Comment faire face au risque de Cyberattaques sur les infrastructures énergétiques ?

Comment faire face au risque de Cyberattaques sur les infrastructures énergétiques ?


Cette étude analyse les risques de cyberattaques sur des infrastructures énergétiques européennes, ainsi que leurs potentielles conséquences, notamment sur les réseaux électriques. Elle offre également une approche comparative des mesures prises par différents pays d’Europe afin de protéger leur industrie et collaborer à l’échelle de l’Union européenne. 

La digitalisation de l’industrie énergétique permet de révolutionner les processus de production, de stockage, de transport et de consommation d’énergie. Nos infrastructures énergétiques, conçues il y a plusieurs décennies et prévues pour demeurer fonctionnelles pour de nombreuses années encore, côtoient désormais des équipements numériques avec lesquels elles interagissent au quotidien. Ces évolutions, qui sont aujourd’hui un gage de disponibilité, d’efficacité et de réactivité sur toute la chaîne de valeur énergétique, ouvrent pourtant la voie à un type de menace qui jusqu’en 2010 avait relativement épargné cette industrie : les cyberattaques.

Le nombre et la technicité des attaques ont augmenté après les dégâts causés par le virus Stuxnet au sein du complexe d’enrichissement nucléaire iranien de Natanz, bien que cette attaque demeure la plus sophistiquée observée à ce jour. Et s’il y a une réelle prise de conscience des enjeux dans le secteur énergétique, les risques persistent. Les politiques de transition énergétique et les efforts d’intégration des énergies renouvelables ne feront que renforcer cette tendance tant que la cybersécurité ne fait pas partie de la réflexion sur l’avenir du système énergétique.

La réglementation tente de s’adapter, notamment en France où les autorités collaborent étroitement avec les entreprises de l’énergie pour faire émerger un cadre réglementaire contraignant, et protéger les Opérateurs d’Importance Vitale (OIV). Cette démarche inspire également d’autres pays d’Europe, mais des mesures communes à toute l’Union européenne sont à prendre rapidement afin de garantir la sécurité de nos réseaux énergétiques, fortement interconnectés.

LIRE L’ETUDE (PDF) 

 

Original de l’article mis en page : Cyberattaques et systèmes énergétiques: faire face au risque | IFRI – Institut français des relations internationales


Notre métier : Vous aider à vous protéger des pirates informatiques (attaques, arnaques, cryptovirus…) et vous accompagner dans vos démarches de mise en conformité avec la réglement Européen relatif à la protection des données à caractère personnel (RGPD).

Denis JACOPINI est Expert Judiciaire en Informatique, Diplômé en Cybercriminalité (Droit, Sécurité de l’information & Informatique légale), Diplômé en Droit de l’Expertise Judiciaire et Risk Manager ISO 27005, spécialisé en Cybercriminalité et en protection des Données à Caractère Personnel.

Par des actions de formation, de sensibilisation ou d’audits dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles


 

Réagissez à cet article

 




La liste des zones interdites à la photographie aérienne est publique

La liste des zones interdites à la photographie aérienne est publique

Non, il n’est pas interdit de voler en France ni de prendre des photos aériennes. En revanche, la réglementation encadre strictement l’usage d’un drone et un nouvel arrêté publié le 27 janvier 2017 fixe la liste des zones interdites à la prise de vue aérienne.…[Lire la suite ]


Notre métier : Vous aider à vous protéger des pirates informatiques (attaques, arnaques, cryptovirus…) et vous assister dans vos démarches de mise en conformité avec la réglementation relative à la protection des données à caractère personnel.

Par des actions de formation, de sensibilisation ou d’audits dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)
Plus d’informations sur sur cette page.


Denis JACOPINI Expert en cybercriminalité et en protection des données personnelles réalise des audits sécurité, vous explique comment vous protéger des pirates informatiques et vous aide à vous mettre en conformité avec le règlement Européen sur la protection des données personnelles. Audits sécurité, animations de formations en cybercriminalité et accompagnement à la mise en conformité avec le règlement sur la protection des données personnelles.. (Autorisation de la Direction du travail de l'Emploi et de la Formation Professionnelle n°93 84 03041 84).

Réagissez à cet article




Apprenez à vous protéger contre le piratage de vos objets connectés du quotidien

Apprenez à vous protéger contre le piratage de vos objets connectés du quotidien 


Souhaitant mettre rapidement sur le marché leurs produits, les fabricants d’objets connectés ont eu tendance à négliger l’aspect sécurité, contribuant ainsi à la vulnérabilité de leurs utilisateurs face à de possibles attaques.

 

Atlantico : En septembre et octobre 2016, deux attaques DDOS ont été particulièrement marquantes : la première sur l’entreprise OVH et la deuxième sur DYN.  Dans les deux cas, ces attaques ont été rendues possibles par les objets connectés. Malgré l’ampleur de ces attaques, celles-ci sont à relativiser. Dans une récente étude réalisée pour le compte de l’entreprise HSB, on note que seulement 10% des utilisateurs ont été touchés par des problèmes de piratage.  Quels sont les risques du piratage des objets connectés ?

Quel peut être le préjudice porté aux particuliers et aux entreprises ? 

Yvon Moysan : Une attaque DDoS ou attaque par déni de service massive vise à rendre un serveur, un service ou une infrastructure indisponibles en surchargeant la bande passante du serveur, ou en accaparant ses ressources jusqu’à épuisement. Lors d’une attaque DDoS, une multitude de requêtes sont envoyées simultanément et depuis de multiples endroits. L’intensité de ce « tir croisé » rend le service instable, voire indisponible. Le risque d’être confronté à ce type d’attaque est important et surtout les tentatives sont nombreuses. Dans le cas de la société américaine Dyn que vous évoquez, celle-ci a été victime d’une attaque de plus d’un Téra-octet par seconde, ce qui pourrait concerner environ 10 millions d’objets connectés piratés. Ce niveau d’intensité est toutefois très rare.

Le préjudice subi dépend du type d’objets connectés piratés et du caractère sensible des données des particuliers. Si la majorité des objets connectés contiennent rarement des informations aussi sensibles que celles qui sont stockées sur un ordinateur, il en existe des sensibles comme les voitures connectées ou les fusils intelligents qui, piratés à distance, peuvent représenter un véritable danger, potentiellement mortel pour l’utilisateur. Et ce risque s’est d’ores et déjà avéré. Des experts en sécurité informatique ont ainsi réussi à prendre le contrôle à distance d’une Jeep Cherokee. Ils ont pu agir sur la vitesse, freinant et accélérant à leur guise, envoyant même la voiture dans le fossé alors que pour le fusil intelligent, d’autres experts ont réussi a bloqué le déclenchement du tir.

Le risque existe également pour des objets plus communs comme les applications de smart home. Des hackers ont ainsi réussi à bloquer la température de thermostats connectés à une température polaire ou saharienne. Plus préjudiciable, des hackers ont pris le contrôle de caméras de surveillance, récupéré les vidéos enregistrées, et au final les ont diffusées sur le Web. Un baby phone a également été la cible d’un hacker terrorisant un bébé et ses parents. En prenant le contrôle de l’appareil équipé d’une caméra, d’un micro et d’un haut-parleur, celui-ci s’est mis à hurler des insanités sur le nourrisson. Le risque peut surtout être généralisé si des hackers réussissent à prendre le contrôle des réseaux d’électricité ou de gaz sur un quartier par exemple. Il devient en effet possible de plonger toute une zone dans le noir ou, en fonction des données récoltées sur la consommation, de savoir quelles habitations sont occupées ou pas, en vue d’éventuels cambriolages.

Cela peut ensuite être contraignant pour la société qui a fabriqué et vendu les objets piratés car cela révèle la faiblesse du niveau de sécurité. Dans le cas de l’attaque de la société Dyn, une partie des objets connectés étaient ceux de la société chinoise Xiongmai, qui a dû les rappeler en urgence pour leur appliquer un correctif de sécurité. Cela peut aussi être problématique pour les clients de la société victimes de l’attaque. Dans le cas de Dyn, cela a eu pour conséquence de rendre inaccessible pendant une dizaine d’heures des sites comme Twitter, Ebay, Netflix, GitHub ou encore PayPal.

 

 

On peut aussi s’interroger sur certaines pratiques des constructeurs. Le fait de mettre un mot de passe commun à tous les appareils avant une première connexion a déjà été pointé du doigt. Quels autres dysfonctionnements peut-on mettre en avant ? Face à l’augmentation du nombre d’objets connectés, comment s’adaptent précisément les constructeurs en termes de sécurité ? 

Tout d’abord il est important de préciser que ce type d’attaques par déni de service n’a rien de nouveau : les cybercriminels utilisent depuis des années des armées d’ordinateurs piratés pour inonder de requêtes les sites ciblés et les rendre inaccessibles.

La nouveauté réside ici dans le nombre croissant des objets connectés qui accroit de manière exponentielle les possibilités d’attaques. Or la puissance d’une attaque dépend essentiellement du nombre de périphériques piratés, d’où l’intérêt de passer par les objets connectés. Il existe en effet plusieurs milliards d’objets connectés dans le monde contre quelques centaines de millions d’ordinateurs. Pour y faire face, il existe des solutions proposées par les hébergeurs pour protéger leurs serveurs des attaques. Ces solutions permettent, par exemple, d’analyser en temps réel et à haute vitesse tous les paquets, et si besoin d’aspirer le trafic entrant, voire de mitiger, c’est-à-dire repérer tous les paquets IP non légitimes, tout en laissant passer les paquets IP légitimes.

Du côté des constructeurs d’objets connectés, tous les thermostats, toutes les webcams ou les imprimantes ne présentent pas de faille de sécurité, mais il s’agit d’un point préoccupant car pour la plupart des fabricants, la sécurité n’a pas été la priorité dès le départ, ayant souvent été donnée à la rapidité de la mise à disposition du produit sur le marché pour répondre à un nouveau besoin. Il faudrait que des normes minimales de sécurité puissent être définies comme le cryptage des données échangées sur le réseau ou l’exigence de mot de passe sécurisé mêlant caractères spéciaux et chiffres pour l’accès à distance et l’interdiction de mots de passe comme « 123456 » particulièrement vulnérables. Dans cet esprit, la Online Trust Alliance, qui regroupe des éditeurs comme Microsoft, Symantec (Norton) et AVG, a rédigé un guide des bonnes pratiques pour minimiser les risques de piratage. Les constructeurs d’objets connectés peuvent, par ailleurs, faire évaluer leurs systèmes de cryptage par des sociétés spécialisées, pour identifier les éventuelles vulnérabilités.

Comment se prémunir du piratage d’objets connectés ? Quels sont les bons comportements à adopter ? Que faire en cas de doute ?

Du côté des particuliers, il apparait préférable de privilégier les produits de sociétés à la pointe des questions de sécurité informatique, comme Google ou Apple. Il faut également installer régulièrement les mises à jour de sécurité et les mises à jour logicielles, pour limiter le nombre de vulnérabilités connues qui pourraient être exploitées. Après, il faut changer le nom et le mot de passe par défaut de chaque objet connecté, car c’est la première chose qu’un hacker tentera d’attaquer pour en prendre le contrôle. Pour finir, il faut limiter l’accès d’un objet connecté aux autres objets connectés dans la maison. Par exemple, si vous avez une Smart TV, vous devrez restreindre l’accès à cette TV et autoriser seulement son accès à des ressources particulières du réseau. Par exemple, il n’est pas vraiment nécessaire que l’imprimante soit connectée à la télévision.


Notre métier : Vous aider à vous protéger des pirates informatiques (attaques, arnaques, cryptovirus…) et vous accompagner dans vos démarches de mise en conformité avec la réglement Européen relatif à la protection des données à caractère personnel (RGPD).

Denis JACOPINI est Expert Judiciaire en Informatique, Diplômé en Cybercriminalité (Droit, Sécurité de l’information & Informatique légale), Diplômé en Droit de l’Expertise Judiciaire et Risk Manager ISO 27005, spécialisé en Cybercriminalité et en protection des Données à Caractère Personnel.

Par des actions de formation, de sensibilisation ou d’audits dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles


 

Réagissez à cet article

Original de l’article mis en page : Attention danger : apprenez à vous protéger contre le piratage de vos objets connectés du quotidien | Atlantico.fr




Les caméras de surveillance de Washington paralysées par le Ransomware again

Les caméras de surveillance de Washington paralysées par le Ransomware again


Selon le Washington Post, un ransomware aurait paralysé pendant plusieurs jours le réseau de cameras de surveillance municipale de Washington DC. Une réinitialisation générale a permis de se débarrasser du malware.

 

Quelques jours avant l’investiture de Donald Trump, la ville de Washington a fait face à une mauvaise surprise : selon le Washington Post, les cameras de la ville ont été victimes d’un malware de type ransomware qui les a rendus inutilisables, empêchant l’enregistrement d’image pendant plusieurs jours.

L’attaque a été détectée lorsque la police a réalisé que quatre caméras municipales ne fonctionnaient pas correctement et a contacté son prestataire informatique afin de résoudre le problème. La société a immédiatement détecté la présence de deux types de ransomware au sein des cameras, ce qui les a poussés à lancer une évaluation globale portant sur l’ensemble des appareils connectés au réseau de la ville. Au total, 123 caméras sur les 187 connectées au réseau présentaient des signes d’infection.

Les services municipaux n’ont néanmoins pas eu besoin de sortir leur porte-monnaie bitcoin pour remettre le système en route : une simple réinitialisation des cameras utilisées a permis de se débarrasser du malware et de relancer le fonctionnement. Le CTO de la ville a précisé qu’aucune rançon n’avait été payée par la ville et que le malware n’avait pas cherché à accéder au reste du réseau interne de la ville de Washington DC.

Washington s’en sort donc plutôt bien, contrairement à cet hôtel de luxe qui s’est vu contraint de payer les opérateurs d’un ransomware qui avaient bloqué l’ensemble du système de clef magnétique utilisé pour accéder aux chambres. Mais peu d’informations ont été diffusées par la ville sur la nature exacte de l’attaque, du ransomware ou même de la demande de rançon.

 


Notre métier : Vous aider à vous protéger des pirates informatiques (attaques, arnaques, cryptovirus…) et vous accompagner dans vos démarches de mise en conformité avec la réglement Européen relatif à la protection des données à caractère personnel (RGPD).

Denis JACOPINI est Expert Judiciaire en Informatique, Diplômé en Cybercriminalité (Droit, Sécurité de l’information & Informatique légale), Diplômé en Droit de l’Expertise Judiciaire et Risk Manager ISO 27005, spécialisé en Cybercriminalité et en protection des Données à Caractère Personnel.

Par des actions de formation, de sensibilisation ou d’audits dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles


 

Réagissez à cet article

Original de l’article mis en page : Ransomware again : les caméras de surveillance de Washington paralysées – ZDNet




Des fabricants d’objets connectés poursuivis en raison de failles de sécurité

Des fabricants d’objets connectés poursuivis en raison de failles de sécurité


La Federal Trade commission (FTC) américaine poursuit un troisième fabricant, l’accusant de mettre en danger la sécurité des consommateurs et la confidentialité de leurs données, en raison de la sécurité inadéquate de son routeur et de ses webcams. Derrière cette troisième plainte, c’est tout un plan d’action qui se dévoile en vue de contraindre les fabricants à augmenter le niveau de conception des objets connectés, même ceux d’entrée de gamme.

 

Et de trois ! La plainte déposée en janvier 2017 contre D-Link fait partie du plan de campagne de la FTC visant à renforcer la confidentialité et la sécurité des consommateurs par rapport à ce que l’on appelle l’Internet des objets (IoT). La FTC avait déjà dégainé deux fois, contre ASUS (un fabricant de matériel informatique) et TRENDnet (un distributeur de caméras vidéo).

IoT ?

Internet se transforme progressivement en un réseau étendu, appelé « Internet des objets », reliant tous les objets devenus connectables. Cette évolution soulève de nombreuses questions concernant la croissance économique et les mutations sociales, mais aussi les libertés individuelles et la souveraineté nationale, auxquelles les décideurs publics devront au plus tôt répondre. (http://www.strategie.gouv.fr).

Selon certaines études, c’est pas moins de 80 milliards d’objets connectés qui interagiront d’ici 2020. De la montre intelligente au téléphone, en passant par le frigo connecté, la webcam, le système d’alarme, la domotique, les outils de Smartcities (parcmètres, etc.), … la liste est quasiment infinie.

À côté des enjeux sociétaux, il y en a un autre dont on parle de plus en plus souvent : la sécurité.

La sécurité, enjeu technique mais aussi juridique

Les objets connectés ont, pour certains, mauvaise réputation. Surtout lorsqu’il s’agit objets connectés ayant une petite valeur économique. On songe par exemple aux webcams connectées à l’Internet. On peut en acheter pour quelques dizaines d’euros. Le problème vient du fait qu’étant connectés à l’Internet, ces objets représentent un point de faiblesse s’ils ne sont pas bien conçus et protégés. Une personne malintentionnée peut utiliser cet appareil connecté pour pénétrer le réseau, et ensuite s’y balader.

Exemples : si le système d’alarme connecté à l’Internet est mal protégé au niveau du routeur, on pourrait le désactiver à distance et entrer dans la maison. Si la webcam est mal protégée, on pourrait observer à distance une personne, voire enregistrer ses conversations, et la faire chanter ensuite.

La Federal Trade Commission a déposé une plainte contre le fabricant de matériel de réseau informatique Taiwanais D-Link Corporation et sa filiale américaine, alléguant que les mesures de sécurité inadéquates prises par la société ont laissé ses routeurs sans fil et caméras Internet vulnérables aux attaques de pirates, mettant en danger la sécurité et la vie privée des consommateurs américains.

Dans une plainte déposée dans le district nord de la Californie, la FTC a accusé D-Link de ne pas prendre de mesures raisonnables pour sécuriser ses routeurs et ses caméras (de surveillance) connectées, créant un risque important pouvant aller jusqu’à l’interception des flux audio et vidéo. En clair : on vous observe en vidéo ou on vous écoute, sans que vous le sachiez !

Pour la FTC, « les pirates informatiques ciblent de plus en plus les routeurs et les caméras IP – et les conséquences pour les consommateurs peuvent inclure non seulement un problème de défectuosité du matériel, mais aussi un enjeu en termes de sécurité de l’individu et de sa vie privée. Lorsque les fabricants disent aux consommateurs que leur équipement est sécurisé, il est essentiel qu’ils prennent les mesures nécessaires pour s’assurer que ce soit vrai ».

La sécurité est-elle défaillante ?

La FTC relève notamment :

  • Défaut de sécurité lié aux identifiants de connexion intégrés en usine. Si tous les appareils d’un même modèle sortent de l’usine avec un paramétrage par défaut comprenant une identification et un mot de passe identiques, le risque est important que ces réglages d’usine ne soient pas modifiés par l’utilisateur, créant une voie d’entrée royale pour les pirates ;
  • Sécurité insuffisante par rapport aux attaques par injection de commande. Ces attaques permettent d’utiliser une page d’erreur pour poser une série de questions de type True/False afin de prendre le contrôle total de la base de données ou d’exécuter des commandes sur un système. On en a beaucoup parlé avec les consoles de jeu en 2016.
  • Mauvaise gestion d’un code d’accès privé utilisé pour se connecter au logiciel D-Link, ouvert sur un site public pendant six mois ;
  • Absence de sécurisation des informations d’identification des utilisateurs pour l’application mobile (texte clair et lisible sur les appareils mobiles) alors qu’il existe des logiciels disponibles pour sécuriser ces informations.

Selon la plainte, les pirates pourraient exploiter ces vulnérabilités en utilisant plusieurs méthodes relativement simples.

Par exemple, en utilisant un routeur compromis, un pirate pourrait obtenir les déclarations de revenus des consommateurs ou d’autres fichiers stockés sur le périphérique de stockage attaché du routeur. Ils pourraient rediriger un consommateur vers un site Web frauduleux ou utiliser le routeur pour attaquer d’autres périphériques sur le réseau local, tels que des ordinateurs, des smartphones, des caméras IP ou d’autres appareils connectés.

Autre exemple : la FTC allègue qu’en utilisant une caméra compromise, un pirate pourrait surveiller le lieu où se trouve le consommateur afin de les cibler en cas de vol ou d’autres crimes, ou de regarder et d’enregistrer leurs activités personnelles et leurs conversations.

 

Original de l’article mis en page : Internet des objets : des fabricants poursuivis en raison des failles de sécurité des objets connectés – Droit & Technologies


Notre métier : Vous aider à vous protéger des pirates informatiques (attaques, arnaques, cryptovirus…) et vous accompagner dans vos démarches de mise en conformité avec la réglement Européen relatif à la protection des données à caractère personnel (RGPD).

Denis JACOPINI est Expert Judiciaire en Informatique, Diplômé en Cybercriminalité (Droit, Sécurité de l’information & Informatique légale), Diplômé en Droit de l’Expertise Judiciaire et Risk Manager ISO 27005, spécialisé en Cybercriminalité et en protection des Données à Caractère Personnel.

Par des actions de formation, de sensibilisation ou d’audits dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles




 

Réagissez à cet article

Original de l’article mis en page : Internet des objets : des fabricants poursuivis en raison des failles de sécurité des objets connectés – Droit & Technologies




Comment s’authentifier sur Facebook avec une clé USB chiffrée ?

Comment s’authentifier sur Facebook avec une clé USB chiffrée ?


Facebook a annoncé le support des clés USB chiffrées, U2F, pour se connecter à son compte sur un ordinateur ou un smartphone.

Marre de retenir les mots de passe ? La réponse est peut-être dans les clés USB sécurisées, autrement appelées U2F (Universal Second Factor). Ce standard a été développé par Google, Yubico et NXP au sein de l’alliance FIDO (Fast Identity Online).

Facebook vient d’annoncer le support de ce type de support pour s’authentifier. Plutôt que de taper un code à caractères multiples en plus d’un mot de passe, l’abonné Facebook saisit ses identifiants et place la clé dans le port USB de son terminal. Il l’active en appuyant sur le bouton central lorsque le réseau social l’y invite.

Déverrouillage en NFC aussi

Disposant de la technologie NFC, il est possible de déverrouiller un compte Facebook sur un smartphone Android à condition d’utiliser les dernières versions de Chrome et Authentificator. Sur la partie PC, la technologie U2F est compatible avec Chrome et Opera. Firefox travaille sur le sujet.

 

Facebook-USB-NFC-368x600A noter que la clé USB U2F n’est pas une clé traditionnelle, mais bien une clé USB spécifique. Elle se trouve chez des e-commerçants pour une vingtaine d’euros. Cette clé n’est pas à usage unique, elle permet de s’authentifier sur plusieurs autres services comme les services Google (Gmail, etc), GitHub, BitBucket, FastMail, DashLane ou WordPress.

 


Notre métier : Vous aider à vous protéger des pirates informatiques (attaques, arnaques, cryptovirus…) et vous accompagner dans vos démarches de mise en conformité avec la réglement Européen relatif à la protection des données à caractère personnel (RGPD).

Denis JACOPINI est Expert Judiciaire en Informatique, Diplômé en Cybercriminalité (Droit, Sécurité de l’information & Informatique légale), Diplômé en Droit de l’Expertise Judiciaire et Risk Manager ISO 27005, spécialisé en Cybercriminalité et en protection des Données à Caractère Personnel.

Par des actions de formation, de sensibilisation ou d’audits dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles




 

Réagissez à cet article




La CyberMenace jihadiste grandit

La CyberMenace jihadiste grandit


Un cyber-attentat de grande ampleur, qui causerait des dégâts physiques ou même des morts, n’est peut-être pas encore à la portée des groupes jihadistes mais cela pourrait changer sous peu et il faut s’y préparer, estiment des spécialistes.

D’autant qu’ils sont déjà en mesure de trouver, auprès de hackers et de mercenaires de l’ère digitale prêts à tout pour de l’argent, les capacités techniques qui leur manquent pour utiliser internet pour autre chose que de la propagande et du recrutement, ajoutent-ils.
« Daech (acronyme arabe du groupe État islamique), Al Qaïda, tous les groupes terroristes aujourd’hui : nous avons le sentiment que pour l’instant, ils ne disposent pas des compétences offensives cyber », déclare à l’AFP Guillaume Poupard, directeur de l’Agence nationale des systèmes d’information (ANSSI).
« Ces compétences sont compliquées à acquérir, même si ce n’est pas l’arme atomique. Avec quelques dizaines de personnes, un petit peu d’argent mais pas tant que ça, il y a la possibilité d’être efficace. Ils pourraient monter en compétence. Nous avons le sentiment que pour l’instant ils n’y sont pas. Ils ont d’autres soucis, et c’est compliqué pour eux », ajoute-t-il à Lille, où il a participé mercredi au 9e Forum international de la Cybersécurité.

« Les voir à court terme mener des attaques informatiques avec des impacts majeurs, on n’y croit pas trop. En revanche ça pourrait changer très vite. Notre vraie crainte, et on y est peut-être déjà, c’est qu’ils utilisent les services de mercenaires. Ce sont des gens qui feraient tout et n’importe quoi pour de l’argent », ajoute-t-il.

 

 

– Inscrit dans l’ADN –
Ce recours par des groupes jihadistes à des sous-traitants informatiques pour monter des cyber-attentats (mise en panne de réseaux électriques, paralysie de réseaux de transport ou de systèmes bancaires, prise de contrôle de sites ou de médias officiels, sabotage à distance de sites industriels critiques, par exemple), le directeur d’Europol, Rob Wainwright, l’évoquait le 17 janvier à Davos.
« Même s’il leur manque des savoir-faire, ils peuvent aisément les acheter sur le darknet (partie d’internet cryptée et non référencée dans les moteurs de recherche classiques qui offre un plus grand degré d’anonymat à ses utilisateurs, ndlr), où le commerce d’instruments de cyber-criminalité est florissant », estimait-il lors d’une table ronde intitulée « Terrorisme à l’âge digital »…[lire la suite]


Notre métier : Vous aider à vous protéger des pirates informatiques (attaques, arnaques, cryptovirus…) et vous assister dans vos démarches de mise en conformité avec la réglementation relative à la protection des données à caractère personnel.

Par des actions de formation, de sensibilisation ou d’audits dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles


 

Réagissez à cet article




80 % des entreprises françaises ont constaté au moins une cyberattaque dans l’année

80 % des entreprises françaises ont constaté au moins une cyberattaque dans l’année


Dans son baromètre annuel fraîchement publié, le Club des experts de la sécurité de l’information et du numérique (CESIN) qui regroupe 280 responsables d’entreprises françaises, notamment celles du CAC 40, relate que 52% des responsables sécurité des systèmes d’information d’entreprises françaises (RSSI) avouent être optimistes dans la capacité de leur structure à faire obstacle aux risques d’intrusions en 2016, soit une hausse de 5% par rapport à 2015. Mais pourtant.

Le verre à moitié vide ou à moitié plein donc, puisque même si la moitié des RSSI se disent faire confiance à leur système de sécurité, la hausse perpétuelle des attaques ne fait aucun doute. D’après le CESIN, elles ont augmenté pour 46% des RSSI entre 2015 et 2016 alors que 53% s’estiment stables. Plus frappant encore, le pourcentage d’entreprises françaises recensant au moins une cyberattaque entrante dans leurs serveurs sur les 12 derniers mois, s’élève à 80%. Et c’est là que le bas blesse, il leur faut généralement en moyenne une à six heures pour détecter l’attaque et entre 3 jours et trois semaine pour corriger le système.

Des moyens de protection jugés peu efficaces

Afin d’assurer leur cyber-sécurité, 84% des entreprises vont acquérir de nouvelles solutions techniques, 55% jugeront utile d’augmenter leur budget et 44% vont accroître leur effectif, comme le rappelle La Tribune.

Si les pare-feux (91%), le VPN (89%) et le filtrage web (78%) sont jugées efficaces, les sondes de sécurité conseillées par l’Agence nationale de la sécurité des systèmes d’information (ANSSI) sont jugées peu efficace (54%) ainsi que le chiffrement de base de données (60%). A ce propos, Olivier Ligneul, vice président du CESIN martèle : « Les RSSI ne peuvent plus se contenter d’être les ultra-spécialistes qui gérent les règles des pare-feux des entreprises .»

En résumé, 40% des entreprises affirment que les solutions techniques proposées par le marché ne sont pas adaptées aux différents types de menaces.

Les types d’attaques 

Toujours selon le CESIN, l’attaque en tête de classement est de loin le « ransomware » soit la demande de rançon (80%), en seconde position arrive l’attaque par déni de service (40%), complète le podium les attaques virales générales (36%).

D’ailleurs à l’avenir et avec la transformation numérique, l’exposition aux attaques se multipliera notamment avec les mobiles, cloud et objets connectés, les entreprises devront ainsi revoir leur priorité en terme de protection et améliorer leur défense. Il y a du pain sur la planche.


Notre métier : Vous aider à vous protéger des pirates informatiques (attaques, arnaques, cryptovirus…) et vous assister dans vos démarches de mise en conformité avec la réglementation relative à la protection des données à caractère personnel.

Par des actions de formation, de sensibilisation ou d’audits dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles


 

Réagissez à cet article

Original de l’article mis en page : Baromètre CESIN : 80 % des entreprises françaises ont constaté au moins une cyberattaque dans l’année




Tendances en cybersécurité que les décideurs devraient connaître en 2017

Tendances en cybersécurité que les décideurs devraient connaître en 2017


Chaque violation de la sécurité peut coûter à une entreprise environ quatre millions de dollars, et dans 26% des cas, une fuite peut éliminer plus de 10.000 dossiers. Voici quelques-uns des coûts de données d’une violation de données, selon une enquête Cost of a Breach Data qui a analysé les pratiques de sécurité de 383 entreprises dans 12 pays à travers le monde.

L’éditeur de sécurité Check Point prévient que le nombre de cyber-menaces contre les réseaux atteignera des niveaux records cette année et souligne que le début de l’année est le meilleur moment pour se préparer à ce qui est à venir. Les responsables des sociétés de sécurité connaissent les risques, mais l’ensemble de l’entreprise doit être au courant, en particulier le chef de la direction.
Ce sont les tendances pour 2017 que les experts de cybersécurité marquent comme essentiel pour tout manager correctement :
  • Focus sur la gestion de la mobilité. Les appareils mobiles sont l’une des principales voies d’accès aux réseaux d’entreprise. 67% des professionnels de la sécurité informatique des entreprises du classement Global 2000 (selon l’étude Ponemon Institute) a reconnu que son organisation avait subi des vols de données qui avaient son origine dans les appareils mobiles des employés. Et il est qu’un smartphone infecté peut conduire à une perte d’argent à peut près de 9.000 euros pour une entreprise.

 

  • Demandez-vous: suis-je prêt à battre un ransomware? Selon le dernier Rapport de vérification de sécurité mené par Check Point, les entreprises ont téléchargé 971 fois des logiciels malveillants sur le temps, neuf fois plus que l’an dernier. Les portes d’entrée: le spam, les e-mails de phishing et les sites Web. Les cybercriminels savent passer les barrières standards modifiant légèrement le malware existant. Plus précisément, le ransomware peut être introduit dans les entreprises par le biais de macros incluses dans les documents joints grâce à des très petites lignes de code qui n’attirent pas l’attention, et qu’une fois elles sont activés elles téléchargent des logiciels malveillants. Seulement le ransomware Locky a été responsable de 6% de toutes les attaques de logiciels malveillants en septembre dernier, et plus de 40.000 entreprises ont été touchées par elle.
  • Sécurité cloud. Dans l’écosystème technologique des entreprises, des environnements de cloud sont de plus en plus importants. Selon une étude réalisée par le fournisseur de cloud Rackspace, 43% des propriétés des organisations informatiques sont dans le nuage. Il est donc essentiel de les protéger, car l’un des principaux défis auxquels font face les entreprises est la sécurité lors de la migration vers le nuage.
  • Toujours éviter. Lorsque des menaces sont détectées, une fois qu’ils ont atteint le réseau, il peut être déjà trop tard. Donc, les experts recommandent pour prévenir d’arrêter les infections avant qu’ils obtiennent grâce à des techniques de sandboxing avancés, qui sont capables de créer une assurance d’écosystème virtuel extérieur de l’entreprise simulant un point final, de contrôler le trafic et de bloquer les fichiers infectés avant qu’ils entrent dans le réseau. Il est particulièrement important, en ce qui concerne la protection des appareils intelligents. Un exemple de leur potentiel est le refus récent de service (DDoS).
  • Sensibilisation, clé. 2016 a été joué par un grand nombre de cyber-attaques dont l’objectif était le vol de données. Et beaucoup d’entre elles ont été compilées par l’ingénierie sociale et lance-phishing. Cela peut devenir très sophistiqué et tromper les employés à divulguer leurs informations d’identification et des données personnelles. Une fois qu’ils ont vos mots de passe, les cybercriminels peuvent accéder à la plupart des réseaux de l’entreprise sans laisser de trace. Le problème est souvent le manque de connaissance ouverte et la sensibilisation des utilisateurs, indispensable pour éviter les cybercriminels pour entrer dans cette façon.

 

Original de l’article mis en page : Voici les tendances de la cybersécurité que les PDG devraient connaître en 2017 – Globb Security FR

 


Notre métier : Vous aider à vous protéger des pirates informatiques (attaques, arnaques, cryptovirus…) et vous assister dans vos démarches de mise en conformité avec la réglementation relative à la protection des données à caractère personnel.

Par des actions de formation, de sensibilisation ou d’audits dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles


 

Réagissez à cet article

Original de l’article mis en page : Voici les tendances de la cybersécurité que les PDG devraient connaître en 2017 – Globb Security FR




Forum International de la Cybersécurité 24 et 25 janvier 2017 à LILLE

Lille FIC 2017

Forum International de la Cybersécurité 24 et 25 janvier 2017 à LILLE


Lille grand palais accueille à partir de ce mardi 24 janvier à 09:30 la 9ième édition du Forum International de la Cybersécurité.

Favoriser l’innovation

Résolument tournée vers l’innovation, les écoles Epitech ont développé au sein de chaque campus des Innovation, des espaces dédiés aux expérimentations, au prototypage et au développement de projet innovants. Ces Hub reposent sur une méthodologie collaborative et transversale, reposant sur 5 domaines de compétences permettant de balayer le champ des innovations dont celui de la sécurité.

Ainsi, situé au sein de l’Espace Carrières, réunissant des écoles spécialisées, des étudiants d’Epitech et des encadrants pédagogiques proposeront des démonstrations d’attaques/défense lors des Hacking Trucks du Forum.

 

 

Les démonstrations proposées par l’Epitech :

  • Démonstration de la facilité d’interception et d’altération des communications sur le(s) réseau(x) GSM et/ou Wi-Fi, par l’interception de SMS, de conversations vocales (pour le GSM) et autres communications quelconques (pour le Wi-Fi),
  • Démonstration Ransomware : Démonstration du mode opératoire et des conséquences d’une campagne d’attaque par rançongiciel,
  • Hacking Live : Démonstration d’une attaque en live d’une plateforme CMS Web, de la découverte de la faille Web jusqu’à la prise de contrôle du serveur l’hébergeant,
  • Poisontap : À l’aide d’un matériel peu coûteux, il suffira de quelques minutes à nos étudiants démonstrateurs pour siphonner les communications d’un ordinateur, même verrouillé.

    Ces démonstrations ont pour but de sensibiliser tout visiteur sur la protection des données, notamment avec le développement des usages et des nouvelles technologies afin que les consommateurs soient de plus en plus soucieux de leur sécurité tout en gardant un confort d’utilisation. Le FIC est un événement gratuit dont l’inscription est soumise à la validation des organisateurs…[lire la suite]


Notre métier : Vous aider à vous protéger des pirates informatiques (attaques, arnaques, cryptovirus…) et vous assister dans vos démarches de mise en conformité avec la réglementation relative à la protection des données à caractère personnel.

Par des actions de formation, de sensibilisation ou d’audits dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles




 

Réagissez à cet article

Original de l’article mis en page : Lille FIC 2017