L’« IoT » au service des individus et des entreprises : L’Internet des objets sert principalement de passerelle entre le monde numérique et le monde physique, dans un objectif de faciliter le quotidien de l’Homme. Les véhicules connectés, les maisons connectées, les moniteurs de santé et les dispositifs médicaux implantables en fournissent les meilleurs exemples. Si on me disait, il y a une vingtaine d’années, que je peux verrouiller ma maison ou allumer le chauffage de ma chambre avec un seul clic depuis mon smartphone et à 10km de distance de chez moi, je me dirais qu’on s’est inspiré d’un film de science-fiction où les progrès scientifiques exposés sont physiquement impossibles. Grâce à l’énorme émergence que connaît le monde des technologies de communication en ce moment (l’Internet, le RFID, le Bluetooth, le Wi-Fi, le ZigBee…), les appareils et les systèmes intelligents interagissent et commencent à frapper le grand public. Des études ont estimé que plus de 40 Milliards dispositifs intelligents seront connectés en 2020 (20 Milliards sont connectés en 2018). Quant aux entreprises qui sont mises sous pression de la concurrence internationale, elles commencent à ouvrir la voie au digital et à l’automatisation des services et des processus afin d’améliorer la qualité et les performances. Beaucoup d’entre elles tentent, via l’intégration des solutions « IoT », d’accroître le rendement de leurs activités et de gonfler leurs profits. La question qui se pose ainsi, ces entreprises font elle de la résistance face à la transformation digitale ? En dépit de tous ces avantages et objectifs que les organisations cherchent à atteindre, l’ « IoT » présente un large spectre de problèmes de sécurité, y compris le risque d’endommager les systèmes physiques, de produire des pannes industrielles et de permettre des fuites des données. Les appareils intelligents comprennent un certain nombre de vulnérabilités potentielles qui menacent grandement la sécurité et la confidentialité des données personnelles. Ceci suscite actuellement l’intérêt et l’inquiétude des organisations. La protection des données personnelles fait partie intégrante des obstacles majeurs qui constituent un frein pour leur croissance dans le marché. Les vulnérabilités de l’IoT offrent de nouvelles opportunités aux hackers ; ces derniers peuvent éventuellement s’infiltrer dans les systèmes avancés des victimes pour les infecter via des cyberattaques. Toute machine connectée au réseau constitue une faille face aux potentielles attaques qui la menacent si elle n’est pas sécurisée. Ceci peut engendrer l’exfiltration des données, l’exécution de commandes et la perturbation du fonctionnement du système ciblé. Outre la cybercriminalité, le règlement général pour la protection des données à caractère personnel (GDPR) vient pour mettre en conformité en matière de sécurité des données personnelles toute entreprise et organisation qui propose des services aux citoyens de l’union européenne, quelle que soit son origine. Ces nouvelles restrictions sont au centre des préoccupations des entreprises puisqu’elles imposent des pénalités et amendes sévères allant jusqu’à 4% du chiffre d’affaires sur celles qui ne la respectent pas. Les menaces coexisteront toujours avec l’IoT, elles doivent cependant être écartées pour un monde connecté et sécurisé. On renforce la sécurité des environnements de l’IoT en utilisant des techniques tels que, le chiffrement des données, l’authentification à double/ triple facteurs des utilisateurs, les pen-tests sur les applications validées … Les bonnes pratiques préconisent l’intégration de la sécurité et les techniques que je viens de citer, dans tous les niveaux de vos systèmes IoT. Les éditeurs de logiciels par exemple, doivent s’assurer de la fiabilité et la résilience du code utilisé en respectant les normes de développement avant de mettre en production leur solution. Certes, il est difficile de se protéger complétement contre les menaces, mais ce n’est pas impossible ; il s’avère indispensable de mettre en application ces contremesures afin de répondre positivement entre autres, aux exigences appliquées à la protection des données personnelles en partie et confidentielles en général. Loubna

Un rôle stratégique pour la sécurité La sécurité est aujourd’hui autant une évidence qu’une nécessité : quelle entreprise peut aujourd’hui se passer d’antivirus sur les postes de travail, de tests d’intrusion sur ses sites marchands ou de mettre en place de certificats sur ses sites web ? Si ces principes paraissent si évidents, cela veut aussi dire que nous sommes passés de la sécurité opérationnelle à la sécurité stratégique. La question n’est alors plus « comment dois-je installer mon antivirus ? » mais « comment puis-je protéger mes utilisateurs ? » et ce changement de prisme donne une toute autre dimension au rôle du Responsable de la Sécurité au sein de l’Entreprise : le RSSI. Le RSSI : un luxe ? Le poste de RSSI dans les entreprises est devenu la norme aujourd’hui. Cet acteur est maintenant incontournable dans la vie de l’Entreprise et dans son évolution. Il est là pour apporter un cadre sécurisé pour le développement de l’entreprise et des gages de gestion des risques informationnels en interne et en externe. Les RSSI ne peuvent plus se contenter d’avoir des profils techniques et pointus, discutant uniquement avec leurs congénères techniciens ; ils doivent aussi (et surtout !) être en mesure de prendre en compte les enjeux stratégiques de l’entreprise, discuter avec tous les Métiers de l’Entreprise pour leurs apporter les meilleures solutions de maîtrise des risques et adapter les bonnes pratiques de gouvernance de la sécurité à leur contexte de travail. Cette évolution « culturelle » a permis au RSSI de passer un cap mais a aussi rendu ce genre de profils rare et très recherché. Les grandes entreprises se sont dotées de ce poste et ont réussi en majorité à pourvoir les postes ouverts, mais pour les petites et moyennes entreprises c’est une autre histoire. Ce que nous remarquons globalement dans les PME Françaises, c’est que les principes de sécurité opérationnelle sont appliqués à différents niveaux de maturité, mais que le RSSI est la plupart du temps absent : la fonction est alors cumulée par une autre fonction (DSI, Responsable d’Exploitation, etc.) de manière ponctuelle et compensatoire. Avoir un poste dédié pour la sécurité est alors vu comme un luxe, pas tant par les services informatiques, qui en voient la nécessité, mais par le management de l’Entreprise. Du moins, tel est le cas, jusqu’à la première attaque Malware ou défacement de site web. Mais alors le jeu vaut-il vraiment la chandelle de courir un tel risque ?  Ou alors les PME sont-elles condamnées à courir ce risque en permanence ? La solution du CISOaaS Le RSSI (en anglais CISO) peut lui aussi suivre la mode de la mutualisation : Quoi de mieux que de disposer d’un expert en sécurité, qui connait votre Entreprise et qui peut intervenir à la demande selon vos besoins en termes de sécurité. Les besoins de sécurité pour les PME peuvent être ponctuels par exemple : Je dois rédiger une politique de sécurité ou une charte informatique pour mes employés. Je veux mettre en place un site web et j’aimerais valider les mesures de sécurité. Les besoins peuvent aussi être urgents : J’ai une attaque Malware, je fais comment ? Un de mes clients me demande un Plan d’Assurance Sécurité avant de contractualiser avec nous. Pour tous ces besoins de sécurité, il important de disposer d’un service flexible et efficace qui repose sur un ou des experts en sécurité qui connaissent l’organisation et qui peuvent intervenir à la demande. Chez Actinuance, nous mettons à disposition des PME notre expertise en sécurité pour les accompagner au mieux de leurs besoins de ressources. Cet accompagnement s’articule autour : D’une prise de connaissance de l’organisation pour bien connaître les enjeux et le contexte de l’entreprise et être à même d’intervenir rapidement dans l’organisation D’un support de conseil pour répondre aux questions organisationnelles, fonctionnelles et techniques liées à la sécurité des SI D’une base de méthodologie, de benchmark de sécurité et de livrables-types que nous avons constitué tout au long de nos missions D’outils de pilotage de risques, d’aide aux choix solutions de sécurité et de cartographie de données sensibles Pour plus d’informations sur notre offre « CISOaaS », rendez-vous sur notre site internet : https://www.actinuance.com/cisoaas/ Nidhal

Actinuance Consulting vous souhaite à tous de très bonnes fêtes de fin d’année et une belle année 2018 ! Merci à tous ceux qui nous ont suivi et aidés tout au long de cette année 2017. Grâce à vous tous, aujourd’hui, Actinuance c’est : 1 000 capsules Nespresso (what else?) 146 croissants et pains au chocolat 4 Team Building (dont un lancer de haches – eh oui !) 1 Paella, 1 Fondue (on s’est arrêtés là : il faut continuer à rentrer dans le costume et ne pas être trop épais) 4 gâteaux d’anniversaire (bon en fait, on ne s’est pas arrêtés là) Mais on a encore des progrès à faire, parce que Actinuance c’est aussi : 1 vitre cassée 1 plante qui n’a pas survécu Merci à tous et continuez à nous inspirer !

La restriction de l’accès n’est pas suffisante pour empêcher un acteur malveillant de s’introduire dans les systèmes. Comment les entreprises peuvent-elles donc mieux gérer leurs comptes d’utilisateurs (à privilèges, administrateurs, clients, maintenance…), contrôler l’accès et surveiller les actions d’accès non autorisées ? C’est maintenant le moment d’examiner vos politiques de sécurité et votre système de contrôle d’accès afin de vous assurer qu’ils répondent bien à vos besoins et qu’ils sont conformes aux normes internationales de sécurité. Règle N° 1 : Dotez votre entreprise d’un système de sécurité efficace Votre entreprise doit se doter d’un système de sécurité qui utilise des niveaux de sécurité qui sont adaptés à chaque environnement de travail et à chaque fonction. Pour cela, il est nécessaire d’identifier vos données sensibles et d’évaluer vos activités en termes d’exigences de sécurité. Par ailleurs, la réalisation d’une analyse annuelle du système de contrôle d’accès est une étape critique dans la création d’un processus systématique d’évaluation de la sécurité de votre organisation et c’est le principe de la meilleure pratique qui fournit un cadre pour toutes les autres règles qui vont suivre dans cet article. Règle N° 2 : Implémentez un système d’authentification fort (minimum à trois facteurs) Pour sécuriser l’accès aux sources d’informations de l’entreprise et s’assurer qu’un utilisateur est bien celui qu’il prétend être. Pour certaines activités critiques, il est fortement conseillé de mettre en œuvre au moins 3 techniques de pré-authentification. Certes, l’authentification à deux facteurs (mot de passe et carte à puce ou token…) peut protéger sur le périmètre de travail, mais elle doit être associée à des couches supplémentaires de sécurité en matière d’authentification en dehors. On utilise par exemple une reconnaissance avec un mot de passe, une smartcard et une caractéristique personnelle comme une empreinte digitale ou d’autres facteurs pour s’assurer plus sur l’identité de l’utilisateur qui est autorisé à accéder à une source de données quelconque. Cela augmente la protection contre la violation de données et contre toute attaque extérieure qui pourrait menacer l’intégrité de l’organisme. Règle N° 3 : Si vous n’avez pas besoin de travailler avec cela, vous ne devriez pas y avoir accès C’est bien naturel de n’affecter aux utilisateurs, quelles que soient leurs fonctions, que les droits d’accès dont ils auront besoin, ni plus ni moins. Ce qu’on appelle en anglais Doctrine of Least Access : Les auditeurs ont toujours recours à cette philosophie pour bien définir les contrôles d’accès et restreindre au minimum les droits du personnel IT, administration, maintenance et auxquels s’ajoutent les clients ou les fournisseurs en cas d’existence. En particulier, il faut contrôler le plus les accès des employés informatiques puisqu’ils disposent généralement des droits d’accès qui peuvent engendrer un maximum de dégâts en cas d’utilisation frauduleuse. Nombreuses sont les entreprises qui ont été victimes d’une action interne malveillante provenant d’un personnel IT et qui par la suite l’ont payé cher. Règle N° 4 : Surveillez les activités des comptes Il est conseillé de suivre une réalisation régulière des revues de comptes sur le périmètre des directions, incluant l’identification des comptes contrôlés, les comptes en anomalie et le contrôle de la correction des anomalies (comptes orphelins, à privilèges, comptes dormants, etc.). Votre plan d’action va se baser sur une revue d’habilitation qui permet de valider si le profil a des droits en accord avec sa fonction, si le profil est toujours en activité et si la politique des mots de passe suivie est conforme à la politique de sécurité (exemple : Transmission du mot de passe, changement du mot de passe lors de la première connexion, déblocage ou réinitialisation par un administrateur dûment habilité, complexité des mots de passes, etc.). La correction des anomalies doit être immédiate ; il faut demander des dérogations ou suppression du compte. Règle N° 5 : Sensibilisez de façon permanente vos employés Il suffit qu’un seul employé ouvre une pièce jointe infectée par un virus malveillant pour être victime d’une attaque de phishing et permettre aux attaquants de s’introduire dans votre réseau. Vous devriez impérativement programmer des séances de sensibilisation pour l’ensemble du personnel et leur faire comprendre les enjeux de la sécurité informatique pour l’entreprise et pourquoi pas présenter des exemples pratiques pour éviter de tomber dans de tels incidents. Il faut sensibiliser également vos partenaires / fournisseurs et clients en cas d’existence, dont généralement impliquent différentes exigences d’accès et différents niveaux de confiance. Loubna

Avec l’arrivée du Règlement Européen relatif à la protection des données à caractère personnel dans moins de neuf mois et l’augmentation des montants de sanctions, de nombreuses entreprises désirent se mettre en conformité. Cette mise en conformité peut parfois s’avérer coûteuse pour les entreprises dotées d’une organisation complexe. Il est donc important de prioriser les actions de mise en conformité et de focaliser ces efforts sur les thématiques critiques. Pour déterminer ces « thématiques critiques », nous vous proposons une étude sur les sanctions attribuées par la CNIL sur ces sept dernières années. Source : https://www.cnil.fr/fr/les-sanctions-prononcees-par-la-cnil Cette étude a pour but d’analyser : Le type de sanction (simple avertissement ou sanction financière) Les causes de ces sanctions LES TYPES DE SANCTION Les sanctions attribuées par la CNIL sont de quatre types : Avertissement non-public Avertissement public Sanction pécuniaire non-publique Sanction pécuniaire publique Voici la répartition de ces sanctions depuis 2011 : Les sanctions de la CNIL peuvent avoir deux types d’impact sur une entreprise : Impact sur l’Image de l’entreprise Impact Financier Il est à noter que les sanctions pécuniaires sont actuellement limitées à 150 000 €, ce qui ne sera plus le cas avec le RGPD. LES CAUSES DE SANCTION Les principales causes de sanction CNIL sont : Le Traitement illicite de données à caractère personnel Les manquements de Sécurité Le non-respect des droits des personnes concernées La non-coopération avec la CNIL Il est néanmoins à noter que tous ces manquements ne sont pas équivalents et ne sont pas sanctionnés de la même manière par la CNIL. Ainsi, si la sécurité représente 29% des motifs de sanctions, elle ne représente que 19% des sanctions pécuniaires. Le principal motif de sanction reste le traitement illicite, avec en particulier le défaut d’information des personnes concernées et le défaut de collecte du consentement. Pour ce motif, la CNIL n’hésite pas à attribuer la sanction maximale, ce qui a été le cas pour un célèbre moteur de recherche ou encore pour un célèbre réseau social récemment. Le second motif de sanction pécuniaire est le non-respect des droits des personnes, avec en particulier le non-respect des droits d’opposition et d’accès. Si ce motif est encore peu regardé par la CNIL (15% des sanctions), les sanctions attribuées sont à plus de 75% d’ordre pécuniaire. La sécurité est un domaine auquel la CNIL s’intéresse de plus en plus. En effet le nombre de sanctions CNIL liées à un manquement de sécurité a augmenté de 450% en 7 ans, soit en moyenne plus de 50% par an. NOS PRÉCONISATIONS Sachez où sont vos données et ce que vous en faites ! Disposer d’une cartographie de vos Données à caractères personnel et de vos Traitements vous permettra : D’informer les personnes concernées des Traitements réalisés : Une fois les Traitement cartographiés, vous connaissez les données utilisées, et la finalité du Traitement. Reste à rédiger un message d’information et à le diffuser. D’être en capacité de respecter les droits des personnes : Vous savez où sont les données de chaque personne et vous êtes en capacité de les lui communiquer, de les modifier, de les effacer sur l’ensemble de votre SI ou de justifier pourquoi ce n’est pas possible. Reste à déterminer les conditions auxquelles vous accepter d’accéder à la demande. De sécuriser votre SI : savoir quelle sont les données à protéger est la première étape vers la sécurisation de votre SI Réaliser cette cartographie vous semble compliqué ? Nous pouvons vous y aider grâce à notre outil IT Maps, qui scan votre SI et cartographie vos données et traitements IT. Une fois que vous disposez d’une telle cartographie, il vous faut encore analyser chaque Traitement afin de vous assurer de sa licéité. Enfin, il vous faudra adapter les processus de votre entreprise, mais cela fera l’objet d’un autre article. Aymen

ACYMA (Action contre la Cybercriminalité) est le tout nouveau dispositif national d’assistance aux victimes de cyber-attaques. Ce dispositif créé par l’ANSSI s’adresse aux particuliers, mais aussi au TPE, PME et collectivités territoriales. L’idée d’ACYMA est de créer une plateforme mettant en relation les TPE, PME, collectivités territoriales et les particuliers avec des prestataires techniques de proximité. « Concrètement, une victime d’un acte de cyber malveillance pourra se connecter sur une plateforme en ligne qui lui indiquera la marche à suivre. Grâce à ses réponses au questionnaire, la victime sera orientée vers les prestataires de proximité susceptibles de répondre à son besoin technique. ACYMA fournira également des contenus de sensibilisation aux enjeux de la protection de la vie privée numérique et développera des campagnes de prévention en la matière. Grâce au recueil de nombreuses statistiques, ACYMA créera un observatoire du risque numérique permettant ainsi de l’anticiper. » Source : https://www.ssi.gouv.fr/presse/communiques-de-presse/ Mais ce dispositif peut-il être efficace ? Plusieurs difficultés ont déjà été soulevées lors de la présentation d’ACYMA au FIC 2017 : La disparité des besoins entre TPE/PME et les particuliers Les suites judiciaires données aux attaques identifiées La disponibilité et les compétences des prestataires techniques de proximité Notons déjà qu’il s’agit de difficultés également rencontrées dans la plupart des grandes entreprises et OIV : Les risques et les besoins en termes de cyber-sécurité des industriels sont en général assez différents de ceux des banques, par exemple. Des suites judiciaires ne peuvent être données que si l’auteur de l’attaque et sa manière de procéder sont formellement identifié (via les moyens de l’entreprise attaquée). Les compétences en cyber-sécurité sont rares quel que soit la taille de l’entreprise ou son domaine d’activité. La principale différence entre les grandes entreprises et les TPE/PME, collectivités territoriales et particuliers, concerne les moyens mis en œuvre pour lutter contre les cyber-attaques. Ce que propose ACYMA n’est pas de résoudre pour les « petits » l’intégralité des problèmes qui se posent pour tous en matière de cyber-sécurité. Son rôle est de leur donner les mêmes moyens qu’aux plus grands. Cela implique notamment de ne pas se limiter aux prestataires techniques « de proximité ». Notons également qu’en termes de moyens, les grandes entreprises investissent principalement en prévention des cyberattaques ; que ce soit pour diminuer la probabilité de ces attaques, pour en limiter les conséquences, ou pour mettre en place les moyens de gestion de cyber-crises. Le budget effectivement dépensé lors de cyber-crises déclarées est en réalité assez faible. D’ailleurs les principales attaques (ransomware, phishing, attaques Wifi, attaques mot de passe, DDoS) doivent être gérées en amont (solutions de sécurité, sensibilisation, etc..). De même, ACYMA doit s’orienter vers de la prévention plutôt que vers du forensic. Alors ACYMA, un nouveau cyber-vaccin ? Estelle

Bitcoin est un système de paiement peer-to-peer qui s’est fortement démocratisé depuis une dizaine d’années. Son principe consiste à se dispenser des tiers de confiance habituels, en faisant reposer la confiance sur la preuve cryptographique. Bitcoin est donc une forme de monnaie numérique, créée et tenue par voie électronique et non-contrôlée par les organismes habituels. Les Bitcoins ne sont pas imprimés, comme les monnaies traditionnelles, mais produits par des personnes ou des entreprises. Cette monnaie est utilisée dans l’achat et la vente en ligne. Cependant, sa caractéristique la plus importante, et ce qui la différencie de l’argent conventionnel est qu’elle soit décentralisée. La blockchain est sans doute l’innovation la plus importante introduite par Bitcoin. On ne peut pas parler du Bitcoin sans mentionner cette technologie de registre visible publiquement qui permet des transactions transparentes tout en préservant l’anonymat de ses utilisateurs. La blockchain est essentiellement une base de données distribuée traçant toutes les transactions Bitcoin depuis son apparition, le 3 janvier 2009. Il s’agit du socle qui rend possible les monnaies numériques peer-to-peer distribuées. D’un point de vue sécurité, le système Bitcoin garanti la disponibilité et l’intégrité via l’utilisation de la technologie Blockchain. La confidentialité est assurée par l’anonymat de l’utilisateur et des transactions effectuées : une adresse différente est générée lors de chaque transaction afin de ne pas associer la transaction à un utilisateur. Par ailleurs, le système Bitcoin exige un accès physique ce qui tend à sécuriser l’authentification de l’utilisateur. En supprimant l’intervention des tiers de confiance, le système Bitcoin offre une certaine liberté à ces utilisateurs, mais tend également à les responsabiliser. Ainsi plusieurs changements sont notables par rapport aux systèmes classiques : Le système, purement peer-to-peer, interdit l’intervention (interruption des transactions, gel des comptes) et le contrôle d’établissements financiers ou étatiques Les transactions Bitcoin sont plus rapides et généralement moins coûteuses que les transferts d’argent classiques. La transaction Bitcoin est irréversible : les transactions étant anonymes, il est impossible de revenir en arrière. L’authentification et les mesures à mettre en place pour la garantir sont laissées à la responsabilité de l’utilisateur : sécurité physique des « devises » et disponibilité de ces devises.

Les années 90 ont marqué l’histoire en introduisant une technologie jugée révolutionnaire : « Internet ». Aujourd’hui c’est la « Blockchain » qui prend la relève, une nouvelle technologie qui permet de se passer de tout intermédiaire. Mais que veut dire « Blockchain » ? En effet la blockchain peut être définie comme un registre de compte important sur lequel tout le monde peut y avoir accès et où chaque page représente un bloc. Les individus appelés « Mineurs » se chargent de valider ces blocs qui par la suite ne pourront subir aucune modification. Ainsi la blockchain permet de stocker une donnée dans un réseau public tout en étant certain que personne n’aura la capacité de la supprimer ou de la modifier. Et alors … ?! Imaginons que vous souhaitez envoyer de l’argent à une personne qui habite dans un autre pays. Pour réaliser cette transaction vous êtes dans l’obligation de passer par une banque, de payer des frais importants mais aussi d’attendre plusieurs jours avant que l’argent soit arrivé chez votre destinataire. Ainsi, avec la technologie blockchain vous avez la possibilité de réaliser la même transaction en limitant ces contraintes (suppression des intermédiaires, diminution des frais et allègement des délais). De plus, la blockchain est constituée d’une autre application qui est celle de la protection de la propriété (numérique et intellectuelle). En effet, cette-dernière est capable de stocker des « Blueprint » qui jouent le rôle de brevets et qui serviront donc de preuve en cas de litige. Focus sur la cybersécurité Dans une aire où les attaques se multiplient, la sécurité informatique semble jouer un rôle de plus en plus important au sein des entreprises. Celle-ci est déclinée en quatre grands axes : Disponibilité Intégrité Confidentialité Traçabilité La première analyse de la technologie blockchain permet de comprendre qu’elle possède la capacité à répondre à trois des quatre grands axes de la sécurité informatique : Disponibilité : à travers son caractère distribué (voir exemple ci-après), Intégrité : à travers l’impossibilité de modifier les données stockées sur la blockchain, Traçabilité : à travers l’enregistrement et l’accessibilité de toutes les transactions et évènements dans le monde entier. Néanmoins, le premier challenge de la blockchain en termes de sécurité sera de trouver une réponse à l’axe de la confidentialité qui représente un besoin primaire pour les entreprises gérant des données à caractère sensible. Et si la Blockchain devenait « Mainstream » ! Le 10 Mai dernier, un « aiguilleur du Net » français (Cedexis) a subi une attaque de déni de service distribué (DDoS) entrainant dans son sillage plusieurs grands sites d’informations français (Le Figaro, Le Monde, Le Parisien ou encore L’Équipe), les mettant alors hors service. L’attaque par saturation de requêtes DNS ciblait le réseau DNS Anycast, son impact pour une grande partie des sites a duré entre 5 et 53 minutes, une durée d’indisponibilité très importante. Figure 1 : Attaque DDoS (DNS classique) Ainsi, imaginons une situation où les enregistrements DNS sont sauvegardés sur la Blockchain. Grâce à celle-ci le niveau de sécurité s’améliorera de façon considérable car elle pourra réaliser le scénario suivant : Remplacer le DNS classique centralisé par un DNS distribué qui pourra faire face aux attaques DDoS en supprimant la cible unique que les hackers peuvent attaquer pour compromettre l’ensemble du système. Figure 2: Attaque DDoS (DNS distribué) Aymen

Le 18 mai 2017, la commission européenne inflige une amende de 110 millions d’euros au géant de la Silicon Valley Facebook pour avoir fourni de fausses informations concernant son acquisition de WhatsApp en 2014. L’entreprise américaine avait annoncé en 2014 qu’elle était dans l’incapacité d’établir une correspondance entre un compte utilisateur Facebook et un autre WhatsApp, mais les résultats des enquêtes de la commission européenne ont prouvé le contraire. L’enquête a été déclenchée suite à la mise à jour des conditions d’utilisation de WhatsApp, qui demandent l’autorisation des utilisateurs pour transférer leurs données vers Facebook ou Instagram afin de proposer de la publicité ciblée. Contrairement à ce qui a été déclaré par Facebook en 2014, non seulement l’entreprise californienne avait la capacité technique pour réaliser ce mapping, mais encore, ses employés étaient au courant de cette possibilité. La commissaire à la concurrence Margreth Vestager a déclaré « la décision prise envoie un signal fort aux entreprises, montrant qu’elles doivent respecter tous les aspects du règlement de l’UE sur les concentrations, y compris l’obligation de fournir des informations exactes ». Réagissant à l’annonce de la commission européenne, Facebook a déclaré : « Nous avons agi de bonne foi depuis nos premières rencontres avec la Commission européenne et nous avons cherché à fournir des informations exactes à chaque fois », « L’erreur que nous avons faite dans les documents fournis en 2014 n’était pas intentionnelle et la Commission a confirmé que cela n’a pas eu d’impact sur le résultat de l’examen de la fusion ». La sanction annoncée survient après des amendes infligées en Italie (le 12 mai) et en France (le 16 mai) contre Facebook et WhatsApp pour manquement de la loi informatique et liberté : L’autorité de la concurrence italienne vient d’annoncer une sanction de 3 millions d’euros, La CNIL elle a annoncé une amende de 150 000 euros. L’amende annoncée par la commission européenne représente 1% du bénéfice mondial réalisé par Facebook en 2016, ou 6% du bénéfice européen. Les sanctions de la CNIL et de l’autorité Italienne quant à elles, sont hautement symboliques. Cependant, avec l’arrivée de la nouvelle réglementation GDPR (protection des données à caractère personnel) qui entrera en vigueur le 25 Mai 2018, les autorités européennes seront en mesure de prononcer des sanctions qui pourraient atteindre 4 % du chiffre d’affaire annuel mondial. Pour Facebook, une telle amende représenterait plus de 60% de son bénéfice réalisé en Europe. Aymen

Dans bon nombre d’Organisations, les responsables des risques de sécurité des SI (et par extension des risques SI) sont confrontés à des demandes émanant de plusieurs sources et à des besoins qui peuvent paraitre inconciliables et sont souvent abordés de manière unitaire : Établir et maintenir une cartographie des risques, comme étant le socle de l’approche par les risques, mais aussi comme étant un référentiel de gestion des risques compréhensible et intégrable à l’échelle de l’entreprise (avec le référentiel des risques opérationnels dans le domaine financier typiquement), Mettre en œuvre les plans d’actions et mesures de sécurité, que cela ait pour origine par exemple des audits, des actions de mise en conformité, des projets de sécurité des SI ou des projets à l’échelle de l’entreprise, Déployer un dispositif de contrôle permanent, répondant aux référentiels de risque ou de qualité de l’entreprise et permettant de fournir une mesure cyclique de la performance et du niveau de couverture de risques des processus de contrôle. Mais, ces différentes pièces du puzzle sont parfaitement agençables, tout est affaire de perspective ! Voici dans la suite une vision qui permet de mettre cela en musique. L’approche par les risques L’approche par les risques est modélisée dans plusieurs référentiels et normes, parmi lesquels nous pouvons citer ISO 27005 et EBIOS. Globalement, le principe de cette approche est de définir le contexte dans lequel évolue l’Organisation, afin d’identifier et évaluer ses risques. Une fois le risque évalué, les mesures de traitement sont proposées, pour ramener les risques à un niveau acceptable et/ou en accepter les conséquences potentielles. Enfin, ces risques sont surveillés, pilotés et reportés, le cas échéant, aux instances exécutives. Cette démarche est réalisée de manière incrémentale et itérative, pour constituer un des fondements de la Gouvernance des risques et de la sécurité des SI. Donner du liant Le cadre de gestion des risques donne les premières clés pour définir les plans d’actions et projets SSI et mettre en place des contrôles pertinents et efficaces sur les processus de sécurité des SI : Un projet/ plan d’action de sécurité des SI est pertinent (dans le sens sécuriste du terme) s’il peut être relié à – au moins – un risque de sécurité des SI, cartographié et mesuré, Un contrôle de sécurité ne peut être mis en place que si le processus le sous-tendant est défini et fonctionnel. Ce contrôle est transverse et doit prendre en compte les actions de traitement du risque et son processus d’acceptation. A ces principes s’ajoute la dimension temporelle : Un projet est par définition fini dans le temps (dans la théorie tout du moins). Cela implique que lorsque nous décidons de traiter un risque en mode projet (Build), le risque n’est réduit que lorsque le projet est livré (mise en production/ procédure finalisée et appliquée/ etc.) Un contrôle est par définition cyclique. Il intervient en mode RUN, c’est-à-dire une fois un projet livré ou un processus mis en place. La performance du contrôle est mesurée par les indicateurs de la Sécurité des SI. Avec ces principes, la liaison tripartite apparait donc entre le risque, le plan d’action et le contrôle. Voyons cela à travers un exemple simple : J’identifie et évalue un risque de sécurité des SI Risque d’attaque virale Ce risque peut être traité par un projet : Déploiement d’un antivirus sur tous les postes de travail Dans ce cas, tout au long du projet de déploiement (disons qu’il se fait en mode big-bang), mon risque existe toujours, et au même niveau. Une fois mon antivirus déployé, mon risque est réduit. Mais, je dois m’assurer en mode Run que le flux de postes de travail est toujours protégé. Dans ce cas je mets en place un contrôle cyclique : Contrôle sur l’exhaustivité de la couverture antivirale sur les postes de travail Par contre dans ce cas, ma réduction du risque est proportionnelle à la performance de mon contrôle : Une couverture de 98% du parc peut être jugée satisfaisante, par contre une couverture à 80% peut entrainer le déclenchement de plans d’amélioration du processus. Bien évidemment, un risque peut être réduit uniquement en mode projet ou uniquement via la mise en place d’un contrôle. Cette vision peut être synthétisée ainsi : Vers une gouvernance de la sécurité des SI Dans le modèle que nous proposons, un projet / un contrôle peut être relié à un ou plusieurs risques SSI. Inverser la vision, revient à mesurer la contribution d’un projet ou d’un contrôle à la réduction des risques SSI. Pour alimenter la gouvernance de la Sécurité des SI, il nous « suffit » alors de relier les notions de contribution à la réduction des risques et celle du coût d’un projet ou d’un contrôle. Nous en ressortons une dernière dimension, plus parlante pour la gouvernance, celle de l’efficacité. L’efficacité d’un projet de sécurité serait alors le ratio de sa contribution à la réduction du risque sur le coût du projet. Cette vision peut s’avérer être d’une efficacité redoutable lorsqu’il s’agit de justifier les demandes de budget ou lors du pilotage des projets. Nous voyons donc émerger des notions que le Responsable de Sécurité des SI utilise dans le pilotage de son activité, notamment : Le plan projet et les budgets SSI, Les indicateurs et tableau de bord SSI. …Et que nous détaillerons dans un autre article. En attendant, Actinuance Consulting accompagne ses clients pour la mise en place et l’outillage de cette approche, au sein des Directions des Risques, des Directions de la Sécurité des SI ou des DSI. Si cette approche vous intéresse, n’hésitez pas à nous contacter pour de plus amples détails. Estelle

Le Règlement européen sur la protection des données compte une centaine d’articles, répartis en onze chapitres. Il reprend les exigences de la Directive 95/46/CE et intègre de nouvelles dispositions, notamment des sanctions pouvant atteindre 4% du chiffre d’affaires annuel mondial total. Il est applicable depuis mai 2016, un délai de mise en application des dispositions du Règlement est accordé aux entreprises jusqu’en mai 2018. Il convient donc de prendre les mesures nécessaires afin de se mettre en conformité. Il est dispensable d’aborder la mise en conformité du point de vue Juridique, mais également du point de vue SI et SSI. Cela permettra de définir de manière pragmatique les projets à déclencher et les livrables à fournir afin d’être conforme au Règlement d’ici mai 2018. Rôles et Responsabilités : Concrètement, cette nouvelle organisation en termes de rôles et responsabilités implique : De fournir les preuves du respect du Règlement à l’autorité de contrôle, c’est à dire : De disposer d’un descriptif des mesures de sécurité techniques et organisationnelles mise en place (ex : Chiffrement), D’actualiser le plan de contrôle de l’entreprise pour vérifier la mise en place de ces mesures et plus généralement, pour vérifier la conformité au Règlement (ex : Information des personnes concernées). De revoir le cadre juridique des prestations, De désigner et de redéfinir les missions du DPO (Data Protection Officer – actuel CIL) pour le placer au cœur du traitement des données (fiche de poste, formations…) Organisation Projet : L’ensemble des projets utilisant des données à caractère personnel devra respecter un certain nombre d’exigences et le DPO (Data Protection Officer) doit être au centre de cette nouvelle organisation. Concrètement, cette nouvelle organisation projet implique : De déterminer la finalité du traitement (pour chaque projet) et d’en informer le DPO, De réaliser, pour chaque projet, une analyse de risques documentée (typologie des risques, scores, taux de conformité, taux de résolutions, cellules de crises…). Organisation sur le cycle de vie d’une donnée : Concrètement, cette nouvelle organisation projet implique : De disposer d’un processus de recensement des consentements, De disposer de registres de traitement tenus à jour (catégorie de données personnelles, traitements effectués sur ces données, cartographie de stockage des données…), De garantir les droits des personnes concernées, c’est-à-dire de disposer : De processus des modalités d’exercice des droits des personnes concernées, D’une historisation des demandes, D’un PCA / PRA garantissant l’exercice des droits des personnes concernées dans un délais raisonnable. De disposer d’une politique d’anonymisation et de pseudonymisation, De disposer d’une politique de purge des données. Actinuance Consulting (spécialisée en gestion des risques) s’associe à un cabinet juridique pour vous proposer ses services et vous aider à définir un plan de mise en conformité GDPR. N’hésitez pas à nous contacter pour plus d’informations. Estelle

Avec le nouveau règlement européen de protection des données personnelles, les entreprises se posent la question de l’approche à adopter pour se mettre en conformité par rapport à ce règlement. Dépendant de leurs niveaux de maturité en conformité et en gestion des risques, ces entreprises ne partent pourtant pas de zéro : elles ont par exemple identifié et déclaré les traitements de données à caractère personnel, ou bien mis en place les processus de gestion des risques liés à la conformité. Les méthodes de gestion des risques « traditionnelles » peuvent être mises à profit pour intégrer la gestion des risques conformité Informatique et Libertés : Cette approche s’inspire des méthodes et outils de gestion des risques, notamment les risques SI et de Sécurité des SI. Une telle approche permet d’identifier les actifs à protéger, pour évaluer les risques pouvant les affecter et les mesures adéquates à préconiser. Nous voyons donc le rapprochement qui peut être fait avec les processus existants au sein de l’entreprise. Analyse et processus et identification des actifs à protéger Avant de proposer une série de mesures destinées à mettre en conformité une entreprise, il faut cibler les « actifs » à protéger, ici les données à caractère personnel, et déterminer l’enjeux d’un risque sur ces actifs. Le règlement rappelle la primauté de la personne, et la nécessité du respect de ses droits. Les traitements de données doivent donc être priorisés selon cet angle de vue. Une échelle de criticité peut être appliquée, pour identifier pour chaque traitement le niveau d’impact pour les personnes. La criticité doit, entre autres, tenir compte du nombre de personnes concernées, de la sensibilité des données (en s’écartant des critères définis par la CNIL si besoin), du fondement légal du traitement – et in fine de la perception de la sensibilité par les personnes elles-mêmes, si nécessaire en les consultant. Identification des écarts de conformité Les écarts par rapport au règlement se traduisent en risques de conformité pour l’entreprise. Pour une approche efficace, une démarche d’audit peut être adoptée. Il s’agit alors d’établir une grille d’audit, avec pour base les obligations du règlement. Le Règlement définit les obligations du responsable de traitements en son chapitre IV, articles 24 à 34, et en propose une synthèse dans l’article 84, définissant les sanctions afférentes. La grille d’audit contiendra donc les thématiques du règlement (par exemple : maitrise des finalités, minimisation des données), avec des points de contrôle pour chacune des thématiques et une évaluation des écarts en fonction des réponses fournies. Cartographie des traitements et proposition de plan de mise en conformité Avec cette double approche nous obtenons une évaluation sur deux axes : la criticité des traitements et les écarts au règlement : Comme pour la cartographie des risques, cette cartographie des traitements nous permet alors de prioriser les traitements à mettre en conformité. Cette approche unitaire doit bien entendu être consolidée par une approche globale, qui permet notamment d’identifier la Gouvernance à mettre en place, les rôles et responsabilités au sein du dispositif de conformité et les politiques et chartes à rédiger ou à mettre à jour. Ainsi, les méthodes d’analyse de risques, peuvent être mises à profit, pour réaliser un diagnostic des écarts de conformité et identifier les premières mesures à appliquer. En particulier, le processus d’analyse de risques SI et SSI, très populaire et assez démocratisé dans les cycles de vie des projets. Ce processus en particulier peut constituer un point de départ pour mettre en place et adapter une des obligations du règlement : L’analyse d’impact relative à la protection des données. Estelle