Cyber : le top des attaques
Les risques cyber sont les menaces qui pèsent sur les systèmes d’information et les données numériques des entreprises, des administrations et des particuliers. Ils peuvent avoir des conséquences graves sur la sécurité, la confidentialité, l’intégrité et la disponibilité de ces informations. Parmi les types d’attaques cyber les plus courants, on peut citer :
L'attaque "pishing"
Le pishing ou hameçonnage est une forme d'escroquerie. Cela consiste à envoyer des communications frauduleuses qui semblent provenir d'une source fiable, comme un organisme officiel ou familier (banque, impôts, Caf). Le but est de voler des données sensibles, comme des numéros de carte de crédit ou des identifiants de connexion, ou d'installer des logiciels malveillants sur l'ordinateur de la victime. Si la victime tombe dans le piège, elle est redirigée vers un site web falsifié où elle doit fournir ses informations personnelles.
Il existe différents types d'attaques par pishing, selon le degré de personnalisation et la cible visée. Par exemple, le spear phishing cible des personnes spécifiques, en utilisant des informations trouvées sur les réseaux sociaux ou d'autres sites. Le whaling s'attaque à un "gros poisson", comme un PDG ou un dirigeant d'entreprise³. Ces attaques peuvent servir de première étape pour des attaques plus avancées contre une organisation, comme des menaces persistantes avancées (APT) ou des ransomwares.
Pour se protéger des attaques par pishing, il est important de sensibiliser les utilisateurs à reconnaître les signes d'un e-mail ou d'un message frauduleux, comme des fautes d'orthographe, des adresses suspectes ou des demandes inhabituelles. Il faut également éviter de cliquer sur les liens ou les pièces jointes douteux, et vérifier l'authenticité du site web avant de saisir ses données personnelles. En cas de doute, il vaut mieux contacter directement l'organisme supposé à l'origine du message..
L'attaque "ransomware"
Une attaque par ransomware est une cyberattaque qui vise à prendre en otage les données ou les systèmes informatiques d’une victime, en les chiffrant avec un logiciel malveillant, et à exiger une rançon pour les débloquer. Il existe trois types principaux de ransomwares : les ransomwares de verrouillage, qui bloquent l’accès au système ou à l’interface d’un ordinateur ; les crypto-ransomwares, qui rendent les fichiers illisibles ; et les scarewares, qui se font passer pour des logiciels de sécurité et demandent un paiement pour supprimer une fausse menace.
Les ransomwares sont l’une des cybermenaces les plus répandues et les plus dangereuses pour les entreprises, car ils peuvent causer des dommages irréversibles, des pertes financières, des atteintes à la réputation et des violations de la protection des données personnelles. Pour se protéger contre les ransomwares, il est recommandé de mettre en place des mesures de prévention, telles que la sensibilisation des utilisateurs, la sauvegarde régulière des données, la mise à jour des logiciels et la sécurisation des réseaux. En cas d’attaque, il est conseillé de ne pas payer la rançon, car cela n’offre aucune garantie de récupérer les données, et d’alerter les autorités compétentes.
L'attaque "déni de service (DoS)"
Une attaque par déni de service (DoS) est une attaque informatique qui vise à rendre un service en ligne indisponible pour ses utilisateurs légitimes. L'attaquant envoie un grand nombre de requêtes au serveur ciblé, le surchargeant et l'empêchant de répondre aux demandes normales. Il existe différents types d'attaques DoS, selon la méthode utilisée par l'attaquant, le matériel visé et l'impact de l'attaque. Les attaques DoS peuvent causer des pertes financières, des dommages à la réputation ou des problèmes de sécurité pour les victimes. Pour se protéger contre les attaques DoS, il faut mettre en place des mesures de prévention, de détection et de réaction, ainsi que des solutions techniques comme les pare-feu, les filtres ou les services de mitigation.
L'attaque de "l'homme du milieu (MITM)"
Une attaque "man in the middle" (MITM) est une cyberattaque qui consiste à s'interposer entre deux parties qui communiquent sur Internet, sans qu'elles s'en rendent compte. Le but de l'attaquant est de lire, voler, modifier ou transmettre les données échangées, comme des mots de passe, des coordonnées bancaires ou des messages privés. Il existe plusieurs techniques pour réaliser une attaque MITM, comme l'écoute des réseaux Wi-Fi publics, la falsification des adresses IP ou MAC, la corruption du cache DNS ou la contrefaçon des certificats HTTPS.
Ces attaques peuvent causer de graves dommages aux victimes, comme le vol d'identité, le transfert illicite de fonds ou la compromission de la sécurité. Pour se protéger, il est recommandé d'utiliser des sites sécurisés, des VPN, des mots de passe complexes, l'authentification à deux facteurs, le chiffrement de bout en bout et de garder ses logiciels à jour.
L'attaque "d'injection SQL"
L’injection SQL est une technique d’exploitation de faille de sécurité d’une application web qui interagit avec une base de données. Elle consiste à injecter dans la requête SQL en cours un morceau de code malveillant qui peut compromettre la sécurité des données. Il existe plusieurs types d’injection SQL, selon la méthode utilisée pour injecter le code et le type de réponse obtenue. Les injections SQL peuvent permettre à un attaquant d’accéder, de modifier ou de supprimer des données sensibles, voire de prendre le contrôle du serveur de base de données.
Pour se protéger contre les injections SQL, il faut utiliser des paramètres SQL, qui empêchent l’interprétation du code injecté comme une partie de la requête. Il faut aussi valider et filtrer les entrées utilisateur, et limiter les privilèges d’accès à la base de données.
L'attaque "cross site scripting (XSS)"
Le cross site scripting (XSS) est une faille de sécurité qui permet à un attaquant d’injecter du code malveillant dans une page web visitée par un utilisateur. Le code malveillant peut être écrit en JavaScript, Java ou tout autre langage interprété par le navigateur. Le code malveillant peut accéder aux informations sensibles de l’utilisateur, comme ses cookies, ses jetons de session ou ses identifiants. Il peut aussi rediriger l’utilisateur vers un autre site, modifier le contenu de la page, diffuser un malware ou réaliser des actions sous l’identité de l’utilisateur.
Il existe deux types principaux de XSS : les non-persistants et les persistants. Les XSS non-persistants se produisent quand l’attaquant envoie un lien contenant le code malveillant à la victime, qui doit cliquer dessus pour déclencher l’attaque. Les XSS persistants se produisent quand le code malveillant est stocké sur le serveur web, par exemple dans un commentaire ou un formulaire, et qu’il est affiché à chaque fois que la page est chargée.
Pour se protéger des attaques XSS, il faut que les développeurs web filtrent et valident les entrées des utilisateurs, et qu’ils échappent ou encodent les caractères spéciaux. Il faut aussi que les utilisateurs mettent à jour leur navigateur, activent les protections anti-XSS et évitent de cliquer sur des liens suspects.
L'attaque "exploit zero day"
Un exploit zero day est une attaque qui profite d’une faille de sécurité non corrigée dans un logiciel ou un matériel. Les pirates informatiques utilisent ces failles pour accéder aux systèmes vulnérables et y exécuter du code malveillant. Ces attaques sont très dangereuses car elles sont difficiles à détecter et à prévenir.
Les exploits zero day peuvent avoir des conséquences graves pour les victimes, comme la perte de données, d’argent ou de réputation. Ils peuvent aussi servir à des fins politiques ou idéologiques. Par exemple, en 2014, Sony Pictures Entertainment a subi une attaque zero day qui a révélé des informations sensibles sur ses films, ses employés et ses plans d’affaires.
Il existe plusieurs méthodes pour se protéger des exploits zero day, comme la détection basée sur les statistiques, la détection basée sur les signatures ou la mise à jour régulière des logiciels. Cependant, aucune méthode n’est infaillible et il faut toujours rester vigilant face aux menaces potentielles.
L'attaque par "dns spoofing"
Le dns spoofing est une technique qui consiste à tromper le système de résolution de noms de domaine (DNS) pour rediriger les utilisateurs vers des sites web malveillants ou falsifiés. Il existe plusieurs variantes de dns spoofing, selon le niveau auquel l’attaque est réalisée. Par exemple, un attaquant peut modifier le serveur DNS configuré sur le système local de la victime, intercepter la réponse du serveur DNS, ou attaquer le serveur DNS lui-même.
Pour se protéger contre le dns spoofing, il existe plusieurs solutions, telles que utiliser un chiffrement, un réseau privé virtuel (VPN), ou un résolveur DNS public.
Ces attaques cyber peuvent avoir des motivations diverses, telles que le gain financier, l’espionnage, la déstabilisation ou l’idéologie. Elles nécessitent de la part des entreprises et des utilisateurs une vigilance constante et des mesures de protection adaptées. Les cyberattaques nécessitent également que nous intervenions lors d'une opération de TSCM pour détecter toute forme de surveillance électronique non autorisée qui pourrait être installée à votre domicile, dans votre véhicule ou dans vos locaux professionnels.
ADINT contre zero-click : la nouvelle bataille
Le paysage de la cybersécurité est en constante évolution, et les vecteurs d’infection ne font pas exception. Là où les vulnérabilités zero-day et zero-click ont longtemps dominé le marché, une nouvelle bataille se profile : ADINT (Advertising Intelligence).
Les enjeux du marché de l’infection
Traditionnellement, le marché de l’infection informatique reposait sur l’achat et la vente de vulnérabilités zero-day et zero-click. Ces failles, souvent coûteuses à exploiter, permettaient aux attaquants d’infiltrer des systèmes sans que l’utilisateur ait besoin d’interagir. Cependant, les coûts croissants et la raréfaction des vulnérabilités ont poussé les acteurs du secteur à explorer de nouvelles approches.
ADINT : la publicité comme vecteur d’infection
L’ADINT (Advertising Intelligence) est une tendance émergente qui consiste à utiliser la publicité comme vecteur d’infection. Plutôt que de s’appuyer sur des failles techniques, les attaquants ciblent les utilisateurs via des publicités malveillantes. Voici comment cela fonctionne :
- Publicités ciblées : Les cybercriminels diffusent des publicités malveillantes sur des sites web populaires, ciblant des utilisateurs spécifiques en fonction de leurs habitudes de navigation.
- Exploitation des navigateurs : Ces publicités contiennent des scripts ou des liens vers des sites compromis. Lorsque l’utilisateur clique sur la publicité, son navigateur est exploité pour télécharger et exécuter du code malveillant.
- Infection silencieuse : L’utilisateur ne se rend pas compte qu’il a été infecté, car l’attaque se déroule en arrière-plan. Aucune interaction de l’utilisateur n’est nécessaire.
Conséquences et défenses
L’ADINT présente des avantages pour les attaquants, mais aussi des risques pour les utilisateurs et les entreprises. Pour se protéger, voici quelques mesures à prendre :
- Mises à jour régulières : Assurez-vous que vos navigateurs et logiciels sont à jour pour réduire les vulnérabilités.
- Bloquer les publicités suspectes : Utilisez des bloqueurs de publicités pour limiter l’exposition aux annonces malveillantes.
- Sensibilisation des utilisateurs : Informez vos employés sur les risques liés aux publicités et encouragez-les à être prudents lors de leur navigation en ligne.
En somme, la bataille entre ADINT et les vecteurs d’infection traditionnels est en cours. Les entreprises et les utilisateurs doivent rester vigilants et adopter des pratiques de sécurité solides pour se protéger contre ces menaces émergentes.
L’anti passback : pourquoi est-ce important ?
Si vous gérez une entreprise, vous savez à quel point il est important de contrôler les accès à vos locaux, à vos données et à vos ressources. Vous utilisez peut-être déjà un système de badgeage pour identifier et autoriser vos employés, vos visiteurs ou vos prestataires à entrer dans certaines zones. Mais savez-vous ce qu’est l’anti passback et comment il peut renforcer la sécurité de votre système de contrôle d’accès ?
L’anti passback est une fonctionnalité optionnelle qui permet de s’assurer qu’un badge ne peut être utilisé qu’une seule fois pour entrer ou sortir d’une zone protégée. Par exemple, si un employé entre dans une salle informatique avec son badge, il ne pourra pas ressortir avec le même badge sans avoir préalablement badgé en sortie. De même, il ne pourra pas prêter son badge à une autre personne pour qu’elle puisse entrer dans la même zone.
L’anti passback permet donc de lutter contre le prêt, le clonage d'un badge ou le vol de badge, qui peuvent compromettre la sécurité de votre entreprise. En effet, si une personne non autorisée accède à une zone sensible, elle peut y causer des dommages, voler des informations confidentielles, introduire des virus ou des logiciels malveillants, ou encore activer des alarmes ou des dispositifs de sécurité.
Pour que l’anti passback fonctionne, il faut que votre système de contrôle d’accès soit équipé de lecteurs de badge en entrée et en sortie des zones protégées, et que ces lecteurs soient reliés à une centrale qui gère la logique de l’anti passback. Il faut également que vos badges soient dotés d’une puce électronique qui enregistre les informations de passage.
L’anti passback peut être appliqué à différentes zones de votre entreprise, selon le niveau de sécurité que vous souhaitez. Par exemple, vous pouvez mettre en place un anti passback sur :
- L’entrée principale de votre site, pour éviter que des personnes extérieures ne profitent d’un badge oublié ou perdu pour entrer dans vos locaux.
- Le parking de votre entreprise, pour éviter que des employés ne se garent à votre place ou que des visiteurs ne stationnent sans autorisation.
- Les accès aux bâtiments ou aux étages, pour limiter l’accès aux seuls employés habilités à travailler dans ces zones.
- Les salles sensibles, comme les salles informatiques, les salles de stockage, les laboratoires, les salles de réunion, etc., pour protéger vos données, vos équipements, vos produits ou vos projets.
L’anti passback peut être paramétré selon différents modes, selon le degré de contrainte que vous souhaitez imposer à vos utilisateurs. Par exemple, vous pouvez choisir un mode :
- Strict, qui interdit tout passage en sens inverse sans avoir badgé en sortie au préalable. Ce mode est le plus sécurisé, mais il peut être contraignant en cas d’oubli ou d’erreur de badgeage.
- Temporisé, qui autorise un passage en sens inverse après un certain délai. Ce mode est moins sécurisé, mais il permet de gérer les cas de force majeure, comme une évacuation d’urgence ou une coupure de courant.
- Tolérant, qui autorise un passage en sens inverse dans la limite d’un nombre de passages autorisés. Ce mode est le moins sécurisé, mais il permet de gérer les cas de passage fréquent, comme le passage d’un chariot ou d’un matériel.
L’anti passback est donc une fonctionnalité qui peut vous aider à renforcer la sécurité de votre entreprise, en complément d’un système de contrôle d’accès classique. Mais pour que votre système soit efficace, il faut également respecter certaines bonnes pratiques, comme :
- Choisir des badges adaptés à vos besoins, en termes de technologie, de design et de durabilité.
- Configurer vos badges en fonction des profils et des droits d’accès de vos utilisateurs, en utilisant un logiciel de gestion des badges.
- Sensibiliser vos utilisateurs à l’importance de la sécurité et aux règles à respecter, comme ne pas prêter ou perdre son badge, le porter de façon visible, le présenter correctement au lecteur, etc.
- Contrôler régulièrement le bon fonctionnement de votre système, en vérifiant l’état des lecteurs, des badges, des câbles, de la centrale, etc.
- Réagir rapidement en cas d’incident, comme un badge défectueux, un lecteur en panne, une tentative d’intrusion, etc.
En suivant ces conseils, vous pourrez optimiser votre système de contrôle d’accès et bénéficier des avantages de l’anti passback, comme :
- Une meilleure traçabilité des passages et des présences dans vos locaux, grâce aux données enregistrées par les badges et les lecteurs.
- Une meilleure protection de vos informations et de vos ressources, grâce à la limitation des accès aux zones sensibles.
- Une meilleure conformité aux normes et aux réglementations, comme la norme ISO 27001 sur la sécurité de l’information, ou le RGPD sur la protection des données personnelles.
- Une meilleure image de votre entreprise, grâce à la démonstration de votre sérieux et de votre professionnalisme en matière de sécurité.
Vous l’aurez compris, l’anti passback est une fonctionnalité qui peut vous apporter de nombreux bénéfices, à condition de bien la choisir, de bien la paramétrer et de bien la gérer. Si vous souhaitez en savoir plus sur l’anti passback et sur les solutions de contrôle d’accès adaptées à votre entreprise, n’hésitez pas à nous contacter. Lors de notre opération de TSCM, nous proposons à nos clients la vérification du système de badge et des recommandations liées à la gestion d'accès. Nous vous conseillerons et vous accompagnerons dans la mise en place de votre système de sécurité.
Vol d'informations : Paris 2024 en danger ?
Dans un incident troublant qui soulève des questions sur la sécurité des Jeux Olympiques de Paris 2024, un ordinateur et des clés USB contenant des données sensibles ont été dérobés. Voici ce que nous savons jusqu’à présent sur cette affaire préoccupante.
Le vol a eu lieu le lundi 26 février 2024, dans un train à la Gare du Nord à Paris. La victime, un ingénieur travaillant pour la mairie de Paris, a signalé la disparition de sa sacoche contenant l’ordinateur et les clés USB alors qu’il se préparait à changer de train en raison d’un retard.
Les appareils volés contenaient des informations relatives à la circulation dans Paris pendant les JO, ainsi que des détails sur le dispositif de sécurité prévu par la police municipale de Paris, qui envisage de déployer environ 2000 agents pour l’événement. Bien que le parquet de Paris ait affirmé que les clés USB ne contenaient pas de données sur les dispositifs de sécurité, la nature exacte des informations reste incertaine.
Il semble que l’ordinateur et la clé USB n’aient pas été chiffrés, d'après les inquiétudes.
Chiffrer son disque dur et sa clé USB est essentiel pour garantir la confidentialité des données personnelles et professionnelles, en les protégeant contre les accès non autorisés et le vol d’identité. Cela contribue également à l’intégrité des données en les sécurisant contre les modifications malveillantes. Fermer sa session est tout aussi important, car cela empêche toute personne non autorisée d’accéder à votre ordinateur en votre absence, assurant ainsi la sécurité des applications et des fichiers ouverts et réduisant le risque d’infections par des logiciels malveillants. Ces mesures de sécurité sont donc cruciales pour préserver la confidentialité et la sécurité de vos activités numériques.
Il est certain que cet événement met en lumière la nécessité de renforcer la sécurité des informations sensibles. Les responsables doivent désormais évaluer si des mesures supplémentaires sont nécessaires pour protéger les données liées à la sécurité des grands événements publics.
Alors que les préparatifs des Jeux Olympiques de 2024 continuent, cet incident rappelle que la sécurité de l’information est cruciale. Il est impératif que toutes les parties prenantes, y compris les employés municipaux, les organisateurs des JO et les forces de l’ordre, travaillent de concert pour garantir la sécurité de l’événement et la protection des données sensibles.
Le vol d'informations dans les transports publics représente un risque majeur pour la sécurité individuelle et collective.
Dans le contexte des Jeux Olympiques de Paris 2024, le vol d'un ordinateur et de clés USB contenant des plans de sécurisation est particulièrement préoccupant car il pourrait compromettre la sécurité de l'événement et la sûreté des participants et spectateurs.
Les transports publics, souvent bondés et fréquentés par une population diversifiée, offrent un terrain propice aux voleurs d'informations. Les voyageurs sont parfois distraits, fatigués ou surchargés, ce qui facilite le travail des pickpockets. De plus, la proximité physique dans les transports en commun peut permettre aux voleurs d'accéder facilement aux sacs, poches et appareils électroniques des usagers.
Pour atténuer ces risques, il est essentiel de sensibiliser le public à la protection de leurs données personnelles, d'encourager les bonnes pratiques de cybersécurité, et de renforcer la surveillance et les mesures de sécurité dans les réseaux de transport. Les autorités doivent également être vigilantes et réactives pour prévenir et répondre rapidement à de tels incidents.
Cyber : "leaks" le risque de fuite de données
En ces temps de guerre de l'information, la fuite de données depuis les appareils et réseaux civils est une préoccupation majeure. Cette menace est exacerbée par l’escalade de la guerre numérique. Les informations les plus convoitées sont les données industrielles, technologiques, médicales et toutes les données personnelles. La raison est assez simple : les cybercriminels adoptent de plus en plus une stratégie de double extorsion.
En plus de l’utilisation de ces données pour des attaques futures de phishing, de smishing ou d’ingénierie sociale visant le gain financier, ces vols de données deviendront de plus en plus un moyen plutôt qu’une fin. Ils visent à influencer et à déstabiliser. Contrairement à la désinformation industrielle, les fuites sont des données « réelles » utilisées par les nations.
Une fuite de données peut être attribuée à diverses sources internes à l’entreprise, telles qu’un employé, un prestataire ou même un stagiaire malintentionné qui pourrait récupérer vos informations via une clé USB. Lors de son audit, la société International ICS intervient pour constater et formuler des recommandations.
La technique du « hack-and-leak » sera toujours d’actualité, dans le but de déstabilisation politique dans les entreprises, mais pas seulement. Ces données seront utilisées pour l’espionnage. Les tensions géopolitiques croissantes augmentent les risques d'ingérence entre les sociétés.
Les partis politiques et les grandes industries sont d’excellentes sources de renseignements. Ces menaces proviennent principalement de l’extérieur de l’organisation, mais la menace interne est en forte augmentation et reste pourtant sous-estimée.
Voici quelques exemples de grandes fuites de données :
- Fuite de données de la Sécurité Sociale : En 2024, une cyberattaque sans précédent a touché deux organismes français du tiers payant, Viamedis et Almerys. Les données de santé de plus de 33 millions d'assurés français ont été compromises. Les données volées comprenaient l'état civil, la date de naissance, le numéro de Sécurité sociale, le nom de l'assureur santé et les garanties du contrat souscrit.
- Compilation of Many Breaches (COMB) : En février 2021, une énorme base de données contenant plus de 3,2 milliards de combinaisons d'identifiants et de mots de passe a été mise en ligne sur un forum de hackers. Cette fuite, appelée COMB, comprenait des données provenant de LinkedIn, Netflix, Gmail, Hotmail, Facebook et bien d'autres. Il s'agit probablement de la plus grande compilation d'informations d'identification d'utilisateurs piratées jamais publiée en ligne.
- Fuite de données de SocialArks : En janvier 2021, l'entreprise de cybersécurité SafetyDetectives a révélé que le fichier de données de 214 millions de comptes de SocialArks, une startup chinoise, était laissé en accès complètement libre, sans la moindre protection. Environ 800 000 comptes français étaient concernés.
- Fuite de données de Tencent et Weibo : Une fuite de données a été découverte dans une instance cloud ouverte par Bob Dyachenko. Elle se compose de 26 milliards de données réparties dans 3800 dossiers, chacun correspondant à une fuite de données distincte. Les fuites de données les plus importantes concernent deux entités chinoises : Tencent avec 1,5 milliard d’entrées et Weibo avec 504 millions.
- Fuite de données d'Ashley Madison : En juillet 2015, un groupe de hackers a annoncé avoir piraté les serveurs d’Ashley Madison, le site de rencontre extra-conjugales numéro 1 aux États-Unis. Ils ont menacé de publier toutes les données interceptées si l'application n'était pas fermée.
- Fuite de données de Pôle Emploi : Pôle Emploi, l'agence nationale pour l'emploi en France, a également été victime d'une fuite de données. Le nombre de violations de données en France est passé de 4,5 par jour à 7 en un an et demi.
Ces incidents soulignent l'importance de la cybersécurité et la nécessité de protéger nos informations personnelles en ligne. Il est recommandé de changer régulièrement vos mots de passe et d'utiliser des mots de passe uniques pour chaque compte pour minimiser les risques.
Les fuites de bases de données auront encore de beaux jours devant elles dans le futur. Il ne faut jamais oublier que les données personnelles sont l’actif le plus précieux. Les entreprises doivent donc mettre en place des mesures de sécurité contre le cyber-espionnage. Il est conseillé de changer régulièrement vos mots de passe sur vos comptes. Les cybercriminels qui auraient récupéré vos informations d'identification peuvent les tester sur plusieurs sites si ils ont aussi vos identifiants.
Restez toujours vigilant.
Le marché du matériel d'espionnage : un risque pour les entreprises ?
Le matériel d'espionnage, autrefois réservé aux services secrets et aux professionnels de la sécurité, se démocratise de plus en plus auprès du grand public. Caméras cachées, micros espions, traceurs GPS, brouilleurs de signaux... Il existe une multitude de produits disponibles sur internet ou dans des boutiques spécialisées, à des prix souvent abordables.
Si certains utilisent ces gadgets pour des raisons ludiques ou personnelles, d'autres peuvent en faire un usage malveillant, notamment dans le cadre professionnel. En effet, le vol d'informations confidentielles, de données stratégiques ou de secrets industriels peut représenter un enjeu majeur pour la compétitivité et la sécurité des entreprises.
Exemples : Réveil camera espion, Stylo micro espion, Chargeur iPhone piégé...
Selon une étude de l'Institut national de la propriété industrielle (INPI), 19 % des entreprises françaises ont été victimes d'une tentative d'espionnage industriel entre 2017 et 2019, et 7 % ont subi un préjudice avéré. Les secteurs les plus touchés sont ceux de l'industrie, de la recherche et du développement, et des services aux entreprises.
Les sources de menace peuvent être internes ou externes à l'entreprise. Il peut s'agir de concurrents, de clients, de fournisseurs, de partenaires, de salariés, d'anciens employés, de prestataires, de hackers, de groupes activistes, ou encore de pays étrangers. Les moyens employés pour s'approprier des informations sensibles sont variés : intrusion physique, cyberattaque, écoute clandestine, corruption, chantage, infiltration, etc.
Face à ce risque, les entreprises doivent se protéger en adoptant des mesures de prévention, de détection et de réaction. Il s'agit notamment de sensibiliser les collaborateurs, de sécuriser les locaux, les réseaux et les systèmes d'information, de classifier les informations, de contrôler les accès, de signer des clauses de confidentialité, de surveiller les comportements suspects, de signaler les incidents, et de porter plainte en cas d'atteinte.
L'opération de TSCM chez International ICS offre aux entreprises un audit complet sur la sureté de l'information, permettant de rechercher les dispositifs malveillants et d'anticiper les risques.
Le marché du matériel d'espionnage en France est en pleine expansion, mais il représente aussi un danger pour les entreprises qui peuvent voir leur patrimoine immatériel compromis. Il est donc essentiel de se prémunir contre ce type d'espionnage, qui peut avoir des conséquences économiques, juridiques et réputationnelles importantes.
Définition : la sécurité de l'information
La sécurité de l’information, infosécurité ou infosec est un enjeu majeur pour toute entreprise. En effet, votre entreprise génère et exploite un grand volume de données dans le cadre de son fonctionnement. Ces données peuvent concerner votre comptabilité, vos ressources humaines, vos projets, vos clients, etc. Elles sont essentielles pour votre performance et votre compétitivité. Or, ces données sont aussi exposées à des risques de fuite, de vol, de détournement ou de sabotage. Si une partie de ces données était compromise, cela pourrait avoir des conséquences désastreuses pour votre entreprise. Vous pourriez perdre la confiance de vos clients, subir des pertes financières, être victime d'espionnage industriel, voire faire face à des poursuites judiciaires. C'est pourquoi il est indispensable de protéger vos données avec des mesures adaptées à votre activité et à votre environnement.
International ICS déploie des interventions ciblées et pragmatiques au sein des entreprises clientes. Elle se spécialise depuis 1991 dans la détection de systèmes d’écoute et réalise des audits approfondis dédiés à la sécurité de l’information.
La sécurité de l’information est cruciale pour toute entreprise, car elle englobe les stratégies et les pratiques conçues pour préserver les informations contre toute utilisation, accès, altération, interruption ou destruction non autorisée. Cette protection s’étend à une variété de données, qu’elles soient stockées électroniquement, comme dans le cas des données sur le cloud, ou sous forme physique, telles que des documents imprimés ou des contrats.
Dans le domaine de la sécurité de l’information, bien que les titres de postes puissent différer, on peut mentionner les postes suivants : responsables de la sécurité des systèmes informatiques, directeurs de la sécurité des systèmes d’information (DSSI), ingénieurs en sécurité des systèmes informatiques, analystes en sécurité de l’information, administrateurs de la sécurité des systèmes et consultants en sécurité des systèmes informatiques.
L’intégrité et la confidentialité sont les piliers fondamentaux de la sécurité de l’information. L’intégrité garantit que les données restent fiables et inchangées par des acteurs non autorisés. Par exemple, il serait inacceptable qu’un cybercriminel puisse altérer les ingrédients d’une recette exclusive, transformant potentiellement un produit inoffensif en une substance nocive. De même, il est impératif d’empêcher toute modification non autorisée des contrats qui pourrait affecter les termes financiers ou les obligations des employés.
Il est tout aussi vital de protéger l’intégrité des données contre les menaces internes, comme un employé malveillant qui chercherait à falsifier les enregistrements de temps de travail d’un collègue ou à introduire des annotations disciplinaires fallacieuses dans son dossier personnel. Les mesures de sécurité telles que le chiffrement et les mots de passe ne se contentent pas de préserver la confidentialité ; elles jouent également un rôle déterminant dans la sauvegarde de l’intégrité des données. En cas de violation, des procédures de récupération permettent de restaurer les versions antérieures des données compromises, rétablissant ainsi leur état original.
La confidentialité, quant à elle, se concentre sur la protection des données contre les accès non autorisés. Que ce soit pour gérer des contrats d’employés ou des informations clients, il est essentiel de s’assurer que seules les personnes autorisées puissent consulter les données sensibles. Cela implique l’adoption de politiques strictes et de technologies avancées pour contrôler l’accès et garantir que les informations restent exclusivement entre les mains de ceux qui ont le droit de les voir.
En somme, la sécurité de l’information est une pratique complexe et multidimensionnelle qui nécessite une vigilance constante et l’adoption de technologies de pointe pour protéger les actifs informationnels les plus précieux d’une entreprise. Elle est indispensable pour maintenir la confiance des clients et la réputation de l’entreprise, tout en se conformant aux réglementations en vigueur.
Il est impératif que votre politique de sécurité intègre un plan détaillé pour la gestion adéquate de vos données et opérations, assurant ainsi que les individus autorisés puissent y accéder quand nécessaire, en accord avec leurs besoins spécifiques. Ce plan doit clairement articuler les méthodes de transfert des données, les mécanismes de protection mis en œuvre pour leur sécurisation (comme le cryptage ou chiffrement de fichiers), ainsi que les procédures établies pour la sauvegarde et la restauration des données en cas d’incident.
Dans le cadre de votre activité, vous manipulez divers types de contenus, allant de documents publics disponibles sur votre site internet à des informations hautement confidentielles telles que des politiques internes et des procédures qui ne doivent en aucun cas être divulguées à des parties non autorisées. Pour cela, un système de classification des données performant est essentiel au sein de votre politique de sécurité de l’information, permettant de catégoriser vos données et de définir précisément les modalités d’accès pour chaque catégorie.
Votre politique de sécurité doit définir explicitement les rôles et responsabilités de chaque membre du personnel en ce qui concerne la gestion de votre contenu. Il est crucial d’identifier les employés chargés de gérer les réponses aux incidents de sécurité et ceux responsables de l’assurance de la protection et de la confidentialité des données. Cette répartition claire des responsabilités est fondamentale pour maintenir l’intégrité et la confidentialité de vos informations d’entreprise.
Dans le domaine de la sécurité de l’information, il est primordial de mettre en œuvre une série de mesures et de processus conçus pour protéger et sécuriser les données contre les accès non autorisés, les utilisations abusives ou les fuites d’informations. Ces mesures sont essentielles pour préserver l’intégrité, la confidentialité et la disponibilité des données, qu’elles soient stockées physiquement ou dans le cloud.
Mesures d’accès : Ces mesures sont fondamentales pour contrôler qui peut accéder physiquement à vos données. Elles incluent des dispositifs de sécurité tels que des systèmes de verrouillage avancés, des cartes d’accès, des lecteurs biométriques et des caméras de surveillance, qui sont installés pour restreindre l’entrée à des zones spécifiques de votre infrastructure. De même, des protocoles d’authentification et des permissions d’accès sont établis pour réguler qui peut accéder à vos données numériques, notamment celles hébergées sur des plateformes cloud.
Mesures procédurales : Ces mesures définissent les politiques et les procédures que vos employés doivent suivre pour assurer la sécurité des informations. Elles comprennent des programmes de formation et de sensibilisation qui enseignent aux employés comment identifier et éviter les menaces potentielles, ainsi que les meilleures pratiques pour maintenir la sécurité des données. Par exemple, les employés apprennent à créer des mots de passe complexes, à reconnaître les tentatives de phishing et à signaler les incidents de sécurité.
Mesures techniques : Elles englobent l’ensemble des outils et des technologies utilisés pour protéger vos données. Cela peut inclure l’installation de logiciels antivirus, l’utilisation de pare-feu pour filtrer le trafic réseau, la mise en place de systèmes de détection d’intrusion, ainsi que le chiffrement des données pour empêcher leur lecture par des tiers non autorisés. La politique de mots de passe est également un aspect crucial, exigeant des utilisateurs la création de mots de passe forts et leur renouvellement régulier.
Mesures de conformité : Ces mesures sont souvent dictées par des normes et des réglementations externes, telles que le Règlement Général sur la Protection des Données (RGPD) ou la norme ISO 27001. Elles visent à s’assurer que votre entreprise respecte les exigences légales et les meilleures pratiques du secteur en matière de sécurité de l’information. Le respect de ces normes est souvent vérifié par des audits réguliers et peut nécessiter la mise en place de politiques et de procédures spécifiques.
Les mesures de sécurité de l’information se classent en trois catégories principales :
- Mesures préventives : Elles sont conçues pour empêcher les incidents de sécurité avant qu’ils ne se produisent. Cela inclut des stratégies telles que la mise en place de mots de passe robustes, le chiffrement des données et l’installation de barrières physiques pour protéger les documents imprimés et les dispositifs de stockage.
- Mesures de détection : Elles permettent d’identifier rapidement une violation de données ou une tentative de piratage. Des systèmes de surveillance et d’alerte précoce, tels que les logiciels de détection d’intrusion et les systèmes de gestion des événements de sécurité, jouent un rôle clé dans la détection des anomalies et des activités suspectes.
- Mesures correctives : Après qu’une violation de données s’est produite, ces mesures sont mises en place pour atténuer les dommages et prévenir de futures occurrences. Cela peut inclure la réalisation d’analyses post-incident, la révision des politiques de sécurité et la mise en œuvre de changements basés sur les leçons apprises.
En somme, la mise en œuvre de ces mesures de la sécurité de l’information, infosécurité ou infosec est essentielle pour protéger vos données contre les menaces internes et externes, garantissant ainsi la pérennité et la confiance dans vos opérations commerciales. La sécurité de l’information représente un pilier central de la stratégie globale de toute entreprise moderne. Elle ne se limite pas à la mise en place de barrières techniques, mais englobe une culture de la sécurité qui doit imprégner toutes les strates de l’organisation. La sensibilisation et la formation continue des employés, la mise à jour régulière des systèmes de sécurité et la réactivité face aux nouvelles menaces sont autant de composantes essentielles pour garantir l’intégrité, la confidentialité et la disponibilité des données. En investissant dans une politique de sécurité robuste et évolutive, les entreprises peuvent non seulement prévenir les risques potentiels, mais aussi renforcer leur position sur le marché, inspirer confiance à leurs clients et partenaires, et assurer une croissance durable et sécurisée.
C’est une démarche proactive qui requiert engagement, vigilance et innovation pour protéger ce qui constitue le cœur même de l’activité économique : l’information.
Démêler les termes de cryptographie et de chiffrement
Dans le monde numérique, la sécurité des informations est primordiale. Cependant, un malentendu courant persiste autour des termes “cryptographie” et “chiffrement”. Bien que souvent utilisés de manière interchangeable, ils désignent en réalité deux concepts distincts. Le terme « crypter » est dérivé du mot grec ancien kruptos, qui signifie « caché ». Dans le domaine de l’informatique, le cryptage désigne le processus de rendre les données inintelligibles grâce à un algorithme. Lorsqu’on détient la clé pour coder ou décoder, on utilise alors le terme de chiffrement. Il est important de noter que les mots « crypter » et « cryptage » sont fréquemment utilisés de manière incorrecte, en raison de la confusion avec le mot anglais encryption, qui se traduit par « chiffrement ».
Cryptographie : L’Art Ancien de la Communication Secrète
La cryptographie est une discipline ancienne qui englobe l’étude des principes et des techniques permettant de sécuriser la communication. Son objectif est de garantir que seuls les destinataires prévus puissent comprendre le message envoyé. La cryptographie ne se limite pas au chiffrement ; elle inclut également la stéganographie, l’authentification et l’intégrité des données.
L’histoire de la cryptographie remonte à l’Antiquité, avec des exemples tels que la recette secrète d’un potier babylonien gravée sur une tablette d’argile. Cette recette était écrite avec des modifications orthographiques pour masquer sa véritable signification aux non-initiés. Au fil des siècles, des techniques telles que le carré de Polybe, le code de César et le Grand Chiffre de Louis XIV ont été développées, utilisant la substitution de lettres ou de chiffres pour protéger les informations.
Chiffrement : La Technique de Protection des Données
Le chiffrement, quant à lui, est une sous-branche de la cryptographie qui se concentre sur la transformation de l’information claire en un format illisible sans la clé appropriée. Cette clé, connue uniquement du destinataire légitime, est nécessaire pour décrypter le message et le rendre à nouveau lisible.
L’un des exemples les plus célèbres de chiffrement est la machine Enigma utilisée par l’Allemagne pendant la Seconde Guerre mondiale. Alan Turing et son équipe ont réussi à “casser” le code d’Enigma, un exploit qui a eu un impact significatif sur le cours de la guerre.
Lorsque nous communiquons par le biais d’applications mobiles telles que Olvid ou Signal, nous faisons usage d’un service de messagerie chiffrée.
L’Ère Moderne : Chiffrement et Cryptographie Quantique
Avec l’avènement de l’informatique, le chiffrement est devenu un standard pour la protection des données. L’algorithme DES, initialement utilisé à des fins militaires, a été adopté par les entreprises dans les années 70. Plus tard, l’algorithme RSA a introduit le concept de clés publiques et privées, une avancée majeure dans la cryptographie asymétrique.
Aujourd’hui, nous entrons dans l’ère de la cryptographie quantique, où les propriétés de la physique quantique promettent de révolutionner la sécurité des données. Les ordinateurs quantiques pourraient rendre obsolètes les méthodes de chiffrement actuelles, y compris les clés RSA, en raison de leur capacité à résoudre des problèmes complexes à une vitesse sans précédent.
Le Chiffrement au Quotidien : De la Théorie à la Pratique
Le chiffrement est désormais omniprésent, souvent sans que nous en soyons conscients. Il sécurise nos communications par e-mail, nos messages instantanés et nos transactions en ligne. Le chiffrement de bout en bout, en particulier, assure que seuls l’expéditeur et le destinataire peuvent lire le contenu d’un message, empêchant toute interception par des tiers.
Il est essentiel de comprendre la distinction entre cryptographie et chiffrement pour apprécier pleinement les mesures de sécurité qui protègent nos informations les plus sensibles. Alors que la cryptographie est l’étude globale de la communication sécurisée, le chiffrement est la technique spécifique utilisée pour masquer le contenu des messages. Ensemble, ils forment la base de notre confiance dans la sécurité numérique moderne.
iCloud : Comment fonctionne le chiffrement
La sécurisation des informations sur iCloud est intrinsèquement connectée à la manière dont les données sont stockées. Cela commence avec les frameworks d’application et les API CloudKit, qui sont utilisés par les applications et les systèmes logiciels pour sauvegarder les données de l’utilisateur sur iCloud et synchroniser ces informations entre les différents appareils et le Web.
CloudKit est un cadre d’application robuste et flexible offert par Apple, qui offre aux développeurs d’applications une plateforme pour stocker et gérer divers types de données dans le cloud, plus précisément dans iCloud. Ces données peuvent être des paires clé-valeur, des données structurées, ou même des ressources plus volumineuses qui sont stockées en dehors de la base de données, comme des images ou des vidéos.
CloudKit offre une prise en charge pour deux types de bases de données : les bases de données publiques et privées. Ces bases de données sont regroupées dans des conteneurs pour une gestion efficace. Les bases de données publiques sont généralement utilisées pour stocker des ressources génériques. Elles sont partagées à l’échelle mondiale et ne sont pas chiffrées, ce qui signifie que les données qu’elles contiennent sont accessibles à tous les utilisateurs. D’autre part, les bases de données privées sont destinées à héberger les données iCloud spécifiques à chaque utilisateur. Ces données sont protégées et ne sont accessibles qu’à l’utilisateur concerné.
L’un des aspects clés de CloudKit est son utilisation d’une hiérarchie de clés qui correspond à la structure des données stockées. Cette hiérarchie de clés assure la sécurité et l’intégrité des données. La base de données privée de chaque conteneur est protégée par cette hiérarchie de clés, qui est enracinée dans une clé asymétrique appelée clé de service CloudKit. Cette clé est unique à chaque utilisateur d’iCloud et est générée sur l’appareil de confiance de l’utilisateur.
Lorsqu’un utilisateur écrit des données dans CloudKit, toutes les clés d’enregistrement sont générées sur son appareil de confiance. Ces clés sont ensuite enveloppées dans la hiérarchie de clés appropriée avant que les données ne soient téléversées. Cela garantit que les données sont sécurisées et protégées tout au long du processus de téléversement. En somme, CloudKit offre une solution de stockage en nuage sécurisée et efficace pour les développeurs d’applications, tout en assurant la confidentialité et la sécurité des données des utilisateurs.
La protection des informations chiffrées dans CloudKit est assurée par la sûreté des clés de chiffrement associées. Les clés de service CloudKit se divisent en deux types : « chiffrées de bout en bout » et « accessibles après authentification ».
Il est vivement conseillé aux utilisateurs d’iCloud d’activer l’option “Protection avancée des données pour iCloud”.
- Clés de service chiffrées de bout en bout. Pour les services iCloud qui sont chiffrés de bout en bout, les clés de service CloudKit privées associées ne sont jamais accessibles aux serveurs d’Apple. Les paires de clés de service, y compris les clés privées, sont générées localement sur un appareil de confiance de l’utilisateur, puis transférées aux autres appareils de l’utilisateur en utilisant la sécurité du trousseau iCloud. Bien que les processus de récupération et de synchronisation du trousseau iCloud utilisent les serveurs d’Apple, des méthodes de chiffrement empêchent ces derniers d’accéder aux données du trousseau de l’utilisateur. En cas de perte de l’accès au trousseau iCloud et à tous ses moyens de récupération, les données chiffrées de bout en bout dans CloudKit sont perdues. Apple ne peut pas aider à récupérer ces données. Seuls vos appareils approuvés, sur lesquels vous êtes connecté avec votre identifiant Apple, peuvent déchiffrer vos données chiffrées de bout en bout. Aucun tiers, y compris Apple, ne peut accéder à ces informations. Même en cas de violation de données dans le cloud, vos données restent sécurisées. En cas de perte d’accès à votre compte, vous êtes le seul à pouvoir récupérer vos données, que ce soit grâce au code d’accès ou au mot de passe de votre appareil, à un contact de récupération ou à une clé de secours.
- Clés de service accessibles après authentification. Pour les autres services, tels que Photos et iCloud Drive, les clés de service sont conservées dans les modules de sécurité matériels iCloud dans les centres de données Apple et sont accessibles par certains services Apple. Lorsqu’un utilisateur se connecte à iCloud sur un nouvel appareil en utilisant son identifiant Apple, les clés sont accessibles par les serveurs d’Apple sans action supplémentaire de l’utilisateur. Par exemple, une fois connecté à iCloud.com, l’utilisateur peut immédiatement voir ses photos en ligne. Ces clés de service sont des clés accessibles après authentification.
Quand la protection avancée des données est activée, certaines métadonnées et données d’utilisation conservées dans iCloud demeurent sous la protection standard des données. Par exemple, les informations telles que les dates et heures de modification d’un fichier ou d’un objet sont utilisées pour organiser vos données. De plus, les sommes de contrôle des données de fichiers et de photos aident Apple à éliminer les doublons et à optimiser votre stockage iCloud et sur votre appareil, sans qu’Apple ait accès à vos fichiers et photos. Ces métadonnées sont toujours chiffrées, mais Apple conserve les clés de chiffrement.
En conclusion, la protection des données sur iCloud est un élément essentiel de la stratégie de sécurité d’Apple. iCloud utilise des mesures de sécurité telles que l’authentification à deux facteurs et le chiffrement de bout en bout pour protéger les données des utilisateurs. Cependant, bien que ces mesures soient robustes, il est important de noter que la sécurité des données dépend également des pratiques de l’utilisateur. Par conséquent, il est recommandé aux utilisateurs de maintenir des mots de passe forts et uniques, et de rester vigilants face aux tentatives de phishing. En fin de compte, bien que iCloud offre une protection des données solide, la responsabilité de la sécurité des données incombe à la fois à Apple et à l’utilisateur.
Juridique : le secret professionnel ?
Le secret professionnel est un concept juridique qui joue un rôle crucial dans le secteur privé. Il s’agit d’une obligation qui interdit à un professionnel de divulguer certaines informations concernant un tiers. Dans cet article, nous allons explorer les différentes facettes du secret professionnel dans le secteur privé.
Le secret professionnel est une interdiction juridique qui empêche un professionnel de divulguer les informations dont il a été dépositaire et dont il ne peut pas user à son initiative ou dans son intérêt. Cette obligation est particulièrement pertinente pour les membres d’ordres professionnels (professionnels du droit, de la santé, du secteur social, des finances…) ainsi que les professionnels travaillant dans une entreprise détentrice de brevet ou secret de fabrication.
Dans le secteur privé, le secret professionnel peut s’appliquer aux employés d’une entreprise qui ont accès à des informations sensibles, comme des secrets de fabrication ou des stratégies commerciales. Ces employés sont souvent tenus de signer des accords de confidentialité qui leur imposent de respecter le secret professionnel.
Le secret professionnel concerne un large éventail de professions. Il s’applique notamment aux avocats, aux médecins, aux psychologues, aux travailleurs sociaux, et aux comptables. Ces professionnels ne peuvent pas divulguer les informations qu’ils ont reçues de leurs clients ou patients, sauf dans certaines circonstances spécifiques prévues par la loi.
La clause de discrétion et secret professionnel est un outil juridique qui protège les entreprises de la divulgation d’informations critiques nécessaires à leur pérennité industrielle ou économique. Cette clause lie le salarié lors de la signature de son contrat de travail en l’empêchant de divulguer une information ou une stratégie vitale pour l’entreprise.
La violation du secret professionnel est une infraction grave qui peut entraîner des sanctions sévères. En effet, le professionnel fautif engage sa responsabilité pénale, conformément aux dispositions prévues par l’article 226-13 du Code pénal. La violation du secret professionnel est sanctionnée par une peine maximale d’un an d’emprisonnement et de 15 000 € d’amende.
Il est important de noter que le secret professionnel n’empêche pas la communication de documents au Défenseur des droits ou à la Justice. De plus, l’élément légal qui permet d’engager la responsabilité disciplinaire d’un salarié du privé pour non-respect de l’obligation de discrétion professionnelle ou de confidentialité est la mention de cette obligation dans son contrat de travail.
Les articles de loi concernant le secret professionnel en France sont principalement les suivants :
- Article 226-13 du Code pénal : Il stipule que la révélation d'une information à caractère secret par une personne qui en est dépositaire soit par état ou par profession, soit en raison d'une fonction ou d'une mission temporaire, est punie d'un an d'emprisonnement et de 15 000 euros d'amende.
- Article 226-14 du Code pénal : Il précise les conditions dans lesquelles le secret professionnel peut être révélé. Par exemple, il n'est pas applicable à celui qui informe les autorités judiciaires, médicales ou administratives de privations ou de sévices infligés à un mineur ou à une personne qui n'est pas en mesure de se protéger en raison de son âge ou de son incapacité physique ou psychique.
- Article 1110.4 du Code de santé publique : Il concerne la transmission de renseignements dans le domaine médical.
Il existe également des articles spécifiques dans d'autres codes, comme l'article 4 du Code de déontologie médicale qui impose le secret professionnel à tout médecin. Ces articles constituent le cadre légal du secret professionnel, mais leur application peut varier en fonction des situations spécifiques. Il est donc recommandé de consulter un professionnel du droit pour obtenir des conseils précis.
Le secret professionnel est donc un élément essentiel du secteur privé, garantissant la protection des informations sensibles et contribuant à la confiance et à l’intégrité dans les relations professionnelles.
En conclusion, le secret professionnel constitue une pierre angulaire de la confiance et de l’intégrité dans le secteur privé. Il assure la protection des informations sensibles et maintient la confidentialité nécessaire à la bonne conduite des affaires. Bien que strictement réglementé par la loi, avec des sanctions sévères pour les contrevenants, il admet certaines exceptions justifiées par l’intérêt supérieur de la justice ou la protection des individus vulnérables. Ainsi, le secret professionnel n’est pas un obstacle à la transparence mais un équilibre délicat entre la discrétion requise et la nécessité de divulguer des informations dans des circonstances particulières. Il est essentiel que les professionnels soient bien informés de leurs obligations et des limites de cette règle fondamentale pour naviguer avec prudence dans leurs pratiques quotidiennes.
DIN 66399 : la destruction de vos documents
Dans notre monde, les données sont devenues une monnaie d’échange précieuse. Que ce soit nos informations personnelles ou professionnelles, chaque morceau d’information que nous produisons peut avoir une valeur inestimable pour les bonnes (ou mauvaises) personnes. Par conséquent, la sécurité de nos informations est devenue une préoccupation majeure. Un moyen efficace de protéger ces données est l’utilisation d’un destructeur de documents.
Cet article vous guide à travers les différentes facettes de la norme DIN 66399 pour la gestion des documents, en détaillant chaque niveau de sécurité et en expliquant comment ils peuvent être utilisés pour protéger vos informations précieuses.
La norme DIN 66399 est une norme internationale qui définit les exigences pour les machines de destruction de documents. Elle établit différents niveaux de sécurité, allant de P1 à P7, chacun correspondant à un type spécifique de données à protéger et offrant un degré de sécurité différent.
- Niveau P1 - Données générales : Ce niveau est le plus bas de la norme DIN 66399. Il offre un niveau de sécurité minimal et est principalement utilisé pour réduire le volume des déchets papier. Les documents sont coupés en bandes de moins de 12 mm de large, ce qui rend difficile, mais pas impossible, la reconstitution des informations.
- Niveau P2 - Données internes : Ce niveau offre une sécurité légèrement supérieure au niveau P1. Avec une coupe droite de moins de 6 mm de large, il peut dissuader les curieux, mais pas ceux qui sont déterminés à accéder à vos informations. Ce niveau est généralement suffisant pour les documents internes qui ne contiennent pas d’informations sensibles.
- Niveau P3 - Données sensibles : Ce niveau est le plus couramment utilisé par les particuliers pour détruire des documents sensibles tels que les relevés bancaires. Il correspond à l’entrée de gamme des destructeurs de documents à coupe croisée, avec une largeur maximale de 4 mm et une longueur de 46 à 60 mm. Ce niveau offre une sécurité suffisante pour la plupart des documents personnels.
- Niveau P4 - Données confidentielles : Ce niveau est obligatoire pour toutes les entreprises qui ont des documents contenant des données confidentielles sur leurs clients. Il est conforme au Règlement général sur la protection des données (RGPD) et est donc obligatoire pour toutes les entreprises qui souhaitent détruire des informations confidentielles. Les documents sont coupés en morceaux de 4 x 40 mm à 3 x 25 mm, rendant la reconstitution des informations extrêmement difficile.
- Niveau P5 - Données secrètes : Ce niveau est utile pour les laboratoires de recherche et les administrations. Les destructeurs de documents P5 réduisent les papiers en confettis de moins de 30 mm², ce qui rend la reconstitution des documents très difficile, même pour les personnes les plus motivées.
- Niveau P6 - Données ultra-secrètes : Ce niveau correspond aux broyeurs de papier de haute sécurité, avec des résidus de papier mesurant 0,8 mm par 12 mm maximum. La reconstruction des documents originaux est presque impossible, offrant un haut niveau de protection contre l’espionnage industriel ou militaire.
International ICS recommande notamment le modèle FELLOWES Fortishred 3250SMC ou un équivalent répondant aux mêmes critères de coupe micro-croisée (0,8 x 12 mm). Ce type d’équipement garantit une destruction irréversible des documents et s’intègre dans une politique globale de sécurité de l’information et de conformité au RGPD.
- Niveau P7 - Données top secrètes : Ce niveau est réservé aux secrets d’État et à la défense. Il offre la meilleure protection possible, avec une coupe croisée produisant des résidus de 1 x 5 mm à 0,8 x 4,5 mm. Il est utilisé pour protéger les documents de type secret défense, assurant ainsi la sécurité des informations les plus sensibles.
Pour la destruction de vos documents, International ICS suggère d’utiliser au minimum le niveau P5.
Voici pour exemple :
La norme DIN 66399 offre une gamme complète de niveaux de sécurité pour répondre à tous les besoins en matière de destruction de documents. Que vous soyez un particulier soucieux de protéger vos données sensibles, une entreprise devant se conformer au RGPD, ou une organisation gouvernementale traitant des secrets d’État, il existe un niveau de sécurité adapté à vos besoins. Comprendre ces niveaux et choisir le destructeur de documents approprié est essentiel pour assurer la meilleure protection possible de vos informations précieuses. Dans notre monde en constante évolution, la protection des données est plus importante que jamais, et la norme DIN 66399 est un outil précieux pour nous aider à naviguer dans ce paysage complexe.
Assistant vocal : des sous-traitants écoutent
Dans un monde de plus en plus numérique, la question de la confidentialité et de la sécurité des données est devenue primordiale. Cet article explore l’expérience de Thomas Le Bonniec, un ancien employé d’un sous-traitant, qui a révélé des détails troublants sur l’opération "Crowd Collect" de la société. Il partage son expérience de traitement d’au moins 1 300 enregistrements par jour, recueillis à l’insu des utilisateurs de Siri. Depuis lors, Le Bonniec est devenu un lanceur d’alerte et un militant.
Oui, l’évolution des assistants vocaux nécessite l’intervention humaine pour corriger les erreurs via des enregistrements. Il est important que les utilisateurs comprennent que, malgré les réglementations en vigueur, l’homme reste indispensable au progrès technologique.
Thomas Le Bonniec, un ancien employé d’un sous-traitant de la marque a la pomme, un "data analyste" a révélé des détails troublants sur l’opération "Crowd Collect". Il a partagé son expérience de traitement d’au moins 1 300 enregistrements par jour, recueillis à l’insu des utilisateurs de Siri. Depuis lors, Le Bonniec est devenu un lanceur d’alerte et un militant.
Le Bonniec a critiqué la surveillance généralisée par les entreprises technologiques, avec le soutien des gouvernements. Il a annoncé la formation d’un collectif lors d’une réunion au Sénat.
Interrogé sur le projet de loi du ministère de la Justice, Le Bonniec a exprimé son inquiétude. “La possibilité d’activer à distance les smartphones était un secret de Polichinelle. On savait que les services de renseignements pouvaient le faire, on en avait eu la preuve par Pegasus, mais c’était illégal, et cela coûtait très cher. Si cette loi passe, elle permettra à l’État de s’emparer des moyens techniques des multinationales pour mettre en place, légalement, de la surveillance généralisée”, a-t-il déclaré.
Le Bonniec a également critiqué la justification de cette surveillance par les défenseurs de la loi, qui affirment que si nous partageons nos vies privées avec Google, nous devrions être prêts à faire de même avec l’État. Il a souligné que cela conduirait à l’utilisation de nos propres appareils pour mettre en place une surveillance de masse légale, un concept qu’il a attribué à la sociologue américaine Shoshana Zuboff comme étant du “capitalisme de surveillance”.
Le Bonniec a partagé son expérience personnelle de travail pour un sous-traitant de la marque à la pomme, où il a découvert qu’il travaillait sur de véritables enregistrements d’utilisateurs de Siri qui ignoraient qu’ils étaient écoutés. Il a décrit le processus de recrutement comme étant similaire aux tests qu’il avait passés à l’école, et a révélé qu’il avait été attiré par une offre de travail en Irlande avec un salaire de 2 600 euros brut par mois. Une fois sur place, après avoir signé une clause de confidentialité, il a découvert qu’il travaillait pour la marque à la pomme.
Il a été chargé de vérifier la transcription des conversations des utilisateurs et de la corriger si nécessaire.
D’autres collègues examinaient ensuite les autres données disponibles sur l’appareil, telles que les contacts, la localisation, la musique, les films, et étiquetaient des mots-clés, des lieux, des noms, et toutes les données sensibles définies par le règlement général de protection des données.
Le Bonniec a décrit son travail comme étant une forme de travail à la chaîne numérique, et s’est qualifié de “tâcheron du clic”. Il a déclaré avoir quitté son poste après huit semaines, mais pas sans preuves de ses allégations, ayant fait des captures d’écran de son travail.
Quinze jours après le départ de Le Bonniec, les premières révélations sur l’opération ‘Crowd Collect’ ont fait surface. D’autres employés avaient également parlé. Le Bonniec a alors pris contact avec plusieurs médias, dont Mediapart, El Pais et le Guardian.
Entre octobre et décembre 2019, Antonio Casilli, qui préparait un documentaire pour France Télévisions sur les travailleurs du clic, a pris contact avec Le Bonniec. Une question s’est posée : Le Bonniec devait-il rester anonyme ? Il a décidé en janvier 2020 de révéler son identité. En mai, il a envoyé une lettre ouverte à la Cnil et à toutes les agences de protection des données. Malheureusement, la pandémie de Covid-19 a interrompu cette dynamique.
La révélation de Le Bonniec soulève des questions importantes sur la confidentialité des données et la surveillance généralisée. Alors que les entreprises technologiques continuent de collecter et d’utiliser des données à grande échelle, il est essentiel que les utilisateurs soient conscients des pratiques en cours. De plus, il est crucial que les gouvernements et les organismes de réglementation prennent des mesures pour protéger les droits des individus et garantir que les entreprises sont tenues responsables de leurs actions. L’histoire de Le Bonniec est un rappel puissant de l’importance de la vigilance et de l’action dans la protection de nos données personnelles.
Alors si nous pouvons vous conseiller une petite chose, nous vous recommandons vivement de ne pas activer Siri ou un autre assistant vocal et de ne pas stocker de données sensibles sur votre cloud.
Olvid : une messagerie sécurisée
Olvid, une messagerie instantanée innovante, qui a été développée par des cryptologues et validée par des experts. Elle a reçu deux certifications, une première dans le domaine. Adoptée par le gouvernement français, Olvid offre une sécurité des conversations, indépendante des serveurs, et un chiffrement unique. Ces innovations font d’Olvid un leader en matière de sécurité des communications numériques français.
La messagerie instantanée Olvid a été conçue par une équipe de cryptologues qui ont développé des protocoles sur mesure, adaptant des protocoles théoriques aux contraintes du monde réel. Leur travail a été validé par Michel Abdalla, professeur à l’ENS, Directeur de Recherche au CNRS et Président du conseil d’administration de l’IACR (International Association for Cryptologic Research). Les résultats de cette validation ont été formalisés dans un article publié dans un ePrint de l’IACR.
En outre, Olvid a reçu non pas une, mais deux certifications de sécurité de premier niveau (CSPN) de l’ANSSI, faisant d’elle la première messagerie instantanée à obtenir cette distinction. Les cibles de sécurité, les rapports de certifications et les certificats ANSSI sont disponibles pour iOS et Android sur le site officiel. Dans un souci de transparence, Olvid a publié les deux Rapports Techniques d’Évaluation produits par l’équipe de Synacktiv. Cette démarche est rare dans le secteur, soulignant l’engagement d’Olvid envers la transparence et la sécurité.
Application utilisée par le gouvernement français.
Depuis décembre 2023, dans une démarche sans précédent, la Première ministre Élisabeth Borne a ordonné l’installation de l’application de messagerie française Olvid sur les appareils électroniques de tous les membres du Gouvernement et des cabinets ministériels, selon une circulaire datée du 22 novembre.
Cette décision marque une étape importante pour le Gouvernement français, qui adopte ainsi la première solution de messagerie entièrement privée.
En choisissant Olvid, le Gouvernement réaffirme son soutien indéfectible à la « French Tech » et souligne l’importance qu’il accorde aux enjeux stratégiques de cybersécurité, d’innovation et de souveraineté technologique de la France (hors serveurs). Cette initiative pourrait bien marquer un tournant dans la manière dont les gouvernements abordent la question de la sécurité des communications à l’ère numérique.
Les serveurs ?
Dans une avancée technologique sans précédent, Olvid révolutionne le modèle de sécurité des communications. Contrairement aux autres plateformes, Olvid ne dépend pas de serveurs pour sécuriser les échanges. Même en cas de piratage des serveurs, les contenus échangés restent inaccessibles et les identités des utilisateurs demeurent anonymes.
Olvid se distingue également par son approche unique du chiffrement. Non seulement les messages sont chiffrés, mais aussi les métadonnées, garantissant ainsi un anonymat total aux utilisateurs. De plus, Olvid assure l’authentification des utilisateurs, une fonctionnalité absente dans la plupart des messageries qui dépendent de tiers de confiance.
Les données sont stockées en utilisant les serveurs d’Amazon Web Services (AWS). Cette décision a été prise en dépit de l’existence d’options françaises, telles que OVH ou d'autres... D’après les développeurs d’Olvid, la principale motivation de leur décision était les performances supérieures offertes par AWS. Avec ces innovations, Olvid redéfinit les normes de sécurité dans le domaine des communications numériques.
Le chiffrement ?
Le processus de chiffrement des sauvegardes repose sur l’utilisation d’une « clé de sauvegarde » spécifique. Cette clé est composée de 32 caractères, qui sont une combinaison de lettres majuscules et de chiffres. Cependant, il est important de noter que les lettres O, I, S et Z sont exclues de cette combinaison. En termes d’entropie, qui est une mesure de l’incertitude ou de la complexité d’un ensemble de données, cette clé a une entropie de 160 bits.
Cette clé de sauvegarde n’est pas utilisée telle quelle. Au lieu de cela, elle sert de graine pour initialiser un générateur de nombres pseudo-aléatoires (PRNG). Une fois initialisé, le PRNG génère plusieurs éléments clés. Il s’agit notamment d’un identifiant unique de 32 bytes, d’une paire de clés de chiffrement (basée sur le système ECIES sur la courbe 25519) et d’une clé de MAC (basée sur le système HMAC SHA256).
Tous ces éléments, à l’exception de la clé privée de déchiffrement ECIES, sont conservés sur le smartphone de l’utilisateur. Ils sont utilisés pour effectuer les sauvegardes. La clé privée, quant à elle, ne peut être reconstruite qu’en connaissant la graine originale.
Une sauvegarde est un export au format JSON des éléments pertinents des bases de données d’identité. À cet export, on ajoute une horodatation et un numéro de version du format JSON utilisé. Ce JSON est ensuite compressé et chiffré à l’aide de la clé publique ECIES. Un MAC du chiffré est ajouté à la suite de ce dernier.
Après la création de la sauvegarde chiffrée, il est recommandé à l’utilisateur de sauvegarder le fichier sur son appareil. L’idée est que l’utilisateur stocke ce fichier dans un espace de stockage qui assure une bonne disponibilité des données.
Il est crucial de noter que seuls les éléments ayant une « durée de vie longue » sont sauvegardés. En particulier, aucune clé de canal sécurisé n’est sauvegardée. De nouveaux canaux doivent être créés après une restauration.
Le rapport ?
Selon le rapport technique d'évaluation (version 1.2), l’application a fait l’objet d’une évaluation rigoureuse de sa sécurité. Cette application, qui repose sur l’échange de messages courts (SAS) et ne fait pas confiance au serveur, a démontré un niveau de sécurité élevé.
L’évaluation a révélé que l’éditeur de l’application possède une compétence solide en matière de concepts cryptographiques. Aucune vulnérabilité critique n’a été découverte dans le périmètre défini. L’éditeur a fait le choix d’implémenter lui-même des protocoles dédiés ainsi que certaines primitives cryptographiques, notamment EdwardCurve, HMAC_DBRG et ECIES. Ce développement de qualité a été facilité par l’utilisation du langage Swift, dont le système de typage rend les problèmes potentiels moins probables. Bien que quelques faiblesses aient été identifiées, elles ne diminuent pas sensiblement la sécurité de l’application et ne remettent pas en cause les garanties annoncées par le constructeur. Ces faiblesses mériteraient d’être corrigées ou, à tout le moins, connues.
https://youtu.be/tAgzGsL3mik?feature=shared
En conclusion, Olvid se positionne comme une force dans le domaine de la messagerie instantanée. Grâce à son approche unique de la cryptographie et de la sécurité des communications, elle a non seulement gagné la confiance des experts du domaine, mais aussi celle du gouvernement français. En choisissant d’utiliser Olvid pour toutes les communications gouvernementales, la France souligne l’importance de la cybersécurité et de la souveraineté technologique.
Avec ses innovations en matière de chiffrement et de stockage des données, Olvid redéfinit les normes de sécurité et d’anonymat dans le domaine des communications numériques. Son choix d’utiliser AWS pour le stockage des données, malgré l’existence d’options françaises, témoigne du choix certainement économique et de la "performance". Olvid est un exemple de la manière dont la technologie peut être utilisée pour renforcer la sécurité et la confidentialité dans notre monde de plus en plus numérique.
Séparez vos usages professionnels et personnels
Avec l’évolution des usages, la frontière entre vie professionnelle et vie personnelle devient de plus en plus poreuse. En effet, il n’est pas rare de consulter ses mails professionnels depuis son domicile ou de faire des achats en ligne depuis son lieu de travail. Ces pratiques peuvent présenter des risques pour la sécurité de vos données personnelles et professionnelles, ainsi que pour celle de vos appareils numériques. Pour sécuriser au mieux vos usages numériques dans ces différents environnements, il est important d’appliquer ces quelques bonnes pratiques.
Voici trois conseils pour séparer vos usages professionnels et personnels :
- Evitez d’utiliser vos moyens personnels (adresse mail, téléphone mobile, clé USB, etc.) à des fins professionnelles et inversement. En effet, cette pratique peut compromettre la confidentialité et la sécurité de vos données, que ce soit celles de votre employeur ou les vôtres. Par exemple, si vous utilisez votre adresse mail personnelle pour envoyer des documents professionnels, vous risquez de les exposer à des personnes non autorisées ou à des cyberattaques. De même, si vous utilisez votre téléphone mobile professionnel pour accéder à des sites personnels, vous risquez de contaminer votre appareil avec des virus ou des logiciels malveillants. Il est donc préférable de séparer vos usages personnels et professionnels, en utilisant des moyens dédiés à chaque environnement. Cela vous permettra de protéger vos informations sensibles et de respecter les règles de votre entreprise.
- Ne connectez pas d’équipements personnels, ou ceux qui ne sont pas fournis par votre service informatique, au réseau de votre entité ou à un équipement professionnel (téléphone mobile personnel, clé USB ou gadget électronique offert, etc.). En effet, cette pratique peut entraîner des failles de sécurité et des fuites de données, qui peuvent avoir des conséquences graves pour votre organisation et pour vous-même. Par exemple, si vous connectez votre téléphone mobile personnel au réseau de votre entité, vous risquez de transmettre des virus ou des logiciels espions, qui peuvent infecter les autres équipements ou accéder à des informations confidentielles. De même, si vous connectez une clé USB ou un gadget électronique offert à un équipement professionnel, vous risquez de compromettre l’intégrité de vos données ou de vos systèmes, qui peuvent être altérés ou effacés. Il est donc recommandé de ne pas connecter d’équipements personnels, ou non fournis par votre service informatique, au réseau de votre entité ou à un équipement professionnel, afin de préserver la sécurité de votre environnement numérique.
- N’utilisez pas votre adresse mail professionnelle pour des comptes personnels. En effet, cette pratique peut nuire à votre image et à celle de votre entreprise, ainsi qu’à la protection de vos données. Par exemple, si vous utilisez votre adresse mail professionnelle pour vous inscrire sur des sites Internet à titre personnel, vous risquez de recevoir des spams, des publicités ou des sollicitations indésirables, qui peuvent encombrer votre boîte mail et perturber votre activité. Il est donc conseillé de ne pas utiliser votre adresse mail professionnelle pour vous inscrire sur des sites Internet à titre personnel et réciproquement, afin de préserver votre identité numérique et votre confidentialité.
Par exemple, vous pouvez utiliser des mots de passe forts et différents pour chaque compte, éviter de cliquer sur des liens ou des pièces jointes suspects, mettre à jour régulièrement vos logiciels et applications, ou encore sauvegarder vos données importantes sur un support externe. Ces gestes simples peuvent vous aider à protéger votre identité, votre réputation et votre patrimoine numériques.
En conclusion, nous avons vu que la frontière entre vie professionnelle et vie personnelle est de plus en plus floue avec l’évolution des usages numériques. Cette situation peut présenter des risques pour la sécurité de vos données personnelles et professionnelles, ainsi que pour celle de vos appareils numériques. Pour sécuriser au mieux vos usages numériques dans ces différents environnements, il est important d’appliquer quelques bonnes pratiques, que nous avons résumées en trois conseils : éviter d’utiliser vos moyens personnels à des fins professionnelles et inversement, ne pas connecter d’équipements personnels au réseau de votre entité ou à un équipement professionnel, et ne pas utiliser votre adresse mail professionnelle pour des comptes personnels.
En suivant ces conseils, vous pourrez protéger vos données et vos systèmes, ainsi que votre image et celle de votre entreprise.