Sample Page Title

Accueil Blog

Prenez garde à ce piratage Gmail qui peut même contourner la double authentification

0
piratage Gmail
piratage Gmail

Aucun système informatique n’est inviolable, même ceux réputés parmi les plus sécurisés comme Gmail. Récemment, une nouvelle campagne de piratage cible spécifiquement les utilisateurs de ce service, prouvant une fois de plus que la double authentification n’est pas une panacée.

Une fausse sécurité ? piratage Gmail : la double authentification compromise

La double authentification, ou authentification à deux facteurs (A2F), est une mesure de sécurité que beaucoup considèrent comme suffisante pour sécuriser leurs comptes en ligne. Sur Gmail, cela consiste à ajouter une étape supplémentaire lors de la connexion : après avoir saisi votre mot de passe, un code vous est envoyé par SMS ou via une application dédiée, que vous devez ensuite entrer pour accéder à votre compte. Toutefois, des témoignages récents sur Reddit et divers forums de Google signalent des utilisateurs perdant l’accès à leurs comptes malgré cette protection.

Piratage Gmail, le modus operandi des pirates : le malware et le vol de cookies

Selon Forbes, le vecteur d’attaque principal réside dans l’utilisation de malwares sophistiqués, capables de dérober les cookies de session des utilisateurs. Ces cookies, normalement utilisés pour éviter de rentrer le second facteur d’authentification sur des appareils reconnus, deviennent une faille exploitable : une fois volés, ils permettent aux pirates d’accéder aux comptes sans éveiller les soupçons.

comment le vol de cookies fonctionne-t-il ?

Lorsque vous activez la case « ne plus me demander sur cet appareil » lors d’une connexion sécurisée par A2F, Google installe un cookie de session qui mémorise votre identité sur cet appareil. Les pirates, via des campagnes de phishing ciblées ou des malwares distribués par des annonces et vidéos frauduleuses (souvent liées à des cryptomonnaies ou des jeux piratés), parviennent à extraire ce cookie. Ils peuvent ensuite l’utiliser pour se connecter indistinctement, bypassant complètement l’A2F.

Les contre-mesures de Google et conseils de prudence

Google s’efforce constamment d’améliorer ses systèmes de détection des accès suspects, y compris ceux utilisant des cookies volés. Une nouvelle fonctionnalité de Chrome a été introduite récemment pour renforcer la sécurité contre ces types de vols. Néanmoins, la meilleure défense reste la prudence : vérifiez toujours la légitimité des sites que vous visitez et des applications que vous installez, surtout si ces derniers vous sont suggérés via des sources peu fiables.

Gmail est un pilier de la communication moderne, offrant bien plus que la simple messagerie : gestion des e-mails, contacts, calendrier et personnalisation de l’interface pour une expérience utilisateur optimisée. Restez prudent, sécurisez vos appareils et ne prenez jamais la sécurité de vos comptes en ligne pour acquise.

Les outils logiciels au cœur de la conformité RGPD : un atout indispensable pour les DPO

0
Logiciels conformité RGPD
Logiciels conformité RGPD

Logiciels conformité RGPD : La mise en conformité avec le Règlement Général sur la Protection des Données (RGPD) représente un défi majeur pour les organisations, quelle que soit leur taille. Dans ce contexte, l’adoption d’un logiciel spécialisé dans la gestion des registres obligatoires du RGPD s’impose comme une nécessité pour les Délégués à la Protection des Données (DPO). Cet article explore comment ces solutions logicielles se révèlent être des alliés incontournables dans l’arsenal des DPO pour assurer la conformité réglementaire.

Pourquoi opter pour un logiciel dédié au RGPD ?

La gestion des données personnelles, dans le respect strict des dispositions du RGPD, requiert une approche méthodique et rigoureuse. Les logiciels dédiés offrent une structure permettant de recenser, organiser et suivre efficacement toutes les opérations de traitement des données personnelles. Voici les principaux avantages qu’ils apportent :

Automatisation des tâches répétitives : La tenue à jour des registres des activités de traitement est une tâche exigeante. Un logiciel adapté peut automatiser une grande partie de ces opérations, réduisant ainsi le risque d’erreurs humaines et libérant du temps pour des analyses plus complexes.

Traçabilité et accountability : Ces solutions logicielles garantissent une traçabilité complète des données, un élément clé du principe d’accountability imposé par le RGPD. Elles facilitent la génération de rapports d’audit détaillés, essentiels lors des inspections de l’autorité de contrôle.

Gestion des risques et des violations de données : Les logiciels RGPD permettent une évaluation précise des risques associés à chaque type de traitement de données. En cas de violation de données, ils peuvent contribuer à orchestrer une réponse rapide et structurée, en ligne avec les exigences réglementaires.

Les fonctionnalités clés d’un bon logiciel RGPD

Lors de la sélection d’un logiciel RGPD, plusieurs fonctionnalités sont à considérer pour s’assurer qu’il réponde aux besoins spécifiques de votre organisation :

  • Cartographie des traitements de données : Capacité à créer une vue d’ensemble des flux de données au sein de l’organisation, facilitant ainsi l’identification des risques et la mise en place de mesures de mitigation appropriées.
  • Gestion des consentements : Un module dédié à la gestion des consentements est crucial pour documenter de manière fiable les autorisations des utilisateurs, conformément aux exigences du RGPD.
  • Interface intuitive et collaborative : Un logiciel RGPD doit proposer une interface conviviale permettant une collaboration efficace entre les différents acteurs (juridique, IT, marketing, etc.) impliqués dans la gestion des données personnelles.
  • Mises à jour réglementaires : Avec l’évolution constante du cadre légal autour de la protection des données, il est primordial que le logiciel soit régulièrement mis à jour pour intégrer les dernières exigences réglementaires.

Logiciels conformité RGPD : DPO Partage, avec sa solution logicielle innovante dédiée à la conformité RGPD, se positionne comme le partenaire idéal pour les Délégués à la Protection des Données soucieux d’excellence. Conçue par des experts en protection des données, cette plateforme en ligne se distingue par son approche utilisateur centrée sur l’efficacité et la simplicité. Elle offre une gamme complète de fonctionnalités, allant de la cartographie des traitements de données à la gestion des consentements et des violations de données, le tout dans un environnement sécurisé et intuitif. En permettant une gestion des registres obligatoires du RGPD à la fois fluide et conforme, DPO Partage facilite le quotidien des professionnels et renforce la culture de protection des données au sein des organisations. Cette solution se révèle être un atout majeur pour naviguer avec assurance dans le paysage complexe de la réglementation sur la protection des données.

Plus d’information sur le logiciel RGPD de DPO PARTAGE

L’essentiel du rapport annuel RGPD: Une pierre angulaire de la conformité RGPD, un outil pour les DPO

0
rapport annuel RGPD
rapport annuel RGPD

Le rapport annuel RGPD constitue un élément crucial dans l’arsenal du Délégué à la Protection des Données (DPO). Alors que nous avançons dans l’année 2024, les DPO se trouvent au moment clé de finaliser et de présenter leur rapport annuel pour l’année écoulée. Ce document ne se résume pas à une simple formalité administrative ; il représente une évaluation complète et critique des pratiques de l’organisation en matière de protection des données. Voici pourquoi il revêt une importance capitale, ce qu’il doit contenir, et en quoi il intéresse particulièrement le responsable de traitement.

Importance du rapport annuel

Le rapport annuel du DPO n’est pas qu’un bilan des actions passées ; il est aussi un outil stratégique pour l’avenir. Il fournit une vision claire de la posture actuelle de l’entreprise vis-à-vis du RGPD, met en lumière les réussites, identifie les domaines nécessitant des améliorations et sert de feuille de route pour les initiatives à venir. Ce rapport est essentiel pour démontrer non seulement la conformité aux obligations légales mais aussi l’engagement de l’entreprise à protéger les droits et libertés des personnes concernées.

Contenu essentiel du rapport

Un rapport annuel efficace doit être à la fois exhaustif et précis. Voici les éléments incontournables qu’il devrait couvrir :

  • Analyse des activités de traitement des données : Description des opérations de traitement effectuées, y compris leur base légale, leur finalité, et les catégories de données traitées.
  • Évaluation des risques : Analyse des risques pour les droits et libertés des personnes concernées, incluant les mesures prises pour les atténuer.
  • Incidents de sécurité : Détail des violations de données personnelles survenues, des mesures correctives appliquées, et des leçons tirées.
  • Formation et sensibilisation : Récapitulatif des initiatives de formation mises en œuvre pour éduquer le personnel sur le RGPD et la sécurité des données.
  • Recommandations et prochaines étapes : Suggestions d’améliorations et plan d’action pour l’année à venir, basées sur l’évaluation des performances actuelles.

Pourquoi le rapport intéresse le responsable de traitement

Le rapport annuel du DPO offre au responsable de traitement une multitude d’avantages. Premièrement, il sert de baromètre pour la santé globale de la conformité RGPD de l’organisation, permettant d’identifier rapidement les zones de risque et de prendre des mesures correctives. Deuxièmement, il fournit une preuve tangible des efforts déployés pour respecter les exigences du RGPD, ce qui est crucial en cas d’inspection par les autorités de contrôle ou de litiges potentiels. Enfin, en s’appuyant sur les analyses et recommandations du DPO, le responsable de traitement peut mieux planifier les ressources et les investissements nécessaires pour renforcer la protection des données personnelles.

Acheter le livre « Le rapport annuel du DPO » par DPO PARTAGE : https://amzn.to/4aprt6j

Le rapport annuel du DPO est bien plus qu’une obligation réglementaire ; il est une opportunité de réaffirmer l’engagement d’une organisation envers la protection des données personnelles. En fournissant une analyse détaillée des pratiques actuelles et en établissant une feuille de route claire pour l’avenir, ce document joue un rôle central dans la stratégie de conformité au RGPD de toute entreprise. Pour les DPO et les responsables de traitement, c’est un outil indispensable pour piloter, évaluer et améliorer continuellement la protection des données au sein de leur organisation.

Le livre « Le rapport annuel du DPO » par DPO PARTAGE se présente comme une ressource inestimable pour tout Délégué à la Protection des Données aspirant à l’excellence dans l’exercice de ses fonctions. Conçu à partir d’une riche expérience collective, cet ouvrage offre une immersion profonde dans les meilleures pratiques et les stratégies éprouvées pour la rédaction d’un rapport annuel non seulement conforme aux exigences réglementaires mais aussi stratégiquement aligné sur les objectifs d’affaires de l’organisation. En abordant des sujets complexes avec clarté et précision, il guide le lecteur à travers les étapes critiques de la préparation, de l’analyse, et de la présentation du rapport, enrichissant sa compréhension de l’impact significatif que ce document peut avoir sur la culture de la protection des données au sein d’une entreprise. Pour les DPO déterminés à faire progresser leur pratique professionnelle et à renforcer la position de leur organisation face au RGPD, « Le rapport annuel du DPO » est sans doute un outil indispensable qui éclaire, inspire, et transforme.

Acheter le livre « Le rapport annuel du DPO » par DPO PARTAGE : https://amzn.to/4aprt6j

Sanction record pour hubside.store en matière de prospection commerciale

0
hubside.store
hubside.store

Le 4 avril 2024, la Commission Nationale de l’Informatique et des Libertés (CNIL) a marqué les esprits en infligeant une amende conséquente de 525 000 euros à la société HUBSIDE.STORE. Cette dernière est reprochée d’avoir exploité des données issues de courtiers sans vérification préalable du consentement des individus à recevoir des sollicitations commerciales. Cette sanction intervient dans un contexte où la réglementation en matière de protection des données personnelles se durcit, soulignant l’importance pour les entreprises de veiller scrupuleusement au respect des normes en vigueur.

HUBSIDE.STORE, connue pour ses activités de vente de produits électroniques tels que les téléphones portables et les ordinateurs, s’est retrouvée sous les feux de la critique suite à ses méthodes de prospection commerciale. Pour ses campagnes de démarchage, l’entreprise s’approvisionnait en données de potentiels clients auprès de courtiers en données, issus notamment de sites proposant des jeux-concours et des tests de produits.

Les enquêtes menées par la CNIL ont révélé que les méthodes de collecte de données par ces courtiers étaient loin d’être transparentes. Les formulaires utilisés présentaient une conception pouvant induire en erreur les participants, ce qui ne permettait pas de garantir un consentement libre et éclairé, conforme aux exigences du RGPD.

Les manquements sanctionnés

La CNIL a identifié plusieurs violations significatives des réglementations en vigueur :

  • Consentement invalide : La collecte des données pour la prospection par SMS s’est faite sans obtenir un consentement valide des personnes, violant ainsi l’article L.34-5 du CPCE.
  • Absence de base légale : Concernant la prospection téléphonique, l’entreprise n’a pas su démontrer qu’elle disposait d’une base légale pour le traitement de ces données, comme l’exige l’article 6 du RGPD.
  • Manquement à l’obligation d’information : Les individus contactés n’étaient pas suffisamment informés sur l’usage de leurs données personnelles, en contradiction avec l’article 14 du RGPD.

Cette sanction financière, représentant environ 2 % du chiffre d’affaires de HUBSIDE.STORE, reflète la gravité des manquements constatés ainsi que la quantité significative de données traitées sans consentement adéquat. La décision de la CNIL a été prise en coopération avec les autorités de contrôle d’autres États membres de l’Union européenne, soulignant l’importance d’une approche coordonnée dans l’application du RGPD à l’échelle européenne.

Comment obtenir un consentement valide ?

Obtenir un consentement valide dans le cadre du Règlement Général sur la Protection des Données (RGPD) est crucial pour toute entité traitant des données personnelles au sein de l’Union européenne. Ce processus doit respecter plusieurs critères clés pour être considéré comme conforme. Voici une approche étape par étape pour s’assurer de la validité du consentement :

1. Informer de manière transparente

Avant de recueillir le consentement, il est impératif d’informer les personnes de manière claire et compréhensible sur :

  • L’identité de l’organisme collectant les données,
  • Les finalités du traitement pour lesquelles les données personnelles sont destinées,
  • Les types de données collectées,
  • Les droits des personnes concernées, y compris le droit de retirer leur consentement à tout moment.

2. Assurer une action positive claire

Le consentement doit être donné par un acte affirmatif clair, indiquant une volonté libre, spécifique, éclairée et univoque de la personne concernée d’accepter le traitement de ses données personnelles. Cela peut prendre la forme d’une case à cocher (non cochée par défaut), d’une signature physique ou électronique, d’une déclaration verbale, etc.

3. Séparer les consentements

Lorsque plusieurs types de traitement ou finalités sont envisagés, il est nécessaire de recueillir un consentement séparé pour chacun d’entre eux, permettant aux personnes de choisir précisément ce à quoi elles consentent.

4. Permettre le retrait du consentement facilement

Les individus doivent pouvoir retirer leur consentement aussi facilement qu’ils l’ont donné. Les procédures de retrait doivent être simples et accessibles, et les personnes doivent en être informées dès le début.

5. Conserver la preuve du consentement

Il est important de conserver une trace du consentement donné, y compris des informations sur quand et comment le consentement a été obtenu. Cela peut s’avérer crucial en cas de contrôle par les autorités de protection des données.

6. Évaluer régulièrement

Le consentement doit être considéré comme un processus continu. Les organisations doivent régulièrement réévaluer leurs procédures de consentement pour s’assurer qu’elles restent conformes aux attentes des personnes concernées et aux exigences légales.

7. Respecter les exigences spécifiques pour les mineurs

Pour les services de la société de l’information offerts directement aux enfants, le RGPD impose des conditions spécifiques sur le consentement, notamment l’âge auquel un enfant peut consentir par lui-même aux services en ligne (qui varie entre les États membres, mais ne peut être inférieur à 13 ans).

Comment déterminer une base légale ?

Déterminer une base légale pour le traitement des données personnelles est un prérequis fondamental du Règlement Général sur la Protection des Données (RGPD) de l’Union européenne. Le RGPD stipule que tout traitement de données personnelles doit avoir une base légale clairement définie avant que ce traitement ne commence. Voici les bases légales disponibles pour le traitement des données personnelles, telles qu’énoncées dans l’article 6 du RGPD :

1. Consentement

Le traitement est autorisé si la personne concernée a donné son consentement pour le traitement de ses données personnelles pour une ou plusieurs finalités spécifiques. Le consentement doit être libre, spécifique, éclairé et univoque.

2. Exécution d’un contrat

Le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie, ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci.

3. Obligation légale

Le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis. Cela concerne les cas où le traitement des données est imposé par la loi.

4. Protection des intérêts vitaux

Le traitement est nécessaire pour protéger les intérêts vitaux de la personne concernée ou d’une autre personne physique. Cette base est principalement applicable dans des situations d’urgence, comme les traitements médicaux d’urgence.

5. Tâche d’intérêt public ou exercice de l’autorité publique

Le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement. Cela s’applique souvent aux organismes gouvernementaux ou aux entités agissant sous leur délégation.

6. Intérêts légitimes

Le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, sauf si les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent la protection des données personnelles prévalent, notamment lorsque la personne concernée est un enfant.

Comment déterminer une base légale appropriée ?

Pour choisir la base légale la plus appropriée pour un traitement donné, il est important de considérer la nature de la relation avec la personne concernée, le but du traitement, et si le traitement est nécessaire pour atteindre ce but. Voici quelques conseils pour guider ce processus :

  • Évaluer le but du traitement : Clarifiez la finalité du traitement des données et identifiez la base légale la plus pertinente pour cette finalité.
  • Considérer la nécessité : Vérifiez si le traitement est strictement nécessaire pour atteindre la finalité visée sous la base légale choisie.
  • Prendre en compte les attentes de la personne concernée : Réfléchissez à ce que la personne concernée raisonnablement s’attend à ce que ses données soient traitées de la manière envisagée.
  • Évaluer l’équilibre des intérêts : Si vous envisagez de vous appuyer sur les intérêts légitimes, effectuez une évaluation pour vous assurer que les intérêts du responsable du traitement ne sont pas supplantés par les intérêts ou les droits et libertés de la personne concernée.

Choisir la base légale appropriée est crucial non seulement pour assurer la conformité avec le RGPD, mais aussi pour maintenir la confiance et la transparence avec les personnes concernées.

Mettre en place l’obligation d’information ?

Mettre en place l’obligation d’information, comme stipulé dans le Règlement Général sur la Protection des Données (RGPD), nécessite une approche réfléchie pour assurer que l’information est communiquée de manière claire, accessible et efficace. Voici quelques astuces et meilleures pratiques pour réussir cette mise en œuvre :

1. Utiliser un langage clair et simple

Évitez le jargon juridique ou technique complexe. Utilisez un langage simple et direct pour que l’information soit facilement compréhensible par tous, quel que soit leur niveau de connaissance du RGPD.

2. Structurer l’information

Organisez l’information de manière logique, en utilisant des titres, des sous-titres et des listes à puces pour améliorer la lisibilité. Une bonne structuration aide les utilisateurs à trouver rapidement les informations qu’ils cherchent.

3. Fournir l’information par couches

Présentez un résumé des informations les plus importantes avec la possibilité pour l’utilisateur de cliquer pour en savoir plus. Cela permet de ne pas submerger l’utilisateur tout en lui donnant accès à des détails supplémentaires s’il le souhaite.

4. Utiliser différents formats

En plus du texte, envisagez d’utiliser des infographies, des vidéos explicatives ou des FAQ pour rendre l’information plus accessible et engageante.

5. Mettre en évidence les points clés

Assurez-vous que les informations essentielles, telles que les finalités du traitement des données, l’identité du responsable du traitement, les droits des personnes concernées et les moyens de les exercer, sont immédiatement visibles et faciles à comprendre.

6. Actualiser l’information

Maintenez à jour les informations relatives à la protection des données. Si des changements significatifs sont apportés aux politiques de traitement des données, informez-en les personnes concernées de manière proactive.

7. Être transparent sur le partage des données

Informez clairement si les données seront partagées avec des tiers et, dans ce cas, avec qui et pour quelles raisons. La transparence renforce la confiance.

8. Fournir des informations sur les droits des personnes

Expliquez clairement comment les individus peuvent exercer leurs droits en vertu du RGPD, tels que le droit d’accès, de rectification, d’effacement, de limitation du traitement, et le droit à la portabilité des données.

9. Indiquer les coordonnées pour plus d’informations

Fournissez des détails sur comment contacter le Délégué à la Protection des Données (DPO) ou le service client pour toute question ou demande concernant les données personnelles.

10. Utiliser des exemples pour clarifier

Des exemples concrets peuvent aider à clarifier comment les données sont utilisées dans la pratique, rendant ainsi l’information plus tangible et pertinente pour l’utilisateur.

Assurer la Sécurité Numérique dans l’Innovation : Application de la Méthode EBIOS Risk Manager chez une Entreprise de Biotechnologie

0
Méthode EBIOS Risk Manager
Méthode EBIOS Risk Manager

Le guide EBIOS Risk Manager publié par l’ANSSI avec le soutien du Club EBIOS est une méthode d’appréciation et de traitement du risque numérique. Il propose une boîte à outils adaptable, alignée avec les normes en vigueur de gestion des risques et de sécurité numérique. Cette méthode permet d’apprécier les risques numériques et d’identifier les mesures de sécurité nécessaires pour les maîtriser, valider le niveau de risque acceptable, et s’inscrire dans une démarche d’amélioration continue.

EBIOS Risk Manager adopte une démarche itérative en cinq ateliers, allant du cadrage et socle de sécurité à la définition de stratégies de traitement du risque. Cela inclut l’identification des sources de risque, la création de scénarios stratégiques et opérationnels, et finalement, le traitement du risque. À chaque étape, l’accent est mis sur la synergie entre conformité et scénarios pour éclairer les décisions.

À titre d’exemple, considérons une entreprise fictive de biotechnologie spécialisée dans la fabrication de vaccins. Dans cet exemple, l’entreprise estime un niveau de maturité faible en matière de sécurité numérique, avec une sensibilisation basique à la sécurité du numérique à la prise de poste des salariés et l’existence d’une charte informatique.

Atelier 1 – Cadrage et Socle de Sécurité : L’entreprise délimite le périmètre de l’étude, recense ses missions, valeurs métier, et biens supports. Les événements redoutés sont identifiés et leur gravité estimée. Par exemple, la perte ou destruction des informations d’études et de recherches pourrait avoir un impact fort sur les autorisations de mise sur le marché des vaccins de l’entreprise.

Atelier 2 – Sources de Risque : L’entreprise identifie les sources de risque potentielles, telles que des cybercriminels menaçant d’altérer la composition des vaccins pour extorquer une rançon.

Atelier 3 – Scénarios Stratégiques : À partir des sources de risque identifiées, des scénarios stratégiques sont élaborés. Pour l’entreprise de biotechnologie, cela pourrait inclure l’exploitation de vulnérabilités par des cybercriminels pour accéder aux systèmes de contrôle de qualité et altérer les résultats.

Ateliers 4 et 5 – Scénarios Opérationnels et Traitement du Risque : L’entreprise développe des scénarios opérationnels détaillés pour chaque risque stratégique et définit des stratégies de traitement du risque, en intégrant les mesures nécessaires dans un plan de traitement du risque.

Cet exemple illustre comment EBIOS Risk Manager peut être utilisé pour systématiquement identifier, évaluer et traiter les risques numériques, assurant ainsi une sécurité numérique robuste et adaptée au contexte spécifique de l’entreprise.

Un voleur d’identité vit sous les traits d’un autre pendant 33 ans

0
William Woods
William Woods

Au cœur d’une semaine riche en actualités technologiques et de sécurité, un cas particulièrement troublant a émergé, mettant en lumière les risques et les conséquences graves du vol d’identité. Un homme de 58 ans, administrateur de systèmes hospitaliers, a avoué devant la justice américaine avoir usurpé l’identité d’un autre homme, William Woods, pendant plus de trois décennies, après avoir rencontré ce dernier à un stand de hot-dogs à Albuquerque, Nouveau-Mexique, en 1988. Cette usurpation d’identité a permis à Matthew David Keirans d’obtenir un emploi, des comptes bancaires, des prêts, des assurances, et même de payer des impôts, tout cela sous le nom de Woods. La situation a pris une tournure cauchemardesque lorsque le véritable William Woods a découvert l’usurpation en 2019, alors qu’il était sans-abri à Los Angeles. Après une série de malentendus et d’accusations injustifiées, Woods s’est retrouvé enfermé dans un hôpital psychiatrique avant de pouvoir prouver son identité, grâce à un test ADN. Keirans fait maintenant face à une peine maximale de 32 ans de prison.

Parallèlement, le monde de la technologie et de la sécurité a été secoué par plusieurs incidents majeurs. Microsoft a été vivement critiqué pour une série d’échecs de sécurité, décrits par le Cyber Safety Review Board comme évitables et le résultat d’une culture d’entreprise minimisant l’importance des investissements en sécurité et de la gestion rigoureuse des risques. Cela fait suite à la découverte d’un backdoor dans , un outil de compression largement utilisé, inséré par un développeur bénévole agissant sous de fausses apparences, avec des preuves pointant vers une implication étatique, possiblement russe.

Dans un autre registre, la semaine a également été marquée par l’attaque réussie d’un hacker contre la Corée du Nord, la perte d’accès à internet de millions de personnes due à des câbles sous-marins endommagés dans la mer d’Arabie, et la fin d’une bataille juridique contre Google concernant la collecte de données en mode Incognito.

Ces incidents mettent en lumière la complexité et les défis permanents en matière de sécurité informatique et de protection de la vie privée, dans un monde de plus en plus numérisé. Ils soulèvent également des questions sur la responsabilité des entreprises technologiques dans la protection des données des utilisateurs et la nécessité de législations plus strictes pour encadrer la collecte et l’utilisation des données personnelles.

Que faire en cas de fraude au faux conseiller bancaire ?

0
faux conseiller bancaire
faux conseiller bancaire

La fraude au faux conseiller bancaire constitue une escroquerie sophistiquée où des individus malintentionnés, se faisant passer pour des conseillers ou agents de votre banque, cherchent à vous soutirer des informations personnelles et financières. Ces escrocs, souvent bien informés sur leur cible, usent de manœuvres frauduleuses pour pousser la victime à autoriser des opérations bancaires illégitimes. Dans ce contexte, comment se prémunir de ces attaques et agir efficacement en cas de victimisation ?

Comprendre la fraude au faux conseiller bancaire

Typiquement, l’arnaque débute par un contact téléphonique où l’escroc, prétendant détecter des activités suspectes sur votre compte, sollicite votre assistance pour ‘sécuriser’ vos fonds. Ce processus implique la communication de codes reçus par SMS, de détails de carte bancaire, voire la remise physique de votre carte à un prétendu coursier. Ces informations permettent aux escrocs de réaliser des opérations frauduleuses à votre insu.

Mesures de protection

La prévention est primordiale pour éviter de tomber dans le piège des fraudeurs. Soyez particulièrement vigilant vis-à-vis des communications non sollicitées demandant des informations confidentielles. Mettez régulièrement à jour vos appareils et logiciels, utilisez un antivirus et optez pour des mots de passe complexes. Rappelez-vous qu’aucun conseiller bancaire légitime ne vous demandera de révéler votre mot de passe ou de procéder à des opérations de validation via votre application bancaire pour des raisons de sécurité.

Réagir en cas de fraude

Si vous suspectez ou constatez que vous êtes victime d’une telle fraude, agissez sans délai. Faites opposition à votre carte bancaire et informez votre banque des opérations frauduleuses. Il est crucial de changer les mots de passe de vos comptes en ligne, en particulier si vous pensez que les fraudeurs y ont eu accès. Déposez plainte auprès des autorités compétentes et utilisez la plateforme Perceval pour signaler toute fraude à la carte bancaire.

La loi prévoit des sanctions sévères pour les auteurs de telles escroqueries, incluant des peines d’emprisonnement et des amendes significatives. Les infractions peuvent varier selon le cas, allant de l’escroquerie proprement dite à l’accès frauduleux à un système de traitement automatisé de données.

Ressources disponibles

Pour vous aider à mieux comprendre et réagir face à cette menace, des supports tels que des fiches réflexes sont disponibles en téléchargement. Ces documents proposent des conseils pratiques pour sécuriser vos informations numériques et agir efficacement en cas de fraude.

Face à la sophistication croissante des techniques d’escroquerie, l’information et la prévention demeurent vos meilleures alliées. En adoptant des pratiques sécuritaires et en restant vigilant, vous pouvez significativement réduire le risque de tomber victime de la fraude au faux conseiller bancaire.

Vers une entreprise sécurisée : Guide pratique pour les TPE et PME

0
Guide pratique de la sécurité
Guide pratique de la sécurité

Guide pratique de la sécurité pour les TPE et PME : La sécurité au sein des petites et moyennes entreprises (PME) constitue un pilier essentiel pour leur bon développement et leur pérennité. Avec l’augmentation des risques, tant physiques que numériques, il devient crucial pour les dirigeants de ces entreprises de prendre des mesures proactives pour assurer la sécurité et le bien-être de leurs employés. Ce guide de la sécurité en TPE et PME, élaboré par Bpifrance Flash, fournit un cadre complet pour comprendre, évaluer et agir efficacement contre divers types de risques.

La sécurité physique : un enjeu majeur

La législation du 2 août 2021 souligne l’importance d’une culture de prévention dans les entreprises. L’évaluation des risques, la mise en place de mesures de prévention, l’information et la formation des salariés, ainsi que la consultation régulière sur les questions de santé et de sécurité, sont des étapes clés dans la construction d’un environnement de travail sûr.

La sécurité mentale : prévenir les risques psycho-sociaux

Les risques psycho-sociaux (RPS), incluant le stress, le harcèlement ou encore l’épuisement professionnel, peuvent avoir des conséquences graves sur la santé des employés. Le guide met en avant l’importance de reconnaître ces risques, d’évaluer leur impact et de mettre en place des mesures de prévention adéquates.

La cybersécurité : protéger son entreprise à l’ère numérique

Dans un monde de plus en plus connecté, les PME doivent également se prémunir contre les risques numériques. Le guide propose des pratiques de base telles que la sensibilisation des collaborateurs, la mise à jour régulière des systèmes, la création de mots de passe robustes et l’utilisation d’authentifications à deux facteurs.

Exemples concrets d’application

  • Pour la sécurité physique, une entreprise de construction pourrait mettre en place des formations régulières sur l’utilisation sécurisée du matériel et réaliser des audits de sécurité pour identifier et corriger les éventuels dangers sur les chantiers.
  • Concernant la sécurité mentale, un cabinet de conseil pourrait organiser des ateliers sur la gestion du stress, mettre en place une ligne d’assistance psychologique pour ses employés et encourager un management qui valorise le feedback et le soutien mutuel.
  • En matière de cybersécurité, une entreprise de commerce en ligne pourrait renforcer ses défenses en formant ses employés à reconnaître les tentatives de phishing, en appliquant régulièrement des mises à jour de sécurité et en instaurant des politiques strictes de gestion des mots de passe.

En suivant les conseils pratiques et les recommandations fournies dans ce guide, les dirigeants de TPE et PME peuvent non seulement répondre aux obligations légales mais aussi, et surtout, créer un environnement de travail plus sûr et plus épanouissant pour tous. Le guide s’accompagne d’un ensemble de ressources et de soutiens financiers proposés par Bpifrance Flash, soulignant l’engagement de l’organisation à accompagner les entreprises dans cette démarche essentielle.

Cyberattaques contre les entreprises : « Il y a des boîtes qui coulent ! »

0
Cyberattaques contre les entreprises
Cyberattaques contre les entreprises

Le jeudi 4 avril 2024, une table ronde dédiée à la cybersécurité et à la sensibilisation des entreprises a rassemblé plus de 150 participants à Saint-Lô, dans la Manche. Organisée par Dataouest, une entreprise de la région, cette réunion a vu la participation de 90 entreprises, en présence physique au Pôle Agglo 21 et en distanciel. L’adjudant-cheffe Gautier, référente sûreté au groupement de la gendarmerie de la Manche, a mené les discussions, mettant en lumière l’importance de la préparation et de la réaction rapide en cas de cyberattaque.

Pascal Parfait, dirigeant de Dataouest, a introduit le sujet en rappelant une cyberattaque récente subie par l’un de ses clients, illustrant la réalité du risque et l’importance de la sensibilisation. L’entreprise Fondouest, spécialisée dans les études de sol et employant 60 collaborateurs près de Granville, a vécu une attaque par rançongiciel le 1er février. En quelques minutes, 60% de ses PC ont été infectés, suite à un clic malheureux sur un mail frauduleux.

Grâce à une réaction immédiate et l’assistance de Dataouest, Fondouest a réussi à limiter les dommages, évitant que les sauvegardes soient touchées. Cet incident a coûté plusieurs dizaines de milliers d’euros à l’entreprise, sans compter la perte d’exploitation, mais a servi de catalyseur pour renforcer ses mesures de sécurité, notamment par l’adoption de mots de passe plus robustes et la mise en place d’une authentification double.

L’incident de Fondouest souligne une vérité inquiétante : malgré la prévalence des cyberattaques, beaucoup d’entreprises restent vulnérables et sous-estiment l’impact potentiel, y compris les répercussions psychologiques sur les employés impliqués. « Il y a des boîtes qui coulent », a averti un représentant de la Direction générale de la Sécurité intérieure, faisant écho à la gravité du problème.

Laurent Sarralangue, directeur des opérations chez Semkel, rappelle que 91 % des cyberattaques commencent par un email piégé, soulignant l’importance cruciale de former continuellement les collaborateurs aux risques et aux pratiques de sécurité. Avec l’avènement de l’intelligence artificielle, les hackers affinent leurs techniques, rendant le phishing encore plus sophistiqué et difficile à détecter. Cela impose une vigilance constante et une mise à jour régulière des systèmes de sécurité, non seulement sur les équipements professionnels mais aussi sur les appareils personnels utilisés pour le travail.

Cette table ronde a mis en avant l’impératif de sensibilisation continue et d’adaptation face aux menaces cybernétiques, rappelant aux entreprises la nécessité de rester alertes et prêtes à répondre aux attaques, pour protéger non seulement leurs données mais aussi leur viabilité à long terme.

Données personnelles et IA : l’apport des normes ISO/IEC 27701 et 42001

0
normes ISO/IEC 27701 et 42001
normes ISO/IEC 27701 et 42001

Le 02 avril 2024 marque un tournant important dans le renforcement de la protection des données personnelles et la gouvernance de l’intelligence artificielle (IA), grâce à l’apport des normes internationales ISO/IEC 27701 et ISO/IEC 42001. Ces normes viennent compléter un ensemble déjà solide de standards visant à encadrer la sécurité informatique et le respect de la vie privée dans un monde de plus en plus numérisé.

Qu’est-ce que la norme ISO/IEC 27701 ?

Publiée en août 2019, la norme ISO/IEC 27701 s’inscrit dans la continuité des normes ISO/IEC 27001 et ISO/IEC 27002, respectivement consacrées à la certification des systèmes de management de la sécurité de l’information et à la mise en œuvre des bonnes pratiques de sécurité. La norme ISO/IEC 27701 élève la barre en introduisant un système de management de la protection de la vie privée spécifiquement conçu pour intégrer les exigences relatives aux traitements de données personnelles.

Elle définit un cadre pour la gestion des risques informatiques et de la vie privée, impliquant la désignation d’un délégué à la protection des données (DPO), la sensibilisation des personnels, la classification des données, ou encore la gestion des incidents de sécurité. Cette norme prend également en compte la conformité aux législations en vigueur, y compris le RGPD, à travers des mesures dédiées à la protection des droits des personnes (information, accès, rectification, suppression, etc.).

L’adaptation européenne : EN 17926

Répondant au besoin d’une spécification plus proche du contexte législatif européen, la norme EN 17926, publiée en novembre 2023, vient compléter l’ISO/IEC 27701 en rendant obligatoires toutes les mesures imposées par le RGPD. Elle précise certaines pratiques, comme le délai de notification en cas de violation de données, et annonce un futur schéma de certification européen.

La norme ISO/IEC 42001 pour l’intelligence artificielle

En décembre 2023, la norme ISO/IEC 42001 a été publiée pour fournir un système de management pour l’intelligence artificielle. Cette norme vise à encadrer les préoccupations éthiques et de sûreté des systèmes d’IA, en insistant sur la sécurité, l’équité, la transparence, et la qualité des données et des systèmes d’IA tout au long de leur cycle de vie. Elle propose un ensemble de mesures et de recommandations pour un développement et une utilisation responsables des systèmes d’IA.

Vers une harmonisation européenne des normes pour l’IA

Le CEN-CENELEC travaille à l’élaboration de normes harmonisées pour l’IA, à la demande de la Commission européenne. Ces standards viseront à faciliter la démonstration de la conformité au règlement européen sur l’IA, notamment en précisant les mesures appropriées de gestion des risques.

Pourquoi ces normes sont importantes ?

Les normes ISO/IEC 27701 et 42001 représentent un jalon crucial pour les organisations engagées dans le traitement des données personnelles et l’utilisation de l’IA. En adoptant ces standards, les entreprises peuvent non seulement démontrer leur engagement envers la protection de la vie privée et l’éthique dans l’IA, mais aussi renforcer leur conformité avec les régulations internationales et européennes. Elles constituent ainsi des outils précieux pour la mise en place d’une gouvernance responsable de l’information et de l’intelligence artificielle.

La protection des données personnelles et l’utilisation éthique de l’IA sont désormais plus que jamais au cœur des préoccupations des organisations et des autorités de régulation. L’adoption de ces normes marque une étape significative vers un numérique plus sûr et plus respectueux de la vie privée.

Guide de la sécurité des données personnelles : nouvelle édition 2024

0
Guide de la sécurité des données personnelles
Guide de la sécurité des données personnelles

Publié le 26 mars 2024, le guide de la sécurité des données personnelles constitue une mise à jour essentielle pour les professionnels et les organisations désireux de garantir la protection des données personnelles conformément aux normes les plus récentes. Cet outil, élaboré avec soin, souligne l’importance d’adopter des mesures de sécurité robustes et adaptées aux risques actuels. Avec l’entrée en vigueur du Règlement Général sur la Protection des Données (RGPD) qui renforce les obligations en matière de sécurité des données, ce guide arrive à point nommé pour accompagner les responsables de traitement et les sous-traitants dans l’implémentation des pratiques recommandées.

Le RGPD stipule, en son article 32, que « le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ». En réponse à cette exigence, la Commission Nationale de l’Informatique et des Libertés (CNIL) propose dans ce guide une série de fiches pratiques. Ces documents couvrent tant les précautions élémentaires que les stratégies avancées pour une protection optimale des données.

La nouveauté de cette édition 2024 réside dans sa structure réorganisée en cinq sections distinctes, regroupant un total de 25 fiches pour une navigation améliorée. Parmi les ajouts significatifs, cinq nouvelles fiches viennent enrichir le contenu déjà conséquent du guide. Ces fiches portent sur des thématiques d’actualité, telles que l’informatique en nuage, les applications mobiles, l’intelligence artificielle, les interfaces de programmation applicative (API) et la gestion de la sécurité des données. En outre, l’intégration des pratiques de Bring Your Own Device (BYOD) met en lumière les défis et les solutions liés à l’usage d’équipements personnels dans un cadre professionnel.

Le guide ne se contente pas d’introduire de nouveaux contenus ; il procède également à une révision approfondie des fiches existantes. Cette mise à jour reflète l’évolution des menaces et des connaissances en matière de sécurité des données. Pour ceux qui sont déjà familiers avec le guide, un journal des modifications est disponible pour repérer facilement les nouveautés et les changements.

Destiné aux délégués à la protection des données (DPD), aux responsables de la sécurité des systèmes d’information (RSSI), aux informaticiens et aux juristes, ce guide représente une ressource incontournable. Il fournit des orientations précieuses pour la mise en œuvre des mesures de sécurité et sert de référence pour la CNIL dans l’évaluation de la sécurité des traitements de données personnelles.

Dans un monde où la protection des données devient chaque jour plus cruciale, la nouvelle édition du guide de la sécurité des données personnelles s’impose comme un allié précieux pour naviguer avec assurance dans l’univers complexe de la sécurité informatique et de la protection des données.

Comment les associations peuvent naviguer dans l’univers du RGPD : obligations et bonnes pratiques

0
Associations RGPD - Le guide
Associations RGPD - Le guide

La mise en conformité des associations avec le règlement général sur la protection des données (RGPD) représente un véritable enjeu dans la sécurisation des informations personnelles des membres, donateurs, et bénéficiaires. Depuis son application le 25 mai 2018, le RGPD remplace la démarche déclarative à la CNIL par une obligation de responsabilisation continue des entités manipulant des données personnelles.

Les associations, au cœur de cette réforme, doivent désormais veiller à l’alignement permanent de leurs pratiques avec les exigences du RGPD. Ceci implique une série de mesures et de procédures internes visant à prouver à tout moment leur conformité avec le règlement. Voici un tour d’horizon des obligations principales :

1. Tenue d’un registre des traitements de données : Les associations sont tenues de recenser et de documenter l’ensemble des fichiers traitant des données personnelles, en précisant leur nature, leur objectif, les catégories de données concernées, ainsi que les mesures de sécurité appliquées.

2. Gestion de la sous-traitance : Toute association faisant appel à des sous-traitants pour le traitement de données personnelles doit s’assurer que ces derniers respectent également le RGPD.

3. Sécurisation des données : Il est impératif de mettre en place des mesures techniques et organisationnelles garantissant la sécurité des données personnelles, afin de prévenir tout risque de fuite ou de perte d’informations.

4. Réponse aux droits des personnes : Les associations doivent organiser et faciliter l’exercice des droits des individus concernant leurs données personnelles (droit d’accès, de rectification, de suppression, etc.).

5. Notification des violations de données : En cas de violation de données personnelles, les associations ont l’obligation d’en informer la CNIL et, dans certains cas, les personnes affectées.

6. Réalisation d’Analyses d’Impact sur la Protection des Données (AIPD) : Pour les traitements à haut risque, les associations doivent procéder à des évaluations d’impact afin d’identifier et de minimiser les risques pour les droits et libertés des personnes.

Focus sur le Délégué à la Protection des Données (DPO) : Bien que la nomination d’un DPO ne soit pas systématiquement requise pour les associations, celles-ci sont fortement encouragées à désigner un référent en matière de protection des données. Ce choix s’avère particulièrement judicieux pour les structures traitant des données sensibles à grande échelle, comme celles du secteur social et médico-social. Le DPO, qu’il soit interne, externe ou mutualisé, joue un rôle clé dans la supervision de la conformité au RGPD, renforçant ainsi la confiance des parties prenantes et réduisant les risques juridiques et d’image.

GUIDE CNIL