Six conseils pour éviter d’être victimes de phishing

Six conseils pour éviter d’être victimes de phishing


Le phishing (e-mails frauduleux se faisant passer pour des marques de commerce ou de service avec l’intention de tromper le destinataire) est l’une des attaques les plus anciennes, mais aussi des plus rentable pour les cybercriminels.

 

 

 

Sur la base de « plus des gens le reçoivent, meilleure est la probabilité que quelqu’un tombe dans le piège » ces campagnes frauduleuses dont le seul but est le vol de données personnelles et financières, ont beaucoup évolué dans les dernières années. Et, en plus, au cours du premier trimestre de 2016 les cas de spam avec des pièces jointes malveillantes, ils n’ont pas cessé d’augmenter.

Il y a quelques années, il était facile de distinguer ces e-mails entrant dans la boîte de réception car ils avaient des fautes d’orthographe, des conceptions plutôt anciens… qui nous fassent au moins nous méfier. D’autres viennent directement comme spam, ou comme un courrier indésirable. Mais maintenant, ils ont évolué. Bon nombre de ces campagnes utilisent des courriels parfaitement conçus: avec le logo, les couleurs et l’apparence de la marque qui sont en train de supplanter.

 

Mais le fait que, heureusement, ils ne donnent pas des coups au dictionnaire, signifie que ces emails sont beaucoup plus difficiles à détecter comme frauduleux. Cependant, il y a un certain nombre de précautions que nous pouvons prendre pour éviter de devenir une victime de ces e-mails malveillants. Check Point propose ces conseils que nous devons mettre en pratique pour les détecter au début, ou presque:

  1. Surveillez les e-mails qui viennent de marques célèbres. Le site OpenPhish rassemble les marques les plus utilisées par les cybercriminels pour mener à bien leurs attaques de phishing. Parmi eux, Apple, Google et Paypal figurent dans le top dix des plus touchés par ce type de campagne. Les raisons sont évidentes: ils sont extrêmement populaires, il est donc plus susceptible de réussir à usurper l’identité des victimes potentielles.
  2. Vérifiez l’expéditeur du message. Les emails officiels sont toujours envoyés avec le domaine de la marque, par exemple @paypal.com. Les cybercriminels peuvent mettre le nom de marque, mais ils ne peuvent jamais utiliser le domaine réel.
  3. Fautes d’orthographe. Nous venons de dire que les cybercriminelles ont beaucoup amélioré en ce sens mais ils restent toujours quelques erreurs de basse, souvent en raison de mauvaises traductions.
  4. Hyperliens. Les liens qui sont envoyés par le biais de ces e-mails sont clairement frauduleux. Une fois que vous y accédez normalement ils conduisent à des formes où ils volent les données. Donc, lorsque vous accédez à un site Web qui n’a pas le protocole HTTPS, vous devenez une victime.
  5. « Cher utilisateur ». Il faut tenir en compte que les entreprises traitent leurs clients par leur nom et prénom mais les cybercriminels envoient des e-mails en masse, impersonnelles.
  6. Urgence. Dans de nombreux e-mails de ce type, il y a généralement un sentiment d’urgence pour donner nos données personnelles: le compte est fermé, vous perdrez de l’argent, votre colis sera envoyé sont des exemples.
  7. Attention aux pièces jointes. Des entreprises n’envoient jamais des pièces jointes dans leurs e-mails. Évitez d’ouvrir ces documents, sauf si vous êtes très sûr de l’expéditeur.

Notre métier : Sensibiliser les décideurs et les utilisateurs aux risques liés à la Cybercriminalité et à la Protection des Données Personnelles (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84).

Denis JACOPINI anime dans toute le France et à l’étranger des conférences, des tables rondes et des formations pour sensibiliser les décideurs et les utilisateurs aux risques liés à la Cybercriminalité et à la protection de leurs données personnelles (Mise en Place d’un Correspondant Informatique et Libertés (CIL) dans votre établissement.

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles


 

Réagissez à cet article

Original de l’article mis en page : Six conseils pour éviter d’être victimes de phishing – Globb Security FR




Victime de piratage ? Les bons réflexes à avoir

Notre métier en RGPD et en CYBER : Auditer, Expertiser, Accompagner, Former et Informer
EXPERTISES VOTES ELECTRONIQUES : Expertise de systèmes de vote électronique et d'élections par Internet MISE EN CONFORMITÉ RGPD & CYBER : Accompagnement de votre établissement à la démarche de mise en conformité avec le RGPD et en CYBERSÉCURITÉ Expertise de systèmes de vote électronique - votes par Internet FORMATIONS & SEMINAIRES RGPD & CYBER ARNAQUES & PIRATAGES : Restez informé sur les techniques utilisées par les pirates informatiques

Victime de piratage ? Les bons

réflexes à avoir


Sur Internet, nul n’est à l’abri d’une action malveillante ou de messages non sollicités. Les éléments suivants vous aideront à avoir les bons réflexes.

VOUS ETES UN PARTICULIER, TPE/PME OU UNE COLLECTIVITÉS TERRITORIALES ?

Désormais, vous pouvez contacter le dispositif d’assistance aux victimes d’actes de cybermalveillance : cybermalveillance.gouv.fr Cette plateforme est le résultat d’un programme gouvernemental assumant un rôle de sensibilisation, de prévention et de soutien en matière de sécurité du numérique auprès de la population française. Vous êtes un particulier, une entreprise ou une collectivité territoriale et vous pensez être victime d’un acte de cybermalveillance ?

La plateforme en ligne du dispositif est là pour vous mettre en relation avec les spécialistes et organismes compétents proches de chez vous ; : cybermalveillance.gouv.fr

Pour information, Nous sommes inscrits au programme cybermalveillance.gouv.fr 

Ce dispositif est animé par le groupement d’intérêt public (GIP) Action contre la cybermalveillance (ACYMA) et porté par une démarche interministérielle.

VOUS SOUHAITEZ PORTER PLAINTE ?

Rapprochez du commissariat ou de la brigade de Gendarmerie les plus proches du lieu de l’infraction. Facilitez le travail de l’agent de Police ou de Gendarmerie auprès de qui vous déposerez plainte.

  • Victime de VIRUS – CRYPTOVIRUS – LOGICIEL ESPION : Portez plainte pour l’infraction suivante : Atteintes aux Systèmes de Traitement Automatisé de Données (S.T.A.D.) sanctionnées par les articles L.323-1 et suivants du Code pénal ;
  • UTILISATION ILLICITE DE VOS DONNÉES PERSONNELLES : Vous devez saisir la CNIL sur les motifs d’atteintes aux droits de la personne liés aux fichiers ou traitement informatiques (art. 226-16 à 226-24 du Code pénal / Loi 78-17 du 6 janvier 1978 dite « informatique et liberté » modifiée par la loi 2004-801 du 6 aout 2004) ;
  • USURPATION D’IDENTITÉ : Portez plainte sur ce motif en apportant les preuves (captures d’écran, e-mails, mieux encore un constat d’huissier) ;
  • MENACES : Déposez plainte sur le motif d’atteintes aux personnes  en apportant toutes les preuves (les témoignages ou attestations sont très souvent insuffisants) ;
  • PHISHING / FAUSSE LOTERIE / UTILISATON FRAUDULEUSE DE CB : Déposez plainte pour Escroquerie ; Une plateforme téléphonique spécialisée existe : « Info-escroqueries » : 0811 02 02 17
  • ATTEINTE AUX MINEURS : Déposez plainte sur le fondement de l’article 227-23 du Code pénal ;

QUE DEVIENDRA MA PLAINTE EN CAS D’ATTAQUE POUR RANSOMWARE (CRYPTO-VIRUS) ?

Depuis la loi du 03 juin 2016, la section F1 spécialisée cyber du parquet de Paris jouit d’une compétence nationale concurrente. Une circulaire du Ministère de la Justice du 10 mai 2017 ordonne aux parquets locaux de se dessaisir systématiquement au profit du parquet de Paris en cas de plainte pour ransomware.

La politique du parquet de Paris est de systématiquement saisir:
– la DCPJ (OCLCTIC) pour les victimes en zone police
– la DGGN (SCRC/C3N) pour les victimes en zone gendarmerie

En bref:
-la plainte peut être déposée n’importe où, mais prioritairement auprès de l’unité de police/gendarmerie territorialement compétente et avec laquelle la victime a l’habitude de traiter pour tout type d’infraction
– une fois déposée, la plainte sera transmise par l’unité de police/gendarmerie au parquet local, qui la transmettra immédiatement au parquet de Paris, qui saisira pour enquête la DCPJ (OCLCTIC) ou la DGGN (SCRC/C3N) en fonction de la zone de la victime

NB: La mission de la DCPJ (OCLCTIC) et de la DGGN (SCRC/C3N) est de conduire les enquêtes judiciaires pour identifier et interpeller les auteurs. Notre mission n’est en aucun cas de faire de la remédiation et de la gestion de crise SSI. Cette mission de remédiation / gestion de crise SSI est de la compétence:
– pour les OIV (opérateurs d’infrastructures vitales) et les administrations: ANSSI
– pour les entreprises non OIV: de leur propre compétence (elles peuvent faire appel à des prestataires privés en SSI)

VOUS RECEVEZ DES MESSAGES NON SOLLICITÉS ?

Utilisez Signal-Spam

VOUS SOUHAITEZ SIGNALER UN CONTENU ILLICITE ?

Utilisez le portail officiel de signalements de contenus illicites

VOUS AVEZ DES SOUPÇON D’ATTAQUE INFORMATIQUE ?

Consultez la note d’information Les bons réflexes en cas d’intrusion sur un système d’information sur le site du CERT-FR


La Police et la Gendarmerie nationale ont toutes deux mis en place un réseau territorial d’enquêteurs spécialisés en cybercriminalité répartis par zones de compétence. Les Investigateurs en CyberCriminalité (ICC/Police) et les N-TECH (Gendarmerie) sont présents dans les services territoriaux de vos régions.

Si vous êtes victime d’infractions mentionnées ci-dessus, vous pouvez directement déposer plainte auprès de leurs services ou bien adresser un courrier au Procureur de la République près le Tribunal de Grande Instance compétent.

Pour information, en fonction du type d’infraction, des services sont spécialisés dans le traitement judiciaire de la cybercriminalité :


SOUS-DIRECTION DE LUTTE CONTRE LA CYBERCRIMINALITÉ (SDLC)

Service interministériel qui dépend de la Direction Centrale de la Police Judiciaire (DCPJ)
Cette Sous-Direction reprend les missions traditionnelles de l’Office Central de Lutte contre la Criminalité Liée aux Technologies de l’Information et de la Communication (OCLCTIC) auxquelles doit être ajoutée une plateforme de signalement et d’orientation technique et judiciaire.

Infractions traitées : piratages, fraudes aux moyens de paiement, téléphonie et escroqueries sur Internet.

Contact :
SDLC/OCLCTIC
101, rue des 3 Fontanots
92 000 Nanterre
Site Internet
Services de signalements en ligne de contenus illégaux sur l’Internet
Plateforme téléphonique « Info-escroqueries » : 0811 02 02 17


beftiBRIGADE D’ENQUÊTE SUR LES FRAUDES AUX TECHNOLOGIES DE L’INFORMATION (BEFTI)

Paris et petite couronne – Particuliers & PME

La BEFTI dépend de la Direction Régionale de la Police Judiciaire de Paris (DRPJ-PARIS).

Composée de groupes d’enquêtes spécialisés et d’un centre d’assistances techniques, cette brigade est compétente pour les investigations relatives aux actes de piratage sur Paris et ses trois départements limitrophes (92, 93 et 94).

Contact :
BEFTI
122-126 rue du Château des Rentiers
75 013 Paris
Site Internet


LogoC3NCENTRE DE LUTTE CONTRE LES CRIMINALITÉS NUMÉRIQUES (C3N) DU SERVICE CENTRAL DU RENSEIGNEMENT CRIMINEL (SCRC) DE LA GENDARMERIE NATIONALE

France – Particuliers & organismes

Ce centre dépend du Pôle judiciaire de la Gendarmerie nationale.
Service à compétence judiciaire nationale, il regroupe l’ensemble des unités  du PJGN qui traitent directement de questions (formation, veille et recherche, investigation, expertise) en rapport  avec la criminalité  et les analyses numériques (Département Informatique-Electronique de l’IRCGN). Il assure également l’animation et la  coordination au niveau national de l’ensemble des enquêtes menées par le réseau gendarmerie des enquêteurs numériques.
Domaine de compétence: atteintes aux STAD, infractions visant les personnes et les biens.

Contact :
SCRC/C3N
5, Boulevard de l’Hautil – TSA 36810
95037 CERGY PONTOISE CEDEX
contact : cyber[at]gendarmerie.interieur.gouv.fr


dgsi_logoDIRECTION GÉNÉRALE DE LA SÉCURITÉ INTÉRIEURE (DGSI)

France – État, secteurs protégés, OIV

La DGSI dépend du Ministère de l’Intérieur.

Créée en mai 2014 à la suite de la DCRI (Direction Centrale du Renseignement Intérieur), cette direction générale en poursuit les missions de protection des intérêts fondamentaux de la Nation.

Infractions traitées : actes de piratage ciblant les réseaux d’État, les établissements composés de Zones à Régime Restrictif et les Opérateurs d’Importance Vitale.


CYBERARNAQUES - S'informer pour mieux se protéger (Le Livre)
Denis JACOPINI Marie Nocenti (Plon) ISBN : 2259264220

Livre CyberArnaques - Denis JACOPINI Marie Nocenti (Plon) ISBN : 2259264220

Denis Jacopini, expert judiciaire en informatique diplômé et spécialisé en cybercriminalité, raconte, décrypte et donne des parades contre toutes les cyberarnaques dont chacun peut être victime.

Il est témoin depuis plus de 20 ans d'attaques de sites Internet, de piratages d'ordinateurs, de dépouillements de comptes bancaires et d'autres arnaques toujours plus sournoisement élaborées.

Parce qu'il s'est rendu compte qu'à sa modeste échelle il ne pourrait sensibiliser tout le monde au travers des formations et des conférences qu'il anime en France et à l'étranger, il a imaginé cet ouvrage afin d'alerter tous ceux qui se posent la question : Et si ça m'arrivait un jour ?

Plutôt que de présenter une longue liste d'arnaques Internet recensées depuis plusieurs années, Denis Jacopini, avec la collaboration de Marie Nocenti, auteur du roman Le sourire d'un ange, a souhaité vous faire partager la vie de victimes d'arnaques Internet en se basant sur des faits réels, présentés sous forme de nouvelles suivies de recommandations pour s'en prémunir. Et si un jour vous rencontrez des circonstances similaires, vous aurez le réflexe de vous méfier sans risquer de vivre la fin tragique de ces histoires et d'en subir les conséquences parfois dramatiques.

Pour éviter de faire entrer le loup dans votre bergerie, il est essentiel de le connaître pour le reconnaître !

Commandez sur Fnac.fr

 


https://www.youtube.com/watch?v=lDw3kI7ra2s

06/04/2018 A l'occasion de la sortie de son livre "CYBERARNAQUES : S'informer pour mieux se protéger",Denis JACOPINI répond aux questions de Valérie BENHAÏM et ses 4 invités : 7 Millions de victimes de la Cybercriminalité en 2010 (Symantec) 13,8 Milions de victimes de la Cybercirminalité en 2016 (Symantec) 19,3 Millions de victimes de la Cybercriminalité en 2017 (Symantec) Plus ça va moins ça va ? Peut-on acheter sur Internet sans risque ? Si le site Internet est à l'étranger, il ne faut pas y aller ? Comment éviter de se faire arnaquer ? Comment on fait pour renifler une arnaque sur Internet ? Comment avoir un coup d'avance sur les pirates informatiques ? Quelle est l'arnaque qui revient le plus souvent ? Denis JACOPINI vous répond sur C8 avec Valérie BENHAÏM et ses invités.

Commandez sur Fnac.fr


https://youtu.be/usg12zkRD9I?list=UUoHqj_HKcbzRuvIPdu3FktA

12/04/2018 Denis JACOPINI est invité sur Europe 1 à l'occasion de la sortie du livre "CYBERARNAQUES S'informer pour mieux se protéger"
Comment se protéger des arnaques Internet

Commandez sur amazon.fr

 


Je me présente : Denis JACOPINI. Je suis l'auteur de ce livre coécrit avec Marie Nocenti, romancière.
Pour ma part, je suis Expert de justice en informatique spécialisé en cybercriminalité depuis 1996 et en protection des Données à Caractère Personnel.
J'anime des formations et des conférences sur le RGPD et la Cybercriminalité pour aider les organismes à se protéger des pirates informatiques et à se mettre en conformité avec la réglementation autour du numérique (dont le RGPD : Règlement Général sur la Protection des Données).

Commandez sur Fnac.fr

Source : En cas d’incident | Agence nationale de la sécurité des systèmes d’information




Le site Internet d’une mairie peut-il être contrôlé à distance par la Cnil ? | Denis JACOPINI

Le site Internet d’une mairie peut-il être contrôlé à distance par la Cnil ?

La réponse de Benjamin Vialle, agent au service des contrôles, Commission nationale de l’informatique et des libertés. 

Oui. Depuis la loi du 17 mars 2014 relative à la consommation, la Commission nationale de l’informatique et des libertés (Cnil) a la possibilité de procéder à des contrôles en ligne, sur internet.

Ils permettent de constater à distance, depuis un ordinateur connecté à internet, des manquements à la loi informatique et libertés. Ces constatations sont relevées dans un procès-verbal adressé aux organismes concernés et leur seront opposables.

 

 

Téléservices

Des vérifications en ligne portant sur les téléservices relatifs aux demandes d’actes d’état civil ont été réalisées par la Cnil pour 33 communes. Le choix des communes s’est opéré selon un critère de représentativité : taille diverse, couleurs politiques différentes, répartition sur l’ensemble du territoire.

Trois principaux manquements à la loi informatique et libertés ont été constatés : un défaut de sécurisation de ces espaces (art. 34 loi informatique et libertés), un manque d’information des personnes (art. 32) et un défaut de formalité (art. 22).

30% des communes avaient mis en place un protocole HTTPS qui permet à l’usager une transmission sécurisée (car chiffrée) de ses données, entre son poste informatique et les serveurs de la commune. 10% des communes redirigent vers le site mon.service-public.fr, qui est correctement sécurisé.

 

 

Espace non sécurisé

Cependant, plus de 60% des communes contrôlées ne sécurisaient pas l’espace dédié à la dématérialisation des demandes d’actes d’état civil. Au titre de ses missions, la Cnil doit contrôler les conditions dans lesquelles les fichiers sont créés et utilisés.

Ce nouveau pouvoir de contrôle en ligne crée les conditions juridiques qui permettent d’adapter la mission de la Cnil de protection des données personnelles au développement numérique.

 

 


Contactez-nous

Denis JACOPINI
Tel : 06 19 71 79 12
formateur n°93 84 03041 84

 

 


Contactez-nous


 

Cet article vous plait ? Partagez !
Un avis ? Laissez-nous un commentaire !

 

Source : http://www.courrierdesmaires.fr/51195/le-site-de-la-mairie-peut-il-etre-controle-a-distance-par-la-cnil/

 

 




Utilisation juridique des documents numériques . Peuvent-ils constituer une preuve ? | Denis JACOPINI

Utilisation juridique des documents numériques . Peuvent-ils constituer une preuve ? Utilisation juridique des documents numériques . Peuvent-ils constituer une preuve ?

Depuis 2000, la validité comme preuve juridique des documents numériques est reconnue , au même titre que la preuve écrite sur papier et ce à condition de pouvoir justifier de son authenticité et de son intégrité.

Comment obtenir ces deux conditions pour pouvoir utiliser en justice un document numérique ?

 

Utilisation juridique des documents numériques . Peuvent-ils constituer une preuve ?

Depuis 2000, la validité comme preuve juridique des documents numériques est reconnue, au même titre que la preuve écrite sur papier et ce à condition de pouvoir justifier de son authenticité et de son intégrité par la loi n°2000-230 modifiant le Code civil.

 

LOI n°2000-230 du 13 mars 2000 portant adaptation du droit de la preuve aux technologies de l’information et relative à la signature électronique

 

L’article 1316-1 du Code stipule aujourd’hui : « L’écrit sous forme électronique est admis en preuve au même titre que l’écrit sur support papier, sous réserve que puisse être dûment identifiée la personne dont il émane et qu’il soit établi et conservé dans des conditions de nature à en garantir l’intégrité. »

 

La signature électronique, une solution ?

La signature électronique est le procédé retenu pour garantir l’authenticité et l’intégrité d’un document numérique. Il s’agit d’un procédé qui prend une empreinte d’une information à un instant précis et y applique un algorithme de chiffrement à clé publique, c’est-à-dire dont la clé de déchiffrement figure sur un certificat appartenant nominalement à l’émetteur du document. Le déchiffrement permet ainsi de comparer l’empreinte du document envoyé avec celle du document initial et de constater d’éventuelles modifications.

Le décret d’application de la loi du 13 mars 2000, en date du 30 mars 2001, détaille les modalités de mise en place de la signature électronique.

La conservation de la signature électronique sur le long terme est un enjeu archivistique important, puisque sans elle le document perd sa valeur probante. Elle a fait l’objet d’une étude par Jean-François Blanchette, professeur canadien à l’Université de Californie à Los Angles (UCLA). Voir la note d’information DITN/RES/2004/004 du 18 octobre 2004.

 

Note d’information DITN-RES-2004-004 – Résumé du rapport de Jean-François Blanchette sur La conservation de la signature élctronique

 

Conservation de la version papier  ?

Les administrations posent fréquemment la question de savoir si elles ont la possibilité d’éliminer des documents originaux papier après leur numérisation. Les archives de France ont, sur ce sujet, rédigé l’instruction : DITN/DPACI/RES/2005/001 du 14 janvier 2005.

 

Modalités de délivrance du visa d’élimination des documents

 

Dans ce cadre juridique, la question de l’archivage électronique est très liée à l’adoption de la signature électronique. Voir notamment le décret n°2005-973 du 10 août 2005 relatif aux actes établis par les notaires, le décret n°2005-972 du 10 août 2005 relatif au statut des huissiers de justice et enfin l’arrêté du 21 juin 2011 relatif à la signature électronique ou numérique en matière pénale et la note d’information à ce sujet DGP/SIAF/2011/018 en date du 18 octobre 2011.

 

Note d’information DITN-RES-2004-004 – Résumé du rapport de Jean-François Blanchette sur La conservation de la signature élctronique

 

La procédure dématérialisée de vérification des données à caractère personnel contenues dans les actes d’état civil instaurée par le décret n° 2011-167 et l’arrêté du 23 décembre 2011 met également en jeu la signature électronique. Voir à ce sujet la note d’information DGP/SIAF/2012/002

 

Note d’information relative aux échanges par voie électronique des données à caractère personnel contenues dans les actes d’état civil

 

 

Cet article vous à plu ? Laissez-nous un commentaire
(notre source d’encouragements et de progrès
)

 

 

Références : 

http://www.archivesdefrance.culture.gouv.fr/gerer/archives-electroniques/administration-electronique/la-valeur-probante-de-l-ecrit-numerique/

 

 




Victime du ransomware Petya ? Décryptez gratuitement les fichiers | Denis JACOPINI

Victime du ransomware Petya ? Décryptez gratuitement les fichiers 


Il est possible de récupérer gratuitement ses fichiers après une infection par le ransomware Petya. Pas forcément simple à mettre en œuvre, une méthode a vu le jour.

 

Petya bloque totalement l’ordinateur. Pour cela, il écrase le Master Boot Record du disque dur et chiffre la Master File Table sur les partitions NTFS (système de fichiers de Windows). Cette MFT contient les informations sur tous les fichiers et leur répartition.

La procédure malveillante laisse croire à une vérification du disque dur après un plantage et un redémarrage. La victime aura au final droit à une tête de mort en caractères ASCII et une demande de rançon (0,9 bitcoin) pour espérer récupérer ses fichiers et déchiffrer le disque dur prétendument chiffré avec un algorithme dit de niveau militaire.
Un bon samaritain (@leostone) a mis en ligne un outil pour se dépêtrer de Petya (https://petya-pay-no-ransom-mirror1.herokuapp.com) sans devoir payer une rançon. La procédure nécessite de récupérer des données d’un disque dur affecté pour obtenir une clé de déchiffrement promise en quelques secondes. Manifestement, il était simplement question d’un encodage en Base64.

Pour BleepingComputer.com, l’expert en sécurité informatique Lawrence Abrams a confirmé la validité de l’outil. Chercheur en sécurité chez Emisoft, Fabian Wosar a de son côté développé un outil Petya Sector Extractor (http://download.bleepingcomputer.com/fabian-wosar/PetyaExtractor.zip) permettant d’extraire facilement les données à fournir à l’outil de Leostone.

Bien évidemment, le disque dur infecté doit être connecté à un autre ordinateur afin de pouvoir y accéder (extraire les données pour l’outil de Leostone). Une fois la clé de déchiffrement obtenue, il est à replacer dans l’ordinateur d’origine et il faudra saisir la clé sur l’écran affiché par Petya.

L’existence de cette faille pour se débarrasser de Petya sans payer de rançon sera nécessairement portée à la connaissance de l’auteur du ransomware. Le code du nuisible pourrait dès lors être prochainement modifié en fonction.


 

Réagissez à cet article

Source : Petya : une échappatoire contre le ransomware agressif




Cyber-Sécurité : des menaces de plus en plus présentes, mais des collaborateurs pas assez formés | Le Net Expert Informatique

La Cyber-Sécurité de plus en plus menacante, mais des collaborateurs pas assez formés

Les entreprises ont encore trop souvent tendance à sous-estimer le de leurs équipes (hors services informatiques) à la cybersécurité. La preuve… 

 

Une enquête réalisée par Intel Security montre que si les collaborateurs de la DSI restent les plus (26 % au niveau européen contre 33 % en France, ce taux étant le plus élevé), les équipes commerciales et les managers (top et middle management) le sont aujourd’hui de plus en plus. En France, 18 % des commerciaux, 17 % du middle management et 14 % des dirigeants sont des . Viennent ensuite les personnels d’accueil (5 % en France, taux identique à la moyenne européenne), et le service client (seulement 7 % en France, contre 15 % au niveau européen).

Or ces types de personnel restent tous . Le risque est particulièrement fort au niveau des équipes commerciales avec 78 % de professionnels non formés et 75 % des personnels d’accueil. Ces taux descendent un peu pour le top management (65 % de non formés) et pour les équipes du service client (68 %). Côté middle management, la moitié est formée (51 % en France, 46 % au niveau européen).

L’enquête souligne également qu’au-delà des attaques ciblant les personnes non averties via leurs navigateurs avec des liens corrompus, les , les , les et les constituent une menace croissante pour les entreprises. On en recense plus de 83 millions par trimestre. Pour les contrer, les professionnels informatiques français réévaluent la stratégie de sécurité en moyenne tous les huit mois, en ligne avec les pratiques des autres pays européens sondés. 21 % mettent par ailleurs à jour leur système de sécurité moins d’une fois par an (contre 30 % en moyenne au niveau européen). Et 72 % d’entre eux (et 74 % en moyenne en Europe) sont persuadés que leur système de sécurité pourra contrer ces nouvelles générations de cyberattaques.

Or, ils se trompent. Les par exemple. Conçues pour créer une panne de réseau et permettre aux hackers de détourner l’attention de l’entreprise, tandis qu’ils se faufilent dans son système et volent des données, elles ne sont pas vraiment prises au sérieux (malgré leur augmentation +165% et leur dangerosité), puisque seuls 20 % des professionnels informatiques français estiment qu’elles constituent la principale menace pour le réseau de leur entreprise.

Au final, il existe un profond décalage entre l’évolution des attaques et la perception qu’en ont les entreprises qui ne peuvent plus négliger la formation de leurs équipes non IT.

 

 

 


Contactez-nous

Denis JACOPINI
Tel : 06 19 71 79 12
formateur n°93 84 03041 84

 

 


Contactez-nous


 

Cet article vous plait ? Partagez !
Un avis ? Laissez-nous un commentaire !

 

Source : http://www.itchannel.info/index.php/articles/157059/cyber-securite-menaces-plus-plus-presentes-mais-collaborateurs-pas-formes.html

 

 




Anti-phishing, Anti-Malware et protection des transactions bancaires pour ce logiciel de sécurité | Denis JACOPINI

Afficher l'image d'origine

, et protection des transactions bancaires pour ce logiciel de sécurité

Maintes fois récompensées par les critiques et les bêta-testeurs, les Editions 2016 des solutions de sécurité ESET sont enfin disponibles. Au programme, de nouvelles interfaces entièrement repensées et un nouvel outil pour sécuriser les transactions bancaires sur ESET Smart Security 9.  

Afficher l'image d'origine

 

En plus des technologies indispensables comme l’anti-phishing (pour se protéger des e-mails de phishing) et l’anti-malware (pour se protéger des malwares cachés dans des e-mails ou des sites internet infectés) qui protègent les clients contre les menaces d’Internet, ESET Smart Security 9 contient une toute nouvelle protection des transactions bancaires. Cette fonction met à disposition l’ouverture d’un navigateur sécurisé pour veiller à ce que toutes les transactions financières en ligne soient effectuées en toute sécurité. L’utilisateur peut également paramétrer lui-même tous les sites bancaires de paiement en ligne qu’il consulte le plus fréquemment.

Afficher l'image d'origine

 

 

 


Denis JACOPINI est Expert Informatique assermenté, consultant et formateur en sécurité informatique, en mise en conformité de vos déclarations à la CNIL et en cybercriminalité.
Nos domaines de compétence :

  • Expertises et avis techniques en concurrence déloyale, litige commercial, piratages, arnaques Internet… ;
  • Consultant en sécurité informatique, cybercriminalité, en accompagnement aux mises en conformité et déclarations à la CNIL ;
  • Formateur et chargé de cours en sécurité informatique, cybercriminalité et déclarations à la CNIL et accompagnement de Correspondant Informatique et Libertés.

Contactez-nous


 

Cet article vous plait ? Partagez !
Un avis ? Laissez-nous un commentaire !

 

Source : http://www.tuitec.com/face-a-la-hausse-des-cyberattaques-en-tunisie-eset-lance-ses-nouvelles-solutions/

 

 

 




GDPR compliance: Request for costing estimate

Notre métier en RGPD et en CYBER : Auditer, Expertiser, Accompagner, Former et Informer
EXPERTISES VOTES ELECTRONIQUES : Expertise de systèmes de vote électronique et d'élections par Internet MISE EN CONFORMITÉ RGPD & CYBER : Accompagnement de votre établissement à la démarche de mise en conformité avec le RGPD et en CYBERSÉCURITÉ Expertise de systèmes de vote électronique - votes par Internet FORMATIONS & SEMINAIRES RGPD & CYBER ARNAQUES & PIRATAGES : Restez informé sur les techniques utilisées par les pirates informatiques

GDPR compliance: Request for costing estimate

You seem to express an interest in the GDPR (perhaps a little by obligation) and you want to tell us about a project. We thank you for your confidence.
Intervening on Data Protection missions since 2012, after having identified different types of expectations, we have adapted our offers so that they best meet your needs.

Thus, we can assist you in bringing your structure into compliance in several ways : :

  1. Are you looking for autonomy ?
    We can assist you to learn the essentials of European regulations relating to the Protection of Personal Data and the necessary to understand and start a compliance. Once the training is completed, you are independent but can always count on our support either in the form of personalized training, or in the form of personalized support;
    At the end of this training, we will give you a certificate proving the implementation of a process to bring your establishment into compliance with the GDPR (General Data Protection Regulations). For information, we are referenced to the CNIL.
  2. Do you want to be accompanied for the implementation of compliance ?
    We carry out for you the audit which will highlight the points to be improved. At the end of this stage you can, if you wish, achieve compliance or let us proceed with the improvements that you have validated;
    At the end of this audit, we will give you a report proving the implementation of corrections as part of your process to bring your establishment into compliance with the GDPR (General Data Protection Regulations).
  3. Do you want to entrust all of your compliance?
    In a perfectly complementary way with your IT service provider and possibly with your legal department, we can take care of the entire process of bringing your establishment into compliance with the GDPR (General Data Protection Regulation) and the various regulations relating to the protection of Personal Data.
    From the audit to the follow-up, you can count on our technical and educational expertise so that your establishment is supported externally.

In order to send you a personalized proposal adapted both to the needs of your structure, in accordance with your strategy and your priorities, we would like you to answer these few questions :

    We guarantee extreme confidentiality on the information communicated. Persons authorized to consult this information are subject to professional secrecy.


    Do not hesitate to communicate as many details as possible, this will allow us to better understand your expectations.








    In order to better understand your request and establish a quote, please provide us with the information requested below and click on the "Send entered informations" button at the bottom of this page for us to receive it. You will receive an answer quickly.


    YOUR ACTIVITY
    Details about your activity :
    Are you subject to professional secrecy? YesNoI don't know
    Does your activity depend on regulations? YesNoI don't know
    If "Yes", which one or which ones?

    YOUR COMPUTER SYSTEM
    Can you describe the composition of your computer system. We would like, in the form of an enumeration, to know the equipment which has any access to personal data with for each device ALL the software (s) used and their function (s) .
    Examples :

    - 1 WEB server with website to publicize my activity;

    - 1 desktop computer with billing software to bill my clients;

    - 2 laptops including:
         > 1 with email software to correspond with clients and prospects + word processing for correspondence + billing software to bill my clients ...
         > 1 with email software to correspond with customers and prospects + accounting software to do the accounting for my company ;

    - 1 smartphone with email software to correspond with customers and prospects.

    Do you have one or more websites? YesNoI don't know
    What is (are) this (thoses) website (s)?
    Do you have data in the Cloud? YesNoI don't know
    Which cloud providers do you use?

    YOUR PERSONAL DATA PROCESSING
    If you have already established it, could you provide us with the list of processing of personal data (even if it is incomplete)?

    SIZING YOUR BUSINESS
    Number of employees in your structure : 0123456 à 1010 to 2020 to 5050 to 100more than 100more than 1 000more than 10 000
    How many of these employees use computer equipment ? 0123456 à 1010 to 2020 to 5050 to 100more than 100more than 1 000more than 10 000
    Number of departments or departments ** in your structure (example: Commercial service, technical service ...) : 0123456 à 1010 to 2020 to 5050 to 100more than 100
    Please list the services or departments ** of your structure:

    SERVICE PROVIDERS & SUBCONTRACTORS
    Do you work with sub-contractors? YesNoI don't know
    Please list these subcontractors :
    Do you work with service providers who work on your premises or in your agencies (even remotely) ? YesNoI don't know
    Please list these providers :
    How many IT companies do you work with ? 0123456789more...
    Please list these IT companies indicating the products or services for which they operate and possibly their country of establishment :

    YOUR SITUATION TOWARDS THE GDPR
    Does your establishment exchange data with foreign countries ? YesNoI don't know
    If "Yes", with which country(ies)?
    Have you already been made aware of the GDPR ? YesNoI don't know
    Have people using IT equipment already been made aware of the GDPR ? YesNoI don't know
    If you or your employees have not been made aware of the GDPR, would you like to undergo training ? YesNoI don't know

    YOUR WORKPLACE
    The analysis of the data processing conditions in your professional premises or your professional premises is part of the compliance process.
    Do you have several offices, agencies etc. legally dependent on your establishment ? YesNo
    If "Yes", how much ? 0123456 to 1010 to 2020 to 5050 to 100more than 100
    In which city (ies) (and country if not in France) do you or your employees work ?

    TYPE OF SUPPORT DESIRED
    We can support you in different ways.
    A) We can teach you to become autonomous (training) ;
    B) We can support you at the start and then help you become independent (support, audit + training) ;
    C) We can choose to entrust us with the entire process of compliance (support) ;
    D) We can accompany you in a personalized way (thank you to detail your expectations).

    What type of support do you want from us (A / B / C / D + details) ?


    END OF QUESTIONNAIRE
    If you wish, you can send us additional information such as:
    - Emergency of your project;
    - Any additional information that you deem useful to allow us to better understand your project.










    Les informations recueillies sont enregistrées dans la messagerie électronique et le système informatique de LeNetExpert pour les traitements correspondant à la gestion de vos demandes et la proposition de services correspondant à votre demande. Le lieu de traitement de stockage et de sauvegarde se situe en France et auprès d'établissements respectant le bouclier de protection des données UE-États-Unis (en anglais : EU-US Privacy Shield). Elles sont conservées 3 ans après notre dernier échange et sont destinées aux services internes. Une démarche de mise en conformité a été entamée en interne depuis 2010 et jusqu'à ce jour par des formations régulières, l'identification des traitements, la réalisation d'un registre des traitements, une analyse de risques sur nos traitements manipulant des données sensibles ou des  « données à caractère hautement personnel » pour lesquels leur violation pourrait avoir de graves conséquences dans la vie quotidienne des personnes concernées et un suivi semestriel. Conformément au Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 dit RGPD (Règlement Général sur la Protection des Données), à la loi n°78-17 dite «Informatique et Libertés» du 6 janvier 1978 et à la Loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles, vous pouvez exercer votre droit d’accès aux données vous concernant et les faire rectifier en contactant Le Net Expert, Monsieur le Délégué à la Protection des Données – 1 les Magnolias – 84300 CAVAILLON par Recommandé avec accusé de réception. Enfin, sur le fondement des articles 131-13, 222-17, 222-18, 222-18-1, 322-12, 322-13, R-621-1, R-621-2, R-623-1, R-624-3, R-624-4, R 631-1 et R634-1 du code Pénal et l'article 29 de la loi du 29 juillet 1881 sur la liberté de la presse, votre adresse IP horodatée est également collectée.

    Sauf indication contraire ou information publique, nous nous engageons à la plus totale discrétion et la plus grande confidentialité concernant les informations que vous nous communiquez.

    ** = for example, commercial service, technical service, educational service, administrative and financial service ...

    document.getElementById( "ak_js_1" ).setAttribute( "value", ( new Date() ).getTime() );

    or send an email to rgpd[at]lenetexpert.fr

     

    Denis JACOPINI is our Expert who will accompany you in your compliance with the GDPR.

    Let me introduce myself: Denis JACOPINI. I am an expert in sworn IT and specialized in GDPR (protection of Personal Data) and in cybercrime. Consultant since 1996 and trainer since 1998, I have experience since 2012 in compliance with the regulations relating to the Protection of Personal Data. First technical training, CNIL Correspondent (CIL: Data Protection Correspondent) then recently Data Protection Officer (DPO n ° 15845), as a compliance practitioner and trainer, I support you in all your procedures for compliance with the GDPR.

    « My goal is to provide all my experience to bring your establishment into compliance with the GDPR. »




    La Méthode EBIOS désormais adaptée aux traitements de données à caractère personnel et à la CNIL | Denis JACOPINI

    La Méthode Ebios La Méthode EBIOS, élaborée par l’ANSSI, initialement prévue pour la gestion des risques informatiques  a été adaptée aux traitements de données personnellesParmi les méthodes d’identification des risques en sécurité Informatique, la méthode EBIOS a été retenue par la CNIL en raison de sa simplicité de mise en oeuvre.

     

    1. Objectifs

    Dans une entreprise, les risques liée à l’utilisation de l’outils informatique peuvent être classés en deux principales catégories :

    – Les risques liés au fonctionnement de l’outil informatique et à la sécurité d’accès au système;

    • les risques liés à l’usage des données présentes dans le système informatique.

    La gestion du premier risque est en général déléguée au responsable informatique ou, pour des structures de taille plus importantes, au Directeur ou Responsable des services d’information (DSI) et, pour des structures de tailles encore plus importantes, confiée au Responsable de la Sécurité des Services d’Information.
    Dans la longue liste des recommandations liées à la gestion de ces risques nous trouvons la gestion du fonctionnement du système informatique, la sécurité des données (garantie de pérennité et protection contre la fuite de de données) mais aussi la sécurité du système informatique contre les erreurs de manipulations et actes malveillants.

    Par contre, la gestion des risques liés à l’usages des données, et plus particulièrement des données personnelles, est répartie entre l’utilisateur, le responsable des traitements (souvent le chef d’entreprise dans des structures de petite taille) et le correspondant Informatique et libertés.

    Si l’utilisateur doit bien veiller à une utilisation responsable en évitant par exemple de quitter son poste sans verrouiller l’ordinateur

     

     


    Contactez-nous

    Denis JACOPINI
    Tel : 06 19 71 79 12
    formateur n°93 84 03041 84


    Denis JACOPINI est Expert Judiciaire en Informatique, consultant, formateur et chargé de cours.
    Nos domaines de compétence :

    • Expertises et avis techniques en concurrence déloyale, litige commercial, piratages, arnaques Internet… ;
    • Consultant en sécurité informatique, cybercriminalité et mises en conformité et déclarations à la CNIL ;
    • Formateur et chargé de cours en sécurité informatique, cybercriminalité et déclarations à la CNIL.

    Contactez-nous


     

     

     

    2. Introduction à la méthode EBIOS

    Parmi les méthodes d’identification des risques en sécurité Informatique, la méthode EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité) a été retenue par la CNIL en raison de sa simplicité de mise en oeuvre.

    La méthode, élaborée et tenue à jour par l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information), en charge notamment, de la protection de l’état, initialement prévue pour être utilisée dans l’analyse de systèmes informatiques complexes, a été simplifiée et adaptée par la CNIL aux traitements de données personnelles et à la protection de la vie privée qui lui est associée

    Cet article décrit les étapes de la démarche à appliquer pour réaliser une étude des risques qu’un traitement de Données à Caractère Personnel fait peser sur la vie privée. Il décrit la manière d’employer la méthode EBIOS dans le contexte spécifique « informatique et libertés ».

     

     


    Contactez-nous

    Denis JACOPINI
    Tel : 06 19 71 79 12
    formateur n°93 84 03041 84


    Denis JACOPINI est Expert Judiciaire en Informatique, consultant, formateur et chargé de cours.
    Nos domaines de compétence :

    • Expertises et avis techniques en concurrence déloyale, litige commercial, piratages, arnaques Internet… ;
    • Consultant en sécurité informatique, cybercriminalité et mises en conformité et déclarations à la CNIL ;
    • Formateur et chargé de cours en sécurité informatique, cybercriminalité et déclarations à la CNIL.

    Contactez-nous


     

     

    3. Les 5 étapes essentielles

    On souhaite éviter les situations suivantes :

    • indisponibilité des processus ;
    • modification du traitement (détournement de la finalité, collecte excessive ou déloyale…) ;
    • accès illégitime aux Données à Caractère Personnel ;
    • modification non désirée des Données à Caractère Personnel ;
    • disparition des Données à Caractère Personnel ;

    La méthode EBIOS consiste, en fonction de l’environnement de départ, à décomposer en 5 étapes (que nous allons étudier en détail) permettant de passer en revue l’ensemble des mesures préconisées dans leur domaine spécifique, en repérer les points de faiblesses c’est-à-dire les vulnérabilités, d’estimer via une étude de risque, les capacités que semblent avoir les sources de risques à exploiter les vulnérabilités pour réaliser une menace, et enfin de mettre en place des mesures techniques et organisationnelles permettant de remédier aux vulnérabilités qu’elle peut présenter.

    La Méthode Ebios - Les 5 modules

    1. Etude du contexte :
      Quel est le sujet de l’étude ?
      Pourquoi et comment va-t-on gérer les risques ?

    2. Étude des événements redoutés :
    Quels sont les événements craints ?
    Quels seraient les plus graves ?

    3. Étude des menaces :
    Quels sont les scénarios possibles ?
    Quels sont les plus vraisemblables ?

    4. Étude des risques :
    Quelle est la cartographie des risques ?
    Comment choisis-t-on de les traiter ?

    5. Étude des mesures de sécurité :
    Quelles mesures devrait-on appliquer ?
    Les risques résiduels sont-ils acceptables ?

     

     

     


    Contactez-nous

    Denis JACOPINI
    Tel : 06 19 71 79 12
    formateur n°93 84 03041 84


    Denis JACOPINI est Expert Judiciaire en Informatique, consultant, formateur et chargé de cours.
    Nos domaines de compétence :

    • Expertises et avis techniques en concurrence déloyale, litige commercial, piratages, arnaques Internet… ;
    • Consultant en sécurité informatique, cybercriminalité et mises en conformité et déclarations à la CNIL ;
    • Formateur et chargé de cours en sécurité informatique, cybercriminalité et déclarations à la CNIL.

    Contactez-nous


     

     

    4. Les 5 étapes en détail

     

    4.1. Etude du contexte : De quoi parle t-on ?

    Le but de cette étape est d’obtenir une vision claire du périmètre considéré en identifiant tous les éléments utiles à la gestion des risques, en répondant aux questions suivantes :

     

    4.1.1 Quels sont les éléments à protéger ?

    • Quel est le traitement concerné ?
    • Quelle est sa finalité (voir les articles 6 et 9 de la loi Informatique et Libertés )?
    • Quels sont ses destinataires ?
    • Quel est le processus métier que le traitement permet de réaliser ?
    • Quelles sont les personnes concernées par le traitement ?
    • Comment les processus légaux vont-ils être mis en oeuvre ?
    • Quelles sont les DCP du traitement considéré ?
    • Quelles sont les DCP utilisées par les processus légaux ?

     

    4.1.2 Quels sont les supports des éléments à protéger ?

    • Quels sont les matériels (ordinateurs, routeurs, supports électroniques…) ?
    • Quels sont les logiciels (systèmes d’exploitation, messagerie, base de données, applications métier…) ?
    • Quels sont les canaux informatiques (câbles, WiFi, fibre optique…) ?
    • Quelles sont les personnes impliquées?
    • Quels sont les supports papier (impressions, photocopies…) ?
    • Quels sont les canaux de transmission papier (envoi postal, circuit de validation…) ?

     

    4.1.3 Quels sont les principaux bénéfices du traitement pour les personnes concernées ou la société en général ?

     

    4.1.4 Quelles sont les principales références à respecter (réglementaires, sectorielles…) ?

     

    4.1.5  Quelles sont les sources de risques pertinentes qui peuvent être à l’origine de risques dans le contexte particulier du traitement considéré ?

    • Quelles sont les personnes internes à considérer (utilisateur, administrateur,
    • développeur, décideur…) ?
    • Quelles sont les personnes externes à considérer (client, destinataire, prestataire,
    • concurrent, militant, curieux, individu malveillant, organisation gouvernementale,
    • activité humaine environnante…) ?
    • Quelles sont les sources non humaines à considérer (sinistre, code malveillant
    • d’origine inconnue, phénomène naturel, catastrophe naturelle ou sanitaire…) ?

     

    4.2 Étude des événements redoutés : Que craint-on qu’il arrive ?

    Le but de cette étape est d’obtenir une liste explicite et hiérarchisée de tous les événements redoutés dans le cadre du traitement considéré et d’en mesurer leur valeur de danger.
    Pour expliciter les événements redoutés, leurs impacts potentiels doivent être identifiés :
    quelles pourraient être les conséquences sur l’identité des personnes concernées, leur vie privée, les droits de l’homme ou les libertés publiques pour chacun des événements redoutés, c’est-à-dire si :

    • les processus légaux n’étaient pas disponibles ?
    • le traitement était modifié ?
    • une personne non autorisée accédait aux DCP ?
    • les DCP étaient modifiées ?
    • les DCP disparaissaient ?

    Afin de hiérarchiser les événements redoutés, la gravité est déterminée en mesurer la facilité avec laquelle on peut identifier les personnes concernées et l’importance des dommages des impacts potentiels.

     

    Avec quelle facilité peut-on identifier les personnes concernées ? (1 à 4)

    • 1. Négligeable : il semble quasiment impossible d’identifier les personnes à l’aide des Données à Caractère Personnel les concernant (ex. : prénom seul à l’échelle de la population française).
    • 2. Limité : il semble difficile d’identifier les personnes à l’aide des DCP les concernant, bien que cela soit possible dans certains cas (ex. : nom et prénom à l’échelle de la population française).
    • 3. Important : il semble relativement facile d’identifier les personnes à l’aide des DCP les concernant (ex. : nom, prénom et date de naissance, à l’échelle de la population française).
    • 4. Maximal : il semble extrêmement facile d’identifier les personnes à l’aide des DCP les concernant (ex. : nom, prénom, date de naissance et adresse postale, à l’échelle de la population française).

     

    Quelle serait l’importance des dommages correspondant à l’ensemble des impacts potentiels ? (1 à 4)

    • 1. Négligeable : les personnes concernées ne seront pas impactées ou pourraient connaître quelques désagréments, qu’elles surmonteront sans difficulté (perte de temps pour réitérer des démarches ou pour attendre de les réaliser, agacement, énervement…).
    • 2. Limité : les personnes concernées pourraient connaître des désagréments significatifs, qu’elles pourront surmonter malgré quelques difficultés (frais supplémentaires, refus d’accès à des prestations commerciales, peur, incompréhension, stress, affection physique mineure…).
    • 3. Important : les personnes concernées pourraient connaître des conséquences significatives, qu’elles devraient pouvoir surmonter, mais avec de sérieuses difficultés (détournements d’argent, interdiction bancaire, dégradation de biens, perte d’emploi, assignation en justice, aggravation de l’état de santé…).
    • 4. Maximal : les personnes concernées pourraient connaître des conséquences significatives, voire irrémédiables, qu’elles pourraient ne pas surmonter (péril financier tel que des dettes importantes ou une impossibilité de travailler, affection psychologique ou physique de longue durée, décès…).

     

    Mesure de la gravité = Facilité d’identification des personnes + importance des dommages

    La Méthode Ebios - Mesure de la gravité des évènements redoutés

     

     

    4.3 Étude des menaces : Comment cela peut-il arriver ?

    Cette étape est optionnelle si la gravité précédemment calculée est négligeable (1) ou limitée (2).

    Le but de cette étape est d’obtenir une liste explicite et hiérarchisée de toutes les menaces qui permettraient aux événements redoutés de survenir.

     

    Vulnérabilités des supports

    Risque à anticiper :

    • Détérioration d’un matériel (ex. : destruction d’un serveur)
    • Usage anormal d’un logiciel (ex. : maladresse en manipulant les fichiers)
    • Départ d’une personne (ex. : démission de celui qui connait les procédures)
    • Disparition d’un canal papier (ex. : changement de procédures)
    • Vol d’un matériel (ex. : vol d’un PC portable dans le train)
    • Détournement d’usage d’un logiciel (ex. : usage à titre personnel)
    • Modification d’un logiciel (ex. : propagation d’un virus)

     

    Dans quelle mesure les caractéristiques des supports sont-elles exploitables pour réaliser la menace ?

    • 1. Négligeable : il ne semble pas possible de réaliser la menace en s’appuyant sur les caractéristiques des supports (ex. : vol de supports papiers stockés dans un local de l’organisme dont l’accès est contrôlé par badge et code d’accès).
    • 2. Limité : il semble difficile de réaliser la menace en s’appuyant sur les caractéristiques des supports (ex. : vol de supports papiers stockés dans un local de l’organisme dont l’accès est contrôlé par badge).
    • 3. Important : il semble possible de réaliser la menace en s’appuyant sur les caractéristiques des supports (ex. : vol de supports papiers stockés dans les bureaux d’un organisme dont l’accès est contrôlé par une personne à l’accueil).
    • 4. Maximal : il semble extrêmement facile de réaliser la menace en s’appuyant sur les caractéristiques des supports (ex. : vol de supports papier stockés dans le hall public de l’organisme).

     

    Capacités des sources de risques sont estimées pour chaque menace

    Quelles sont leurs capacités à exploiter les vulnérabilités (compétences, temps disponible, ressources financières, proximité du système, motivation, sentiment d’impunité…) ?

    • 1. Négligeable : les sources de risques ne semblent pas avoir de capacités particulières pour réaliser la menace (ex. : détournement d’usage de logiciels par une personne sans mauvaises intentions ayant des privilèges restreints).
    • 2. Limité : les sources de risques ont quelques capacités, mais jugées peu importantes, pour réaliser la menace (ex. : détournement d’usage de logiciels par une personne mal intentionnée ayant des privilèges restreints).
    • 3. Important : les sources de risques ont des capacités réelles, jugées importantes, pour réaliser la menace (ex. : détournement d’usage de logiciels par une personne sans mauvaises intentions ayant des privilèges d’administration illimités).
    • 4. Maximal : les sources de risques ont des capacités certaines, jugées illimitées, pour réaliser la menace (ex. : détournement d’usage de logiciels par une personne mal intentionnée ayant des privilèges d’administration illimités).

     

    Vraisemblance des menaces = Mesure de la vulnérabilités des supports + Capacités des sources de risques

    La Méthode Ebios - Mesure de la vraisemblance des vulnérabilités

     

     

     

     

    Exemples de menaces qui peuvent affecter la confidentialité

    La Méthode Ebios - Menaces génériques Menaces qui peuvent affecter la confidentialité

     

    Exemples de menaces qui peuvent affecter l’intégrité

    La Méthode Ebios - Menaces génériques Menaces qui peuvent affecter l’intégrité

     

    Exemples de menaces qui peuvent affecter la disponibilité

    La Méthode Ebios - Menaces génériques Menaces qui peuvent affecter la disponibilité 

     

    4.4 Étude des risques : quel est le niveau des risques ?

    Le but de cette étape est d’obtenir une cartographie des risques permettant de décider de la priorité de traitement.
    Puisqu’un risque est composé d’un événement redouté et de toutes les menaces qui permettraient qu’il survienne :

    • sa gravité est égale à celle de l’événement redouté,
    • sa vraisemblance est égale à la valeur la plus élevée de la vraisemblance des menaces associées à l’événement redouté.

    On peut dès lors positionner les risques sur une cartographie :

    La Méthode Ebios - Tableau de la cartographie des risques

    En fonction du positionnement de vos risques au sein de la cartographie ci-dessus, vous pouvez par ordre de priorité, vous fixer des objectifs :

    Zone n°1 : La gravité des risques est élevée, mais la vraisemblance faible
    Ces risques doivent être évités ou réduits, par l’application de mesures de sécurité diminuant leur gravité ou leur vraisemblance. Les mesures de prévention devront être privilégiées ;

    Zone n°2 : La gravité et la vraisemblance sont élevées
    Ces risques doivent absolument être évités ou réduits par l’application de mesures de sécurité diminuant leur gravité et leur vraisemblance. Dans l’idéal, il conviendrait même de s’assurer qu’ils sont traités à la fois par des mesures indépendantes de prévention (actions avant le sinistre), de protection (actions pendant le sinistre) et de récupération (actions après le sinistre) ;

    Zone n°3 : La gravité et la vraisemblance sont faibles
    Ces risques peuvent être pris, d’autant plus que le traitement des autres risques devrait également contribuer à leur traitement.

    Zone n°4 : La gravité est faible mais la vraisemblance élevée
    Ces risques doivent être réduits par l’application de mesures de sécurité diminuant leur vraisemblance. Les mesures de récupération devront être privilégiées ;

     

    4.5 Étude des mesures de sécurité : Quelles mesures devrait-on appliquer ?

    Le but de cette étape est de bâtir un dispositif de protection qui permette de traiter les risques de manière proportionnée, qui soit conforme à la Loi informatique et Libertés, et qui tienne compte des contraintes du responsable de traitement (légales, financières, techniques…).

    Tout d’abord, il convient de déterminer les mesures pour traiter les risques. Pour ce faire, il est nécessaire de relier les mesures existantes ou prévues (identifiées précédemment dans l’étude ou dans les références applicables) au(x) risque(s) qu’elles contribuent à traiter.

    Des mesures sont ensuite ajoutées tant que le niveau des risques n’est pas jugé acceptable.

     

    Cette action consiste à déterminer des mesures complémentaires qui vont porter :

    1.  sur les éléments à protéger : mesures destinées à empêcher que leur sécurité ne puisse être atteinte, à détecter leur atteinte ou à recouvrer la sécurité informer les personnes concernées, minimiser les DCP, anonymiser les DCP…) ;
    2. puis, si ce n’est pas suffisant, sur les impacts potentiels : mesures destinées à empêcher que les conséquences du risque ne puissent se déclarer, à identifier et limiter leurs effets ou à les résorber (sauvegarder, contrôler l’intégrité, gérer les violations de DCP…) ;
    3. ensuite, si ce n’est pas suffisant, sur les sources de risques : mesures destinées à les empêcher d’agir ou de concrétiser le risque, à identifier et limiter leur action ou à se retourner contre elles (contrôler les accès physiques et logiques, tracer l’activité, gérer les tiers, lutter contre les codes malveillants…) ;
    4. enfin, si ce n’est pas suffisant, sur les supports : mesures destinées à empêcher que les vulnérabilités puissent être exploitées, à détecter et limiter les menaces qui surviennent tout de même ou à retourner à l’état de fonctionnement normal (réduire les vulnérabilités des logiciels, des matériels, des personnes, des documents papiers…).

    Remarque :
    Plus les capacités des sources de risques sont importantes, plus les mesures doivent être robustes pour y résister.
    Par ailleurs, les éventuels incidents qui auraient déjà eu lieu, notamment les violations de DCP, ainsi que les difficultés rencontrées pour mettre en oeuvre certaines mesures, peuvent servir à améliorer le dispositif de sécurité.
    Les mesures spécifiées devraient être formalisées, mises en place, auditées de manière régulière et améliorées de manière continue.

    Il convient ensuite de ré-estimer la gravité et la vraisemblance des risques résiduels (c’est-à dire les risques qui subsistent après application des mesures choisies) en tenant compte de ces mesures complémentaires. Il est alors possible de les repositionner sur la cartographie ci-dessous :

    La Méthode Ebios - Tableau de la cartographie des risques ré-estimée

     

    Enfin, il convient d’expliquer pourquoi les risques résiduels peuvent être acceptés.

    Cette justification peut s’appuyer sur les nouveaux niveaux de gravité et de vraisemblance et sur les bénéfices du traitement identifiés précédemment (prise de risques au regard des bénéfices attendus) en appliquant les règles suivantes :

     

    Zone n°1 : Risques dont la gravité est élevée mais la vraisemblance faible
    Ces risques peuvent être pris, mais uniquement s’il est démontré qu’il n’est pas possible de réduire leur gravité et si leur vraisemblance est négligeable ;

    Zone n°2 : Risques dont la gravité et la vraisemblance sont élevées
    Ces risques ne doivent pas être pris ;

    Zone n°3 : Risques dont la gravité et la vraisemblance sont faibles
    Ces risques peuvent être pris.

    Zone n°4 : Risques dont la gravité est faible mais la vraisemblance élevée : ces risques peuvent être pris, mais uniquement s’il est démontré qu’il n’est pas possible de réduire leur vraisemblance et si leur gravité est négligeable ;

     

    Remarque :

    Il peut être acceptable de déroger à ces règles, mais uniquement s’il est démontré que les
    bénéfices du traitement sont largement supérieurs aux risques.

     

     


    Contactez-nous

    Denis JACOPINI
    Tel : 06 19 71 79 12
    formateur n°93 84 03041 84

     

    Références : 
    http://www.cnil.fr/fileadmin/documents/Guides_pratiques/CNIL-Guide_Securite_avance_Methode.pdf
    http://www.ssi.gouv.fr/fr/guides-et-bonnes-pratiques/outils-methodologiques/ebios-2010-expression-des-besoins-et-identification-des-objectifs-de-securite.html

     

     


    Contactez-nous

    Denis JACOPINI
    Tel : 06 19 71 79 12
    formateur n°93 84 03041 84


    Denis JACOPINI est Expert Judiciaire en Informatique, consultant, formateur et chargé de cours.
    Nos domaines de compétence :

    • Expertises et avis techniques en concurrence déloyale, litige commercial, piratages, arnaques Internet… ;
    • Consultant en sécurité informatique, cybercriminalité et mises en conformité et déclarations à la CNIL ;
    • Formateur et chargé de cours en sécurité informatique, cybercriminalité et déclarations à la CNIL.

    Contactez-nous


     

     

    Cet article vous à plu ? Laissez-nous un commentaire
    (notre source d’encouragements et de progrès
    )

     

     




    Les petites entreprises aussi victimes de cybercriminalité | Denis JACOPINI

    Menace interne et externe, la cyber-criminalité touche autant les PME que les grandes entreprises ou les particuliers. Des mesures "accessibles" permettent de se prémunir de 80 % des risques.

    Les petites entreprises aussi victimes de cybercriminalité

    Vols de données clients, piratage de propriété intellectuelle… les cyberattaques sont légion, mais les petites entreprises se croient souvent peu concernées. A tort. Pour se protéger de ces actes malveillants, une bonne « hygiène numérique » simple à mettre en place s’avère nécessaire. 

     

    « Dirigeant d’une petite entreprise, vous pensez n’avoir jamais été victime d’une cyberattaque ? Soit vous ne l’avez pas détectée, soit vous n’intéressez plus personne et il faudrait penser à changer de métier ! « .

    Cette boutade, destinée à faire prendre conscience aux patrons de PME des risques qu’ils encourent face aux hackers en tout genre, émane du contre-amiral Dominique Riban, directeur général adjoint de l’Anssi, l’Agence nationale de la sécurité des systèmes d’information.

    Il faut dire que pour une PME, détecter ne serait-ce que les incidents de sécurité, autrement dit le fait qu’un pirate essaie de s’introduire dans le système sans y parvenir, s’avère bien compliqué. Idem pour les attaques. Certes, des comportements bizarres de l’ordinateur peuvent attirer l’attention, comme son ralentissement, des connexions qui s’effectuent toutes seules, la flèche de la souris qui se ballade… Mais les  » méchants  » savent surtout se faire discrets. Et il s’agit d’un sujet très – trop – technique, lorsqu’on ne possède pas un collaborateur spécialisé à plein temps pour s’en préoccuper…

     

     

    Peu de PME portent plainte

    Difficile d’avoir des chiffres fiables sur la réalité de la cybercriminalité subie par les PME. Pour une raison simple: peu portent plainte, lorsqu’elles en sont victimes. Pourquoi risquer la mauvaise publicité ? Retrouver l’auteur de l’infraction s’avère de toute façon souvent mission impossible, admet Jean-Louis Di Giovanni, associé PwC du département Litiges et Investigations auteur d’une enquête sur les fraudes en entreprises* :  » On peut remonter sa trace, mais quand l’adresse IP provient d’un cybercafé aux alentours de la gare de l’Est, comment voulez-vous mettre la main dessus ? « . Devenir cybercriminel est en tout cas à la portée de tous.  » Aujourd’hui, pour une centaine d’euros, vous disposez d’une solution pour attaquer le système d’information de votre concurrent, ou, pour trois fois moins cher, son smartphone « , indique Dominique Riban.

     

     

    Une menace à plusieurs visages

    Fomentée par de malveillants collaborateurs, actuels ou anciens, ou bien perpétrée par des hackers externes, la cybercriminalité s’avère multi-formes. Les attaques ciblées, qui visent à voler un savoir-faire particulier ou des données sensibles (secrets de fabrication, brevets, plans industriels, fichiers clients…), côtoient des attaques que Philippe Humeau, directeur général de NBS System, spécialisée dans l’hébergement de haute sécurité et les tests d’intrusion, nomme d' » opportunistes  » :  » Il suffit que l’entreprise ait un bout de son système connecté sur le net, qu’elle laisse traîner un mot de passe par défaut, et ça y est, elle est vulnérable. Il faut savoir qu’une adresse IP est scannée vingt fois par jour, explique-t-il. Une vraie industrie, que ces scanners qui recherchent des données relatives à des cartes bleues ou à des  » identités « , autrement dit à des informations sur les personnes (celles que l’entreprise doit signaler détenir à la Cnil, ndlr). Aux commandes, des pirates qui effectuent de la récupération massive de données de ce type, puis les revendent au détail à d’autres pirates.  » Car elles ont de la valeur. Des données bancaires se revendent dix dollars. Une « identité », entre 5 et 15 dollars.  » Une filière aussi organisée que le recel de bijoux « , confirme Dominique Riban.

     

     

    Des piégeurs pros

    Parfois, les cybercriminels entrent carrément en contact avec l’entreprise. Leur inventivité sans faille leur permet de s’engouffrer dans toute nouvelle brèche. Dernier coup à la mode, la  » fraude Sepa « . Les entreprises ont, rappelons-le, jusqu’au 31 juillet 2014 maximum, pour opérer leur migration afin d’être conforme à ces nouvelles normes de paiement européennes. Une aubaine, pour les fraudeurs.

     

    Jean-Louis Di Giovanni détaille le processus :  » Quelques jours auparavant, ils envoient un mail à la société, pour l’avertir qu’ils vont la contacter par téléphone afin de procéder à des essais. Le mail semble officiel évidemment. On y trouve le numéro du fraudeur, et, comble du raffinement, si l’on appelle, on tombera sur la petite musique d’attente officielle de la banque. Le jour J, ils téléphonent donc à l’entreprise, et demandent à leur interlocuteur de télécharger un programme… qui sert en réalité à prendre la main sur son ordinateur. Le fraudeur voit sur l’écran toutes les informations qu’aurait normalement la banque, et cela le rend ainsi crédible pour passer un ordre, du type : allez sur le compte x sur lequel vous disposez de 2,5 millions d’euros et faites un virement vers ce numéro de compte étranger.  » Nombreuses ont été les entreprises à s’exécuter. 48 h plus tard – le délai maximum pour faire bloquer in extremis le virement – c’est trop tard !

     

     

    80 % de risques évités avec des mesures simples

    Des mesures de protection sont aujourd’hui nécessaires. Contrairement aux idées reçues, le recours à des solutions  » technologiques  » ne constituerait pas forcément la meilleure arme de défense contre les hackers.  » Il est surtout important de sensibiliser ses collaborateurs aux bonnes pratiques « , assure Philippe Trouchaud, associé PwC, spécialiste de la cybersécurité.

     

    L’Anssi publie sur son site un mode d’emploi pour éviter les incidents. Il s’agit d’une quarantaine de  » règles d’hygiène « , concernant la sécurité des messageries, du poste de travail, des imprimantes etc. Une quinzaine sont applicables par les petites entreprises.  » 80 % des attaques n’auraient pas lieu si ces recommandations étaient respectées « , assure Dominique Riban. Parmi elles, des gestes simples… mais trop souvent négligés. Une évidence, par exemple, de toujours utiliser des mots de passe solides?  » 70 % d’entre eux sont faibles, se désole Philippe Humeau. Cette négligence généralisée cause énormément de désastres. Sans compter que les gens utilisent les mêmes partout.  »

     

     

    En plus du choix de mot de passe costauds, les experts font trois recommandations essentielles :

     

    1. Des mises à jour régulières

    Se doter d’au moins deux anti-virus et les remettre à jour.  » Même si un antivirus n’a jamais été la panacée « , concède le contre-amiral Riban. Même nécessité de remise à jour pour tous ses logiciels.  » Si les éditeurs font évoluer leurs versions, c’est parce qu’ils ont constaté des failles de sécurité, pointe Philippe Humeau. Mieux vaut éviter de reporter sans cesse le  » rebootage  » de sa machine quand elle le demande.  »

     

    2. Attention au cloud

    Toute nouvelle pratique engendre de nouvelles menaces. C’est le cas du cloud. « N’y stockez pas de données cruciales, exhorte Dominique Riban. Privilégiez des opérateurs français dont vous trouverez la liste sur le site de l’Anssi. Je ne dis pas qu’il n’y aura pas d’accident, mais au moins, notre structure a analysé leur façon de travailler, les a audité, leur a fait corriger leurs failles. Ce n’est pas le cas, par exemple, avec Google ou Microsoft.  »

     

    3.Haro sur le BYOD

    Philippe Humeau n’hésite pas également à pointer du doigt ce qu’il appelle le  » problème des jeunes générations  » :  » Elles débarquent dans l’entreprise avec des notions de sécurité et de vie privée assez light. Elles ont encore moins de réflexes que leurs aînées. Lorsqu’un jeune n’hésite pas à dévoiler sa cuite du week-end sur Facebook, il ne faut pas s’attendre à ce qu’il sache mettre des barrières là où il devrait les mettre.  » Souvent associé à la génération Y – mais pas que – , le phénomène BYOD ( » bring your own device « ) tient du fléau en matière de cybersécurité. La pratique nécessite d’être encadrée.

     

     » Il devient difficile de l’interdire, mieux vaut donc accompagner l’usage « , préconise Philippe Humeau. Mettre en place par exemple un réseau internet privé et un autre public, pour que les collaborateurs s’y connectent avec leur machine. Dominique Riban se montre, lui, beaucoup plus radical :  » Même si l’appareil appartient à l’employé, seul l’employeur doit pouvoir administrer la machine, afin que l’utilisateur, ou ses enfants, ne puisse pas télécharger tout et n’importe quoi le week-end ou désactiver l’anti-virus.  » Pas sûr que les collaborateurs acceptent…

     

     

    Procéder ou pas à un test d’intrusion

    Pour évaluer la capacité de résistance de son système informatique, on peut évidemment faire effectuer un test d’intrusion. A une petite entreprise, il en coûtera aux alentours de 7000 euros. Une facture qui peut paraître prohibitive.  » Evidemment cela ne s’adresse pas à tout petit entrepreneur , se défend Philippe Humeau, dont la société propose de tels tests. Mais si l’on a des secrets de fabrication, la dépense est justifiée. Nos interventions se déroulent encore malheureusement trop souvent en post-mortem, nous faisons peu de prévention.  »

     

    * Selon cette récente étude, la cybercriminalité est la 2ème fraude la plus signalée en France. Son évolution inquiète particulièrement les dirigeants qui la classent comme la fraude la plus redoutée dans les 24 mois à venir.

     

     


    Contactez-nous

    Denis JACOPINI
    Tel : 06 19 71 79 12
    formateur n°93 84 03041 84

     

     


    Contactez-nous


     

    Cet article vous plait ? Partagez !
    Un avis ? Laissez-nous un commentaire !

     

    Source : http://lentreprise.lexpress.fr/high-tech-innovation/cybercriminalite-les-petites-entreprises-ne-sont-pas-a-l-abri_1518760.html