Thomas d. C, auteur sur INTERNATIONAL ICS

Pochette faraday : empêchez les tentatives d'interception

Les pochettes anti-ondes électromagnétiques sont des dispositifs qui permettent de protéger les appareils électroniques et les informations personnelles contre les risques d'attaque. Elles sont basées sur le principe de la cage de Faraday, qui consiste à isoler un objet du champ électromagnétique extérieur en le recouvrant d’un matériau conducteur. Ainsi, les ondes électromagnétiques ne peuvent pas entrer ou sortir de la pochette, et ne peuvent pas affecter l’intérieur.

L’utilisation d’une pochette Faraday est utile pour votre sécurité lors d’une réunion confidentielle. N'oubliez pas que le micro du terminal mobile peut tout de même enregistrer une conversation, nous recommandons de faire sortir les pochettes de la pièce lors des conversations sensibles.

Voici pourquoi :

Blocage des signaux : Une pochette Faraday bloque tous les signaux entrants et sortants de votre téléphone. Cela inclut les appels, les SMS, les données mobiles, le Wi-Fi et le Bluetooth. Ainsi, aucune information ne peut être transmise sans fil à partir de votre téléphone lorsque celui-ci est dans la pochette.

Prévention de l’espionnage : Dans certaines situations, il est possible que des personnes mal intentionnées tentent d’accéder à votre téléphone ou montre connectée à distance pour écouter vos conversations, lire vos messages ou accéder à vos données. En utilisant une pochette Faraday, vous empêchez ces tentatives d'interception.

Protection contre le vol de données : Les peuvent également protéger contre le vol de données par RFID (Radio Frequency Identification) ou NFC (Near Field Communication). Ces technologies sont souvent utilisées pour les paiements sans contact, mais peuvent être exploitées pour voler des informations.

Test de pochette faraday.

Après avoir testé ces pochettes, nous les approuvons et les recommandons. Au lieu de les commercialiser nous-mêmes pour réaliser un bénéfice, nous avons choisi de vous fournir directement le lien pour les acquérir. Ce produit est conçu avec un matériau extérieur en nylon balistique résistant à l’eau. Il offre une protection robuste grâce à deux couches intérieures de tissu Faraday TitanRF à haute protection sur tous les côtés. Sa capacité de blindage a été confirmée selon les normes *MIL STD 188-125 et *IEEE 299-2006. Ces normes sont reconnues internationalement pour évaluer l’efficacité du blindage contre les interférences électromagnétiques.

Lien : Pochette pour téléphone portable
Lien : Pochette pour tablette

IEEE 299-2006 est une norme qui établit les procédures uniformes pour mesurer l’efficacité des dispositifs de blindage électromagnétique (EM) à différentes fréquences. Cette norme fournit des méthodes de mesure pour déterminer la résistance du blindage des enclosures, qui sont des structures qui protègent les appareils électroniques ou les systèmes critiques des interférences électromagnétiques provenant de l’extérieur.

MIL STD 188-125 est une norme militaire qui établit les exigences minimales et les objectifs de conception pour la protection contre le pulser électromagnétique de haute altitude (HEMP) des installations fixes et mobiles basées sur le sol qui effectuent des fonctions critiques et urgentes de commandement, contrôle, communication, informatique et intelligence (C4I).

Le principe de la cage de Faraday a été découvert par le physicien britannique Michael Faraday en 1836. Il a inventé une enceinte métallique qui protégeait une personne d’une électricité vive lors d’un arc électrique. Il a ensuite étudié les effets des champs électriques et magnétiques sur les matériaux conducteurs et non conducteurs. Une cage de Faraday fonctionne parce qu’un champ électrique externe provoque la répartition des charges électriques dans le matériau conducteur de la cage de sorte qu’elles annulent l’effet du champ à l’intérieur de la cage. Ce phénomène est utilisé pour protéger les équipements électroniques sensibles (par exemple les récepteurs radio) des interférences radioélectriques externes lors de tests ou de calibration de l’appareil. Ils sont également utilisés pour protéger les personnes et les équipements contre les courants électriques réels tels que les coups de foudre et les décharges électrostatiques, car la cage enveloppante conduit le courant autour de l’extérieur de l’espace clos et aucun ne traverse l’intérieur.

En conclusion, si la confidentialité et la sécurité des informations sur votre téléphone sont une priorité lors d’une réunion, l’utilisation d’une pochette Faraday peut être une bonne option. Cependant, il est également important de prendre en compte les inconvénients d'une déconnexion et de décider en fonction de vos besoins spécifiques.

by Thomas d. C

Cyber : les règles d'or de la sauvegarde

Les données sont un actif précieux pour toute entreprise. Elles contiennent des informations stratégiques, financières, commerciales, techniques, ou personnelles qui sont essentielles pour le fonctionnement et le développement de l’activité. Cependant, les données sont aussi exposées à de nombreux risques, tels que les pannes, les pertes, les vols, les fuites, ou les attaques cybercriminelles. Ces risques peuvent avoir des conséquences graves pour l’entreprise, comme la perte de revenus, de clients, de réputation, ou de confiance.

Pour protéger ses données, une entreprise doit mettre en place une politique de sauvegarde et de restauration efficace et adaptée à ses besoins. Cette politique consiste à définir les règles et les procédures pour copier, stocker, sécuriser, et récupérer les données en cas de besoin. Elle doit permettre à l’entreprise de garantir la disponibilité, l’intégrité, et la confidentialité de ses données, ainsi que de respecter les obligations légales et réglementaires en matière de protection des données.

Dans cet article, nous allons vous présenter les bonnes pratiques pour construire et protéger vos données grâce à une politique de sauvegarde et de restauration adaptée. Nous allons vous expliquer comment élaborer une stratégie de sauvegarde en fonction de la criticité et de la fréquence de vos données, comment traiter les opérations de sauvegarde et de restauration comme des opérations sensibles qui nécessitent des protections appropriées, comment assurer l’autonomie et le contrôle d’accès de votre infrastructure de sauvegarde, comment être attentif à la sensibilité des données sauvegardées en cas de solution hors-site, dans un cloud public ou chez un prestataire externe, comment adapter votre infrastructure de sauvegarde en permanence selon les changements de vos systèmes d’information et les risques potentiels, et comment anticiper et réagir en cas d’attaque ou de perte des données. Nous allons également vous donner des exemples concrets et des conseils pratiques pour mettre en œuvre ces bonnes pratiques.

Construire et protéger vos données

Élaborez une stratégie de sauvegarde en déterminant les données essentielles pour le fonctionnement de votre entreprise et en indiquant la périodicité à laquelle il est nécessaire de les sauvegarder.
Traitez les opérations de sauvegarde et de restauration comme des opérations délicates d’administration qui doivent disposer des protections appropriées : poste d’administration renforcé, flux dans un réseau d’administration, etc.
Assurez l’autonomie de votre infrastructure de sauvegarde par rapport à vos annuaires de production (Active Directory, etc.)
Veillez au contrôle d’accès à vos sauvegardes pour assurer qu’elles ne seront ni altérées ni modifiées et toujours accessibles, surtout dans le cas de l’utilisation d’offres de sauvegarde Cloud.
Soyez attentif sur la sensibilité des données sauvegardées en cas de solution hors-site, dans un cloud public ou chez un prestataire externe. Cryptez les sauvegardes au préalable par vos propres moyens si besoin.
Adaptez votre infrastructure de sauvegarde en permanence selon les changements de vos SI (virtualisation, cloud, etc.) et les risques potentiels. Ne gardez pas une infrastructure dépassée en production.

Anticiper et réagir en cas d'attaque ou de perte des données

Élaborez une stratégie de restauration, en cohérence avec votre PRA et en considérant les principaux scénarios d’attaque possibles sur vos SI (rançongiciels, espionnage, etc.). Effectuez fréquemment des tests de restauration. Associez la direction sur les modes dégradés tolérables en cas de crise Cyber.
Veillez à inclure les médias d’installation et les configurations de vos applications métier dans vos sauvegardes.
Effectuez souvent et obligatoirement des sauvegardes hors-ligne (débranchées du SI).
Concevez une procédure d’isolation d’urgence du système de sauvegarde (serveurs, médias, etc.) en cas de doute de compromission ou d’attaque en cours.

Si vous avez été victime d’un incident de sécurité informatique, vous devez être prudent lorsque vous utilisez vos sauvegardes pour restaurer vos systèmes ou vos données. En effet, il se peut que vos sauvegardes contiennent les éléments qui ont permis aux attaquants de pénétrer dans votre réseau ou de compromettre vos machines. Ces éléments sont appelés des vecteurs de compromission. Ils peuvent prendre la forme de fichiers malveillants, de logiciels espions, de mots de passe volés, de clés de chiffrement, etc. Si vous restaurez vos sauvegardes sans vérifier qu’elles sont exemptes de vecteurs de compromission, vous risquez de réintroduire les failles de sécurité que vous essayez de corriger. Notamment les risques sur les systèmes Cyber ICS (Industrial Control Systems).

Pour éviter ce scénario, vous devez suivre quelques bonnes pratiques lorsque vous restaurez vos sauvegardes après un incident. Tout d’abord, vous devez choisir des sources de confiance pour restaurer vos systèmes d’exploitation, vos applications ou vos logiciels. Il s’agit de sources qui vous garantissent que les fichiers que vous téléchargez ou que vous installez sont authentiques et intègres. Par exemple, vous pouvez utiliser des images officielles fournies par les éditeurs des systèmes d’exploitation ou des applications, ou des binaires d’installation signés numériquement par les développeurs des logiciels. Ces sources vous permettent de vérifier que les fichiers que vous utilisez n’ont pas été modifiés ou altérés par des tiers malveillants.

Ensuite, vous devez contrôler la conformité des configurations de vos systèmes, de vos applications ou de vos logiciels. Il s’agit de vérifier que les paramètres que vous utilisez respectent les normes de sécurité en vigueur et ne présentent pas de vulnérabilités connues. Par exemple, vous pouvez vous assurer que vos systèmes sont à jour avec les derniers correctifs de sécurité, que vos applications utilisent des protocoles de communication sécurisés, ou que vos logiciels respectent les bonnes pratiques de développement. Ces vérifications vous permettent de détecter et de corriger les éventuelles erreurs de configuration qui pourraient faciliter l’accès des attaquants à vos systèmes ou à vos données.

Enfin, vous devez faire un scan antivirus des données que vous restaurez à partir de vos sauvegardes. Il s’agit de scanner les fichiers que vous récupérez avec un logiciel antivirus à jour et performant. Ce logiciel est capable de détecter et de supprimer les éventuels fichiers malveillants qui se seraient infiltrés dans vos sauvegardes. Ces fichiers malveillants peuvent être des virus, des chevaux de Troie, des rançongiciels, des logiciels espions, etc. Ils peuvent endommager vos systèmes, voler vos données, chiffrer vos fichiers, ou ouvrir des portes dérobées pour les attaquants. En faisant un scan antivirus, vous vous assurez de ne pas restaurer des données infectées qui pourraient compromettre à nouveau la sécurité de vos systèmes.

En résumé, après un incident, vous devez tenir compte du fait que vos sauvegardes peuvent contenir les vecteurs de compromission qui ont permis aux attaquants de pénétrer dans votre réseau ou de compromettre vos machines. Pour éviter de réintroduire ces failles de sécurité, vous devez restaurer vos systèmes et vos données à partir de sources de confiance, contrôler la conformité des configurations, et faire un scan antivirus des données. Ces bonnes pratiques vous permettent de restaurer vos systèmes et vos données en toute sécurité.

by Thomas d. C

Cyber : menaces sur vos ports USB

Envisageons un scénario dans un environnement de systèmes de contrôle industriel (Industrial Control Systems soit ICS). Où une procédure de maintenance qui nécessite le transfert de fichiers entre des machines sur un même site industriel. Pour des raisons de sécurité, ces systèmes automatisés ne sont pas connectés à Internet. De plus, certaines tâches de maintenance sont effectuées par des sous-traitants externes qui n’ont pas nécessairement accès au réseau. Cela conduit généralement à l’utilisation de périphériques de stockage sous format USB par des entreprises tierces sur les systèmes. Il est fréquent que l’employé de l’entreprise tierce doive travailler sur plusieurs sites industriels par jour, en utilisant le même périphérique USB.

Cependant, lors de sa journée de travail sur le troisième site industriel visité, l’employé n’avait pas prévu qu’un script de type "autorun" s’exécuterait et propagerait un ransomware (un rançongiciel en français) sur la machine dès qu’il brancherait son périphérique USB. La solution antivirus installée sur la machine analyse instantanément le périphérique. Mais le logiciel malveillant échappe à la détection de la dernière version de la solution antivirus du système informatique. Enfin, le ransomware se propage alors latéralement dans le réseau industriel et chiffre des données vitales.

La politique de cyber-sécurité pour les systèmes industriels spécifiques devrait être plus stricte : il n’est pas acceptable d’insérer une clé USB dans un dispositif industriel sans garantir que la clé USB est exempte de tout logiciel malveillant.

Dans ce cas, il est conseillé d’utiliser un dispositif spécialisé appelé station de décontamination, station blanche ou “sheep-dip” pour s’assurer qu’aucun logiciel malveillant n’est introduit par un support amovible. C’est une pratique que les employés et les sous-traitants doivent connaître. De même, les responsables des systèmes industriels devraient toujours surveiller les activités des sous-traitants lorsqu’ils sont sur place pour éviter une évaluation incorrecte des risques cybernétiques. La sensibilisation des employés est cruciale dans ce domaine. Il est également important de veiller à ce que les employés des sous-traitants soient sensibilisés à la cybersécurité.

Un contrôle de l'ensemble des points d'injections de données sont inspectés lors d'une opération de TSCM, contre-mesures de surveillance technique par la société INTERNATIONAL ICS.

by Thomas d. C

Espionnage industriel : une arme chinoise

Depuis un certain temps, on observe une augmentation des allégations et des récits d’espionnage industriel en provenance de la Chine.

Le réseau de renseignement du parti communiste chinois est vaste et comprend plusieurs organes et institutions. Il englobe trois agences de renseignement militaire au sein de l’Armée de libération populaire, le Ministère de la Sécurité Publique qui est l’agence de police, et le Ministère de la Sécurité de l’État, selon l’expert Alex Joske, auteur de “Spies and Lies". D’autres entités, comme le Département du travail de front uni, le Département international du Comité central du parti communiste et le Bureau des affaires taïwanaises, mènent également des activités de renseignement. Le Guoanbu, ou Ministère de la Sécurité de l’État (MSE), est l’agence de sécurité de la Chine responsable du renseignement extérieur. Créé en 1983 à la demande de Deng Xiaoping, le Guoanbu joue un rôle clé dans la collecte de renseignements économiques, industriels, technologiques et politiques, et a intensifié ses infiltrations depuis les années 2000. En plus des agents du MSE, des pirates informatiques mènent des cyberattaques.

Selon les informations de Washington, Pékin utiliserait des citoyens chinois vivant à l’étranger pour collecter des renseignements et voler des technologies sensibles. En janvier, Ji Chaoqun, un ingénieur chinois, a été condamné à huit ans de prison pour avoir transmis des informations sur des scientifiques américains susceptibles d’être recrutés comme sources d’information. Arrivé aux États-Unis en 2013 avec un visa étudiant, il a été reconnu coupable. De plus, Wei Sun, un ingénieur chinois naturalisé américain qui travaillait dans le secteur de la défense pour Raytheon, a également été condamné à une peine de prison en 2020. Il a été accusé d’avoir emporté en Chine un ordinateur de l’entreprise contenant des informations sensibles sur un système de missiles américain.

Huawei est un exemple marquant de cette situation. En avril 2018, les États-Unis ont accusé cette entreprise chinoise, qui fournit des technologies et des réseaux de télécommunication à divers opérateurs, d’avoir des liens avec les services de renseignement chinois. Par conséquent, Washington a interdit à Huawei et à ZTE, un autre géant chinois des télécommunications, l’accès à son marché intérieur. En décembre 2022, environ une demi-douzaine d’entreprises chinoises étaient touchées par ces restrictions.

En 2021, le gouvernement chinois a été accusé par les États-Unis, leurs alliés et l’OTAN d’avoir orchestré une attaque informatique de grande envergure contre Microsoft, le géant de l’informatique. L’objectif de cette opération était d’accéder aux courriels et de s’approprier des informations confidentielles appartenant à des particuliers et à des entreprises. Selon Washington et divers articles de presse, le département de l’Énergie, des services publics, des entreprises de télécommunications et des universités auraient également été la cible d’attaques informatiques chinoises. Des experts en sécurité et des responsables du renseignement de pays occidentaux soutiennent que la Chine a acquis une expertise dans le piratage des systèmes informatiques de nations rivales afin de dérober des secrets industriels et commerciaux.

En 2022, l’utilisation de TikTok a été interdite au Sénat et à la Chambre des représentants des États-Unis, suite à un scandale impliquant l’espionnage de deux journalistes par ByteDance, la société mère de TikTok. Une enquête a été lancée par le Sénat français au début du mois de février. Claude Malhuret, sénateur et président du groupe Les Indépendants, déclare que “la loi chinoise impose à toute entreprise de collaborer avec les services de renseignement chinois”. TikTok nie les allégations d’espionnage. Les données des utilisateurs européens seront prochainement stockées en Irlande, mais la société ne précise pas si les autorités chinoises auront accès à ces informations.

Les services de renseignement allemands ont émis une mise en garde contre l’espionnage industriel de la Chine. Bruno Kahl, le président du Service de renseignement extérieur allemand (BND), a alors souligné la nécessité de rester vigilant face à la “migration de connaissances” en provenance d’Allemagne.

Selon M. Kahl, la Chine cherche à s’approprier le savoir scientifique et économique allemand par le biais de cyberattaques, dans le but d’atteindre son objectif de devenir la première puissance mondiale en 2049, année du centenaire de l’arrivée au pouvoir des communistes, comme l’a rapporté l’AFP.

L’espionnage industriel est perçu comme un moyen de stimuler l’économie chinoise et de la rendre plus compétitive et moins dépendante des grandes puissances occidentales, y compris les États-Unis, dans des secteurs tels que l’aérospatiale et l’équipement aéronautique, les nanotechnologies, les produits pharmaceutiques et la bio-ingénierie.

by Thomas d. C

Espionnage industriel : les réponses juridiques

Quels sont les moyens de défense à la disposition des entreprises qui sont la cible d’espionnage industriel ? Voici un aperçu des différents outils préventifs et défensifs qu’elles peuvent utiliser.

Il est essentiel de comprendre qu’en France, l’espionnage industriel en tant que tel n’est pas sanctionné : ce sont les méthodes illégales employées par les entreprises pour obtenir les secrets de leurs concurrents qui sont punies. Par exemple, une personne qui dérobe ou détourne des documents confidentiels peut être sanctionnée pour vol, un délit réprimé par la loi.

La recherche des secrets des concurrents n’est donc pas en soi répréhensible : elle le devient seulement lorsque des méthodes déloyales sont utilisées. Parmi ces méthodes, l’une des plus courantes est l’embauche d’un employé ayant quitté une entreprise concurrente dans le but de recueillir des secrets de fabrication ou des dossiers commerciaux de cette société.

Plusieurs affaires internationales ont révélé l’existence d’espionnage industriel, bien que les tribunaux judiciaires ne retiennent pas toujours cette notion. La protection européenne du secret des affaires offre une solution nouvelle. Cependant, la plupart des cas de captation malveillante sont liés à des faiblesses humaines ou organisationnelles. Peu importe la méthode employée, c’est l’information stratégique de l’entreprise qui est ciblée.

Il convient de noter qu’une directive européenne 2016/943 du 8 juin 2016 sur la protection des secrets d’affaires établit des règles communes pour protéger les entreprises de l’Union européenne contre l’obtention, l’utilisation et la divulgation illicites de leurs informations sensibles. Cette directive a été transposée en droit national par la loi n° 2018-670 du 30 juillet 2018 relative à la protection du secret des affaires et le décret n° 2018-1126 du 11 décembre 2018. Ces deux textes confèrent aux juges des pouvoirs étendus pour prévenir ou mettre fin à une atteinte au secret des affaires.

Selon les articles 411-1 et suivants du code pénal, l’espionnage est sévèrement puni. Il s’agit de la remise de documents, de matériel, d’équipements, etc., à une puissance étrangère, à une organisation étrangère ou sous contrôle étranger.

International ICS accompagne ses clients lors de ses opérations de TSCM (contre-mesures de surveillance technique) afin de mettre en evidence toute vulnérabilité structurelle et organisationnelle.

Le secret des affaires.

L’article L. 151-1 du code de commerce introduit la définition du secret des affaires. L’information protégée doit répondre aux critères suivants :

Elle n’est pas généralement connue ou facilement accessible pour les personnes familières de ce type d’informations en raison de leur secteur d’activité, que ce soit en elle-même ou dans la configuration et l’assemblage précis de ses éléments.
Elle a une valeur commerciale, réelle ou potentielle, en raison de son caractère secret.
Son détenteur légitime a pris des mesures de protection raisonnables, compte tenu des circonstances, pour préserver son caractère secret.

Ainsi, l’information qui peut être protégée en tant que secret des affaires est une information connue par un nombre limité de personnes, qui a une valeur commerciale, réelle ou potentielle, en raison de son caractère secret, et qui est raisonnablement protégée pour préserver ce caractère secret.

Prévenir les risques.

Un contrat de travail ou un accord avec un prestataire externe peut légitimement inclure une clause de confidentialité, dont les effets perdurent après la fin du contrat de travail, ainsi qu’une clause de non-concurrence (voir plus loin). Un employé qui viole ces clauses en commettant de l’espionnage peut être sanctionné et licencié. Cependant, il faut faire attention car la validité de cette clause dépend du respect de plusieurs critères légaux (notamment une compensation financière pour la clause de non-concurrence).

Des politiques distinctes peuvent être mises en place concernant la création et la propriété des actifs de propriété intellectuelle d’une part, et la confidentialité d’autre part. Il est donc dans l’intérêt d’une entreprise de promouvoir une politique générale de sensibilisation des employés à la confidentialité. Cependant, même en l’absence de clause de confidentialité, un employé est de toute façon soumis à une obligation générale de loyauté envers son employeur. Une clause de confidentialité peut également être insérée dans les contrats conclus avec des partenaires externes. Cette clause, assortie d’une sanction financière en cas de non-respect, dissuadera la divulgation d’informations à des tiers.

Les moyens de défense.

La législation pénale ne punit pas directement l’espionnage industriel, mais elle réprime diverses méthodes illégales employées par les entreprises pour accéder aux secrets de leurs rivaux. Par exemple :

Le vol ou la détournement de documents confidentiels sont punis en tant que délits de vol (C. pén., art. 311-1) ou d’abus de confiance (C. pén., art. 314-1 et s. et 314-12).
La corruption d’employés est également sanctionnée (C. pén., art. 445-2).

Il est important de noter que la recherche des secrets des concurrents n’est pas en soi répréhensible ; elle devient fautive uniquement lorsqu’elle est effectuée par des moyens déloyaux. L’un des moyens les plus courants est l’embauche d’anciens employés de l’entreprise concurrente dans le but de découvrir les secrets de fabrication ou d’accéder aux dossiers commerciaux de cette entreprise. Cette pratique est considérée comme de la concurrence déloyale.

L’acquisition, par des moyens déloyaux, d’informations confidentielles concernant l’activité d’un concurrent, par l’intermédiaire d’un ancien employé, est un acte de concurrence déloyale (Cass. com., 8 févr. 2017, n° 15-14.846, n° 203 F-D).

En cas de tels agissements, une action en responsabilité civile est envisageable, ainsi qu’une action en responsabilité délictuelle.

La confidentialité de certaines professions.

Certaines professions sont soumises à une obligation de confidentialité plus stricte que d’autres. Par exemple, les employés de banque qui, en révélant des informations biaisées sur une entreprise, peuvent porter atteinte à sa réputation et provoquer sa déconsidération.

C’est également le cas pour :

les fonctionnaires de l’administration fiscale ;
les experts-comptables et les commissaires aux comptes ;
les notaires et les clercs de notaires ;
les professions médicales et paramédicales ;
les magistrats et les avocats, etc.

Pour toutes ces professions, la divulgation d’un secret est strictement interdite. La sanction prévue est sévère, avec une peine d’un an de prison et une amende de 15 000 euros (C. pénal, art. 226-13).

Thomas d. C.
La rédaction International ICS.

by Thomas d. C

Cyberattaque : 5 mesures d'anticipation

L’importance de ces mesures de cybersécurité prioritaires est indéniable, et leur mise en place rapide peut réduire le risque d’une cyberattaque et minimiser ses effets éventuels. Cependant, pour qu’elles soient totalement efficaces, elles doivent s’intégrer dans une stratégie globale et à long terme de cybersécurité. Le département Cyber de International ICS vous présente ces mesures.

Les cybercriminels ont des motivations diverses pour lancer des cyberattaques, allant du simple vol au sabotage. Ils emploient différents moyens, tels que les logiciels malveillants, les pièges par ingénierie sociale ou le piratage de mots de passe, pour accéder illégalement aux systèmes visés.

Les cyberattaques peuvent avoir des conséquences graves, voire catastrophiques, pour une entreprise. Le coût moyen d’une atteinte à la sécurité des données est de 4 millions d'euros. Ce montant inclut les dépenses liées à la détection et à la résolution de l’incident, aux interruptions d’activité et aux pertes de chiffre d’affaires, ainsi qu’à l’impact négatif sur la réputation et l’image de marque d’une entreprise à long terme.

1/ Améliorer l’authentification sur les systèmes d’information.

Pour minimiser le risque d’une cyberattaque, il est préconisé de renforcer l’authentification des comptes les plus vulnérables, notamment ceux des administrateurs qui ont accès à toutes les ressources critiques du système d’information et ceux des individus à haut risque de l’organisation (cadres dirigeants, personnel de direction, etc.).

Il est donc fortement recommandé d’implémenter une authentification forte qui nécessite l’utilisation de deux facteurs d’authentification distincts, soit :

un mot de passe, un schéma de déverrouillage ou une signature ;
un dispositif matériel (carte à puce, jeton USB, carte magnétique, RFID) ou, à défaut, un autre code reçu par un autre canal (SMS, OLVID...).

Pour les administrateurs, l’activation d’une authentification renforcée doit être appliquée à tous leurs comptes : Active Directory, administration d’applications, cloud, etc.

2/ Accroître la supervision de sécurité.

Il est nécessaire d’instaurer un système de surveillance des événements enregistrés pour détecter toute compromission potentielle et intervenir rapidement. Ces événements peuvent également faciliter la compréhension d’un incident et accélérer sa résolution. En l’absence de supervision de sécurité, il est recommandé de centraliser les journaux des éléments les plus critiques du système d’information, tels que les points d’accès VPN, les bureaux virtuels, les contrôleurs de domaine et les hyperviseurs.

Il est essentiel de renforcer la vigilance des équipes de supervision en enquêtant sur les anomalies qui pourraient être négligées en temps normal. Plus précisément, dans un environnement Active Directory, les connexions inhabituelles sur les contrôleurs de domaine doivent être examinées. Les alertes dans les consoles d’antivirus et EDR concernant des serveurs sensibles doivent également être systématiquement étudiées.

Pour les organisations qui en ont la capacité, il est conseillé d’accélérer le déploiement d’outils offrant une visibilité sur l’état de sécurité des systèmes d’information, tels que Sysmon, EDR, XDR.

3/ Créer une liste hiérarchisée des services numériques

Il est essentiel d’avoir une compréhension précise de ses systèmes d’information et de leur importance pour prioriser les mesures de sécurité et réagir efficacement en cas d’incident. Il est donc recommandé aux organisations, en collaboration avec les départements concernés, de dresser un inventaire de leurs services numériques et de les classer en fonction de leur importance pour la continuité des activités de l’entreprise. Les dépendances à l’égard des fournisseurs doivent également être identifiées.

4/ Sauvegarde Hors-ligne

Il est nécessaire d’effectuer des sauvegardes régulières de toutes les données, y compris celles stockées sur les serveurs de fichiers, d’infrastructures et d’applications métier essentielles. Pour prévenir leur chiffrement, à l’instar des autres fichiers, ces sauvegardes, du moins les plus critiques, doivent être déconnectées du système d’information.

L’utilisation de solutions de stockage à froid, comme des disques durs externes ou des bandes magnétiques, permet de protéger les sauvegardes contre une infection des systèmes et de conserver les données essentielles pour la reprise d’activité.

Il est également recommandé de mettre à jour fréquemment ces sauvegardes sans jamais le faire en ligne.

5/ Veiller à la mise en place d’un dispositif de gestion de crise approprié pour faire face à une cyberattaque.

Une attaque informatique peut perturber le fonctionnement des organisations. Les services de soutien tels que la téléphonie et la messagerie, ainsi que les applications métier, peuvent être rendus inutilisables. Dans ce cas, il faut adopter un mode de fonctionnement dégradé, ce qui peut parfois signifier un retour aux méthodes traditionnelles de papier et de crayon. En général, l’attaque entraîne une interruption partielle de l’activité et, dans les cas les plus extrêmes, une interruption totale. Il est donc essentiel de définir des points de contact d’urgence, y compris avec les fournisseurs de services numériques, et de s’assurer que ces coordonnées sont disponibles en format papier.

De plus, les organisations doivent élaborer un plan de réponse aux cyberattaques, qui s’inscrit dans le cadre du dispositif de gestion de crise, si celui-ci existe. Ce plan vise à garantir la continuité de l’activité et son retour à la normale. La mise en place d’un plan de continuité informatique permet à l’organisation de maintenir son fonctionnement en cas de perturbation plus ou moins importante du système d’information. Le plan de reprise informatique, quant à lui, a pour objectif de remettre en service les systèmes d’information qui ont été défaillants. Il doit notamment prévoir la restauration des systèmes et des données.

Thomas d. C.
La rédaction International ICS.

by Thomas d. C

Espionnage industriel : 7 conseils pour se protéger

Une entreprise peut acquérir un savoir-faire et des connaissances particulières grâce à son expérience, ce qui peut susciter la convoitise de ses concurrents. C’est ainsi que s’est développé l’espionnage industriel. Sur le plan économique, l’espionnage industriel peut être défini comme l’acquisition et/ou l’interception illicite de secrets d’affaires ou de savoir-faire d’une entreprise rivale. Il peut également consister à déstabiliser un concurrent en divulguant publiquement son avantage commercial et/ou industriel, bien que cela soit moins courant.

Il est donc important de mettre en place des mesures de protection pour que le savoir-faire et les connaissances spécifiques de l’entreprise restent confidentiels, tout en permettant une concurrence loyale entre les entreprises.

1/ Protection physique.

Au sens le plus basique, le contrôle d’accès est une méthode pour réguler qui a le droit d’entrer dans un espace et à quel moment. L’individu qui franchit cet espace peut être un employé, un contractant ou un invité. Il peut arriver à pied, en véhicule ou par tout autre moyen de transport. L’espace qu’il franchit peut être un site, un batiment, une salle ou même simplement une armoire forte. Votre système de gestion des accès contrôle ou limite les entrées et sorties selon des horaires prédéfinis :

Le cylindre électronique, qui remplace le cylindre mécanique traditionnel dans une porte, utilise des émetteurs (comme des émetteurs à puce RFID) au lieu de clés. Certains modèles peuvent également fonctionner avec des codes ou des clés mécaniques.

Pour une sécurité optimale, il est conseillé de combiner votre système de contrôle d’accès électronique avec un service de surveillance humaine, assuré par un agent de sécurité. Les lecteurs de badge, lecteurs d’accès ou badgeuses sont des dispositifs qui identifient de manière unique le porteur du badge (ou de la carte) et contrôlent l’accès aux bâtiments.

L’installation d’un contrôle d’accès biométrique doit être justifiée et ne convient pas à toutes les structures. Pour la plupart des TPE/PME, un système de badge sera généralement suffisant. L’utilisation d’un lecteur biométrique doit être justifiée, par exemple, par le stockage de matériel sensible, de produits dangereux, d’objets de grande valeur, d’armes ou de fonds importants. L’installation d’un système de contrôle d’accès biométrique doit être proportionnelle au risque encouru. Elle ne peut pas être justifiée par un simple besoin de confort.

Un interphone audio et vidéo, ou “portier audio/vidéo”, constitue un premier élément de filtrage, idéalement associé à un agent d’accueil. Celui-ci pourra effectuer une première identification des visiteurs grâce à leur voix et à leur visage, avant de leur ouvrir à distance la porte d’entrée. Une fois ce premier filtrage passé, les visiteurs pourront se présenter à la réception et présenter leur pièce d’identité à l’agent d’accueil pour un contrôle plus approfondi.

Le clavier à code est très similaire au contrôle d’accès par digicode à l’entrée d’un immeuble. Le clavier à code peut être installé en entreprise pour protéger un hall d’entrée, certaines salles ou certains couloirs. Comme le code peut être observé ou divulgué, il s’agit d’une solution de sécurité relativement faible, à utiliser uniquement comme dispositif de sécurité complémentaire interne à l’entreprise.

2/ La protection de la documentation interne.

Mettez en place des procédures exigeantes pour la gestion des documents confidentiels ou stratégiques.

Adopter le “clean desk”, ou bureau propre en français, est une politique d’entreprise qui vise à minimiser la présence d’objets personnels et de documents papier sur les bureaux. En pratique, seuls l’ordinateur, un cahier vierge et un stylo sont généralement autorisés sur le bureau. Tous les autres documents, dossiers et effets personnels doivent être rangés dans des casiers, tiroirs ou armoires dédiés. Il est inacceptable de laisser un document important sur une photocopieuse, où il pourrait être récupéré par un client de passage ou un employé de nettoyage.

Chaque collaborateur a un rôle essentiel à jouer pour prévenir tout accès non autorisé aux informations sensibles. Cela s’applique aussi bien à l’accès aux systèmes d’information et aux applications qu’à l’accès physique aux locaux ou aux documents. La participation de tous les collaborateurs est indispensable pour garantir la sécurité de l’information et la protection de la vie privée.

Un système d’accès (physique ou numérique) a été mis en place pour empêcher tout accès non autorisé à l’organisation. L’accès est sécurisé par un dispositif d’accès spécifique. L’utilisateur peut accéder à des informations confidentielles et sensibles dans le cadre de ses tâches quotidiennes et les déplacer vers un autre endroit où le dispositif d’accès n’est plus opérationnel ou n’est pas applicable. L’utilisateur reste responsable des informations, sous quelque forme que ce soit. Il doit donc veiller à leur protection adéquate. Dès que les informations ne sont plus utilisées par l’utilisateur, celui-ci doit également veiller à leur archivage ou à leur destruction.

3/ L'humain.

Accueillir un nouvel employé dans son équipe peut être un défi. Il est important de s’assurer que le nouvel employé s’intègre bien dans ses fonctions, s’entende avec le reste de l’équipe et mérite la confiance qu’on lui accorde en le formant et en l’accompagnant au début de son mandat. Pour éviter des erreurs potentielles lors de cette démarche, les employeurs ont souvent recours à plusieurs vérifications. Certains appellent d’anciens responsables du candidat pour confirmer ses emplois passés, s’assurent de la validité de ses diplômes, ou bien se rendent sur Internet pour procéder à l’analyse de son e-réputation. Dans certains cas, les services de renseignements peuvent-être sollicitées pour une levée de doute sur un risque élevé de fuite d'information.

Il est important de créer des profils spécifiques pour les stagiaires qui viennent passer du temps dans votre entreprise. Cela permet de limiter les risques de copie de bases de données, de documents sensibles ou de listes d’adresses email par des personnes non autorisées.

Les sous-traitants du système d’information d’un responsable de traitement doivent garantir la sécurité et la confidentialité des données auxquelles ils ont accès. La loi impose qu’une clause de confidentialité soit prévue dans les contrats de sous-traitance. Les interventions d’un prestataire sur des bases de données doivent se dérouler en présence d’un salarié du service informatique et être consignées dans un registre. Les données qui peuvent être considérées comme « sensibles » au regard de la loi, telles que les données de santé ou les données relatives à des moyens de paiement, doivent être chiffrées.

4/ Cloisonner les systèmes d'informations.

L’accès à un poste de travail informatique ou à un fichier par identifiant et mot de passe est la première des protections. Pour garantir la sécurité de vos données, il est important de suivre les bonnes pratiques de gestion des mots de passe.

Il est recommandé de paramétrer les postes de travail afin qu’ils se verrouillent automatiquement après une période d’inactivité de 10 minutes maximum. Les utilisateurs doivent également être encouragés à verrouiller systématiquement leur poste dès qu’ils s’absentent de leur bureau. Ces mesures permettent de limiter les risques d’utilisation frauduleuse d’une application en cas d’absence momentanée de l’agent concerné. En outre, il est fortement recommandé de contrôler l’utilisation des ports USB sur les postes “sensibles” pour empêcher la copie de l’ensemble des données contenues dans un fichier.

Un système d’information doit être protégé contre les attaques extérieures. Pour cela, il est recommandé de mettre en place des dispositifs de sécurité logique tels que des routeurs filtrants, pare-feu, sonde anti-intrusion, etc. Afin de garantir une protection fiable contre les virus et les logiciels espions, il est important de maintenir à jour ces outils, aussi bien sur le serveur que sur les postes des agents. La messagerie électronique doit également faire l’objet d’une attention particulière. Les connexions entre les sites distants d’une entreprise ou d’une collectivité locale doivent être sécurisées, par l’intermédiaire de liaisons privées ou de canaux sécurisés par technique de “tunneling” ou VPN (réseau privé virtuel). Il est également indispensable de sécuriser les réseaux sans fil, compte tenu de la possibilité d’intercepter à distance les informations qui y circulent. Pour cela, il est recommandé d’utiliser des clés de chiffrement et de contrôler les adresses physiques des postes clients autorisés. Enfin, les accès distants au système d’information par les postes nomades doivent faire l’objet d’une authentification préalable de l’utilisateur et du poste. Les accès par internet aux outils d’administration électronique nécessitent également des mesures de sécurité fortes, notamment par l’utilisation de protocoles IPsec, SSL/TLS ou encore HTTPS.

Enfin, les locaux sensibles, tels que les salles hébergeant les serveurs informatiques et les éléments du réseau, doivent être limités aux personnels habilités. Pour cela, il est recommandé de mettre en place des dispositifs de sécurité tels que la vérification des habilitations, le gardiennage, les portes fermées à clé, le digicode, le contrôle d'accès par badge nominatif, etc. La DSI ou le responsable informatique doit veiller à ce que les documentations techniques, plans d'adressages réseau, contrats, etc. soient eux aussi protégés.

5/ Les courriels.

Il est très important de sécuriser les boîtes mails professionnelles car elles peuvent contenir des informations sensibles et confidentielles sur l’entreprise et ses clients. Si une personne non autorisée parvient à accéder à ces informations, cela pourrait avoir des conséquences graves pour l’entreprise, telles que des fuites de données, des atteintes à la vie privée, des perturbations de l’activité ou même une perte financière. La sécurité des boîtes mail est importante pour protéger vos informations.

Il est important de choisir des mots de passe complexes qui ne sont pas faciles à deviner ou à trouver par une personne malveillante. Il est également recommandé d’utiliser un mot de passe différent pour chaque compte afin d’éviter que l’accès à un compte ne donne automatiquement accès à tous les autres.

L’authentification à deux facteurs (2FA) est une mesure de sécurité qui nécessite l’utilisation de deux éléments pour se connecter à un compte. Par exemple, l’utilisateur doit saisir son mot de passe et entrer un code de sécurité envoyé par SMS ou généré par une application de sécurité. Cela rend plus difficile pour une personne non autorisée d’accéder au compte. Il est recommandé d’utiliser une connexion sécurisée lors de l’accès à la boîte mail professionnelle, afin de protéger les données transitant entre l’ordinateur et le serveur de courriel.

Il est important de maintenir les logiciels de sécurité à jour afin de protéger contre les menaces en ligne les plus récentes. Cela peut inclure l’utilisation d’un logiciel antivirus et de pare-feu.

Il est crucial de rester attentif aux e-mails qui semblent suspects, comme ceux qui contiennent des liens ou des fichiers potentiellement dangereux, ou qui paraissent provenir d’une source douteuse. Il est préférable de ne pas ouvrir ces e-mails et de les éliminer sans délai. En respectant ces précautions, vous pouvez sauvegarder votre boîte mail et vos données personnelles contre les menaces sur internet.

6/ Les collaborateurs et partenaires.

Assurez-vous que l'ensemble de vos collaborateurs et partenaires adoptent eux également des niveaux de sécurité élevée, sinon vous mettez en péril vos documents partagés.

7/ Réaliser un audit.

International ICS propose a ses clients professionnels et industries de défense, une opération dite de "TSCM" (contre-mesures de surveillance technique), ayant pour but de rechercher un dispositif d'écoute malveillant placé dans vos locaux et mettre en évidence toute vulnérabilité structurelle ou organisationnelle de la société.

Thomas d. C.
La rédaction International ICS.

by Thomas d. C

Notre vision du clean desk

L’évolution des espaces de travail vers l’open space et le flex office a entraîné une transformation profonde de leur aménagement. De nouvelles normes ont fait leur apparition dans les bureaux, notamment la politique du “clean desk”.

Qu’est-ce que le “clean desk” ? Il s’agit d’un concept visant à créer un espace de travail minimaliste et épuré, en éliminant tout ce qui peut être considéré comme superflu. En pratique, cela signifie ne conserver que l’essentiel : un bureau, un ordinateur et une chaise. Cela permet d’optimiser les conditions de travail, de rester organisé au quotidien et d’améliorer la sécurité de nos dossiers. On évite ainsi de se disperser dans des documents, d’avoir des feuilles volantes et d’accumuler les objets inutiles.

Voici les règles de la politique du clean desk pour les collaborateurs de International ICS lorsqu’ils quittent leurs postes de travail :

Rangez et verrouillez tous les documents contenant des informations sensibles.
Ne laissez pas ces documents sur les murs, les tableaux blancs, les tableaux de conférence, les corbeilles à papier, les parapheurs, les casiers de courrier interne et externe, les imprimantes, les appareils multifonctions, les fax, les bacs de recyclage de papier ou près du destructeur de documents.
Les supports de données comme les clés USB, les cartes mémoire, les disques durs ainsi que les appareils mobiles comme les smartphones, les tablettes et les dictaphones doivent être rangés et verrouillés.
Ne pas laisser la clé dans la serrure.
Détruisez tous les documents contenant des informations sensibles qui ne sont plus utilisés dans le destructeur de documents prévu à cet effet.
Ne pas jeter des documents sensibles dans les poubelles ordinaires.
Ne connectez aucun appareil privé aux outils informatiques. Il n’est donc pas autorisé de recharger son smartphone privé via un ordinateur professionnel.
Ne laissez aucun mot de passe ou code de coffre ou de boîte à clés à votre poste de travail, par exemple sur un post-it placé sous le téléphone ou le sous-main.
Éteignez les ordinateurs professionnels à la fin de la journée de travail. En cas de courte absence, ils doivent être verrouillés et débarrassés de leur smartcard. En général, la smartcard ne doit pas rester dans le lecteur de l’ordinateur si celui-ci n’est pas utilisé.
Fermez toutes les fenêtres à la fin de la journée de travail. En cas de courte absence, fermez les fenêtres accessibles depuis l’extérieur (rez-de-chaussée).
À la fin de la journée de travail, débarrassez votre poste de travail. Ne laissez aucun document sur le bureau.
Fermez les portes des bureaux dès qu’ils sont inoccupés.
Les issues de secours indiquées dans les plans d’évacuation des locaux doivent rester dégagées.

Mais également, prendre en compte le contrôle des bureaux et des locaux, avec une inspection des espaces non occupés (bureaux, couloirs, archives, etc.) visant à vérifier si les règles de sécurité globale sont respectées, et en particulier, si l’accès à des informations classifiées est adéquatement protégé.

Cela s’applique également aux formes de travail mobile, c’est-à-dire lorsque les collaborateurs accomplissent leurs tâches depuis un lieu autre que leur poste de travail habituel, notamment depuis leur domicile. Les règles peuvent paraitre contraignantes mais permettent une réelle sécurité face aux risques liées a la fuite des données dans les bureaux.

Adopter un mode de vie minimaliste encourage un comportement responsable. Il est donc essentiel de maintenir l’ordre sur son ordinateur avec des dossiers bien organisés. Le clean desk, ainsi que le “clean screen”, sont des solutions d’organisation optimales offrant de nombreux avantages pour augmenter l’efficacité des collaborateurs dans un environnement de travail sain.

Thomas d. C.
La rédaction International ICS.

by Thomas d. C

Pièges : les différents types

Un piège, appelé également « Bug » est un appareil placé dans une zone, qui intercepte ensuite les communications et les transmet ou les conduit hors de cette zone vers un poste d'écoute. L'écoute indiscrète peut se trouver à seulement quelques mètres de la victime, à des centaines de mètres, voire à des kilomètres, selon le type d'insecte utilisé.

Si vous êtes préoccupé par les écoutes clandestines, il peut être judicieux de contacter International ICS, expert en contre-mesures de surveillance technique et de planifier un « Bug Sweep » ou une opération dites TSCM. Cependant, n'appelez pas à partir d'un téléphone suspect et comprenez qu'il est essentiel que vous en acheminiez vers votre emplacement le plus silencieusement et le plus rapidement possible. La société International ICS propose a ses clients d'intervenir, afin de rechercher un dispositif malveillant et mettre en évidence toute vulnérabilité structurelle ou organisationnelle.

Il existe six catégories principales de micro-espion, « bugs » : (acoustiques/passifs, ultrasoniques, RF, optiques et hybrides).

Le bug acoustique est un dispositif qui permet d’intercepter les sons dans une zone spécifique en utilisant des objets simples comme un verre d’eau, un stéthoscope ou un tube en caoutchouc. Ces objets sont placés dans la zone cible et permettent d’écouter directement les communications avec l’oreille, sans avoir besoin de matériel électronique. Cette technique peut également être utilisée pour capter les sons qui s’échappent par les points faibles d’une zone, comme les fenêtres, les défauts structurels, les systèmes de ventilation ou les prises de courant mal installées.

Le bug ultrasonique ou VLF est une méthode qui transforme le son en un signal audio qui dépasse la capacité d’écoute humaine. Ce signal ultrasonique est ensuite capté à proximité et reconverti en son audible. Au lieu de créer un signal radio, cette technique utilise des ondes de pression audio.

Le bug RF, ou bug de radiofréquence, est probablement le dispositif d’écoute le plus largement reconnu. Il fonctionne en plaçant un émetteur radio dans une zone spécifique ou dans un appareil, une multiprise, un chargeur, un stylo... Peu coûteux, jetables, il est difficile de remonter jusqu’à la personne qui les a installés. Un spécialiste TSCM bien équipé peut détecter efficacement ces appareils à une distance considérable, mais cela nécessite du temps. Il est important de noter qu’une recherche de bugs légitime peut prendre plusieurs heures, voire plusieurs jours, et non pas seulement quelques minutes.

Le bug optique est un type de dispositif d’écoute qui transforme le son ou les données en une impulsion lumineuse ou un faisceau de lumière. Il peut atteindre une portée de 400 mètres, bien qu’il soit assez coûteux. Un dispositif d’écoute laser, qu’il soit actif ou passif. Le microphone laser est capable d'écouter une conversation à travers tous types de murs ayant une épaisseur inférieure à 50 centimètres et facilement a travers d'une fenêtre. Celui-ci démodule le son grâce a la vibration du son dans la pièce ciblée.

Le bug cyber, plutôt appelé logiciel espion est un programme qui s’insère subrepticement dans votre ordinateur pour surveiller et consigner vos activités, puis transmet ces informations à des tiers. Il peut enregistrer les sites web que vous consultez, les fichiers que vous téléchargez, votre localisation (si vous utilisez un smartphone), vos emails, vos contacts, vos informations de paiement et même les mots de passe de vos comptes. Les fabricants de logiciels espions assurent aux clients qu’ils pourront garder un œil sur leur partenaire, leur enfant ou leur employé, tout en se rapprochant dangereusement des limites de la loi. La France est considérée comme leur plus grand marché en Europe.

Et n’importe laquelle des techniques et dispositifs ci-dessus peut être combiné pour créer un dispositif d’écoute hybride.

Les écoutes téléphoniques sont souvent la méthode de choix pour la collecte de renseignements en raison de leur qualité supérieure. Elles impliquent le raccordement à un fil ou à un autre conducteur utilisé pour les communications. Ce conducteur peut être une ligne téléphonique, un câble RJ45 utilisée pour la VOIP, un câble PBX pour un réseau simple, un réseau local, un système vidéo CCTV, un système d’alarme ou tout autre moyen de communication. L’objectif des écoutes téléphoniques est de recueillir des informations de haute qualité tout en minimisant les risques de détection d’écoutes clandestines, car les signaux rayonnés sont facilement détectables. Seuls des spécialistes, comme ceux de International ICS, peuvent détecter une interception en effectuant des mesures sur les lignes.

Thomas d. C.
La rédaction International ICS.

by Thomas d. C

Les signes avant-coureurs : êtes-vous victime d’écoutes secrètes

Si écouter tout ce que vous dites, écrivez ou faites peut accroître la richesse ou l’influence de quelqu’un d’autre, alors la réponse est oui. Vous êtes une cible potentielle.

Si l’un des signes d’alerte suivants s’applique et que vous êtes préoccupé par l’écoute électronique ou le piratage, il serait judicieux de contacter immédiatement International ICS et de planifier une “Recherche de Micros” ou une inspection TSCM. Cependant, n’appelez pas depuis un téléphone suspect, un téléphone portable ou un téléphone sans fil et comprenez qu’il est crucial que vous fassiez venir un opérateur à votre emplacement aussi discrètement et rapidement que possible.

D’autres sont au courant de vos secrets d’affaires ou professionnels confidentiels. C’est le signe le plus manifeste d’activités d’espionnage.

Il semble que les gens soient trop informés de vos activités privées et/ou professionnelles. Le vol d’informations confidentielles est une industrie souterraine de plusieurs milliards de dollars aux États-Unis pour ne citer que ce pays. Souvent, la divulgation de vos secrets se fait de manière très discrète, il est donc toujours préférable de faire confiance à votre instinct en la matière. Lorsque vos concurrents sont au courant de choses qui sont manifestement privées, ou que les médias découvrent des choses qu’ils ne devraient pas savoir, il est alors raisonnable de soupçonner une surveillance technique ou une écoute.

Les réunions et les offres qui devraient être secrètes semblent ne plus l’être.

Les réunions et les offres confidentielles sont des cibles de choix pour les espions d’entreprise. Comment réagiriez-vous si les projets de rachat d’entreprises que vous envisagez étaient rendus publics ? Des copies des plans de vos produits seraient-elles bénéfiques à vos concurrents ? Vos concurrents tireraient-ils avantage de connaître le montant que vous proposez pour le même projet ?

Si vous avez été victime d’une effraction, mais que rien ne semble avoir été dérobé.

Cela peut être l’œuvre d’espions professionnels. Ces derniers s’introduisent souvent à plusieurs reprises dans la demeure ou le bureau de leur cible sans laisser de traces évidentes de leur passage. Cependant, les occupants des lieux peuvent souvent “sentir que quelque chose ne va pas”, par exemple si les meubles ont été légèrement déplacés. Un intrus a rarement la capacité de remettre les objets exactement à leur place et perturbe souvent les objets lors de sa fouille secrète. Ces fouilles secrètes ou l’installation de dispositifs d’écoute peuvent impliquer une seule effraction de longue durée, ou bien de multiples effractions sur une période de temps plus longue.

Il arrive que certains objets “apparaissent” mystérieusement dans votre bureau ou à domicile, sans que personne ne puisse expliquer leur présence. Les articles typiques à surveiller et dont il faut se méfier comprennent les horloges, les chargeurs usb, les multiprises, les panneaux de sortie, les têtes d’arrosage, les radios, les cadres photo et les lampes...

Les plaques murales électriques semblent avoir été légèrement bougées ou “tremblées”.

Les dispositifs d’écoute sont souvent cachés à l’intérieur ou derrière les prises électriques, les interrupteurs, les détecteurs de fumée et les luminaires, ce qui nécessite le retrait des plaques murales. Recherchez de petites quantités de débris sur le sol directement sous la prise électrique. Soyez également attentif aux légères variations de couleur ou d’apparence des prises de courant ou des interrupteurs d’éclairage, car ceux-ci sont souvent remplacés lors de l’installation d’un dispositif d’écoute. Notez également si l’une des vis qui maintiennent la plaque murale contre le mur a été déplacée de sa position initiale.

Si vous trouvez de petits débris de dalles de plafond, ou « gravillons », sur le sol ou sur votre bureau, ou si vous remarquez des dalles de plafond fissurées, ébréchées, creusées, affaissées ou mal fixées.

Cela pourrait indiquer qu’une caméra cachée ou un autre dispositif d’écoute a été installé dans votre bureau ou à proximité. Les dalles de plafond endommagées sont souvent le fait d’espions amateurs ou mal formés. Les dalles de plafond des bureaux exécutifs ne devraient jamais présenter de fissures, d’éclats, de rainures ou de taches. Toute dalle de plafond endommagée doit être immédiatement remplacée et la cause du dommage doit être documentée. Dans de tels cas, il serait judicieux de faire appel à un spécialiste TSCM pour inspecter la zone autour de la dalle endommagée afin de déterminer si un dispositif d’écoute a pu être installé.

Si un de vos fournisseurs vous offre un appareil électronique, une radio de bureau, un réveil, une lampe, un petit téléviseur, une clef usb, etc.

Soyez vigilant. De nombreux “cadeaux” de ce genre sont en réalité des chevaux de Troie contenant des dispositifs d’écoute clandestine. Il est recommandé de se méfier de tout type de stylo, marqueur, porte-documents, calculatrice, distributeur de post-it, adaptateur secteur, téléphone portable, téléphone sans fil, horloge, radio, lampe, etc., qui vous est offert en cadeau. Le petit présent que le vendeur vous a laissé pourrait représenter un risque sérieux.

Si vous remarquez que le détecteur de fumée, l’horloge, la lampe ou le panneau de sortie dans votre bureau ou votre maison semble légèrement déformé.

Si celui-ci présente un petit trou à la surface ou a une surface presque réfléchissante, il se peut qu’ils soient utilisés pour dissimuler des dispositifs d’écoute secrets. Ces objets sont souvent choisis pour cacher de tels dispositifs. Généralement, ces appareils ne sont pas installés de manière évidente dans les lieux ciblés. Soyez donc vigilant si vous remarquez que ces objets « apparaissent simplement » ou si leur apparence change légèrement.

Les véhicules de service ou de livraison souvent garés à proximité sans personne visible à bord peuvent être utilisés comme postes d’écoute.

Il convient d’être particulièrement vigilant avec les véhicules équipés d’une échelle ou d’un porte-tuyaux sur le toit, ainsi qu’avec ceux dont les vitres sont teintées ou qui ont une zone non visible, comme une camionnette de service. Le véhicule utilisé pour l’écoute peut varier, allant d’un petit scooter avec un "top case" à une camionnette. Tout véhicule capable de cacher une personne à l’arrière ou ayant des vitres teintées doit attirer votre attention. Notez que le véhicule d’écoute peut être déplacé plusieurs fois, alors restez vigilant. En général, les espions préfèrent se positionner à moins de 150 à 230 mètres de la cible ou de la personne qu’ils écoutent. Les porte-échelles sur le toit d’un véhicule peuvent dissimuler une antenne ou une caméra.

Si vos serrures de porte ne fonctionnent plus correctement, qu’elles deviennent soudainement collantes ou qu’elles cessent complètement de fonctionner.

Cela peut être un signe qu’elles ont été crochetées, manipulées ou contournées. Il est recommandé d’utiliser des serrures bi-axiales avec des barres latérales. De plus, assurez-vous d’utiliser des verrous à double cylindre sur toutes les portes, des barres de fenêtre de qualité sur toutes les fenêtres et une barre de porte robuste sur toutes les portes qui ne sont pas utilisées comme entrées principales. Il est également conseillé d’installer une alarme de qualité équipée de capteurs de vibrations sur la porte ainsi que des interrupteurs d’ouverture de porte.

Les techniciens de services tels que la téléphonie, le câblage, la plomberie ou la climatisation se présentent souvent pour effectuer des travaux alors qu’ils n’ont pas été sollicités.

C’est une tactique fréquemment employée par les espions pour infiltrer un site. Ils feignent une interruption de service public, puis se présentent pour résoudre le problème. Pendant qu’ils sont occupés à “résoudre le problème”, ils en profitent pour installer des dispositifs d’écoute clandestins. Les pannes les plus couramment simulées concernent l’électricité, la climatisation, le téléphone et parfois même de fausses alarmes incendie.

Si vous avez détecté des bruits inhabituels ou des variations de volume sur vos lignes téléphoniques.

Cela peut souvent être attribué à un espion amateur qui a mis en place ou activé un dispositif d’écoute. Les équipements de surveillance ont tendance à causer de légères irrégularités sur la ligne téléphonique, comme une variation de volume ou une interruption de courant. Les dispositifs d’écoute professionnels et leur matériel ne produisent généralement pas de tels bruits. Par conséquent, si vous rencontrez ce genre de phénomène, cela pourrait signifier qu’un espion amateur est à l’œuvre. Cependant, il se peut aussi que vous soyez simplement confronté à un dysfonctionnement de la ligne. Il est donc recommandé de vérifier.

Si votre radio AM/FM a commencé à présenter des interférences étranges.

Cela pourrait être dû à l’utilisation d’appareils d’écoute amateurs ou de dispositifs provenant de magasins d’espionnage. Ces appareils utilisent souvent des fréquences qui se situent à l’intérieur ou juste à l’extérieur de la bande radio FM. Ces signaux ont tendance à dériver et peuvent “apaiser” une radio FM proche du dispositif d’écoute. Vous devriez rechercher des transmissions aux extrémités de la bande radio FM et dans toute zone calme de la bande FM. Si la radio commence à grincer, déplacez-la lentement dans la pièce jusqu’à ce que le son devienne très aigu. Cette technique est appelée détection de retour ou détection de boucle et permet souvent de localiser le dispositif d’écoute. Assurez-vous que la fonction “stéréo” de la radio est désactivée pour que la radio fonctionne en “mono”, car cela augmentera considérablement la sensibilité. Si vous détectez un “couineur” de cette manière, contactez immédiatement un expert en contre-mesures de surveillance technique (TSCM) et faites-le venir chez vous.

Si vous recevez une copie de vos conversations privées, cela peut être un signe évident et une preuve solide d’écoute clandestine. Parfois, une personne indiscrète peut envoyer à une victime une copie d’une conversation privée interceptée dans le but de faire chanter, d’intimider ou simplement de traquer la victime. Ce phénomène est couramment observé dans les procès civils et pénaux, les conflits conjugaux, les litiges entre actionnaires, les batailles pour la garde des enfants et d’autres situations où une partie en position de faiblesse tente de déstabiliser psychologiquement son adversaire.

Thomas d. C.
La rédaction International ICS.

by Thomas d. C

Le règlement général sur la protection des données

Le RGPD, ou “Règlement Général sur la Protection des Données” (en anglais, “General Data Protection Regulation” ou GDPR), est un cadre réglementaire qui régit le traitement des données personnelles au sein de l’Union Européenne. Ce cadre juridique évolue pour accompagner les progrès technologiques et les changements de nos sociétés (utilisation croissante du numérique, expansion du commerce en ligne, etc.). Ce nouveau européen s’inscrit dans la lignée de la loi française Informatique et Libertés de 1978 et renforce le contrôle des citoyens sur l’utilisation de leurs données personnelles. Il harmonise les règles à travers l’Europe en fournissant un cadre juridique unique pour les professionnels, leur permettant de développer leurs activités numériques au sein de l'Union Européenne sur la base de la confiance des utilisateurs.

Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).

Qui est concerné ? Le Règlement Général sur la Protection des Données (RGPD) est une réglementation qui concerne un large éventail d’organismes. Quelle que soit la taille de l’organisation, son pays d’implantation ou son activité, elle peut être concernée par le RGPD. Oui, le RGPD s’applique à toute organisation, qu’elle soit publique ou privée, qui traite des données personnelles, que ce soit pour son propre compte ou non. Il y a deux conditions principales pour qu’une organisation soit concernée par le RGPD :

L’organisation est établie sur le territoire de l’Union européenne.
L’activité de l’organisation cible directement des résidents européens.

Par exemple, une société établie en France qui exporte tous ses produits ai Liban pour ses clients du Moyen-Orient doit respecter le RGPD. De même, une société établie en Chine qui propose un site de e-commerce en français et livre des produits en France doit également respecter le RGPD.

Le RGPD concerne également les sous-traitants qui traitent des données personnelles pour le compte d’autres organismes. Ainsi, si vous traitez ou collectez des données pour le compte d’une autre entité (entreprise, collectivité, association), vous avez des obligations spécifiques pour garantir la protection des données qui vous sont confiées. En somme, le RGPD a une portée très large et peut concerner une grande variété d’organisations à travers le monde.

Le traitement des données personnelles est un concept large qui englobe toute opération ou ensemble d’opérations effectuées sur des données personnelles. Ces opérations peuvent inclure la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation, la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, et le rapprochement.

Prenons un exemple concret : la gestion d’un fichier client, la collecte de coordonnées de prospects via un questionnaire, ou la mise à jour d’un fichier de fournisseurs. Toutes ces actions sont considérées comme des traitements de données personnelles.

Cependant, il est important de noter qu’un fichier contenant uniquement des coordonnées d’entreprises, comme l’entreprise “entreprise 1” avec son adresse postale, le numéro de téléphone de son standard et un email de contact générique “entreprise1@email.fr”, n’est pas considéré comme un traitement de données personnelles.

De plus, un traitement de données personnelles n’est pas nécessairement informatisé. Les fichiers papier sont également concernés et doivent être protégés dans les mêmes conditions que les données numériques.

Un aspect crucial du traitement des données est qu’il doit avoir un objectif précis, une finalité. Autrement dit, vous ne pouvez pas collecter ou traiter des données personnelles simplement parce que cela pourrait vous être utile un jour. Chaque traitement de données doit avoir un but assigné, qui doit être légal et légitime au regard de votre activité professionnelle.

Par exemple, si vous collectez de nombreuses informations sur vos clients lorsque vous effectuez une livraison, éditez une facture ou proposez une carte de fidélité, toutes ces opérations sur ces données constituent votre traitement de données personnelles. Dans ce cas, l’objectif est la gestion de votre clientèle.

En somme, le traitement des données personnelles est une pratique courante dans le monde des affaires, mais il est essentiel de comprendre ses implications et de respecter les règles de confidentialité et de protection des données.

Voici quelques principes clés à suivre pour garantir une gestion sécurisée et éthique des données.

Collectez uniquement les données nécessaires. Les organisations sont encouragées à ne collecter que les données strictement nécessaires pour atteindre leur objectif. Cela limite la manière dont elles peuvent utiliser ou réutiliser ces données dans le futur et évite la collecte de données « au cas où ».

Soyez transparent. La transparence est essentielle dans la gestion des données. Les individus doivent être clairement informés de l’utilisation qui sera faite de leurs données dès leur collecte. Les personnes doivent également être informées de leurs droits et des modalités d’exercice de ces droits.

Facilitez l’exercice des droits des personnes. Les organisations doivent mettre en place des modalités permettant aux personnes d’exercer leurs droits et de répondre dans les meilleurs délais à ces demandes de consultation ou d’accès, de rectification ou de suppression des données.

Fixez des durées de conservation. Les données ne peuvent pas être conservées indéfiniment. Elles ne sont conservées en « base active », c’est-à-dire la gestion courante, que le temps strictement nécessaire à la réalisation de l’objectif poursuivi. Elles doivent être par la suite détruites, anonymisées ou archivées dans le respect des obligations légales applicables en matière de conservation des archives publiques.

Sécurisez les données et identifiez les risques. Il est crucial de prendre toutes les mesures utiles pour garantir la sécurité des données. Cela comprend la sécurisation des locaux, des armoires et des postes de travail, ainsi que la gestion stricte des habilitations et des droits d’accès informatiques.

Insistez sur la conformité continue. La conformité n’est pas gravée dans le marbre et figée. Elle dépend du bon respect au quotidien par les agents, à tous les niveaux, des principes et mesures mis en œuvre. Il est donc nécessaire de vérifier régulièrement que les traitements n’ont pas évolué, que les procédures et les mesures de sécurité mises en place sont bien respectées et de les adapter si besoin.

En suivant ces principes, les organisations peuvent s’assurer qu’elles respectent les normes éthiques et légales en matière de protection des données, tout en garantissant la confiance et la sécurité de leurs utilisateurs.

by Thomas d. C

Mobile : votre smartphone est-il surveillé ?

Le terme “Spyware” désigne un type de logiciel malveillant qui s’infiltre dans votre appareil mobile pour recueillir des informations sur vous, vos habitudes de navigation et d’utilisation d’Internet, ainsi que d’autres données.

Au sommet de la hiérarchie, on trouve les logiciels espions commerciaux utilisés par les gouvernements. Pegasus et Predator sont les exemples les plus récents et les plus connus. Présenté comme un outil pour les gouvernements dans la lutte contre le terrorisme et l’application de la loi, il a finalement été découvert sur des smartphones appartenant à des chefs d'entreprises, des journalistes, des militants, des dissidents politiques et des avocats.

Comme on peut s’y attendre, les spywares sont insidieux. Ils pénètrent généralement dans votre smartphone sans que vous vous en rendiez compte et sans votre consentement, puis ils s’installent sur votre système d’exploitation Android ou iOS pour maintenir une présence sur votre téléphone mobile. Il se peut même que vous ayez, sans le savoir, autorisé l’installation d’un logiciel espion en acceptant les conditions générales d’un programme apparemment légitime que vous avez téléchargé, sans prendre le temps de lire les petits caractères. Quelle que soit la méthode d’invasion, ils fonctionnent discrètement en arrière-plan, collectent des informations ou surveillent vos activités afin de déclencher des activités malveillantes liées à votre ordinateur et à son utilisation. Ces activités comprennent notamment l’enregistrement de vos saisies, de vos identifiants, de vos adresses e-mail personnelles, de données de formulaires Web, d’informations concernant l’utilisation d’Internet et d’autres informations personnelles telles que des numéros de cartes de crédit, ainsi que des captures d’écran.

Les logiciels espions peuvent arriver sur votre appareil par le biais du phishing, de pièces jointes d’e-mails malveillants, de liens de médias sociaux ou de SMS frauduleux.

Les spywares de base sont des formes génériques de logiciels malveillants qui volent les données du système d’exploitation et du presse-papiers, ainsi que tout ce qui peut avoir de la valeur, comme les données d’un portefeuille de cryptomonnaies ou les identifiants d’un compte. Ils ne sont pas nécessairement ciblés et peuvent être utilisés dans des attaques de phishing générales.

Les logiciels espions avancés, également appelés “stalkerware”, sont un niveau supérieur. Peu éthiques et parfois dangereux, ces logiciels malveillants se trouvent parfois sur les systèmes de bureau. Mais aujourd’hui, ils sont le plus souvent implantés sur les téléphones. Ces logiciels malveillants sont utilisés pour récupérer de l'information et harceler les utilisateurs. Ils permettent de surveiller les emails, les SMS envoyés et reçus, d’intercepter des appels en direct pour les écouter via des lignes téléphoniques standard ou des applications VoIP, d’enregistrer secrètement des sons ambiants ou de prendre des photos, de suivre les victimes par GPS, et de détourner des applications de médias sociaux comme Facebook et WhatsApp. Ils peuvent également avoir des fonctionnalités d’enregistrement de frappe. Les stalkerwares sont généralement utilisés pour surveiller une personne spécifique, en suivant ses actions, ses paroles et ses déplacements. Ces logiciels de harcèlement sont souvent associés à des cas de violence conjugale.

Le “nuisanceware”, ou logiciel nuisible, est souvent associé à des applications légitimes. Il perturbe votre navigation sur le web avec des pop-ups, modifie votre page d’accueil ou les paramètres de votre moteur de recherche, et peut aussi collecter vos données de navigation pour les vendre à des agences et réseaux publicitaires. Bien qu’il soit perçu comme de la publicité malveillante, le nuisanceware n’est généralement pas dangereux et ne représente pas une menace pour votre sécurité principale. Ces logiciels malveillants cherchent plutôt à générer des revenus illégaux en infectant les machines et en créant des affichages ou des clics publicitaires forcés.

Les conseils : si vous constatez des messages ou des courriels inhabituels ou suspects sur vos plateformes de médias sociaux, cela pourrait être une tentative d’infection par un logiciel espion. Il est préférable d’éliminer le message sans jamais cliquer sur un lien ou télécharger un fichier. Cela s’applique également aux SMS, qui peuvent contenir des liens incitant à télécharger des logiciels malveillants. Ces messages de hameçonnage visent à vous pousser à cliquer sur un lien ou à exécuter un logiciel qui contient un spyware ou un stalkerware. Ils essaieront de vous effrayer, par exemple en mentionnant un paiement d’impôt, un courrier de la banque ou un problème de livraison. Ils peuvent également usurper les adresses de vos contacts pour gagner votre confiance. Dans le cas des stalkerwares, les messages d’infection initiale peuvent être plus personnalisés et adaptés à la victime.

Dans les cas les plus détectés, un accès physique au dispositif ou une installation non intentionnelle d’un logiciel espion par la victime est requis. Cependant, l’installation de certaines versions de logiciels espions et de logiciels de harcèlement peut se faire en moins d’une minute. Si vous constatez que vous avez perdu le contrôle de votre téléphone pendant un certain temps et que des modifications ont été apportées à vos paramètres, ou si vous observez des changements que vous n’avez pas effectués, cela pourrait indiquer une infection.

Si vous avez un doute, la société International ICS, département Cyber, peut vous aider a analyser votre smartphone.

by Thomas d. C

ISO 27701 : gérer la protection de la vie privée

Une norme internationale pour sécuriser les données personnelles. Les données personnelles sont devenues un enjeu majeur pour les entreprises et les organisations, qui doivent les protéger contre les risques de piratage, de fuite ou de détournement. Pour les aider à se conformer aux différentes législations en vigueur, notamment le Règlement général sur la protection des données (RGPD) de l'Union européenne, une nouvelle norme internationale a été publiée en août 2019 : l'ISO 27701.

Cette norme, élaborée par des experts du monde entier, avec la participation de la Commission nationale de l'informatique et des libertés (CNIL) et de l'Association française de normalisation (AFNOR), vise à définir les bonnes pratiques pour la gouvernance et la sécurité des traitements de données personnelles. Elle s'appuie sur deux normes ISO déjà existantes dans le domaine de la sécurité informatique : l'ISO 27001, qui certifie un système de management de la sécurité informatique, et l'ISO 27002, qui détaille les mesures de sécurité à mettre en œuvre.

L'ISO 27701 apporte des exigences spécifiques pour la protection des données personnelles, en tenant compte du rôle de l'organisme qui les traite (responsable de traitement, sous-traitant, sous-traitant de sous-traitant). Elle couvre ainsi les aspects suivants :

- La détermination du rôle de l'organisme et de ses obligations légales et réglementaires ;
- La gestion des risques informatiques et des risques pour la vie privée des personnes concernées ;
- La désignation d'un responsable pour la protection de la vie privée, qui peut être le délégué à la protection des données (DPO) ;
- La sensibilisation et la formation des personnels impliqués dans les traitements de données personnelles ;
- La classification, la protection, la sauvegarde et la journalisation des données personnelles ;
- Les conditions de transfert, de partage et de suppression des données personnelles ;
- La protection de la vie privée dès la conception et par défaut des traitements de données personnelles ;
- La gestion des incidents et des violations de données personnelles ;
- Le respect des principes fondamentaux du RGPD, tels que la finalité, la base légale, le consentement, l'inventaire, l'évaluation des impacts, les droits des personnes, la minimisation, la dé-identification et la durée de conservation des données personnelles ;
- La rédaction des contrats de sous-traitance et des clauses contractuelles types pour les transferts de données hors de l'Union Européenne.

L'ISO 27701 n'est pas une certification au sens de l'article 42 du RGPD, qui prévoit la possibilité pour les organismes de faire valider leur conformité par un organisme accrédité. Mais elle constitue un référentiel reconnu et harmonisé, qui permet aux organismes de démontrer leur engagement et leur responsabilité en matière de protection des données personnelles. Elle peut également faciliter les échanges de données entre les organismes situés dans des pays ayant des législations différentes, en garantissant un niveau de sécurité élevé.

L'ISO 27701 est donc une norme utile et pertinente pour les organismes qui traitent des données personnelles, quels que soient leur taille, leur secteur d'activité ou leur localisation. Elle leur permet de se doter d'un système de management efficace et adapté, qui assure la sécurité et la confiance des personnes concernées..

by Thomas d. C

ISO 27001 : le système de management de la sécurité de l’information

La norme ISO/CEI 27001, qui a succédé à la norme BS 7799-2 de BSI a été révisée en 2013 et 2022 après sa publication initiale en octobre 2005. Cette norme, qui s’adresse à tous les types d’organismes, y compris les entreprises commerciales, les ONG et les administrations, définit les exigences pour la mise en place d’un système de management de la sécurité de l’information (SMSI). Le SMSI est conçu pour recenser les mesures de sécurité dans un périmètre défini, garantissant ainsi la protection des actifs de l’organisme. L’objectif est de protéger les fonctions et informations contre toute perte, vol ou altération, et de protéger les systèmes informatiques contre toute intrusion et sinistre informatique. Cela renforce la confiance des parties prenantes.

La certification ISO 27001, un gage de sécurité pour les systèmes d’information. La sécurité des systèmes d’information est devenue un enjeu majeur pour les organisations de tous secteurs et de toutes tailles, face à la multiplication des cyberattaques et des exigences règlementaires. Pour garantir la protection, la performance et l’amélioration continue de leurs systèmes d’information, de plus en plus d’organisations optent pour la certification ISO 27001, la norme internationale de référence en la matière.

La certification ISO 27001 atteste qu’une organisation a mis en place un système de management de la sécurité de l’information (SMSI) efficace, basé sur une analyse et une maîtrise des risques liés aux informations sensibles. Elle implique également le respect des bonnes pratiques et principes énoncés dans la norme, tels que la définition d’une politique de sécurité, l’engagement de la direction, la sensibilisation du personnel, ou encore la mise en œuvre de mesures de protection adaptées. La certification ISO 27001 présente de nombreux avantages pour les organisations certifiées, notamment :

La résilience face aux cyberattaques et aux nouvelles menaces
La conformité aux exigences légales et contractuelles, notamment en matière de protection des données personnelles
La confiance et la satisfaction des parties prenantes, telles que les clients, les fournisseurs, les partenaires ou les autorités
La réduction des coûts liés aux incidents de sécurité ou aux pertes d’information
L’optimisation des processus et des ressources liés au système d’information
La différenciation et la valorisation sur le marché

La norme stipule que les exigences en matière de mesures de sécurité doivent être adéquates et proportionnées aux risques encourus, évitant ainsi d’être trop laxistes ou trop sévères.

L’ISO/CEI 27001 énumère une série de points de contrôle à respecter pour assurer la pertinence du SMSI, permettant ainsi son exploitation et son évolution. Plus précisément, l’annexe A de la norme comprend les 114 mesures de sécurité de la norme ISO/CEI 27002 (anciennement ISO/CEI 17799), classées en 14 sections. Tout comme les normes ISO 9001 et ISO 14001, il est possible de faire certifier un organisme ISO/CEI 27001.

Cependant, certains points ont disparu par rapport à la norme BS 7799-2 : l’ISO 27001 n’intègre plus l’amélioration de la compétitivité, des cash flow, de la profitabilité, le respect de la réglementation et l’image de marque.

La première étape consiste à définir la politique et le périmètre du SMSI. Le périmètre, qui est le domaine d’application du SMSI, est librement choisi, mais il est essentiel car il détermine ensuite le périmètre de certification. Il doit comprendre tous les actifs métiers (actifs primordiaux au sens de la norme ISO/CEI 27005) et les actifs support à ces activités qui sont impliqués dans le SMSI. La politique détermine le niveau de sécurité (intégrité, confidentialité, disponibilité de l’information) qui sera pratiqué au sein de l’entreprise. La norme n’impose pas de niveau minimum de sécurité à atteindre dans le SMSI, son niveau devant être proportionné aux risques évalués.

Le choix du périmètre et de la politique étant libre, ces deux éléments sont des “leviers de souveraineté” pour l’entreprise. Ainsi, une entreprise peut être certifiée ISO 27001 tout en définissant un périmètre très réduit et une politique de sécurité peu stricte et sans répondre aux exigences de ses clients en matière de sécurité.

La deuxième étape consiste à identifier et évaluer les risques liés à la sécurité et à élaborer la politique de sécurité. La norme ISO 27001 ne donne pas de directives sur la méthode d’appréciation des risques à adopter. Les entreprises peuvent donc en inventer une en veillant à bien respecter le cahier des charges ou en choisir une parmi les plus courantes, notamment la méthode EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité) mise en place en France par l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information). Le cahier des charges relatif à l’appréciation des risques se développe en 7 points :

Identifier les actifs
Identifier les personnes responsables
Identifier les vulnérabilités
Identifier les menaces
Identifier leurs impacts sur les actifs à défendre
Évaluer la vraisemblance ou potentialité du risque
Estimer les niveaux de risque, fonction de leur potentialité et de leur impact

La troisième étape : Gestion de l’incertitude et reconnaissance du risque subsistant. Il existe quatre méthodes possibles pour traiter chaque risque identifié, présentées par ordre décroissant d’intérêt pour l’organisme :

L’évitement : Si l’incident est jugé inacceptable ou si les mesures sont facilement accessibles, une politique est mise en place. Il s’agit de réorganiser le système d’information à protéger afin d’éliminer totalement la potentialité du risque.
La réduction : La potentialité et/ou l’impact du risque sont ramenés à un niveau acceptable grâce à la mise en œuvre de mesures techniques et organisationnelles. C’est la solution la plus couramment utilisée.
Le transfert (ou partage) : La part de risque qui ne peut pas être évitée ou réduite est appelée risque résiduel. L’organisme peut transférer la responsabilité technique de tout ou partie de ce risque résiduel en recourant à une solution d’externalisation de sécurité. Il peut également souscrire une assurance pour réduire l’impact financier du risque.
L’acceptation (ou maintien) : Aucune mesure de sécurité supplémentaire n’est mise en place car les conséquences du risque résiduel non transférable sont acceptables. Par exemple, le vol d’un ordinateur portable qui ne contient pas de données essentielles pour l’entreprise a un impact minime. Cette solution peut n’être que temporaire.

Une fois la décision de traitement du risque prise, l’entreprise doit identifier les risques résiduels, c’est-à-dire ceux qui persistent après la mise en place des mesures de sécurité. Si ces risques sont jugés inacceptables, des mesures de sécurité supplémentaires doivent être définies. Cette phase d’acceptation formelle des risques résiduels s’inscrit souvent dans un processus d’homologation, le système étant homologué en tenant compte de ces risques résiduels.

Quatrième étape, le choix des procédures de sécurité à implémenter. La norme ISO 27001 comprend une annexe A qui propose 114 mesures de sécurité classées en 14 catégories (politique de sécurité, sécurité du personnel, contrôle des accès…). Cette annexe normative n’est qu’une liste et ne donne aucun conseil de mise en œuvre au sein de l’entreprise. Les mesures sont présentées dans la norme ISO 27002.

La certification ISO 27001 est délivrée par des organismes certificateurs accrédités, tels que l’AFNOR, après un audit du SMSI de l’organisation candidate. La certification est valable pour une durée de trois ans, sous réserve de maintenir et d’améliorer le SMSI et de passer des audits de suivi annuels. La norme ISO 27001 est régulièrement mise à jour pour tenir compte de l’évolution des technologies, des menaces et des besoins des organisations. La dernière version date de 2022 et introduit notamment des changements dans l’annexe A, qui liste les mesures de sécurité à considérer.
La certification ISO 27001 est donc un outil précieux pour les organisations qui souhaitent sécuriser leurs systèmes d’information et se préparer aux défis du numérique.

by Thomas d. C

Mobile : Predator, le cyber espionnage

Ce logiciel malveillant créé par un ancien officier israélien spécialisé dans le cyber espionnage est vendu par Cytrox, une entreprise basée en Macédoine du Nord. Ce Predator semble prendre petit à petit la place du célèbre Pegasus, devenu un peu trop connu pour un dispositif censé rester discret.

Predator permet au parrain de l’attaque de pendre le contrôle complet du mobile à l’insu de son propriétaire. Le système espion peut lire tout le contenu de la mémoire (contacts, messages, photos…) et activer le micro et les caméras à distance. Le système utilise de faux comptes sur les réseaux sociaux et la copie de sites pour inciter les cibles de ses clients à cliquer sur un lien contaminé amenant à l'installation de ce dispositif malveillant.

Des chercheurs ont réussi à examiner deux versions de Predator, une pour iOS, le système d’exploitation des appareils mobiles d’Apple, et une autre pour les téléphones Android. Le rapport ne liste pas explicitement les actions possibles sur un téléphone pour un attaquant utilisant Predator, mais ces logiciels espions, comme Pegasus, sont conçus pour s’installer dans les appareils et obtenir l’autorisation d’activer le micro, la caméra, de lire les messages et d’enregistrer l’activité d’autres applications. De plus, le Citizen Lab n’a pas pu analyser les vecteurs d’infection utilisés par Predator pour contourner les sécurités d’ iOS et Android et s’installer sur les téléphones. Cependant, une piste potentielle est que les deux victimes ont reçu, lors de la phase d’approche, des messages contenant des liens vers des noms de domaine appartenant à l’infrastructure de Cytrox.

Certains pays qui utilisaient la solution Pegasus, utilisent désormais Predator pour espionner l'adversaire.

De manière intéressante, les chercheurs ont mis en évidence, sur la version iOS du logiciel, un mécanisme de persistance. C’est-à-dire un outil qui assure la présence continue du mouchard dans l’appareil, même après que celui-ci a été éteint et rallumé. Une telle fonctionnalité n’a pas été identifiée sur la version Android de Predator.

Predator, il repose sur deux composants : Tcore, la boîte à outils de l’espion parfait, et Kmem. Le premier comprend un enregistreur audio, la collecte d’informations à partir de Signal, WhatsApp et Telegram, ainsi que d’autres applications. Le second offre un accès arbitraire en lecture et en écriture à l’espace d’adressage du noyau. Cet accès est offert par Alien qui exploite la CVE-2021-1048, permettant au logiciel espion d’exécuter la plupart de ses fonctions.

Êtes-vous piégé ? International ICS analyse votre mobile pour vous.

by Thomas d. C