Quelques conseils pratiques pour assurer la sécurité de vos systèmes informatiques

1. CHOISISSEZ AVEC SOIN VOS MOTS DE PASSE

Entrer un mot de passe permettant de s’authentifier pour accéder à son ordinateur, sa tablette ou son téléphone portable est un geste quotidien de sécurité.
Choisir un mot de passe difficile à déceler par une tierce personne ou par du piratage informatique est ainsi un rempart efficace pour protéger ses données personnelles contre les intrusions frauduleuses.

Comment bien choisir son mot de passe ?

Définissez des mots de passe composés d’au moins 12 caractères

• mélangeant majuscules, minuscules, chiffres et caractères spéciaux
• n’ayant aucun lien avec vous comme votre nom, date ou lieu de naissance
• ne formant pas de mots figurant dans le dictionnaire

Comment faire en pratique ?

Pour cela 2 méthodes simples :

• la méthode phonétique : « J’ai acheté 5 CD pour cent euros cet après-midi » : ght5CD%E7am
• la méthode des premières lettres : « Un tiens vaut mieux que deux tu l’auras » : 1tvmQ2tl’A

Quelques recommandations supplémentaires

• n’utilisez pas le même mot de passe pour tout, notamment pour accéder à votre banque en ligne et votre messagerie personnelle ou professionnelle
• méfiez-vous des logiciels qui vous proposent de stocker vos mots de passe

2. ENTRETENEZ RÉGULIÈREMENT VOS APPAREILS NUMÉRIQUES

En mettant à jour régulièrement les logiciels de vos appareils numériques

Dans chaque système d’exploitation (Android, MacOS, Linux, Windows,…), logiciel ou application, des vulnérabilités existent. Une fois découvertes, elles sont corrigées par les éditeurs qui proposent alors aux utilisateurs des mises à jour de sécurité.
Sachant que bon nombre d’utilisateurs ne procèdent pas à ces mises à jour, les attaquants exploitent ces vulnérabilités pour mener à bien leurs opérations longtemps encore après leur découverte ou même leur correction. Il donc nécessaire de procéder aux mises à jour régulières des logiciels.
Comment faire ?

• configurez vos logiciels pour que les mises à jour de sécurité s’installent automatiquement chaque fois que cela est possible
• ou téléchargez les correctifs de sécurité disponibles en utilisant pour cela exclusivement les sites Internet officiels des éditeurs
• en effectuant couramment des sauvegardes

3. Effectuer des sauvegardes régulières (quotidiennes ou hebdomadaires par exemple) permet de disposer de ses données après un dysfonctionnement ou une panne d’ordinateur

Comment faire ?

• utilisez des supports externes tels qu’un disque dur externe, un CD ou un DVD enregistrable pour enregistrer et sauvegarder vos données.

4. PRENEZ SOIN DE VOS INFORMATIONS PERSONNELLES ET DE VOTRE IDENTITÉ NUMÉRIQUE

Les données que vous laissez sur Internet vous échappent instantanément.
Des personnes malveillantes récoltent vos informations personnelles, le plus souvent frauduleusement et à votre insu, afin de déduire vos mots de passe, d’accéder à votre système informatique, voire d’usurper votre identité ou de conduire des activités d’espionnage industriel.

Une grande prudence est conseillée dans la diffusion de vos informations personnelles sur Internet.

Voici quelques recommandations générales :

• soyez vigilant vis-à-vis des formulaires que vous êtes amenés à remplir : ne transmettez que les informations strictement nécessaires et pensez à décocher les cases qui autoriseraient le site à conserver ou à partager vos données, par exemple avec des partenaires commerciaux
• ne donnez accès qu’à un minimum d’informations personnelles sur les réseaux sociaux
• utilisez plusieurs adresses électroniques dédiées à vos différentes activités sur Internet : une adresse réservée aux activités dites sérieuses (banques, recherches d’emploi, activité professionnelle…) et une adresse destinée aux autres services en ligne (forums, jeux concours…)

5. PROTÉGEZ VOS DONNÉES LORS DE VOS DÉPLACEMENTS

L’emploi d’ordinateurs portables, d’ordiphones (smartphones) ou de tablettes facilite le quotidien lors des déplacements professionnels. Pourtant, voyager avec ces appareils nomades peut mettre en péril des informations sensibles sur l’entreprise ou vous travaillez.

Précautions à prendre avant de partir en mission

• utilisez le matériel dédié à la mission prêté par votre entreprise (ordinateur, clefs USB, téléphone)
• sauvegardez aussi vos données sur un support amovible pour les retrouver en cas de perte
• si vous comptez profiter des trajets pour travailler, emportez un filtre de protection écran pour votre ordinateur
• apposez un signe distinctif (comme une pastille de couleur) sur vos appareils pour vous assurer qu’il n’y a pas eu d’échange pendant le transport

Pendant la mission

• gardez vos appareils, supports et fichiers avec vous, pendant votre voyage comme pendant votre séjour (ne les laissez pas dans un bureau ou un coffre d’hôtel)
• si vous êtes contraint de vous séparer de votre téléphone, retirez la carte SIM et la batterie
• en cas d’inspection ou de saisie de votre matériel par des autorités étrangères, informez votre organisation
• n’utilisez pas les équipements que l’on vous offre si vous ne pouvez pas les faire vérifier par un service de sécurité de confiance
• évitez de connecter vos équipements à des postes qui ne sont pas de confiance. Par exemple, si vous avez besoin d’échanger des documents lors d’une présentation

6. SÉCURISEZ VOTRE WI-FI

Si l’utilisation du Wi-Fi est une pratique attractive, elle permet, lorsque le point d’accès n’est pas sécurisé, à des personnes malintentionnées d’intercepter vos données et d’utiliser votre connexion Wi-Fi à votre insu pour réaliser des opérations malveillantes.
C’est pour cette raison que l’accès à Internet par un point d’accès Wi-Fi est à éviter dans le cadre de l’entreprise.

Le Wi-Fi, solution pratique et peu coûteuse, peut cependant être le seul moyen possible d’accéder à Internet, il convient dans ce cas de sécuriser l’accès en configurant votre box. Pour ce faire, n’hésitez pas à contacter l’assistance technique de votre fournisseur d’accès.
 

Quelques recommandations générales :

• modifiez le nom d’utilisateur et le mot de passe par défaut (généralement « admin » et « 0000 ») de votre page de configuration accessible via votre navigateur Internet
• vérifiez que votre box dispose du protocole de chiffrement WPA2 et activez-le. Sinon, utilisez la version précédente WPA-AES (ne jamais utiliser le chiffrement WEP cassable en quelques minutes)
• modifiez la clé de connexion par défaut avec une clé (mot de passe) de plus de 20 caractères de types différents (cf. Choisissez des mots de passe robustes)
• ne divulguez votre clé de connexion qu’à des tiers de confiance et changez-la régulièrement
• activez et configurez les fonctions pare-feu / routeur.
• désactivez le Wi-Fi de votre borne d’accès lorsqu’il n’est pas utilisé

7. SÉPAREZ VOS USAGES PERSONNELS DES USAGES PROFESSIONNELS

Monsieur Paul, directeur commercial, rapporte souvent du travail chez lui le soir. Sans qu’il s’en aperçoive son ordinateur personnel a été attaqué. Grâce aux informations qu’il contenait, l’attaquant a pu pénétrer le réseau interne de l’entreprise de Monsieur Paul. Des informations sensibles ont été volées puis revendues à la concurrence.

Les usages et les mesures de sécurité sont différents sur les équipements de communication (ordinateur, ordiphone,…) personnels et professionnels.
Dans ce contexte, il est recommandé de séparer vos usages personnels de vos usages professionnels :

• ne faites pas suivre vos messages électroniques professionnels sur des services de messagerie utilisés à des fins personnelles
• ne stockez pas de données professionnelles sur vos équipements communicants personnels

En savoir plus sur le AVEC ou BYOD :

Le AVEC (Apportez Votre Equipement personnel de Communication) ou BYOD (Bring Your Own Device) est une pratique qui consiste, pour les collaborateurs, à utiliser leurs équipements personnels (ordinateur, ordiphone, tablette) dans un contexte professionnel. Si cette solution est de plus en plus utilisée aujourd’hui, elle est cependant très problématique pour la sécurité des données personnelles et professionnelles (vol ou perte des appareils, intrusions, manque de contrôle sur l’utilisation des appareils par les collaborateurs, fuite de données lors du départ du collaborateur).
De la même façon, il faut éviter de connecter des supports amovibles personnels (clés USB, disques durs externes) aux ordinateurs de l’entreprise.

8. SOYEZ AUSSI PRUDENT AVEC VOTRE ORDIPHONE (SMARTPHONE) OU VOTRE TABLETTE QU’AVEC VOTRE ORDINATEUR

Alexandre possède un ordiphone. Lors de l’installation d’une application, il n’a pas désactivé l’accès de l’application à ses données personnelles. Désormais, les éditeurs peuvent accéder à tous les SMS présents sur son téléphone.
Bien que proposant des services innovants, les ordiphones (smartphones) sont aujourd’hui très peu sécurisés. Il est donc indispensable d’appliquer certaines règles élémentaires d’hygiène informatique :

• n’installez que les applications nécessaires et vérifiez à quelles données elles peuvent avoir accès avant de les télécharger (informations géographiques, contacts, appels téléphoniques…). Certaines applications demandent l’accès à des données qui ne sont pas nécessaires à leur fonctionnement : il faut éviter de les installer
• en plus du code PIN qui protège votre carte téléphonique, utilisez un schéma ou un mot de passe pour sécuriser l’accès à votre terminal et configurez votre téléphone pour qu’il se verrouille automatiquement
• effectuez des sauvegardes régulières de vos contenus sur un support externe pour pouvoir les retrouver en cas de panne de votre ordinateur ou ordiphone

9. SOYEZ PRUDENT LORSQUE VOUS OUVREZ VOS MESSAGES ÉLECTRONIQUES

Suite à la réception d’un courriel semblant provenir d’un de ses amis, Madame Michel a cliqué sur un lien présent dans le message. Ce lien était piégé. Sans que Madame Michel le sache, son ordinateur est désormais utilisé pour envoyer des courriels malveillants diffusant des images pédopornographiques.

Les courriels et leurs pièces jointes jouent souvent un rôle central dans la réalisation des attaques informatiques (courriels frauduleux, pièces jointes piégées,…).

Lorsque vous recevez des courriels, prenez les précautions suivantes :

• l’identité d’un expéditeur n’est en rien garantie : vérifiez la cohérence entre l’expéditeur présumé et le contenu du message
• n’ouvrez pas les pièces jointes provenant de destinataires inconnus ou dont le titre ou le format paraissent incohérents avec les fichiers que vous envoient habituellement vos contacts
• si un lien ou plusieurs figurent dans un courriel, vérifiez l’adresse du site en passant votre souris sur chaque lien avant de cliquer. L’adresse complète du site s’affichera alors dans la barre d’état en bas de la page ouverte. Si vous avez un doute sur l’adresse affichée, abstenez-vous de cliquer
• ne répondez jamais par courriel à une demande d’informations personnelles ou confidentielles (ex : code confidentiel et numéro de votre carte bancaire)
• n’ouvrez pas et ne relayez pas de messages de types chaînes de lettre, appels à la solidarité, alertes virales, etc.

10. SOYEZ VIGILANT LORS D’UN PAIEMENT SUR INTERNET

Lorsque vous réalisez des achats en ligne, vos coordonnées bancaires sont susceptibles d’être interceptées par des attaquants, directement sur votre ordinateur.

Ainsi, avant d’effectuer un paiement en ligne, il est nécessaire de procéder à des vérifications sur le site Internet :

• contrôlez la présence d’un cadenas dans la barre d’adresse ou en bas à droite de la fenêtre de votre navigateur Internet (remarque : ce cadenas n’est pas visible sur tous les navigateurs)
• assurez-vous que la mention « https:// » apparait au début de l’adresse du site Internet
• vérifiez l’exactitude de l’adresse du site Internet en prenant garde aux fautes d’orthographe par exemple

Si possible, lors d’un achat en ligne, privilégiez la méthode impliquant l’envoi d’un code de confirmation de la commande par SMS.
De manière générale, ne transmettez jamais le code confidentiel de votre carte bancaire.

11. TÉLÉCHARGEZ LES PROGRAMMES, LOGICIELS SUR LES SITES OFFICIELS DES ÉDITEURS

Si vous téléchargez du contenu numérique sur des sites Internet dont la confiance n’est pas assurée, vous prenez le risque d’enregistrer sur votre ordinateur des programmes ne pouvant être mis à jour, qui le plus souvent contiennent des virus ou des chevaux de Troie.Cela peut permettre à des personnes malveillantes de prendre le contrôle à distance de votre machine pour espionner les actions réalisées sur votre ordinateur, voler vos données personnelles, lancer des attaques, etc.

• C’est la raison pour laquelle il est vivement recommandé de télécharger vos programmes sur les sites officiels des éditeurs
• Enfin, désactivez l’ouverture automatique des documents téléchargés et lancez une analyse antivirus avant de les ouvrir, afin de vérifier qu’ils ne sont pas infectés par un quelconque virus ou spyware.

Réagissez à cet article

Vos données sont elles bien protégées ?

De grandes sociétés et administrations sont elles aussi victimes de piratage, la mairie de Detroit ou encore le N°2 de l’assurance santé aux Etats-Unis (Anthem) ainsi que Sony. On est en droit de s’interroger sur le coup financier engendré de telles attaques et vol des données, et également les problèmes graves que cela va déclencher.

Dans le cas de vols de données professionnelles, cela peut avoir de graves préjudices pour l’entreprise qui n’a pu protéger la confidentialité des données qui lui ont été confiées, et pour les clients quelles en seront les conséquences ? Un dossier médical confidentiel qui peut se retrouver sur Internet en accès libre ! L’utilisation des codes de la carte de crédit de milliers voire de millions de personnes, la liste des préjudices est longue et chacun comprend aisément les enjeux du hacking.

Pour les utilisateurs finaux que nous sommes, le problème de la confidentialité se pose également. En effet que faisons-nous pour rendre confidentielles les données que nous stockons ?

Origin Storage, spécialiste des solutions de stockage et de sécurisation des données, propose de nombreuses solutions dont une qui devrait attirer tant les particuliers que les professionnels étant appelés à se déplacer (commercial, avocat, banquier, ingénieur…). Origin Propose un disque dur USB crypté portant le nom de DataLocker, il se connecte à n’importe quel PC (Mac ou Windows) sans avoir besoin d’installer un quelconque programme au préalable.

Doté d’un clavier alphanumérique vous permettant d’entrer un mot de passe allant jusqu’à 32 caractères, il crypte toutes vos données à la volée sans ralentissement puisque c’est une opération matérielle et non logicielle. Le cryptage AES 256 bits rend impossible l’accès à vos données et le verrouillage automatique de votre DataLocker peut-être défini après une période de non utilisation.

Si votre DataLocker est volé ou perdu, vos données restent chiffrées et donc non utilisables !

Fonctionnalités du DataLocker 3 FE _◦ Cryptage matériel : 2 moteurs cryptographiques 256 bits AES (modes XTS et CBC)

◦ Cryptage, administration et authentification sur l’unité DataLocker

◦ Raccourci de mise à zéro pour un redéploiement sécurisé

◦ Mode Autodestruction pour la protection contre les attaques

◦ Le mode Verrouillage automatique éteint automatiquement l’appareil après un nombre défini de minutes

◦ Écran tactile breveté et interface conviviale

◦ Clavier rotatif pour empêcher l’analyse de surface et l’espionnage par dessus l’épaule

◦ Fonction Virtual CD pour le montage d’une image de disque ISO. Le lecteur virtuel se comporte comme un lecteur de CD/DVD physique.

◦ Supporte deux rôles : administrateur pour la définition des règles, du mode lecture seule et la récupération des données, et utilisateur pour l’accès aux données

◦ Règle de mot de passe (caractères non séquentiels, pas de répétitions, alphanumériques, minimum 7 caractères)

◦ Interface utilisateur multilingue (anglais, français, allemand et espagnol)

Contactez-nous

Après cette lecture, quel est votre avis ?
Cliquez et laissez-nous un commentaire…

Source : http://www.globalsecuritymag.fr/Vos-donnees-sont-elles-bien,20150413,52229.html

par Marc Jacob

L’entreprise victime ou coupable de Cyberattaques ?

Ces failles informatiques  d’origines internes ou externes doivent être appréhendées car elles s’accompagnent de sévères répercussions en termes de sécurité, de pertes économiques et de dégradation de l’image de l’entreprise. Or, la majorité d’entre elles ignorent qu’elles sont tenues, en application de l’article 34 de la Loi Informatique et Libertés, d’une obligation de moyen de mettre en œuvre les mesures conformes aux règles de l’art pour protéger leur système d’information. Au-delà du risque civil, des sanctions administratives et même pénales peuvent être prononcées allant jusqu’à 5 ans de prison et 300 000  € d’amende. Ainsi, de victime, l’entreprise qui n’aurait pas pris toutes les « précautions utiles » pour préserver « la sécurité des données » peut, indépendamment de son dommage, se voir reconnaître responsable, comme Orange qui a été sanctionnée par la CNIL à la suite d’une faille de sécurité concernant les données de près de 1,3 million de ses clients en août 2014.

LA PRÉVENTION POUR LIMITER LES RISQUES

La mise en place d’une #politique de cybersécurité adaptée aux besoins de l’entreprise comportant des mesures techniques de sécurité informatique ainsi qu’une #politique de gestion des incidents, dont la mise en œuvre est préconisée par la #norme ISO 27035, est indispensable. Il convient également de concevoir la sécurité des données dans les relations avec les prestataires, en insérant des clauses spécifiques dans les contrats qui les lient précisant clairement le partage de responsabilité entre les deux parties. Dans ce cadre, un état des lieux du patrimoine informationnel détenu par l’entreprise s’impose afin d’assurer aux données sensibles la sécurité adéquate, ainsi que la réalisation d’#audits techniques et de #correctifs réguliers du système d’information (typologie et quantité de données, protections, vulnérabilités, etc.).

Par ailleurs, une communication en interne sensibilisant les salariés sur ces risques est essentielle. Le recours à une #charte informatique précise annexée au règlement intérieur de l’entreprise fixant les droits, devoirs et obligations des salariés est un outil efficace. À cet égard, l’ANSSI vient de publier, en coopération avec la CGPME, un #guide de recommandation de bonnes pratiques simples qu’il convient de mettre en œuvre. Au-delà de ces mesures de prévention, il est conseillé de bien soigner les contrats d’assurance afin d’anticiper sur ces causes de pertes d’exploitation. Enfin, rappelons que depuis l’ordonnance du 24 août 2011, les opérateurs de communications électroniques sont tenus à une obligation de notification de la faille de sécurité, sans délai, à la CNIL et aux personnes concernées, prévue par l’article 34 bis de la Loi Informatique et Libertés, dont le défaut est sanctionné pénalement. À noter que le projet de réforme de règlement européen prévoit d’étendre cette obligation à toutes les entreprises, comme c’est le cas aux États-Unis.

CE QU’IL FAUT RETENIR

Le cyber-risque constitue une menace réelle que les entreprises doivent appréhender et anticiper pour ne pas voir, à titre de double peine,  leur responsabilité engagée.

Contactez-nous

Denis JACOPINI
Tel : 06 19 71 79 12
formateur n°93 84 03041 84

Contactez-nous

Cet article vous plait ? Partagez !
Un avis ? Laissez-nous un commentaire !

Source : http://www.itforbusiness.fr/services/juridique/item/6693-cyberattaques-l-entreprise-victime-ou-coupable

Comment sécuriser Firefox efficacement en quelques clics de souris ?

C’est sur le blog des Télécoms que j’ai vu pointer l’information concernant le réglage de plusieurs paramètres de Firefox afin de rendre le navigateur de la fondation Mozilla encore plus sécurisé. L’idée de ce paramétrage, empêcher par exemple Google de vous suivre à la trace ou de bloquer la géolocalisation qui pourrait être particulièrement big brotherienne.

Commençons par du simple. Il suffit de taper dans la barre de navigation de votre Firefox la commande about:config. Une alerte s’affiche, pas d’inquiétude, mais lisez là quand même. recherchez ensuite la ligne security.tls.version. Les valeurs affichées doivent osciller entre 1 et 3. Ensuite, recherchez la ligne geo.enabled pour annuler la géolocalisation. Passez le « true » en « False ». Pour que les sites que vous visitiez ne connaisse pas la dernière page que vous avez pu visiter, cherchez la ligne network.http.sendRefererHeader et mettre la valeur 1. Elle est naturellement placée à 2. Passez à False la ligne browser.safebrowsing.malware.enabled.

Ici, il ne s’agit pas d’autoriser les malwares dans Firefox, mais d’empêcher Google de vous tracer en bloquant les requêtes vers les serveurs de Google. Pour que Google cesse de vous profiler, cherchez la ligne browser.safebrowsing.provider.google.lists et effacez la valeur proposée.

Pour finir, vos données peuvent être encore accessibles en « offlire », en mode hors connexion. Cherchez les lignes offline-apps.allow_by_default et offline-apps.quota.warn. La première valeur est à passer en Fasle, la seconde valeur en 0.

Il ne vous reste plus qu’à tester votre navigateur via le site de la CNIL ou celui de l’Electronic Frontier Foundation.

Article original de Damien Bancal

Réagissez à cet article

Modifiez le mot de passe envoyé par votre banque pour accéder à votre espace sécurisé : Comment protéger ses finances des hackers – JDN 

Des administrateurs informatiques, qui auraient accès aux combinaisons secrètes générées par l’établissement financier, pourraient tout à fait les collecter pour s’en servir à des fins malveillantes, prévient Mauro Israël, du cabinet Fidens, spécialisé dans le pilotage des cyber-risques.

C’est une règle d’hygiène : tout mot de passe fourni par un tiers doit être modifié.

Le but est bien évidemment de réduire les intermédiaires pour être le seul détenteur de ses codes… [Lire la suite]

Réagissez à cet article

12 bons conseils pour la sécurité de votre entreprise

Depuis 2013, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) publie une liste de mesures non-contraignantes à l’attention des professionnels. Ce document donne des indications et conseils clairs pour sécuriser au mieux leurs installations informatiques.

Les recommandations servent également à faire comprendre à l’ensemble des collaborateurs l’importance d’adopter certains comportements. L’objectif de la mesure est que chacun comprenne les risques en termes de sécurité au sein de l’entreprise, mais également en situation de mobilité.

Les recommandations, au nombre de douze, regroupent des instructions classiques dans le domaine de la sécurité. L’ANSSI conseille ainsi de :

1. Choisir avec soin son mot de passe.
2. Mettre à jour régulièrement vos logiciels.
3. Bien connaître ses utilisateurs et ses prestataires.
4. Effectuer des sauvegardes régulières.
5. Sécuriser l’accès Wi-Fi de votre entreprise.
6. Être aussi prudent avec son smartphone ou sa tablette qu’avec son ordinateur.
7. Protéger ses données lors de ses déplacements.
8. Être prudent lors de l’utilisation de sa messagerie.
9. Télécharger ses programmes sur les sites officiels des éditeurs.
10. Être vigilant lors d’un paiement sur Internet.
11. Séparer les usages personnels des usages professionnels.
12. Prendre soin de ses informations personnelles, professionnelles et de son identité numérique.

Au-delà de ces conseils, l’ANSSI recommande de nommer un référent pour la sécurité informatique au sein de la société. Pour ce faire, il est possible de rédiger une charte dans laquelle des références au chiffrement de certaines informations sensibles figureront tout comme des recommandations quant à l’installation d’un antivirus ou d’un pare-feu.

Contactez-nous

Après cette lecture, quel est votre avis ?
Cliquez et laissez-nous un commentaire…

Source : http://pro.clubic.com/it-business/securite-et-donnees/actualite-760239-bonnes-pratiques-securite-anssi.html
http://www.ssi.gouv.fr/uploads/2015/03/guide_cgpme_bonnes_pratiques.pdf

Par Olivier Robillart

Vote électronique – Mode d’emploi

Les mesures de sécurité sont donc essentielles pour un succès des opérations de vote mais mettent en œuvre des mesures compliquées, comme par exemple l’utilisation de procédés cryptographiques pour le scellement et le chiffrement. Pour éclairer les responsables de traitement, les fournisseurs de solution de vote et les experts sur les sécurités que la CNIL estime indispensables, une recommandation a été adoptée en 2003 et mise à jour en 2010.

Pour être valide, un système de vote électronique doit strictement respecter les obligations légales applicables aux systèmes de vote électronique, énoncées notamment dans le décret n° 2007-602 et l’arrêté correspondant du 25 avril 2007 relatifs aux conditions et aux modalités de vote par voie électronique pour l’élection des délégués du personnel et des représentants du personnel au comité d’entreprise, et dans le décret n° 2011-595 du 26 mai 2011 relatif aux conditions et modalités de mise en œuvre du vote électronique par internet pour l’élection des représentants du personnel au sein des instances de représentation du personnel de la fonction publique de l’Etat.

Le système de vote électronique doit également respecter la délibération n°2010-371 du 21 octobre 2010 de la CNIL portant adoption d’une recommandation relative à la sécurité des systèmes de vote électronique qui précise notamment :

• Tout système de vote électronique doit faire l’objet d’une expertise indépendante.
• L’expertise doit couvrir l’intégralité du dispositif installé avant le scrutin (logiciel, serveur, etc.), l’utilisation du système de vote durant le scrutin et les étapes postérieures au vote (dépouillement, archivage, etc.).
• Le rapport d’expertise doit être remis au responsable de traitement. Les prestataires de solutions de vote électronique doivent, par ailleurs, transmettre à la CNIL les rapports d’expertise correspondants à la première version et aux évolutions substantielles de la solution de vote mise en place.

Source : http://www.cnil.fr/les-themes/vie-citoyenne/vote-electronique/
http://www.cnil.fr/documentation/deliberations/deliberation/delib/249/

L’employé comme pion dans la lutte pour la cyber-sécurité

L’employé en tant que hacker

Il ressort du rapport de la RAND intitulé « Markets for Cybercrime Tools and Stolen Data » que l’élément humain reste un point faible. Parfois, des actes de malveillance entrent en jeu, comme par exemple l’employé mécontent ou envieux qui disperse ou subtilise les informations confidentielles d’une entreprise. En janvier, Morgan Stanley licenciait un travailleur, qui avait prétendument subtilisé des données personnelles (en ce compris des numéros de compte) concernant près de 900 de ses clients et les avait brièvement publiées sur Internet. Néanmoins, le plus souvent, les cyber-incidents connus par une entreprise peuvent être imputés à des actes de négligence, ce dont les criminels tirent volontiers profit. Selon le rapport de la RAND, lesdites campagnes de « phishing » et « spear-phishing » augmenteront substantiellement et sont en même temps de plus en plus sophistiquées. Un exemple connu de spear-phishing concerne la fuite de données – entretemps devenue tristement célèbre – de la chaîne de magasins américaine Target. Les enquêteurs avaient découvert que les hackers avaient obtenu l’accès aux systèmes informatiques de Target au moyen d’un e-mail de spear-phishing adressé à un employé de l’un des fournisseurs externes de Target.

Les conséquences de tels actes de malveillance ou de négligence sont souvent tout sauf anecdotiques. Dans l’exemple de Target, le préjudice se chiffre actuellement à plus de 162 millions de dollars. L’attaque faite sur la marque et la perte de parts de marché constituent à cet égard des dommages importants. Les employeurs se sentent souvent impuissants dans ce genre de situation et observent les bras ballants la manière dont une cyber-attaque cause un préjudice grave à leur entreprise. Cependant, cela ne devrait pas être le cas. Ci-dessous, nous esquissons certains outils ou méthodes pouvant aider à mobiliser vos propres employés, en tant que frères d’armes privilégiés dans la lutte pour la cyber-sécurité.

L’employé en tant que pion contre les hackers

La prévention est et reste le meilleur remède. Les mesures suivantes – spécifiquement en lien avec les activités des employés – fonctionnent en tout cas comme mesures préventives :

– Des dispositifs de sécurité adéquats

Outre la sécurisation effective des données et de l’infrastructure de l’entreprise, il est recommandé de couler les règles d’entreprises concernant la protection des données, la sécurité des systèmes, l’utilisation d’appareils propres (ordinateurs portables, smartphones, tablettes) au sein du réseau de l’entreprise, le travail à distance et d’autres encore, dans ce que l’on appelle des « policies ».

– Des formations périodiques et adaptées pour les employés

Afin de pouvoir mettre en oeuvre les protocoles de sécurité mentionnés ci-dessus de manière effective, les employés au sein de l’entreprise devraient au moins être au courant de leur existence, ainsi que de leur contenu (ainsi que de toute modification), ce que l’on obtient en donnant des formations périodiques et adaptées. Un employé qui de manière durable est bien informé sur ses responsabilités en termes de cyber-sécurité au sein de l’entreprise, et qui sait comment traiter des informations sensibles et confidentielles concernant l’entreprise ou les personnes, constituera une cible moins évidente pour les hackers externes et sera plus attentif. Une telle approche met également l’accent sur l’intérêt que l’entreprise porte à la sécurité de ses propres systèmes et données.

– Un screening adéquat des nouveaux employés

Lors du recrutement et de la sélection de nouveaux employés, l’employeur scrute de plus en plus souvent le profil d’un candidat sur les réseaux sociaux (Facebook, Twitter etc.). Attention cependant : l’employeur peut consulter ces données, mais ne peut les traiter sans respecter les règles légales sur la protection des données personnelles. En outre, il existe également une interdiction de discrimination : le fait de vérifier des informations qui sont publiées par un candidat sur un réseau social ne peut mener à une sélection inéquitable.

– Prévoyez un dispositif d’alerte adéquat

Afin de révéler certains sujets, que l’employé ne peut faire remonter via la voie hiérarchique habituelle et pour lesquels il n’existe pas de procédure ou organe organisé par la loi, l’on peut prévoir un dispositif d’alerte (« whistleblowing ») au sein de l’entreprise. Ce dispositif doit être établi conformément à la législation sur la vie privée et aux recommandations de la Commission de la protection de la vie privée sur le sujet.

– Surveillance de l’utilisation d’Internet et des e-mails par les employés

Une autre mesure de prévention importante réside dans l’installation d’un système au moyen duquel le contrôle de l’utilisation d’Internet et des e-mails par les employés peut être effectué par l’employeur. En effet, une entreprise qui est victime d’une cyberattaque et suppose que l’un de ses membres du personnel en est responsable, ne peut pas rechercher l’employé coupable à la légère. L’employeur doit, à cet égard, respecter la législation sur la vie privée, en ce compris la CCT n° 81, qui met en balance le droit à la vie privée de l’employé et le droit de surveillance de l’employeur.

Un tel système de contrôle ne peut (i) être institué sans que l’employeur en ait informé le conseil d’entreprise et les employés individuellement sur tous les aspects du contrôle ; (ii) seulement être implémenté qu’en raison d’une finalité légitime, telle que par exemple la sécurité et le bon fonctionnement technique du système de réseau IT de l’entreprise. En outre, l’employeur ne peut effectuer qu’un contrôle graduel et progressif. En premier lieu, seuls les contrôles généralisés et anonymes (au moyen d’échantillons) sont autorisés sans que les données puissent être individualisées et donc sans pouvoir cibler un employé en particulier. Ce n’est que lorsque l’employeur suspecte qu’un abus par un employé a eu lieu qu’il peut procéder à l’individualisation des données personnelles afin de pouvoir rechercher le « coupable ».

Conclusion

En résumé, l’on peut dire qu’au vu des atteintes à la réputation et autres conséquences financières des cyber-incidents sur les entreprises, il vaut mieux prévenir que guérir. La mise en application des mesures décrites ci-dessus constitue en tout cas un pas dans la bonne direction.

Contactez-nous

Après cette lecture, quel est votre avis ?
Cliquez et laissez-nous un commentaire…

Source : http://datanews.levif.be/ict/actualite/l-employe-comme-pion-dans-la-lutte-pour-la-cyber-securite/article-opinion-373053.html

La sensibilisation des utilisateurs est la principale clé pour se protéger des pirates informatiques. Il n’est pas trop tard !

L’avis de Denis JACOPINI, Expert informatique assermenté spécialisé en cybercriminalité (arnaques, virus, phishing…) en Direct sur LCI le 23 mai 2016 dans l’émission « Ca nous Concerne » de Valérie Expert.

En mai 2016, Denis JACOPINI nous sensibilisait encore et déjà aux cyber risques.

[youtube https://www.youtube.com/watch?v=rcOpjxRPX7I?feature=oembed&w=610&h=343]

Nos formations / nos sentibilisations

Toutes nos vidéos

LE NET EXPERT ET DENIS JACOPINI FONT DÉSORMAIS PARTIE
DES PRESTATAIRES DE CONFIANCE DE LA PLATEFORME 

LE NET EXPERT

• ACCOMPAGNEMENT RGPD (ÉTAT DES LIEUX ⇒ MISE EN CONFORMITÉ)
  • ANALYSE DE VOTRE ACTIVITÉ
  • CARTOGRAPHIE DE VOS TRAITEMENTS DE DONNÉES
  • IDENTIFICATION DES RISQUES
  • ANALYSE DE RISQUE (PIA / DPIA)
  • MISE EN CONFORMITÉ RGPD de vos traitements
  • SUIVI de l’évolution de vos traitements
• FORMATIONS / SENSIBILISATION :
  • CYBERCRIMINALITÉ
  • PROTECTION DES DONNÉES PERSONNELLES
  • AU RGPD
  • À LA FONCTION DE DPO
• RECHERCHE DE PREUVES (outils Gendarmerie/Police)
  • ORDINATEURS (Photos / E-mails / Fichiers)
  • TÉLÉPHONES (récupération de Photos / SMS)
  • SYSTÈMES NUMÉRIQUES
• EXPERTISES & AUDITS (certifié ISO 27005)
  • TECHNIQUES | JUDICIAIRES | ADMINISTRATIVES
  • SÉCURITÉ INFORMATIQUE
  • SYSTÈMES DE VOTES ÉLECTRONIQUES

Besoin d’un Expert ? contactez-nousNotre Expert, Denis JACOPINI, est assermenté, spécialisé en Cybercriminalité, Recherche de preuves et en Protection des données personnelles. Diplômé en Cybercriminalité (Droit, Sécurité de l’information & Informatique légale), en Droit de l’Expertise Judiciaire et certifié en gestion des risques en Sécurité des Systèmes d’Information (ISO 27005), Denis JACOPINI est aussi formateur inscrit auprès de la DDRTEFP (Numéro formateur n°93 84 03041 84).

Réagissez à cet article

Petit manuel de #contre-espionnage informatique

– au réseau de votre organisme avec une liaison sécurisée, par exemple avec un client VPN mis en place par votre service informatique.

– sinon à une boîte de messagerie en ligne spécialement créée et dédiée au transfert de données chiffrées (via https) et en supprimant les informations de cette boite après lecture“.

Règle n°5 : emportez un filtre de protection écran pour votre ordinateur si vous comptez profiter des trajets pour travailler vos dossiers, afin dʼéviter que des curieux lisent vos documents par-dessus votre épaule.

Règle n°6 : mettez un signe distinctif sur vos appareils (comme une pastille de couleur), “cela vous permet de pouvoir surveiller votre matériel et de vous assurer qu’il n’y a pas eu d’échange, notamment pendant le transport. Pensez à mettre un signe également sur la housse“.