Le 18 mai 2017, la commission européenne inflige une amende de 110 millions d’euros au géant de la Silicon Valley Facebook pour avoir fourni de fausses informations concernant son acquisition de WhatsApp en 2014. L’entreprise américaine avait annoncé en 2014 qu’elle était dans l’incapacité d’établir une correspondance entre un compte utilisateur Facebook et un autre WhatsApp, mais les résultats des enquêtes de la commission européenne ont prouvé le contraire. L’enquête a été déclenchée suite à la mise à jour des conditions d’utilisation de WhatsApp, qui demandent l’autorisation des utilisateurs pour transférer leurs données vers Facebook ou Instagram afin de proposer de la publicité ciblée. Contrairement à ce qui a été déclaré par Facebook en 2014, non seulement l’entreprise californienne avait la capacité technique pour réaliser ce mapping, mais encore, ses employés étaient au courant de cette possibilité. La commissaire à la concurrence Margreth Vestager a déclaré « la décision prise envoie un signal fort aux entreprises, montrant qu’elles doivent respecter tous les aspects du règlement de l’UE sur les concentrations, y compris l’obligation de fournir des informations exactes ». Réagissant à l’annonce de la commission européenne, Facebook a déclaré : « Nous avons agi de bonne foi depuis nos premières rencontres avec la Commission européenne et nous avons cherché à fournir des informations exactes à chaque fois », « L’erreur que nous avons faite dans les documents fournis en 2014 n’était pas intentionnelle et la Commission a confirmé que cela n’a pas eu d’impact sur le résultat de l’examen de la fusion ». La sanction annoncée survient après des amendes infligées en Italie (le 12 mai) et en France (le 16 mai) contre Facebook et WhatsApp pour manquement de la loi informatique et liberté : L’autorité de la concurrence italienne vient d’annoncer une sanction de 3 millions d’euros, La CNIL elle a annoncé une amende de 150 000 euros. L’amende annoncée par la commission européenne représente 1% du bénéfice mondial réalisé par Facebook en 2016, ou 6% du bénéfice européen. Les sanctions de la CNIL et de l’autorité Italienne quant à elles, sont hautement symboliques. Cependant, avec l’arrivée de la nouvelle réglementation GDPR (protection des données à caractère personnel) qui entrera en vigueur le 25 Mai 2018, les autorités européennes seront en mesure de prononcer des sanctions qui pourraient atteindre 4 % du chiffre d’affaire annuel mondial. Pour Facebook, une telle amende représenterait plus de 60% de son bénéfice réalisé en Europe. Aymen

Le Phishing Le phishing est une méthode qui consiste, le plus souvent, en un envoi de mail contrefait. Les méthodes utilisées sont de plus en plus sophistiquées (logos, e-mails officiels, faux sites internet…). La meilleure protection face à cela est l’esprit critique : il faut systématiquement se demander si l’e-mail reçu n’est pas un piège. Au-delà de cela, il est tout de même nécessaire de respecter quelques règles de sécurité : Ne jamais communiquer vos mots de passe, Ne jamais envoyer de copie de documents officiels (papier d’identité, justificatifs de domicile, RIB, etc.), Ne jamais cliquer sur les liens présents dans un e-mail sans vérifier préalablement l’url. En cas de doute sur la véracité d’un e-mail, contactez l’émetteur, par un autre moyen (voie officielle ou habituelle). Les Réseaux Publics A l’heure du Wifi gratuit et accessible à tous et partout, n’oublions pas que les réseaux publics ne sont en général pas sécurisés. Quelques règles simples permettent de réduire le risque de vol de vos données lorsque vous utilisez un réseau public : Ne jamais se connecter à ses applications bancaires, sa boite e-mail ou application professionnelle et ne jamais saisir ses coordonnées bancaires sans le « https » et le cadenas, sur quelque réseau/ordinateur que ce soit, Ne jamais réaliser un achat en ligne, enregistrer ou créer des documents dont la divulgation poserait problème (tant vie privée que professionnelle), Ne jamais installer de logiciel soi-disant obligatoire pour vous connecter au réseau public et ne jamais télécharger de mise à jour, Utiliser un mot de passe dédié, différents de tous vos autres comptes, si le lieu public en demande un. Les Mots de Passe Quelques règles simples permettent de limiter les risques de piratage de vos accès : Définir des mots de passe longs (plus de 8 caractères) et complexes (mélange de majuscules, minuscules, chiffres, voire caractères spéciaux), Utiliser des mots de passe différents pour chaque compte (messagerie, banque, applications professionnelles, etc.), Changer régulièrement de mot de passe sur les sites sensibles, Choisir soigneusement les questions de sécurité en évitant absolument celles dont les réponses se trouvent sur Internet. Le Social Engineering En général, une attaque d’ingénierie sociale se déroule ainsi : L’approche : mettre la victime en confiance. Le pirate se fait souvent passer pour une personne de la hiérarchie, de l’entreprise, de son entourage ou pour un fournisseur ou un client. La pression est faible ; rien ne vous est demandé dans l’immédiat. L’attaque : déstabiliser la victime et s’assurer de sa réponse et de son action rapide (fait référence à la première phase, créant ainsi un sentiment de logique). La demande revêt un caractère d’urgence. La diversion : détourner l’attention de la victime et éviter qu’elle ne donne l’alerte, en la rassurant et retarder la prise de conscience de l’arnaque. Il peut s’agir d’une phrase de remerciement ou de la redirection vers le site web réel de l’entreprise dont l’identité est usurpée. L’ingénierie sociale peut utiliser tous les canaux de communication. Soyez vigilants dès lors : Qu’il ne s’agit pas de votre interlocuteur habituel. Que votre interlocuteur habituel utilise un canal inhabituel. Qu’il est fait état d’un caractère d’urgence, ou de menaces de conséquences importantes. N’hésitez pas à recontacter, par le canal habituel, l’entreprise d’où émane la demande, et vous faire confirmer par un interlocuteur connu de vous, la demande initiale. Les réseaux sociaux Pour préserver au mieux les informations que l’on poste sur les réseaux sociaux, voici quelques règles élémentaires : Mesurer l’impact de la diffusion de l’information (commentaire, photo…) à l’instant t mais également dans l’avenir, Ne pas publier d’information sur des tiers (entreprise ou particuliers) sans avoir leur consentement formel, S’assurer que les paramètres de sécurité sont correctement définis pour restreindre la visibilité de ses informations personnelles et de celles de son réseau. Internet Au-delà des informations demandées à l’utilisateur sur les sites internet, il existe d’autres sources de données comme l’historique de navigation, les sites visités, les produits recherchés, l’environnement de l’internaute… Pour préserver, au mieux, vos informations personnelles, voici quelques règles élémentaires : Limiter au strict nécessaire les informations communiquées sur Internet, Paramétrer votre navigateur (enregistrement automatique de MdP, sécurité, cookies, historique, cache…). La navigation privée permet d’utiliser Internet sans laisser aucune trace, en ne conservant aucune donnée de navigation. Concernant les achats en ligne : Effectuer le règlement via un opérateur de paiement connu (banque, opérateur spécialisé), Vérifier la présence du cadenas devant l’URL, symbole d’une connexion sécurisée. Estelle

ACYMA (Action contre la Cybercriminalité) est le tout nouveau dispositif national d’assistance aux victimes de cyber-attaques. Ce dispositif créé par l’ANSSI s’adresse aux particuliers, mais aussi au TPE, PME et collectivités territoriales. L’idée d’ACYMA est de créer une plateforme mettant en relation les TPE, PME, collectivités territoriales et les particuliers avec des prestataires techniques de proximité. « Concrètement, une victime d’un acte de cyber malveillance pourra se connecter sur une plateforme en ligne qui lui indiquera la marche à suivre. Grâce à ses réponses au questionnaire, la victime sera orientée vers les prestataires de proximité susceptibles de répondre à son besoin technique. ACYMA fournira également des contenus de sensibilisation aux enjeux de la protection de la vie privée numérique et développera des campagnes de prévention en la matière. Grâce au recueil de nombreuses statistiques, ACYMA créera un observatoire du risque numérique permettant ainsi de l’anticiper. » Source : https://www.ssi.gouv.fr/presse/communiques-de-presse/ Mais ce dispositif peut-il être efficace ? Plusieurs difficultés ont déjà été soulevées lors de la présentation d’ACYMA au FIC 2017 : La disparité des besoins entre TPE/PME et les particuliers Les suites judiciaires données aux attaques identifiées La disponibilité et les compétences des prestataires techniques de proximité Notons déjà qu’il s’agit de difficultés également rencontrées dans la plupart des grandes entreprises et OIV : Les risques et les besoins en termes de cyber-sécurité des industriels sont en général assez différents de ceux des banques, par exemple. Des suites judiciaires ne peuvent être données que si l’auteur de l’attaque et sa manière de procéder sont formellement identifié (via les moyens de l’entreprise attaquée). Les compétences en cyber-sécurité sont rares quel que soit la taille de l’entreprise ou son domaine d’activité. La principale différence entre les grandes entreprises et les TPE/PME, collectivités territoriales et particuliers, concerne les moyens mis en œuvre pour lutter contre les cyber-attaques. Ce que propose ACYMA n’est pas de résoudre pour les « petits » l’intégralité des problèmes qui se posent pour tous en matière de cyber-sécurité. Son rôle est de leur donner les mêmes moyens qu’aux plus grands. Cela implique notamment de ne pas se limiter aux prestataires techniques « de proximité ». Notons également qu’en termes de moyens, les grandes entreprises investissent principalement en prévention des cyberattaques ; que ce soit pour diminuer la probabilité de ces attaques, pour en limiter les conséquences, ou pour mettre en place les moyens de gestion de cyber-crises. Le budget effectivement dépensé lors de cyber-crises déclarées est en réalité assez faible. D’ailleurs les principales attaques (ransomware, phishing, attaques Wifi, attaques mot de passe, DDoS) doivent être gérées en amont (solutions de sécurité, sensibilisation, etc..). De même, ACYMA doit s’orienter vers de la prévention plutôt que vers du forensic. Alors ACYMA, un nouveau cyber-vaccin ? Estelle

Avec le nouveau règlement européen de protection des données personnelles, les entreprises se posent la question de l’approche à adopter pour se mettre en conformité par rapport à ce règlement. Dépendant de leurs niveaux de maturité en conformité et en gestion des risques, ces entreprises ne partent pourtant pas de zéro : elles ont par exemple identifié et déclaré les traitements de données à caractère personnel, ou bien mis en place les processus de gestion des risques liés à la conformité. Les méthodes de gestion des risques « traditionnelles » peuvent être mises à profit pour intégrer la gestion des risques conformité Informatique et Libertés : Cette approche s’inspire des méthodes et outils de gestion des risques, notamment les risques SI et de Sécurité des SI. Une telle approche permet d’identifier les actifs à protéger, pour évaluer les risques pouvant les affecter et les mesures adéquates à préconiser. Nous voyons donc le rapprochement qui peut être fait avec les processus existants au sein de l’entreprise. Analyse et processus et identification des actifs à protéger Avant de proposer une série de mesures destinées à mettre en conformité une entreprise, il faut cibler les « actifs » à protéger, ici les données à caractère personnel, et déterminer l’enjeux d’un risque sur ces actifs. Le règlement rappelle la primauté de la personne, et la nécessité du respect de ses droits. Les traitements de données doivent donc être priorisés selon cet angle de vue. Une échelle de criticité peut être appliquée, pour identifier pour chaque traitement le niveau d’impact pour les personnes. La criticité doit, entre autres, tenir compte du nombre de personnes concernées, de la sensibilité des données (en s’écartant des critères définis par la CNIL si besoin), du fondement légal du traitement – et in fine de la perception de la sensibilité par les personnes elles-mêmes, si nécessaire en les consultant. Identification des écarts de conformité Les écarts par rapport au règlement se traduisent en risques de conformité pour l’entreprise. Pour une approche efficace, une démarche d’audit peut être adoptée. Il s’agit alors d’établir une grille d’audit, avec pour base les obligations du règlement. Le Règlement définit les obligations du responsable de traitements en son chapitre IV, articles 24 à 34, et en propose une synthèse dans l’article 84, définissant les sanctions afférentes. La grille d’audit contiendra donc les thématiques du règlement (par exemple : maitrise des finalités, minimisation des données), avec des points de contrôle pour chacune des thématiques et une évaluation des écarts en fonction des réponses fournies. Cartographie des traitements et proposition de plan de mise en conformité Avec cette double approche nous obtenons une évaluation sur deux axes : la criticité des traitements et les écarts au règlement : Comme pour la cartographie des risques, cette cartographie des traitements nous permet alors de prioriser les traitements à mettre en conformité. Cette approche unitaire doit bien entendu être consolidée par une approche globale, qui permet notamment d’identifier la Gouvernance à mettre en place, les rôles et responsabilités au sein du dispositif de conformité et les politiques et chartes à rédiger ou à mettre à jour. Ainsi, les méthodes d’analyse de risques, peuvent être mises à profit, pour réaliser un diagnostic des écarts de conformité et identifier les premières mesures à appliquer. En particulier, le processus d’analyse de risques SI et SSI, très populaire et assez démocratisé dans les cycles de vie des projets. Ce processus en particulier peut constituer un point de départ pour mettre en place et adapter une des obligations du règlement : L’analyse d’impact relative à la protection des données. Estelle

Dans bon nombre d’Organisations, les responsables des risques de sécurité des SI (et par extension des risques SI) sont confrontés à des demandes émanant de plusieurs sources et à des besoins qui peuvent paraitre inconciliables et sont souvent abordés de manière unitaire : Établir et maintenir une cartographie des risques, comme étant le socle de l’approche par les risques, mais aussi comme étant un référentiel de gestion des risques compréhensible et intégrable à l’échelle de l’entreprise (avec le référentiel des risques opérationnels dans le domaine financier typiquement), Mettre en œuvre les plans d’actions et mesures de sécurité, que cela ait pour origine par exemple des audits, des actions de mise en conformité, des projets de sécurité des SI ou des projets à l’échelle de l’entreprise, Déployer un dispositif de contrôle permanent, répondant aux référentiels de risque ou de qualité de l’entreprise et permettant de fournir une mesure cyclique de la performance et du niveau de couverture de risques des processus de contrôle. Mais, ces différentes pièces du puzzle sont parfaitement agençables, tout est affaire de perspective ! Voici dans la suite une vision qui permet de mettre cela en musique. L’approche par les risques L’approche par les risques est modélisée dans plusieurs référentiels et normes, parmi lesquels nous pouvons citer ISO 27005 et EBIOS. Globalement, le principe de cette approche est de définir le contexte dans lequel évolue l’Organisation, afin d’identifier et évaluer ses risques. Une fois le risque évalué, les mesures de traitement sont proposées, pour ramener les risques à un niveau acceptable et/ou en accepter les conséquences potentielles. Enfin, ces risques sont surveillés, pilotés et reportés, le cas échéant, aux instances exécutives. Cette démarche est réalisée de manière incrémentale et itérative, pour constituer un des fondements de la Gouvernance des risques et de la sécurité des SI. Donner du liant Le cadre de gestion des risques donne les premières clés pour définir les plans d’actions et projets SSI et mettre en place des contrôles pertinents et efficaces sur les processus de sécurité des SI : Un projet/ plan d’action de sécurité des SI est pertinent (dans le sens sécuriste du terme) s’il peut être relié à – au moins – un risque de sécurité des SI, cartographié et mesuré, Un contrôle de sécurité ne peut être mis en place que si le processus le sous-tendant est défini et fonctionnel. Ce contrôle est transverse et doit prendre en compte les actions de traitement du risque et son processus d’acceptation. A ces principes s’ajoute la dimension temporelle : Un projet est par définition fini dans le temps (dans la théorie tout du moins). Cela implique que lorsque nous décidons de traiter un risque en mode projet (Build), le risque n’est réduit que lorsque le projet est livré (mise en production/ procédure finalisée et appliquée/ etc.) Un contrôle est par définition cyclique. Il intervient en mode RUN, c’est-à-dire une fois un projet livré ou un processus mis en place. La performance du contrôle est mesurée par les indicateurs de la Sécurité des SI. Avec ces principes, la liaison tripartite apparait donc entre le risque, le plan d’action et le contrôle. Voyons cela à travers un exemple simple : J’identifie et évalue un risque de sécurité des SI Risque d’attaque virale Ce risque peut être traité par un projet : Déploiement d’un antivirus sur tous les postes de travail Dans ce cas, tout au long du projet de déploiement (disons qu’il se fait en mode big-bang), mon risque existe toujours, et au même niveau. Une fois mon antivirus déployé, mon risque est réduit. Mais, je dois m’assurer en mode Run que le flux de postes de travail est toujours protégé. Dans ce cas je mets en place un contrôle cyclique : Contrôle sur l’exhaustivité de la couverture antivirale sur les postes de travail Par contre dans ce cas, ma réduction du risque est proportionnelle à la performance de mon contrôle : Une couverture de 98% du parc peut être jugée satisfaisante, par contre une couverture à 80% peut entrainer le déclenchement de plans d’amélioration du processus. Bien évidemment, un risque peut être réduit uniquement en mode projet ou uniquement via la mise en place d’un contrôle. Cette vision peut être synthétisée ainsi : Vers une gouvernance de la sécurité des SI Dans le modèle que nous proposons, un projet / un contrôle peut être relié à un ou plusieurs risques SSI. Inverser la vision, revient à mesurer la contribution d’un projet ou d’un contrôle à la réduction des risques SSI. Pour alimenter la gouvernance de la Sécurité des SI, il nous « suffit » alors de relier les notions de contribution à la réduction des risques et celle du coût d’un projet ou d’un contrôle. Nous en ressortons une dernière dimension, plus parlante pour la gouvernance, celle de l’efficacité. L’efficacité d’un projet de sécurité serait alors le ratio de sa contribution à la réduction du risque sur le coût du projet. Cette vision peut s’avérer être d’une efficacité redoutable lorsqu’il s’agit de justifier les demandes de budget ou lors du pilotage des projets. Nous voyons donc émerger des notions que le Responsable de Sécurité des SI utilise dans le pilotage de son activité, notamment : Le plan projet et les budgets SSI, Les indicateurs et tableau de bord SSI. …Et que nous détaillerons dans un autre article. En attendant, Actinuance Consulting accompagne ses clients pour la mise en place et l’outillage de cette approche, au sein des Directions des Risques, des Directions de la Sécurité des SI ou des DSI. Si cette approche vous intéresse, n’hésitez pas à nous contacter pour de plus amples détails. Estelle

Le Règlement européen sur la protection des données compte une centaine d’articles, répartis en onze chapitres. Il reprend les exigences de la Directive 95/46/CE et intègre de nouvelles dispositions, notamment des sanctions pouvant atteindre 4% du chiffre d’affaires annuel mondial total. Il est applicable depuis mai 2016, un délai de mise en application des dispositions du Règlement est accordé aux entreprises jusqu’en mai 2018. Il convient donc de prendre les mesures nécessaires afin de se mettre en conformité. Il est dispensable d’aborder la mise en conformité du point de vue Juridique, mais également du point de vue SI et SSI. Cela permettra de définir de manière pragmatique les projets à déclencher et les livrables à fournir afin d’être conforme au Règlement d’ici mai 2018. Rôles et Responsabilités : Concrètement, cette nouvelle organisation en termes de rôles et responsabilités implique : De fournir les preuves du respect du Règlement à l’autorité de contrôle, c’est à dire : De disposer d’un descriptif des mesures de sécurité techniques et organisationnelles mise en place (ex : Chiffrement), D’actualiser le plan de contrôle de l’entreprise pour vérifier la mise en place de ces mesures et plus généralement, pour vérifier la conformité au Règlement (ex : Information des personnes concernées). De revoir le cadre juridique des prestations, De désigner et de redéfinir les missions du DPO (Data Protection Officer – actuel CIL) pour le placer au cœur du traitement des données (fiche de poste, formations…) Organisation Projet : L’ensemble des projets utilisant des données à caractère personnel devra respecter un certain nombre d’exigences et le DPO (Data Protection Officer) doit être au centre de cette nouvelle organisation. Concrètement, cette nouvelle organisation projet implique : De déterminer la finalité du traitement (pour chaque projet) et d’en informer le DPO, De réaliser, pour chaque projet, une analyse de risques documentée (typologie des risques, scores, taux de conformité, taux de résolutions, cellules de crises…). Organisation sur le cycle de vie d’une donnée : Concrètement, cette nouvelle organisation projet implique : De disposer d’un processus de recensement des consentements, De disposer de registres de traitement tenus à jour (catégorie de données personnelles, traitements effectués sur ces données, cartographie de stockage des données…), De garantir les droits des personnes concernées, c’est-à-dire de disposer : De processus des modalités d’exercice des droits des personnes concernées, D’une historisation des demandes, D’un PCA / PRA garantissant l’exercice des droits des personnes concernées dans un délais raisonnable. De disposer d’une politique d’anonymisation et de pseudonymisation, De disposer d’une politique de purge des données. Actinuance Consulting (spécialisée en gestion des risques) s’associe à un cabinet juridique pour vous proposer ses services et vous aider à définir un plan de mise en conformité GDPR. N’hésitez pas à nous contacter pour plus d’informations. Estelle