mardi 11 décembre 2012

Escroquerie à la carte bleue

Daniel Martin, co-fondateur et directeur de la stratégie de SecuNeo était l'invité, ce soir, d'Yves Calvi dans le cadre de l'émission C DANS L'AIR sur France 5 pour apporter son expertise concernant les escroquereis à la carte bleue.

dimanche 16 octobre 2011

Des pertes de données toujours plus fréquentes en environnement virtuel !

Aujourd’hui, les entreprises ont de plus en plus recours au Cloud Computing, en particulier pour stocker des données. Une étude réalisée par Kroll Ontrack montre que 65 % des entreprises concernées subissent des pertes de données. Le détail des résultats de l’étude indique que 53 % des répondants ont subi au moins cinq cas de pertes virtuelles dans l’année, ce qui représente une hausse de 140 % par rapport à l’année précédente.

Or, les conséquences de telles pertes ont un impact réel et immédiat sur l’ensemble de l’entreprise : altération des données, perte de productivité, interruption de l’activité, ventes perdues, dégradation de l’image de marque et surtout perte de confiance des clients et des fournisseurs. Selon une étude Forrester-DRJ, le coût d’un arrêt d’activité représente pas moins de 145 000 dollars par heure en moyenne.

Alors que de plus en plus d’entreprises se tournent vers l’externalisation virtuelle, paradoxalement, 55 % d’entre elles indiquent qu’ils n’ont pas confiance dans les prestataires pour gérer correctement les incidents de perte de données. Il faut ici souligner que trop souvent, les fournisseurs de systèmes virtualisés refusent toute responsabilité relative à l’altération, la destruction ou la suppression de données !

Pour faire face, il convient  de rappeler qu’un plan de continuité d’activités est indispensable au sein des entreprises, que ce plan doit être testé en grandeur réelle et que les plans de reprise d’activité doivent inclure le recours à un spécialiste de récupération des données.

mercredi 12 octobre 2011

Priorité à la protection des données !

L’affaire Wikileaks, couronnée par la fuite massive, en 2010, de plusieurs milliers de câbles diplomatiques, n’a pas été digérée par l’administration américaine.

Et pour cause : la diffusion de telles informations met en effet gravement en danger, à la fois certaines personnes citées en violant la protection des sources, mais aussi les options politiques choisies et directement protégées par le secret légitime des Etats.

Des réformes structurelles viennent d’être prises après la signature, par le Président des Etats-Unis d’Amérique, d’un décret ayant pour but d’éviter le renouvellement de telles fuites de données gouvernementales.

Un comité intergouvernemental de direction est désormais chargé de coordonner  les efforts de lutte contre les fuites et d’assurer le respect des normes de sécurité. En parallèle, une Task Force spécifique a pour mission de proposer et de mettre en œuvre toute initiative visant à réduire la vulnérabilité des données classifiées.

Toutes les agences fédérales vont se doter d’un responsable dont la mission sera de superviser à la fois la protection, mais aussi et surtout le partage des informations. D’autre part, un programme de détection des menaces internes visera à se protéger des fuites trouvant leur source dans les personnels même des agences.

Il aura fallu plus d’une année pour que des mesures rigoureuses soient officiellement mises en œuvre, alors que de nombreuses études ont largement démontré, depuis longtemps, qu’en matière de perte ou de fuites de données, le risque vient de l’intérieur !

Et les agences gouvernementales ne sont pas les seules cibles à protéger. Dans le monde global dans lequel nous vivons, ce sont surtout les entreprises qui constituent des objectifs et tous les coups sont permis pour obtenir des données capables de fausser la concurrence. L’information, la véritable richesse de l’entreprise, doit être parfaitement maîtrisée et son utilisation strictement contrôlée en fonction de son degré de sensibilité.

C’est la raison pour laquelle SECUNEO, consciente des risques encourus, propose via son produit phare SENTINELIS, une réponse globale pour faire face en toute flexibilité  à toutes les menaces liées à la fuite ou à la perte d’informations.  Si les agences américaines de renseignement avaient déployé un tel outil, le scandale WikiLeaks aurait pu être évité !

mardi 4 octobre 2011

Vol de données immatérielles

Le 26 septembre dernier, le tribunal correctionnel de Clermont Ferrand vient de rendre une décision qui va faire jurisprudence et qui représente un pas important dans la reconnaissance du vol de données immatérielles dans les entreprises.

Rappelons l’affaire : une société travaillant dans le domaine du luxe a été victime d’un vol de données par une employée d’origine chinoise qui, à l’aide d’une clé USB, a procédé à la copie des fichiers clients et fournisseurs, dans le but de créer une entreprise concurrente. Plainte a été déposée pour abus de confiance par détournement de biens informationnels et vols de fichiers.
Les avocats ont fait valoir que « l’information immatérielle, c’est la richesse de l’entreprise et que c’est ce qui a été dérobé par cette salariée ».

L’ancienne salariée vient d’être condamnée à trois mois de prison avec sursis et 3000 euros de dommages et intérêts. Si la peine semble minime face aux dégâts occasionnés, pour la première fois, le vol de données immatérielles a été retenu dans une affaire d’espionnage industriel. L’intrusion dans un système informatique n’a pas pu être retenue dans la mesure où il n’y a pas eu effraction et que les codes d’accès n’ont pas été cassés puisque la salariée était encore en fonction dans l’entreprise lors des faits.

Au moment où l’espionnage industriel est en plein essor, cette décision est un signal fort qui vise à protéger les victimes de vols de données immatérielles.

Si l’arsenal juridique est entrain de se muscler pour permettre aux entreprises de se protéger dans un monde où l’intelligence économique prime, avec notamment une future reconnaissance du « secret entreprise », la meilleure protection possible doit venir de l’entreprise elle-même.

Les systèmes d’information sont au cœur des risques. Il est devenu absolument nécessaire de connaître en temps réel la situation des données en particulier celles les plus sensibles. Au moment où l’information est accessible à partir de multiples canaux et réseaux, où les mobiles et portables sont en pleine prolifération et où les moyens de copie ou d’accès se multiplient, il est impératif de maîtriser avec le plus de souplesse et de sécurité ce monde complexe de l’information.

dimanche 25 septembre 2011

Notification des pertes de données en France


Il est avéré que les pertes et fuites de données sont pour les entreprises une des plus importantes  menaces auxquelles elles doivent faire face. Les utilisateurs fichés risquent en conséquence, à chaque fois, de voir leurs données personnelles corrompues, dévoilées et utilisées à des fins frauduleuses, entraînant notamment des usurpations d’identité.

Plusieurs pays dans le monde ont déjà choisi la transparence et donc l’obligation pour les entreprises de déclarer leurs pertes de données. Ce n’était jusqu’à présent pas le cas de la France.

Un premier pas vient d’être franchi par la publication au Journal Officiel, le 26 Août dernier, d’une ordonnance relative aux communications électroniques (JORF N° 0197-ordonnance N° 2011-1012) et qui complète l’article 34 de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.

Ainsi, « En cas de violation de données à caractère personnel, le fournisseur de services de communications électroniques accessibles au public avertit, sans délai, la Commission nationale de l'informatique et des libertés.
« Lorsque cette violation peut porter atteinte aux données à caractère personnel ou à la vie privée d'un abonné ou d'une autre personne physique, le fournisseur avertit également, sans délai, l'intéressé.
« La notification d'une violation des données à caractère personnel à l'intéressé n'est toutefois pas nécessaire si la Commission nationale de l'informatique et des libertés a constaté que des mesures de protection appropriées ont été mises en œuvre par le fournisseur afin de rendre les données incompréhensibles à toute personne non autorisée à y avoir accès et ont été appliquées aux données concernées par ladite violation. »

De plus, ce texte modifie également le Code Pénal créant un article 226-17-1 qui précise que « Le fait pour un fournisseur de services de communications électroniques de ne pas procéder à la notification d'une violation de données à caractère personnel à la Commission nationale de l'informatique et des libertés ou à l'intéressé, en méconnaissance des dispositions du II de l'article 34 bis de la loi n° 78-17 du 6 janvier 1978, est puni de cinq ans d'emprisonnement et de 300 000 € d'amende. »

Il était temps ! Car aucune statistique sérieuse pour mesurer le phénomène n’est encore disponible en dehors des pays anglo-saxons.

Mais il ne s’agit que d’une première étape qui ne touche pas toutes les entreprises où nous sommes tous fichés ! En effet, seules les firmes du secteur des télécommunications sont aujourd’hui concernées.

L’Europe semble vouloir réagir, notamment suite aux vagues de piratage ayant touché tant les administrations que les grandes entreprises. la Commission veut rendre obligatoire et publique la déclaration de perte ou de fuites de données pour les entreprises. Encore faut-il que ces mêmes entreprises soient en mesure de constater les pertes ou fuites et capables de déterminer ce qui a été volé !

En attendant, la meilleure solution consiste à se protéger contre ce phénomène de plus en plus fréquent.

Mettre en place les outils capables de détecter les anomalies et permettant de la manière la plus souple possible de réagir pour éviter le pire constitue l’arme indispensable pour faire face aux obligations d’information de la CNIL.  Sans compter que chaque dirigeant devrait avoir présent à l’esprit que chaque fuite ou perte de données (personnelles ou pas) constitue une atteinte aux intérêts fondamentaux de l’entreprise, à sa crédibilité et à sa trésorerie !

lundi 27 juin 2011

70 % des entreprises françaises ont subi une perte de données l’an dernier, et vous ?

Selon une enquête récente menée en France et intitulée « comprendre la complexité de la sécurité dans les environnements informatiques du XXIème siècle »*, les causes de perte de données sont d’abord la perte ou le vol d’équipements, les attaques des réseaux, les partages de fichiers, les mobiles non sécurisés et les envois intempestifs de courriels à de mauvais destinataires.

Les informations compromises sont le plus souvent les données clients, celles concernant la propriété intellectuelle et industrielle, les données concernant les salariés et les divers plans le plus souvent confidentiels des entreprises.

La prolifération des terminaux mobiles, ajoutée à la différence de plus en plus floue entre données personnelles privées et données entrepreneuriales, avec en toile de fond la véritable explosion des réseaux sociaux, incitent à une réelle prise en compte de ces phénomènes capables de détruire littéralement les entreprises touchées. D’autant plus que les personnels ne sont pas suffisamment sensibilisés et que ces risques ne sont pas bien intégrés dans la gouvernance des firmes.

Pour mettre en place un processus de prévention et de protection valable, il est indispensable dans un premier temps de connaître le niveau de sensibilité des données manipulées en effectuant un classement approprié, d’avoir un aperçu très clair des données existantes, d’identifier les utilisateurs et bien sûr de connaître leur comportement pour détecter les anomalies.

Il convient également de respecter les obligations légales, de s’informer sur les meilleures pratiques et de préparer une protection proactive des données.

Seule l’association entre moyens techniques et humains permet de faire face à ce phénomène qui ne va pas cesser de progresser.

SECUNEO répond parfaitement à cette politique qui correspond à une meilleure gouvernance des entreprises.

L’an dernier, au niveau mondial, 77 % des entreprises ont été affectées par une perte ou un vol de données. Ne rejoignez pas cette longue liste et soyez vigilants afin de garantir l’avenir de votre société !

Source : http://www.checkpoint.com et Ponemon Institute (février 2011)

mardi 12 avril 2011

Renault et les espions imaginaires

Daniel Martin, co-fondateur et directeur de la stratégie de SecuNeo était l'invité, ce soir, d'Yves Calvi dans le cadre de l'émission C DANS L'AIR sur France 5 pour apporter son expertise sur la fausse affaire d'espionnage dont Renault a été victime.

Si il apparait aujourd'hui que l'affaire pourrait être une manipulation il ne faut pas oublier que d'autres entreprises elles sont victimes d'espionnage industriel, comme par exemple TURBOMECA filliale du groupe SAFRAN.


mercredi 6 avril 2011

Prix de l'innovation - RSSI 2011

Chaque année, la rédaction du magazine 01 Informatique organise les Trophées RSSI et décerne 4 récompenses à des RSSI qui se sont démarqués au cours de l'année.

Jean-Christophe Monier, RSSI du Groupe CMA-CGM qui nous avait fait l'honneur d'être notre invité lors de la 10ème édition des Assises de la Sécurité, vient d'être récompensé et s'est vu décerner le Prix de l'Innovation.

L'ensemble de l'équipe SecuNeo se joint à moi pour adresser nos félicitations à ce RSSI hors pair!

vendredi 25 mars 2011

Un nouveau casse-tête pour les DSI

Une nouvelle étude de l’éditeur de sécurité AVG souligne une faille de sécurité encore trop négligée par les entreprises : l’utilisation des smartphones par les personnels de l’entreprise.

De plus en plus souvent, les employés utilisent leur matériel mobile pour un usage à la fois professionnel, mais aussi privé. Or, les mesures de sécurité édictées par les règlements intérieurs pour l’usage de ces matériels sont rarement respectées et leur application non systématiquement contrôlée.

Selon cette étude, 89 % des personnes interrogées ne savent pas que les matériels nomades peuvent véhiculer des informations confidentielles. Encore plus édifiant : 57 % ne jugent pas les fonctions de sécurité intégrées dans ces matériels comme importantes. 28 % ignorent même le risque lié à un double usage privé-entreprise de leur smartphone !

Quand on apprend que 66 % y stockent des données personnelles, on ne peut que s’inquiéter pour le devenir de ces données. D’autant que cette étude souligne que 91 % ne savent pas que les applications financières pour smartphones sont bien susceptibles d’être infectées par des malwares détournant les numéros de cartes de crédit et les identifiants en ligne. Pour couronner le tout, 56 % des sondés ne savent pas non plus qu’il faut se déconnecter correctement des réseaux sociaux pour éviter qu’un imposteur ne prenne la main.

Alors que les ventes de smartphones explosent et que ces matériels entrent dans les réseaux d’entreprise, il est grand temps que les DSI prennent en compte ce nouveau facteur de vulnérabilité. Il sera bien difficile et même impossible d’imposer un usage compartimenté de ces outils qui apportent facilité et confort dans leur utilisation.

Il reste alors à mettre en œuvre une solution comme SENTINELIS qui permet de garantir une sécurité globale de l’information en formalisant clairement l’emploi de tous les matériels utilisés dans le cadre de l’entreprise et qui apporte toute la flexibilité indispensable dans ce domaine.

Source: http://www.businessmobile.fr/actualites/securite-9-utilisateurs-su