U.S border : Citoyens, vos passwords! @DPO_News @cyberisques @jpbichard

 

 

U.S border : Citoyens, vos passwords!

 

 

Phot-JPB-DPO NEWS

 

 

Les eurodéputés viennent d’adopter une résolution contrastée sur le « Privacy Shield », le « bouclier de protection des données personnelles » qui encadre les transferts de données entre l’Union européenne et les Etats-Unis. Nous publions quelques réactions ici. Dans le même temps l'administration Trump envisage selon le Wall Street Journal d'accéder aux données des voyageurs en leur demandant les mots de passe de leurs smartphones, comptes Twitter, Facebook...

Utopie et réalité ? Les textes législatifs risquent de se fracasser sur le mur des réalités. L'ANSSI publie un guide de survie ou "heureusement" il est précisé pour les voyageurs: « Utilisez de préférence du matériel dédié aux missions (ordinateurs, ordiphones, supports amovibles tels que les disques durs et clés USB) Ces appareils ne doivent contenir aucune information autre que celles dont vous avez besoin pour la mission » L'Agence française recommande aussi l'usage de mots de passe … forts. Mais est-ce désormais suffisant ? Que perd t-on lorsqu'on pense gagner ? Comment faire respecter le réglement européen au delà de l'Europe ? Voire en Europe (lire: http://bit.ly/2odtUoh )  

Comme déjà évoqué, l'administration Trump envisage selon le Wall Street Journal  - une référence dans la presse - et un média souvent "utilisé" pour « tester » l'opinion, d'accéder aux données des voyageurs en leur demandant les mots de passe de leurs smartphones, comptes Twitter, Facebook.... Certains vous diront: une façon comme une autre de privilégier les hébergements Cloud... Certes mais dans un tel contexte, les données confiées aux hébergeurs ne sont-elles pas aussi « exposées » ?

 

 

Face à de telle décisions quelle valeur accordée aux articles des règlements européens RGPD / GDPR et autres ?

En janvier dernier Donald Trump a changé les règles sur la protection des données à caractère personnelles. La quatorzième clause du fameux décret anti-immigration stipule que les agences de renseignement américaines excluent des politiques de protection des données pour les "non-américains". Un article récent du Wall Street Journal (cf BONUS) évoque également  - nous le répétons - que la nouvelle administration américaine envisage de demander aux voyageurs notamment français arrivant aux Etats-Unis l’accès aux données de leur smartphone, les mots de passe de leurs comptes Twitter, Facebook Linkedin... Après tout, c'est plus rapide que de faire des recherches sur les réseaux puisque ces équipements demeurent par nature connectés. Plus grave au delà du rapport de force et d'une approche qu'il faut bien qualifiée de liberticide au plan de la confidentialité des données à caractère personnelle, ces mesures démontrent que la méfiance pour ne pas dire les enjeux de cyber guerre froide existent de plus en plus. Les données "or gris" du siècle valent de plus en plus chères comme le soulignent des parlementaires européens (lire ci-dessous).  


Petit rappel : Le 
Privacy Shield est un accord qui a été conclu en juillet 2016 pour "encadrer" les modalités de transferts de données personnelles d'utilisateurs européens de l'autre côté de l'Atlantique... en précisons-le "leur accordant le même niveau de sécurité". Aujourd'hui, bon nombre d'associations demandent une révision de ce texte jugé "trop liberticide". 

Remplaçant du Safe Harbour (cf section BONUS), invalidé par la cour européenne de Justice en 2015 le Privacy Shield ne semble pas régler les problèmes pour autant. C'est ce que rappelait sur France Inter Max Schrems de l'association Europe Versus Facebook : "Sur le plan commercial les entreprises américaines doivent assurer la même protection de données que ce qu'impose le droit européen, et ce n'est pas fait... il y a tellement d'échappatoires qui permettent de faire à peu près tout ce que vous voulez avec des données si vous avez un avocat qui vous dit comment écrire votre politique de confidentialité".

 

Résolution du Parlement européen sur le Privacy Shield: réactions contrastées

Pour sa part la CNIL qu'elle a œuvré à l’élaboration de trois textes législatifs de premier ordre. D’abord, le règlement européen qui entrera en vigueur le 25 mai 2018 et qui constitue « une étape absolument majeure pour la protection des données personnelles en Europe ». Ensuite, la Loi pour une République numérique qui, à l’ère des nouvelles technologies, vient placer l’individu au sommet de la législation en lui reconnaissant un droit à « l’autodétermination informationnelle ». Le Privacy Shield (bouclier de confidentialité), enfin qui « a mis un terme au bras de fer entre l’Europe et les États-Unis », en déclarant que la protection des données perdure même lorsque celles-ci quittent le Vieux Continent. Est-ce toujours une certitude ? ( http://bit.ly/2oLA5AG )

 

Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

@cyberisques @jpbichard @DPO_NEWS

 

 

Réactions: 

SyntecNumérique regrette une initiative à contretemps et appelle à préserver la stabilité de ce mécanisme essentiel

SyntecNumérique rappelle l’importance de ce mécanisme pour les échanges transatlantiques et appelle les eurodéputés à respecter le calendrier prévu pour le réexamen annuel prévu en septembre.

Les eurodéputés ont adopté ce jour (6 avril 2017) en séance plénière une résolution de la commission des libertés civiles (LIBE) relative au Privacy Shield. Cette résolution de Claude Moraes (S&D) avait fait l’objet d’un vote défavorable des partis conservateurs (PPE et ECR), qui avaient déposé hier leur motion concurrente, apportant leur soutien au Privacy Shield.

Adopté en 2016, après avis du G29, du Contrôleur européen de la protection des données ou encore du Parlement européen, le Privacy Shield constitue un outil indispensable pour les transferts des données entre l’Europe et les Etats-Unis. Près de 2000 entreprises se sont enregistrées pour pouvoir réaliser des transferts de données dans le respect des conditions qui ont été définies.

Dans leur résolution du 26 mai 2016, adoptée avant la mise en place du Privacy Shield, les eurodéputés s’étaient « félicités des efforts déployés par la Commission et l'administration américaine afin d'apporter des améliorations substantielles au bouclier de protection des données » et avaient « insisté sur l'importance des relations transatlantiques, vitales pour les deux partenaires ».

L’adoption de cette nouvelle résolution constitue donc un signal contradictoire, alors que le Privacy Shield comporte des garanties additionnelles en matière d’accès aux données par les autorités, un durcissement des contrôles et sanctions, ou encore un renforcement des mécanismes de recours pour les citoyens avec un médiateur chargé d'examiner les plaintes.

Par ailleurs, il convient de rappeler que le Privacy Shield prévoit un mécanisme de réexamen annuel conjoint, dont la 1ère édition aura lieu en septembre prochain – soit un an après son entrée en vigueur. Cette procédure associera toutes les parties prenantes, et aboutira à la rédaction d’un rapport public qui sera adressé au Parlement européen ainsi qu’au Conseil.

« C’est dans le cadre de cet examen annuel que pourront avoir lieu ces échanges sur le Privacy Shield que les eurodéputés ont voulu initier de façon prématurée avec cette résolution » indique Godefroy de Bentzmann, président de Syntec Numérique, qui poursuit : « l’écosystème numérique français et européen a besoin de stabilité et de sécurité juridique, et de telles initiatives envoient des signaux inappropriés ».

Les eurodéputés des groupes PPE et ECR avaient ainsi déposé leur motion concurrente, plus équilibrée, qui saluait les avancées du Privacy Shield et déplorait « la programmation anticipée de ce débat » et estimant que « la présentation de la première révision annuelle conjointe serait un moment plus approprié pour tirer les premières conclusions sur le fonctionnement du mécanisme ».

 

Communication: groupe des deputes socialistes au parlement européen

Protection des données personnelles : un nouveau défi pour la démocratie dans la mondialisation

6 avril 2017 Un communiqué du groupe des députés socialistes au parlement européen explique que « les données personnelles commerciales des citoyens circulent d’un bout à l’autre de la planète plus vite qu’un éclair. Dès lors, la question de leur utilisation se pose avec encore plus d’acuité ; les données personnelles commerciales sont l’or gris du XXIème siècle.

Par leur histoire, les Européens sont attachés à un niveau élevé de protection des données personnelles et, pour les eurodéputés socialistes français, la maîtrise du traitement des données personnelles et leur protection constituent un droit fondamental. C’est pourquoi nous avons fermement soutenu une résolution critique et exigeante sur le Privacy Shield.

Pour rappel, le « Privacy Shield » a remplacé le « Safe Harbor », qui permettait de transférer des données personnelles commerciales des Européens vers les États-Unis, mais avait été invalidé par la Cour de Justice européenne en raison de ses insuffisances..

Mais de nombreuses inquiétudes persistent dans le Privacy Shield, renforcées par l’élection de M. Trump. La résolution adoptée aujourd’hui permet au Parlement européen de peser dans le débat en vue du réexamen prévu, dès septembre 2017, entre la Commission européenne et les autorités américaines.

Si le « Privacy Shield » est moins pire que le « Safe Harbor », il n’en reste en effet pas moins insuffisant : le Médiateur n’est pas assez indépendant, les mécanismes de recours pour les Européens ne sont pas assez solides et la surveillance indiscriminée par les agences de renseignements américaines reste possible. Surtout, le texte reste flou d’un point de vue juridique, ce qui pourtant est indispensable pour la confiance des citoyens. C’est pourquoi, nous ferons tout pour rendre cet accord plus solide dans les discussions à venir.

Sur ce sujet, comme sur beaucoup d’autres, seul l’échelon européen permet de mieux défendre les droits des citoyens à faire valoir leur modèle de société. Il faut en être conscient à l’heure où beaucoup confondent nationalisme et souveraineté ! »

 

BONUS:

http://www.cite-sciences.fr/fr/au-programme/expos-temporaires/terra-data/

http://cyberisques.com/fr/mots-cles-15/648-dpo-news-cyberisques-jpbichard-gdpr-la-face-cachee-du-gdpr

http://www.deputes-socialistes.eu/protection-des-donnees-personnelles-un-nouveau-defi-pour-la-democratie-dans-la-mondialisation/

https://www.ssi.gouv.fr/uploads/IMG/pdf/passeport_voyageurs_anssi.pdf

https://www.wsj.com/articles/trump-administration-considers-far-reaching-steps-for-extreme-vetting-1491303602

http://europa.eu/rapid/press-release_IP-17-5_fr.htm

 

Abonnemnt-2017

 

 

Assises 2016: Cisco et Thales explorent les chemins d'une "cybersécurité souveraine"

Assises 2016 : 6 octobre Monaco Conférence de presse Cisco et Thales

Partage

 

 (Article complet réservé à nos abonnés OIV) 

 

Cisco et Thales annoncent le 6 octobre une solution de cybersécurité souveraine

David Crumpton, Thales Global Alliance Manager pour Cisco :

« 4 raisons président à ce rapprochement pour Cisco: c'est une nouvelle étape que nous franchissons ensemble en terme de confiance réciproque, pour Cisco c'est aussi accéder à une nouvelle légitimité en étant reconnu comme un tiers de confiance pour le marché OIV d'autant et c'est la quatrième raison que nous trouvons une complémentarité entrer nos solutions ».

Alors que le marché des OIV s'impose comme incontournable pour l'ensemble des acteusr de la cybersécurité, on peut comprendre l'intérêt pour Cisco de se rapprocher d'une acteur de confiance tel que Thales pour "investir" ce marché. En revanche, la stratégie de Thales reste plus floue notamment sur les avantages que le le groupe européen peut attendre de Cisco. Alors que le débat n est pas tranche sur de potentielles ouvertures des codes et mécanismes cryptographique via des "backdoors" officiels (lire: http://cyberisques.com/mots-cles-3/564-va-t-on-laisser-s-enfuir-nos-donnees-par-des-portes-derobees ) Thales, tres implanté chez bon nombre d'OIV va t-il "ouvrir" à Cisco ses technologies sensibles ( keyAuthority, par exemple qui gère et archive les clés de de chiffrement au moyen d’équipements matériel durcis via le protocole standard KMIP) ?

A l'issue de cette annonce, d'autres questions demeurent pour le moment sans réponse.  

Question 1: quelle politique de certification mène Cisco en France (avec l'ANSSI notamment)

Question 2: quels standards seront retenus pour équiper les futures solutions ?

Question 3:  combien de clients OIV chez Cisco en octobre 2016 ? 

Question 4: quelle définition donnent de la souveraineté Cisco et Thales ? 

 

Bref comme l'indique* Martin Defour, directeur technique chargé des Systèmes de mission de défense chez Thales.« Dans le secteur de la défense, il est impératif d’avoir une vision claire des moyens stratégiques qu’on n’entend pas partager avec des partenaires susceptibles de devenir des concurrents"

 

Et dans le secteur de la cyber-securité, quelle est la position de Thalesen matière de transferts de technologies ? 

@jpbichard / Gérald Delplace 

 

*https://www.thalesgroup.com/fr/monde/innovation/magazine/savoir-partage

 

 

Representants présents à Monaco :

 Jean-Michel Lagarde, Directeur adjoint pour les activités systèmes d’information et de communication sécurisés de Thales

Robert Vassoyan, Président de Cisco France

Grégoire Germain, responsable du partenariat Thales/Cisco pour Thales

 David Crumpton, Thales Global Alliance Manager pour Cisco

 

Communication Corporate :

Cisco, leader mondial des technologies de l’information et Thales, leader européen de la cybersécurité et leader mondial de la protection des données, présentent une nouvelle solution souveraine de cybersécurité afin de mieux détecter et contrer les cyberattaques. Inédite, elle conjugue les savoir-faire des deux Groupes pour mieux protéger les systèmes d’information des Opérateurs d’Importance Vitales (OIV) contre les cybermenaces.

Trois mois après la signature d’un partenariat stratégique, Cisco et Thales proposent aujourd’hui une solution souveraine innovante de lutte contre les attaques qui permet une détection plus performante, une analyse simplifiée des incidents de sécurité et donc une remédiation plus rapide. Résultant d’une mise en commun des produits et des expertises de Thales et de Cisco, cette solution répond au besoin croissant de sécurité des OIV et garantit la souveraineté de la maîtrise de l’information associée. Commercialisée par Thales, l’offre commune et intégrée repose sur trois piliers :

·        L’hébergement des solutions apportées par Cisco et des informations relatives à la cybersécurité au sein des infrastructures informatiques de Thales ;

·      L’étude et la conception d’architectures informatiques de confiance qui allient les produits et l’expertise des deux Groupes, et la conception pour les opérateurs, de solutions de sécurité et de protection des données, le tout certifié par Thales ;

·      La mise en place d’une plateforme de renseignement souveraine sur la cybermenace capable d’alimenter de façon proactive les sondes de détection, au fur et mesure de l’évolution des cyberattaques.

Chaque entreprise, chaque organisation a des besoins de cybersécurité qui lui sont propres. Pour cette raison, les deux Groupes ont conçu une offre modulaire centrée sur un dispositif de lutte contre les attaques. Celui-ci s’appuie sur une large gamme de services proposés par Thales grâce notamment à son réseau mondial de centres de supervision opérationnelle de la cybersécurité (CSOC[1]), dont en France celui d’Elancourt.

Il s’agit d’une première étape pour répondre à l’évolution permanente des menaces et se diriger vers une sécurité opérée par un service tiers de confiance (Security As A Service), capable d’exploiter l’ensemble des sources de données pour apporter une solution de détection en temps réel.

Robert Vassoyan, Directeur Général de Cisco France commente : « Le fruit de notre alliance avec Thales offre une nouvelle perspective pour répondre aux enjeux de la transformation numérique. Ensemble, nous avons élaboré une solution de cybersécurité souveraine, qui repose sur l’expertise unique de Cisco pour détecter et analyser les cybermenaces. »

Marc Darmon, Directeur général Adjoint de Thales, systèmes d’information et de communication sécurisés ajoute : « Les équipes de Thales et Cisco ont construit ensemble une solution inédite. Nous garantissons la souveraineté des systèmes de cybersécurité, grâce à des architectures certifiées Thales, et délivrons une offre commune, conjuguant le meilleur de l’expertise des deux Groupes. »

BONUS :

À propos de Cisco

Cisco (NASDAQ: CSCO), leader mondial des technologies de l’information, aide les entreprises à saisir de nouvelles opportunités, en démontrant que des choses étonnantes se produisent lorsque l’on connecte ce qui ne l’est pas. Dans le cadre de la convention de partenariat avec le gouvernement français conclu en février 2015, Cisco s’est engagé à contribuer à l’accélération de la transformation numérique de la France à travers un ensemble d’investissements dans la formation, les start-up innovantes, les infrastructures nationales, les villes intelligentes et la cyber sécurité.

À propos de Thales

Thales est un leader mondial des hautes technologies pour les marchés de l’aérospatiale, du transport, de la défense et de la sécurité. Fort de 62 000 employés dans 56 pays, Thales a réalisé en 2015 un chiffre d'affaires de 14 milliards d'euros. Avec plus de 22 000 ingénieurs et chercheurs, Thales offre une capacité unique pour créer et déployer des équipements, des systèmes et des services, et répondre aux besoins de sécurité les plus complexes. Son implantation internationale exceptionnelle lui permet d'agir au plus près de ses clients partout dans le monde.

Thales est l’un des leaders européens de la sécurité et se positionne comme intégrateur de systèmes à forte valeur ajoutée, équipementier et fournisseur de services. Les équipes sécurité du Groupe aident les États, les autorités locales et les opérateurs civils à protéger les citoyens, les données sensibles et les infrastructures critiques grâce à des solutions intégrées et résilientes.

S'appuyant notamment sur ses compétences fortes en cryptographie, Thales est l'un des leaders mondiaux des produits et solutions de cybersécurité pour la défense, les organismes gouvernementaux, les opérateurs d'infrastructures critiques, les entreprises de communication, industrielles et financières. Présent sur l'ensemble de la chaîne de sécurité de l'information, Thales propose une gamme complète de solutions et de services depuis le conseil en sécurité et les audits de sécurité, la protection des données, la gestion de la confiance numérique, la conception, la mise au point, l'intégration, la certification et le maintien en conditions opérationnelles de systèmes cybersécurisés, jusqu'au dépistage des cybermenaces, à la détection d'intrusions et à la supervision de la sécurité (centres opérationnels de cybersécurité en France, au Royaume-Uni, aux Pays-Bas et bientôt à Hong-Kong).

 

cyber expert: quelles mesures de protection appliquées aux mobiles ?

Cyber-expert : Michael Raggo, directeur du MobileIron Security Labs

 

La sécurité mobile, le talon d'Achille des entreprises
Gérer de la meilleure façon les terminaux mobiles des collaborateurs en entreprise

 

Tandis que l'on utilise chaque jour davantage l'Internet sur mobile, les risques aussi augmentent et les menaces s'y multiplient. Et comme l'entreprise a massivement adopté le mobile comme plateforme professionnelle, les logiciels malveillants et attaques réseau sont de plus en plus nombreux à tirer parti de ses failles. Il faut alors admettre que l'ampleur des attaques ne peut que croître sur nos terminaux encore mal protégés.

 

CISCO-EVOLUTION-MOBILES
 

Source Cisco 2016

 

Au cours de notre enquête trimestrielle sur la sécurité mobile entre octobre et décembre 2015, il s'est avéré que la majorité des entreprises comptait au moins un terminal non conforme sur cette période. Ce chiffre s'explique directement par la désactivation de la protection par code PIN, la perte d'un terminal, l'absence de règles à jour, etc. Des terminaux défaillants sont des cibles plus vulnérables pour les logiciels malveillants, les codes exploitant les failles et le vol de données. Face à ces risques croissants, on insistera sur l'importance d'utiliser les règles de sécurité et de conformité disponibles pour mettre en quarantaine ces terminaux.
 

Les entreprises confient encore trop souvent leur sécurité mobile à des systèmes dépassées par la  nouvelle génération de menaces. D'ailleurs, les entreprises gèrent les risques de pertes de leurs données stockées dans le cloud selon ces mêmes méthodes obsolètes. Celles-ci essaient de limiter les risques en plaçant sur liste noire une ou plusieurs applications cloud de synchronisation et de partage de fichiers dans l'entreprise. Le recours aux listes noires revient à étouffer les problèmes. Au vu de la multitude d'applications et de services de synchronisation et de partage disponibles, une règle de liste noire n'est en pas suffisamment efficace et exhaustive pour tous les repérer. Les utilisateurs n'auront alors plus qu'à trouver une autre application pour stocker leurs données professionnelles dans le cloud. En outre, les logiciels mobiles malveillants et les risques liés aux applications n'ont cessé d'augmenter en 2015. Ainsi, de nouvelles versions de logiciels malveillants, tels que YiSpecter et XcodeGhost qui ciblent iOS d'Apple, n'ont plus besoin que le terminal soit jailbreaké. Pourtant, l'adoption de solutions contre les logiciels malveillants sur les mobiles reste très limitée en dépit de la protection accrue qu'elles confèrent contre les risques liés au mobile.

En matière de sécurité mobile, beaucoup d'entreprises sont encore en phase d'affinage de leur stratégie. Les statistiques s'appuyant sur la prévalence des failles identifiables en matière de terminaux mobiles, d'applications, de réseaux et de comportement des utilisateurs sont essentielles pour élaborer des approches plus astucieuses et des outils plus performants afin de réduire l'incidence de ces failles. Les entreprises dans lesquelles une solution EMM est déjà déployée disposent généralement de la plupart des outils dont elles ont besoin. Il leur suffit alors de les mettre en pratique.
 

Quelques conseils peuvent cependant se révéler utiles aux entreprises qui n'auraient pas encore de politique sécuritaire pour leurs terminaux mobiles : 
 
Appliquez les règles de conformité et mettez en quarantaine les terminaux qui ne sont plus conformes. Un terminal qui ne répond pas aux normes étant une cible de choix pour une attaque malveillante à l'encontre de l'entreprise, il est fortement recommandé d'utiliser sytématiquement les règles strictes de conformité proposées avec les solutions EMM afin de mettre en quarantaine les terminaux à risque. Une solution EMM peut détecter si un utilisateur a désactivé son code PIN, a un terminal piraté, applique une règle obsolète et bien plus encore. Les fonctions de mise en quarantaine peuvent servir à bloquer l'accès au réseau et/ou à supprimer de façon sélective les données d'entreprise stockées sur le terminal. Elles contribuent à limiter la perte de données et à respecter les exigences réglementaires en matière de conformité, ce qui évite à l'entreprise de faire les gros titres à la rubrique « Victimes de cybercriminalité ».
 
Cessez de mettre sur liste noire les applications de stockage dans le cloud personnel et privilégiez plutôt les fonctionnalités de gestion ou de conteneurisation des applications fournies avec les solutions EMM pour permettre à vos employés de stocker leurs données dans un cloud d'entreprise sécurisé. L'approche EMM, qui consiste à éviter la dissémination des données d'entreprise plutôt que de bloquer un nombre toujours plus important d'applications cloud, offre l'avantage non négligeable de séparer les données d'entreprise des données personnelles. 
 
Ajoutez un service de réputation des applications ou de prévention des menaces sur les terminaux mobiles qui s'intègre à votre solution EMM. Ces services détectent les applications dangereuses, les logiciels malveillants, les risques liés aux applications, les attaques réseau et bien plus encore. Ils s'appuient sur la solution EMM pour prendre des mesures et mettre en quarantaine un terminal si une menace est détectée.
 
Appliquez les correctifs sur vos terminaux gérés. Il vous suffit de passer par le biais de la console EMM pour mettre en œuvre une version minimale du système d'exploitation. Si cette opération est simple sous iOS, elle peut s'avérer plus complexe avec Android en raison de la fragmentation expliquée plus haut. En revanche, les services de réputation des applications ou de prévention des menaces précédemment mentionnés peuvent identifier les risques liés aux terminaux Android en mettant des failles connues en corrélation avec le système d'exploitation. Ils peuvent ensuite informer la solution EMM qu'un terminal vulnérable a été détecté afin de le mettre en quarantaine.
 

BONUS :

MobileIron fournit aux entreprises du monde entier les bases sécurisées qui leur permettent de se transformer en organisations Mobile First.

www.mobileiron.com

 Sophos propose un chiffrement « always-on » actif en permanence pour protéger les données accessibles sur les mobiles,  les portables, les réseaux locaux et les services de partage de fichiers dans le Cloud

Communication PR Corporate:  juillet 2016

 

Sophos propose un chiffrement « always-on » actif en permanence pour protéger les données accessibles sur les mobiles,  les portables, les réseaux locaux et les services de partage de fichiers dans le Cloud

 

 

Sophos se positionne comme premier éditeur à proposer un chiffrement « always-on » pour les données partagées entre les plates-formes Windows, Mac, iOS et Android

 

·       Le chiffrement « always-on » suit les fichiers où qu’ils soient

·       Les utilisateurs collaborent facilement sur les fichiers chiffrés, que ce soit à partir de Windows, Mac, iOS ou Android

·       Le chiffrement aide les entreprises à se conformer au nouveau règlement européen sur la protection des données personnelles (RGPD)

·       Sophos SafeGuard 8 bénéficie d’une communication directe avec la protection Endpoint, 
dans le cadre d’une stratégie de sécurité synchronisée

 

Lire aussi notre reportage à Oxford (HQ de Sophos): http://cyberisques.com/mots-cles-15/552-sophos-simplyfing-cybersecurity

 

Paris, le 19 juillet 2016 –Sophos (LSE: SOPH), leader mondial de la sécurité des réseaux et des systèmes, annonce aujourd’hui la disponibilité deSophos SafeGuard Encryption 8, une nouvelle solution de chiffrement synchronisée qui protège les données contre les vols par des malwares, des attaques ou suite à des pertes accidentelles. Toutes les organisations peuvent maintenant choisir d’adopter la bonne pratique d’un chiffrement « always-on », actif en permanence pour protéger les données accessibles sur les mobiles,  les portables, les réseaux locaux et les services de partage de fichiers dans le Cloud. Sophos est le premier éditeur à fournir une solution de chiffrement persistante, transparente et proactive pour protéger les fichiers, opérationnelle aussi bien sur les plates-formes Windows et Mac que iOS ou Android.

Twittez: Classifiées, non classifiées? Les données peuvent maintenant être tout simplement protégées par défaut

Jusqu’à aujourd’hui, la mise en œuvre du chiffrement était considérée comme trop complexe et faisait l’objet d’une diffusion restreinte. D’après un sondage réalisé par Sophos, The State of Encryption Today[1], seulement 29% des responsables informatiques déclarent chiffrer systématiquement les smartphones et uniquement 43% les systèmes Mac, ce qui laisse une majorité d’organisations largement exposées.

« Le chiffrement intégral à lui seul protège seulement les données en cas de vol ou de perte de mobile ou de portable.  Mais les données voyagent partout - il est extrêmement difficile d’assurer une protection complète et cohérente des données quand elles sont accessibles à travers des périphériques multiples et des applications de collaboration à travers le Cloud. » déclare Dan Schiappa, Senior Vice President et General Manager du Groupe Enduser Security de Sophos. « Nous avons complètement repensé SafeGuard Encryption 8 pour chiffrer par défaut chaque fichier individuellement, en évaluant en permanence les droits d’accès des utilisateurs, des applications et des périphériques, afin d’assurer une collaboration sécurisée. Nous permettons aussi de fournir des fichiers protégés par mots de passe à des destinataires externes, afin de permettre les échanges sécurisés de fichiers chiffrés. Quand la protection des données est simple et transparente, les utilisateurs sont plus enclins à l’accepter, ce qui augmente la sécurité de votre organisation et sa conformité aux exigences réglementaires en matière de protection des données personnelles. »

Un chiffrement complet et simple à gérer à grande échelle devrait figurer en bonne place dans l’agenda des responsables informatiques, dans une période de réactualisation des stratégies de protection de données pour se conformer aux nouvelles règlementations. Quand le nouveaurèglement européen sur la protection des données personnelles (RGDP) entrera pleinement en vigueur le 25 mai 2018, les organisations détenant des données personnelles sur les citoyens de l’Union européenne s’exposeront à des amendes pouvant aller jusqu’à 4% de leur revenu annuel mondial en cas d’atteinte aux données personnelles, s’ils ne respectent pas les exigences du règlement. Ceci concerne non seulement les entreprises de l’Union européenne, mais toute organisation détenant des données sur les citoyens de la zone.

« Des législations sur la protection des données personnelles sont promulguées partout dans le monde, et les organisations de toutes tailles devraient revoir leur stratégie en matière de protection des données avant de devoir faire face à des conséquences qui se durcissent. Toute société faisant du commerce avec des pays disposant de lois sur la protection des données personnelles est tenue de respecter ces législations locales. » ajoute Dan Schiappa. « Le chiffrement est largement reconnu comme étant la meilleure mesure de protection disponible pour les données. Déployer Sophos SafeGuard Encryption est une étape simple à gérer permettant à toute entreprise de mettre en œuvre une bonne pratique pour la sécurité des données, aussi bien pour protéger les informations sensibles ou propriétaires que pour assurer la conformité aux législations telles que le nouveau règlement européen. » 

 

SOPHOS-TREND-2016

 

"Avec l’adoption du nouveau règlement européen sur la protection des données personnelles (RGPD) le besoin de solutions de chiffrement complètes et simples à mettre en œuvre se fait sentir avec plus d’urgence. A l’ère de la mobilité et du Cloud, il est aussi essentiel que ce chiffrement puisse suivre les données partout dans leur déplacement. Ce sont précisément ces défis que Sophos relève avec SafeGuard Encryption 8, aboutissement de plus de 30 ans d’expérience dans le domaine du chiffrement. Qui plus est, la sécurité synchronisée avec Sophos Endpoint apporte une protection supplémentaire innovante des données contre les attaques par des malwares, qui inaugure une nouvelle génération de solutions" analyse Michel Lanaspèze, en charge du marketing Europe de l Ouest chez l'éditeur. 

Dans le cadre de la stratégie de sécurité synchronisée de Sophos, SafeGuard Encryption 8 peut automatiquement répondre aux incidents de sécurité grâce à sa connexion en temps réel avec la protection Endpoint de Sophos. Lors de la détection d’une infection active sur un système, Sophos SafeGuard Encryption peut temporairement révoquer les clés de chiffrement sur ce système pour protéger les données. Les utilisateurs pourront automatiquement récupérer leurs clés une fois l’incident résolu. Sophos SafeGuard Encryption synchronise également ses clés avec Sophos Mobile Control afin de fournir un accès fluide et transparent aux utilisateurs habilités, à partir de leurs smartphones et tablettes, chaque document chiffré étant accessible d’une manière sécurisée à travers l’application Secure Work Space.

« Il y a quatre raisons principales de s’intéresser au chiffrement pour les entreprises. La première et la plus importante est la protection des données sensibles contre les attaques ciblant le vol de données. La seconde est la diffusion accidentelle de données, suite par exemple à l’oubli d’un mobile ou d’une clé USB dans un taxi ou l’envoi d’un courriel incluant des documents sensibles à la mauvaise personne, ce qui arrive malheureusement bien trop souvent. La troisième est la conformité aux lois telles que le nouveau règlement européen RGDP, afin de réduire les risques d’amendes de plus en plus substantielles. Enfin, la transition croissante vers des services Cloud présente des risques pour la sécurité des données, que le chiffrement peut aider à maîtriser. » déclare Duncan Brown, Directeur de Recherche en Pratique Européenne de Sécurité chez IDC. « Pour que le chiffrement soit efficace dans ces quatre cas de figure, il doit être simple à gérer pour le responsable IT, transparent pour les utilisateurs et fonctionner avec des plates-formes et des types de fichiers multiples. Sophos remplit toutes ces conditions avec SafeGuard Encryption, permettant aux entreprises de rapidement adopter le chiffrement comme mesure de sécurité indispensable. »

La solution de chiffrement Sophos SafeGuard Encryption est développée au sein de l’Union européenne, dans les centres de recherche et développement de Sophos en Autriche et en Allemagne, et fait l’objet de certification selon les Critères Communs auprès du BSI (Bundesamt für Sicherheit in der Informationstechnik) en Allemagne.

Les Partenaires Sophos assurent la diffusion et le support de Sophos SafeGuard Encryption

Ludovic Baron, Directeur Général de la société Expert Line, déclare : « Nous avons déjà une longue expérience réussie avec la solution Sophos SafeGuard Encryption et sommes persuadés que le chiffrement est une composante fondamentale de la sécurité des données et de la protection contre les menaces en général. Sophos SafeGuard Encryption étend la stratégie de sécurité synchronisée de Sophos, qui partage l’intelligence sur les incidents de sécurité en temps réel entre les produits de sécurité pour apporter une réponse automatisée. C’est avec beaucoup d’enthousiasme que nous apportons les bénéfices de la sécurité synchronisée à nos clients. »

Steve Nevere, Président et CEO de la société Nevtec établie en Californie, ajoute : « Il y a des besoins considérables concernant la protection des données chez nos clients, en particulier pour le respect de règlements tels que HIPAA et PCI. En tant que partenaire de confiance pour les organisations concernées par les règlements sur la protection des données, nous avons mis en place des processus sophistiqués pour pouvoir déployer le chiffrement chez nos clients. Sophos SafeGuard Encryption 8 nous permet d’accroître la qualité de ces services car il protège et gère simplement le chiffrement de données sensibles sur de multiples systèmes et périphériques. Nous avons testé SafeGuard Encryption 8 dans nos propres laboratoires et avons été impressionnés par la technologie. Nous sommes encore plus motivés par notre partenariat avec Sophos et enthousiastes à la perspective d’apporter la technologie de chiffrement « always-on » sur le marché. »

 

BONUS: 

Pour plus d’informations sur Sophos SafeGuard Encryption 8, consultez le livre blanc sur laNouvelle Génération de Chiffrement Sophos ou regardez le Webinaire sur le Chiffrement  Sophos réalisé avec la participation de Duncan Brown, Directeur de Recherche en Pratique Européenne de Sécurité chez IDC, et Dan Schiappa, Senior Vice President et General Manager du Groupe Enduser Security de Sophos. 

Pour plus d’information sur le nouveau règlement européen sur la protection des données personnelles (RGDP), consultez notre page d’information sur le RGDP ou regardez le Webinaire Sophos sur le RGDP.

[1] Le sondage réalisé par Sophos a interrogé les responsables informatiques d’entreprises de tailles moyennes des Etats-Unis, du Canada, de l’Inde, de l’Australie et du Japon sur leurs habitudes et leurs préoccupations.

 

 

Cybersécurité: Faut-il attaquer l'attaquant ? (LIO lutte informatique offensive)

 

Cybersécurité et Sécurité offensive (LIO): vers l'affrontement numérique ? 

 

55265bad35704bb01ba8dea0

                    Quelle cyber-cible "stratégique" après TV5 en avril dernier ? 

 

Ce qu'en pensent les experts:

 

Cédric Pernet, chercheur Cyber Safety Solutions, Trend Micro :

« Le basculement dans l’offensif se fait lorsque les mêmes méthodes que celles déployées par les attaquants sont utilisées. Elles ne sont d’ailleurs pas forcément différentes de celles déployées lors de tests d’intrusion, mais ces derniers sont cadrés et dans le respect de la loi. Je pense en particulier à des nouvelles méthodes de tests d’intrusion que sont les simulations d’attaques APT. »

 

 

Thomas Girard, CS,  directeur du département Conseil et SSI, de la BUDéfense,Sécurité ATM :

 

 

  - « on constate que les tabous sont en train de tomber de-ci de là sur le sujet de la LIO »

 

- « Aujourd'hui on sait qu'on peut quasiment laisser les traces que l'on souhaitelors d'une attaque bien préparée »

- « De mon point de vue, la vente d'exploit ne pourra jamais être complètement transparente. Il y a trop d'enjeux de souveraineté et de compétitivité nationale en jeu »

(Lire en fin d'article un extrait de l'entretien de Thomas Girard)

 

 

 

Cédric Pernet est un ancien officier de Police Judiciaire à l'OCLCTIC. Il a été membre du Cert LEXI et consultant CERT SG avant d'intégrer Cassidian / EADS Airbus Group et rejoindre en février 2015 Trend Micro comme chercheur. Il est l'auteur d'un excellent livre chez Eyrolles : « APT : Sécurité et espionnage informatique ». APT, 0Day, offensif...  trois mots pour une même problématique: la cyber-riposte. En cyber-défense, c'est acquis (LIO lutte informatique offensive) via la dernière version du Livre Blanc mais en cybersécurité par exemple jusqu où "pousser" les missions de Forensic ? 

Faut-il attaquer l'attaquant ? La question se pose aujourd'hui même si certains la réfute... du moins officiellement (cf la section BONUS en fin d'interview)  Elle sera au coeur des prochaines Assises de la Sécurité en octobre prochain comme elle est déjà "franchement" abordée dans de nombreuses conférences IT depuis des années. Alors parlons-en avec Cédric Pernet.... et quelques autres personnalités scientifiques moins "frileuses" que d'autres obligées de respecter les règles "confidential corporate" sur ce sujet. 

 

  

1 - Cyberisques NEWS: Cédric, pour connaître ton attaquant attaque-le. Nouvelle cyber-doctrine ou démagogie ? Cyber-riposter c'est accepter de se mettre au niveau des cyber-délinquants en ignorant morale et législation. Est ce envisageable en cyber-sécurité ?

Cédric Pernet: Je ne pense pas qu'il faille attaquer l'attaquant, cela reviendrait à se mettre à son niveau, celui d’un cybercriminel. D’autant plus qu’il peut y avoir une investigation judiciaire en cours n’importe où dans le monde sur tel ou tel groupe d’attaquants, et il n’est pas forcément facile d’être au courant de cette investigation. En revanche, il est possible de collaborer avec d'autres chercheurs et des structures de type CSIRT/CERT, services judiciaires et autres partenaires du secteur privé. Il est ainsi possible d’obtenir des données sans passer par l'offensif et souvent de mettre à mal des structures d’attaquants*.

Le basculement dans l’offensif se fait lorsque les mêmes méthodes que celles déployées par les attaquants sont utilisées. Elles ne sont d’ailleurs pas forcément différentes de celles déployées lors de tests d’intrusion, mais ces derniers sont cadrés et dans le respect de la loi. Je pense en particulier à des nouvelles méthodes de tests d’intrusion que sont les simulations d’attaques APT.

 

2 - Si une cyber-riposte est décidée, quelles sont les limites à ne pas franchir ? Par exemple, riposter c'est prendre le risque de détruire des preuves sur un serveur d'attaquants et de les informer qu'ils sont surveillés.

Je me pose la question de la plus-value d’une telle opération. Si les secrets de l’entreprise ont déjà fuité, c’est trop tard de toute façon pour les récupérer. Quel serait le but de cette cyber riposte ? Mieux connaître l’attaquant ? Cela ne semble pas être la priorité d’un décideur qui se fait compromettre et dérober ses secrets. Sa priorité consiste a écarter l’attaquant et ne plus lui donner la possibilité de revenir. Remonter à la source d’une attaque n’est pas dans ses priorités immédiates. La question de cyber ripostes organisées par certaines entités étatiques se pose, mais je ne pense pas être à même d’y répondre.

 

3 En pratique, quels outils voire cyber-armes utilisés pour cyber-riposter ? Comment avec quelles vulnérabilités a exploiter ?

La riposte peut prendre divers aspects. Tout est possible. Tout dépend de la cible. En APT la phase de reconnaissance permet de comprendre le niveau de maturité informatique de la cible et ainsi savoir quelle technicité déployer pour attaquer. Les mêmes outils sont toujours utilisés : des RAT, Backdoors et des outils pour rebondir dans le système compromis. Il faut laisser de côté les idées reçues qui disent qu'il faut des exploits « 0day » pour s'introduire sur un réseau. En pratique, c'est assez facile de pénétrer la plupart des entreprises. Les décideurs sont parfois influencés par des discours marketing de fournisseurs qui font croire que certains produits sont « magiques » et vont tout faire tous seuls, mais derrière ces équipements de sécurité il faut des analystes et des gens compétents pour analyser les détections en fonction de leur importance. Hiérarchiser les informations reçues est capital. Un SOC qui se contente de lever des alertes sans les faire qualifier finement par un analyste en Threat Intelligence ne sert à rien.

 

4 Combien de vulnérabilités 0day sont achetées en moyenne chaque mois dans le monde ? Par qui**?

C’est difficile à estimer, pour ce qui est de la quantité. Les acheteurs sont généralement des Etats ou des entreprises privées C’est un marché forcément très discret**.

 

5 Industriels / éditeurs : les rôles sont ils bien répartis sur le marché des Zéro day ***?

Certaines entreprises vendent effectivement des outils de type RAT/backdoor, ou des exploits 0day. Pour ce qui est des attaquants APT, ils utilisent des malwares développés en interne ou des malwares tiers modifiés pour ne pas être détectés facilement par les AV.

L’achat de malware/RAT à des tiers est risqué, ils peuvent contenir des backdoors, qui ne sont généralement détectables qu’en procédant par rétro-ingénierie, ce qui prend du temps.

Chez les éditeurs les binaires tournent dans des sandbox d’analyse et cela suffit dans la grande majorité des cas. Quelques-uns nécessitent une analyse manuelle, ce sont en général des malwares plus sophistiqués.

 

6 – Peut-on estimer le « Business de la LIO (lutte informatique offensive) » en 2015 ?

Il existe un marché du zero day dont les prix varient par exploit de quelques centaines d’Euros à plusieurs centaines de milliers d'Euros. Le prix est fixé à partir de plusieurs paramètres, dont notamment l’exploitabilité de la vulnérabilité et sa fréquence en entreprise. Un exploit fonctionnant pour un logiciel présent dans toutes les entreprises vaudra forcément plus cher qu’un exploit ciblant un logiciel moins répandu.

 

7 La confiance dans les équipements demeure une question stratégique : faut-il faire des audits « hard » comme on pratique les audits de codes ?

Effectivement, on en arrive à avoir la nécessité de faire des audits de ces matériels par des tiers de confiance. Si j’étais RSSI chez un OIV je voudrai avoir la certitude que le matériel et son code sont « propres ».

 

8 Cybersabotage ? Quelle réponse en cas de cyber-chantage et d'attaques ciblées ?

Dans l’idéal, il faut déjà avoir des plans de réponse au cyber chantage et ne pas attendre passivement que cette situation catastrophique se présente un jour. Il faut avoir des backups de ses données stockés en dehors de tout système connecté, etc.

En cas d’attaque ciblée, il faut faire intervenir une équipe de réponse à incident qualifiée, rapidement. Cette ressource ne se trouve généralement pas en interne et nécessite souvent une intervention externe. Cela a du sens, parce que des profils internes même orientés sécurité n’auront pas l’expérience d’autres profils habitués à travailler sur des APT. L’expérience est déterminante lors d’une réponse à incident sur APT.

Le nerf de la guerre dans la lutte contre les APT c'est la sensibilisation qui implique le collaborateur. On peut par exemple mettre en place des sensibilisations pour les nouveaux employés qui impliquent de leur faire remplir des questionnaires ludiques de sécurité, ou encore lancer de véritables campagnes de phishing et aller voir individuellement les personnes y ayant répondu.

Propos recueillis par Jean Philippe Bichard pour cyberisques NEWS

 

Pour accéder à l'intégralité de notre contenu: 

 

CYBERISQUES NEWS premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX / CODIR

 

Abonnement individuel par eMail personnalisé

 

Renseignements Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

 

 

BONUS : (extrait)

Sur le site d'un acteur connu en prestations de services de cybersécurité on peut lire : 

Les APT ne sont plus réservées aux intérêts nationaux. Les cybercriminels se sont professionnalisés et rivalisent aujourd’hui en sophistication avec les attaques étatiques les plus abouties. Toute entreprise doit donc aujourd'hui préparer sa défense et concevoir sa riposte..."

Officiellement, cet acteur ne désire pas s'exprimer c'est du moins ce qu'affirme son service de communication externe (Agence PR). Officieusement donc, nous l'avons rencontré pour échanger entres autres sur l'évolution du cadre légal lié à la LIO (Lutte informatique offensive). Article à venir :)    doit donc aujourd’hui préparer sa défense, et concevoir ses ripostes. Toute entreprise doit donc aujourd’hui préparer sa défense, et concevoir ses ripostes. 

 

 

* collaboration Trend Micro/Interpol/Kaspersky/Microsoft/Cyber Defence Institute : http://blog.trendmicro.com/trendlabs-security-intelligence/simda-a-botnet-takedown/

 

** http://www.forbes.com/sites/andygreenberg/2012/03/23/shopping-for-zero-days-an-price-list-for-hackers-secret-software-exploits/ et https://hackerone.com

 

*** http://cyberisques.com/fr/mots-cles-1/446-trendlabs-les-tetes-chercheuses-de-trend-micro-pretes-pour-passer-a-l-offensif

 

 

 

 


Thomas Girard, CS,  directeur du département Conseil et SSI, de la BUDéfense,Sécurité ATM :

 

 

 

- « on constate que les tabous sont en train de tomber de-ci de là sur le sujet de la LIO »

 

- « Aujourd'hui on sait qu'on peut quasiment laisser les traces que l'on souhaitelors d'une attaque bien préparée »

- « De mon point de vue, la vente d'exploit nepourra jamais être complètement transparente. Il y a trop d'enjeux de souveraineté et de compétitivité nationale en jeu »


 

1-  Faut il attaquer l'attaquant ? Pour connaître ton attaquant attaque-le. Nouvelle doctrine ou démagogie ? Autrement dit cyber-riposter c'est aussi se mettre au niveau des cyber-délinquants en ignorant morale et législation ? 

 

 

 

Il faut attendre la doctrine cyber qui sortira en intégrant peut-être l'aspect Cyber à une nouvelle arme, voire une nouvelle armée. La philosophie des règles d'engagements devrait y être précisée. Cyber protection, cyberdéfense, cyberésilience : ces trois thèmes cyber ont des approches différentes mais sont complémentaires. Au Ministère, on se rend compte que sur un théâtre par exemple ce sont les mêmes personnes qui font de la cyberdéfense (partie LID) et de la cybersécurité (partie SSI).

 

Quant à la partie offensive, avec des cyber arsenaux... personne ne l'évoque clairement aujourd'hui. A l'instar du nucléaire, on ne va pas faire défiler ces armes au défilé du 14 juillet. Malgré tout, on constate que les tabous sont en train de tomber de-ci de là sur le sujet de la LIO.

 

Dans le privé, nous sommes à la limite du tolérable concernant la sécurité des patrimoines immatériels de grandes entreprises françaises même si certains grands comptes sont en mesure de se protéger relativement correctement. Le renforcement de la législation devrait permettre un certain renforcement à marche forcée des entreprises.

 

Concernant le chiffre (cryptographie), il a toujours eu une place particulière : est-on sûr que les algorithmes et leur l'implémentation sont invulnérables aux puissances étrangères ? En tout cas il faut l'espérer, même si c'est une question que l'on peut se poser.

 

 

 

2 - Si une cyber-riposte est décidée, quelles sont les limites a ne pas franchir ? Par exemple, riposter c'est prendre le risque de détruire des preuves sur un serveur d'attaquants et de les informer qu'ils sont surveillés

 

L'analogie avec les opérations spéciales semble se dessiner aujourd'hui. De mon point de vue, il faut considérer l'outil informatique offensif comme un effecteur comme les autres.
Concernant l'Etat, les limites à ne pas franchir seront définies par une doctrine militaire. On est dans le pur commandement militaire. Quel est l'effet recherché ? La destruction, le pourrissement, la mise hors service, le renseignement, etc. ? Veut-on laisser des traces oupas ? Aujourd'hui on sait qu'on peut quasiment laisser les traces que l'on souhaitelors d'une attaque bien préparée. 


2bis - Quelles règlesd'engagement dans le domaine cyber ? Quel positionnement de l'arme cyber dans les armées ?

...

(Suite de l'article accessible pour les abonnés à Cyberisques NEWS)

 

 

 

A consulter: (extrait) 

http://legifrance.gouv.fr/affichTexte.do;jsessionid=?cidTexte=JORFTEXT000030405967&dateTexte=&oldAction=dernierJO&categorieLien=id&utm_content=bufferd7b72&utm_medium=social&utm_source=twitter.com&utm_campaign=buffer

- "ShortMag" Magazine des ingénieurs de l'armement, HS Janvier 2014 l'article de Jean-François Pacault "A l'attaque!"

http://www.netragard.com/exploit-acquisition-program-shut-down

http://www.pwc.co.uk/assets/pdf/2015-ISBS-Technical-Report-blue-digital.pdf

 - ...

  

 

 

Voir le profil de Jean Philippe Bichard sur LinkedIn

Les dossiers de Cyber Risques News

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

Renseignements   Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

Informations supplémentaires