Home » Posts tagged 'mois européen de la cybersécurité'

Tag Archives: mois européen de la cybersécurité

Abonnez-vous à ce blog par e-mail.

Saisissez votre adresse e-mail pour vous abonner à ce blog et recevoir une notification de chaque nouvel article par email.

Protection des renseignements personnels

Dans le cadre du mois de la cybersécurité 2017, nous avons eu le plaisir d’accueillir, le 11 octobre dernier, David Henrard pour un wébinaire exceptionnel présentant un état des lieux de la protection des renseignements personnels en 2017 dans le monde.

La protection des renseignements personnels
Crédits : © 2AB & Associates – AB Consulting

La protection des renseignements personnels

Un état des lieux en 2017

Les renseignements personnels sont au coeur du modèle économique du 21ème siècle. Grâce à la vidéo de notre wébinaire, nous vous proposons de mieux comprendre sur ce sujet clé. Parmi les points abordés, citons :

  • les définitions de ce qu’on appelle des renseignements personnels,
  • les pratiques en vigueur dans les différents pays du monde,
  • Les nouvelles lois et réglementations visant à protéger les citoyens contre l’utilisation de leurs données personnelles,
  • les risques pour les personnes en cas de vol de leurs données personnelles,
  • quelques conseils pour mieux se protéger en ligne.

Objectif : responsabiliser chaque individu

La protection des renseignements personnels est avant tout la responsabilité de chacun. Nous devons en permanence nous attacher à ne pas divulguer des informations concernant notre identité et notre vie personnelle. Ces informations constituent alors un produit qui ne manquera pas d’être vendu à des fins marketing ou autres. Ces données courent alors le risque d’être volées avec un impact potentiellement important pour les personnes concernées. Cela va de l’envoi de mails non désirés en masse (spam), avec souvent des liens véreux (phishing) jusqu’à l’exploitation d’informations sensibles telles que vos données médicales ou vos informations bancaires. Pour mieux comprendre ces enjeux, nous vous invitons à lire notre précédent article Protection des données – C’est votre responsabilité.

Des mesures prises par les états pour protéger leurs citoyens

De nombreux états ont d’ores et déjà légiféré sur la collecte, le traitement et la communication des renseignements personnels. L’Europe a, pour sa part, publié une réglementation qui s’applique à tous les pays de la communauté européenne et même au delà. En effet, cette règlementation appelée GDPR s’applique à toute organisation dans le monde susceptible de traiter des données personnelles de citoyens européens. La CNIL publie d’ailleurs sur son site une carte interactive montrant les pays ayant adopté une loi de protection des données personnelles et, plus intéressant encore, leur niveau de conformité avec la loi européenne.

Pays ayant une loi sur la protection des renseignements personnels

Cette carte est particulièrement intéressante car elle montre qu’actuellement la quasi totalité de l’Afrique et du Moyen Orient ne sont pas en conformité avec la loi européenne.

La loi européenne est très contraignante et sa violation sera punie d’une amende pouvant aller jusqu’à 4% du chiffre d’affaires annuel avec un minimum de 20 millions d’euros pour les organisations contrevenantes. L’impact sera donc majeur sur le commerce avec les pays africains et les états du moyen orient à compter du 25 Mai 2018, date d’application des sanctions.

En savoir plus

Vous pensez avoir été victime d’abus en matière d’utilisation de vos renseignements personnels? Nous sommes à votre disposition pour vous aider. Vous souhaitez en savoir plus sur ce sujet crucial? Alors laissez-nous un commentaire et nous vous répondrons. Vous êtres une Entreprise et vous vous demandez quel impact va avoir la réglementation sur votre organisation? Nous sommes mobilisés pour répondre à vos questions.

Aussi n’hésitez pas… Visionnez la vidéo complète et gratuite de notre wébinaire du 11 Octobre 2017. Nous attendons vos commentaires, remarques et suggestions.

Protection des données. C’est votre responsabilité!

A l’heure où internet est partout et où nous communiquons de plus en plus de façon digitale, comment protéger vos données personnelles? La réponse n’est peut-être pas celle que vous attendez. La protection des données personnelles est de la responsabilité de chacun. Il ne faut pas attendre que les entreprises ou les états s’en chargent. Chaque utilisateur d’Internet doit prendre conscience de sa responsabilité à ce niveau. Internet est un univers absolument fantastique permettant au plus grand nombre de rester connectés. Mais Internet n’est rien d’autre que ce que ses utilisateurs en font. Dans le cadre du mois de la cybersécurité 2017, nous vous proposons de nous arrêter un moment sur ce sujet capital.

Protection des données. C'est votre responsabilité!
Crédit : © Africa Studio

La protection des données : votre responsabilité

L’être humain est ainsi fait qu’il attend toujours des autres de le protéger contre tous les dangers. Les éditeurs de logiciels et constructeurs de solutions informatiques l’ont bien compris. Ils se battent à coup d’initiatives technologiques censées protéger les utilisateurs contre le vol de leurs renseignements personnels sur Internet. Les états, soucieux de la protection des données de leurs citoyens, publient des réglementations toujours plus contraignantes dans ce domaine. Bien sûr, cet arsenal technologique et réglementaire est utile pour se protéger. Mais il est très loin d’être suffisant. Le premier niveau de protection est totalement de notre responsabilité. Il consiste à adopter un comportement basé sur le bon sens. Hélas, il semble que le bons sens ne soit pas universellement partagé. Il convient donc de mettre l’accent sur la sensibilisation, l’éducation et la formation des individus. Et ce, dès le plus jeune âge…

Une technologie toujours plus performante

Au cours de ces dernières années, les éditeurs de logiciel et les constructeurs de matériel ont mis l’accent sur la protection des appareils. Cela concerne particulièrement les matériels permettant l’accès à internet comme les ordinateurs et les éléments du réseau. Malheureusement le même effort n’a pas forcément été déployé sur les téléphones portables. Bien sûr on a vu apparaître assez récemment sur ces téléphones mobiles des protections biométriques. Certains terminaux permettent aujourd’hui le cryptage des données qu’ils hébergent. Mais combien d’utilisateurs utilisent ces  systèmes de sécurisation? De plus, ces protections bien qu’assez performantes sont encore très insuffisantes pour résister à des hackers professionnels.

Pour rester performante, la technologie doit évoluer en permanence. En effet, la compétence des hackers évolue, elle, chaque jour. Cela signifie donc que les éditeurs doivent produire des mises à jour de sécurité très fréquentes. C’est généralement ce qu’ils font. La responsabilité d’installer ces mises à jours revient naturellement aux utilisateurs eux-mêmes. Or, souvent ils ne le font pas. Cela prend du temps et consomme du volume de données sur internet. Dans beaucoup de pays, notamment dans les pays africains, la facturation internet s’effectue au volume. Donc, une mise à jour de sécurité assez lourde se traduira par un coût important pour l’abonné. Par conséquent, la plupart du temps les mises à jour de sécurité ne sont pas installées, laissant des larges failles ouvertes à la disposition des pirates.

Des lois de plus en plus contraignantes

Pour protéger leurs citoyens, les états prennent des dispositions de plus en plus contraignantes en matière de protection des renseignements personnels. Ainsi, en Europe, la nouvelle réglementation connue sous le nom de GDPR (Generic Data Protection Regulation), qui entrera en vigueur le 25 mai 2018, impose aux entreprises qui utilisent et traitent des données personnelles de citoyens Européens des exigences très restrictives. Toute violation de cette réglementation sera punie d’une amende allant jusqu’à 4% du chiffre d’affaires mondial annuel de l’Entreprise fautive, avec un minimum de 20 millions d’Euros.

Parmi les contraintes imposées, figure l’obligation de recueillir le consentement explicite des personnes pour utiliser leurs données personnelles à des fins marketing ou commerciales.

Une autre disposition contraignante, ayant des impacts très importants, est la responsabilité du donneur d’ordre sur toute la chaîne de sous-traitance utilisée pour le traitement des renseignements personnels. Ceci signifie que dans le cas où des informations personnelles (nom, prénom, adresse mail ou numéro de téléphone par exemple) seraient volées à un sous-traitant de la Société qui a recueilli ces données, quel que soit l’endroit où ce vol surviendrait (sur un autre continent par exemple), la Société d’origine serait considérée comme totalement responsable du délit et passible de l’amende.

Une méconnaissance des risques

Depuis quelques années on constate une utilisation croissante des téléphones portables pour l’accès à internet. Ceux-ci sont de plus en plus performants et offrent souvent des fonctionnalités et une puissance équivalentes aux ordinateurs. Leur portabilité en fait le terminal privilégié des internautes. Pour autant ils sont beaucoup plus vulnérables que les ordinateurs. Très peu d’entre eux sont équipés d’anti-virus. Les mises à jour de sécurité sont réalisées de façon très aléatoires. Ils sont plus sujets à la perte et au vol que les ordinateurs portables.

Les téléphones mobiles constituent aujourd’hui un maillon faible en matière de protection des renseignements personnels. Chacun enregistre sur son téléphone une grande quantité de données personnelles. Il s’agit bien sûr des numéros de téléphones de ses contacts, mais aussi d’autres informations comme leur nom et leur adresse mail ou même leur adresse physique. Souvent on y retrouvera aussi leur date de naissance, pour penser à fêter leur anniversaire. Ces téléphones portables sont aussi largement utilisés, en Afrique notamment, pour le paiement par mobile ou le transfert d’argent.

Le paiement par mobile

Devant la faiblesse des banques, les opérateurs téléphoniques du continent Africain ont développé des services de paiement et de transfert d’argent extrêmement prisés. Ainsi, au Kenya, M-Pesa, le service de paiement mobile de l’opérateur Safaricom possédait plus de 29,5 millions d’abonnés fin 2016. Sur l’année 2016 plus de 6 milliards de transactions ont été réalisée par M-Pesa, pour un montant global de plus de 30 milliards de dollars US, soit près de 45% du PIB du Kenya tout entier.

Les montants annuels transitant par ces services mobiles sont devenus phénoménaux. De plus leur croissance est évolution constante. Le succès de ces offres repose sur l’ouverture de ce type de services au plus grand nombre. Par contre ni les utilisateurs, ni les vendeurs de ces services ne sont formés sur la sécurité. Le risque lié au paiement mobile en Afrique est donc, en peu de temps, devenu un risque majeur. Ce risque concerne bien sûr l’économie entière des pays concernés, mais aussi chacun des utilisateurs individuellement. Les services de paiement mobile constituent en effet une cible plutôt facile pour des pirates qui y voient une incitation financière importante.

Un comportement immature des utilisateurs

Pour la plupart des utilisateurs, la protection des données ne constitue pas une préoccupation majeure. La plupart d’entre eux considère n’avoir rien à cacher. Ils n’hésiteront pas bien longtemps devant un formulaire leur demandant des informations personnelles. Et surtout s’il y a une incitation à les fournir!

Hier encore je suis tombé sur la page Facebook d’une personne qui publiait publiquement, photos à l’appui, sur ses vacances, pendant 4 semaines à l’étranger. Sur son profil, toujours public, apparaissent diverses informations suffisamment détaillées permettant de l’identifier de façon précise avec la localisation de son domicile. Il s’agit là d’informations personnelles extrêmement faciles à exploiter par n’importe quel cambrioleur qui sait désormais que cette maison est inoccupée et que les propriétaires ne reviendront pas avant une certaine date. De plus, sur la base des informations communiquées sur son profil et des photos partagées prises à l’intérieur de cette maison, il est évident que le butin risque d’être très intéressant. Cette personne s’est elle-même exposée au risque de se faire cambrioler. Elle a donné en ligne, de son plein gré, tous les informations personnelles pouvant inciter au délit. Si, ce qu’évidement nous ne lui souhaitons pas, le cambriolage se produit, l’assurance de ladite personne ne couvrira pas les dommages car la compagnie d’assurance estimera, de façon tout à fait justifiée, que c’est la personne elle-même qui a « provoqué » le cambriolage.

C’est un exemple tout à fait courant, malheureusement, de ce que nous nommerons un comportement immature d’un utilisateur d’internet.

Comment en savoir plus?

Pour en savoir plus sur la protection des données personnelles, nous vous invitons à visionner l’enregistrement video de notre wébinaire du 11 Octobre dernier. La présentation était animée par David Henrard, expert international du domaine et actuel président du Chapitre ISACA de Québec. Vous pourrez ainsi avoir une vision complète de l’état des lieux en la matière à travers les différentes régions du monde.

Nous répondrons également avec plaisir à vos remarques, commentaires et questions sur cet article.

 

Sécurité sur internet : 10 pratiques essentielles

Dans le cadre du mois de la cybersécurité 2017, AB Consulting CI et 2AB & Associates, sponsors officiels depuis plusieurs années, s’associent de nouveau à la campagne de sensibilisation des citoyens sur les bonnes pratiques en matière de sécurité sur internet.

10 pratiques essentielles pour rester en sécurité sur internet

10 pratiques essentielles pour rester en sécurité sur internet

A l’occasion du mois de la cybersécurité 2017, nous publions un livre blanc intitulé 10 pratiques essentielles pour rester en sécurité sur internet. Ce livre blanc sera remis à tous les participants lors de notre wébinaire gratuit du 4 octobre prochain.

Aujourd’hui notre vie est étroitement liée à l’utilisation d’internet. Cela vaut aussi bien pour notre vie professionnelle que pour notre vie privée. L’objectif est de sensibiliser l’ensemble des citoyens sur la nécessité de prendre quelques précautions élémentaires pour se protéger des risques inhérents à l’utilisation de ce mode de communication.

Nous vous proposons donc de nous rejoindre sur notre wébinaire du 25 octobre 2017 pour creuser ensemble ce sujet délicat. Attention, le nombre de places est limité. Inscrivez-vous ici dès maintenant… C’est entièrement gratuit!

Nous faisons tout pour sauvegarder nos biens personnels – en verrouillant nos portes, en surveillant nos sacs et nos portefeuilles. Hélas, souvent, nous ne prenons pas le même soin avec les informations personnelles que nous stockons en ligne, sur les réseaux sociaux et dans nos appareils, qu’il s’agisse d’ordinateurs ou de téléphones. La plupart du temps, c’est simplement parce que nous ne comprenons pas bien les risques et que nous ne savons pas par où commencer.

Alors, avant de participer à notre wébinaire et de lire notre livre blanc, voici quelques règles élémentaires. Il s’agit simplement de 3 conseils de bon sens à respecter scrupuleusement :

Naviguez toujours prudemment sur Internet

Bien sûr, commencez par utiliser un navigateur et une machine à jour des correctifs de sécurité, Mais il convient encore de prendre quelques précautions élémentaires lorsque vous naviguez sur des sites internet.

Sites marchands et sites bancaires

IMPORTANT : Ne donnez jamais d’informations personnelles et confidentielles (vos coordonnées personnelles, vos coordonnées bancaires, etc) sur un site marchand ou un site bancaire, sans avoir vérifié au préalable que le site est sécurisé.

Le site doit utiliser un certificat électronique qui garantit qu’il est authentique. C’est grâce à ce certificat que la confidentialité des informations échangées est bien garantie. Bien sûr, là il s’agit de considérations quelque peu techniques et vous n’êtes pas forcément un(e) technicien(ne). Il existe une façon simple de vous assurer que le site est bien sécurisé. Il y a deux informations affichées par le navigateur qui doivent être vérifiées :

  • l’adresse URL du site web doit commencer par « https:// ». Par ailleurs, le nom du site doit correspondre à ce que vous vous attendez à trouver.
  • un petit cadenas fermé doit figurer à droite de l’adresse du site. Il peut aussi se trouver en bas à droite de la barre d’état selon la version et le type de votre navigateur. Ce cadenas symbolise une connexion sécurisée. En cliquant dessus, on peut afficher le certificat électronique du site, et visualiser le nom de l’organisme.

Attention cependant, il est toujours possible à un agresseur d’intervenir en amont (sur votre machine) ou en aval (sur le site consulté). Il peut aussi essayer de vous aiguiller sur un site frauduleux, au nom très voisin. L’objectif est le plus souvent d’obtenir des informations sensibles. La prudence doit donc être de rigueur.

Pour plus de précisions sur les procédés utilisés par les pirates, nous vous conseillons la lecture de deux articles publiés sur notre blog : Phishing – Mode d’emploi et 10 trucs pour reconnaître un mail d’hameçonnage.

Les forums et les blogs

IMPORTANT : En aucun cas vous ne devez donner d’informations personnelles sur des forums (adresse physique, de messagerie, numéro de téléphone…).

Il est désormais fréquent de communiquer sur des sites communautaires de types forums de discussion ou autres blogs. Il est important de bien garder en mémoire, lorsque l’on veut déposer un message sur ce type de site, que le contenu de vos écrits  pourra être analysé par des robots. Qu’appelle-t-on des robots? Ce sont des programmes capables de récupérer les informations personnelles contenues dans le texte. Il peut s’agir de vos adresses de messageries ou de vos identifiants de messageries instantanées. Ces informations pourront ensuite être utilisées afin de propager du pourriel (spam). Aujourd’hui, il n’est pas rare après avoir déposé son adresse personnelle de messagerie électronique sur un forum de se voir inondé de spams les heures ou jours suivants. Attention, ces informations communiquées sur ces sites resteront publiques et non maîtrisables durant une très longue période.

Le paiement en ligne

IMPORTANT : Soyez prudent sur la nature des données bancaires demandées lors d’un paiement en ligne. Un site ne doit jamais vous demander de saisir votre code secret associé à votre carte bancaire. 

Lorsque que vous décidez de faire des achats sur internet,-vous devez vous assurer du sérieux du site marchand. Il doit offrir toutes les garanties de sécurité lorsque vous payez : chiffrement, possibilité de rétractation….Si vous avez le moindre doute, ne finalisez pas la transaction et signalez le site aux points de contact mentionnés sur contrat de votre carte bancaire.

Pour en savoir plus…

Pour en savoir plus, n’hésitez pas à nous adresser vos commentaires et à partager vos expériences relatives à la sécurité sur internet. Et surtout inscrivez-vous vite à notre wébinaire gratuit du 25 Octobre et recevez le livre blanc 10 pratiques essentielles pour rester en sécurité sur internet.

Mois de la cybersécurité 2017 à Abidjan

Mois de la cybersécurité 2017

Le Mois de la cybersécurité (CSM) s’appuie sur le fait qu’Internet est une ressource partagée et que la sécurité des communications sur internet est une responsabilité partagée.

Mois de la cybersécurité 2017

Le Mois de la cybersécurité est une campagne internationale de sensibilisation. Elle a lieu chaque année en Europe, Asie, Amérique du Nord et Australie au mois d’octobre. L’objectif de cette campagne est de sensibiliser le public sur l’importance de la sécurité de l’information. Elle vise à informer les citoyens sur la sécurité lors de l’utilisation d’Internet et sur quelques bonne pratiques simples à suivre pour se protéger en ligne, ainsi que pour protéger leur famille, leur milieu de travail et leurs appareils.

Les thèmes du mois de la cybersécurité 2017

Le mois est divisé en thèmes (un thème par semaine) qui soulignent les différents aspects de la cybersécurité. Cette année, la campagne débutera le 2 octobre pour s’achever le 31 Octobre et sera organisée de la façon suivante :

  • 1ère Thème : du 2 au 6 octobre : Pensez cybersécurité – Prenez des mesures simples pour assurer votre sécurité en ligne
  • 2ème Thème : du 9 au 13 octobre : Soyez vigilants – Protection des renseignements personnels et des données privées
  • 3ème Thème : du 16 au 20 octobre : Nous sommes tous concernés – La cybersécurité au travail est l’affaire de tous
  • 4ème Thème : du 23 au 27 octobre : Le citoyen numérique dans un monde de plus en plus numérique

Les évènements planifiés à Abidjan

Afin de soutenir cette campagne internationale de sensibilisation, AB Consulting CI s’associe cette année encore à l’initiative collective. Chaque semaine, des évènements gratuits seront proposés. Mais, cette année, outre les évènements (wébinaires, rencontres), des ressources documentaires seront mises à disposition de tous. Il s’agira de livres blancs, de posters à partager, d’infographies, d’articles sur notre blog et même d’outils de sensibilisation.

Le programme des évènements est d’ores et déjà fixé et nous vous invitons à vous inscrire nombreux et nombreuses pour y assister. C’est évènements sont entièrement gratuits mais le nombre de places est limité. Alors n’attendez pas pour vous inscrire en suivant les liens ci-dessous :

Pensez cybersécurité – Prenez des mesures simples pour assurer votre sécurité en ligne

Nous vous proposons de nous suivre le 25 Octobre 2017 à 11h GMT pour un wébinaire d’une heure, présenté par Alain Bonneaud sur le thème « 10 moyens simples de vous protéger en ligne« . Les participants se verront remettre gratuitement un livre blanc reprenant les 10 conseils pour assurer leur sécurité en ligne. Inscrivez-vous ici.

Soyez vigilants – Protection des renseignements personnels et des données privées

Le 11 Octobre 2017 à 11h GMT, David Henrard, président du Chapitre ISACA de Québec et expert de la protection des renseignements personnels, présentera un wébinaire d’une heure sur le thème « Cybersécurité : La protection des renseignements personnels« . A l’heure où le GDPR entrera bientôt dans sa phase obligatoire, cette présentation fera le point sur les aspects réglementaires pour les entreprises mais aussi sur les précautions à prendre par tout utilisateur d’internet en matière de protection de ses informations personnelles. Inscrivez-vous ici.

Nous sommes tous concernés – La cybersécurité au travail est l’affaire de tous

Le 18 Octobre 2017 à 11h GMT, Alain Bonneaud, expert en cybersécurité et en gouvernance des Entreprises présentera un wébinaire d’une heure sur la nécessité, au sein des Entreprises, de sensibiliser l’ensemble du personnel à une obligation de respecter des règles de bases en matière de sécurité. Contrairement à une idée reçue, la sécurité n’est pas l’apanage des informaticiens. Savez-vous que 95% des attaques informatiques réussies passent par des personnels non informaticiens? Que vous soyez chef d’Entreprise ou salarié ou même consultant, cette présentation intitulée « La cybersécurité au travail est l’affaire de tous. Pas seulement des informaticiens! » vous concerne. Insrcivez-vous ici.

Le citoyen numérique dans un monde de plus en plus numérique

Le 27 Octobre 2017, à Abidjan, AB Consulting CI organisera une petit déjeuner pour les directions des Entreprises afin d’échanger avec les Directeurs et Managers sur leurs responsabilités en matière de gestion des risques de cybersécurité et les manières de se protéger dans un monde toujours plus numérique. Cette rencontre sera l’occasion d’échanger avec nos experts sur l’ensemble des aspects relatifs à ces problématiques de plus en plus sensibles. Cette matinée est accessible uniquement sur invitation, le nombre de places étant très limité. N’hésitez pas à nous laisser vos coordonnées si vous souhaitez y participer.

Et bien sûr, n’hésitez pas à nous adresser vos commentaires et à partager d’autres initiatives utiles à tous dans le cadre de cette campagne internationale.

GDPR – Exigences de protection des données

GDPR – Exigences de la réglementation

Dans notre précédent article GDPR et la protection des données en Afrique. Nous avions évoqué la Réglementation Générale de Protection des Données adoptée par l’Union Européenne et quelles en seraient les impacts sur les économies des pays Africains. Dans ce nouvel article, nous allons voir, plus en détail, quelles sont les principales exigences de la réglementation. 

GDPR le contenu de la réglementation sur la protection des données

La mise en conformité à la GDPR peut, au premier abord, apparaître comme un fardeau. Cela ne l’est pas. C’est  un moyen de protéger chacun d’entre nous, car nous sommes tous l’objet de données, l’exploitant ou encore le vérificateur de données. La GDPR se concentre sur les données personnelles. Mais c’est une occasion idéale pour investir dans la protection de toutes vos données. Tout cela sera finalement très utile car ce sont vos données qui sont la source de votre activité économique.

Pourquoi protéger les données de l’Entreprise?

Vous pensez ne pas être concernés car vous produisez des crayons et vous pensez que l’informatique est secondaire dans votre activité. Pensez un seul instant aux données qui vous sont propres pour produire vos crayons. Il y a les spécifications, la propriété intellectuelle, les données sur vos fournisseurs, les informations sur commandes, les clients, les services financiers, les coordonnées bancaires de vos clients et de vos fournisseurs, les informations personnelles de vos employés, les configurations de sécurité que vous avez mises en place… Toutes ces informations sont vitales pour votre activité. Que se passerait-il si vous les perdiez ou si elles arrivaient entre les mains de votre concurrent?

Commençons donc par le début. Nous devons assurer une bonne protection des données. Ce n’est pas seulement parce que la GDPR l’exige et que nous devons nous aligner sur les exigences de l’UE. C’est simplement un pré-requis indispensable à la bonne gestion d’une Entreprise. Tout bon régime de protection des données commence par une stratégie. Celle-ci précise les obligations de l’Entreprise vis à vis des données et les résultats escomptés. La stratégie définit également les moyens à mettre en oeuvre pour protéger ces informations.

Comment nous y prendre?

Les Entreprises ont deux sources d’inspiration pour baliser leur chemin.

Le premier est la GDPR elle-même parce qu’elle énonce les obligations que les entreprises doivent appliquer à leur système d’information. Le second est l’utilisation de référentiels tels que COBIT 5 ou de normes telles que ISO 27001. COBIT 5 et ISO 27001 nous fournissent le cadre sur la base duquel évaluer comment vous allez atteindre ces résultats et les bénéfices attendus. En combinant liste complète des exigences de la GDPR et l’utilisation de COBIT 5, les entreprises seront donc en mesure de répondre aux exigences de conformité de GDPR de façon transparente.

Les principales exigences de la GDPR

Avant d’aborder comment nous y prendre, examinons un peu plus en détail les exigences de la réglementation

1. Même si votre entreprise n’est pas dans l’UE, la réglementation s’applique

Les organisations non situées dans un état européen mais qui font des affaires avec l’UE et utilisent les données personnelles des ressortissants de l’UE doivent se préparer à se conformer à la réglementation. Ceux qui fournissent des produits ou des services à des clients dans l’UE ou qui traitent ou manipulent leurs données peuvent avoir à faire face à des poursuites de l’UE si un incident de sécurité est signalé.

C’est notamment le cas de toute banque Africaine qui reçoit de l’argent depuis un compte situé en Europe. C’est la même chose si elle effectue un transfert vers un compte bancaire Européen. Cette banque Africaine aura alors en sa possession les données bancaires du citoyen ou de l’Entreprise européenne avec laquelle s’effectue la transaction. Ces informations doivent donc être protégées en respectant les exigences de la GDPR. Toute transaction commerciale impliquant une organisation Africaine et un Organisation Européenne est donc concernée.

2. La définition des données personnelles est élargie

La confidentialité des données concerne désormais d’autres facteurs susceptibles d’être utilisés pour identifier un individu. Il s’agit par exemple de son identité génétique, psychique, économique, culturelle ou sociale. Les entreprises sont incitées à prendre des mesures afin de réduire la quantité d’informations personnelles qu’ils stockent, et à veiller à ce qu’elles ne stockent pas les informations plus longtemps que strictement nécessaire.

3. Un consentement est requis pour traiter les données relatives aux enfants

Le consentement des parents sera nécessaire pour le traitement des données personnelles des enfants de moins de 16 ans. Chaque État membre de l’UE peut abaisser à 13 ans l’âge nécessitant le consentement parental. Bien entendu des traces doivent permettre la vérification au travers d’audits.

4. Les modifications apportées aux règles d’obtention du consentement valide

Un document de consentement au traitement des données personnelles doit être exprimé en termes simples et non ambigus. Le consentement ne se présume pas. Le silence ou l’absence de réponse ne constitue pas un consentement. Un consentement clair et positif au traitement des données privées doit être fourni, de façon formelle et auditable.

Imaginons que vous utilisez le mailing internet pour contacter vos clients. Chacun d’eux doit avoir fourni un consentement clair et positif à être présent dans votre liste d’adresses. Cela signifie que citoyen d’un état Européen qui recevrait un email provenant d’une société, en Afrique par exemple, et qui n’aurait pas donné explicitement son consentement pour être contacté par mail serait en droit de poursuivre ladite Société, laquelle serait du coup passible d’une lourde amende pour non respect de la GDPR.

5. La nomination d’un Directeur de la Protection des Données (DPO) est obligatoire pour certaines entreprises

L’article 35 de la GDPR stipule que des Directeurs de la Protection des Données (DPO – Data Protection Officer) doivent être nommés dans toutes les administrations. En outre, un DPO sera nécessaire lorsque les activités de base de l’Organisation impliquent « un suivi régulier et systématique de grandes quantités de données personnelles » ou lorsque l’entité effectue le traitement à grande échelle de « catégories particulières de données à caractère personnel ». Cela fait donc référence aux sociétés de service informatique qui opèrent le système d’information de leurs clients.

Les entreprises dont l’activité principale n’est pas le traitement de données sont exemptées de cette obligation.

La GDPR ne précise pas les diplômes et certifications professionnelles requis pour les Directeurs de  la Protection des Données, mais stipulent néanmoins qu’ils doivent avoir  «une connaissance approfondie du droit et des pratiques de protection des données. »

6. Evaluations obligatoires d’impacts des risques sur la protection des données

Une approche basée sur les risques doit être adoptée avant d’entreprendre des activités de traitement de données sensibles. Des rôles de vérificateurs de données seront nécessaires pour effectuer des évaluations d’impact, analyser et minimiser ces risques pour les personnes concernées dès lors que des risques de violation de la vie privée sont élevés.

Ce sera notamment le cas lorsqu’une Entreprise Européenne entrera en relation d’affaires avec une Entreprise d’un pays dont la législation est plus tolérante.

7. Exigences nouvelles en matière de notification de violations des données

Les vérificateurs de données seront tenus de signaler les violations de confidentialité constatées à leur autorité de protection des données, à moins que celles-ci ne représentent qu’un risque faible pour les droits et libertés des personnes concernées. L’information doit être transmise dans les 72 heures suivant la constatation de la violation de confidentialité par les vérificateurs. Des dérogations pourront exister en cas de circonstances exceptionnelles, qui devront être justifiées.

Lorsque le risque pour les individus est élevé, les personnes concernées doivent être informées. Toutefois, aucun délai n’est spécifié par la règlementation.

Des audits réguliers de la chaîne d’information et des vérifications seront requis pour assurer que le nouveau régime de sécurité est bien adapté à l’usage.

8. Le droit à l’oubli

Tout individu a le « droit à l’oubli ». La GDPR prévoit des lignes directrices claires sur les circonstances dans lesquelles le droit peut être exercé.

9. Le transfert international de données

Étant donné que la règlementation est également applicable aux Entreprises qui utilisent et transforment les données, les organisations doivent être conscientes du risque de transfert de données vers des pays ne faisant pas partie de l’UE.

10. Responsabilités en matière de traitement de données

Les Entreprise exploitant des données auront des obligations et des responsabilités juridiques directes. Cela signifie que les exploitants peuvent être tenus responsables des violations de données. Les arrangements contractuels devront donc être mis à jour en précisant les responsabilités et les obligations de chacune des parties. Il s’agit là d’une exigence impérative dans les futurs accords.

Les Parties devront documenter leurs responsabilités sur les données encore plus clairement, et les niveaux de risque accrus peuvent clairement influer sur le coût des services.

11. La portabilité des données

La portabilité des données permettra à un utilisateur de demander une copie de ses données personnelles dans un format utilisable et par voie électronique transmissible à un autre système de traitement.

12. Protection par la conception

La GDPR exige que les systèmes et les processus prennent en compte le respect des principes de protection des données. L’essence de la protection par la conception est que la vie privée dans un service ou un produit est pris en compte non seulement au moment de la livraison, mais aussi dès l’origines de la création du concept de produit.

Il y a aussi une exigence que les vérificateurs ne doivent recueillir que les données strictement nécessaires à la réalisation de leurs objectifs spécifiques et les détruire  dès qu’elle ne sont plus nécessaires.

13. Un guichet unique

Un nouveau guichet unique Européen est créé pour les entreprises. Cela signifie que les entreprises ne devront faire face à une autorité de surveillance unique pour l’ensemble de l’Europe et non pas au sein de chaque état. Ceci rend plus simple et moins coûteux pour les entreprises de faire des affaires dans l’UE. Cela aura également un impact positif pour les fournisseurs de services Internet ayant des bureaux dans plusieurs pays de l’UE.

Et pour se mettre en conformité, comment fait-on?

Dans notre prochain article, nous verrons comment nous appuyer sur COBIT 5 et ISO 27001 pour implémenter l’ensemble des mesures nécessaires à la conformité requise par la GDPR.

Vous avez des questions sur le contenu de la réglementation, son interprétation ou ses conséquences pratiques? N’hésitez pas à nous poster un commentaire et un de nos experts en protection des données personnelles vous répondra.

GDPR et protection des données en Afrique

Les exigences et les conséquences du GDPR

La règlementation générale sur la protection des données (GDPR: General Data Protection Régulation) est applicable à partir du 25 mai 2018. Elle deviendra donc, de fait, une loi applicable dans chacun des pays de la Communauté Européenne à cette date. Encore une réglementation européenne de plus, pensez-vous? Non, pas exactement. Il s’agit là d’une réglementation majeure qui va impacter profondément les économies des pays Européens. Mais elle va également impacter celles des pays qui ont des liens commerciaux forts avec l’Europe. Les pays d’Afrique sont au premier plan des pays qui vont subir de plein fouet cette nouvelle réglementation. Alors de quoi s’agit-il? Faut-il s’inquiéter? Comment s’y préparer pour réduire les risques pour nos économies? Nous allons essayer de vous apporter quelques ébauches de réponses.

COBIT, GDPR et la protection des données

 GDPR – Ca veut dire quoi?

GDPR signifie Réglementation Générale sur la Protection des Données. Il s’agit d’une réglementation Européenne (99 articles décrits sur 88 pages) qui entrera en vigueur le 25 Mai 2018. A compter de cette date, elle s’impose à toutes les Entreprises de l’ensemble des états de la Communauté Européenne. L’objectif de cette réglementation est d’assurer la protection des données personnelles de l’ensemble des citoyens, notamment face aux risques de cybersécurité qui augmentent chaque jour.

La négligence, l’imprudence ou la simple malchance ne constitueront pas une excuse en vertu de la loi renforcée. Les entreprises qui seront en violation avec la loi devront faire face à une augmentation des peines importantes. A moins, bien sûr, qu’elles ne puissent démontrer que la protection des données qu’elles utilisent – la confidentialité et la sécurité – était manifestement au niveau de qualité exigé par le GDPR. Ceci a notamment pour objectif de nous assurer que nous, en tant qu’individus, disposons de privilèges plus étendus sur nos données personnelles, y compris le droit à l’oubli.

Quels sont les enjeux?

Le GDPR est fondamentalement une excellente chose. Il est moralement juste et chacun d’entre nous devrait y adhérer sans réserve. Il y a de bonnes raisons commerciales également à le respecter :

  • le respect du GDPR signifie que nous sommes alignés avec la réglementation Européenne en la matière et que nous pouvons donc avoir des activités commerciales avec des Entreprises dans tous les pays Européens,
  • c’est l’occasion de mieux protéger nos données contre les risques en matière de cybersécurité,
  • c’est aussi la meilleure façon d’assurer que nous sommes alignés avec la réglementation en vigueur en Amérique du Nord et que les risques de cybersécurité ne seront pas un frein à nos échanges avec les USA et le Canada.

Mais, malheureusement, il y a aussi des coûts associés :

  • la mise en oeuvre des obligations prévues par la réglementation,
  • les problèmes de réputation et les aspects stratégiques,
  • les coûts opérationnels et les coûts de conformité,
  • et enfin la mise à niveau, en termes de formation et de sensibilisation, de l’ensemble du personnel des Entreprises, depuis le Président du Conseil d’Administration jusqu’au gardien, car les individus sont les premiers remparts en matière de sécurité des données.

Tous ces coûts risquent fort d’être extrêmement importants. Et ce surtout en Afrique où le sujet n’intéresse, pour l’instant, pas grand monde et où le niveau de sécurité de l’information dans les Entreprises est proche de zéro. Combien d’Entreprises, par exemple, sont aujourd’hui, en Afrique, certifiées sur la base de la norme ISO 27001? L’étude annuelle réalisée début 2016 par l’ISO montre seulement 129 entreprises certifiées ISO 27001 en Afrique. Parmi celles-ci, seulement 2 sont en Afrique Francophone subsaharienne (1 en Côte d’Ivoire et 1 au Sénégal). Ce chiffre est à comparer avec les plus de 12.000 organisations certifiées en Asie…

Les exigences du GDPR en matière de protection des données

L’ICO (Information Commissioner’s Office), organisation indépendante créée au Royaume Uni en vue  superviser les droits sur l’information dans l’intérêt public, donne une explication détaillée et compréhensible des principaux aspects de cette règlementation.

Quelques points clés issus du contenu de la réglementation sont particulièrement importants pour les économies Africaines :

Fournisseurs et partenaires d’affaires sont inclus dans le périmètre

Les fournisseurs et les partenaires d’affaires doivent être inclus dans le périmètre de la gestion de la protection des données. Cela signifie qu’une Entreprise Européenne ne pourra transmettre des données (bancaires ou commerciales par exemple) à un fournisseur ou un partenaire d’affaires situé sur le continent Africain que si et seulement si ce fournisseur ou ce partenaire d’affaires peut apporter la preuve (au travers d’un audit ou d’une certification par exemple) qu’il sécurise ses informations à un niveau au minimum égal à ce qu’exige la réglementation Européenne.

Compréhension des vulnérabilité et menaces

Comprendre les vulnérabilités, les menaces et l’efficacité de votre maintenance corrective sont essentiels. Cela signifie, en clair, qu’il est indispensable que toutes les menaces, toutes les vulnérabilités et la maintenance corrective des logiciels que vous utilisez soient connues, comprises, évaluées et contrôlées. En Afrique, les Entreprises sont majoritairement des PMEs. Les budgets et les compétences nécessaires vont bien au-delà de leurs moyens. Par contre, cela rentre typiquement dans le périmètre des obligations d’un éditeur de logiciel. Cela signifie donc, entre autres, qu’il ne sera pas possible, sauf à démontrer que l’obligation est bien respectée grâce à des certifications internationales ou des audits, de s’appuyer sur des applications spécifiques, développées en interne par les Entreprises. Impossible également de s’appuyer sur du logiciel libre, largement répandu dans les Entreprises Africaines. Dans ce cas, il sera impossible d’apporter la preuve du respect de l’exigence dans le cadre d’un audit.

Sécurisation adéquate des données des clients

Les données des clients doivent être considérées parmi les « biens » les plus précieux de l’Entreprise. Elles doivent donc être protégées comme telles et  bénéficier d’un niveau de sécurité maximum. Des audits et/ou des certifications d’entreprises sur des normes internationales devront permettre de démontrer que le niveau adéquat de protection est bien appliqué aux données des clients (informations personnelles, informations bancaires, informations médicales par exemple), y compris lorsqu’elles transitent ou sont manipulées au sein d’une Entreprise Africaine, partenaire d’affaires, client ou fournisseur d’une Entreprise Européenne.

Protection efficace contre les faiblesses humaines

Une protection efficace est exigée contre des fuites de données involontaires, provoquées par l’entreprise et son personnel, notamment via les médias sociaux. Cela implique une formation de l’ensemble du personnel des Entreprises Africaines, allant du Président au gardien, sur la sécurité de l’information et la mise en oeuvre de moyens de contrôle, notamment sur la fuite d’informations via les réseaux sociaux. Cela risque de s’avérer quasi-impossible dans des pays où le moyen privilégié de communication est Facebook. Facebook constitue généralement, dans les pays d’Afrique subsaharienne, le support institutionnel pour la communication d’Entreprise.

De plus les législations locales des pays Africains n’autorisent pas ces pratiques de contrôle pour les Entreprises. Cela nécessite donc des changements culturels et législatifs qui prendront beaucoup de temps. Or le temps est compté puisque la réglementation s’applique à compter du 25 Mai 2018. De plus ces évolutions risquent fort de rencontrer une opposition farouche des populations. Elles considèreront cela, sans aucun doute, comme une entrave à leurs libertés.

Et si une Entreprise n’est pas conforme au GDPR?

L’article 83 du GDPR stipule que toute Entreprise Européenne non conforme à la réglementation sera soumise à une amende égale à la plus élevée des deux montants : 20.000.000 Euros ou 4% de son chiffre d’affaire annuel.

Il est clair qu’aucune organisation en Europe n’acceptera de courir un tel risque avec un partenaire d’affaires ou un fournisseur qui ne serait pas aligné sur les exigences de cette réglementation.

GDPR - Impacts

Les conséquences pour les économies des pays Africains

Les conséquences pour les économies Africaines sont donc claires. Elles doivent s’adapter pour permettre à leurs Entreprises de faire du business avec l’Europe, qui constitue un de leurs plus gros marchés. A défaut, elles seront dans de très grandes difficultés. Le temps presse car cette réglementation entre en vigueur le 25 Mai 2018. Inutile d’envisager de rediriger les marchés vers l’Asie ou l’Amérique du Nord. Des réglementations similaires, tout aussi contraignantes, y sont déjà appliquées ou en voie de l’être. Il faut donc transformer, dans un délai de 18 mois, les Entreprises pour les rendre conformes aux obligations réglementaires.

Dans notre prochain article, nous vous donnerons quelques pistes pour réussir cette transformation dans les délais en vous appuyant sur des référentiels de Gouvernance et de Management de la Sécurité de l’Information tels que COBIT ou ISO 27001 en vue d’une meilleure protection des données.

N’hésitez pas à nous communiquer vos commentaires et vos questions. Nos experts se feront un plaisir de vous répondre.

Cyber-risques – Que fait le Conseil d’Administration?

Le Conseil d’Administration est en charge de s’assurer de la création de valeur pour les parties prenantes de l’Entreprise tout en optimisant les risques et les ressources. Le Conseil d’Administration, organe de Gouvernance de l’entreprise est donc directement concerné par les cyber-risques.

Le conseil d'administration

« La SEC (organisme fédéral américain en charge de réguler et de contrôler les marchés financiers), la FTC (agence américaine chargée de contrôler les pratiques commerciales) ainsi que d’autres organismes de réglementation (fédéraux, d’état, mondiaux) ont renforcé leurs évaluations des Entreprises en matière d’efforts réalisés pour sécuriser les données, ainsi que concernant les informations et la communication sur les risques en matière de cybersécurité et de violations des données. » comme l’indique KPMG dans son rapport On the 2015 Board Agenda.

Réagissant au grand nombre et à l’ampleur des vols de données qui n’ont fait qu’augmenter durant la dernière décennie, les agences gouvernementales commencent tout juste à durcir le ton et à envoyer des signaux clairs que la sécurité constitue désormais un sujet prioritaire pour les Entreprises.

Le commissaire Luis A. Aguilar de la SEC (Securities and Exchange Commission), parlant au New York Stock Exchange (NYSE) le 10 Juin 2014, a clairement indiqué la position de la commission. « La surveillance des cyber-risques par le Conseil d’Administration est essentielle pour assurer que les entreprises prennent des mesures adéquates pour prévenir les cyber-attaques et se préparer à faire face aux préjudices qui peuvent en résulter », a-t-il dit. Il a également émis un avertissement clair sur le fait que « les Conseils d’Administration qui choisissent d’ignorer ou de minimiser l’importance de leur responsabilité de surveillance de la cyber-sécurité, le font à leurs risques et périls ».

Depuis lors, le commissaire Aguilar est de nouveau monté au créneau pour lancer un nouvel avertissement sur les cyber-risques. « Cela ne devrait être une surprise pour personne que la cybersécurité soit devenue un point focal des efforts d’application de la SEC durant ces dernières années. Il est d’ailleurs de notoriété publique que la Division d’Application de la SEC investigue actuellement plusieurs cas de violation de données, » a-t-il dit lors du Sommet SINET innovation le 25 juin 2015. « En outre, la SEC a examiné de façon proactive comment elle peut, en utilisant son pouvoir actuel, obliger à l’application de mesures supplémentaires en matière de cybersécurité, et comment cette autorité pourrait devoir être étendue pour répondre aux menaces émergentes de cybersécurité ».

Cette nouvelle orientation des agences gouvernementales n’est cependant pas limitée aux États-Unis. L’Autorité Technique Nationale du gouvernement britannique pour la sûreté de l’information a ainsi déclaré que « la gestion proactive du cyber-risque au niveau du Conseil d’Administration est essentielle. » A cette fin, le gouvernement britannique a publié un document qui décrit les responsabilités et questions clés de cyber sécurité pour le Conseil d’Administration et le Management. Des ressources supplémentaires pour les conseils d’Administration incluent notamment un «Manuel de surveillance des Cyber-Risques», publié aux USA par l’Association Nationale des Administrateurs de Sociétés (NCAD).

Une réalité nouvelle pour le Conseil d’Administration

La nouvelle réalité à laquelle fait face chaque Conseil d’Administration est bien résumée dans Cybersecurity Docket : «Chaque Conseil d’Administration doit maintenant savoir avec certitude que sa société sera victime d’une cybe-rattaque, et pire encore, que c’est le Conseil qui aura la charge de nettoyer le gâchis et de surveiller les retombées » .

Comme dans tous les autres autres domaines de la conformité, les Administrateurs peuvent être tenus pour responsables pour ne pas avoir fait leur devoir afin de prévenir les dommages à la société. Dans l’exercice de leur rôle de surveillance, les Administrateurs doivent rester informés en permanence sur les mesures de cybersécurité de leur société. Ils doivent évaluer les risques et déterminer ce qui doit être fait pour les atténuer.

L’absence de surveillance adéquate des cyber-risques constitue une menace. «Les Administrateurs qui ne parviennent pas à prendre des mesures appropriées – à la fois avant et après un incident de sécurité de l’information – courent le risque que leur Entreprise soit soumise à l’application de mesures gouvernementales (lois ou réglementations), et qu’eux-mêmes soient personnellement sujets à des poursuites de la part des actionnaires », a expliqué le cabinet d’avocats Fredrikson & Byron.

KPMG, dans sa publication de Février 2015 sur les défis et priorités en matière de Gouvernance pour 2015 désigne la cybersécurité comme « LE problème du 21e siècle. » Au-delà du risque de conformité, le rapport souligne l’importance « des poursuites, des dommages à la réputation et de la perte de clients» comme conséquences potentielles.

Pourquoi les Conseils d’Administration peinent-ils à prendre en compte ce type de risques?

Selon le rapport d’Ernst & Young publié fin 2014 et intitulé « Cyber program management« , il y a plusieurs raisons pour lesquelles ils sont si réticents à s’engager sur la cybersécurité. Parmi ces raisons figurent :

  • le fait que l’internet et la connexion de l’Entreprise constituent juste l’un des nombreux sujets à l’ordre du jour d’un Conseil d’Administration,
  • la culture de silo au niveau de l’informatique qui a relégué la responsabilité de protection des données et des systèmes uniquement au niveau du département IT,
  • la difficulté pour le Conseil d’Administration d’évaluer correctement les risques de cyberattaques et le programme de gestion des risques associé mis en place par la direction,
  • et enfin l’approche de consolidation des défenses (contrôles préventifs de sécurité) tout en ignorant les capacités de détection et de réponse aux incidents.

Cependant, comme le commissaire Aguilar l’a déclaré à la Bourse de New York, les temps ont changé, et «s’assurer de l’adéquation des mesures de cybersécurité de l’entreprise aux risques doit être une préoccupation essentielle d’un Conseil d’Administration dans le cadre de ses responsabilités de surveillance en matière de risques. » Cela devrait figurer comme un slogan en lettres capitales sur le mur de la salle du conseil : les administrateurs ne peuvent plus balayer  d’un revers de main les Cyber-Risques. C’est leur responsabilité de surveiller la gestion de ces risques qui était autrefois déléguée au domaine informatique.

Comment doivent-ils s’y prendre pour assurer cette responsabilité?

Le Conseil d’Administration de chaque Enterprise doit désormais prendre le temps nécessaire sur son agenda pour surveiller les cyber-risques . Selon les termes du document « Cyber program management » d’E&Y, les Conseils d’Administration sont maintenant invités à discuter de la cybersécurité sur une base trimestrielle, voire même plus fréquemment.

Comment les administrateurs doivent-ils d’y prendre pour surveiller les cyber-risques? Le Commissaire Aguilar, de la SEC, a fourni des conseils dans son discours au NYSE. « Les Conseils d’Administration sont chargés de s’assurer que la Société a mis en place des programmes de gestion des risques appropriés et de surveiller la façon dont le management met en œuvre ces programmes, » a-t-il déclaré. C’est clairement la responsabilité du Conseil d’Administration de veiller à ce que la direction ait mis en place des protocoles de gestion des risques efficaces.

Quels conseils pouvons-nous donner aux administrateurs?

Un Conseil d’Administration doit veiller à la gestion des cyber-risques dans le cadre de son programme de gestion des risques à l’échelle de l’entreprise. Il doit également chercher à mieux comprendre les risques informatiques et ceux liés à l’utilisation d’internet, évaluer les pratiques actuelles en matière de cybersécurité et planifier ainsi que préparer les personnels de l’Entreprise, grâce à des tests réguliers, pour une cyber-attaque. En résumé, la responsabilité deux Conseil d’Administration va au delà de la cyber-sécurité. Il doit répondre de la cyber-résilience de la Société devant les parties prenantes.

Les administrateurs devraient se poser trois questions importantes :

  1. Comprenons-nous bien la nature des cyber-menace s’appliquant à notre Société?
  2. Est-ce que les processus et la structure du Conseil d’Administration permettent un dialogue de qualité sur les questions de cyber-résilience?
  3. Que faisons-nous pour nous maintenir au courant des évolutions constantes des cyber-menaces?

Nous vous proposons quelques pratiques clés pour susciter intérêt et l’attention du Conseil d’Administration sur les cyber-risques :

  • Demander désormais régulièrement des informations sur les cyber-risques, et pas seulement à la Direction Générale ou au DSI,
  • Cherchent à mieux comprendre la nature des cyber-risques et leur impact sur l’organisation,
  • Remettre en permanence en question la gestion de la cyber-sécurité et la cyber-résilience de l’organisation.

Par quoi commencer?

Il existe désormais des référentiels de bonnes pratiques et des normes dans les domaines de la sécurité de l’information (ISO 27001, ISO 27002) et de la cyber-résilience (RESILIA). Il en va de même pour la Gouvernance du Système d’Information qui est clairement, comme nous l’avons vu précédemment, à la charge du Conseil d’Administration, avec COBIT® et ISO 38500.

Une première étape, afin de sensibiliser les Administrateurs sur ces responsabilités nouvelles pour eux, consisterait à organiser une séance de sensibilisation sur les responsabilités du CA dans l’Entreprise du 21ème siècle au travers de programmes tels que :

COBIT® 5 pour les Conseil d’Administration et les Exécutifs (2 formats : session de 4 heures ou d’une journée). Cette formation couvre à la fois les responsabilités des Administrateurs et des membres du Comité de Direction.

RESILIA : Sensibilisation (2 formats : session de 4 heures ou d’une journée). Cette formation, plus orientée sur la stratégie de cyber-résilience et sa mise en oeuvre, s’adresse aux Administrateurs mais aussi, et surtout, aux membres du Comité de Direction.

La seconde étape consiste bien évidemment à élaborer une stratégie de cyber-résilience en lançant un programme adéquat et à rédiger des politiques de sécurité, de gestion des risques, des gestion des ressources humaines, etc. adaptées à cette stratégie. AB Consulting, seul organisme accrédité en Afrique sur l’ensemble des domaines concernés par ISACA, AXELOS, APMG, EXIN, PECB, vous propose toute une game de services d’évaluation / audit d’aptitude des processus de l’entreprise mais aussi d’évaluation de la maturité de votre Organisation, ainsi que d’accompagnement à la mise en oeuvre et de l’amélioration de la gouvernance du SI et la réalisation du programme de cyber-résilience, grâce à ses experts du domaine.

Nous vous proposons également nos formations accréditées et certifiantes telles que :

ISO 27001 Practitioner Bootcamp (Foundation et Practitioner sur 5 jours – Certification APMG) destiné aux personnels en charge de l’implémentation d’un Système de Management de la Sécurité de l’Information dans votre Organisation

ISO 27001 Lead Implementer (5 jours – Certification PECB) destiné aux responsables du projet d’implémentation du SMSI

RESILIA Practitioner Bootcamp (Foundation + Practitioner sur 5 jours – Certification AXELOS®) destiné aux personnels en charge d’implémenter la cyber-résilience du système d’information

COBIT Implementation Bootcamp (Foundation + Implementation sur 5 jours – Certification APMG/ISACA) pour les personnes participant à l’amélioration ou l’implémentation de la Gouvernance du SI.

ISO 38500 Corporate IT Governance Manager (3 jours – Certification PECB)

Nous proposons également de nombreuses autres formations sur ce domaine, notamment destinées aux personnels des entités métiers des entreprise ainsi qu’aux auditeurs et contrôleurs.

Pour tout complément d’information ou pour vous inscrire à notre newsletter, merci de bien vouloir remplir le formulaire de contact :

Phishing – Mode d’emploi

AB Consulting vous propose une série d’articles destinés à la sensibilisation sur les risques en matière de sécurité de l’information. Suite à notre précédent article 10 trucs pour reconnaître un mail d’hameçonnage, aujourd’hui, nous allons revisiter la façon de repérer une tentative de phishing en nous concentrant sur une campagne récente ciblant les clients PayPal. Nous allons commencer par souligner les repères visuels qui vous aideront à éviter de devenir une victime, mais nous allons aussi approfondir l’arnaque de façon plus complète afin de vous permettre de comprendre le processus de bout en bout.

phishing - mode d'emploi

PayPal est l’une des marques les plus ciblées par les escrocs dans le cadre de tentatives d’hameçonnage, à l’instar des autres banques et institutions financières dès lors que les cyber-criminels cherchent à dérober de l’argent. Nous allons donc, étudier une séquence complète de tentative d’extorsion d’informations personnelles utilisant Paypal.


Attention, il s’agit d’un cas réel. Les adresses des sites web ainsi que les adresses mail des pirates sont susceptibles d’être toujours actives. N’essayez surtout pas de vous y connecter. Vous risqueriez de devenir vous-même une victime.


Le phishing, c’est quoi?

Le phishing (ou hameçonnage) reste l’une des méthodes les plus faciles et les plus rapides d’extorsion d’informations personnelles. Avec ce type d’attaque, les criminels jouent sur le nombre. Plus le nombre de messages envoyés est important et plus il est probable que quelqu’un tombe dans le piège.

Même si le nombre de victimes est finalement assez faible, le coût d’une campagne d’hameçonnage n’est rien à côté des bénéfices réalisés. Une seule victime suffit souvent à couvrir tous les coûts.

Malheureusement, des dizaines de personnes sont susceptibles d’être victimes de ce type d’arnaque dans une campagne donnée, de sorte que le phishing est devenu un business très rémunérateur pour la plupart des criminels. Chaque campagne est différente, ciblant souvent des renseignements personnels ou des informations financières. Dans ce cas qui nous sert d’exemple, elle cible tout à la fois.

Le phishing, ça commence souvent par un e-mail

Le plus souvent, tout commence par la réception dans votre boîte mail d’un message similaire à celui-ci :

phishing paypal 1/11

Il s’agit d’une copie fidèle d’un véritable message Paypal. Les couleurs, le logo, la mise en forme, tout est identique. L’objectif est de vous faire peur pour vous inciter à cliquer sur le bouton!

Attention à l’adresse mail de l’expéditeur

Vous pouvez remarquer que l’adresse email de l’expéditeur n’est une adresse Paypal. C’est un indice très important qui doit vous alerter :

Phishing Paypal 2/11

Le « via » marquant dans le champ « De: » est significatif de la façon que Google utilise pour vous dire que l’e-mail que vous lisez a été envoyé à partir d’un compte différent de celui qui est indiqué. Si l’email provenait réellement de PayPal, Google ne vous donnerait pas cet indice.

Gmail affiche cette information parce que bon nombre des services qui envoient des e-mails au nom d’autrui ne vérifient pas que le nom que l’expéditeur donné correspond bien à cette adresse e-mail. Google vous met en garde dans son aide, que nous vous invitons à consulter.

Dans ce cas, le criminel utilise un site Web et le serveur de l’hébergeur du site pour vous envoyer le message. Si ce message ne passe pas par Gmail, le simple fait que l’expéditeur n’a pas utilisé une adresse PayPal est le premier indice qui doit vous mettre en garde.

Bien sûr, le sujet de l’e-mail est tout aussi faux. En tentant de souligner un point sensible et d’instiller un faux sentiment d’urgence, et du fait qu’il ne mentionne pas l’identifiant du « compte » en question le pirate augmente les chances que la curiosité vous gagne et que vous ouvriez le message.

Le corps du message – C’est là que tout se passe

Pour un œil non averti, le message vous informe que votre compte PayPal a été limité, et et que vous avez un délai court pour résoudre le problème à l’origine de cette limitation. Encore une fois, l’objectif est d’instiller chez vous un faux sentiment d’urgence. si vous êtes un utilisateur régulier de PayPal, le fait que vous risquiez de perdre l’accès à votre compte est un problème qui peut être potentiellement grave pour vous.

Phishing Paypal 3/11

Le message lui-même se présente comme une mesure de sécurité, et vous informe que votre compte PayPal pourrait être en danger de piratage, ce qui pourrait résulter en un vol de vos avoirs ou son utilisation frauduleuse. Ironique vraiment, puisque le vol de vos informations est l’objectif qui se cache derrière le mail. Une fois encore, les criminels utilisent la peur comme facteur de motivation principal. La solution est simple : allez confirmer vos informations sur votre compte en suivant le lien fourni.

Pour un œil exercé, le message est un faux. Tout d’abord, PayPal utilise toujours le nom de compte enregistré lors de l’adressage de messages, de sorte qu’ils ne vous adressent jamais un e-mail de sécurité en utilisant un nom générique du type « clientèle Paypal ».

Deuxièmement, le message lui-même est une simple image. Le pirate a créé un lien vers son domaine, et utilisé une image à la place d’un lien texte que presque tout le monde utilise sur le Web.

L’utilisation d’une image permet de passer au travers de beaucoup de filtres anti-spam basiques. Le fait que le message a été relayé par un compte hacké qui n’a jamais envoyé de spam précédemment va également aider à éviter la détection.

Mais qu’advient-il si vous cliquez sur le lien?

Il est encore temps de faire marche arrière

Si pour une raison quelconque vous avez cliqué sur le lien, l’URL affichée devrait être une alerte suffisante pour mettre en échec cette tentative de phishing :

Phishing Paypal 4/11

L’adresse du site n’est pas sécurisée, l’accès n’est pas réalisé via HTTPS et le domaine N’EST clairement PAS un domaine contrôlé par PayPal. Vous êtes ici convié à saisir les identifiant /mot de passe de votre compte Paypal sur un site contrôlé par le pirate.


ATTENTION: l’URL indiquée dans cette image était active il y a seulement quelques semaines. N’essayez pas de la visiter. L’hébergeur a pris la la décision de déconnecter ce domaine depuis, mais rien ne garantit que cette URL ne pointe pas vers un nouvel emplacement dans le futur.


Vous avez entré votre identifiant et votre mot de passe?

Entrer votre nom d’utilisateur et mot de passe dans le champ de la diapositive précédente déclenche un certain nombre de contrôles par le script de Phishing créé sur ce domaine. A ce stade, votre nom d’utilisateur et mot de passe PayPal ont été volés. Ce n’est que le début du processus…

Phishing Paypal 5/11

Cet écran vous est familier? C’est normal. La couleur des images, le format des pages du site, et même la barre d’adresse remplie de lettres et de chiffres tout est conçu pour vous tromper et vous faire penser que vous êtes bien sur le site de PayPal. Rappelez-vous que ce n’est pas le cas. Le HTTPS: manquant est une preuve supplémentaire que Paypal n’a rien voir avec cette page.

Maintenant, passons à la partie qui intéresse nos pirates

Une fois l’écran de chargement disparaît, la deuxième partie de l’arnaque peut commencer. A ce stade, votre nom d’utilisateur et mot de passe PayPal ont été récupérés. Cependant il ne faut surtout pas que vous vous arrêtiez là.

Phishing Paypal 6/11

La meilleure façon de continuer à vous sentir menacé c’est de simuler l’incident technique avant de passer à l’étape suivante… Vous êtes donc invité à confirmer vos données de connexion.

Et si vous nous en disiez un peu plus sur vous?

Si vous acceptez et que vous confirmez, vous verrez apparaître cette nouvelle page. Le criminel va devenir capable de construire un profil basé sur vos informations personnelles. Les données recueillies pourront être vendues. Elles pourront aussi être utilisées pour des escroqueries ultérieures y compris pour voler votre identité.

Phishing Paypal 7/11

Le script a besoin d’informations et vous demande d’entrer vos informations personnelles détaillées avant d’en venir à son objectif principal. Le processus n’est pas encore arrivé à son terme.

Les détails de votre carte de paiement

Maintenant, le pirate a obtenu vos informations personnelles. Cette page va tenter d’obtenir des données financières, à savoir les détails de votre carte de crédit.

Phishing Paypal 8/11

Cette page, ainsi que tous les autres, a été conçue pour ressembler fidèlement à une page PayPal. Pour ceux qui savent qu’ils doivent rechercher un cadenas pour s’assurer que la page des données bancaires est bien sécurisée, mais qui ont oublié où ce cadenas doit apparaître sur la page, le message au bas de l’écran peut paraître rassurant. Bien évidemment, RIEN sur cette page N’EST SECURISE.

Mais pourquoi s’arrêter en si bon chemin?

La dernière part d’informations dont le criminel a besoin porte toujours sur vos données bancaires. Ce formulaire a deux fonctions :

  • d’abord il recueille vos données de connexion et votre numéro de compte à votre banque,
  • la deuxième est qu’il permet à l’escroc pour voir si recyclez vos mots de passe.

Phishing Paypal 9/11

S’il s’avère que le mot de passe PayPal est la même que celui permettant l’accès à votre compte bancaire, alors il y a de fortes présomptions que vous utilisiez le même mot de passe partout. Au pire, le criminel peut utiliser cette information pour réaliser d’autres escroqueries. Il pourra alors exploiter les informations recueillies pour accéder à d’autres comptes vous appartenant.

On est presque au bout du processus de phishing

Nous arrivons à la fin du processus. Tout a été conçu pour que vous pensiez avoir affaire à PayPal en essayant d’endormir votre méfiance. Hélas, à ce stade l’intégralité de vos informations bancaires, vos renseignements personnels, les détails de votre carte de crédit, et les données de connexion à votre compte PayPal sont entre les mains des pirates. Il n’y a pas de retour en arrière possible.

Phishing Paypal 10/11

Les choses doivent continuer à avancer pour ne pas éveiller votre méfiance. Cette page restera affichée seulement quelques secondes (une durée insuffisante pour que ayez le temps de cliquer sur l’un des trois boutons) avant que vous ne soyez redirigé vers le dernier écran.

Comme si rien ne s’était passé !

La dernière étape de l’escroquerie vous ramène sur le véritable site de PayPal. Si vous regardez bien la barre d’adresse, vous verrez que l’URL est en HTTPS:. La zone où le cadenas est présent comporte maintenant le nom de la société et apparaît en vert.

Phishing Paypal 11/11

Les précédentes images faisaient toutes partie de l’arnaque. Donc, le fait que le site web légitime PayPal apparaisse à la fin sur l’écran ne signifie absolument rien. Les écrans de saisie ont tous été récupérés et quelque part dans le monde, il y a un criminel qui abuse de vos informations de multiples façons créatives, sans aucun doute.

Quand on évoque l’hameçonnage,il est difficile de s’en protéger en permanence. Cependant, ce n’est pas une tâche impossible. En cas de doute, ne cliquez pas sur les liens ou les pièces jointes dans un courrier électronique. Et surtout n’allez pas visiter le site en question (par exemple PayPal) directement.

Rappelez-vous que le mail est le dernier des moyens de communication que les banques et les organismes financiers utilisent pour communiquer avec vous. En ligne, faites attention à la barre d’adresse. Vérifiez que vous êtes bien en  HTTPS lorsque vous êtes sur le point d’entrer des informations personnelles ou financières dans un formulaire.

Comment s’assurer contre ce type de danger?

Il n’y a pas de solutions technologiques fiables pour vous protéger contre ce type de menaces. C’est de la responsabilité de chacun et de chacune d’assurer la sécurité de l’information. La sécurité de l’information vous concerne tous, tant au niveau personnel qu’au niveau professionnel. Nous vous invitons donc à renforcer votre sensibilisation et celle des employés de votre Organisation. A cet effet, nous proposons des sessions de formations sur ce sujet avec les mesure de préventions associées. Ces mesures sont issues des normes et référentiels de bonnes pratiques tels que ISO 27001, ISO 27002, NIST CSF ou RESILIA.

AB Consulting, seul Organisme de Formation Accrédité en Afrique par ISACA, APMG, PECB, EXIN et AXELOS  sur les référentiels de Gouvernance du SI, de sécurité et de cyber-résilience vous propose régulièrement des sessions de sensibilisation tout spécialement adaptées à des cibles spécifiques (dirigeants, personnels des métiers, informaticiens) et animées par un expert du domaine. Ces formations peuvent être délivrées, en Français ou en Anglais. Nous les proposons dans le cadre de nos sessions publiques ou sur mesure en intra-entreprise   :

Sensibilisation à RESILIA (2 formats : 4 heures ou 1 journée)

COBIT 5 pour le Board et les Exécutifs (2 formats : 4 heures ou 1 journée)

Sensibilisation à ISO 27001 / ISO 27002 (1 journée)

Toutes nos formations peuvent également être délivrées pour les informaticiens. Nous formons également les équipes de sécurité et les métiers sur l’ensemble de ces domaines. Nos accréditations nous permettent de délivrer des certifications  reconnues au niveau international.

Pour tout complément d’information ou pour vous abonner à notre newsletter, merci de bien vouloir compléter le formulaire de contact :

Tous les écrans illustrant cet article sont extraits de la revue CSO.

 

 

10 clés pour une sensibilisation réussie sur la sécurité

Les cyber-menaces pesant sur votre entreprise sont généralement imputées à des personnes étrangères à l’Organisation ou à des programmeurs véreux insérant, dans vos applications, du code malveillant conçu pour exploiter les informations sensibles pour votre Entreprise, voler les données confidentielles de vos clients et / ou vous dérober de l’argent. Cependant, la menace de sécurité se situe le plus souvent à l’intérieur de l’Entreprise, lorsque c’est l’ignorance et / ou la négligence des employés qui ouvre la voie aux cybercriminels. La sensibilisation du personnel sur ces menaces est donc essentielle.

La sensibilisation du personnel est une priorité

Cet article, publié par AB Consulting, dans le cadre de notre participation au mois de la cyber-sécurité, est destiné à vous donner quelques pistes pour réussir une meilleure sensibilisation de vos employés à la cybersécurité.

La sensibilisation du personnel est une priorité

Il est important de former le personnel avant d’être victime d’une violation des données. Soyez proactifs. N’attendez pas pour réagir. Ecrivez des politiques, en partant du principe que vous serez attaqués, puis aidez les employés à comprendre ce qu’ils doivent faire (et ne pas faire) afin de préserver la sécurité de votre entreprise et d’améliorer sa cyber-résilience.

1. Parlez régulièrement de cyber-sécurité au personnel

La sécurité et la résilience ne sont pas des tâches réservées aux informaticiens et aux personnels des équipes de gestion de la sécurité. La cyber-sécurité est une responsabilité collective et tous les employés en sont personnellement responsables. Il faut donc les informer sur ces responsabilité de façon régulière :

  • Expliquez l’impact potentiel d’un cyber-incident sur les opérations de l’Organisation et insistez sur les obligations des employés, en particulier en ce qui concerne l’utilisation de téléphones mobiles,
  • Ne vous contentez pas d’une revue annuelle des politiques et d’une signature confirmant que chaque personne a lu et compris les politiques informatiques de l’Entreprise.

2. Les politiques s’appliquent à tous y compris le top management et les informaticiens

Les politiques sont écrites par les exécutifs de l’Entreprise (les membres du Comité de Direction). Les politiques de sécurité en font bien entendu partie. Les politiques doivent être appliquées par tout le monde au sein de l’organisation, y compris les membres du Conseil d’Administration, du Comité de Direction et les informaticiens :

  • Les cadres supérieurs sont souvent une cible parce que :
    • Ils ont accès à plus d’informations et à des informations plus sensibles que les autres,
    • Ils sont souvent plus vulnérables lorsqu’ils sont en déplacement hors des locaux de l’Entreprise. Les pirates le savent et ciblent régulièrement les cadres en déplacement,
    • L’IT fait souvent des exceptions aux règles pour eux car ils sont réticents à appliquer des règles qui s’appliquent au reste de l’Entreprise, se sentant, à tort, « au dessus des règles »,
    • Les dommages / gain financier peuvent être beaucoup plus grands,
  • Le personnel du département informatique est également vulnérable du fait de leurs droits d’accès privilégiés sur tout le réseau de l’Entreprise.

3. La résistance de la chaîne de sécurité est limitée à celle de son maillon faible

Expliquez au personnel que vous travaillez activement sur la sécurisation de l’infrastructure de l’organisation mais que la sécurité ne peut pas dépasser celle fournie par son maillon le plus faible, à savoir les personnes :

  • Encouragez la coopération, et pas seulement le respect des règles,
  • Créez des politiques suffisamment complètes pour couvrir tous les angles d’attaque possibles,
  • Reconnaissez et faites comprendre au personnel que tous les êtres humains ont des faiblesses et font des erreurs.

4. Organisez des sessions régulières explorant les angles des cyber-attaques

Organisez régulièrement des sessions de travail avec l’ensemble du personnel pour explorer ensemble tous les aspects des cyber-attaques potentielles , ce dès l’embauche de nouveaux employés et jusqu’à leur départ de l’Entreprise :

  • Au moment de l’embauche de nouveaux employés et avant qu’ils ne commencent à travailler au sein de l’Organisation, une sensibilisation à la cybersécurité doit faire partie de votre processus d’accueil, puis, durant toute leur vie au sein de l’Organisation, faire l’objet de sessions régulières de « rafraîchissement »,
  • Envisagez différents formats de sessions (par exemple : déjeuner d’apprentissage, happy hours, etc.),
  • Assurez-vous de l’utilité des ces sessions
    • La plupart des employés ont des PC à la maison et des parents qui ont aussi accès à internet,
    • Faites régulièrement référence à des sujets de l’actualité,
    • Utilisez les réseaux sociaux.

5. Attirez l’attention du personnel sur les risques liés à l’ingénierie sociale

La sensibilisation ne suffit pas. Il faut également attirer régulièrement l’attention de vos employés sur le fait qu’ils sont des cibles pour les activités d’ingénierie sociale et sur les façons de s’en protéger :

  • Au travail, méfiez-vous toujours des réseaux sociaux, blogs et liens suspects provenant de sources inconnues lorsque vous utilisez le système informatique de l’entreprise,
  • Beaucoup de cyber-incidents commencent par un simple appel téléphonique de quelqu’un se présentant comme un collègue posant des questions en apparence anodines en vue de collecter des informations sur la société et ses opérations,
  • Les cyber-criminels exploitant les faiblesses humaines n’en ont presque jamais l’apparence…

6. Formez les employés à reconnaître une cyber-attaque

Nous pouvons dire aujourd’hui, avec une quasi-certitude, que vous avez été, que vous êtes actuellement, ou que vous serez la victime d’une cyber-attaque. Il est quasiment impossible d’y échapper. La problématique reste bien évidemment de s’en protéger mais aussi de savoir détecter une cyber-attaque au moment où elle se produit afin de réagir rapidement pour la contenir. Cela nécessite clairement une sensibilisation du personnel sur le sujet :

  • Définissez et implémentez des politiques en partant du principe que vous serez piratés. N’attendez pas qu’une attaque se produise pour réagir,
  • Ayez un plan de réponse documenté en place pour les incidents de sécurité et assurez-vous qu’il est revu et mis à jour fréquemment,
  • Communiquez des instructions détaillées, pas à pas, sur ce qu’il faut faire si des employés croient reconnaître un cyber-incident,
  • Formez toujours le personnel avant qu’un cyber-incident ne se produise.

Les formations doivent inclure les règles spécifiques concernant le courrier électronique, la navigation sur internet, l’utilisation des appareils mobiles et des réseaux sociaux. N’oubliez pas de vous focaliser sur les règles de base en cas de suspicion d’une cyber-attaque :

  • Débranchez physiquement votre machine du réseau,
  • Informez immédiatement votre administrateur de tous les courriels suspects, de toute activité inhabituelle ou si vous avez perdu votre appareil mobile,
  • Si vous n’êtes pas capable de retrouver le numéro d’urgence pour prévenir l’informatique en moins de 20 secondes, commencez dès maintenant à le mémoriser.

7. Ne sanctionnez ni ne ridiculisez jamais un employé qui lève le drapeau rouge

Le personnel doit savoir que la cyber-sécurité est l’affaire de tous. Tout le monde peut faire une erreur. Ne ridiculisez jamais quelqu’un qui a émis de bonne fois une alerte injustifiée et bien sûr ne le sanctionnez pas.

  • Même si c’est une fausse alerte, il est important de ne pas décourager les employés de parler, au cas où une véritable cyber-attaque se produit réellement,
  • Si les fausses alertes se produisent trop souvent, améliorez votre méthode de formation.

8. Si un cyber-incident se produit, prévenez le personnel le plus rapidement possible

Lorsqu’un incident de sécurité se produit, la première urgence consiste à le reconnaître comme tel et à essayer de le contenir (action répressive) avant qu’il ne puisse se propager au travers du réseau de l’Entreprise. La seconde urgence, dès lors qu’il a bien été reconnu que vous êtes en présence d’un incident de sécurité, est d’en informer l’ensemble du personnel qui saura quelles sont les actions attendues de sa part :

  • Un manque de transparence ou la mauvaise gestion d’un cyber-incident peut augmenter de façon significative l’impact de l’événement,
  • Imposez des règles strictes sur la façon de communiquer au public et à la presse au sujet de tout incident,
  • Ayez un plan de communication interne et une stratégie de continuité en place avant que quelque chose ne se passe,
  • Envisagez la souscription d’une assurance concernant les cyber-incidents.

9. Testez régulièrement votre personnel sur ses connaissances en cyber-sécurité

  • Assurez vous de la pertinence de votre programme de sensibilisation pour leurs vies d’individus connectés
  • Faites plaisir aux membres du personnel en rendant ces tests à la fois ludiques et enrichissants, et n’hésitez pas à récompenser à l’aide d’incitations telles que des lots (goodies, …) pour les réponses les plus rapides.

10. Incitez, écoutez et répondez aux remarques

  • Forcez les employés à changer les mots de passe chaque semaine et à ne pas les écrire et les afficher dans leurs espaces de travail
  • S’il est trop difficile ou compliqué d’accéder à quelque chose qu’ils doivent utiliser dans le cadre de leur travail, ils trouveront des solutions de contournement moins sûres comme l’utilisation d’e-mails  personnelle, de clés USB et de collègues pour contourner les restrictions
  • Identifiez les causes des comportements dangereux.

Existe-t-il des programmes de sensibilisation standards?

Il existe, en effet des programmes de sensibilisation standards s’appuyant sur les principaux référentiels de bonnes pratiques et sur les normes en matière de sécurité de l’information (ISO 27001, ISO 27002) et de cyber-résilience (RESILIA) et de gouvernance du SI pour les dirigeants (COBIT).

AB Consulting, seul Organisme de Formation Accrédité en Afrique par ISACA, APMG, EXIN et AXELOS  sur les référentiels de Gouvernance du SI, de sécurité et de cyber-résilience vous propose des sessions de sensibilisation tout spécialement adaptées à des cibles spécifiques (dirigeants, personnels des métiers, informaticiens) et animées par un expert du domaine :

Sensibilisation à RESILIA (2 formats : 4 heures ou 1 journée)

COBIT 5 pour le Board et les Exécutifs (2 formats : 4 heures ou 1 journée)

Sensibilisation à ISO 27001 / ISO 27002 pour les dirigeants (1 journée)

Pour tout complément d’information ou pour vous inscrire à notre newsletter, merci de bien vouloir compléter le formulaire de contact :

Voyageurs, une cible de choix pour les hackers

Beaucoup de cadres d’entreprises, en particulier des dirigeants, sont des voyageurs réguliers à travers le monde dans le cadre de leur emploi. Les pirates et les cybercriminels le savent parfaitement, ce qui constitue un facteur de risque que les entreprises ne devraient pas ignorer, d’autant que ces voyageurs disposent souvent d’accès privilégiés aux informations sensibles de leur Organisation.

Voyageurs d'affaires

Les adversaires sous la forme d’entreprises concurrentes, de gouvernements ou simplement de criminels ciblent tout spécialement les cadres supérieurs en déplacement d’affaires pour deux raisons essentielles : la personne et ce qu’elle représente, et l’information à laquelle elle a accès au sein de son Entreprise.

Alors même que les risques physiques évoluent peu, les risques liés à l’information ont progressé de façon importante durant ces dernières années. Il y a quelques années, le risque relatif à  l’information se limitait aux documents papier que le cadre transportait avec lui. Maintenant, non seulement le voyageur d’affaire transporte une beaucoup plus grande quantité de données sensibles sur une collection d’appareils numériques (smartphone, tablette, ordinateur portable), mais de plus, ces données peuvent être copiées rapidement, silencieusement et sans en déssaisir la victime qui, souvent, ne s’en rendra même pas compte.

Pire encore, les terminaux numériques offrent un accès immédiat et éventuellement à plus long terme sur les actifs de l’organisation au travers du réseau d’Entreprise. Les pirates ont la capacité d’extraire les données non cryptées ou faiblement cryptées à partir de tout appareil, y compris les communications à destination et en provenance de ces dispositifs, qu’ils peuvent même modifier physiquement  pour contrecarrer les meilleures mesures de sécurité et de cryptage.

Quelques règles de sécurité à l’usage des voyageurs

Dans le cadre du mois de la cyber-sécurité, AB Consulting vous présente un résumé des premières mesures de sécurité, les plus simples, que devraient prendre tous les voyageurs business afin de préserver la confidentialité et l’intégrité des données de l’Entreprise.

Faire preuve d’une extrême prudence avec les appareils mobiles

Cela peut sembler une évidence, mais l’un des plus grands risques de sécurité impliquant des cadres en déplacement est la perte ou le vol de leurs appareils mobiles ainsi que des données qu’ils contiennent.

Quelques facteurs font de cette menace un défi de taille. Le premier est que les gens ne savent plus se passer de leurs appareils, et ont tendance à vouloir les prendre avec eux où qu’ils aillent. Le second, c’est que, souvent, ils ne transportent pas seulement un appareil, mais plusieurs: smartphones, tablettes, ordinateurs portables, objets connectés (montre, …), etc.

Certains experts, comme Michael McCann, ancien chef de la sécurité des Nations Unies et maintenant président du fournisseur de services de sécurité McCann Services, recommandent que les dirigeants laissent systématiquement leurs appareils à la maison. Ceci est particulièrement vrai s’ils voyagent dans des pays à risques tels que la Chine par exemple. « Deuxième Conseil, assurez-vous que votre appareil est attaché à vous; ne le laissez jamais nulle part « , dit-il.

Tous les appareils mobiles doivent être équipés de technologies telles que la protection par mot de passe, le cryptage, la sauvegarde des données et l’effacement à distance des données stockées, dans le cas où le terminal viendrait à disparaître.

Verrouillez votre ordinateurLa perte d’ordinateurs portables et d’appareils mobiles, tels que les smartphones et les tablettes, continue d’être une menace importante, d’autant que beaucoup d’organisations n’ont pas encore mis en oeuvre le cryptage des données sur les terminaux portables. Compte tenu de la simplicité de l’activation du cryptage de l’appareil et des systèmes d’exploitation actuels, ceci devrait être une exigence minimale de protection des données pour tout cadre en déplacement professionnel.

Lorsque vous quittez votre chambre d’hôtel, une précaution élémentaire consiste à enfermer votre appareil mobile dans le coffre-fort de la chambre.

A l’extérieur du bureau, gardez toujours un œil sur votre ordinateur portable et prenez toujours soin de le verrouiller quand vous n’êtes pas en train de l’utiliser.. A l’aéroport ne le faites pas passer au scanner à rayons X si vous n’êtes pas prêt à passer vous-même le contrôle. Ne laissez pas votre ordinateur ou votre tablette sur votre table dans un café ou un restaurant si vous vous levez pour commander un café. Cela ne prend que quelques secondes pour dérober un appareil et disparaître.

Assurez-vous que les connexions à distance sur le réseau d’Entreprise sont sécurisées

Les cadres en déplacement se connectent de façon régulière avec le siège afin de vérifier leurs e-mails ou pour accéder à l’information de l’Entreprise, ce qui constitue un maillon faible potentiel. Une bonne idée consiste à utiliser un canal de communication sécurisé ou un réseau privé virtuel d’entreprise (VPN) sécurisé pour toutes les connexions réseau à distance.

Une autre bonne pratique consiste à utiliser l’authentification multi-facteur avec l’utilisation de jetons à usage unique pour accéder aux applications et services lors de déplacements professionnels. Par exemple, l’accès aux  applications critiques de l’Entreprise pourraient être sécurisé grâce à une  authentification à deux facteurs tels que la combinaison nom d’utilisateur / mot de passe et un jeton à usage unique.

En utilisant les connexions distantes cryptées et une authentification renforcée sur des réseaux identifiés, les dirigeants peuvent accéder avec un risque minimum aux données dont ils ont besoin pendant leur déplacement.

Soyez conscient de votre environnement

Les cadres en déplacement doivent en permanence avoir une bonne idée du moment où ils sont en danger potentiel du point de vue de la sécurité de l’information.

Lors de vos déplacements professionnels, il est important pour vous d’avoir conscience de la situation : à qui parlez-vous et avec qui partagez-vous de l’information? Qui sait où vous allez? Partager ces information avec les mauvaises personnes peut faire de vous une cible facile.

Des mesures de sécurité efficaces nécessitent, non seulement une prise de conscience de l’environnement, mais de faire preuve de prudence, de jugement et de bon sens. C’est particulièrement vrai quand un dirigeant d’entreprise doit, dans le même temps, s’acclimater à des cultures, des coutumes et des lois différentes.

Dans certains cas, les cadres voyageant à l’étranger pour le compte de leur entreprise doivent être conscients qu’ils peuvent être la cible de cyber-criminels, d’agences de renseignement, de terroristes ou même de concurrents de leur Organisation s’ils sont en possession ou simplement bien informés sur des informations confidentielles.

Cela signifie qu’il faut absolument éviter tout bavardage indiscret qui pourrait mettre le cadre ou son entreprise en difficulté par des personnes malveillantes. Grâce à des technologies de pointe, quelqu’un pourrait être à l’écoute des conversations sans que les parties ne s’en aperçoivent.

Voyageurs, attention à votre environnementNe laissez pas quelqu’un espionner par dessus votre épaule. Je ne compte pas le nombre de fois où j’ai pu lire tranquillement des informations confidentielles sur des présentations en préparation, des stratégies commerciales en cours d’élaboration ou des projets d’achat ou de vente d’actions, simplement en regardant à gauche, à droite ou sur la rangée de sièges devant moi, dans un avion, un train ou assis à la terrasse d’un café.

L’affichage d’informations confidentielles sur votre écran dans une zone publique sans utiliser un filtre de protection d’écran peut entraîner des fuites de données. Quelqu’un peut même vous observer et déterminer votre mot de passe ou lire des informations confidentielles permettant l’accès au réseau d’Entreprise.

Informez toujours le département sécurité ou l’IT de vos plans de voyage

Faites-leur toujours savoir que vous êtes en visite au Nigéria, à New York ou n’importe où vous allez.

La plupart des Organisations ont mis en place des politiques de sécurité qui déterminent le degré d’accès et l’approche que l’organisation juge appropriée, en relation avec son appétit du risque, pour chaque personne concernée. L’accès au données sensibles sera un facteur déterminant dans l’identification des mesures que vos responsables de la sécurité exigeront que vous preniez.

Si possible fournissez vos plans de voyage. Si vous avez un système de monitoring de la sécurité sur votre réseau, cela peut être utile pour les personnes de votre centre d’opérations de savoir où vous voyagez. Une tentative d’accès au réseau depuis Sydney, que vous avez quitté il y a juste deux jours, ne déclenchera la sonnette d’alarme que si les personnes de l’équipe sécurité sont informées que vous avez quitté la ville il y a deux jours, et que vous êtes maintenant à Singapour.

Appuyez-vous sur le renseignement en matière de menaces

Les cadres qui prévoient de voyager devraient utiliser les bulletins d’information sur les menaces, similaires aux bulletins de mise en garde disponibles sur les menaces physiques publiés par le ministère des affaires étrangères. Un tel réseau de renseignement pourrait être créé en utilisant des capacités d’analyse avancée pour intégrer les cyber-menaces et les informations géospatiales incluant les hôtels, les centres d’affaires, les réseaux et les endroits où des entités malveillantes et hostiles sont connues pour opérer.

Mot de passe fortLa connaissance de la nature et de la localisation physique de ces menaces permettra aux cadres de les éviter, réduisant ainsi le risque de piratage wifi et de points d’accès pour les téléphones mobiles, la surveillance et la capture du trafic, l’accès physique non autorisé aux appareils informatiques et l’installation de code malveillant et de systèmes de surveillance.

Les voyageurs d’affaires ne devraient seulement se connecter au Wi-Fi ou à des points d’accès à large bande que lorsque des authentifications et les détails de ces points d’accès sont pré-chargées sur leurs terminaux mobiles. Au retour du voyageur à son bureau, les appareils doivent être analysés afin de déterminer si, quand et comment ils ont été attaqués. Cette information peut ensuite être traitée par un moteur d’analyse et ajoutée aux futurs bulletins de renseignement sur les menaces.

N’oubliez pas la formation

Un programme de sensibilisation sur les risques de sécurité destiné aux cadres, et particulièrement aux dirigeants d’entreprise se déplaçant pour des raisons professionnelles est absolument indispensable. La sensibilisation à la sécurité doit être un processus de formation continue et non un événement ponctuel.

Une combinaison de formation en ligne de sensibilisation à la sécurité, de formation en présentiel ciblée  et une communication électronique fréquente permettent d’accroître la sensibilisation des personnels et notamment des cadres et dirigeants de l’Organisation.

AB Consulting, seul Organisme de Formation Accrédité en Afrique par ISACA, APMG, EXIN et AXELOS  sur les référentiels de Gouvernance du SI, de sécurité et de cyber-résilience vous propose des sessions de sensibilisation spécialement conçues pour les membres du conseil d’administration et du comité de direction, animées par un expert du domaine :

Sensibilisation à RESILIA pour les dirigeants (2 formats : 4 heures ou 1 journée)

COBIT 5 pour le Board et les Exécutifs (2 formats : 4 heures ou 1 journée)

Sensibilisation à ISO 27001 / ISO 27002 pour les dirigeants (1 journée)

Pour plus d’information ou pour vous abonner à notre newsletter, merci de compléter le formulaire de contact :

Catégories

Archives

Calendrier

octobre 2018
L M M J V S D
« Sep    
1234567
891011121314
15161718192021
22232425262728
293031  
%d blogueurs aiment cette page :