Bonjour, veuillez faire une sélection:

(*format pdf)

(** à défaut d'un CP en format pdf, vous pouvez nous envoyer les infos ici)

Vos infos

*

Suivez-nous

(Mais pas de trop près quand même...)

Sécurité, cybersécurité

La Californie choisit Gemalto pour la vérification automatique des pièces d’identité

La Californie choisit Gemalto pour la vérification automatique des pièces d’identité

Publié

le

Gemalto, leader mondial de la sécurité numérique, a fourni aux quelques 200 bureaux d’enquête locaux du Department of Motor Vehicle de Californie (DMV de Californie) son logiciel perfectionné, Coesys Document Verification.

Le personnel du DMV peut ainsi s’assurer de l’authenticité de documents tels que les passeports, les cartes d’identité et les permis de conduire en vérifiant simplement les données graphiques et les caractéristiques de sécurité en les comparants aux modèles de référence d’un groupe de pays émetteurs. Gemalto a collaboré avec le DMV de Californie afin de mettre en service une solution de synchronisation automatique avec un référentiel central de documents. Cette solution réduit le fardeau en matière de mises à jour manuelles de chaque poste de travail utilisé pour l’authentification au sein des bureaux locaux du DMV.

Facebook Comments

Sécurité, cybersécurité

Plus de 2,5 milliards de dossiers volés ou corrompus en 2017 selon le Breach Level Index de Gemalto

Le Breach Level Index de Gemalto révèle que les bases de données mal sécurisées dans le Cloud ainsi que les menaces internes sont les risques de sécurité les plus fréquents dans les entreprises.

Publié

le

Gemalto vient de publier les résultats du Breach Level Index. Celui-ci révèle que 2,6 milliards de dossiers ont été volés, perdus ou exposés en 2017 dans le monde, soit une augmentation de 88% par rapport à 2016. Alors que les incidents concernant les failles de données ont diminué de 11%, 2017 est la première année durant laquelle les failles dévoilées publiquement ont excédé les 2 milliards de dossiers de données corrompus, et ce, depuis que le Breach Level Index recense les failles de données (2013).


Ces quinze dernières années, près de 10 milliards de dossiers ont été perdus, volés ou exposés, avec en moyenne 5 millions de dossiers corrompus tous les jours. Sur les 1 765 incidents de brèches de données en 2017, le vol d’identité est le plus répandu, représentant près de 69% de toutes les violations de données. Les tiers malveillants représentaient la première menace de cybersécurité l’année dernière (72%). Les entreprises issues du domaine de la santé, des services financiers, et du secteur du retail ont été les cibles privilégiées des brèches l’année dernière. Le gouvernement et les établissements d’enseignement n’ont également pas été épargnés en 2017 et représentent près de 22% des failles.
Le Breach Level Index est une base de données mondiale qui localise et analyse les failles de données dans le monde entier, le type de données corrompues, la source du vol ou de la perte. En s’appuyant sur les rapports de failles de données collectées dans le Breach Level Index, les résultats de 2017 révèlent que :
L’erreur humaine est un problème majeur de gestion des risques et de sécurité : perte accidentelle, suppression inappropriée des dossiers, bases de données mal configurées, ainsi que des problèmes de sécurité involontaires ont causé l’exposition de 1,9 milliards de dossiers. Une augmentation dramatique de 580% du nombre de dossiers corrompus depuis 2016.
Le vol d’identité reste la première des violations de données : le vol d’identité représente 69% de tous les incidents de failles de données. Près de 600 millions de dossiers sont concernés, soit une augmentation de 73% par rapport à 2016.
L’augmentation des menaces en interne : le nombre d’incidents venant de collaborateurs malveillants en interne a progressivement diminué. Cependant, le nombre de dossiers volés s’élève lui à 30 millions, soit une augmentation de 117% par rapport à 2016.
Les cyberattaques nuisibles : le nombre de dossiers victimes d’attaques nuisibles a augmenté de 560% par rapport à 2016. Le Breach Level Index considère une brèche de données comme nuisible lorsque les données corrompues contiennent des informations telles que le nom, l’adresse et/ou le numéro de téléphone. La provenance exacte de ce type de faille est souvent inconnue, dans la mesure où les pirates informatiques utilisent ces données pour orchestrer d’autres attaques.
Jason Hart, Vice President and Chief Technology Officer for Data Protection chez Gemalto : « La manipulation des données ou des attaques qui visent l’intégrité des données restent des menaces encore méconnues pour les entreprises, plus familières avec le simple vol de données. Ces attaques permettent aux pirates informatiques de modifier tout ce qu’ils souhaitent, des résultats commerciaux jusqu’à la propriété intellectuelle. De manière générale, les failles ciblant l’intégrité des données sont difficiles à identifier et dans de nombreux cas, lorsque ce type d’attaque se produit, nous n’en connaissons pas l’impact réel. En cas de violation de la confidentialité des données, une entreprise doit mettre en place des contrôles, tels que le chiffrement, la gestion des clés et des accès des utilisateurs afin de garantir que la protection des données ne soit pas altérée. Indépendamment de toute préoccupation liée à la manipulation, ces contrôles protègent les données in situ et les rendent inutilisables à partir du moment où elles sont volées. »
Les types de failles de données
Le vol d’identité est la brèche de données la plus fréquente, représentant près de 69% de tous les accidents et 26% des failles de données en 2017. La deuxième brèche la plus répandue est l’accès aux données financières (16%). Les dossiers perdus, volés ou corrompus sont les plus touchés par les failles de données nuisibles, avec une augmentation de 560%, ce qui représente 61% de toutes les données corrompues. L’accès au compte et les violations dites « existentielles » autrement dit, qui menacent la pérennité même de l’entreprise, enregistrent moins d’incidents depuis 2016.
Les failles de données par secteur
En 2017, les secteurs qui ont connu le plus grand nombre d’incidents de brèches de données étaient la santé (27%), les services financiers (12%), l’éducation (11%) et les gouvernements (11%). Concernant le nombre de dossiers perdus, volés ou corrompus, les secteurs les plus ciblés étaient le secteur public (18%), les services financiers (9,1%) et la technologie (16%).
La nature des failles de données
Les tiers malveillants sont la principale source de brèches de données (72%), mais ne représentent que 23% des données corrompues. Alors que la perte accidentelle était la cause de 18% des failles de données, elle représentait 76% de tous les dossiers corrompus, soit une augmentation de 580% par rapport à 2016. Les violations provenant de collaborateurs malveillants en interne représentent 9% du nombre total d’incidents, avec cependant une augmentation spectaculaire (117%) du nombre de dossiers corrompus ou volés à partir de 2016.
Jason Hart : « Les entreprises peuvent considérablement atténuer les risques liés aux failles avec une approche de « security by design » qui intègre les protocoles de sécurité et l’architecture dès le départ. Cela s’avère particulièrement important, compte tenu de l’entrée en vigueur en 2018 de nouveaux règlements gouvernementaux tels que le Règlement général européen sur la protection des données (GDPR) et The Australian Privacy Act (APA). Ces réglementations imposent aux entreprises d’adopter un nouvel état d’esprit concernant la sécurité, en protégeant non seulement leurs données sensibles, mais aussi la confidentialité des données des clients qu’elles stockent ou gèrent.

Pour accéder au rapport Breach Level Index 2017
http://breachlevelindex.com/

Facebook Comments
Lire la suite

Sécurité, cybersécurité

FIC 2018 : La solution Blockchain de KeeeX est la 1ère labellisée France Cybersecurity

La start-up marseillaise KeeeX recoit le Label France Cybersecurity lors du Forum International de la Cybersécurité 2018 (23/24 janvier à Lille).

Publié

le

A l’occasion du Forum International de la Cybersécurité 2018 (23/24 janvier à Lille), le Comité France Cybersecurity a remis son Label France Cybersecurity à 14 nouveaux produits, solutions et services présentés par autant d’entreprises, dont la start-up marseillaise KeeeX.
C’est Cyprien Veyrat, vice-président de KeeeX en charge du commercial, qui a reçu des mains de Mounir Mahjoubi, secrétaire d’état en charge du numérique, le label France Cybersecurity 2018.

KeeeX, c’est l’entreprise créée fin 2014 par l’ingénieur Laurent Henocque, chercheur au CNRS/LSIS en programmation par contraintes mais c’est surtout la solution qui authentifie les documents avec la Blockchain. Elle permet d’insérer dans tout contenu numérique un ou plusieurs certificats cryptographiques de non modification ainsi que d’autres méta-données et liens directs vers d’autres documents. Cette solution est née des questions suivantes : Comment garantir l’authenticité de données numériques indépendamment de services web, d’infrastructures dédiées, d’autorités tierces de confiance ? Comment préserver l’organisation et les liens entre différents fichiers numériques quelles que soient les infrastructures d’échange et de gestion ? Comment retrouver instantanément des fichiers numériques indépendamment de leurs lieux de stockage ?
Et depuis le 24 janvier dernier, c’est la 1ère solution Blockchain labellisée France Cybersecurity!
Le Label offre la garantie que les produits, solutions et services labellisés sont conçus, développés et opérés en France, par une filière industrielle dynamique et innovante reconnue par le marché. Pour les entreprises développant des offres de sécurité et souhaitant les commercialiser à l’export, c’est ainsi une marque de qualité. Créé il y a 3 ans dans le cadre du Plan Nouvelle France Industrielle, le label France Cybersecurity, rassemble aujourd’hui 120 offres de cybersécurité, portées par 90 entreprises nationales.
www.francecybersecurity.com

Facebook Comments
Lire la suite

Avis d'Experts

[Avis d’experts] Protection des données personnelles et sécurité numérique : quoi de neuf ?

Publié

le

Nombreux sont ceux qui ont entendu parler de la loi informatique et liberté qui, transposant notamment une directive communautaire d’octobre 1995, régissait la protection des données personnelles, à savoir les droits et obligations des entreprises et les droits des personnes concernées par la collecte et le traitement de ces données.

Soucieuse de renforcer la protection des personnes afin notamment de renforcer la confiance des internautes, et de faciliter le développement du numérique, l’Union européenne a adopté le 14 avril 2016 un texte qui vient remplacer le texte de la directive, « le règlement général sur la protection des données », n° 2016/679.

Ce règlement intervient après deux arrêts importants de la Cour de Justice de l’Union européenne[1] qui ont souligné la nécessité de prévoir des garanties effectives et concrètes pour la protection des données. Il manifeste également la volonté claire de l’Union européenne de garantir les droits des personnes sur leurs données personnelles comme des droits fondamentaux conformément à l’article 16 du Traité FUE[2].

Ce règlement a également pour effet d’instaurer un droit totalement unifié dans l’ensemble des pays membres de l’Union Européenne.

Que contient ce texte ?

1./ Il énumère les droits de la personne concernée, c’est-à-dire de la personne dont les données à caractère personnel font l’objet d’un traitement en leur permettant d’exercer un contrôle renforcé sur les données à caractère personnel les concernant. Il prévoir notamment :

  • la nécessité d’obtenir de la personne qu’elle indique clairement qu’elle consent au traitement des données à caractère personnel article 7), notamment le consentement parental pour les mineurs
  • un accès plus facile de la personne concernée aux données à caractère personnel qui la concernent
  • les droits à la rectification, à l’effacement des données et à l’oubli (article 17)
  • l’encadrement des activités de profilage et notamment la possibilité de s’opposer à l’utilisation de ses données personnelles à des fins de profilage (article 20)
  • La mise en place d’un mécanisme élargi de notification des failles de sécurité (articles 31 et suivants).
  • le droit à la portabilité des données d’un prestataire de services à un autre.

Le règlement précise les obligations générales des responsables du traitement et des personnes qui effectuent le traitement de données à caractère personnel pour leur compte (sous-traitants). Parmi ces obligations figure celle, essentielle, consistant à mettre en œuvre les mesures de sécurité appropriées et adaptées aux risques liés aux opérations de traitement de données réalisées Cette approche basée sur le risque suppose d’analyser chaque traitement et d’être en mesure de mesurer le risque que le traitement peut faire courir, notamment au regard de la confidentialité des données.

Les responsables du traitement ont l’obligation de notifier les violations de données à caractère personnel dans certaines hypothèses. Quant aux pouvoirs publics et aux entreprises qui effectuent des traitements de données présentant des risques, ils sont astreints à désigner un délégué à la protection des données.

Par ailleurs plusieurs dispositions de ce règlement constituent des nouveautés :

Ainsi, le chapitre V, qui traite des transferts de données personnelles vers des Etats tiers ou des organisations internationales (articles 40 et suivants) constitue un point majeur de ce règlement. Il institue notamment un recours quasi systématique au binding corporate rules, ce qui doit inciter les entreprises à se doter d’outils de compliance.

De plus, le règlement instaure un « mécanisme de cohérence » (article 57), ainsi que des dispositions relatives aux  autorités de contrôle (chapitre VI et VII) destinées à renforcer la coopération entre ces dernières et à développer un véritable marché intérieur des données.

Les articles 78 et suivants traitent des sanctions, qui se voient renforcées (jusque 4% du chiffre d’affaires annuel total mondial) afin d’assurer une meilleure efficacité.

Mais surtout, le règlement invite les entreprises à mettre en place étude d’impact sur la vie privée, avant tout lancement d’un nouveau produit ou service, faisant ainsi la promotion de la Privacy by design. Le respect de la vie privée et des données personnelles doit être pris en compte dès la conception du produit ou du service.

Si les obligations des entreprises en matière de sécurité et notamment de sécurisation de leur environnement numérique et d’adoption de règles de compliance sont renforcées, le règlement prévoit également un allègement de nombreuses obligations administratives.

La gestion du risque constitue donc un des aspects majeurs de ce règlement et incombe aux entreprises et aux  autorités qui gèrent des données personnelles. Cela ne sera pas sans conséquence sur la responsabilité civile des entreprises qui doivent a minima suivre quelques recommandations :

Faire auditer les traitements de données de l’entreprise sous l’angle technique, juridique et managerial et mettre en place les études d’impact (Privacy Impact Assesment).

Faire auditer leur système d’information afin de s’assurer de la sécurisation effective des données (il ne s’agit pas seulement de s’assurer de l’existence d’un firewall).

Adopter des règles de compliance.

S’assurer qu’elles sont bien couvertes par leurs assurances responsabilité civile pour les risques concernés.

jp-gasnier-2

Par Jean-Pierre Gasnier

Avocat associé

Cabinet AKHEOS

Spécialiste en droit de la propriété intellectuelle et droit du numérique

 

[1] Arrêt de la CJUE du 8 avril 2014. Cette décision invalide la directive 2006/24/CE sur la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications dans les affaires jointes C-293/12 et C-594/12 Digital Rights Ireland et Seitlinger e.a ; arrêt de la CJUE du 6 octobre 2015, qui invalide la décision de la Commission constatant que les Etats-Unis assurent un niveau de protection adéquat aux données à caractère personnel transférées (Safe Harbor) dans l’affaire C-362/14 Maximillian Schrems / Data Protection Commissioner.

[2] Article 16 TFUE : 1. Toute personne a droit à la protection des données à caractère personnel la concernant. 2. Le Parlement européen et le Conseil statuant conformément à la procédure législative ordinaire, fixent les règles relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union, ainsi que par les Etats-membres dans l’exercice d’activités qui relèvent du champ d’application du droit de l’Union, et à la libre circulation de ces données. Le respect de ces règles est soumis au contrôle d’autorités indépendantes. Les règles adoptées sur la base du présent article sont sans préjudice des règles spécifiques prévues à l’article 39 du traité sur l’Union européenne

 

Facebook Comments
Lire la suite

Facebook

Trending

X
X