#Cyberisques : Conformité reglementaire 1er Janvier 2017 : 4 nouveaux secteurs OIV concernés: Audiovisuel et information Communications électroniques et Internet Industrie Finances

Communication Corporate:

 

Conformité reglementaire 1er Janvier 2017 : 4 nouveaux secteurs OIV concernés: Audiovisuel et information
Communications électroniques et Internet
Industrie
Finances

 

WALLIX GROUP, éditeur de solutions de cyber-sécurité et de gouvernance des accès au système d'information, salue la poursuite et la mise en place de 4 nouveaux dispositifs concernant la sécurité des systèmes d'information des opérateurs d'importance vitale (OIV), contre les cyber-attaques.

De nouveaux marchés de grande envergure
Suite aux 9 arrêtés déjà mis en vigueur au 1er juillet et 1er octobre 2016, l’Agence Nationale pour la Sécurité des Systèmes d’Information (ANSSI) a publié au Journal Officiel 4 nouveaux arrêtés sectoriels fixant les règles relatives à la sécurité des systèmes d’information des OIV. Ces arrêtés concernent les secteurs :
Audiovisuel et information
Communications électroniques et Internet
Industrie
Finances

Une entrée en vigueur au 1er janvier 2017
Dès l’entrée en vigueur de ces nouveaux arrêtés sectoriels, les OIV cités seront dans l’obligation de se prémunir contre d'éventuelles intrusions de leurs systèmes informatiques. En conséquence et comme pour les précédents arrêtes sectoriels référents, ces entités devront notamment installer en leur sein des logiciels ou matériels qualifiés et recommandés par l’ANSSI et :


• Déclarer à l’ANSSI leurs incidents de sécurité ;
• Déclarer leur liste de Systèmes d'Information d'Importance Vitale (SIIV) à l’ANSSI ;
• Communiquer les coordonnées de leur service de permanence Systèmes de Sécurité Incendie (SSI) à l’ANSSI ;
• Être conformes aux 20 règles de sécurité concernant : la gouvernance, la maîtrise des risques et des SI, la protection des systèmes et la gestion de crise en cas d'attaques informatiques majeures.
Les contrevenants s'exposent à une amende pouvant aller jusqu'à 150 000 euros et à un an de prison en cas de « défaillance » ayant mis en péril une infrastructure dite sensible.

 

WAB Suite, une solution tout-en-un et certifiée :


WAB Suite est une solution certifiée auprès de l’ANSSI qui permet de gérer des comptes à privilèges tout-en-un, afin que les accès et sessions des super-utilisateurs soient sécurisés et supervisés.


Grâce à des fonctionnalités d’enregistrement et de surveillance en temps réel, le coffre-fort à mots de passe WALLIX fournit des éléments d’authentification complexes, secrets et modifiables pour les comptes à privilèges. De plus, afin d’anticiper une éventuelle cyber-attaque destructrice, la traçabilité et la capacité d’audit optimisent la réactivité des responsables sécurité en cas d’incident, et s’inscrit dans les règles de conformité décrites par l’ANSSI.

L’accès à l'intégralité de nos articles (dossiers

"expertises / compliance", enquêtes,

interviews exclusives, tendances chiffrées,

retours d'expérience par secteurs...) est

réservé à nos abonné(e)s

Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

 

BONUS: 

 

https://www.ssi.gouv.fr/uploads/2014/12/secnumcloud_referentiel_v3.0_niveau_essentiel.pdf

 

 

Etude Deloitte 2016: "Enjeux Cyber 2016, la face cachée de la cybersécurité"

Etude: septembre 2016

 

Etude Deloitte 2016:  "Enjeux Cyber 2016, la face cachée de la cybersécurité"

 

"En France, nous estimons à 50 le nombre d’attaques par jour que subit une entreprise" Bien que cette estimation soit difficile a analyser (taille de l’entreprise, niveau de sécurité (OIV?) secteur d’activité, sensibilité aux cyber risques… elle reflète les difficultés que doivent affronter les « auteurs » d’étude y compris celles adaptées au marche EU mais concue aux US (Lire notre section BONUS en fin d'article). La dernière proposée par Deloitte : "Enjeux Cyber 2016 La face cachée de la cybersécurité" se propose en toute humilité de  "de faire la lumière sur l’ensemble des enjeux que proposent la Cyber."

Elle est surtout révélatrice des turbulences qui agitent les COMEX face aux problematiques posées par les cyberisques. Quant à la face cachée, on ne comprend pas toujours ou elle est... contrairement à l'excellent rapport de Trend Micro sur l'underground français ( http://cyberisques.com/mots-cles-1/569-trend-micro-go-between-entre-la-france-et-le-japon ) et a celui de Compuware édité cette semaine (Infographie 1) .

Le questionnaire  expliquent les responsables Deloitte en France porte sur des entreprises pesant entre 1 a 10 milliards d’euros sur différents secteurs. Cible large ! En revanche, indépendamment du profil de l’entreprise, ce sont les RSSI qui ont été interrogés dans une large majorité (80%). Des RSSI pas toujours présents au CODIR. Ce qui n’empêche pas Deloitte de tirer certaines conclusions tres stratégiques. L’une d’entre elles portant sur la protection des données et les avantages « business » mérite le détour.

Selon Deloitte, en matière de Cybersécurité, deux visions s’opposent : « L’approche traditionnelle vise à traiter les risques Cyber dans le but de les maîtriser et les supprimer. Les mesures prises par l’entreprise permettent de mieux se protéger contre d’éventuelles attaques, tout en répondant aux contraintes des régulateurs. Pour d’autres, et c’est une approche totalement différente, la cybersécurité est une opportunité. Nous sommes convaincus qu’une gestion intelligente des risques aboutira à une amélioration du rendement et à une optimisation de la performance. Dans un environnement ultra-concurrentiel et en constante transformation, où les entreprises sont de plus en plus exposées aux risques, une meilleure appréhension des dispositifs de sécurité à mettre en place fournira un avantage compétitif de taille. Les décisions stratégiques des entreprises pourront être réalisées sereinement, dès lors que la gestion des risques qui y est associée (identification, évaluation, réponse) sera non seulement orientée « protection » mais également « optimisation de la performance ».

 

Données-RGPD

 Infographie 1: Source Compuware 2016 

 

Pour Michael Bittan, Associé responsable Cyber Risk Services Deloitte France c’est sans aucun doute la seconde approche qui sera appellée a se développer.

Dans un environnement ultra-concurrentiel et en constante transformation, où les entreprises sont de plus en plus exposées aux risques, une meilleure appréhension des dispositifs de sécurité à mettre en place fournira un avantage compétitif de taille. Les décisions stratégiques des entreprises pourront être réalisées sereinement, dès lors que la gestion des risques qui y est associée (identification, évaluation, réponse) sera non seulement orientée « protection » mais également « optimisation de la performance ».

@jpbichard

 

Etude-deloitte-2

 BONUS: 

 

http://www2.deloitte.com/content/dam/Deloitte/us/Documents/risk/us-risk-beneath-the-surface-of-a-cyber-attack.pdf

 

Exemple de cyber-scénario avec impacts financiers (extrait de l'etude US lien ci-dessous)

Impact-Cyber-Attaques-2016Deloitte-US-2

Impact-Cyber-attaques-2016Deloitte-US

 

ESET nouvelle version TPE / Home market compatible RGPD

Solutions: 

 

 

ESET met l'accent sur les cyberisques ciblant les acteurs SMB

 

Par manque de sensibilisation à la sécurité informatique, les TPE qui ne disposent de moyens humains dédiés, s’exposent à un risque plus élevé pouvant avoir de graves conséquences pour leur entreprise. Fort de ce constat et dans un souci de conformité juridique avec le futur reglement européen sur la protection des données (RGPD) ESET annonce aujourd'hui le lancement de ESET Smart Security Premium solution dédiée aux acteurs SMB et une nouvelle version de sa suite de sécurité pour le marche domestique.

 

ESET-V10

 

 

On savait la technologie ESET déjà particulirement efficace contre les spams ( https://www.eset.com/us/resources/detail/eset-undisputed-no-1-in-spam-protection/). Avec cette nouvelle version, les ingénieurs d'ESET ont ajouté au-delà des fonctions de base (antivirus, anti-phishing, protection contre les attaques par script, antispam…), des fonctions permettant d’accompagner les TPE dans la mise en place de systèmes de sécurité répondant aux exigences du RGPD : protection contre les attaques « script », chiffrement des données pour éviter les fuites éventuelles, protection du réseau domestique afin de connaître l’identité des appareils connectés, gestionnaire de mots de passe afin de protéger tous les accès par des mots de passe efficaces.

« Récemment, un cabinet médical s’est adressé à nous après s’être retrouvé infecté par un ransomware causant la perte de l’ensemble des données de ses patients. Il n’avait pas installé de solutions de sécurité car il n’en voyait pas l’utilité. Il devient urgent que les TPE prennent conscience de l’importance des données qu’ils détiennent », explique Benoît Grunemwald, Directeur des Opérations chez ESET France.

La première démarche consiste à réaliser une cartographie des données et attribuer un niveau de sensibilité aux informations. Pour appliquer les mesures, l’expert juridique viendra en soutien des actions entreprises par la société. Il restera alors la mise en place des systèmes de sécurité.

Avec l’arrivée du RGPD (2018) les TPE devront, au même titre que les grands comptes, s’approprier le texte qui vise à protéger les données personnelles hébergées par les entreprises et leurs sous-traitants. A ce titre, des mesures imposées par le règlement européen devront être mises en place sous peine de sanctions. La mise ne conformité de la protection des données devient donc une obligation. 

C'est dans cette stratégie de mise en conformité que l'éditeur européen cherche a étendre ses solutions pour toucher de nouveaux marchés au dela des cibles "home" et "SMB". S’appuyant sur un réseau de plus de 3.000 partenaires, ESET France accompagne toutes les entreprises en vue de l’adoption du RGPD.

« Gartner et IDC nous positionne 4ème éditeur mondial en volume sur les End Point. Eset est un acteur majeur Européen car la société est slovaque donc nous avons des pays où nous sommes premiers et continuons à croitre dans d’autres. Au-delà des discours nous avons une vrai solution qui répond à la problématique de nos clients .Nous privilégions le test qui prouve la valeur de notre approche et l’honnêteté que nous apportons dans la relation client. Nous avons volonté à aller sur les grands comptes mais notre cœur de cible est toujours le SMB et nous ne voulons pas risquer de mettre en péril la qualité de nos produits en ayant une gamme trop importante avec laquelle nous ne pourrions garantir la qualité à nos utilisateurs. Un exemple est le SCADA où nous n’avons pas de version spécifique mais nous adressons leur problématique de sécurité avec notre produit générique.» expliquait lors des Assises de la Sécurité a Monaco début octobre 2016, Benoit Grunemwald à Cyberisques News(http://cyberisques.com/fr/mots-cles-1/580-eset-certains-disait-l-antivirus-est-mort-nous-disons-qu-il-a-evolue).

 

Des solution PRO déclinées auprès du marché domestique :

Dans le même esprit, l'éditeur slovaque étend sa gamme auprès du marché domestique. Déjà tres présent sur ce segment de marché, ESET propose de nouvelles fonctions notamment contre le cyber-chantage.

Une étude publiée fin octobre 2016 par MarkMonitor® (protection des marques d’entreprise), révèle que 45 % des consommateurs ont été victimes d’une forme quelconque de cybercriminalité, 65 % d’entre eux ayant choisi de ne pas signaler l’incident aux autorités. L’enquête montre également que, parmi ces consommateurs, un sur six a subi des pertes financières consécutives à la fraude en ligne, d’un montant supérieur à 1 100 € pour 20 % des victimes. Les fausses demandes de réinitialisation des mots de passe des comptes de réseaux sociaux représentent le type de fraude le plus courant (20 % du sous-échantillon), suivies de près par les e-mails qui usurpent l’identité de sociétés légitimes pour solliciter des informations personnelles (17 %).  A l'image des usages BYOD, on comprend qu'une passerrelle de plus en plus large existe entre les marchés PRO et les marchés domestiques. Conscient de cette évolution, ESET propose une nouvelle suite "domestique" doté de fonctions "PRO". 

La nouvelle version ESET Internet Security bénéficie désormais de deux fonctionnalités majeures selon l'éditeur avec d'une part une protection Webcam qui signale les processus et les applications qui tentent d’accéder à la webcam et permet de les bloquer. D'autre part, une protection du réseau domestique permet à l’utilisateur de connaître l’identité des appareils connectés.

  « Le tout nouveau produit ESET Internet Security vient s’ajouter à notre portefeuille de produits primés et offre aux utilisateurs les meilleures fonctionnalités en matière de détection, de vitesse et de convivialité. Ces nouveaux produits ajoutent à nos protections multi-couches existants un ensemble de fonctionnalités centrées sur la protection de la vie privée » explique Eduard Kesely, Product Manager chez ESET.

L’utilisation massive des réseaux sociaux et la Génération Selfies attirent de nombreux pirates qui s’infiltrent dans les appareils connectés (ordinateurs, tablettes et smartphones) dans le but de récupérer leurs données ou même d’avoir accès à leur webcam.

Les cyberattaques récentes de type DdoS sur des infrastructures d'opérateurs montrent a quel point les Webcams et autres IoT (Objets connectés) sont devenus des vecteurs et plus seulement des cibles finales ( http://cyberisques.com/fr/mots-cles-15/139-mots-cles-32-externalisation/586-apres-l-attaque-sur-sns-dyn-la-securite-des-iot-en-question )

ESET semble bien positionné pour aborder 2017 et "ses" nouveaux marché.

 

BONUS :

ESET Internet Security est disponible sur www.eset.com/fr/

 

 

Réforme 2016 du Code civil : le prix dans les contrats

Réforme 2016 du Code civil : le prix dans les contrats

 

La réforme du code 1804 dit de Napoléon.passe discrétement cet été alors qu'elle sera applicable avec les nouveaux textes des le 1er octobre de cette année.

Elle porte entre autres sur les contrat notamment sur les droits et Technologies. 450 articles ont été réécrits sans aucune reglementation EUR à l'appui. L'idée c'est de s'adapter aux contrats de services liés aux nouvelles Technos. L'idée cest de rendre plus attractif le droit français. Globalement selon le cabinet d'experts Ledieu, c'est plus clair et plus cohérents.des évolutions non négligeables existent avec cette nouvelle version notamment au niveau du «  contrat d'adhésion ». On sait qu'à la différence du contrat « gré à gré » négociable, le « contrat d'adhésion » comme ceux proposés par les éditeurs en ligne peuvent désormais être contestés. Si une clause abusive est constatée par le juge il peut désormais l'annulée ; Il est donc important que les entreprises de services puissent désormais proposer des « contrats d’adhésion » avec des clauses « acceptables ». La nouvelle version du code n'a pas omis les nouvelles dispositions relatives à la valeur des restitutions en cas de résolution / résiliation des contrats. Un exemple: si un prix évolue de plus de 15 % la révision du contrat ou sa résiliation sont envisageables. 

@jpbichard

 

 

 Contrat-Ledieu

Le prix, grand oublié du Code Napoléon

Manifestement, les rédacteurs du Code civil étaient moins attachés à la notion de prix que nous le sommes aujourd’hui : aucune disposition générale ne s’y réfère, à part en matière de vente. Le vide est désormais comblé. Mais est-il bien comblé ?

 

Le prix et l’information déterminante

Dès le 1er octobre 2016, l’analyse de la “valeur” du contrat fera son entrée dans notre droit positif. Dans la phase pré-contractuelle, le [nouveau] Code civil écartera le principe de l’erreur sur la valeur d’une prestation, entendue comme une “information déterminante” due par une partie à l’autre. Sauf en cas de dol* bien sûr (“l’erreur résultant d’un dol est toujours excusable” nous dit l’article 1139 [nouveau]).

 

*Faute intentionnelle de type vice caché par exemple ou omission volontaire

 

 

L’appréciation économique inexacte

A l’identique, lors de la formation du contrat, “l’appréciation économique inexacte” d’une prestation ne pourra donner lieu à nullité du contrat. Au moins, le principe a le mérite d’être clair.

 

La réduction du prix en cas d’inexécution partielle

C’est également une des grandes nouveautés du [nouveau] Code civil. Mais là, les rédacteurs de l’Ordonnance se sont ratés dans les grandes largeurs. Les mécanismes proposés sont incomplets, voire incohérents. Vous allez découvrir dans quelle mesure.

UN prestataire peut etre contesté et le client peut proposer un nouveau prix. Dans ce cas le prestataire risque de cesser immédiatement sa mission (exception d'une inexécution). Disposition étrange.

 

 

La fixation unilatérale du prix

Opérant une subtile distinction entre “contrat cadre” et “contrat de services” (que nous ne comprenons toujours pas…), le futur Code civil autorisera la fixation unilatérale du prix par “le créancier” (de l’obligation ?) dans les contrats de services ou par “une des parties” dans les contrats cadre. Avec obligation de devoir “motiver” ce prix d’une part, et droit de demander des dommages-intérêts en cas d’abus dans la fixation du prix d’autre part. Nous n’avons pas finis de nous arracher les cheveux…

 

 

Le changement de circonstances imprévisible

Mais surtout, vraie révolution de ce Code civil version 2016, les parties pourront demander la modification du prix convenu en cas de “changement de circonstances imprévisible“.

Les plus fins juristes auront reconnu entre les guillemets le tsunami franco-français que représente le changement à 180 degrés de notre (fameuse) règle de l’imprévision, malgré la résistance farouche depuis 1876 de la Cour de cassation (arrêt “Canal de Craponne”) à modifier le prix convenu dans le contrat.

 

Les mêmes fins juristes réaliseront vite le parti à tirer de cette règle nouvelle, à laquelle il sera (heureusement) possible de déroger contractuellement. Vous, je ne sais pas, mais moi, ma clause est déjà prête lorsque une prestation est fournie par un tiers en sous-traitance…

 Le 1er octobre approche, même si l’on reste pour l’instant sans nouvelle de la loi de ratification de l’Ordonnance n°2016­-131 du 10 février 2016

  

BONUS :

http://www.ledieu-avocats.fr/systemes-information-cyber-securite/

 

 

Les dossiers de Cyber Risques News

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

Renseignements   Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

Informations supplémentaires