@DPO_News @cyberisques @jpbichard Lancement du dispositif national d'assistance aux victimes d'actes de cybermalveillance

Communication ANSSI: 

 

 

Lancement du dispositif national d'assistance aux victimes d'actes de cybermalveillance

Cybersurveillance-MAI-2017

 

Rappels chiffres clé (Cyberisques.com source publications ANSSI)

 

- 4 165 NOMBRE DE CYBERATTAQUES DÉTECTÉES EN FRANCE EN 2016

(Source : The Global State of Information Security ® Survey 2017 de PWC)

82 secondes LE TEMPS QUI S’ÉCOULE ENTRE L’ENVOI D’UNE CAMPAGNE DE PHISHING ET LE PREMIER CLIC Source : Data Breach Investigation Report 2015 de Verizon

1425% LE RETOUR SUR INVESTISSEMENT ESTIMÉ D’UN RANSOMWARE Source : 2015 Trustwave Global Security Report

4,6 M € LE COÛT DE L’ATTAQUE POUR TV5 MONDE EN 2015 (SOIT 5% DU CA). IL S’AGIT DU SEUL COÛT DE RECONSTRUCTION, HORS COÛTS D’INDISPONIBILITÉ, D’IMAGE, ETC. LA NOTE DEVRAIT DESCENDRE À 3,1 MILLIONS EN 2016, AVANT DE SE STABILISER À 2,5 MILLIONS D’EUROS ANNUELS

« LES STATISTIQUES MONTRENT QUE 90 % DES ENTREPRISES FRAPPÉES PAR CE TYPE D’ATTAQUE FERMENT DANS LES DEUX ANS QUI SUIVENT. NOUS, NOUS FERONS PARTIE DES 10 % QUI SURVIVRONT, FORT HEUREUSEMENT. MAIS CELA VA NOUS DEMANDER UN CERTAIN NOMBRE D’ASTREINTES. »

Yves Bigot, PDG de TV5 Monde

 - 59% DES ENTREPRISES ONT AUGMENTÉ LEURS DÉPENSES DE CYBERSÉCURITÉ EN 2016 Source : The Global State of Information Security ® Survey 2017 de PWC

 - 66% DES RSSI SONT À LA DSI TANDIS QUE 22 % SONT DÉSORMAIS À LA DIRECTION DES RISQUES. Source : baromètre Opinionway-Cesin, 2016

 

C3BcenNVIAEiLUh

 

 

Expérimentation en région Hauts-de-France de juin à octobre 2017


Louis Gautier, Secrétaire général de la défense et de la sécurité nationale, Guillaume Poupard, Directeur général de l'ANSSI et Thierry Delville, Délégué ministériel aux industries de sécurité et à la lutte contre les cybermenaces, annoncent le lancement du dispositif d'assistance aux victimes d'actes de cybermalveillance, expérimenté de juin à octobre 2017 en région Hauts-de-France.


Au regard de l'augmentation du nombre d'attaques informatiques notamment de types rançongiciel et hameçonnage, la prévention et l'assistance technique de proximité portées aux victimes d'actes de cybermalveillance – particuliers, entreprises (TPE/PME) et collectivités territoriales jusqu'alors non accompagnés – constitue un objectif prioritaire.

Le 18 juin 2015, au cours de la présentation de la stratégie numérique du gouvernement, le Premier ministre Manuel Valls annonçait la mise en place d'un dispositif national d'assistance aux victimes d'actes de cybermalveillance. Objectif confirmé le 16 octobre de la même année lors de son intervention relative à la Stratégie nationale pour la sécurité du numérique.

Le dispositif, incubé par l'ANSSI et copiloté avec le ministère de l'Intérieur, qui s'adresse gratuitement aux particuliers, aux entreprises et collectivités territoriales (hors OIV), a pour objectifs :
· la mise en relation des victimes via une plate-forme numérique avec des prestataires de proximité susceptibles de restaurer leurs systèmes ;
· la mise en place de campagnes de prévention et de sensibilisation à la sécurité du numérique ;
· la création d'un observatoire du risque numérique permettant de l'anticiper.

Ce dispositif s'appuie d'une part sur les prestataires techniques de proximité et d'autre part sur les réseaux existants au niveau territorial, qu'il s'agisse des administrations de I'État (Gendarmerie, Police, représentants locaux de I'ANSSI) ou des collectivités et acteurs locaux (chambres consulaires, fédérations professionnelles, réseaux « transition numérique », etc.).


Mise en œuvre du dispositif : expérimentation en région Hauts-de-France


La plate-forme www.cybermalveillance.gouv.fr est disponible dès le 30 mai 2017 avec une phase expérimentale en Hauts-de-France, région représentative du territoire national par la diversité du taux d'urbanisation de ses départements et par l'implication des acteurs locaux dans la sécurité du numérique.


Elle propose deux parcours, un premier pour les victimes d'acte de cybermalveillance et un second pour les prestataires de services de proximité :


- Les victimes seront mises en relation avec des prestataires de proximité susceptibles de les assister grâce à un parcours permettant d'identifier la nature de l'incident.


- Les prestataires de toute la France souhaitant proposer leurs services peuvent d'ores et déjà s'enregistrer sur la plate-forme.


Un espace dédié à la sensibilisation des enjeux de la protection de la vie privée numérique est également accessible aux internautes. À terme, des campagnes de prévention seront lancées à l'échelle nationale.


Grâce au recueil de nombreuses statistiques, un observatoire sera créé en vue d'anticiper le risque numérique.

https://www.cybermalveillance.gouv.fr/

 

 

Prestataires référencés:

 https://www.cybermalveillance.gouv.fr/annuaire-des-specialistes/

 

 

Objectifs de la plate-forme: 

 

PRÉVENIR - ANTICIPER Accompagner les victimes d’actes de cybermalveillance

• Accueil via une plate-forme numérique

• En fonction du type d’attaque, mise en relation avec des prestataires de proximité susceptibles d’assister techniquement les internautes victimes ou redirection vers d’autres plate-formes existantes (PHAROS, signal-spam, etc.)

• Mise à disposition de fiches réflexes (comprenant les bonnes pratiques) liées à l’attaque dont les internautes ont été victimes Prévenir et sensibiliser à la sécurité du numérique

• Contenus créés par le dispositif et disponibles sur la plate-forme

• Recommandations, diffusion de contenus et initiatives tiers

• Lancement de campagnes de sensibilisation sur le modèle de la sécurité routière

• Aide à la formation des policiers et gendarmes qui accueillent les victimes Anticiper via la création d’un observatoire de la menace numérique

• Remontée d’informations anonymisées par les prestataires référencés

• Partage d’informations techniques avec les centres d’analyses tiers

• Transmission des informations aux autorités et aux prestataires

• Analyse des données et partage de statistiques

 

B0NUS: 

Didactique, le site cybermalveillance propose d'en savoir plus sur les cybermenaces actuelles via des vidéos conviviales.

 

Cybermalveillance-ANSSI-1

(Source ANSSI 2017) 

 

 

Exemple avec  les ransomwares (rançongiciel) 

Les rançongiciels

Les attaques de type « rançongiciel » (ransomware) sont en pleine recrudescence. Elles ciblent les particuliers, entreprises et collectivités territoriales afin de bloquer l’accès à leurs données, essentiellement dans un but lucratif.

Elles rendent inaccessibles les données en les chiffrant et demandent une rançon en échange de leur déchiffrement. Le paiement de cette rançon n'offre aucune garantie et alimente le système crapuleux.

Elles utilisent en général comme véhicule des messages électroniques et ciblent principalement les systèmes non mis à jour ou non protégés.

https://www.cybermalveillance.gouv.fr/experience/

 

 


Création d'un groupement d'intérêt public:


Pour remplir ces objectifs, un groupement d'intérêt public (GIP) a été constitué permettant l'implication financière et opérationnelle d'acteurs publics et privés.
Guillaume Poupard a été élu Président de l'Assemblée générale et du Conseil d'administration.


Jérôme Notin a été nommé, sur proposition de l'État, Directeur général du GIP. Il répond à trois questions de Cyberisques News: 

Cyberisques NEWS: Dépendez-vous directement de l'ANSSI ?

« le GIP s'inscrit dans une démarche interministérielle ou l'Etat est majoritaire avec 52% des voix »

 

Votre mode de financement est mixte privé : public ne craignez vous pas trop de déséquilibre et donc des risques d'influence de la part du secteur privé ?

« le financement du GIP est ouvert aux acteurs des secteurs privés  : si un opérateur historique nous propose 10 millions d'euros on les prendra pour finacer des opérations de sensibilisation par exemple »

 

Comment va s'effectuer le choix des membres du GIP et sur quels critères ?

« Ce sont les membres du conseil d’administration du GIP qui décideront. En 2018 des éditeurs, opérateurs et entreprises de services intégreront notre groupement. Il n'est pas a exclure qu'ils afficheront une orientation pour des solutions européennes en priorité »

 

Propos recueillis par @jpbichard

 

 

 

A propos du GIP: 

Inscription de nouveaux membres : Le GIP étudiera les demandes de participation de nouvelles entités à l’issue de la phase expérimentale en vue de les accueillir dès janvier 2018.

Les ressources Budget : 2017 : 1 million d’euros issu d’une subvention de l’ANSSI 2019 : estimation 2,5 millions d’euros (25% public et 75% privé)

Ressources humaines : 2017 : 8 personnes (relations partenaires, ressources techniques et administratives, etc.)

Un plan de recrutement est prévu dans les prochaines années avec un objectif cible de 25 à 30 personnes.

Aux côtés du collège étatique, trois collèges représentant les parties prenantes ont été constitués en accord avec la convention constitutive : utilisateurs, prestataires de services de proximité et offreurs de solutions.

 

 

L’usage de la threat Intelligence se développe

Communication corporate: Etude SANS Institute

 

L’usage de la threat Intelligence se développe 

 

 

 

 

Si l’utilisation de la Threat Intelligence pour améliorer la sécurité du SI des entreprises se poursuit, le rapport de SANS Institute montre qu’une mauvaise mise en œuvre

et des équipes manquant de compétences sont souvent source d’échec.

 

 

Paris, le 18 mai 2017 - SANS Institute, référence mondiale en matière de formation, recherche et certification dans le domaine de la cybersécurité, publie les résultats d’une enquête portant sur la Cyber Threat Intelligence (renseignement sur la menace - ou CTI). Cette enquête (1) révèle qu’il existe encore un grand nombre d’obstacles à la mise en œuvre efficace de la CTI, dont : le manque de compétences des équipes, le manque de budget et de temps pour implémenter de nouveaux processus, un manque de moyens techniques pour intégrer la CTI, et un soutien limité de la part de la direction. Tous ces facteurs témoignent de la nécessité de renforcer la formation, mais aussi de disposer d’outils et de processus plus simples et plus intuitifs, capables de prendre en charge l’utilisation croissante de la CTI au sein des réseaux actuels.

 

 

 

2017-threat intelligence

 

 

 

« Les 60 % d’entreprises interrogées qui utilisent la CTI et 25 % qui envisagent de le faire à l’avenir montre que la Threat Intelligence continue de se démocratiser »,déclare Dave Shackleford, Instructeur SANS Institute« Et le constat est plus que positif puisque parmi celles qui pratiquent la CTI, 78 % ont observé une amélioration de leur sécurité et de leurs capacités de réaction, un chiffre en hausse par rapport aux 64 % recensés lors de l’enquête de 2016. Les avantages de la CTI ne sont donc plus à démontrer, même si notre enquête démontre que de nombreux point d’amélioration peuvent être apportés afin que les entreprises pour profiter pleinement des avantages de la Threat Intelligence. »

 

 

Questionnées sur l’origine du renseignement sur la menace, 73 % des entreprises interrogées ont répondu « Un groupe communautaire ou industriel, tel qu’un ISAC (Information Sharing and Analysis Center) ou un CERT (Computer Emergency Response Team) ». Toutefois, de plus en plus d’entreprises optent pour un modèle hybride de la CTI combinant sources externes et internes.

 

 

 

Qui utilise la Threat Intelligence ?

 

47 % des entreprises interrogées indiquent disposer d’une équipe officiellement dédiée à la CTI, une nette progression par rapport à 2016 (28 %). Dans 9 % des entreprises, une seule personne est en charge de la CTI. 26 % des entreprises ne possèdent pas d’équipe dédiée, mais se partagent cette responsabilité. La plupart des entreprises ont mis en place une équipe interne (48 %), tandis que 47 % externalisent certains aspects de cette fonction. Seules 6 % sous-traitent entièrement la CTI. La tendance est clairement à une plus grande internalisation de la collecte et de la gestion du renseignement sur la menace.

Les réponses mettent en évidence la difficulté à recruter du personnel doté de compétences hautement spécialisées. Parmi les compétences les plus recherchées figurent une parfaite maîtrise des schémas d’attaques et des indicateurs de compromission (IOC), l’analyse des renseignements, la réponse aux incidents, ainsi qu’une connaissance des comportements normaux et anormaux.

Cette enquête montre une augmentation de l’utilité et de l’efficacité de la Threat Intelligence dans le cadre de la réponse aux incidents et des opérations de sécurité au cours des deux dernières années. 29 % des entreprises interrogées ignorent cependant dans quelles proportions l’usage de la Threat Intelligence a contribué à améliorer les fonctions de prévention et de détection. Il convient toutefois de noter qu’aucune entreprise n’a mentionné l’absence d’amélioration de ces fonctions. Contrairement à l’année dernière, le sentiment que des vols de sécurité aient bien été déjoués et que des menaces « inconnues » aient été détectées marque un changement très positif par rapport aux années précédentes.

 

 

Résultats clés :

 

  • Agrégation des données CTI : les solutions SIEM sont les outils de prédilection pour la gestion de la Threat Intelligence et la plupart des entreprises y ont recours avec une interface utilisateur intégrée.
  • Reporting CTI : 51 % des entreprises sont satisfaites de leurs rapports CTI, mais doivent néanmoins procéder à un nettoyage et à d’autres manipulations manuelles. Seules 14 % jugent les rapports excellents. 32 % avouent ne pas savoir comment exploiter les données CTI qu’elles reçoivent.
  • Niveau de satisfaction des éléments CTI : Les équipes sont pleinement satisfaites de la pertinence des informations sur les menaces (80 %), de la « propreté » et de la qualité des données (76 %), ainsi que du caractère opportun de la CTI et de la visibilité sur les menaces et sur les indicateurs de compromission (à égalité à 74 %).

Les entreprises interrogées sont moins satisfaites des fonctions actuelles de machine learning et d’analyse (49 %), de l’identification et de la suppression des indicateurs de compromission obsolètes et autres données anciennes (61 %), et de la visibilité basée sur la géolocalisation (69 %).

 

  • Obstacles à une mise en œuvre efficace : la majorité des entreprises interrogées (53 %) ont estimé que le manque de personnel formé et de compétences constituaient le principal obstacle à la mise en œuvre efficace de la Threat Intelligence. La moitié des entreprises ont déclaré que le manque de moyens financiers représentait un handicap majeur, tandis que 42 % ont cité le manque de temps.

 

Conclusion et perspectives

 

Cette année, les réponses à l’enquête du SANS Institute indiquent une amélioration aussi bien des outils, des technologies et des compétences CTI, que de l’intégration de cette discipline. Les équipes de sécurité reconnaissent plus que jamais les avantages offerts par la collecte et l’exploitation du renseignement sur la menace pour les opérations de sécurité et la réponse aux incidents.

Néanmoins, l’intégration de la Threat Intelligence avec d’autres outils et technologies n’en est encore qu’au stade embryonnaire. L’automatisation et l’analyse sont des domaines qui méritent d’être améliorés. Et il est encore difficile de trouver du personnel disposant des compétences requises.

« Au fur et à mesure que la Threat Intelligence se développe, on observe un besoin croissant de professionnels mieux formés, qui sachent non seulement exploiter les données récoltées, mais aussi mettre en place, intégrer et gérer des projets au sein des entreprises », précise Dave Shackleford« Notre rapport montre qu’il y a également un besoin d‘indicateurs et de fonctions de reporting plus efficaces, notamment en raison d’un manque de temps et de budgets, un tiers des équipes ne bénéficiant pas du soutien de la direction. Tant que nous pourrons démontrer l’intérêt de la CTI dans la prévention, la détection et la réponse aux attaques actuelles, cette discipline gagnera en maturité et jouera un rôle plus important que jamais dans les programmes de cybersécurité. »

(1)     L’enquête a été menée au niveau international sur un panel de 600 professionnels de l’informatique évoluant dans un large éventail de secteurs : industries, banques, éducation, santé, nouvelles technologies et services publics.

 

 

Téléchargez l’étude dans son intégralité : ici

 

 

À propos de SANS Institute (@SANSInstitute)

 

Créé en 1989, SANS est la référence mondiale en matière de formation, recherche et certification dans le domaine de la cybersécurité. Les formateurs mondialement reconnus de SANS ont déjà formés plus de 140 000 professionnels, issus du secteur public et privé et enseignent chaque année plus de 60 cours  qui s’alignent sur les rôles, responsabilités et disciplines majeur des équipes de sécurité. SANS Institute propose des cours qui sont alignés sur les 30 certifications techniques GIAC dans le domaine de la sécurité de l'information. GIAC (Global Information Assurance Certification) valide ainsi les compétences des professionnels de la sécurité de l'information, attestant que ceux qui sont certifiés ont les connaissances techniques nécessaires pour travailler dans des domaines clés de la cybersécurité.

SANS Institute développe et publie de nombreuses ressources mis à disposition gratuitement, y compris des bulletins d’information, des livres blancs et des webcasts (www.sans.org).

Les inscriptions à l’événement « SANS Paris 2017 » sont ouvertes :https://www.sans.org/event/paris-2017.

 

 

 

 

#Cyberisques #DPO_News : 64% de français pensent que leurs informations sont utilisées dans d’autres buts que ceux qu’ils ont approuvé

 

64% de français pensent que leurs informations sont utilisées dans d’autres buts que ceux qu’ils ont approuvé

 

 

A l'occasion de la 10ème journée Mondiale de la protection des données le 28 janvier 2017 une sensibilisation à l'échelle mondiale est organisée. A l'heure ou certains pays semblent vouloir durcir le ton - https://www.theregister.co.uk/2017/01/26/trump_blows_up_transatlantic_privacy_shield/ - un rappel sur les fondamentaux de la protetion des données à caractère personnel et de la misene place en Europe du GDPR s'impose : http://www.cyberisques.com/fr/mots-cles-5/625-dpo-news-cyberisques-gdpr-gdpr-faits-et-chiffres-infographies

 

Jean-Noel-de-Galzain

 

Une mobilisation notamment rappellée lors du FIC 2017 par Jean-Noel de Galzain Président de Hexatrust (cf section BONUS)  prend toute sa dimension: 

-          « les technologies combinées de notre organisation, permettent de répondre aux enjeux de mise en conformité et de sécurité des entreprises, administrations et utilisateurs. Il faut pouvoir choisir des solutions de confiance et souveraines qui soient certifiées et validées par L’ANSSI. »

 

-          « Peut-on envisager une Europe numérique protégée par une industrie Européenne de la Cybersécurité ? Pour mettre en œuvre nos lois sur la protection des infrastructures critiques (LPM,NIS) et sur la protection des données (loi de 1978,RGPD),pour protéger nos identités numériques et celles de nos enfants et les actifs de nos entreprises, il est indispensable de transformer la mise en œuvre de ces réglementations européennes et nationales en opportunités de marché au service de notre industrie. »

 (propos recueillis par Gérald Delplace) 

 

A lire également pour la journée de la protection des données à cartère personnel la dernière étude de la quadrature du Net ou l'on peut lire ceci à propos des demandes par certaines autorité de dispsoer de "backdoors" pour leurs services:

"Un droit au chiffrement sûr, sans portes dérobées et accessible à toutes et tous de façon égale apparaît indispensable, non seulement pour conserver la confiance que les utilisateurs accordent aux services et outils numériques, mais également pour assurer le respect de la vie privée et la protection des données personnelles : deux libertés fondamentales consacrées par la DUDH, le PIDCP et les articles 7 et 8 de la Charte des droits fondamentaux de l'Union européenne12 ."

 L’Observatoire des libertés et du numérique appelle les acteurs publics et acteurs privés du numérique à :

 renoncer à toute initiative visant à affaiblir juridiquement ou techniquement les outils de chiffrement ;

 consulter les institutions et les acteurs de la société civile pertinents suffisamment en amont de tout projet qui aurait des incidences sur le chiffrement ;

 garantir à toute personne l’accès à un chiffrement robuste, outil indispensable au respect du droit à la vie privée dans le domaine numérique ;

 promouvoir auprès du public l’importance du chiffrement de ses données et communications numériques et en faciliter l'utilisation et le développement.

https://www.laquadrature.net/files/201701_Oln_chiffrementsecuritelibertes.pdf 

 

Les correspondants « informatique et libertés » futurs DPO pour certains dans le cadre des exigences du GDPR (reglement EUR pour la protection des données à caractère personne)l se sont réunis à Paris lors de l'universite de l'AFCDP. (lire article sur cette journée sur Cyberisques News). 

 

Dernière enquête du cabinet Wavestone menée auprès de 1587 personnes dans 6 pays (France, Allemagne, Angleterre, Italie, Chine et Etats-Unis).

Data-Perso-Wavestone-1-2017-DPO NEWS

 

L'approche d'un éditeur: Sophos 

Michel Lanaspèze, Head of Marketing Western Europe de Sophos, déclare : «  Dans moins de 18 mois - en mai 2018 - les entreprises et organismes publics devront être pleinement conformes aux exigences du RGPD. Bien que la date semble encore lointaine, le délai peut se révéler court pour certains, en particulier si rien n’a encore été fait pour protéger les données des clients et des employés. Protéger la vie privée n’est pas un tâche qui s’accomplit en un jour, car cela exige de mettre en place des processus et d’adopter des comportements qui concernent l’ensemble de l’organisation. »

 

 

Les entreprises jouent un rôle essentiel dans la protection de la vie privée. Ce 28 janvier 2017, la journée mondiale de la protection des données arrive opportunément pour leur rappeler que, si elles ne l’ont pas déjà fait, il est grand temps de se préparer à la mise en conformité avec le nouveau Règlement Général sur la Protection des Données à caractère personnel (RGPD).

 

Il ajoute : « Jusqu’à aujourd’hui, les entreprises ont pu s’accommoder de la perte de données de leurs clients ou employés sans trop de problèmes la plupart du temps. Le nouveau règlement donnera aux autorités de régulation le pouvoir d’imposer des amendes très substantielles et d’exiger la notification des pertes de données aux utilisateurs, ce qui peut les exposer à de sérieuses difficultés, tout particulièrement les PME et les ETI qui sont souvent mal préparées. Ce sont ces organisations qui courent le plus grand risque d’être prises de court après la date buttoir de mai 2018, et ce d’autant plus que les autorités chercheront à montrer en exemple les cas graves de pertes de données, après l’entrée en vigueur du RGDP. Je m’attends à une augmentation progressive de l’intérêt pour les technologies de chiffrement dans la seconde moitié de l’année 2017,  avec la prise de conscience graduelle des exigences du RGDP, suivie d’un pic début 2018 quand les entreprises se précipiteront pour être prêtes avant mai 2018. »

 

Sophos donne les conseils suivants : 

 

  1. Ne pas faire preuve de négligence : il est crucial de prendre le RGPD et la protection des données à caractère personnel au sérieux dès aujourd’hui.

 

  1. Prendre le temps de bien comprendre le RGDP et les mesures à mettre en place. Dans le doute, il ne faut pas hésiter à prendre conseil auprès de ses partenaires en sécurité informatique et d’experts juridiques.

 

  1. Travailler étroitement avec sa DRH pour s’assurer que ses employés comprennent les mesures mises en place pour protéger leurs informations à caractère personnel.

 

  1. S’assurer que ses employés comprennent ce que l’entreprise attend d’eux pour assurer la protection des données personnelles détenues. Ils doivent être pleinement conscients que la sécurité des données de leurs clients dépend de leur bon comportement, de la même manière que la sécurité de leurs propres données personnelles dépend du bon comportement des employés du département des Ressources Humaines.

 

  1. Ne pas donner à ses employés l’accès à des données dont ils n’ont pas besoin pour leurs missions - le RGPD considère que la simple lecture de données à caractère personnel par des personnes non habilitées est une violation de sécurité.

 

  1. Quand l’entreprise collecte des données, elle doit systématiquement les protéger. Dans le doute, il est recommandé de traiter toutes les données collectées auprès de ses employés et de ses clients comme des données à caractère personnel. Mieux encore, il n’est pas nécessaire de collecter des données inutiles. Les pirates ne peuvent pas voler ce que l’entreprise n’a pas.

 

  1. Valoriser le professionnalisme avec lequel l’organisation traite les données à caractère personnel. Il est important de mentionner précisément les données qui sont collectées, ce que l’entreprise prévoit d’en faire et combien de temps elles seront conservées. Il faut éviter le jargon juridiques et privilégier la simplicité dans ses explications. Ainsi, les clients auront davantage confiance en la marque si celle-ci se montre franche et honnête.

 

  1. S’assurer que les mots de passe ne soient jamais partagés et qu’ils soient complexes et uniques. Cela rend non seulement les données plus difficiles à voler, mais c’est également un gage de responsabilité contre les abus de privilèges qui peuvent porter atteinte à la vie privée.

 

  1. Utiliser le chiffrement pour protéger les données contre le vol et le fuites de données accidentelles. Les entreprises en auront besoin pour prouver aux autorités de régulation en charge d’appliquer le RGPD que tout a été mis en œuvre pour protéger les données de leurs employés et de leurs clients.

 

BONUS: 

http://www.hexatrust.com/

https://www.wavestone.com/fr/insight/vie-privee-numerique-conformite-confiance/

https://www.teachprivacy.com/privacy-training-data-privacy-day/

 

 

 

 

 Abonnemnt-2017

 

@DPO_News @cyberisques Vente de données personnelles : de 1 et 70€ par demande validée

Communication corporate:  KWALEAD

 

Vente de données personnelles : de 1 et 70€ par demande validée

 

 

Communiqué:  

La startup KWALEAD lance la première marketplace qui permet à ses membres de monétiser directement aux partenaires leurs données personnelles.
enquêtes, tests produits, etc.. Ils peuvent déposer leurs demandes de devis afin de les monétiser par une mise en relation avec nos partenaires.

Les membres participent à des sondages, enquêtes, tests produits, etc.. Ils peuvent déposer leurs demandes de devis afin de les monétiser par une mise en relation avec nos partenaires.

Plus de 20 catégories et 120 formulaires disponibles : Banque, Finance, Assurance, Travaux, Automobile, Energie, Immobilier, Paris sportifs, Sondages, Test produit, Enquêtes, Jeux-concours.

 

kwalead-vente-données-perso

 

Kwalead est rémunéré par les annonceurs, nous partageons notre rémunération avec nos membres, nous appelons cela le PAYBACK.

Après s’être inscrit le membre participe à des sondages, tests, enquêtes ou déposer une demande de devis.

Il sélectionne le partenaire en fonction de la rémunération qui lui sera proposée.

Les données personnelles sont envoyées aux partenaires.

Ses gains sont disponibles dans sa cagnotte.

La rémunération varie de 1 et 70€ par demande validée.

100% transparent :

Toutes les informations envoyées aux partenaires sont visibles sur le compte du membre qui pourra savoir à tout moment quelles données sont réellement utilisées et par quel partenaires.

 

Augmentez votre pouvoir d’achat.

Nos membres peuvent percevoir de 1 à 70€ par demande et gagner jusqu’à 500€ par mois.


Plus de 20 catégories et 120 formulaires disponibles : Banque, Finance, Assurance, Travaux, Automobile, Energie, Immobilier, Paris sportifs, Sondages, Test produit, Enquêtes, Jeux-concours.

 

BONUS: 

 

http://www.atlantico.fr/decryptage/en-chine-big-brother-en-plus-epier-vend-vos-donnees-personnelles-franck-decloquement-2928149.html

 

Abonnemnt-2017

 

 

#DPO_News #cyberisques: Panorama CLUSIF sur l'année 2016 : L'atteinte à la vie privée progresse


Panorama CLUSIF sur l'année 2016 : L'atteinte à la vie privée progresse


Exercice difficile de rassembler en deux heures l'actualité d'une année en cybersécurité. La sélection de cette année porte sur les sujets tendances : blockchain, IoT, ransomware, cyberespionnage... Rien sur les risques industriels des systemes SCADA, rien sur la GDPR, pas un slide sur le cloud… En revanche les thèmes traités pour la plupart avaient en commun une actualité brulante: la manipulation des données personnelles et leur exploitation avec chantage à la clé (BtoB et BtoC).

Invitée d'honneur l'ANSSI a déclaré que 80% des cyberattaques pouvaient êtres détectées avec une meilleure « hygiene ». Maitre Garance Mathias et Gérome Billois ont fait une synthese remarquable sur les usages du blockchain définit comme « un réseau autonome sans tiers de confiance » et c'est bien là que pour les deux intervenants le problème se pose : comment « gérer » un écosysteme aussi indépendant doté par ailleurs de trois faiblesses : peu de securite dans les acces, idem pour les services WEB et des « vulnérabilites » dans le developpement des codes. Maitre Mathias rappelle que si jusqu'a maintenant « c'était le code qui faisait loi il est sans doute tant avec le Blockchain de réfléchir autrement en raison des erreurs de  code responsables de problèmes de sécurité au niveau des traitements ». Bref attendons les premières leçons des usages.

 

Intervention de Hervé Schauer (HSC Deloitte) : IoT et atteinte à la vie privée

Vieux routier de la sécurité et adepte des systèmes ouverts Herve Schauer a mis l'accent sur l'insécurité des IoT. Les voitures sans clés sont vulnérables. Les assurances ne couvrent pas ce type de « vol » qui laisse peu de traces d'infraction. Techno numériques et absence de preuves, beau thème aussi;  Malgré les efforts des constructeurs, les numéros d'identification à la base de la sécurité logique sont accessibles par tous chez certains constructeurs. Ce qui permet de connaître les trajets de chaque automobiliste. Première atteinte à la vie privée des automobilites  ? Certainement répond Hervé Schauer en citant chez un constructeur japonais un cas d'injection de codes malwares réalisée faute de signatures. D'ou infection, réécriture du code constructeur, mise a jour des codes « securité » et finalement prise de contrôle totale de la voiture. 

Coté drone c'est guere mieux selon HSC / Deloitte. Les faiblesses du protocole WEP utilisé réduisent les niveaux de securité. Un réel problème pour des drones employés par la gendarmerie par exemple.

Encore un exemple de détournement d'IoT: dans un autre domaine d'apparence anodine, celui des ampoules connectées la prise de contrôle peut se traduire par des clignotements opérés par les cyber-attaquants. Ces clignotements réalisés selon un code predéfini peuvent permettre d'établir un moyen de communication avec l'exterieur d'un bâtiment à travers des fenêtres. Astucieux coté attaquants mais tres pénalisant coté cyber-victimes. Idem pour les particuliers qui commencent a comprendre au delà de leurs PCs les conséquences d'une attaque malware. C'est le cas avec les TVs connectées qui une fois infectées se comportent comme une machine sous contrôle de ransomwares. Seules les constructeurs peuvent intervenir quand on peut joindre le bon interlocuteur précise Herve Schauer.

D'autres interventions ont mis en lumière les augmentations de volume des attaques DDos près d'un teraoctet avec pour conséquences une augmentation de la bande passante pour les attaquants. Depuis 2015, c'est près de 216% d'augmentation des attaques DDos en termes de volume qui existe. Toutefois, rappelons que d'apres le dernier rapport Radware (janvier 2017) les attaques de plus de 50 Gbits ne représenteraient que 4% du total des attaques. Une revue de presse précise des attaques Ransomwares a été évoquée par Eric Freyssinet expert du Ministère de l'Intérieur.

Loic Guezo de Trend Micro rappelle que si des cyber-attaques sur des machines a vote intervenaient notamment aux Etats-Unis ou plus de 50 constructeurs de ces systèmes sont installés « 1% des machines hackées suffirait a faire basculer un vote ».

Sujet d'actualité...

 

@jpbichard

@DPO_News

Capture-4-Cyberisques-DPO NEWS-itw-CNIL

 

 

L’accès à l'intégralité de nos articles (dossiers

"expertises / compliance", enquêtes,

interviews exclusives, tendances chiffrées,

retours d'expérience par secteurs...) est

réservé à nos abonné(e)s

This email address is being protected from spambots. You need JavaScript enabled to view it.

#Cyberisques

#DPO_News

 

BONUS: 

https://clusif.fr

http://www.cyberisques.com/mots-cles-24/398-panorama-2015-du-clusif-l-expertise-des-attaquants-progresse

 

https://medium.com/un-hackable/q-a-interview-with-a-hacker-hunter-8f2ef2154b06#.2ritwwsfk

 

Les dossiers de Cyber Risques News

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

Renseignements   This email address is being protected from spambots. You need JavaScript enabled to view it.

 

 

Additional information