Parad’UE : EUROPOL et la sécurité des entreprises

29 avril 2009

EuropolSi l’intelligence économique et la protection des entreprises est une affaire relevant de l’Etat et de la souveraineté nationale, il ne faut pas oublier que l’Union Européenne joue un rôle important dans la sécurité des entreprises nationales et européennes. C’est pourquoi Parad’IE se propose de faire chaque semaine, le tour d’une instance spécialisée de l’UE intervenant dans la sécurité des entreprises.

Ce rôle se manifeste à travers des institutions telles que la Commission Européenne, la Cour de justice des Communautés européennes (CJCE), et certaines agences de l’UE, notamment les agences de coopération policière et judiciaire en matière pénale dont fait désormais partie l’Office Européen de Police, EUROPOL depuis le 6 avril 2009.

Si l’objectif premier d’Europol est de renforcer la coopération entre les États membres en matière de prévention et lutte contre la criminalité, il n’en reste pas moins que les principaux actes criminels visés par Europol touchent les entreprises. Il s’agit plus particulièrement des trafics illicites, de malversations financières, et de la cybercriminalité.

Criminalité organisée : évaluation de la menace, coopération internationale et bilatérale, Europol apporte son concours aux enquêteurs nationaux.

Malversation financières : blanchiment d’argent, faux monnayage, falsification, l’Office aide au démantèlement des réseaux criminel

Cybercriminalité : Europol a été désigné pour la centralisation des informations dans le cadre de la lutte contre la cybercriminalité. La question de la nomination d’un Monsieur Cybercriminalité à l’échelle de l’UE est plus que d’actualité sachant que les États-Unis s’apprêtent à nommer le leur.

Cependant, il convient de noter que l’avancée et les initiatives en la matière restent faibles même si la volonté de lutter contre ces attaques et protéger notre patrimoine économique et scientifique européen commence à s’affirmer. En effet, les instances telles qu’Europol sont généralistes et ne s’occupent pas seulement des menaces criminelles visant les entreprises. Peut-être faudrait-il créer une sous-direction en charge de cette problématique ? Peut-être faudrait-il prendre des mesures plus effectives et efficaces, et ne pas seulement créer un « Monsieur Cybercriminalité » comme nous avons un « Monsieur Terrorisme », sans avoir les moyens nécessaires derrière ?

Et vous, qu’en pensez-vous ?


La Bibliothèque de Parad’IE

27 avril 2009

« Comment se protéger de l’espionnage et de la malveillance ? » de François AUER

Préfacé par l’Amiral Lacoste, l’ouvrage aborde successivement l’importance de l’information dans la guerre économique mondiale, pour les entreprises et pour les États, acteurs voulant s’accaparer ces méthodes.

Ce que l’on a particulièrement aimé :

  • Un bon rappel des réflexes à acquérir.
  • Les résumés en fin de chapitres.
  • Les schémas (même si ces derniers auraient mérité un agrandissement)
  • Les juristes de Parad’IE ont apprécié les articles de code cité à la fin permettant de mieux nous éclairer sur les risques juridiques.
  • Les nombreux exemples, qui vont au-delà des exemples bien connus de la Guerre Froide.
  • Des chiffres parfois assez impressionnants et des cas concrets, qui prêtent parfois à sourire (notamment le cas des hommes d’affaires bretons en Chine).
  • Des informations assez incroyables (Notamment la citation du Courrier Cadres de Décembre 2008 : « c’est la crise, il va falloir être de plus en plus compétitif…. voire piquer les secrets de vos concurrents »)
  • La simplicité de l’ouvrage qui le rend accessible à tous.
  • Il est exhaustif et synthétique ce qui permet de le lire rapidement sans se perdre dans les explications théoriques.

Ce que l’on n’a pas trop aimé :

  • L’esprit un peu trop catalogue du livre. Il reprend successivement les risques et les solutions sans forcément aller plus loin. L’avantage c’est qu’on le lit très vite, l’inconvénient est que l’on reste sur sa fin !!
  • La vision ambiguë de l’Intelligence Économique. Présentée au tout début du livre comme une méthode légale d’acquisition, de gestion et de partage d’informations, elle est par la suite assimilée à la malveillance et à l’espionnage. Dommage !
  • Le chapitre consacré aux dangers qui pèsent sur le patrimoine informationnel des sociétés, mélange des méthodes d’acquisition répréhensibles du fait de leur caractère illégal (condamné pénalement) de celles qui ne sont pas. Peut être aurait il été intéressant de mieux distinguer ces deux techniques car la protection qui va en découler n’est pas la même, notamment juridiquement.
  • Le prix (39 euros cela peut décourager pas mal d’acquéreurs)

Nous vous recommandons, ce mois-ci, la lecture de ce livre qui présente de façon très pragmatiques les risques liés à la protection de l’information et sur les solutions que l’on peut leurs appliquer. Peut être l’avez-vous déjà lu ?

Si vous voulez en savoir plus : http://www.comment-se-proteger.com


Parad’IT : La sécurité des téléphones mobiles

25 avril 2009

Aujourd’hui Parad’IE propose de vous faire découvrir quelques petites solutions pour sécuriser votre téléphone portable/Smartphone et sa navigation web.

Des solutions gratuites de types antivirus pour téléphones mobiles existent :

Mobile Security pour Symbian Series 60 de Symantec : il s’agit d’un programme d’analyse antivirus en temps réel, et d’un pare-feu anti intrusion, à installer sur votre mobile. Il comprend également un système de mise à jour.

Dr. Moby Antivirus pour UIQ Standard : antivirus pour Smartphone

PhoneSecure : permet de sécuriser les données de votre téléphone portable en le verrouillant à l’aide d’un message spécifique. Processus inverse pour le déverrouiller.

Mandala Encryption par Mandal IT : logiciel d’encryptage pour Smartphone qui encrypte les données transférées du PC au mobile.

SMS Spam Manager pour UIQ 1.00 : Logiciel filtre anti spam SMS.

Trend Smart Surfing pour iPhone : permet de sécuriser la navigation Web sur un iPhone ou un iPod Touch. Il bloque l’accès aux sites web dangereux, empêche le vol de données personnelles et confidentielles, contrôle la fiabilité des adresses URL, E-mails, documents.

Pour ceux qui le peuvent, des solutions payantes plus performantes sont également disponibles :

Trend Micro Mobile Security 5.0 : Plateforme unique alliant protection antivirus, lutte contre la fuite des données, contre l’intrusion, pare-feu, et gestion centralisée. Il procède par chiffrage des données, et déverrouillage par mot de passe. Pour les entreprises et PME : si vous utilisez la console OfficeScan Client/Server Edition OSCE 8.0 de Trend Micro pour la protection de vos ordinateurs, vous pouvez installer le logiciel TMMS 5.0 dessus. Ainsi la console peut gérer les ordinateurs, les téléphones mobiles, et les serveurs de l’entreprise.

Triple Play de McAfee : intègre la protection du PC, de la navigation sur le web et du téléphone portable. Concernant la protection du téléphone il s’agit de la solution McAfee VirusScan Mobile protégeant des menaces provenant des SMS, MMS, Bluetooth, e-mails, téléchargements, messagerie instantanée…

Les mobiles équipés d’un système de sécurisation :

o Portégé G500 et G900 de Toshiba : Ces téléphones utilisent la biométrie comme méthode sécurisation : authentification par lecture d’empreinte digitale.

o GSM Crypté Securephone : téléphone crypté permettant la sécurisation des conversations.

o TEOREM de Thalès : mobile ultra sécurisé utilisant une méthode cryptographique dont la sortie nationale est prévue pour 2010. Protection des conversations nationales et internationales jusqu’au niveau secret défense.

Il s’agit d’une liste non exhaustive. Connaissez-vous d’autres astuces pour la compléter ?


La réponse de Parad’IE aux vulnérabilités

23 avril 2009

Après avoir réalisé un bref panorama des vulnérabilités de l’entreprise, Parad’IE souhaite évoquer les solutions que les sociétés sont à même de mettre en œuvre.

Alors que l’économie française est pleinement entrée dans la crise, chaque entreprise peut être victime d’une erreur humaine, de malveillance informatique ou d’atteinte à son patrimoine physique et éthique.

Parad’IE n’a pas la prétention d’apporter toutes les solutions à ces problématiques mais voici les bons réflexes à mettre en œuvre et surtout à ne pas oublier.

L’audit :

Déterminer la valeur du patrimoine de l’entreprise et localiser les points stratégiques.

o Quels sont les bâtiments et matériels importants pour l’activité économique ?

o Accède-t-on facilement à ces bâtiments, qui sont les visiteurs et connaissez-vous-les raisons qui les ont attirés chez vous ?

o Qui détient de l’information clé (comptabilité, clientèle, relations avec les fournisseurs) ?

o Comment est formalisée la protection physique de ces données (coffre forts, armoires verrouillées, mots de passe, cryptage, externalisation des serveurs,…)

Réaliser régulièrement des tests d’intrusion à la fois sur le site et sur le réseau informatique.

Anticiper les conséquences :

o Etablir une cartographie des risques et les indicateurs permettant d’en évaluer l’exposition.

o Etablir un plan de prévention des risques : prévoir les moyens et les scénarii pour parer aux attaques les plus pertinentes.

o Sensibilisation des effectifs :

–  Sécurité informatique, sécurité de l’information, sécurité des outils mobiles, sécurité lors des déplacements, sécurité dans les lieux publics.

Accompagner l’entreprise et ses salariés

o Définir dans les contrats des clauses de non concurrence, de confidentialité.

o Elaborer des chartes :

– informatique : reprenant les modalités d’utilisation du réseau

éthique (reprenant les valeurs internes à l’entreprise auxquelles doivent adhérer chacun des employés)

o Dialoguer avec les salariés : Impliquer les effectifs dans les choix de l’entreprise

o Encadrer les salariés lors de leurs départs et participer du mieux possible à leur reclassement.

o Accompagner les effectifs en déplacement et expatriés :

– Analyser la situation géopolitique et économique du pays dans lequel le salarié doit se déplacer afin d’évaluer le degré de la menace, veiller au respect des procédures et formalités des pays d’accueil

Mettre en place un système de veille :

o Veille sociétale : tendances de la crise. Créer des niveaux d’alerte indiquant qu’il faut augmenter le niveau de protection

o Veille concurrentielle

o Veille géopolitique : Assurer un suivi sur la situation du pays dans lequel se trouvent les expatriés, en cas de rapatriement inopiné.

o Veille image : Connaitre l’opinion sur son entreprise permet d’anticiper une réponse proportionnée en cas de rumeur, et d’atteinte à son image. Mieux vaut éviter de donner une raison à de fausses rumeurs car il n’y a pas de fumée sans feu !

En conclusion, la sécurité de l’entreprise, notamment en période de crise, est un moment décisif de la vie d’un acteur économique. C’est pourquoi le recours à un soutien extérieur peut s’avérer nécessaire qu’il s’agisse :

– Des services étatiques (Gendarmerie, Police, DGCCRF, douanes, DCRI, DCSSI…)

– Des cabinets spécialisés (en sécurité, risque pays et voyage, SSII, et/ou en intelligence économique)

L’intelligence économique considère souvent qu’il ne faut être ni naïf, ni parano, Parad’IE vous conseille juste d’être attentif à votre environnement et à ce qui se passe autour de vous


Parad’IE cite le texte! Facebook

21 avril 2009

Régulièrement, nous avons évoqué les réseaux sociaux comme une excellente source d’informations. Adeptes et détracteurs se sont souvent opposés. Les premiers vantant la formidable opportunité que représentent ces nouveaux supports et les deuxièmes mettant en avant les dangers auxquels ils exposent.

Parad’IE a voulu essayer d’aller plus loin en détaillant la charte des utilisateurs. Comme chacun des réseauteurs ont pris le temps de lire ce document, ce billet ne devrait être qu’un rappel, bien peu utile !!!!

Facebook est notre première cible mais il ne sera pas la seule cible de cette rubrique. Réseau social ouvert au grand public depuis 2006, il compte aujourd’hui, plus de 200 millions d’utilisateurs à travers le monde.

Deux principes honorables sont mis en avant dès le début :

  • Le contrôle de ses données par l’utilisateur lui-même
  • le partage sécurisé avec les membres de son réseau

« Notre site Web veut démontrer son engagement en matière de confidentialité, c’est pourquoi nous avons consenti à révéler nos pratiques liés à l’utilisation des informations » Vous nous en voyez ravi Messieurs !

MAIS à tout principe, ses exceptions !

1. Le préambule

– « La traduction de ce document en Français (France) est fournie à titre purement indicatif ».

En cas de litige, la version de référence est donc anglaise. Or les français sont connus pour ne pas maitriser parfaitement les langues étrangères. La version française n’a donc pas de valeur contractuelle et n’engage pas Facebook. C’est un bon début !!!!

– « Participation au programme « Safe Harbor » pour l’Union européenne »

Aborder l’Union européenne offre un côté… rassurant car elle met en œuvre différentes législations pour protéger les données et la vie privée des individus. Mais qu’en est-il lorsque ce programme est réalisé par le ministère américain du commerce !!!

2. Quels sont les informations collectées par Facebook ?

– Celles que « vous avez volontairement choisi de révéler ».

Dès l’inscription notamment avec un certain nombre de données personnelles. Votre date de naissance  « afin d’assurer la sécurité et l’intégrité du site ». Enfin comment vérifie t-il la véracité de ces informations ?

– Celles « relatives à l’utilisation du site Internet ».

Il faut donc comprendre que Facebook va au-delà de la simple collecte d’informations volontaires.

C’est le cas notamment de votre adresse IP et de votre navigateur. Là encore ,il faut envisager cette collecte sous l’angle de la sécurité des données, et de l’intégrité du site. Si cela peut paraitre logique pour l’adresse IP, le scepticisme est de mise pour le navigateur.

– … nous stockons certaines informations de votre navigateur en utilisant des « cookies » .

Ils évoquent les cookies d’authentification que l’on retrouve effectivement sur de nombreux sites pour éviter à l’utilisateur de s’identifier. Mais vont-ils plus loin ?

– « Facebook peut également collecter des informations sur vous à partir d’autres sources, comme les journaux, les blogs, les services de messagerie instantanée ou par l’intermédiaire des autres utilisateurs Facebook, via l’utilisation de ce service »

Ces informations récupérées permettent à Facebook de proposer des offres partenaires, des nouveaux services adaptés à vos besoins. Il le fait également avec les données (notamment les adresses emails connues) de vos amis.

Mais pour vous rassurer, Facebook vous affirme que la confidentialité de ces données est généralement paramétrable dans le tableau de bord. Ah bah si c’est généralement !!!

3. Comment conservent-ils ces données et pourquoi ? Ad vitam

– « Nous conservons ces informations afin de vous offrir un service et des fonctions personnalisés. »

Il faut entendre ici que certaines de vos informations personnelles (notamment adresses email) sont conservées dans une base et peuvent être vendues ou cédées à des partenaires de Facebook. En acceptant scs conditions, vous validez ces transfèrts.

– « Lorsque vous mettez à jour des informations, nous conservons généralement une copie de sauvegarde des versions antérieures pendant un certain temps. »

La rigueur juridique aurait voulu que l’on donne une date effective de conservation de ces données (1an, 2ans, 5ans). En l’absence de notification, la durée est illimitée.

– « Vous comprenez et reconnaissez que, même après suppression, des copies du contenu utilisateur peuvent rester visibles dans les pages d’archives et les pages en cache ou bien si d’autres utilisateurs ont enregistré ou copié votre contenu »

Une fois que vous avez signé, ça se complique donc. Difficile de récupérer vos données ou de les rendre purement et simplement invisible. Car Google, moteur le plus utilisé, utilise la fonction en cache sur laquelle on peut retrouver d’anciennes informations publiées.

– « Les traces des informations supprimées seront conservées pendant une durée raisonnable, mais ne seront consultables par aucun des membres de Facebook. »

Il nous avait semblé dire précédemment que ces informations pouvaient rester visibles en cache, dans les archives, ou sur le compte d’autres utilisateurs.

4. Vos données sont la propriété unique et exclusive de Facebook ? Vous y croyez vraiment !

– « vos données personnelles soient transférées et traitées aux États-Unis. »

Heureusement pour vous les américains n’ont jamais mis au point des systèmes d’espionnage, tel qu’Echelon, qui leur permettraient de suivre les communications de la planète !!!!

– « Nous transmettons vos informations à des tiers seulement dans des circonstances particulières et si nous estimons que le partage de ces informations est 1) raisonnablement nécessaire pour offrir un service, 2) exigé par la loi ou 3) autorisé par vous ».

Il faut savoir que dans la ligne précédente, il annonçait fièrement ne pas communiquer d’informations sans votre autorisation. Mais si ça vous offre un nouveau service (en clair si ça leur rapporte de l’argent) cela ne compte plus vraiment !!

– « Chaque fois que nous faisons appel à des tiers pour le traitement de données personnelles, nous prenons des dispositions contractuelles et techniques raisonnables, afin de limiter l’utilisation qui est faite de ces données aux seuls besoins de Facebook. »

Ni avant, ni après il n’est fait mention de la définition de dispositions contractuelles et techniques raisonnables !!!!  Par contre, un peu plus loin dans l’article, il annonce qu’ils ne peuvent pas garantir le respect des accords par les partenaires et ne peuvent contrôler leurs pratiques concernant l’utilisation des données personnelles.

5. Qui est responsable ? Eux, jamais !

– « Veuillez noter que vous publiez sur ce Site Web des informations à vos risques et périls. »

Ils préciseront plus bas encore que le partage des informations dépend de votre fait et est donc sous votre responsabilité. Et ils ajoutent que ces données peuvent être rendues publiques. (On avait pourtant cru comprendre que tout était confidentiel !)

– « Nous ne pouvons donc en aucun cas garantir que le contenu que vous publiez sur ce site ne sera pas vu par des personnes non autorisées.

– « Nous ne sommes en aucun cas responsables du non-respect des paramètres de confidentialité ou des mesures de sécurité en vigueur sur ce site. »

C’est pour toutes ses raisons que nous conseillons aux utilisateurs d’être vigilants dans l’utilisation de Facebook Certaines informations ne doivent jamais y être publiées.

« Nous pensons que c’est à votre avantage. » Que pensez-vous de cette dernière phrase ? (Également extraite de la charte !!!!)


Parad’IT : CONFICKER, la menace !!!

19 avril 2009

Qui n’a pas entendu parler du fléau DOWNADUP plus connu sous le nom de CONFICKER ?

En octobre 2008 Microsoft lançait une alerte sécurité à propos d’une faille affectant toutes les versions de Windows, pouvant être utilisée dans la création d’un ver. Peu de temps après, la naissance et la propagation du ver Conficker va bouleverser la communauté des experts en informatique. Le 1er avril (et ce n’était pas un poisson d’avril) il effectue une mise à jour renforcée pour pouvoir mieux se protéger. Si sa propagation s’est ralentie depuis, elle n’en reste pas moins dangereuse. En effet, il continue de transmettre des codes malveillants aux les ordinateurs déjà infectés et se diffuse grâce aux périphériques USB.

Parad’Expert propose aujourd’hui de fournir aux entreprises qui n’ont pas déjà pris les mesures nécessaires contre le ver, quelques solutions de protection.

Pour les ordinateurs non infectés :

Si l’ordinateur est infecté :

  • Il faut tout d’abord détecter et supprimer le code malveillant de Conficker. Le portail de la sécurité informatique du site du SGDN détaille la procédure à suivre. Tout cela s’accompagnant des mesures de protection habituelles :

– Vérifier la configuration des routeurs et modem ADSL

– Installer une solution de sécurité (logiciel antivirus, protection…) efficace

– Télécharger les correctifs de mise-à-jour

– Changer les mots de passe administrateurs. Utiliser des mots de passes longs complexes et différents pour chaque site

– Désactiver la fonction « exécution automatique » pour l’ouverture des périphériques USB

  • Pour éviter que le virus ne se propage à l’ensemble du réseau :

– Déconnecter l’ordinateur du réseau

– Arrêter temporairement le serveur

– Désinfecter et vacciner tous les disques amovibles avec des logiciels tels que Flash Desinfector

– Télécharger le correctif de Microsoft

  • Si votre ordinateur n’est pas encore protégé vous pouvez également télécharger un bon antivirus.

Les statistiques révèlent que de nombreux ordinateurs n’ont pas encore téléchargés le correctif. Toute la communauté des éditeurs de logiciel et de sécurité de l’entreprise se mobilisent pour que vous le fassiez afin de vous protéger et de lutter contre ce fléau.

Peut-être avez-vous d’autres solutions à nous proposer ?


Vulnérabilités éthiques

16 avril 2009

Les opérations mafieuses, de malversations financières, corruption, trafic d’influence, sont de plus en plus à découvert. Si le contexte de crise est un milieu favorable aux failles informatiques et humaines, il est également la plus grande porte ouverte aux malversations éthiques. Toutes les entreprises sont concernées, même si la plupart du temps il n’est fait état que des plus grandes firmes spécialisées dans la banque finance notamment ; comme en témoigne le rappel à l’ordre de la Société Générale par la Fed concernant ses « déficiences en matière de blanchiment ».

Cette tendance s’accroit principalement en période de crise à cause de la recrudescence de l’activité maffieuse, et tout particulièrement des organisations criminelles transnationales (OCT).

D’ailleurs le 2 avril a eu lieu le G20 de Londres, durant lequel les États, ont apporté une réponse globale à la crise économique et se sont aussi mis d’’accord sur un des pendants de l’éthique dans les affaires : les paradis fiscaux ce qui a suscité de vives réactions.

Le terme « éthique » littéralement science de la morale, appliqué au monde de l’entreprise, peut sembler être un terme « fourre-tout » comprenant toutes les escroqueries ou actes volontaires de l’entourage direct de l’entreprise. Certains d’entre eux portent tout particulièrement atteinte au patrimoine et à l’intégrité de l’entreprise, engendrant des pertes financières considérables.

  • la corruption : se définit par l’abus de pouvoir à des fins privées ou au profit de l’enrichissement personnel selon l’ONG Transparency international. Elle résulte en général d’une mauvaise gouvernance de l’entreprise, d’une trop grande confiance accordée à certains personnels de la société et/ou d’un manque d’encadrement du dispositif financier de la firme. La corruption au sein de l’entreprise peut prendre plusieurs formes : fraude (fraude fiscale et détournement de fonds comme en témoigne notamment l’affaire Madoff, la fraude sur les produits ou services, la fraude aux marchés publics concernant les grands groupes), extorsions.
  • le blanchiment consiste à dissimuler l’origine d’argent acquis de manière illégale (spéculation, activités maffieuses, trafic transnationaux). Ce sont souvent de petites entreprises qui sont en cause, tels que les petits commerces, restaurants, bijouteries, sociétés d’import/export… Les méthodes de blanchiments (un petit guide pour les novices !) sont diverses et varient d’une société à l’autre (le schtroumpfage, la complicité bancaire, l’utilisation de transfert de fond et bureaux de change, l’achat de biens au comptant, casinos, transfert électronique de fond, …)
  • les manœuvres d’influence comprennent la désinformation et l’atteinte à la réputation de l’entreprise. La désinformation est une déformation de l’information initiale entrainant des conséquences négatives sur l’entreprise concernée. Elle se traduit par des sondages, canulars informatiques ou rumeurs (exemple avec l’affaire du secret bancaire et d’UBS). Les auteurs sont en général extérieurs à l’entreprise (concurrents, fournisseurs, partenaires, clients) et agissent par malveillance.

Toutes ces manœuvres ont des conséquences importantes sur la société, sachant que certains secteurs sont particulièrement vulnérables (automobile, défense, pharmaceutique, grande distribution, agroalimentaire). La principale est la perte financière. En France le coût moyen d’une fraude s’élève à 4,7 M € en 2005 selon une étude PricewaterhouseCoopers.

Mais de nombreuses conséquences indirectes en découlent également : la dégradation des relations commerciales, la perte de la motivation du personnel, l’atteinte à l’image de marque ou à la réputation, et la contrefaçon de marque ou de produit.

D’une part, la crise financière a renforcé le besoin de certains États vis-à-vis des devises fortes et a accru, par exemple, l’intérêt de la Chine pour la contrefaçon de produits européens.

D’autre part, la baisse du pouvoir d’achat incite le consommateur à être moins vigilant sur la qualité des produits, et conduit certaines entreprises « contrefactrices » à profiter des opportunités et à se recentrer sur une activité plus prolifique en temps de crise.

En outre, la contrefaçon, longtemps considérée comme une cause de chômage, en est aujourd’hui avec la crise l’une des conséquences. En effet, les nombreux licenciements ouvrent de nouveaux marchés dans l’économie parallèle.