Home » Posts tagged 'sécurité'

Tag Archives: sécurité

Abonnez-vous à ce blog par e-mail.

Saisissez votre adresse e-mail pour vous abonner à ce blog et recevoir une notification de chaque nouvel article par email.

Facebook piraté : un problème de cyber-hygiène

Facebook vient, encore une fois, de se faire pirater. Entre 50 millions et 90 millions de comptes pourraient avoir été accédés. Rien de vraiment surprenant à cela. Inutile de jeter la pierre aux géants du web. Malgré toutes les mesures de cybersécurité qui sont prises, les hackers mènent toujours le jeu. Alors que pouvons-nous faire, chacun à notre niveau? Juste adopter quelques règles de cyber-hygiène de base.

Cybersécurité - Facebook piraté : un problème de cyber-hygiène de base
Crédit © JOEL SAGET / AFP/GETTY IMAGES

Cet incident est loin d’être le premier. Et encore, il est très probable que nous ne voyons que la face émergée de l’iceberg. Il faut donc de façon urgente revoir notre comportement sur internet. Il s’agit là d’une question de cyber-hygiène dont chacun d’entre nous doit s’emparer. Nous ne devons pas attendre des fournisseurs de services qu’ils nous protègent. C’est le rôle des états qui édictent régulièrement des lois et des réglementations à cet effet. Mais les premiers responsables, ce sont les utilisateurs. En ce début du mois de la cybersécurité, il se trouve justement que le thème central de la première semaine est «Appliquer une cyber-hygiène de base».

Cyber-hygiène: de quoi s’agit-il?

C’est vrai que le mot en lui-même n’est pas très sexy! Mais il représente exactement ce qu’il décrit.

La cyber-hygiène est souvent comparée à l’hygiène personnelle. Tout comme une personne qui applique certaines pratiques d’hygiène personnelle pour maintenir sa santé et son bien-être, les pratiques de cyber-hygiène permettent de garder les données en toute sécurité et bien protégées. Cela aide à maintenir des terminaux (téléphones, tablettes, micro-ordinateurs) fonctionnant correctement en les protégeant contre les attaques extérieures, telles que les logiciels malveillants, qui peuvent entraver leurs fonctionnalités.

La Cyber-hygiène fait donc référence aux pratiques et aux précautions prises par les utilisateurs dans le but de garder leurs données sensibles organisées, en sûreté et à l’abri des attaques venant de l’intérieur et de l’extérieur.

Selon l’ANSSI, la cyber-hygiène est un moyen de garantir une protection et une maintenance adéquates des terminaux et systèmes informatiques, et de mettre en œuvre les meilleures pratiques en matière de cybersécurité.

Règles élémentaires de cybersécurité en entreprise

Une bonne cyber-hygiène n’est pas la panacée universelle et ne sera pas suffisante pour vous protéger en toutes circonstances. Cependant, elle permettra de diminuer les risques liés à la connexion internet. Dans votre Organisation, ll est important que toute personne en contact avec votre réseau, du DG au simple stagiaire, suive ces quelques conseils élémentaires.

10 bonnes pratiques de base

  1. Au niveau de l’Entreprise, tenir un inventaire, à jour, du matériel et des logiciels s’exécutant sur le réseau de l’entreprise.
  2. Développer un processus d’installation des logiciels sur leur poste par les utilisateurs. Il peut, par exemple, limiter l’installation des logiciels approuvés. Il peut aussi interdire et bloquer toute installation non explicitement autorisée par leur management et/ou le TI..
  3. Sensibiliser les utilisateurs aux bonnes pratiques de cybersécurité (gestion des mots de passe, identification des attaques d’hameçonnage potentielles, terminaux autorisés à se connecter au réseau, etc.). Tous les utilisateurs sont concernés. Cela ne s’adresse pas exclusivement aux personnels du département informatique comme on le croit souvent. Cela ne se limite pas non plus aux salariés. N’oubliez pas d’inclure les consultants ayant accès au réseau de votre Organisation.
  4. Identifier les logiciels vulnérables inutilisés et les désactiver en urgence. Il constituent des vulnérabilités importantes pour votre réseau et sont autant de failles potentielles.
  5. Effectuer des sauvegardes régulières des données et en conserver plusieurs copies. Vous pouvez envisager d’utiliser une solution sécurisée dans le Cloud et sur site. En cas de sauvegardes physique, les conserver dans un endroit sécurisé.
  6. Adopter des configurations / normes sécurisées reconnues par le secteur. On peut, par exemple s’appuyer sur celle fournie par l’ANSSI. Cette méthode peut aider les entreprises à définir des paramètres tels que la longueur des mots de passe, le chiffrement, l’accès aux ports et la double authentification.
  7. Appliquer régulièrement et sans délai les correctifs à toutes les applications. Les systèmes non à jour des correctifs représentent l’un des principaux facteurs de risque d’attaque. Les pirates utilisent de plus en plus ces correctifs pour identifier les vulnérabilités et les utilisent à loisir.
  8. Créer des mots de passe complexes. Veiller à ce que la complexité n’entraîne pas de mauvaises pratiques comme par exemple l’écriture du mot de passe sur un post-it collé sous le clavier.
  9. Limiter le nombre d’utilisateurs dotés de privilèges administratifs.
  10. Mettre à niveau les infrastructures et systèmes vieillissants. L’obsolescence des systèmes constitue un risque majeur de sécurité.

Prendre en compte le facteur humain

Même avec la meilleure protection du monde, le risque pour votre entreprise de figurer sur la liste des prochaines victimes d’attaques au rançongiciel, de violations de données et autres menaces de cybersécurité ne sera jamais écarté. C’est pourquoi il est si important de limiter le facteur humain en automatisant autant que possible les pratiques de sécurité.

Les possibilités sont L’utilisation de la double authentification avec mots de passe complexes, le blocage de certains types de fichiers et le test des connaissances des utilisateurs en matière de sécurité sont des mesures que toutes les entreprises peuvent prendre pour protéger les réseaux diversifiés actuels.

La mise en œuvre de ces étapes, aussi simples soient-elles, peut cependant poser problème aux entreprises en manque de professionnels de la cybersécurité. Il est donc utile de recourir à des outils, tels que l’apprentissage machine, capables d’anticiper et de neutraliser les comportements malveillants à votre place.

Règles élémentaires de cyber-hygiène pour les individus

Face la faille apparue sur Facebook, d’une ampleur inédite pour le réseau social américain, les utilisateurs disposent de plusieurs moyens pour tenter de protéger leur vie privée. Voici quelques bonnes pratiques à mettre en œuvre.

Adopter l’authentification à deux facteurs

Pour sécuriser leurs services, tous les grands sites Web mettent à disposition une fonction de double authentification. Celle de Facebook est accessible à cette adresse. Elle consiste à demander à l’utilisateur un second élément, en plus de son mot de passe. Dans la plupart des cas, il s’agit d’un code reçu par SMS sur son smartphone. Facebook considère alors que seul l’utilisateur est susceptible d’avoir accès à son smartphone.

L’opération implique de communiquer son numéro de téléphone au fournisseur de services. Bien sûr, dans le cas de Facebook, celui-ci l’utilise également à des fins publicitaires. Le réseau social propose une autre solution: faire appel à une application tierce (comme Duo ou Google Authenticator) pour envoyer ce second code. Notons qu’à priori,  le piratage révélé par Facebook ne semble pas compromis les mots de passe des utilisateurs. Du mois, jusqu’à plus ample informé…

Vérifier la liste des appareils connectés

Smartphones, tablettes, ordinateurs, objets connectés: nos moyens d’accéder aux réseaux sociaux se multiplient. Avec le temps, nous avons donc de plus en plus d’appareils connectés à notre compte. Il est important de vérifier régulièrement la liste des machines qui y ont accès. Accessible dans la catégorie “Sécurité” des paramètres, elle permet de vérifier qu’un appareil suspect ne soit pas dans la liste.

Au besoin, il est possible de déconnecter automatiquement l’ensemble des machines liées à notre compte. Sur la page “Sécurité et connexion”, Facebook propose de recevoir des alertes en cas de connexion depuis un appareil suspect. Ces alertes peuvent vous être envoyées directement sur le compte Facebook ou par email.

Limiter la quantité de données personnelles offertes à Facebook

Malgré ces précautions, la faille révélée de 28 septembre démontre une fois de plus qu’aucune précaution n’est infaillible. Il est donc plus que jamais préférable de limiter au maximum les données que l’on partage avec les réseaux sociaux. Su Facebook, il est possible de supprimer toutes les informations qui ne sont pas indispensables (ville de naissance, établissement scolaire fréquenté etc.). Une page est par ailleurs prévue pour gérer ses préférences publicitaires. Elle permet de supprimer l’ensemble de ses centres d’intérêts répertoriés ou encore de mettre un frein au partage de données avec les partenaires extérieurs de Facebook.

Cybersécurité : la résilience, chaînon manquant de votre stratégie

A l’heure de la transformation numérique des organisations, la stratégie de cybersécurité est un sujet sur toutes les lèvres. Dans le même temps, on n’entend quasiment jamais prononcer le mot résilience. Pourtant, la résilience devrait être le pilier majeur de toute stratégie de réduction des risques. Essayons donc de décrypter les raisons de cette anomalie et d’en identifier les risques.

Résilience, le chaînon manquant de votre stratégie de cybersécurité
Crédit © rawpixel.com 2018

Et tout d’abord, il convient de situer la cyber-résilience par rapport à la cybersécurité. Dans les deux cas, il s’agit de répondre aux cyber-risques. Un risque se caractérise par une probabilité de survenance et par un impact (sous forme de conséquences) lors de la réalisation du risque. Dans tous les cas, la stratégie des risques a pour objet d’aligner le niveau des risques au seuil de tolérance de l’Organisation. Cela se fait en mixant la réduction de la probabilité et de l’impact. Bien sûr, la stratégie des risques couvre tous les risques de l’Entreprise et parmi ceux-ci, on aura les cyber-risques.

La réduction de la probabilité de survenance des évènements de sécurité sera essentiellement réalisée grâce à des mesures se situant en amont. On parlera de mesures préventives. On est là dans le domaine de la sécurité. Les mesures de sécurité sont essentiellement de 3 types :

  • préventives
  • de détection (pour détecter l’incident lorsqu’il se produit),
  • correctives pour corriger le système et revenir à une situation acceptable (incluant l’activation d’un plan de continuité ou PCA).

A côté de ces aspects, se pose le problème de la réduction de l’impact et de l’après-crise. Il s’agit donc de répondre à la question « comment pouvons-nous survivre si un tel incident se produit? ». En d’autres termes il s’agit de planifier ce qu’il convient de faire pour réduire les impacts lorsqu’un incident se sera produit. On est là dans le domaine de la résilience.

L’expérience de l’année écoulée

Il y a tout juste un an, l’été 2017 a montré très concrètement à quoi pouvait ressembler des cyber-attaques mondiales. Ce fut le cas notamment avec NotPetya. Un an plus tard, les conséquences du « ransomworm » ne sont toujours pas complètement terminées. Le groupe Merck a annoncé fin novembre 2017 que cette cybe-rattaque lui coûterait environ 600 millions de dollars sur l’exercice 2017 ! Mais, en additionnant les dernières annonces, le seuil des 2 milliards de perte est clairement plus réaliste. C’est la première fois qu’un tel impact est recensé pour un incident cyber. Ce changement de dimension mobilise aujourd’hui enfin les directions générales et les conseils d’administration. Et ce n’est pas trop tôt! Ils sont maintenant demandeurs de moyens pour limiter les impacts de telles attaques. Mais ils sont aussi en attente sur la posture à adopter lorsqu’un cas réel se présentera.

Les mesures préventives de cybersécurité ne suffisent clairement plus à empêcher les cyber-risques de se réaliser. Il est désormais évident que la technologie n’est pas le rempart infranchissable que tout le monde imaginait. La cyber-criminalité est devenue une véritable industrie qui progresse plus rapidement que les moyens de protection ne se développent.

Cyber-résilience : les actions clés

Une cyber-attaque majeure peut être destructive ou entraîner une perte de confiance dans les systèmes clés. Le premier réflexe pour une majorité d’entreprises est alors d’activer le plan de continuité d’activité (PCA). Celui-ci constitue un élément majeur de la stratégie de résilience des organisations. L’objectif est d’assurer la survie de l’organisation lorsque surviennent des sinistres d’ampleur entraînant l’indisponibilité de ses actifs clés. Il peut s’agir de moyens informatiques, d’infrastructures de communication ou d’immeubles voire de collaborateurs.

Or les cyber-attaques majeures, destructives comme Wannacry ou NotPetya, ou provoquant une perte de confiance dans les infrastructures (réseau, gestion des accès, gestion du parc…) telles que les attaques ciblées en profondeur, ne sont pas prises en compte lors de l’élaboration de la majorité des PCA. Ces derniers sont focalisés sur un enjeu de disponibilité. Ils n’appréhendent pas les problématiques de destruction simultanée et de perte de confiance dans le SI induites par les cyber-attaques.

En effet, les dispositifs de continuité du SI sont plus souvent liés aux ressources qu’ils protègent. Ils sont donc également affectés par ces attaques. Depuis plus de dix ans, les dispositifs de continuité (utilisateurs ou informatiques) ont adopté les principes de mutualisation des infrastructures et de secours « à chaud ». Le double objectif de cette approche est à la fois de répondre aux exigences de reprise rapide et d’une meilleure exploitabilité. Mais, de fait, le lien entre le SI nominal et son secours rend les dispositifs de continuité vulnérables aux cyber-attaques.

Des dispositifs de continuité vulnérables

À titre d’exemple, suite à l’attaque NotPetya, l’idée d’utiliser les postes de secours présents sur le site de repli a très rapidement été évoquée dans le cadre d’une gestion de crise. Malheureusement ceux-ci partageaient les mêmes systèmes de gestion de parcs et les mêmes vulnérabilités. Ils donc avaient été logiquement détruits de la même manière que les sites nominaux. Les investissements et les efforts investis dans les dispositifs de continuité ont semblé, à ce moment, très vains.

Enfin il reste les sauvegardes comme dernier rempart. Etablies sur une base souvent quotidienne ou hebdomadaire, elles constituent, pour la plupart des organisations, le dispositif de dernier recours pour reconstruire le SI.

Dorénavant, il n’est pas rare de faire face à une intrusion qui date de plusieurs mois. Bien que la  détection soit récente, dans ce cas, les sauvegardes embarquent de fait les éléments malveillants. Il peut s’agir de malwares par exemple, mais aussi de modifications déjà opérées par les attaquants.

De plus, la continuité en tant que telle des systèmes de sauvegarde est bien souvent négligée. Lors de plusieurs cas de gestion de crise sur NotPetya, les serveurs gérant les sauvegardes avaient eux-mêmes été détruits. Les restaurer a souvent nécessité plusieurs jours vu leur complexité et leur imbrication dans le SI.

S’agissant des SI industriels, les constats sont tout aussi alarmants. Les systèmes numériques industriels sont résilients à des pannes techniques ou des incidents mécaniques anticipés. En revanche, ils n’ont que rarement intégré, dès leur conception, les potentialités d’une malveillance humaine et ils ne disposent souvent pas de mécanismes de sécurité avancés. La longueur de leur cycle de vie (souvent plusieurs dizaines d’années) les expose à l’exploitation de vulnérabilités anciennes. Enfin l’indépendance des chaînes de contrôle  vis-à- vis des systèmes numériques qu’elles supervisent n’est pas toujours respectée.

Des leçons tirées de l’expérience

Il s’avère que lors du déroulement d’une crise, le cycle est souvent identique. Les écueils rencontrés sont quasiment toujours les mêmes. Il convient donc de tirer les leçons de cette expérience.

Gestion de crise en cas de cyber-attaques : les écueils rencontrés
Crédit © Wavestone 2017

Des scénarios d’attaques récurrents

Destruction massive ou indisponibilité d’une grande partie du SI

Ce type de cyber-attaques, concrétisé au travers des cas Wannacry et NotPetya, entraîne généralement une indisponibilité massive du fait du chiffrement des fichiers de données et/ou du système d’exploitation. Les sociétés touchées par des attaques de ce type (parmi lesquelles Merck, Maersk, Saint Gobain, Fedex… mais aussi Sony Pictures ou Saudi Aramco) ont perdu jusqu’à plus de 95% de leurs systèmes d’information (des dizaines de milliers d’ordinateurs et de serveurs) en un délai souvent inférieur à 1h.

La situation au démarrage de la crise est alors très difficile. En effet, il n’y a plus aucun moyen de communication et d’échange au sein de l’entreprise, y compris au sein de la DSI. Les victimes ont communiqué sur des pertes atteignant plusieurs centaines de millions d’euros suite à ces attaques.

Compromission et perte de confiance dans le SI

Il s’agit d’attaques ciblées ne remettant pas en cause le bon fonctionnement du système. Elles visent par contre à donner aux attaquants l’accès à l’ensemble des systèmes de l’entreprise (messagerie, fichiers, applications métiers…). Elles leur permettent d’usurper l’identité de n’importe quel employé et de réaliser des actions en leur nom. Les attaquants peuvent ainsi atteindre tout type de données ou réaliser des actions métiers nécessitant plusieurs validations successives.

Ces cyber-attaques ont touché de très nombreuses entreprises dans tous les secteurs. Les conséquences sont souvent des fraudes massives, comme celles ayant touché la banque du Bangladesh. Il peut aussi s’agir de vols de données financières et de paiements. Ce fut le cas de celles ayant touché plusieurs groupes de distribution aux Etats-Unis dont Target ou encore Home Depot.

La situation au démarrage de ce type de cyber-crise est extrêmement complexe. La raison réside dans la conjugaison de plusieurs éléments aggravants : perte de confiance dans le système d’information et flou grandissant sur les actions et objectifs. Il faut alors investiguer discrètement jusqu’à pouvoir déloger l’attaquant et reconstruire un système sain. Les victimes de ces attaques ont également fait état d’impacts financiers atteignant plusieurs centaines de millions d’euros.

La résilience passe par une bonne gestion de crise

Les crises cyber sont des crises très particulières. Elles sont souvent longues (plusieurs semaines). Elles sont parfois difficiles à cerner (qu’a pu faire l’attaquant ? depuis combien de temps ? quels sont les impacts ?). Elles impliquent des parties prenantes externes, elles-mêmes souvent peu préparées sur ce sujet (avocats, huissiers, autorités, fournisseurs, voire les clients…). Il est donc indispensable d’ajuster les dispositifs existants qui n’ont pas été conçus pour intégrer cette dimension particulière.

Acteur opérationnel de la gestion de la crise cyber, la DSI ne doit pas être sur-mobilisée sur l’investigation et la défense. Cela se ferait au détriment de la production et du secours. Cet aspect constitue un point d’anticipation important à ne pas négliger. Il s’agit donc d’identifier clairement les équipes à mobiliser sur la crise et d’organiser les interventions parallèles d’investigation et de construction du plan de défense.

Au-delà de l’aspect organisationnel, il faut s’assurer de disposer également de l’outillage d’investigation (cartographie, recherche de signature de l’attaque, SI de gestion de crise indépendant, capacité d’analyse de malware inconnu…), d’assainissement (capacité de déploiement rapide de correctifs, isolation en urgence de portions non touchées du SI, isolation réseau…) et de reconstruction (accès rapide aux sauvegardes, accès aux documentations minimum de reconstruction, support des fournisseurs clés, capacité à réinstaller massivement des postes de travail…) requis pour comprendre la position de l’attaquant, stopper sa propagation et faire repartir au plus vite l’activité.

La rédaction d’un guide de gestion de crise, définissant les étapes structurantes, les responsabilités macroscopiques et les points de clés de décision sera un plus. Et parce qu’il est primordial de s’exercer en amont afin d’être prêt le jour où il faudra faire face à la crise, la réalisation d’exercices de crise sera un bon révélateur de la situation réelle.

Les dispositifs de continuité doivent être repensés

Des solutions les plus simples…

Les dispositifs de continuité doivent également évoluer pour s’adapter aux cyber-menaces. Les solutions possibles sont nombreuses. Elles peuvent toucher tous les types de dispositifs de continuité. Le plan de reprise utilisateur peut intégrer par exemple la mise à disposition de clés USB avec un système alternatif. Les collaborateurs pourraient l’utiliser en cas de destruction logique de leur poste de travail.

Certaines organisations ont fait le choix de provisionner des volumes de postes de travail de remplacement directement avec leurs fournisseurs de matériel afin de les installer rapidement en cas de destruction physique.

A des solutions très complexes et coûteuses…

Le plan de continuité informatique peut inclure de nouvelles solutions pour être efficace en cas de cyber-attaques. La plus emblématique vise à construire des chaînes applicatives alternatives. Il s’agit de « dupliquer » une application sans utiliser les mêmes logiciels, systèmes d’exploitation et équipes de production. C’est une solution extrême, très coûteuse et difficile à maintenir. Elle est envisagée pour certaines applications critiques dans le monde de la finance notamment.

A des solutions intermédiaires mais suffisantes

D’autres solutions moins complexes sont envisagées. Il s’agit par exemple de l’ajout de contrôle fonctionnel d’intégrité dans le processus métier. Son concept repose sur la réalisation de contrôles réguliers, à différents niveaux et à différents endroits dans la chaîne applicative. Ceci permet de détecter rapidement des attaques qui toucheraient par exemple les couches techniques (modification d’une valeur directement dans une base de données) sans avoir été réalisées par les actions métier classiques (via les interfaces graphiques). Ces mécanismes peuvent aussi s’appliquer aux systèmes d’infrastructures, par exemple en réconciliant les tickets de demande de création de compte d’administration avec le nombre de comptes réellement dans le système.

D’un niveau de complexité intermédiaire, il est possible d’envisager la définition de zone d’isolation système et réseau que l’on peut activer en cas d’attaques et qui vont isoler les systèmes les plus sensibles du reste du SI. Le SI industriel pourra, à ce titre, constituer à lui seul, une de ces zones d’isolation vis-à-vis du reste du SI.

Cyber-résilience et cybersécurité doivent être imbriqués

Implémenter ces nouvelles mesures de cyber-résilience nécessite des efforts importants. Des efforts qui seront vains si ces solutions de secours et les systèmes nominaux ne sont pas eux-mêmes déjà sécurisés correctement et surveillés avec attention. Le RSSI est l’acteur clé pour faire aboutir ces démarches souvent entamées mais rarement finalisées. L’aide du Risk Manager  — ou, s’il est désigné, son Responsable du Plan de Continuité d’Activité (RPCA) — sera alors un plus. Il est aujourd’hui communément acquis qu’il est impossible de sécuriser des systèmes à 100%. Il faut donc accepter la probabilité d’occurrence de cyber-attaques. C’est à ce moment-là que le Risk Manager ou le Responsable du PCA prendra tout son rôle.

Il est très clair que la résilience est un pilier majeur de votre stratégie de cybersécurité. A ce titre il convient de l’y intégrer dès la conception. Mais il vous appartient également de convaincre votre conseil d’administration de la réalité des cyber-risques et de la nécessité de la mise en oeuvre de mesures de résilience.

Comment s’y prendre concrètement?

Nous ne le répétons, jamais assez, mais deux bonnes pratiques de base sont absolument nécessaires.

Inutile de réinventer la roue : appuyez-vous sur ce qui existe

Il serait vain de partir d’une feuille blanche. Inspirez-vous des bonnes pratiques du marché. A cet effet, AXELOS a publié une référentiel de bonnes pratiques en matière de résilience des SI : RESILIA. Complémentaires d’ITIL, ces bonnes pratiques vous aideront à compléter vos processus existants afin d’y incorporer la planification de la résilience de votre SI

Faite monter vos collaborateurs en compétence, formez-les

La réponse aux cyber-attaques nécessite une préparation minutieuse et du personnel formé et efficace. A cet effet, 2AB & Associates vous propose des formations sur RESILIA (RESILIA Foundation et RESILIA Practitioner) ainsi que des formations sur la continuité des activités (Business Continuity Foundation et ISO 22301 Lead Implementer). Nous vous proposons également une formation indispensable pour mieux évaluer et planifier la réponse aux cyber-risques : ISO 27005 Risk Manager.

Et bien sûr, nos experts sont à votre disposition pour répondre à vos commentaires.

Cybersécurité : comment convaincre le Conseil d’Administration

A l’heure où les Entreprises entreprennent leur transformation digitale, le risque en matière de Cybersécurité s’accroit de jour en jour et une question se pose : comment sensibiliser et convaincre le Conseil d’Administration d’adopter une stratégie en matière de cybersécurité?

Stratégie de cybersécurité : comment convaincre le Conseil d'Administration?
Crédit © Image by rawpixel.com

Lorsqu’il s’agit de mettre en œuvre une stratégie de cybersécurité à l’échelle de l’entreprise, les responsables de la sécurité, tels que les RSSI, les directeurs informatiques ou les gestionnaires des risques, ont souvent les mains liées. Ressources et budgets insuffisants, incompréhension du risque au plus haut niveau sont leur lot quotidien. Il leur faut donc tout d’abord convaincre le Conseil d’Administration de la criticité du sujet. C’est en effet le Conseil d’Administration qui exerce la responsabilité de gouvernance de l’Entreprise. C’est donc lui qui priorise les risques et définit les ressources qu’il autorise pour atteindre les bénéfices attendus par les parties prenantes de l’Organisation.

Heureusement, la cybersécurité est désormais passée de la sphère technique à la salle du conseil au cours de ces dernières années. Aussi, de plus en plus de membres du conseil d’administration comprennent l’importance d’une bonne cybersécurité dans l’environnement numérique actuel. Il faut dire aussi que beaucoup d’Entreprises ont renouvelé leurs conseils d’administration avec des administrateurs plus jeunes et plus au fait des problématiques de sécurité de l’information.


La stratégie de cybersécurité doit être décidée par le Conseil d’Administration, exécutée par le Comité de Direction et devenir la propriété des premières lignes de l’Organisation. (Help Net Security)


Néanmoins, environ 87% des membres du Conseil d’Administration et des cadres supérieurs n’ont pas confiance dans le niveau de cybersécurité de leur organisation.

Vous êtes RSSI ou responsable de la mise en œuvre des stratégies de sécurité pour votre organisation? Alors il est très probable que vous serez amené à présenter vos propositions au Conseil d’Administration. Et vous devrez le faire d’une manière claire, pertinente et convaincante. Nous allons donc vous donner quelques pistes pour mieux sensibiliser les administrateurs à l’urgence d’agir en la matière.

Cybersécurité : comment convaincre votre Conseil d’Administration?

Nous vous proposons 10 bonnes pratiques à suivre pour expliquer la cybersécurité à votre conseil d’administration afin d’obtenir l’adhésion nécessaire pour sécuriser votre entreprise. Il ne s’agit pas là d’une liste exhaustive et vous devrez, sans aucun doute l’adapter en fonction des priorités de votre Organisation. Il s’agit seulement de 10 pratiques éprouvées par nos experts dans le cadre de leurs missions auprès des Entreprises :

  1. Apprenez à bien connaître les membres du CA
  2. Banissez les termes techniques
  3. Appuyez-vous sur des exemples réels
  4. Alignez-vous sur la stratégie business globale
  5. Concentrez-vous uniquement sur les points importants
  6. Adoptez une approche basée sur la gestion des risques
  7. Expliquez clairement ce que vous essayez de réaliser
  8. Argumentez en vous appuyant sur des chiffres significatifs et justes
  9. Proposez des solutions concrètes
  10. Démontrez le retour sur investissement

Apprenez à bien connaître les membres de votre Conseil d’Administration

Quel que soit votre secteur d’activité, la taille de votre entreprise ou son niveau de maturité en matière de cybersécurité, une présentation réussie dépendra de votre connaissance du public. Assurez-vous donc de vous familiariser vous-même avec chacun des membres du conseil avant d’entrer dans la salle. Apprenez à connaître leurs antécédents, leur position respective et leur influence dans l’organisation. Comprenez aussi leurs points sensibles et leur approche globale vis à vis de la sécurité et des risques. Plus vous en saurez sur les membres du conseil, plus il sera facile de les comprendre. Et cela vous permettra de les convaincre plus facilement avec des arguments qui leur parleront.

Au minimum, essayez d’en savoir un peu plus sur le président du Conseil d’Administration, ainsi que sur les présidents des comités suivants:

  • Comité de sécurité,
  • Comité des Risques et de la Conformité.

Banissez les termes techniques

Plus vous utiliserez des termes simples et mieux les membres du Conseil d’Administration comprendront votre présentation.

Il y a fort à parier que,votre CA ne soit pas très familier avec les termes, les outils et les technologies de sécurité. Pour vous assurer que vous pouvez être compris et faire passer votre message, banissez les termes techniques. Concentrez plutôt votre discours sur des principes et des scénarios faciles à comprendre. Remplacez les termes tels que les attaques  de type SIEM, DDoS et MITM par des concepts universels tels que la gestion des risques, les cyberattaques et les principes de sécurité.

Abordez les sujets qui intéressent les administrateurs tels que :

Appuyez-vous sur des exemples réels

Tout point que vous voudrez aborder doit être appuyé par un exemple concret. Cela aidera les membres du conseil à comprendre l’essence de ce que vous dites.

Par exemple, le niveau de maturité en matière de l’entreprise en matière de cybersécurité pourrait être présenté avec une échelle de feux tricolores simple allant du vert au rouge en passant par l’orange. L’impact de certaines cyber-menaces peut être souligné par des articles récents montrant les conséquences. Ainsi, par exemple, il peut s’agir des coûts résultant de l’absence de mise en oeuvre des mesures de cybersécurité appropriées.

Si ce n’est pas suffisant, appuyez vous sur des études de cas réels. Choisissez  des organisations similaires à la vôtre. Vous pourrez ainsi montrer comment les stratégies de cybersécurité ont aidé à sécuriser d’autres organisations contre les violations et les intrusions.

Alignez-vous sur la stratégie business globale de votre Organisation

Quelle que soit la conviction de votre proposition, elle sera inutile si elle ne correspond pas à la stratégie globale de l’organisation. Vous n’êtes pas là pour discuter des difficultés inhérentes à la gestion de vos opérations de sécurité. Votre CA ne s’intéresse qu’à la stratégie de haut niveau de l’entreprise. Aussi chaque décision sera probablement basée sur la manière dont elle aidera l’organisation à atteindre ses objectifs business.

Avant de parler aux administrateurs, assurez-vous de vous familiariser avec la stratégie et les objectifs globaux de l’entreprise. Faites ainsi valoir vos arguments en faveur de l’atteinte ces objectifs.

Concentrez-vous uniquement sur les points importants

Rappelez-vous que votre CA ne se réunit que de façon périodique et que son temps est précieux. C’est pourquoi votre présentation doit se concentrer uniquement sur les éléments critiques. N’incluez jamais des informations « intéressantes à avoir » mais non essentielles. Si vous éliminez le superflu votre CA appréciera votre respect pour son temps. Il se rappellera ainsi d’autant mieux les points essentiels que vous souhaitez faire passer.

Adoptez une approche basée sur la gestion des risques

Les entreprises ont des ressources limitées pour gérer leurs risques et le CA est le garant de leur optimisation. L’une des priorités majeures du Conseil d’Administration est de s’assurer que les risques pour l’Organisations sont correctement gérés. Lors de votre présentation, vous devez vous assurer que votre stratégie de cybersécurité aura un impact durable sur l’Entreprise. Concentrez-vous donc sur les principales stratégies qui peuvent vous aider à améliorer votre situation en matière de cybersécurité et à renforcer vos défenses contre les menaces et les intrusions.

En adoptant une approche de gestion des risques, vous serez mieux compris des administrateurs. C’est un des sujets auxquels ils sont très sensibles et qu’ils maîtrisent parfaitement.

Expliquez clairement ce que vous essayez de réaliser

En introduction essayez de bien faire comprendre aux administrateurs la raison de votre présence devant eux. Avant de commencer votre présentation, assurez-vous donc d’expliquer clairement quel est votre objectif :

  • S’agit-il d’une nouvelle orientation stratégique en matière de cybersécurité?
  • Avez-vous besoin de plus de budget pour certaines acquisitions?
  • Devrez-vous embaucher des ressources supplémentaires et obtenir leur approbation?
  • Avez-vous besoin que le CA examine et approuve une nouvelle politique relative à la sécurité?

Les membres du conseil d’administration doivent avoir une compréhension claire de ce que vous essayez d’obtenir de leur part.

Argumentez en vous appuyant sur de chiffres significatifs et justes

Collectez des faits et des chiffres. Et surtout préparez-vous à répondre de façon précise aux questions.

Il est probable que les membres du Conseil d’administration poseront des questions spécifiques sur la situation actuelle de l’organisation en matière de cybersécurité, son évolution au fil des dernières années et la manière dont ils peuvent mesurer le niveau d’exposition au risque.

Assurez-vous de trouver des chiffres et des statistiques pertinents pour faire valoir votre point de vue. Par exemple, la stratégie de cybersécurité proposée peut nécessiter un budget supplémentaire de 8%, mais vous obtenez un retour sur investissement mesurable car votre exposition au risque sera réduite de 25%. La connaissance des chiffres significatifs et vérifiables constituera un argument clé pour convaincre le conseil.

Proposez des solutions concrètes

Soulever un problème est une chose, proposer une solution en est une autre.


Souvent les managers des départements ou des équipes viennent me voir en me disant « J’ai un problème ». Et j’ai l’habitude de leur répondre « Alors va le résoudre, et reviens me voir lorsque tu auras des solutions à me proposer ». Le CA n’est pas là pour vous aider à résoudre vos défis. Il a seulement pour rôle d’entériner une des solutions que vous lui proposez.


Assurez-vous de ne pas simplement parler de vos défis mais plutôt de mettre en place des solutions concrètes de cybersécurité qui vous faciliteront la vie tout en bénéficiant à l’Organisation. Par exemple, votre présentation pourrait se terminer par une liste de 5 stratégies concrètes que vous prévoyez d’entreprendre. Présentez leur impact budgétaire, leur date de début et de fin, leur impact sur l’activité et le retour sur investissement prévu. Une conversation de haut niveau est un bon point de départ. Cependant seules des solutions concrètes permettront d’apporter un changement durable.

Démontrez le retour sur investissement

Si vous voulez obtenir l’adhésion du CA à votre proposition de stratégie de cybersécurité, assurez-vous d’expliquer clairement comment vous allez rendre compte de vos projets. Et surtout, expliquez comment vous pouvez démontrer le retour sur investissement de votre proposition. Par exemple, vous pouvez décider de mener une évaluation de la situation de la cybersécurité de votre entreprise pour savoir où vous en êtes aujourd’hui et où vous devriez vous situer à la fin de la mise en œuvre.

Une progression mesurable du niveau de maturité de l’Entreprise en matière de cybersécurité peut aider à gagner l’adhésion des membres du conseil d’administration. Ils pourront ainsi être assurés que leur engagement a été payant.

En conclusion…

Pour qu’une stratégie de cybersécurité soit efficace et permette d’opérer un changement durable, le RSSI devra faire preuve d’intelligence pour obtenir l’adhésion de son Conseil d’Administration. Gardez à l’esprit que le temps que vous allez passer devant le CA est limité (généralement moins de 30 minutes). Alors concentrez-vous sur les éléments les plus importants qui éveilleront leur intérêt  et qui sont alignés avec leurs priorités et objectifs permettant d’assurer le succès de l’Entreprise sur le long terme

Si vos arguments sont clairs, pertinents et facilement compréhensibles, liés aux opérations et à la stratégie de l’entreprise, et que vous pouvez démontrer le retour sur investissement de votre proposition de stratégie de cybersécurité, alors vous aurez de meilleures chances d’obtenir le soutien nécessaire pour ce que vous essayez de réaliser.

Vous avez besoin d’aide pour préparer votre intervention ou même pour vous assister lors de votre présentation au CA? Vous pouvez contacter l’un de nos experts en Gouvernance et en Stratégie de cybersécurité qui vous proposera une présentation exécutive efficace à destination des membres de votre Conseil d’Administration.

RGPD – La loi Française enfin publiée le 20 Juin 2018

Après une « étrange » et longue bataille juridique et un recours des sénateurs d’opposition auprès du Conseil Constitutionnel, la loi Française sur la protection des données personnelles, alignée sur le règlement européen connu sous le nom de RGPD (GDPR) a enfin été promulguée le 20 juin 2018, soit près d’un mois après la date d’entrée en vigueur du RGPD. Alors que contient cette loi? Pourquoi une aussi longue bataille pour obtenir sa promulgation? Pourquoi est-il si difficile pour la France et les Français de s’aligner sur les lois et réglementations internationales?

RGPD - La loi Française sur la protection des données personnelles publiée le 20 Juin 2018
Crédits © Sondem

La loi relative à la protection des données personnelles a été promulguée le 20 juin 2018. Elle adapte la loi « Informatique et libertés » du 6 janvier 1978 au règlement général sur la protection des données (RGPD) du 27 avril 2016, directement applicable dans tous les pays européens au 25 mai 2018.

La loi du 20 juin 2018 modifie la loi « informatique et libertés » de 1978 pour la mettre en conformité avec le RGPD. Notamment, sont concernés les pouvoirs et missions de la CNIL et l’élargissement des données sensibles. Elle tire également  parti des marges de manœuvre permises par le RGPD : majorité numérique, etc.. Enfin, elle s’aligne à une directive européenne publiée également le 27 avril 2016 sur les fichiers en matière pénale, dite directive « police justice ».

Adaptation du rôle de la CNIL et de ses pouvoirs de contrôle et de sanction

La composition, les missions et les pouvoirs de la Commission nationale de l’informatique et des libertés (CNIL) sont modifiés.

L’évolution des missions de la CNIL

Le RGPD introduit une nouvelle logique de responsabilisation et d’accompagnement des acteurs traitant des données personnelles (entreprises, administrations, etc.). Les missions de la CNIL évoluent donc afin de les adapter à cette nouvelle logique. En contrepartie, les formalités préalables auprès de la CNIL prévues dans la loi de 1978 sont quasiment toutes supprimées.

En outre, et en complément des missions qu’elle exerce déjà, la CNIL est désormais chargée :

  • d’établir et de publier des lignes directrices, recommandations ou référentiels destinés à faciliter la mise en conformité des traitements et à procéder à l’évaluation préalable des risques par les responsables de traitement et leurs sous-traitants ;
  • de produire et de publier des règlements types afin d’assurer la sécurité des systèmes de traitement et de régir les traitements de données biométriques, génétiques et de santé ;
  • d’encourager l’élaboration de codes de conduite par les acteurs traitant des données ;
  • de certifier des personnes, des produits, des systèmes de données ou des procédures ;
  • de lister les fichiers pénaux pouvant présenter un risque élevé pour les droits et libertés fondamentales des personnes.

Un rôle de conseil

Dans l’exercice de ses missions, la CNIL doit désormais prendre en compte les besoins propres des collectivités locales. Or, parmi elles, beaucoup s’inquiètent des nouvelles règles européennes. Pour les aider, la CNIL a publié sur son site internet un certain nombre de pages qui leur sont dédiées. La loi prévoit que les petites et moyennes entreprises (TPE-PME) doivent également faire l’objet d’un accompagnement personnalisé. A cet égard, la CNIL, en partenariat avec Bpifrance, a d’ores et déjà publié un guide pratique les sensibilisant au RGPD.

Un rôle consultatif vis à vis du parlement

Toujours au titre de ses missions, la CNIL peut désormais être consultée sur toute proposition de loi portant sur la protection des données personnelles par les présidents ou les commissions compétentes de l’Assemblée nationale ou du Sénat et par les présidents des groupes parlementaires.

Renforcement des pouvoirs de la CNIL en matière de contrôle et de sanction

Pouvoirs de contrôle étendus

Les pouvoirs de contrôle de la CNIL sont précisés et étendus par la loi. La nature des locaux que ses agents peuvent visiter et les conditions dans lesquelles le secret professionnel, notamment médical, peut leur être opposé sont redéfinies. De plus, pour les contrôles en ligne, ses agents peuvent dorénavant recourir à une identité d’emprunt.

Plusieurs articles de la loi sont également consacrés à la procédure de coopération entre la CNIL et les autres autorités de protection européennes en cas de traitements transnationaux (touchant des personnes de plusieurs pays européens). Le RGPD pose, en effet, de nouvelles règles en la matière. L’objectif est d‘apporter une réponse unique en cas d’atteinte au droit à la vie privée des citoyens de plusieurs pays européens. La récente affaire Cambridge Analytica-Facebook est, à cet égard, une illustration.

Pouvoirs de sanction adaptés

Les pouvoirs de sanction de la CNIL sont adaptés. De nouvelles sanctions, comme le prononcé d’une astreinte ou le retrait d’une certification ou d’un agrément, sont prévues en cas de violation des règles sur la protection des données personnelles. En outre, le montant des amendes administratives est très fortement augmenté. Elles sont désormais alignées sur le RGPD et peuvent aller jusqu’à 20 Millions d’Euros ou 4% du CA mondial annuel. Ces astreintes et amendes concernent autant les entreprises que les collectivités locales et les associations, qu’elles soient responsables d’un traitement ou sous-traitants. Seul l’État en est dispensé.

Lors de la discussion du projet de loi, le Sénat voulait exempter les collectivités locales des sanctions financières. Il souhaitait également que leur produit serve à financer l’accompagnement par l’État des responsables de traitement et de leurs sous-traitants. Il a, de plus, proposé la création d’une dotation communale et intercommunale afin d’aider les collectivités à se mettre en conformité avec le RGPD. Cette mise en conformité va, en effet, avoir un coût budgétaire pour les petites collectivités. Toutefois, ces amendements ont tous été rejetés. Néanmoins, à la demande des sénateurs, la mutualisation des services numériques entre les collectivités et leurs groupements est facilitée. Les communes peuvent, en particulier, se doter d’un délégué à la protection des données commun. Cette disposition est totalement en ligne avec le RGPD qui ne mentionnait rien à cet égard.

La CNIL a-t-elle les moyens d’exercer sa mission?

Pour assurer la bonne application du RGPD, la CNIL a clairement besoin de ressources. La présidente de la CNIL, Isabelle Falque-Pierrotin, a d’ores et déjà demandé aux pouvoirs publics plus de moyens humains. Ceux-ci seront discutés dans le cadre de la prochaine loi de finances. La CNIL emploie actuellement 200 personnes. Ce chiffre est à comparer avec ceux des autorités de protection comparables. Celles-ci comptent en général 500 ou 700 collaborateurs (comme au Royaume-Uni et en Allemagne).

Renforcement de la protection des données personnelles sensibles

Conformément au RGPD, le champ des données sensibles (sur l’origine raciale, les opinions politiques, etc.) est étendu aux données génétiques et biométriques ainsi qu’aux données relatives à l’orientation sexuelle d’une personne. En principe, ces données ne peuvent pas faire l’objet d’un traitement en raison de leur nature même.

Des dérogations à cette interdiction sont toutefois prévues par le droit européen. C’est le cas en matière de sécurité sociale ou si la personne a expressément consenti au traitement de ses données ou si elle les a rendues publiques, etc.. La loi du 20 juin 2018 ajoute d’autres dérogations. Sont notamment permis les traitements de données biométriques (empreintes digitales, etc.) strictement nécessaires aux contrôles d’accès sur les lieux de travail, aux ordinateurs et aux applications utilisés au travail. Sont de même autorisés les traitements portant sur la réutilisation d’informations figurant dans les décisions de justice diffusées dans le cadre de l’open data.

Les marges de manoeuvre permises et prévues par le RGPD

Le RGPD, bien que d’application directe, contient plus d’une cinquantaine de marges de manœuvre autorisant les États membres à préciser certaines dispositions. La plupart d’entre elles ont été utilisées pour conserver des dispositions qui existaient déjà dans la loi de 1978. La loi du 20 juin 2018 n’aménage que quelques points, afin notamment de répondre aux évolutions technologiques et sociétales.

Des formalités préalables maintenues pour certains traitements

Les formalités préalables (autorisations ou déclarations) auprès de la CNIL sont quasiment toutes supprimées. La loi en maintient cependant quelques une, comme prévu par le RGPD, pour certains traitements. Sont concernés les traitements :

  • comportant le numéro d’inscription des personnes au répertoire national d’identification des personnes physiques, sauf exceptions ;
  • de données génétiques ou biométriques nécessaires à l’authentification ou au contrôle de l’identité des personnes mis en œuvre pour le compte de l’État ;
  • qui intéressent la sûreté de l’État, la défense, la sécurité publique ou qui ont pour objet la prévention et la répression des infractions pénales ;
  • de données de santé se justifiant par une finalité d’intérêt public (sécurité des médicaments, etc.).

Catégories particulières de traitement

Plusieurs dispositions de la loi sont consacrées à des catégories particulières de traitements. Sont notamment visés les traitements de données de santé, qui font l’objet d’un régime spécifique.

Sont aussi concernés les traitements de données sur les infractions, condamnations ou mesures de sûreté connexes (hors champ de la directive c’est-à-dire à d’autres fins que la prévention et la répression des infractions). Ces traitements peuvent dorénavant être effectués par une liste élargie de personnes. Citons par exemple les associations d’aide aux victimes ou de réinsertion ou des personnes mises en cause ou victimes dans une procédure pénale. En revanche, le Conseil Constitutionnel, saisi par des sénateurs Les républicains, a déclaré anticonstitutionnel l’élargissement de la mise en œuvre des tels traitements « sous le contrôle de l’autorité publique » (comme l’hébergement des données sur un serveur). Cette formulation, pourtant reprise du RGPD, a été jugée insuffisamment précise.

Droits des personnes concernées

Sur ce point encore, la loi utilise les marges de souplesse permises par le RGPD.

Protection des données personnelles concernant les enfants

Elle fixe à 15 ans la majorité numérique, c’est-à-dire l’âge à partir duquel un enfant peut consentir seul au traitement de ses données, typiquement sur les réseaux sociaux. Le gouvernement et les sénateurs souhaitaient retenir le seuil de 16 ans. C’est l’âge du consentement fixé par défaut par le RGPD. Le texte a toutefois laissé aux États la possibilité de l’abaisser jusqu’à 13 ans. C’est donc dans ce cadre que les députés ont voté l’âge de la majorité numérique à 15 ans.

Recours à des décisions individuelles automatisées

La loi ouvre, par ailleurs, plus largement la possibilité pour l’administration de recourir à des décisions individuelles automatisées. Les décisions fondées exclusivement sur un algorithme ne sont plus interdites. Néanmoins, de nouvelles garanties sont données aux administrés : droits à l’information et à l’explication (déjà consacrés par la loi pour une République numérique de 2016), droit à recours avec une intervention humaine a posteriori, obligation pour l’administration de maîtriser l’algorithme et ses évolutions (prohibition des algorithmes auto-apprenants), interdiction d’utiliser des données sensibles.

Sur ce point les deux chambres étaient à nouveau en désaccord. Les sénateurs souhaitaient encadrer plus strictement l’usage des algorithmes par l’administration. Ils demandaient aussi la transparence des algorithmes utilisés par les universités dans le cadre de Parcoursup. Or cette transparence est exclue par la loi « orientation et réussite des élèves » du 8 mars 2018). Les propositions du Sénat ont été rejetées. Cependant, sur amendement du gouvernement, le fonctionnement de Parcoursup fera l’objet, chaque année, d’un rapport au Parlement.

Dans sa décision du 12 juin 2018, le Conseil constitutionnel a jugé conforme à la Constitution les nouvelles règles régissant l’emploi des algorithmes par l’administration. Il considère que « le législateur a défini des garanties appropriées pour la sauvegarde des droits et libertés des personnes soumises aux décisions administratives individuelles prises sur le fondement exclusif d’un algorithme ».

Traitement des données scolaires

La loi oblige aussi les établissements publics des premier et second degrés à rendre public, à partir de la rentrée 2018, le registre de leurs traitements de données scolaires. Il s’agit entre autres de permettre aux parents d’élèves de savoir comment les données de leurs enfants sont traitées.

Actions de groupe

Les actions de groupe, déjà autorisées depuis fin 2016 pour faire cesser en justice un manquement par un responsable de traitement ou un sous-traitant, sont étendues à la réparation des préjudices matériels et moraux subis en cas de violation des données personnelles.

En vertu du RGPD, les citoyens peuvent aussi se faire représenter par les associations ou organismes actifs dans le domaine de la protection des données personnelles pour exercer en leur nom une réclamation auprès de la CNIL, un recours juridictionnel contre la CNIL ou contre le responsable du traitement ou sous-traitant.

Récemment, l’association La Quadrature du Net a déposé une réclamation collective auprès de la CNIL. Elle est dirigée contre les GAFAM (Google, Apple, Facebook, Amazon et Microsoft). L’association estime, en effet, que ces derniers ne respectent pas le RGPD sur le consentement « libre et éclairé » des internautes.

Le libre choix de ses applications sur smartphone

Cette disposition est issue de l’amendement « Bothorel », du nom du député qui l’a porté. Aujourd’hui, la quasi-totalité des smartphones vendus en France et en Europe sont équipés d’un système d’exploitation mobile iOS ou Android. Ces systèmes sont imposés ainsi que le moteur de recherche par défaut (souvent Google). Il n’y a donc pas de consentement véritable des utilisateurs. La loi oblige désormais les fabricants ou distributeurs de smartphones à proposer aux consommateurs plus de choix dans les applications. L’objectif est de faire un peu plus de place aux navigateurs web et moteurs de recherche « alternatifs ». Ceux-ci sont parfois plus respectueux de la protection des données personnelles de leurs utilisateurs (par ex. Qwant en France).

La transposition de la directive « police »

Enfin, la loi du 20 juin 2018 transpose la directive du 27 avril 2016 dite « police – justice ». Celle-ci harmonise le régime des traitements à finalité pénale. Il est clairement fait référence aux fichiers de police et de justice comme le fichier national des empreintes génétiques. Par contre, les fichiers de renseignement sont exclus.

Un droit à l’information est en particulier créé pour les personnes fichées en matière pénale. Ces dernières peuvent aussi désormais exercer de façon directe leur droit d’accès auprès du responsable du traitement (sauf exceptions). Elles peuvent ensuite demander la rectification des données les concernant, voire leur effacement.

Les autorités publiques doivent, par ailleurs, respecter un certain nombre d’obligations. Parmi celles-ci, citons la production d’une analyse d’impact pour les données sensibles, la tenue d’un registre des activités du traitement et d’un journal pour certaines opérations de traitement, la désignation d’un délégué à la protection des données, la communication de toute violation de données à la CNIL et à la personne concernée, etc.

De nouvelles règles sur les transferts de données personnelles vers les autorités judiciaires et les forces de l’ordre des pays hors Union européenne sont également posées.

 

RGPD: Optical Center va payer 250.000 € d’amende! Et vous?

La formation restreinte de la CNIL a prononcé le 7 mai dernier une sanction de 250.000 euros à l’encontre de la société OPTICAL CENTER. Celle-ci est accusée avoir insuffisamment sécurisé les données de ses clients effectuant une opération en ligne sur son site internet. Heureusement, à cette date, le RGPD n’était pas encore entré en vigueur. Ceci explique le montant relativement faible de l’amende infligée. Après le 25 mai, la même infraction aurait pu être sanctionnée d’une amende allant jusqu’à 20 millions d’Euros.

Et vous? Où en êtes-vous de votre mise en conformité un mois après l’entrée en vigueur des sanctions? 

RGPD la CNIL sanctionne Optical Center
Crédits © Jürgen Fälchle

C’est la première fois que la CNIL inflige une amende conséquente pour un défaut de sécurité sur un site web. Alors des questions se posent. Pourquoi et comment les données personnelles des clients d’une entreprise peuvent-elles se retrouver accessibles par un simple clic dans un navigateur… par la planète entière ?

La décision de la CNIL (Commission nationale informatique et libertés) a été prise deux semaines seulement avant l’entrée en vigueur du Règlement Général de Protection des Données Personnelles (RGPD). Après le 25 mai, Optical Center aurait pu payer jusqu’à 20 millions d’euros — ou 4% du chiffre d’affaire du groupe — au lieu des 250.000 € exigés. Ce qui est reproché à la société est très grave et nous allons essayer de l’analyser. Pourtant, l’Entreprise a été très réactive. Le défaut de sécurité sur son site web a été corrigé le lendemain de sa découverte. Cependant la CNIL a estimé qu’elle ne pouvait pas laisser une telle infraction à la loi sans sanctions. Il faut souligner que Optical Center avait déjà été condamnée à 25.000 € pour le même type de manquement en 2015.

Il s’agit d’un défaut de sécurité et non d’une faille exploitée

C’est quoi la différence?

Suite à un signalement, la CNIL a effectué un contrôle en ligne. Le site web d’Optical Center permettait l’accès direct par navigateur — sans vérification d’authentification — à 334.000 factures de ses clients. Autrement dit, n’importe qui pouvait télécharger les documents en question. Il suffisait de taper l’adresse web y donnant l’accès. Ces factures contenaient les noms et les prénoms des clients ainsi que leur adresse postale, leurs coordonnées téléphoniques et pour certains, leur numéro de sécurité sociale et des informations médicales (correction ophtalmique). Selon la CNIL, qui a été informée d’une « fuite de données conséquente » en juillet 2017 du site  www.optical-center.fr, « le site n’intégrait pas de fonctionnalité permettant de vérifier qu’un client est bien connecté à son espace personnel (« espace client ») avant de lui afficher ses factures. Il était ainsi relativement simple d’accéder aux documents d’un autre client de la société ».

Le site web d’Optical Center n’a donc pas été piraté. La fuite de données provenait simplement d’un défaut d’administration du site. C’est très différent d’un piratage exploitant une « faille » du serveur. Dans le cas d’un piratage, des compétences techniques pointues auraient été nécessaires pour contourner la sécurité établie. Il aurait fallu pénétrer par un moyen technique dans le système distant afin d’y copier des fichiers. Dans l’affaire Optical Center, il n’y avait aucun besoin de prouesses techniques pour copier les 334.000 documents. L’accès aux factures des autres clients était direct, comme pour accéder à ses propres factures.

La sanction tient compte des précédents

Cette fois, la CNIL indique que Optical Center a immédiatement averti son prestataire. « Tout en soulignant la réactivité de la société dans la résolution de la faille, la formation restreinte [de la CNIL, en charge de l’instruction des sanctions] a considéré que la question de la restriction d’accès aux documents mis à disposition des clients, à partir de leur espace réservé, aurait dû faire l’objet d’une attention particulière de la part de la société » précise l’autorité administrative indépendante.

Compte tenu notamment de la particulière sensibilité des données ayant été rendues librement accessibles, du nombre de clients impactés et du volume de documents contenus dans la base de données de la société à la date de l’incident (plus de 334.000), la formation restreinte a décidé de rendre publique sa décision. Donc, ce sont la récidive et la quantité de données accessibles qui expliquent la lourdeur de la sanction.

Les sites internet doivent être mieux sécurisés

Le coup de poing sur la table de la CNIL

L’amende de 250.000 € à l’encontre d’Optical Center est un coup de semonce. Cela devrait faire réfléchir les entreprises sur leurs obligation de sécurisation de leurs sites web. Cette affaire n’est pas sans rappeler celle de la fuite de données sur le site web de Darty. Celle-ci avait conduit la CNIL à infliger à la célèbre marque d’électroménager une amende de 100.000 € pour des raisons similaires.

La mise en place de contrôles d’accès sécurisés, leur vérification par des administrateurs, sont le b.a.ba de la sécurité informatique — dont celle des sites internet. Il est surprenant que des entreprises recueillant des informations sur leurs clients ne soient pas en mesure de faire le minimum à ce niveau là. Ce constat est inquiétant, surtout pour des entreprises aux chiffres d’affaire importants et dont les moyens sont parfaitement suffisants pour s’assurer une « qualité normale » de sécurité de leurs sites internet.

Des entreprises focalisées uniquement sur les coûts

D’ailleurs, c’est bien là que réside la raison de ces défauts de sécurité. Payer des gens compétents est un élément vital en sécurité informatique. Or la culture des entreprises françaises, de ce point de vue là, ne semble pas être encore à la hauteur des enjeux. Les Entreprises Françaises sont malheureusement toujours focalisée sur les coûts au détriment des risques. Souvent, les salaires des techniciens sont faibles, leur nombre est insuffisant. Dans de nombreux cas les Responsables de la Sécurité des Systèmes d’Information (RSSI) sont inexistants. Enfin, plus souvent encore, l’Entreprise n’a pas nommé de CISO (Chief Information Security Officer) à son comité de direction.

De fait, les « économies » des entreprises (et des structures publiques) sont souvent réalisées sur le dos de la sécurité des SI. Par conséquent la France apparait, en matière de protection des données personnelles, comme un très mauvais élève. Un chiffre est éloquent concernant la sécurité des SI. Selon les dernières statistiques de l’ISO, la France compte 209 entreprises certifiées ISO 27001. Ce chiffre est à mettre en relation avec les statistiques de nos voisins. On recense 1338 entreprises certifiées ISO 27001 en Allemagne, 3367 au Royaume Uni, 1220 en Italie et 752 en Espagne. Il y a donc un gros travail à faire pour les Entreprises Françaises pour revenir dans la moyenne européenne.

Enfin, le dernier problème concerne les lanceurs d’alerte en sécurité informatique. Ils sont la plupart du temps attaqués en justice en France, plutôt qu’écoutés. Pas certain que dans ces conditions la sécurité des sites web n’y gagne beaucoup…

Et vous? Avez-vous pris toutes les mesures nécessaires?

Si vous en doutez, n’hésitez pas à poster vos commentaires et vos questions. Nos consultants experts se feront un plaisir de vous répondre.

ITIL : renaissance ou dernier soupir?

ITIL, le référentiel phare en matière de gestion des services informatiques commence à prendre de l’âge. Aucune évolution notable n’a été publiée depuis 2011. Et encore, la version 2011 n’était elle-même qu’une révision cosmétique (en anglais « refresh ») de la version ITIL V3 publiée en 2007. Cela fait donc dix ans que rien de vraiment nouveau n’a été publié. A l’occasion du salon ITSMF Fusion 2017, AXELOS a levé le voile sur l’avenir d’ITIL en 2018.

ITIL: renaissance en 2018?
Crédits: © AXELOS

On peut comprendre qu’une méthodologie n’évolue pas beaucoup. Mais justement le problème d’ITIL c’est qu’il ne s’agit aucunement d’une méthodologie. ITIL est un cadre de bonnes pratiques pour améliorer les services informatiques délivrés aux métiers. Or, durant ces dix dernières années, les Entreprises et leurs métiers ont subi une transformation radicale. Il est donc clair que leurs besoins de services informatiques ont également énormément changé. Les attentes des affaires sont très différentes aujourd’hui de ce qu’elles étaient il y a dix ans. Les risques auxquels tout service TI est exposé ont également évolué. L’environnement technologique a subi un bouleversement encore jamais vu auparavant.

L’annonce faite par AXELOS

Selon AXELOS, propriétaire du référentiel, ITIL® est «l’approche la plus largement utilisée pour la gestion des services informatiques dans le monde». La société indique qu’il existe des millions de praticiens d’ITIL dans le monde. Elle indique également que le référentiel est utilisé par la majorité des grandes organisations pour gérer leurs  opérations informatiques.

Il aurait donc été naturel que l’annonce d’une mise à jour d’ITIL suscite de nombreux commentaires. Cependant, comme vous l’avez sûrement constaté, tant la presse que les réseaux sociaux ne s’y sont guère intéressés.

La raison de ce manque d’intérêt est la raison même pour laquelle AXELOS veut faire cette mise à jour. ITIL a désormais atteint un point de non pertinence dans un monde économique dynamique et agile. L’environnement économique est aujourd’hui très différent de celui dans lequel ITIL a été développé.

De nouveaux modèles d’architecture, de nouvelles approches de management et, plus généralement, la transformation numérique des organisations ont relégué ITIL au stade de relique du passé.

Pourtant, des investissements substantiels ont été réalisés par nombre d’organisations dans le monde. Il s’agit notamment de la certification de leurs collaborateurs. Le grand nombre de fournisseurs de technologie qui ont vu le jour autour de ce framework et le vaste réseau de consultants et de sociétés de formation qui ont bâti leurs offres autour d’ITIL suggèrent que ce référentiel ne disparaîtra pas tranquillement du jour au lendemain.

Mais cette mise à jour annoncée sera-t-elle suffisante pour une renaissance d’ITIL en 2018? Ou marquera-t-elle son dernier soupir?

ITIL est-il en core pertinent dans un monde qui change?

Lors de l’annonce faite à ITSMF Fusion 2017, Margo Leach, Chef de produit chez AXELOS a admis la nécessité de faire évoluer ITIL pour pouvoir s’aligner sur un monde en pleine évolution tout en revendiquant sa pertinence au jour d’aujourd’hui.


« Les principes fondamentaux d’ITIL sont valables et restent essentiels pour permettre aux entreprises de se transformer et d’évoluer », a déclaré M. Leach. « Mais nous devons ajouter un élément supplémentaire au cœur d’TIL: la rapidité de mise sur le marché et l’agilité, c’est-à-dire la capacité d’une entreprise à répondre aux menaces commerciales, aux demandes et aux opportunités du marché. »


AXELOS a également reconnu que d’autres approches, (DevOps, …) traitent déjà de ces problèmes. « Le nouvel ITIL doit inclure des conseils pratiques et explicites sur la façon d’intégrer les principes des nouvelles méthodes de travail contemporaines« , a déclaré Margo Leach.

L’évolution rapide des technologies basées sur le cloud, les nouvelles approches telles que DevOps et l’enracinement des méthodologies agiles ont remis en question bon nombre de méthodes, apparemment rigides et bureaucratiques, souvent associées à ITIL.

En conséquence, et en dépit de leurs investissements importants dans le référentiel sous la forme de formation et d’outils, de nombreuses Organisations mettent maintenant l’accent sur la nécessité d’investissement futur sur de nouveaux cadres plus pertinents.

Alors n’est-il pas trop tard pour un nouvel ITIL?

La mise à jour d’ITIL ne devrait donc pas surprendre. Même si l’éditeur a affirmé il y a plusieurs années qu’il n’y aurait plus d’autres mises à jour. Néanmoins, le manque de pertinence perçu s’est également traduit par la perte de position dominante comme en témoigne l’arrivée d’une approche de gestion de service et d’un programme de certification concurrents, appelé VeriSM.

VeriSM prétend également représenter une approche moderne de «Gestion des services pour l’ère numérique». Le nombre de leaders de l’industrie et d’organisations qui le soutiennent est éloquent. A tout le moins, c’est la reconnaissance évidente par l’industrie que le domaine traditionnel de la gestion des services est en train de perdre son sens original et risque de ne plus être pertinent.

La transformation digitale entraîne un changement d’orientation

Ce que je crains, c’est que la prochaine mise à jour ITIL et la nouvelle approche VeriSM passent à côté de ce qui se passe réellement. A mon sens, la transformation numérique ne concerne pas vraiment la technologie ni son utilisation particulière. Il s’agit de la transformation des modèles d’affaires et d’opérations. Cela se traduit par un transfert fondamental de pouvoir de l’Entreprise vers le Client. En d’autres termes il ne s’agit pas d’une transformation technologique. Il s’agit plutôt d’une transformation de la société.

En tant que tel, le paradigme organisationnel de l’organisation doit passer de l’optimisation et de l’efficacité à l’expérience client et à facilitation pour l’utilisateur tout au long de son parcours. Le problème est que l’accent principal, tant pour ITIL que pour la gestion des services au sein des organisations, est entièrement basé sur l’efficacité et l’optimisation des opérations (informatiques ou autres).

De plus, les adoptions de la gestion des services TI sont largement basées sur des processus linéaires. A l’opposé, le monde libre-service et centré sur le client crée une abondance d’interactions client asynchrones et asymétriques avec l’organisation et la technologie qui doit les supporter.

Le résultat net est un cadre de bonnes pratiques de plus en plus déconnecté des besoins réels des Entreprises qu’il soutient. C’est d’ailleurs aussi le cas pour un secteur industriel tout entier.

Y a-t-il un avenir pour ITIL?

Je rencontre quotidiennement des dirigeants d’entreprises et des DSI. Nous discutons des défis auxquels ils sont confrontés et des stratégies qu’ils utilisent pour y répondre. L’accent est alors systématiquement mis sur l’efficacité et l’optimisation. Ce sont là les facteurs de valeur traditionnels de la gestion des services informatiques (ITSM).

Mais la priorité est aujourd’hui ailleurs. C’est l’agilité, l’adaptabilité et l’amélioration de l’expérience client qui sont la clé des affaires en 2018. L’objectif pour toute Organisation est de créer un avantage compétitif sur le marché. Ce sont là des moteurs qu’AXELOS a correctement identifiés. L’efficacité demeure bien sûr une préoccupation quotidienne. Pour ce faire, les entreprises se tournent de plus en plus vers les services et l’automatisation basés sur le cloud pour optimiser leurs opérations.

ITIL, VeriSM ou tout autre cadre ou approche de gestion de service souhaite reste pertinent? Alors leur objectif doit être la prise en compte des nouvelles priorités des Organisations. Leur axe principal doit donc être de réorienter les organisations vers l’expérience client et de les éloigner des modèles centrés sur les systèmes ou centrés sur le service.

Les praticiens de la gestion des services IT vous diront que cela a toujours été l’objectif principal. Je ne les contredis pas. Mais il est temps de reconnaître que, dans la pratique, ce n’est pas ce qui s’est passé. Si ITIL doit rester pertinent en 2018, cela doit changer radicalement. Il n’y aura d’avenir pour ITIL qu’à cette condition.

Vous avez sûrement un avis. N’hésitez pas à nous laisser votre commentaire…

Protection des renseignements personnels

Dans le cadre du mois de la cybersécurité 2017, nous avons eu le plaisir d’accueillir, le 11 octobre dernier, David Henrard pour un wébinaire exceptionnel présentant un état des lieux de la protection des renseignements personnels en 2017 dans le monde.

La protection des renseignements personnels
Crédits : © 2AB & Associates – AB Consulting

La protection des renseignements personnels

Un état des lieux en 2017

Les renseignements personnels sont au coeur du modèle économique du 21ème siècle. Grâce à la vidéo de notre wébinaire, nous vous proposons de mieux comprendre sur ce sujet clé. Parmi les points abordés, citons :

  • les définitions de ce qu’on appelle des renseignements personnels,
  • les pratiques en vigueur dans les différents pays du monde,
  • Les nouvelles lois et réglementations visant à protéger les citoyens contre l’utilisation de leurs données personnelles,
  • les risques pour les personnes en cas de vol de leurs données personnelles,
  • quelques conseils pour mieux se protéger en ligne.

Objectif : responsabiliser chaque individu

La protection des renseignements personnels est avant tout la responsabilité de chacun. Nous devons en permanence nous attacher à ne pas divulguer des informations concernant notre identité et notre vie personnelle. Ces informations constituent alors un produit qui ne manquera pas d’être vendu à des fins marketing ou autres. Ces données courent alors le risque d’être volées avec un impact potentiellement important pour les personnes concernées. Cela va de l’envoi de mails non désirés en masse (spam), avec souvent des liens véreux (phishing) jusqu’à l’exploitation d’informations sensibles telles que vos données médicales ou vos informations bancaires. Pour mieux comprendre ces enjeux, nous vous invitons à lire notre précédent article Protection des données – C’est votre responsabilité.

Des mesures prises par les états pour protéger leurs citoyens

De nombreux états ont d’ores et déjà légiféré sur la collecte, le traitement et la communication des renseignements personnels. L’Europe a, pour sa part, publié une réglementation qui s’applique à tous les pays de la communauté européenne et même au delà. En effet, cette règlementation appelée GDPR s’applique à toute organisation dans le monde susceptible de traiter des données personnelles de citoyens européens. La CNIL publie d’ailleurs sur son site une carte interactive montrant les pays ayant adopté une loi de protection des données personnelles et, plus intéressant encore, leur niveau de conformité avec la loi européenne.

Pays ayant une loi sur la protection des renseignements personnels

Cette carte est particulièrement intéressante car elle montre qu’actuellement la quasi totalité de l’Afrique et du Moyen Orient ne sont pas en conformité avec la loi européenne.

La loi européenne est très contraignante et sa violation sera punie d’une amende pouvant aller jusqu’à 4% du chiffre d’affaires annuel avec un minimum de 20 millions d’euros pour les organisations contrevenantes. L’impact sera donc majeur sur le commerce avec les pays africains et les états du moyen orient à compter du 25 Mai 2018, date d’application des sanctions.

En savoir plus

Vous pensez avoir été victime d’abus en matière d’utilisation de vos renseignements personnels? Nous sommes à votre disposition pour vous aider. Vous souhaitez en savoir plus sur ce sujet crucial? Alors laissez-nous un commentaire et nous vous répondrons. Vous êtres une Entreprise et vous vous demandez quel impact va avoir la réglementation sur votre organisation? Nous sommes mobilisés pour répondre à vos questions.

Aussi n’hésitez pas… Visionnez la vidéo complète et gratuite de notre wébinaire du 11 Octobre 2017. Nous attendons vos commentaires, remarques et suggestions.

Protection des données. C’est votre responsabilité!

A l’heure où internet est partout et où nous communiquons de plus en plus de façon digitale, comment protéger vos données personnelles? La réponse n’est peut-être pas celle que vous attendez. La protection des données personnelles est de la responsabilité de chacun. Il ne faut pas attendre que les entreprises ou les états s’en chargent. Chaque utilisateur d’Internet doit prendre conscience de sa responsabilité à ce niveau. Internet est un univers absolument fantastique permettant au plus grand nombre de rester connectés. Mais Internet n’est rien d’autre que ce que ses utilisateurs en font. Dans le cadre du mois de la cybersécurité 2017, nous vous proposons de nous arrêter un moment sur ce sujet capital.

Protection des données. C'est votre responsabilité!
Crédit : © Africa Studio

La protection des données : votre responsabilité

L’être humain est ainsi fait qu’il attend toujours des autres de le protéger contre tous les dangers. Les éditeurs de logiciels et constructeurs de solutions informatiques l’ont bien compris. Ils se battent à coup d’initiatives technologiques censées protéger les utilisateurs contre le vol de leurs renseignements personnels sur Internet. Les états, soucieux de la protection des données de leurs citoyens, publient des réglementations toujours plus contraignantes dans ce domaine. Bien sûr, cet arsenal technologique et réglementaire est utile pour se protéger. Mais il est très loin d’être suffisant. Le premier niveau de protection est totalement de notre responsabilité. Il consiste à adopter un comportement basé sur le bon sens. Hélas, il semble que le bons sens ne soit pas universellement partagé. Il convient donc de mettre l’accent sur la sensibilisation, l’éducation et la formation des individus. Et ce, dès le plus jeune âge…

Une technologie toujours plus performante

Au cours de ces dernières années, les éditeurs de logiciel et les constructeurs de matériel ont mis l’accent sur la protection des appareils. Cela concerne particulièrement les matériels permettant l’accès à internet comme les ordinateurs et les éléments du réseau. Malheureusement le même effort n’a pas forcément été déployé sur les téléphones portables. Bien sûr on a vu apparaître assez récemment sur ces téléphones mobiles des protections biométriques. Certains terminaux permettent aujourd’hui le cryptage des données qu’ils hébergent. Mais combien d’utilisateurs utilisent ces  systèmes de sécurisation? De plus, ces protections bien qu’assez performantes sont encore très insuffisantes pour résister à des hackers professionnels.

Pour rester performante, la technologie doit évoluer en permanence. En effet, la compétence des hackers évolue, elle, chaque jour. Cela signifie donc que les éditeurs doivent produire des mises à jour de sécurité très fréquentes. C’est généralement ce qu’ils font. La responsabilité d’installer ces mises à jours revient naturellement aux utilisateurs eux-mêmes. Or, souvent ils ne le font pas. Cela prend du temps et consomme du volume de données sur internet. Dans beaucoup de pays, notamment dans les pays africains, la facturation internet s’effectue au volume. Donc, une mise à jour de sécurité assez lourde se traduira par un coût important pour l’abonné. Par conséquent, la plupart du temps les mises à jour de sécurité ne sont pas installées, laissant des larges failles ouvertes à la disposition des pirates.

Des lois de plus en plus contraignantes

Pour protéger leurs citoyens, les états prennent des dispositions de plus en plus contraignantes en matière de protection des renseignements personnels. Ainsi, en Europe, la nouvelle réglementation connue sous le nom de GDPR (Generic Data Protection Regulation), qui entrera en vigueur le 25 mai 2018, impose aux entreprises qui utilisent et traitent des données personnelles de citoyens Européens des exigences très restrictives. Toute violation de cette réglementation sera punie d’une amende allant jusqu’à 4% du chiffre d’affaires mondial annuel de l’Entreprise fautive, avec un minimum de 20 millions d’Euros.

Parmi les contraintes imposées, figure l’obligation de recueillir le consentement explicite des personnes pour utiliser leurs données personnelles à des fins marketing ou commerciales.

Une autre disposition contraignante, ayant des impacts très importants, est la responsabilité du donneur d’ordre sur toute la chaîne de sous-traitance utilisée pour le traitement des renseignements personnels. Ceci signifie que dans le cas où des informations personnelles (nom, prénom, adresse mail ou numéro de téléphone par exemple) seraient volées à un sous-traitant de la Société qui a recueilli ces données, quel que soit l’endroit où ce vol surviendrait (sur un autre continent par exemple), la Société d’origine serait considérée comme totalement responsable du délit et passible de l’amende.

Une méconnaissance des risques

Depuis quelques années on constate une utilisation croissante des téléphones portables pour l’accès à internet. Ceux-ci sont de plus en plus performants et offrent souvent des fonctionnalités et une puissance équivalentes aux ordinateurs. Leur portabilité en fait le terminal privilégié des internautes. Pour autant ils sont beaucoup plus vulnérables que les ordinateurs. Très peu d’entre eux sont équipés d’anti-virus. Les mises à jour de sécurité sont réalisées de façon très aléatoires. Ils sont plus sujets à la perte et au vol que les ordinateurs portables.

Les téléphones mobiles constituent aujourd’hui un maillon faible en matière de protection des renseignements personnels. Chacun enregistre sur son téléphone une grande quantité de données personnelles. Il s’agit bien sûr des numéros de téléphones de ses contacts, mais aussi d’autres informations comme leur nom et leur adresse mail ou même leur adresse physique. Souvent on y retrouvera aussi leur date de naissance, pour penser à fêter leur anniversaire. Ces téléphones portables sont aussi largement utilisés, en Afrique notamment, pour le paiement par mobile ou le transfert d’argent.

Le paiement par mobile

Devant la faiblesse des banques, les opérateurs téléphoniques du continent Africain ont développé des services de paiement et de transfert d’argent extrêmement prisés. Ainsi, au Kenya, M-Pesa, le service de paiement mobile de l’opérateur Safaricom possédait plus de 29,5 millions d’abonnés fin 2016. Sur l’année 2016 plus de 6 milliards de transactions ont été réalisée par M-Pesa, pour un montant global de plus de 30 milliards de dollars US, soit près de 45% du PIB du Kenya tout entier.

Les montants annuels transitant par ces services mobiles sont devenus phénoménaux. De plus leur croissance est évolution constante. Le succès de ces offres repose sur l’ouverture de ce type de services au plus grand nombre. Par contre ni les utilisateurs, ni les vendeurs de ces services ne sont formés sur la sécurité. Le risque lié au paiement mobile en Afrique est donc, en peu de temps, devenu un risque majeur. Ce risque concerne bien sûr l’économie entière des pays concernés, mais aussi chacun des utilisateurs individuellement. Les services de paiement mobile constituent en effet une cible plutôt facile pour des pirates qui y voient une incitation financière importante.

Un comportement immature des utilisateurs

Pour la plupart des utilisateurs, la protection des données ne constitue pas une préoccupation majeure. La plupart d’entre eux considère n’avoir rien à cacher. Ils n’hésiteront pas bien longtemps devant un formulaire leur demandant des informations personnelles. Et surtout s’il y a une incitation à les fournir!

Hier encore je suis tombé sur la page Facebook d’une personne qui publiait publiquement, photos à l’appui, sur ses vacances, pendant 4 semaines à l’étranger. Sur son profil, toujours public, apparaissent diverses informations suffisamment détaillées permettant de l’identifier de façon précise avec la localisation de son domicile. Il s’agit là d’informations personnelles extrêmement faciles à exploiter par n’importe quel cambrioleur qui sait désormais que cette maison est inoccupée et que les propriétaires ne reviendront pas avant une certaine date. De plus, sur la base des informations communiquées sur son profil et des photos partagées prises à l’intérieur de cette maison, il est évident que le butin risque d’être très intéressant. Cette personne s’est elle-même exposée au risque de se faire cambrioler. Elle a donné en ligne, de son plein gré, tous les informations personnelles pouvant inciter au délit. Si, ce qu’évidement nous ne lui souhaitons pas, le cambriolage se produit, l’assurance de ladite personne ne couvrira pas les dommages car la compagnie d’assurance estimera, de façon tout à fait justifiée, que c’est la personne elle-même qui a « provoqué » le cambriolage.

C’est un exemple tout à fait courant, malheureusement, de ce que nous nommerons un comportement immature d’un utilisateur d’internet.

Comment en savoir plus?

Pour en savoir plus sur la protection des données personnelles, nous vous invitons à visionner l’enregistrement video de notre wébinaire du 11 Octobre dernier. La présentation était animée par David Henrard, expert international du domaine et actuel président du Chapitre ISACA de Québec. Vous pourrez ainsi avoir une vision complète de l’état des lieux en la matière à travers les différentes régions du monde.

Nous répondrons également avec plaisir à vos remarques, commentaires et questions sur cet article.

 

Sécurité sur internet : 10 pratiques essentielles

Dans le cadre du mois de la cybersécurité 2017, AB Consulting CI et 2AB & Associates, sponsors officiels depuis plusieurs années, s’associent de nouveau à la campagne de sensibilisation des citoyens sur les bonnes pratiques en matière de sécurité sur internet.

10 pratiques essentielles pour rester en sécurité sur internet

10 pratiques essentielles pour rester en sécurité sur internet

A l’occasion du mois de la cybersécurité 2017, nous publions un livre blanc intitulé 10 pratiques essentielles pour rester en sécurité sur internet. Ce livre blanc sera remis à tous les participants lors de notre wébinaire gratuit du 4 octobre prochain.

Aujourd’hui notre vie est étroitement liée à l’utilisation d’internet. Cela vaut aussi bien pour notre vie professionnelle que pour notre vie privée. L’objectif est de sensibiliser l’ensemble des citoyens sur la nécessité de prendre quelques précautions élémentaires pour se protéger des risques inhérents à l’utilisation de ce mode de communication.

Nous vous proposons donc de nous rejoindre sur notre wébinaire du 25 octobre 2017 pour creuser ensemble ce sujet délicat. Attention, le nombre de places est limité. Inscrivez-vous ici dès maintenant… C’est entièrement gratuit!

Nous faisons tout pour sauvegarder nos biens personnels – en verrouillant nos portes, en surveillant nos sacs et nos portefeuilles. Hélas, souvent, nous ne prenons pas le même soin avec les informations personnelles que nous stockons en ligne, sur les réseaux sociaux et dans nos appareils, qu’il s’agisse d’ordinateurs ou de téléphones. La plupart du temps, c’est simplement parce que nous ne comprenons pas bien les risques et que nous ne savons pas par où commencer.

Alors, avant de participer à notre wébinaire et de lire notre livre blanc, voici quelques règles élémentaires. Il s’agit simplement de 3 conseils de bon sens à respecter scrupuleusement :

Naviguez toujours prudemment sur Internet

Bien sûr, commencez par utiliser un navigateur et une machine à jour des correctifs de sécurité, Mais il convient encore de prendre quelques précautions élémentaires lorsque vous naviguez sur des sites internet.

Sites marchands et sites bancaires

IMPORTANT : Ne donnez jamais d’informations personnelles et confidentielles (vos coordonnées personnelles, vos coordonnées bancaires, etc) sur un site marchand ou un site bancaire, sans avoir vérifié au préalable que le site est sécurisé.

Le site doit utiliser un certificat électronique qui garantit qu’il est authentique. C’est grâce à ce certificat que la confidentialité des informations échangées est bien garantie. Bien sûr, là il s’agit de considérations quelque peu techniques et vous n’êtes pas forcément un(e) technicien(ne). Il existe une façon simple de vous assurer que le site est bien sécurisé. Il y a deux informations affichées par le navigateur qui doivent être vérifiées :

  • l’adresse URL du site web doit commencer par « https:// ». Par ailleurs, le nom du site doit correspondre à ce que vous vous attendez à trouver.
  • un petit cadenas fermé doit figurer à droite de l’adresse du site. Il peut aussi se trouver en bas à droite de la barre d’état selon la version et le type de votre navigateur. Ce cadenas symbolise une connexion sécurisée. En cliquant dessus, on peut afficher le certificat électronique du site, et visualiser le nom de l’organisme.

Attention cependant, il est toujours possible à un agresseur d’intervenir en amont (sur votre machine) ou en aval (sur le site consulté). Il peut aussi essayer de vous aiguiller sur un site frauduleux, au nom très voisin. L’objectif est le plus souvent d’obtenir des informations sensibles. La prudence doit donc être de rigueur.

Pour plus de précisions sur les procédés utilisés par les pirates, nous vous conseillons la lecture de deux articles publiés sur notre blog : Phishing – Mode d’emploi et 10 trucs pour reconnaître un mail d’hameçonnage.

Les forums et les blogs

IMPORTANT : En aucun cas vous ne devez donner d’informations personnelles sur des forums (adresse physique, de messagerie, numéro de téléphone…).

Il est désormais fréquent de communiquer sur des sites communautaires de types forums de discussion ou autres blogs. Il est important de bien garder en mémoire, lorsque l’on veut déposer un message sur ce type de site, que le contenu de vos écrits  pourra être analysé par des robots. Qu’appelle-t-on des robots? Ce sont des programmes capables de récupérer les informations personnelles contenues dans le texte. Il peut s’agir de vos adresses de messageries ou de vos identifiants de messageries instantanées. Ces informations pourront ensuite être utilisées afin de propager du pourriel (spam). Aujourd’hui, il n’est pas rare après avoir déposé son adresse personnelle de messagerie électronique sur un forum de se voir inondé de spams les heures ou jours suivants. Attention, ces informations communiquées sur ces sites resteront publiques et non maîtrisables durant une très longue période.

Le paiement en ligne

IMPORTANT : Soyez prudent sur la nature des données bancaires demandées lors d’un paiement en ligne. Un site ne doit jamais vous demander de saisir votre code secret associé à votre carte bancaire. 

Lorsque que vous décidez de faire des achats sur internet,-vous devez vous assurer du sérieux du site marchand. Il doit offrir toutes les garanties de sécurité lorsque vous payez : chiffrement, possibilité de rétractation….Si vous avez le moindre doute, ne finalisez pas la transaction et signalez le site aux points de contact mentionnés sur contrat de votre carte bancaire.

Pour en savoir plus…

Pour en savoir plus, n’hésitez pas à nous adresser vos commentaires et à partager vos expériences relatives à la sécurité sur internet. Et surtout inscrivez-vous vite à notre wébinaire gratuit du 25 Octobre et recevez le livre blanc 10 pratiques essentielles pour rester en sécurité sur internet.

CISM vs CISSP : quelle certification choisir?

La technologie constitue une réponse courante aux risques de cybersécurité. Cependant,aujourd’hui, envisager de se protéger des risques de sécurité uniquement grâce à la technologie est un leurre. Selon une enquête publiée par IBM, 95% des cyber-attaques réussies ont ciblé un domaine non informatique. Il est donc vital de renforcer les compétences en sécurité dans les entreprises. Or la pénurie de professionnels qualifiés en sécurité informatique représente aujourd’hui un défi majeur pour les organisations de toutes tailles. Selon (ISC)2, le déficit passera à 1,5 million d’ici 2020. L’écart de compétences est un obstacle majeur pour de nombreuses organisations. Mais c’est aussi une opportunité pour les informaticiens. Les enquêtes auprès des responsables informatiques montrent que les certifications en sécurité sont de plus en plus importantes. Les deux certifications en sécurité les plus recherchées sont CISM et CISSP. A l’heure du choix : CISM vs CISSP quelle certification vous convient le mieux?

CISM vs CISSP
Crédits : © Blacksalmon

CISM vs CISSP : l’heure du choix

Les professionnels des Systèmes d’Information possédant certains types de certifications particulièrement recherchés. Ils peuvent donc espérer une meilleure rémunération. CISM et CISSP sont  certifications professionnelles les plus  reconnues dans le domaine de la sécurité de l’information ainsi que le montre le classement 2017 des certifications qui paient le mieux. CISM (Certified Information Security Manager) est une certification de l’ISACA. CISSP (Certified Information Systems Security Professional) est une certification de la fondation (ISC)2. Les deux nécessitent un investissement important en temps et en coût. Alors, laquelle  correspond le mieux à votre profil et à vos compétences?

La différence majeure entre ces deux certifications réside dans leur contenu et le public qu’elles ciblent. CISM se concentre sur le management et la stratégie, et couvre superficiellement les sujets techniques. Elle est, par conséquent, extrêmement prisée pour des Managers (RSSI, CISO,…). A l’inverse, CISSP se focalise principalement sur les aspects tactiques des opérations de sécurité. CISSP concerne donc d’avantage les ingénieurs et techniciens impliqués dans les opérations.

CISM : la certification des managers

CISM (Certified Information Security Manager) est une certification professionnelle délivrée par l’ISACA et détenue par plus de 32.000 professionnels dans le monde parmi lesquels plus de 7.500 ont des responsabilités de CISO ou de RSSI, tandis que plus de 3.500 occupent un rôle de DSI ou de Directeur Informatique. Elle cible spécifiquement les managers en sécurité de l’information. Elle fait partie en 2017, comme en 2016 des trois certifications les mieux rémunérées.

CISM couvre 4 domaines d’expérience dans les quels vous devrez réussir un examen et, ensuite, faire la preuve de votre expérience :

CISM
Crédits : © ISACA
  1. Gouvernance de la sécurité de l’information (24%)
  2. Gestion des risques informationnels (30%)
  3. Développement et gestion d’un programme de sécurité de l’information (27%)
  4. Gestion des incidents de sécurité de l’information (19%)

L’examen, désormais électronique, se compose de 150 questions multi-choix et dure 4 heures. Le score minimum pour réussir l’examen est de 450 points. Cela semble correspondre plus ou moins à 60-70% des réponses correctes. Il est en effet à noter que toutes les questions n’ont pas le même poids. De plus, environ 25 questions ne sont pas notées et figurent dans l’examen uniquement à des fins d’évaluation.

Le syllabus du CISM s’appuie très largement sur COBIT® 5. Aussi une formation COBIT sera une bonne base pour bien comprendre les aspects de gouvernance et de gestion des risques couvrant la première moitié du contenu.

2AB & Associates vous propose de façon régulière des séminaires de formation accrédités par ISACA pour préparer le passage de la certification CISM à Paris, Québec et Abidjan.

CISM : une certification professionnelle

CISM, à l’instar de CISSP ou PMP, est une certification professionnelle. Cela signifie que la réussite à l’examen n’est que la première étape. Vous devrez ensuite postuler, auprès de l’ISACA, à l’obtention de la certification CISM. Pour cela vous devrez prouver, de façon très documentée votre expérience en management de la sécurité de l’information sur 5 années. Vous devrez également donner des références pouvant confirmer cette expérience de façon détaillée. Les références seront ensuite interrogées par des membres de l’ISACA aux fins de vérification. Après un délai de l’orde de 4 à 8 semaines, vous recevrez alors votre certificat ou un mail vous indiquant les raisons du rejet de votre demande.


La certification CISM m’a aidée à progresser du niveau de support IT au service desk à celui de vice-président. La connaissance que j’ai acquise est applicable dans le monde entier, dans tous les pays. (L.D. CISM, IT Security Manager, 3M Company) (Source : site web ISACA)


CISM : une revalidation continue exigée

CISM (Certified Information Systems Security Professional) vise à garantir, non seulement des connaissances, mais aussi votre expérience. C’est ce qui explique le succès de cette certification auprès des Entreprises. Elles sont ainsi assurées de la compétence des titulaires. De plus, vous devrez, chaque année, fournir à l’ISACA des preuves de votre engagement dans un processus d’amélioration continue. A défaut votre certification vous sera purement et simplement retirée de façon définitive.

CISSP : une certification plus technique

CISSP (Certified Information Security Professional) est une certification professionnelle délivrée par la fondation (ISC)2. Elle est détenue par plus de 100.000 professionnels de la sécurité de l’information dans le monde, dont 75% aux seuls Etats-Unis. Le deuxième pays comptant le plus de CISSP est le Royaume Uni.

En Afrique de l’Ouest, on compte 1 certifié au Burkina Faso, 1 au Sénégal, 4 en Côte d’Ivoire, contre 29 au Ghana et 153 au Nigéria. Avec 922 certifiés, la France se classe au 13ème rang mondial. Les certifiés CISSP occupent pour la plupart des responsabilités tactiques et opérationnelles en sécurité du SI (RSSI, responsable réseau, Information Security Manager, architectes IT). Le CISSP se positionne à la 4ème place des certifications les mieux rémunérées.

CISSP couvre huit domaines de compétence dans lesquels vous devrez apporter la preuve de votre expérience avant de pouvoir vous présenter à l’examen :

CISSP
Crédits : © (ISC)2
  1. Gestion des risques et de la sécurité (16%)
  2. Sécurité des actifs (10%)
  3. Ingénierie de la sécurité (12%)
  4. Sécurité des communication et du réseau (12%)
  5. Gestion de l’identité et des accès (13%)
  6. Evaluation et tests de sécurité (11%)
  7. Opération de la sécurité (16%)
  8. Sécurité des développements logiciels (10%)

L’examen, au format électronique, se passe uniquement dans des centres d’examen Pearson VUE. Il comporte 250 questions et dure jusqu’à 6 heures. Le score minimum pour réussir l’examen est de 700 points (sur un total de 1000).

CISSP est une certification recherchée mais difficile à réussir. Pour la préparer et la réussir dès le premier essai, nous vous conseillons de bien vous préparer. Pour ce faire, nous vous conseillons de suivre la formation Réussir la certification CISSP® sur 5 jours. 2AB & Associates propose cette session dans différentes villes dont Paris et Abidjan.

CISSP : une certification professionnelle également

CISSP est également une certification professionnelle mais, à l’inverse du CISM, la preuve de l’expérience préalable dans le domaine doit être fournie en amont de l’examen. Ce n’est que lorsque (ISC)2 aura validé cette expérience d’au moins cinq années à temps complet dans un minimum de deux des 8 domaines de compétence couverts que vous pourrez vous présenter à l’examen. Aucune équivalence n’est admise. Là encore, l’objectif est de s’assurer de la compétence des candidats sur la base de l’expérience.

CISM : comment conserver votre certification

CISSP est une certification qui vise à garantir le maintien de votre compétence dans le temps. Vous devrez donc chaque année fournir à (ISC)2 la preuve que vous avez accumulé des CPEs grâce à des formations ou la participation à certaines conférences. Vous devrez en outre payer un montant annuel de 85$ à (ISC)2 et accumuler un total de 120 CPEs par cycle de 3 ans. A défaut d’apporter la preuve de vos CPEs, votre certification sera annulée. Vous pourrez cependant la récupérer ultérieurement en payant les redevances pour l’intégralité des années de retard et en repassant et  réussissant de nouveau l’examen.

L’intérêt d’une certification

Selon la dernière enquête annuelle réalisée par Certification Magazine les professionnels confirment l’intérêt d’une certification CISM ou CISSP.

Pour beaucoup de professionnels, la valeur de ces certifications réside d’abord dans une meilleure compréhension des concepts clés de leur domaine. Cela semble plus important que l’augmentation espérée de salaire liée à la certification.

Pour les employeurs, elles permettent d’identifier les candidats à fort potentiel dans le domaine de la sécurité du SI. Ces deux certifications démontrent l’expertise approfondie d’un candidat et augmentent la crédibilité et le calibre de son potentiel. C’est une façon de mesurer la qualité d’un candidat. Attention cependant à ne pas trop compter sur les certifications seules au lieu d’évaluer l’adéquation d’une personne à la culture et à la mission de l’entreprise. En soi, une certification ne constitue pas une garantie qu’un praticien réussira dans une organisation particulière.

Alors, CISM vs CISSP? Qu’en pensez-vous?

Si vous hésitez toujours, merci de nous laisser vos remarques et vos questions en commentaire. Nos experts se tiennent à votre disposition pour vous apporter une réponse. Si vous détenez déjà l’une de ces deux certifications, votre commentaire est aussi le bienvenu.

Pour en savoir plus, vous pouvez aussi nous suivre sur les réseaux sociaux et vous abonner sans engagement à notre blog.

Catégories

Archives

Calendrier

octobre 2018
L M M J V S D
« Sep    
1234567
891011121314
15161718192021
22232425262728
293031  
%d blogueurs aiment cette page :