L’association française des correspondants à la protection des données personnelles

15 avril 2010

Le site Mag Securs revient sur la réunion de l’AFCDP  qui s’est tenue au Sénat à la fin du mois de Mars et qui a posé la problématique de la notification des atteintes aux données personnelles.

« Paul-Olivier Gibert, directeur de la sécurité et déontologue de l’AG2R, Président de l’AFCDP, a tenu à préciser le degré de développement de l’AFCDP en préambule. Créée en 2004, dans la lignée de la loi qui a revu les pouvoirs de la CNIL, l’AFCDP compte maintenant 300 adhérents, personnes morales et physiques, dont 150 CIL.. (Correspondants Informatiques et Libertés). L’AFCDP a mené un sondage auprès des particpants à la journée d’où il ressort que 62% des personnes interrogées sont favorables à l’obligation de notification de violations de traitement des données personnelles. » la suite.

Qu’en pensez-vous?

Publicités

Un bon polar?

14 avril 2010

Parad’IE a pour habitude de parler uniquement des livres qu’il a lu mais le résumé fait par le blog Sang pour sang polar nous a incité à vous parler rapidement de Cristal Défense de Catherine Fradier afin que vous puissiez en profiter en sirotant un verre sur une terrasse au soleil si possible…

« Les entreprises sont entrées en guerre, une guerre de l’ombre sans merci pour préserver ou conquérir des parts de marché.

Campagnes de désinformation, sabotage, barbouzes, espions, chantage. De bien étranges méthodes autrefois l’apanage des services de renseignement, aujourd’hui pratiques courantes dans le monde chaotique de la guerre économique.

Il existe toutefois une parade à cette guerre, l’Agence de sécurité économique, trois hommes et deux femmes spécialistes de l’intelligence économique, du renseignement, du contre-espionnage et de l’info. Recrutés pour leur expérience de terrain et leur savoir-faire, ils savent qu’ils sont le dernier recours pour la protection des entreprises nationales.

Pour réussir leur mission, ils doivent mettre en place des stratégies à la hauteur des war rooms d’Outre-Atlantique, voire à user des méthodes employées par ceux qu’il traquent. Ils sont commandités par le gouvernement, l’agence est habilitée Cristal Défense.

Jusqu’au jour où l’alimentation mondiale se trouve au cœur de leur mission, et l’agence prise dans des complots qui impliquent sa propre hiérarchie et dont les enjeux les dépassent…. »

Sang pour sang polar.

Donnez-nous votre avis?


« la guerre économique au coeur des PME »

13 avril 2010

Retrouvez dans la  rubrique « Interview d’expert du site TPE – PME », la rencontre avec Emmanuel Lehman sur la guerre économique au cœur des PME.

La Guerre économique, la fraude, l’espionnage industriel… : ces thèmes font parfois la Une des JT, mais concernent peu les petites entreprises…?

Certes… mais à tort : les grandes entreprises sont en général bien informées et bien protégées, bien que le risque 0 n’existe pas. Les problèmes se situent en fait majoritairement du côté des PME et TPE qui représentent 80% de notre patrimoine économique national, et qui négligent ces risques car ne se sentant généralement pas concernées. Mais de fait, ce sont des cibles de prédilection, notamment du fait de leur non-préparation et non-connaissance de ces risques.

Retrouvez la suite ainsi que les questions :

Quels sont les risques les plus fréquents ??

Y-a-t-il des secteurs plus menacés ??

En clair, là où il y a concurrent, il y a menace ??

Quels conseils donneriez-vous à un chef d’entreprise ??

ICI


La sécurité du cloud computing

12 avril 2010

Le cloud computing a été désigné comme l’une des technologies et des priorités des entreprises pour 2010-2011.

Pour autant, comme toute nouvelle technologie elle ne va pas sans risque.  L’article de Global Security Mag revient sur une étude de Symantec Corp et Ponemon Institute : « Moins d’une entreprise sur dix évalue les mesures de sécurité des fournisseurs de services de cloud computing ou forme son personnel dans ce domaine ».

Selon cette enquête, la plupart des entreprises n’ont pas les procédures, règles et outils nécessaires pour garantir la sécurité permanente des informations sensibles stockées dans le « cloud ». Malgré les problèmes de sécurité et le développement attendu du cloud computing, seulement 27 % des entreprises interrogées ont mis en place des procédures de validation des applications de cloud computing utilisant des informations sensibles ou confidentielles. Force est de constater que, dans la plupart des entreprises, l’évaluation des fournisseurs de services de cloud computing n’est pas du ressort des responsables informatiques et de la sécurité qui devraient, en principe, s’en charger : 68 % des entreprises interrogées ont déclaré qu’elle incombait à des utilisateurs finaux et des directeurs d’unités métier. Seulement 20 % des sondés ont indiqué que leur équipe en charge de la sécurité de l’information était régulièrement impliquée dans le processus de prise de décision et environ un quart ont déclaré qu’elle n’y avait jamais participé. Cela dit, 69 % des sondés préféreraient voir le personnel interne en charge de la sécurité de l’information ou de l’infrastructure informatique diriger ce processus décisionnel.

Il ressort de l’enquête que les employés prennent des décisions sans avoir le point de vue de leur département informatique ou sans une parfaite maîtrise des risques de sécurité associés au cloud computing. Seulement 30% des sondés évaluent les fournisseurs avant de déployer leurs produits.

– Autres résultats de l’enquête :

· Pour évaluer des services de cloud computing, les entreprises s’appuient sur le bouche à oreille (65 %), ainsi que les dispositions contractuelles et les garanties du fournisseur (55 % et 53 %, respectivement). Seulement 23 % exigent une preuve de conformité aux normes de sécurité telles que SAS 70, 18 % s’appuient sur des évaluations de sécurité internes et seulement 6 % sur des évaluations effectuées par des experts en sécurité ou des auditeurs.

· Pour plus de 75 % des sondés, la migration vers le cloud computing s’effectue dans des conditions pour le moins insatisfaisantes, et ce pour plusieurs raisons : manque de contrôle des utilisateurs finaux, ressources insuffisantes pour procéder à des évaluations correctes, pas de supervision du processus et évaluations figurant en bas de la liste des priorités.

· Seulement 19 % des entreprises interrogées proposent une formation générale sur la sécurité des données, couvrant les applications de cloud computing. Par ailleurs, 42 % des entreprises qui proposent une formation générale sur la sécurité des données n’y abordent pas spécifiquement les applications de cloud computing.

Retrouvez la suite de l’article et les recommandations sur le site du magazine.

Retrouvez également le point de vue de Microsoft dans le livre blanc que le géant de l’informatique vient de sortir.


Juste avant le FIC !

10 avril 2010

La 5e conférence annuelle sur la cybercriminalité a eu moins d’échos que le Fic mais elle est tout aussi importante.

Lors de cette conférence organisée à Strasbourg du 23 au 25 mars, le Conseil de l’Europe a appelé à la mise en œuvre de sa Convention sur la cybercriminalité au niveau mondial. « Le Congrès des Nations Unies contre le crime prévu en avril 2010 offrira à la communauté internationale l’occasion de renforcer la lutte contre la menace planétaire que représentent la cybercriminalité et le cyberterrorisme » a expliqué la Secrétaire Générale adjointe du Conseil de l’Europe, Maud de Boer-Buquicchio. « Nous mettrons toutes les chances de notre côté si nous nous rassemblons autour d’un instrument international déjà en vigueur : la Convention du Conseil de l’Europe sur la cybercriminalité ».

Cette conférence a aussi été l’occasion pour le Portugal de ratifier la Convention et pour l’Argentine de déposer une demande d’adhésion. A été également soulignée, lors des débats, la nécessité d’établir des liens plus étroits entre les secteurs public et privé afin de protéger les droits de l’homme sur Internet. La création d’une liste de contacts destinée à renforcer la coopération entre les autorités et l’industrie a aussi été proposée.

Enfin, les participants ont demandé à l’ICANN de renforcer le contrôle lors du processus d’enregistrement des noms de domaine afin de permettre à la fois la protection des données privées des personnes qui s’inscrivent et la possibilité pour les autorités d’utiliser la base de données pour lutter contre la cybercriminalité.

Source : ITRNews


Un échec du FIC ?

10 avril 2010

Europol devrait d’ici à la fin de l’année mettre en place une plateforme permettant de centraliser les bases de données de la Cybercriminalité. Pour autant, l’idée de créer un guichet unique, pour les 27 états au sein d’Europol, a été écartée. Les responsables présents au FIC ont mentionné la difficulté de fusionner des plateformes nationales, ayant des problématiques, des fonctions et des objectifs divers.

Après tous les compliments adressés à l’évènement, devons nous voir dans cette nouvelle un petit échec ou est-ce simplement la confirmation que l’Union Européenne n’est pas encore assez mature pour gérer des problématiques comme une seule et même entité ?

La cybercriminalité est finalement confrontée aux mêmes obstacles que toutes les questions touchant à l’Europe. Dommage ?


Hacker Croll, le gentil pirate ?

9 avril 2010

Pour faire suite au  billet précédent, Parad’IE revient sur l’histoire d’Hacker Croll, à travers l’article du journal LePoint

« Hacker Croll ne correspond pas au stéréotype du pirate informatique.

Il fait la Une des médias depuis quelques jours. Et pour cause : Hacker Croll est un jeune internaute français soupçonné d’être l’auteur d’un des piratages informatiques les plus marquants de 2009. Il a en effet profité de la négligence d’un administrateur de Twitter pour s’infiltrer dans le réseau social, sans ligne de code compliquée et sans logiciel malveillant. Juste en étant un peu intelligent. Autant dire que l’image d’Épinal du pirate informatique est mise à mal. Non, Hacker Croll n’a pas passé trois nuits blanches devant un écran noir bourré de caractères incompréhensibles, pour s’introduire dans l’un des sites les plus visités au monde. Il a juste enfoncé des portes ouvertes.

Repéré par le FBI, il a été arrêté mardi 23 mars dans le Puy-de-Dôme par les enquêteurs de l’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication (OCLCTIC). Relâché mercredi 24 mars, il sera jugé le 24 juin devant le tribunal correctionnel de Clermont-Ferrand. Il n’a pas fait grand mal aux comptes Twitter piratés (dont ceux, tout de même, de Barack Obama et Britney Spears), puisqu’il n’a pas publié de faux messages en usurpant les identités. En revanche, il a téléchargé au passage des documents secrets sur la stratégie de l’entreprise Twitter, qu’il a envoyés au blogueur français Korben ainsi qu’au site spécialisé américain TechCrunch . Le préjudice serait donc relativement important » (La suite)

Retrouvez également l’interview du « gentil Hacker ».