre l’essentiel de la démarche et l’usage d’outils gratuits à mettre en oeuvre.

Récemment, la CNIL vient de mettre en place une nouvelle formation en ligne ouverte à tous (MOOC) intitulée « L’atelier RGPD ». Elle est proposée aux professionnels pour leur permettre de découvrir ou mieux appréhender le RGPD. Il vous permet ainsi d’initier une mise en conformité dans votre organisme et de vous aider à la sensibilisation des opérationnels.

Une attestation de suivi sera délivrée dans le Mooc à tout participant ayant parcouru la totalité des contenus et ayant répondu correctement à 80 % des questions par module…[lire la suite]

Notre avis sur le choix des logiciels de sécurité

Je tiens à préciser, en préambule, que les informations suivantes sont destinées à un public d’utilisateurs. Les professionnels de l’informatique ne devraient pas apprendre grand chose, enfin je l’espère !

Denis JACOPINI

Définition du Virus

Selon Wikipédia :

Un virus informatique est un automate autoréplicatif à la base non malveillant, mais aujourd’hui souvent additionné de code malveillant (donc classifié comme logiciel malveillant), conçu pour se propager à d’autres ordinateurs en s’insérant dans des logiciels légitimes, appelés « hôtes ». Il peut perturber plus ou moins gravement le fonctionnement de l’ordinateur infecté. Il peut se répandre par tout moyen d’échange de données numériques comme les réseaux informatiques et les cédéroms, les clefs USB, etc.

Selon Denis JACOPINI :

Un virus informatique ou plus généralement un programme informatique malveillant, faisant partir d’une catégorie de programmes appelé communément « malware » et par moi même un « méchangiciel », est un programme informatique volontairement développé pour nuire à un ou à des système informatiques ou industriels, à une personne ou à un groupe de personnes ciblés ou non. Il peut avoir 4 objectifs différents :

• Soutier de l’argent ;
• Montrer une supériorité technique ou à la suite d’un défit lancé face à une protection sois-disant invulnérable ;
• Se venger ou transmettre un message (comme par exemple les plusieurs dizaines de milliers de sites Internet défigurés à la suite des attentes de Charlie Hebdo en janvier 2015);
• Espionner un individu ou une organisation (pratique couramment utilisée dans les hautes sphères bancaires, industrielles, étatiques…).
• Un virus informatique ou plus généralement un programme informatique malveillant,l

Les moyens utilisés par les pirates

Autrefois

Notre expérience de plusieurs dizaines d’années en matière de virus et d’antivirus a d’abord fait ressortir que tout fichier qui a été infecté, lors qu’il est désinfecté ne revient pas dans sa position d’origine. Ce que j’appelle des cicatrices, sont la résultante de l’incapacité d’un antivirus de retirer la totalité d’un virus d’un fichier infecté, mais seulement le code qu’il connait, et ceci de manière incomplète. Le résultat final est un fichier désinfecté différent de l’original, sont le nettoyage incomplet peut engendrer des dysfonctionnement complètement imprévisibles. Sachez que cet inconvénient ne concerne désormais que les quelques rares cas où les fichiers indispensables au lancement de l’ordinateur ont vu leur contenu modifié par le virus, garantissant ainsi à la bête un hôte numérique.

C’était la bonne époque (pour les informaticiens). Un ordinateur infecté était lent, affichait intempestivement des publicités, nous redirigeait vers des sites internet indésirés, ou parfois rendaient l’ordinateur tellement inutilisable qu’il fallait l’emmener chez le réparateur pour le « formatter » et réinstaller Windows ». C’étai l’époque des virus qui touchaient essentiellement les PC et qui laissent une paix royale aux appareils sérigraphiés d’une Pomme croquée.

Aujourd’hui

Aujourd’hui, les objectifs des « méchangiciels » (logiciels malveillants) sont tout autres.

Soit le programme malveillant est parfaitement visible, c’est le cas des CryptoVirus qui ont pour unique objectif de prendre en otage vos données pour vous demander en échange une rançon, soit le programme de la fripouille est complètement invisible et son objectif n’est plus de se montrer, mais plutôt de se cacher, rester invisible et inconnu, pour vous espionner et dérober en silence la totalité des informations présentes sur votre système informatique (photos, courriers, factures, relevés de compte, informations bancaires, informations confidentielles et sensibles…), autant dire la totalité de votre vie pour certains.

Nous avons analysé les différents moyens utilisés par les pirates informatiques pour vous piéger. Pour rester simple, même si certains des moyens utilisés par ces hackers de génie sont purement basés sur des connaissances approfondies de la techniques et des failles de la technologie désormais omniprésente, le plus grand nombre des actions sont menées par des pirates informatique en herbe, vulgaires copieurs de techniques ayant malheureusement largement fait leurs preuves : l’ingénierie sociale (l’art de manipuler l’humain par ses failles comportementale qu’il est possible de découvrir en s’intéressant à la PNL).

Seule une petite poignée de génies dans le monde met au point des nouvelles techniques de piratage. Les millions d’autres adeptes des délits informatiques dispersés sur toute la planète numérique ne font qu’apprendre et mettre en pratique ce que des vidéos parfois très professionnelles détaillent sur Internet, utiliser tels quels des packs « spécial piratage » vendus sur le marché noir d’Internet « le Black Market » ou pour les moins mauvais, transformer ou « améliorer » ces pack, pour les personnaliser avec leur signature et leur code spécifique qui sera probablement temporairement indétectable.

Ainsi, pour vous piéger, les voleurs se sont spécialisés. Rares sont ceux qui vont utiliser plusieurs techniques mais vous, utilisateurs avertis, devez désormais vous protéger contre les attaques suivantes :

• Pièce jointe piégée
  C’est la méthode d’attaque la plus répandue.  Pour rester simple : au travers d’un e-mail bien présenté et bien tentant , le pirate va essayer de vous faire ouvrir une pièce jointe. Cette pièce jointe, pouvant contenir ou pas un virus aura comme fonction de modifier le système pour qu’un programme indésiré se lance à chaque démarrage. Une fois la modification effectuée, il est fort probable que le pirate informatique puisse facilement savoir ce que vous tapez au clavier et ce qui s’affiche sur votre écran. A ce stade, il ne sert plus à rien d’utiliser des mots de passe complexes qui respectent l’ensemble des précautions dictées par les organismes les plus surs, car même si votre mot de passe fait 50 caractères, le pirater peut en prendre connaissance quasiment en temps réel. Le programme ainsi déposé dans votre outil numérique s’appelle un « spyware » ou « espiongiciel » ou plus simplement logiciel espion.
• Site Internet piégé
  Cette autre méthode d’infection de votre ordinateur est basée soit :
  • par la contamination un site internet existant à forte fréquentation (technique du waterhole) ;
  • par la création d’un site internet contaminé proposant un contenu à fort pouvoir attractif (par exemple un soir de finale de football seulement accessible sur une chaîne cryptée mais accessible gratuitement sur ce site spécialement créé pour l’occasion par les pirates) ; La technique d’infection consiste à exploiter les failles de votre navigateur pour qu’il lance un programme malveillant, comme si vous aviez téléchargé cliqué et lancé le programme malveillant caché dans une pièce jointe d’e-mail.

• Lien dans un e-mail vers un site Internet Piégé
  C’est un mélange de « Pièce jointe piégée » et de « Site Internet piégé ». Vous recevez dans un e-mail un lien vous invitant à cliquant à cliquer. Ce lien vous emmène vers un site internet piégé.
• Clé USB piégée
  Très souvent utilisée pour piéger les P.D.G. ou les personnes à haute responsabilité, cette technique utilise le comportement pré-programmé identique à celui que l’on a lorsque nos mains découvrent un briquet : Elles ne peuvent s’empêcher à faire glisser la roulette ou à appuyer sur le percuteur (même si on sait déjà que le briquet fonctionne…). Pour la clé USB c’est pareil. Dès qu’on trouve une Clé USB, (les pirates informatiques les plus efficaces savent très bien ou la placer  et notre formation « Virus, arnaques et piratages informatiques, risques et solutions pour nos entreprises » vous en dira plus), on ne peut s’empêcher de la clisser dans un port USB pour voir ce qui s’y trouve.
  Sachez qu’une clé USB adaptée peut en une fraction de secondes vous injecter un logiciel espion, collecter un grand nombre d’informations dont l’ensemble des identifiants et mots de passe de vos navigateurs et envoyer le tout au pirate informatique par la liaison Internet du poste ainsi piégé.
• Intrusion par le réseau
  En passant par la porte principale (port réseau) ou par la fenêtre (en piratant la clé de votre connexion Wifi), le pirate informatique peut aisément s’introduire dans votre réseau, chercher les failles de vos équipements (y compris les objets connectés) et prendre leur contrôle. Le cas le plus fréquent est la prise de contrôle d’une TV, d’une caméra, mais aussi d’un ordinateur portable, de sa WebCam pour vous voir, de son microphone pour vous écouter, de son clavier pour savoir ce que vous tapez, de son écran pour savoir ce que vous voyez, des processus en mémoire pour savoir ce que vous lancez et même des fichiers pour savoir ce que vous avez fait par le passé.
• Intrusion par Internet
  Comme pour les intrusions par le réseau, détecter les failles de vos équipements Internet permettra d’accéder à distance à votre réseau. Nous ne détaillerons pas plus cette complexe technique mais sachez qu’elle existe.
• D’autres techniques
  Notre formation « Virus, arnaques et piratages informatiques, risques et solutions pour nos entreprises » vous explique de très nombreuses autres techniques utilisées par les pirates informatiques mais aussi, comment, avec des bonnes pratiques pour la plupart « gratuites », vous pouvez vous protéger des pirates informatiques.
  Contactez-nous pour en savoir plus.

Comment se protéger ?

Au delà des bonnes pratiques pour la plupart « gratuites », pour vous protéger des pirates informatiques que vous pouvez découvrir lors de notre formation « Virus, arnaques et piratages informatiques, risques et solutions pour nos entreprises » (Contactez-nous pour en savoir plus), vous pouvez aussi installer des logiciels de sécurité.

Nombreux sont ces logiciels qui vous promettent monts et merveilles mais sachez qu’aucun n’est fiable à 100%, aucun ne vous garantira une protection fiable et parfaite.

Même s’il existe encore des informaticiens qui ont tendances à vous rassurer à coups d' »Antivirus et de Firewall », sachez que ces techniques de protection sont complètement dépassées (10 ans en informatique est dinosoresque).

Certes, le logiciel de pack de sécurité que vous devez choisir doit comporter une fonction Antivirus et pare-feu (ou firewall), mais il doit aussi comporter des fonctions permettant de détecter à votre place les logiciels malveillants, les e-mails malveillants, les sites internet malveillants, surprotéger les sites internet bancaires, proposer des fonctions de bac à sables (sandbox).

Logiciel Gratuit ou Payant ?

Cette question revient souvent sur le tapis. Est-ce qu’un logiciel de sécurité gratuit est aussi efficace qu’un logiciel payant ?

J’imagine que vous connaissez déjà la réponse. Peut-on vous demander de travailler gratuitement et conjointement en retour les mêmes engagements et les mêmes responsabilités que si vous étiez payé pour les apporter ? C’est la même chose pour les autres et encore plus en matière de sécurité.

La grande différence entre un logiciel de sécurité et un autre réside dans l’équipe de développeurs, ingénieurs et techniciens qui s’y trouve rattachée. Développer un logiciel demande du temps mais détecter de nouveaux virus, chevaux de troie, spywares, botnets etc. en demande encore plus.

1. Détection
   Avant de pouvoir identifier un nouveau programme malveillant il faut d’abord en détecter les symptômes. Tous les programmes hostiles ne se déclenchent pas immédiatement. Certains programmes dormants se déclenchent seulement à partir d’une certaine date, d’autres à partir d’une certains action, d’autres encore à la demande du pirate qui aura une forme de télécommande pouvant piloter son jouer à distance. Avant de mettre au point une protection, vous l’aurez compris, au aura fallu au moins un ou plusieurs cas d’infection avérée.
2. Analyse
   Une fois les symptômes identifiés, il faudra ensuite dérouler la pelote pour comprendre le fonctionnement et remonter jusqu’à ce qui les ont causés. C’est à cette étape que les équipes d’ingénieurs feront toute la différence. C’est là que les équipes ayant des moeysn plus faibles peuvent faire la différence.
3. Protection
   Enfin, une fois le code venimeux détecté et identifié, une protection peut être mise en place sur l’ordinateur dont le fonctionnement et l’intégrité sont à protéger. Elle se fera sous forme de miseà jour, que certains éditeurs attendent avec impatience pour la décrypter et ainsi mettre à jour leur propre outil de sécurité informatique.

Voilà une des raisons pour lesquelles, un logiciel gratuit avec des moyens réduits, peut protéger un ordinateur avec brio. Les tests comparatifs prennent rarement en compte leur réactivité face à de nouvelles menaces. C’est face à de telles explosions de cybermenaces (1. Le nombre d’attaques cybercriminelles multiplié par 5 au cours du mois de février 2016 par rapport aux autres mois de l’année) que la consistance des équipes font la différence. Ainsi, il ne faut pas seulement un logiciel capable de détecter les nouvelles cybermenaces, il ne faut pas seulement non plus un logiciel de sécurité capable de protéger votre ordinateur contre les nouvelles cybermenaces, mais il faut désormais un système de sécurité capable de détecter et protéger un système informatique « le plus vite possible dès la découverte d’une nouvelle cybermenace ».

Notre conseil

J’ai été depuis 1996 directeur d’une société d’informatique. J’avais une équipe commerciale, de développeurs et de techniciens. Les années 2000 se sont traduites par la création de 4 postes rattachées au Web (développeur, graphiste et commerciaux) mais aussi par un doublement des postes de techniciens pour faire face à l’explosion du nombre de pannes informatiques causées par les virus (nous réparions parfois par semaine entre 20 et 50 ordinateurs). Pendant presque une vingtaine d’année nous avons pu voir arriver plusieurs milliers d’ordinateurs infectés et constater les antivirus présents sur ces ordinateurs mal en point.

Nous nous sommes servi de cette expérience pour identifier à la fois les antivirus que l’on retrouvaient dans la très grande majorité des cas (les antivirus et les logiciels de sécurité gratuits) et ceux qui, malgré qu’ils soient payants avaient mal protégé leur hôte. Cette analyse nous a aussi permis de constater que quasiment aucun ordinateur infecté n’était équipé de l’antivirus d’un certain éditeur.

Au risque de voir notre réputation entachée et afin de valider notre analyse, nous avons ensuite choisi de conseiller à tous ces utilisateurs piégés souhaitant mettre une solution de sécurité de proposer le logiciel de sécurité de cet éditeur pourtant discret.

Le système de sécurité que nous conseillons n’a pas été choisi parce qu’il est le meilleur, parce qu’il est le moins cher ou parce qu’il nous a permis d’engendrer le plus grand bénéfice (ce qui n’est d’ailleurs pas le cas), nous l’avons choisi par retour d’expérience et surtout nous l’avons choisi parce que parmi les milliers d’ordinateurs infectés par des virus passés entre nos mains, quasiment aucun n’avaient ce logiciel de sécurité.

Découvrez notre conseil sur www.protection-malwares.lenetexpert.fr

Le choix du logiciel vous appartient, mais le logiciel que vous devez choisir doit avoir toutes les fonctions permettant de compenser les failles du principal responsable si vous vous faites piéger. Ce responsable, vous l’aurez deviné, est placé entre la chaise et le clavier c’est vous. Vous devez désormais intégrer qu’ils ne s’agit plus de compter sur la technologie pour vous protéger; les logiciel de sécurité sont là au cas où vous auriez un doute, mais le mieux que vous puissiez faire pour vous protéger est de vous tenir informé des techniques utilisées par les pirates informatiques pour nous piéger.

Nous avons pu voir pendant ces trente dernière années l’imagination sans limite dont on fait preuves les pirates informatiques et on peu conclure sans risque que ce n’est pas une légende, on ne peut pas tout protéger et on ne peut que se retrouver donc dans une position où on n’a pas d’autre choix que de laisser un coup d’avance au pirates informatiques.

Tous les combien doit-on changer son mot de passe ?

• Vous constatez quelque chose d’anormal associé à votre compte ;
• Vous perdez ou lorsque vous est volé un appareil dans lequel ont été cochés l’enregistrement des mots de passe réseau ou dans les navigateurs ;
• Le fournisseur de service vous avertit s’être fait pirater son système informatique (encore faut-il qu’il l’ait équipé de sondes de détection d’intrusion et de détecteurs de fuites de données).

Les meilleurs conseils pour choisir vos mots de passe

Le 5 mai était la Journée Mondiale du Mot de Passe. Une idée marketing lancée par des éditeurs de solution de sécurité informatique. Pour marquer cette date d’une pierre blanche, plusieurs éditeurs ont analysé les habitudes des utilisateurs. Avast Software par exemple propose des recommandations pour créer et protéger des mots de passe indéchiffrables.

Créer des mots de passe fiables et les modifier fréquemment

Une actualité ponctuée d’histoires comme celles de la faille d’Ashley Madison, le site de rencontres extra-conjugales, démontre que les gens n’utilisent pas correctement leurs mots de passe. Les utilisateurs ne créent pas de codes assez fiables et il est certain qu’ils ne les changent pas régulièrement – même face au risque de voir leurs données sensibles et leurs potentielles frasques exposées, ou leur mariage brisé. Les utilisateurs créent des mots de passe facilement déchiffrables souvent par manque d’information ou par paresse, en témoigne la liste des codes les plus souvent utilisés compilée par les chercheurs.

Dans le top 10 :

1.       123456
2.       123456789
3.       password
4.       101
5.       12345678
6.       12345
7.       Password1
8.       qwerty
9.       1234
10.      111111

Cette liste comprend les mots de passe les plus simples, tels que 123456, password, et qwerty. D’autres se retrouvent plus bas dans la liste comme iloveyou (#19) ou trustno1 (#57) – une ironie pour un code figurant dans la liste des mots de passe les plus populaires. « Certains pensent qu’une liste de mots de passe seuls qui fuite en ligne n’est pas un problème – cependant, environ 50 % de ces mots de passe étaient associés à une adresse mail, déclare le chercheur d’Avast Michal Salat. Nous savons que les gens utilisent les mêmes combinaisons de mails et de mots de passe pour différents comptes. C’est pourquoi si un hacker connait le mot de passe de votre profil Ashley Madison, il connaitra également celui de votre Facebook, Amazon, eBay, etc. »

Comment créer des mots de passe fiables ?

Il n’y a pas de meilleure occasion que le 5 mai pour commencer à changer ses habitudes et protéger ses codes. Voici quelques conseils pour garder un mot de passe fiable et sécurisé. Je vais être honnete avec vous, si vous ne prenez pas 5 minutes pour réfléchir à votre sécurité et à la bonne gestion de vos précieux, passez votre chemin !

Domus tutissimum cuique refugium atque receptaculum sit

·         Créer des mots de passe longs et complexes. Il suffit de reprendre une phrase d’un livre que vous aimez. N’oubliez pas d’y placer quelques chiffres, majuscules et signes de ponctuations.
·         Utiliser un mot de passe différent pour chaque compte. Lors de les conférences, je fais sortir les clés des participants. Une clé pour chaque porte (voiture, boite aux lettres, maison, bureau…). En informatique, il faut la même régle pour ses mots de passe.
·         Ne pas partager ses mots de passe. C’est peut-être une proposition idiote au premier abord, mais combien de fois, lors d’ateliers que je propose dans les écoles, j’entends le public m’expliquer avoir partager avec son ami, son voisin… sa clé wifi !
·         Changer ses mots de passe régulièrement. Pour mon cas, il change tous les 35 jours. Je ne suis pas à l’abris du vol d’une base de données dans les boutiques, sites… que j’utilise.
·         Utiliser un gestionnaire de mot de passe pour mémoriser ses mots de passe ? Je suis totalement contre. Il en existe beaucoup. Mais faire confiance à un outil dont on ne maîtrise ni le code, ni la sécurité, me parait dangereux. Beaucoup d’utilisateurs y trouvent un confort. L’ensemble de vos mots de passe sont regroupés dans une solution informatique qui chiffre les données. Un seul mot de passe est requis pour utiliser n’importe quel compte sauvegardé. Bref, vaut mieux ne pas perdre ce précieux cerbére !

·         Verrouiller son matériel avec un mot de passe. Les systèmes existent. utilisez les. Je croise bien trop d’ordinateur s’ouvrant d’une simple pression sur la touche « Entrée ».

·         Activer la double-authentification ou l’authentification forte. Indispensable aide. Téléphone portable, sites Internet, Facebook, Twitter… La double authentification renforce l’accès à vos espaces. En cas de perte, vol, piratage de votre précieux. Sans la double authentification, impossible d’accèder à vos données.

De son côté TeamViewer rappele aussi qu’il est déconseillé de fournir des informations personnelles identifiables : Utiliser plusieurs mots de passe forts peut impliquer quelques difficultés de mémorisation. Aussi, afin de s’en souvenir plus facilement, beaucoup d’utilisateurs emploient en guise de mot de passe des noms et des dates qui ont une signification personnelle. Les cyber-délinquants peuvent cependant exploiter des informations accessibles publiquement et des comptes de réseaux sociaux pour trouver ces informations et s’en servir pour deviner les mots de passe… [Lire la suite]

D’autres bons conseils pour gérer vos mots de passe sur disponibles le site de l’ANSSI ou de la CNIL.

Escroqueries aux Faux Ordres de Virements Internationaux (FOVI)

Les escroqueries aux Faux Ordres de Virements Internationaux ont représenté un préjudice estimé à 550 millions d’euros depuis leur apparition début 2010. A ce jour, trois modes opératoires existent : le faux président, la prise à distance du poste de travail et le changement de relevé d’identité bancaire (RIB).

Depuis septembre 2016, il a été observé un changement du mode opératoire relatif au changement de RIB.

Pour rappel, ce mode opératoire est utilisé dans le cadre du paiement d’un loyer ou d’une facture en instance dans la société ciblée. Dans ces deux cas, un individu se présente comme un responsable du fournisseur et contacte par téléphone, puis par mail, le service comptabilité de l’entreprise ciblée en l’informant d’un changement de domiciliation bancaire.

Afin de rassurer l’entreprise ciblée et de transmettre les nouvelles coordonnées bancaires, les escrocs utilisent désormais le site Internet LA POSTE pour créer un compte leur permettant d’utiliser le service payant de la lettre recommandée en ligne. Créé sous une fausse identité, ce compte leur permet de régler des envois postaux et ainsi de faire parvenir à l’entreprise ciblée un courrier matérialisé, distribué par LA POSTE et remis en main propre au destinataire, contenant les coordonnées bancaires gérées par les escrocs.

Face à cette nouvelle menace, une vigilance accrue est de mise. Nous vous encourageons à diffuser ce message auprès des personnes concernées de votre société.

Flash Ingérence n°22 (mars 2016) relatif aux Faux Ordres de Virements Internationaux (FOVI)

…[lire la suite]

Conservez une preuve en vue d’une plainte à la CNIL 

Réaliser une capture d’écran depuis un ordinateur

Depuis un PC

Réalisez une capture d’écran à l’aide de la touche « impr écran » en haut à droit de votre clavier (PC). Puis ouvrez un document (traitement de texte, paint ou courrier électronique) pour coller cette copie d’écran puis l’enregistrer.

Depuis un Mac

Pressez simultanément les touches Cmd + MAJUSCULE + 4. Ouvrez un document word, ou un courrier électronique pour le coller votre copie d’écran dans le corps de votre document ou de votre message,  puis « enregistrer ».

Outre les outils et logiciels mis à disposition sur votre ordinateur, il existe des extensions gratuites (Screengrab, PageSaver…) à installer directement sur votre navigateur. Correctement paramétrées, celles-ci permettent de dater automatiquement une copie d’écran (page complète, visible ou sélection).

Réaliser une capture d’écran sur Smartphone ou tablette

A partir d’un terminal Android

Appuyez simultanément sur le bouton Marche/Veille et sur « Volume bas ». Maintenez ces boutons enfoncés jusqu’à ce que vous soyez notifié par un son ou une petite animation.

A partir d’un terminal Apple (iPhone ou iPad)

Appuyer simultanément et de manière brève sur le bouton « Menu » (ou bouton Home au milieu de l’iPhone) et le bouton « Verrouillage » (ou bouton Power au dessus de l’iPhone).

A partir d’un terminal Windows Phone

Appuyez simultanément sur les boutons « Marche /veille » et « Volume + » pour prendre une photo de votre écran.

A partir d’un smartphone Samsung

.

Pressez en même temps sur le bouton « Home » et le bouton « Power » puis maintenez ces boutons enfoncés jusqu’à la capture d’écran