Aujourd’hui, les entreprises ont de plus en plus recours au Cloud Computing, en particulier pour stocker des données. Une étude réalisée par Kroll Ontrack montre que 65 % des entreprises concernées subissent des pertes de données. Le détail des résultats de l’étude indique que 53 % des répondants ont subi au moins cinq cas de pertes virtuelles dans l’année, ce qui représente une hausse de 140 % par rapport à l’année précédente.
Or, les conséquences de telles pertes ont un impact réel et immédiat sur l’ensemble de l’entreprise : altération des données, perte de productivité, interruption de l’activité, ventes perdues, dégradation de l’image de marque et surtout perte de confiance des clients et des fournisseurs. Selon une étude Forrester-DRJ, le coût d’un arrêt d’activité représente pas moins de 145 000 dollars par heure en moyenne.
Alors que de plus en plus d’entreprises se tournent vers l’externalisation virtuelle, paradoxalement, 55 % d’entre elles indiquent qu’ils n’ont pas confiance dans les prestataires pour gérer correctement les incidents de perte de données. Il faut ici souligner que trop souvent, les fournisseurs de systèmes virtualisés refusent toute responsabilité relative à l’altération, la destruction ou la suppression de données !
Pour faire face, il convient de rappeler qu’un plan de continuité d’activités est indispensable au sein des entreprises, que ce plan doit être testé en grandeur réelle et que les plans de reprise d’activité doivent inclure le recours à un spécialiste de récupération des données.
dimanche 16 octobre 2011
mercredi 12 octobre 2011
Priorité à la protection des données !
L’affaire Wikileaks,
couronnée par la fuite massive, en 2010, de plusieurs milliers de câbles
diplomatiques, n’a pas été digérée par l’administration américaine.
Et pour
cause : la diffusion de telles informations met en effet gravement en
danger, à la fois certaines personnes citées en violant la protection des
sources, mais aussi les options politiques choisies et directement protégées
par le secret légitime des Etats.
Des réformes
structurelles viennent d’être prises après la signature, par le Président des
Etats-Unis d’Amérique, d’un décret ayant pour but d’éviter le renouvellement de
telles fuites de données gouvernementales.
Un comité
intergouvernemental de direction est désormais chargé de coordonner les efforts de lutte contre les fuites
et d’assurer le respect des normes de sécurité. En parallèle, une Task Force
spécifique a pour mission de proposer et de mettre en œuvre toute initiative
visant à réduire la vulnérabilité des données classifiées.
Toutes les agences
fédérales vont se doter d’un responsable dont la mission sera de superviser à
la fois la protection, mais aussi et surtout le partage des informations.
D’autre part, un programme de détection des menaces internes visera à se
protéger des fuites trouvant leur source dans les personnels même des agences.
Il aura fallu plus
d’une année pour que des mesures rigoureuses soient officiellement mises en
œuvre, alors que de nombreuses études ont largement démontré, depuis longtemps,
qu’en matière de perte ou de fuites de données, le risque vient de
l’intérieur !
Et les agences
gouvernementales ne sont pas les seules cibles à protéger. Dans le monde global
dans lequel nous vivons, ce sont surtout les entreprises qui constituent des
objectifs et tous les coups sont permis pour obtenir des données capables de
fausser la concurrence. L’information, la véritable richesse de l’entreprise,
doit être parfaitement maîtrisée et son utilisation strictement contrôlée en
fonction de son degré de sensibilité.
C’est la raison
pour laquelle SECUNEO, consciente des risques encourus, propose via son produit
phare SENTINELIS, une réponse globale pour faire face en toute flexibilité à toutes les menaces liées à la fuite
ou à la perte d’informations. Si
les agences américaines de renseignement avaient déployé un tel outil, le
scandale WikiLeaks aurait pu être évité !
mardi 4 octobre 2011
Vol de données immatérielles
Le 26 septembre dernier, le tribunal correctionnel de Clermont Ferrand vient de rendre une décision qui va faire jurisprudence et qui représente un pas important dans la reconnaissance du vol de données immatérielles dans les entreprises.
Rappelons l’affaire : une société travaillant dans le domaine du luxe a été victime d’un vol de données par une employée d’origine chinoise qui, à l’aide d’une clé USB, a procédé à la copie des fichiers clients et fournisseurs, dans le but de créer une entreprise concurrente. Plainte a été déposée pour abus de confiance par détournement de biens informationnels et vols de fichiers.
Les avocats ont fait valoir que « l’information immatérielle, c’est la richesse de l’entreprise et que c’est ce qui a été dérobé par cette salariée ».
L’ancienne salariée vient d’être condamnée à trois mois de prison avec sursis et 3000 euros de dommages et intérêts. Si la peine semble minime face aux dégâts occasionnés, pour la première fois, le vol de données immatérielles a été retenu dans une affaire d’espionnage industriel. L’intrusion dans un système informatique n’a pas pu être retenue dans la mesure où il n’y a pas eu effraction et que les codes d’accès n’ont pas été cassés puisque la salariée était encore en fonction dans l’entreprise lors des faits.
Au moment où l’espionnage industriel est en plein essor, cette décision est un signal fort qui vise à protéger les victimes de vols de données immatérielles.
Si l’arsenal juridique est entrain de se muscler pour permettre aux entreprises de se protéger dans un monde où l’intelligence économique prime, avec notamment une future reconnaissance du « secret entreprise », la meilleure protection possible doit venir de l’entreprise elle-même.
Les systèmes d’information sont au cœur des risques. Il est devenu absolument nécessaire de connaître en temps réel la situation des données en particulier celles les plus sensibles. Au moment où l’information est accessible à partir de multiples canaux et réseaux, où les mobiles et portables sont en pleine prolifération et où les moyens de copie ou d’accès se multiplient, il est impératif de maîtriser avec le plus de souplesse et de sécurité ce monde complexe de l’information.
Rappelons l’affaire : une société travaillant dans le domaine du luxe a été victime d’un vol de données par une employée d’origine chinoise qui, à l’aide d’une clé USB, a procédé à la copie des fichiers clients et fournisseurs, dans le but de créer une entreprise concurrente. Plainte a été déposée pour abus de confiance par détournement de biens informationnels et vols de fichiers.
Les avocats ont fait valoir que « l’information immatérielle, c’est la richesse de l’entreprise et que c’est ce qui a été dérobé par cette salariée ».
L’ancienne salariée vient d’être condamnée à trois mois de prison avec sursis et 3000 euros de dommages et intérêts. Si la peine semble minime face aux dégâts occasionnés, pour la première fois, le vol de données immatérielles a été retenu dans une affaire d’espionnage industriel. L’intrusion dans un système informatique n’a pas pu être retenue dans la mesure où il n’y a pas eu effraction et que les codes d’accès n’ont pas été cassés puisque la salariée était encore en fonction dans l’entreprise lors des faits.
Au moment où l’espionnage industriel est en plein essor, cette décision est un signal fort qui vise à protéger les victimes de vols de données immatérielles.
Si l’arsenal juridique est entrain de se muscler pour permettre aux entreprises de se protéger dans un monde où l’intelligence économique prime, avec notamment une future reconnaissance du « secret entreprise », la meilleure protection possible doit venir de l’entreprise elle-même.
Les systèmes d’information sont au cœur des risques. Il est devenu absolument nécessaire de connaître en temps réel la situation des données en particulier celles les plus sensibles. Au moment où l’information est accessible à partir de multiples canaux et réseaux, où les mobiles et portables sont en pleine prolifération et où les moyens de copie ou d’accès se multiplient, il est impératif de maîtriser avec le plus de souplesse et de sécurité ce monde complexe de l’information.
dimanche 25 septembre 2011
Notification des pertes de données en France
Il est avéré que les
pertes et fuites de données sont pour les entreprises une des plus
importantes menaces auxquelles
elles doivent faire face. Les utilisateurs fichés risquent en conséquence, à chaque
fois, de voir leurs données personnelles corrompues, dévoilées et utilisées à
des fins frauduleuses, entraînant notamment des usurpations d’identité.
Plusieurs pays dans
le monde ont déjà choisi la transparence et donc l’obligation pour les
entreprises de déclarer leurs pertes de données. Ce n’était jusqu’à présent pas
le cas de la France.
Un premier pas
vient d’être franchi par la publication au Journal Officiel, le 26 Août dernier,
d’une ordonnance relative aux communications électroniques (JORF N°
0197-ordonnance N° 2011-1012) et qui complète l’article 34 de la loi du 6
janvier 1978 relative à l’informatique, aux fichiers et aux libertés.
Ainsi, « En cas de violation de données à caractère personnel, le fournisseur de
services de communications électroniques accessibles au public avertit, sans
délai, la Commission nationale de l'informatique et des libertés.
«
Lorsque cette violation peut porter atteinte aux données à caractère personnel
ou à la vie privée d'un abonné ou d'une autre personne physique, le fournisseur
avertit également, sans délai, l'intéressé.
« La
notification d'une violation des données à caractère personnel à l'intéressé
n'est toutefois pas nécessaire si la Commission nationale de l'informatique et
des libertés a constaté que des mesures de protection appropriées ont été mises
en œuvre par le fournisseur afin de rendre les données incompréhensibles à
toute personne non autorisée à y avoir accès et ont été appliquées aux données
concernées par ladite violation. »
De plus, ce texte modifie également le Code
Pénal créant un article 226-17-1 qui précise que « Le fait pour un fournisseur de services de communications
électroniques de ne pas procéder à la notification d'une violation de données à
caractère personnel à la Commission nationale de l'informatique et des libertés
ou à l'intéressé, en méconnaissance des dispositions du II de l'article 34 bis
de la loi n° 78-17 du 6 janvier 1978, est puni de cinq ans d'emprisonnement et
de 300 000 € d'amende. »
Il était
temps ! Car aucune statistique sérieuse pour mesurer le phénomène n’est
encore disponible en dehors des pays anglo-saxons.
Mais il ne s’agit
que d’une première étape qui ne touche pas toutes les entreprises où nous
sommes tous fichés ! En effet, seules les firmes du secteur des télécommunications
sont aujourd’hui concernées.
L’Europe semble
vouloir réagir, notamment suite aux vagues de piratage ayant touché tant les
administrations que les grandes entreprises. la Commission veut rendre
obligatoire et publique la déclaration de perte ou de fuites de données pour
les entreprises. Encore faut-il que ces mêmes entreprises soient en mesure de
constater les pertes ou fuites et capables de déterminer ce qui a été
volé !
En attendant, la
meilleure solution consiste à se protéger contre ce phénomène de plus en plus
fréquent.
Mettre en place les
outils capables de détecter les anomalies et permettant de la manière la plus
souple possible de réagir pour éviter le pire constitue l’arme indispensable
pour faire face aux obligations d’information de la CNIL. Sans compter que chaque dirigeant
devrait avoir présent à l’esprit que chaque fuite ou perte de données
(personnelles ou pas) constitue une atteinte aux intérêts fondamentaux de
l’entreprise, à sa crédibilité et à sa trésorerie !
lundi 27 juin 2011
70 % des entreprises françaises ont subi une perte de données l’an dernier, et vous ?
Selon une enquête récente menée en France et intitulée « comprendre la complexité de la sécurité dans les environnements informatiques du XXIème siècle »*, les causes de perte de données sont d’abord la perte ou le vol d’équipements, les attaques des réseaux, les partages de fichiers, les mobiles non sécurisés et les envois intempestifs de courriels à de mauvais destinataires.
Les informations compromises sont le plus souvent les données clients, celles concernant la propriété intellectuelle et industrielle, les données concernant les salariés et les divers plans le plus souvent confidentiels des entreprises.
La prolifération des terminaux mobiles, ajoutée à la différence de plus en plus floue entre données personnelles privées et données entrepreneuriales, avec en toile de fond la véritable explosion des réseaux sociaux, incitent à une réelle prise en compte de ces phénomènes capables de détruire littéralement les entreprises touchées. D’autant plus que les personnels ne sont pas suffisamment sensibilisés et que ces risques ne sont pas bien intégrés dans la gouvernance des firmes.
Pour mettre en place un processus de prévention et de protection valable, il est indispensable dans un premier temps de connaître le niveau de sensibilité des données manipulées en effectuant un classement approprié, d’avoir un aperçu très clair des données existantes, d’identifier les utilisateurs et bien sûr de connaître leur comportement pour détecter les anomalies.
Il convient également de respecter les obligations légales, de s’informer sur les meilleures pratiques et de préparer une protection proactive des données.
Seule l’association entre moyens techniques et humains permet de faire face à ce phénomène qui ne va pas cesser de progresser.
SECUNEO répond parfaitement à cette politique qui correspond à une meilleure gouvernance des entreprises.
L’an dernier, au niveau mondial, 77 % des entreprises ont été affectées par une perte ou un vol de données. Ne rejoignez pas cette longue liste et soyez vigilants afin de garantir l’avenir de votre société !
Source : http://www.checkpoint.com et Ponemon Institute (février 2011)
mardi 12 avril 2011
Renault et les espions imaginaires
Si il apparait aujourd'hui que l'affaire pourrait être une manipulation il ne faut pas oublier que d'autres entreprises elles sont victimes d'espionnage industriel, comme par exemple TURBOMECA filliale du groupe SAFRAN.
Lien vers l'émission: http://www.france5.fr/c-dans-l-air/index-fr.php?page=resume&id_rubrique=1688
mercredi 6 avril 2011
Prix de l'innovation - RSSI 2011
Chaque année, la rédaction du magazine 01 Informatique organise les Trophées RSSI et décerne 4 récompenses à des RSSI qui se sont démarqués au cours de l'année.
Jean-Christophe Monier, RSSI du Groupe CMA-CGM qui nous avait fait l'honneur d'être notre invité lors de la 10ème édition des Assises de la Sécurité, vient d'être récompensé et s'est vu décerner le Prix de l'Innovation.
L'ensemble de l'équipe SecuNeo se joint à moi pour adresser nos félicitations à ce RSSI hors pair!
Jean-Christophe Monier, RSSI du Groupe CMA-CGM qui nous avait fait l'honneur d'être notre invité lors de la 10ème édition des Assises de la Sécurité, vient d'être récompensé et s'est vu décerner le Prix de l'Innovation.
L'ensemble de l'équipe SecuNeo se joint à moi pour adresser nos félicitations à ce RSSI hors pair!
vendredi 25 mars 2011
Un nouveau casse-tête pour les DSI
Une nouvelle étude de l’éditeur de sécurité AVG souligne une faille de sécurité encore trop négligée par les entreprises : l’utilisation des smartphones par les personnels de l’entreprise.
De plus en plus souvent, les employés utilisent leur matériel mobile pour un usage à la fois professionnel, mais aussi privé. Or, les mesures de sécurité édictées par les règlements intérieurs pour l’usage de ces matériels sont rarement respectées et leur application non systématiquement contrôlée.
Selon cette étude, 89 % des personnes interrogées ne savent pas que les matériels nomades peuvent véhiculer des informations confidentielles. Encore plus édifiant : 57 % ne jugent pas les fonctions de sécurité intégrées dans ces matériels comme importantes. 28 % ignorent même le risque lié à un double usage privé-entreprise de leur smartphone !
Quand on apprend que 66 % y stockent des données personnelles, on ne peut que s’inquiéter pour le devenir de ces données. D’autant que cette étude souligne que 91 % ne savent pas que les applications financières pour smartphones sont bien susceptibles d’être infectées par des malwares détournant les numéros de cartes de crédit et les identifiants en ligne. Pour couronner le tout, 56 % des sondés ne savent pas non plus qu’il faut se déconnecter correctement des réseaux sociaux pour éviter qu’un imposteur ne prenne la main.
Alors que les ventes de smartphones explosent et que ces matériels entrent dans les réseaux d’entreprise, il est grand temps que les DSI prennent en compte ce nouveau facteur de vulnérabilité. Il sera bien difficile et même impossible d’imposer un usage compartimenté de ces outils qui apportent facilité et confort dans leur utilisation.
Il reste alors à mettre en œuvre une solution comme SENTINELIS qui permet de garantir une sécurité globale de l’information en formalisant clairement l’emploi de tous les matériels utilisés dans le cadre de l’entreprise et qui apporte toute la flexibilité indispensable dans ce domaine.
Source: http://www.businessmobile.fr/actualites/securite-9-utilisateurs-su
dimanche 20 mars 2011
En France, le coût des pertes de données en hausse de 16 % en 2010 !
Les résultats de l’édition 2010 de l’étude sur les coûts des pertes de données en France réalisée par le Ponemon Institute (organisme indépendant) pour Symantec confirment une nette augmentation chiffrée à 16 % par rapport à l’an dernier.
Le coût des pertes de données ne cesse de croître : 21 entreprises appartenant à 11 secteurs d’activités ont répondu à l’étude.
- La perte la plus coûteuse a représenté plus de 8,6 M euros, en hausse de plus de 35 % par rapport à 2009.
- 38 % des pertes de données résultent d’actes malveillants.
- Les fuites de données associées à la perte ou au vol d’appareils sont en hausse et particulièrement coûteuses. Elles sont liées à l’utilisation des mobiles et postes nomades qui contiennent des données sensibles et encore trop souvent aussi à la négligence des utilisateurs.
- Les erreurs dues à des tiers comme les sous-traitants restent également trop fréquentes.
L’étude souligne aussi un élément trop souvent ignoré par les entreprises : à savoir la perte de confiance des clients et le nombre de clients perdus.
Des recommandations sont édictées et méritent une fois de plus d’être préconisées :
- Evaluer les risques et les identifier en classant les données en fonction de leur sensibilité.
- Former les personnels à la protection des données, mieux les sensibiliser
- Mettre en œuvre les technologies de prévention des pertes de données
- Chiffrer les données des ordinateurs mobiles afin d’éviter leur utilisation en cas de perte ou de vol
- Intégrer la protection des données dans les processus métier
Autant de mesures proposées par SECUNEO et contenues dans SENTINELIS qui diffuse une solution globale prenant en charge tous les aspects du problème avec la plus grande souplesse et la flexibilité nécessaire pour garantir les meilleurs résultats sans modifier les ressources existantes.
mardi 15 février 2011
Vol de données chez Microsoft
Vous êtes vous déjà posé cette question:
Quand un collaborateur vous quitte, avec quoi part-il ?
La fuite d'information a toujours existé, mais l'avènement des nouvelles technologies a facilité et simplifié les choses: plus besoin d'emporter des documents papiers ou bien de passer sa journée à la photocopieuse pour voler des informations confidentielles, à l'heure où le patrimoine informationnel de l'entreprise est en phase de devenir totalement immatériel il est devenu de plus en plus difficile de s'assurer qu'un commercial, ou un employé ayant un rôle stratégique ne parte pas avec les clés de l'entreprise.
Et cela n'arrive pas qu'aux autres: Matt Miszewski un ancien cadre de Microsoft, responsable de l'activité grands comptes est soupçonné d'avoir volé plus de 600Mo de données confidentielles portant sur la stratégie de l'éditeur. Et comme bien souvent cet employé a quitté ses fonctions pour partir chez un éditeur concurrent.
Pour prévenir ce type de désagrément, une seule solution possible, s'équiper de solutions de sécurité, SENTINELIS par exemple, capable de vous offrir une vision de qui manipule l'information, comment est elle manipulée, où est elle stockée et surtout vous offrant des mécanismes permettant de garantir que votre information sera inexploitable en dehors de votre entreprise.
Source: http://www.linformaticien.com/Actualit%C3%A9s/tabid/58/newsid496/10326/microsoft-accuse-un-ancien-salarie-de-vol-de-donnees-confidentielles/Default.aspx
Quand un collaborateur vous quitte, avec quoi part-il ?
La fuite d'information a toujours existé, mais l'avènement des nouvelles technologies a facilité et simplifié les choses: plus besoin d'emporter des documents papiers ou bien de passer sa journée à la photocopieuse pour voler des informations confidentielles, à l'heure où le patrimoine informationnel de l'entreprise est en phase de devenir totalement immatériel il est devenu de plus en plus difficile de s'assurer qu'un commercial, ou un employé ayant un rôle stratégique ne parte pas avec les clés de l'entreprise.
Et cela n'arrive pas qu'aux autres: Matt Miszewski un ancien cadre de Microsoft, responsable de l'activité grands comptes est soupçonné d'avoir volé plus de 600Mo de données confidentielles portant sur la stratégie de l'éditeur. Et comme bien souvent cet employé a quitté ses fonctions pour partir chez un éditeur concurrent.
Pour prévenir ce type de désagrément, une seule solution possible, s'équiper de solutions de sécurité, SENTINELIS par exemple, capable de vous offrir une vision de qui manipule l'information, comment est elle manipulée, où est elle stockée et surtout vous offrant des mécanismes permettant de garantir que votre information sera inexploitable en dehors de votre entreprise.
Source: http://www.linformaticien.com/Actualit%C3%A9s/tabid/58/newsid496/10326/microsoft-accuse-un-ancien-salarie-de-vol-de-donnees-confidentielles/Default.aspx
lundi 7 février 2011
Des entreprises toujours vulnérables
Malgré tous les efforts de sensibilisation et les
avertissements, les entreprises ne sont toujours pas préparées à faire face à
un incident informatique.
Les résultats de la dernière étude Symantec sur le sujet
sont édifiants : la moitié des entreprises consultées n’ont aucun plan de
continuité ou de reprise, plus de 40% déclarent ne pas y avoir pensé et 40%
indiquent que la préparation d’un incident majeur ne constitue pas une
priorité. Moins de 30% des entreprises qui ont un plan n’ont jamais testé celui-ci, bien que cet aspect soit essentiel pour se préparer à un incident
potentiel.
L’étude montre également que les PME ne protègent pas
assez leurs données ! Elles indiquent pourtant que, pour la moitié d’entre
elles, 40% de leurs données seraient perdues en cas d’incident. Or on sait que
les entreprises dépendent étroitement des données, en particulier celles,
sensibles, de leurs clients.
En fait, l’enquête montre que 36% des entreprises ne
prévoient l’implantation d’un plan qu’après la survenue d’un incident. Il est
alors trop tard !
Symantec lance quelques recommandations :
- Ne pas attendre pour mettre en place la protection des données :
anticiper.
- Réduire le risque de perte de données et la fuite d’informations.
- Impliquer l’ensemble du personnel, les sensibiliser.
- Vérifier les plans et tester les procédures.
SECUNEO s’inscrit totalement dans cette perspective en
proposant une solution globale à ces problèmes qui n’arrivent pas qu’aux autres
et qui peuvent ruiner une entreprise si une politique cohérente de gestion des
informations n’est pas mise en œuvre.
mercredi 12 janvier 2011
Espionnage industriel chez Renault - France 5
Daniel Martin, co-fondateur et directeur de la stratégie, est intervenu ce soir dans le cadre de l'émission C DANS L'AIR présentée par Yves Calvi et diffusée sur France 5.Yves Calvi et ses invités sont revenus sur l'affaire d'espionnage industriel qui secoue Renault, ces évènements mettent encore une fois en lumière les menaces qui pèsent sur les sociétés françaises. Les premiers éléments de cette affaire permettent de démontrer encore une fois que le risque d'une brèche interne est aujourd'hui le risque le plus important qui pèse sur les entreprises. En effet les entreprises se sont largement équipées de protection périmétrique ( firewall, ids, antispam, antivirus.. ) afin d'assurer leur sécurité "informatique" il apparait maintenant qu'elles doivent assurer la sécurité de leurs informations numériques afin de préserver leur patrimoine !
France 5 - C Dans L'Air: http://www.france5.fr/c-dans-l-air/index-fr.php?page=resume&id_article=6544
Inscription à :
Articles (Atom)