Archives mensuelles : février 2016

saf harbour

Le Privacy Shield ou Safe Harbour 2.0 dévoilé

La Commission Européenne (CE) a publié les détails de l’accord de transfert des données personnelles conçu de concert avec les États-Unis. Cet accord a pour but de renforcer la surveillance par rapport au précédent Safe Harbour qui a été mis à mal l’an passé concernant la collecte et le transit des données par le Gouvernement américain.

Appelé Privacy Shield (Bouclier de la vie privée), l’accord oblige les entreprises américaines qui souhaitent transférer les données personnelles de citoyens européens aux USA, d’y souscrire tous les ans. Il octroie également une surveillance accrue de la part du Department of Commerce et de la Federal Trade Commission (FTC), explique la Commission Européenne.

Ces obligations incluent une augmentation de la coopération avec les autorités européennes en charge de la protection des données, avec un rapport annuel. « Ce nouvel accord comprend un engagement écrit et l’assurance des États-Unis que les autorités publiques, souhaitant accéder et transférer des données soumises à ce nouvel arrangement, feront face à des conditions claires, des limitations et une surveillance pour prévenir les abus » explique la CE.

L’accord prévoit également de nombreux mécanismes pour faciliter la résolution des conflits, dont la présence de médiateurs indépendants des services de renseignements gouvernementaux. « Les entreprises soumises au Privacy Shield seront contraintes de résoudre les conflits sous 45 jours, et fournir une alternative de résolution gratuite », explique la CE. Les citoyens peuvent également se tourner vers les autorités locales de protection des données, qui travaillent de concert avec le Département du Commerce américain et le FTC pour trouver des solutions.

L’UE travaille sur cet accord sur le transfert des donnés avec les USA depuis 2 ans, à la suite des révélations de 2012 sur les pratiques de collecte de données du gouvernement américain. L’ancien Safe Harbour ayant été invalidé en octobre dernier, avant la mise en place du nouvel accord, laissait le champ libre et un vide juridique pour les multinationales.

La CE explique que ce nouvel arrangement, officialisé lundi, est une « solution adéquate » qui fourni une surveillance et une remédiation suffisante pour protéger les données des citoyens européens du gouvernement US ou des entreprises privées. « Le EU-US Privacy Shield est un nouveau cadre, basé sur une surveillance et une exécution forte, qui facilite la protection des individus. Et qui, pour la première fois, offre une assurance écrite de nos partenaires américains, sur les limites et les sauvegardes, ainsi qu’à l’accès aux données par les autorités publiques sur les territoires nationaux » explique Věra Jourová, commissaire européenne à la justice, la consommation et l’égalité des genres.

La CE a également cité les récentes réformes américaines qui brident les services de renseignements US dans leur capacité de surveillance de masse.

Les entreprises qui souscrivent à cet accord doivent certifier avoir bien pris connaissance des conditions, avec le Département du Commerce américain qui s’active à vérifier que les politiques de confidentialité des entreprises est en adéquation avec les nouveaux critères du Privacy Shield, d’après la Commission Européenne.

Les responsables US ont promis de maintenir à jour une liste des membres du Privacy Shield en enlevant au fur et à mesure les entreprises qui choisissent de le quitter « afin de s’assurer que les membres sortants continuent d’appliquer la réglementation inhérente aux données acquises lorsqu’ils étaient encore membre » explique la CE.

La Commission devrait proposer rapidement ce nouvel accord au Parlement Européen, afin d’être adopté par le Conseil Européen.

Découvrez notre solution eaZySecure pour protéger vos données personnelles

Flag of the european union in front of the deep blue sky.

L’UE se dirige vers le Cloud

La Direction Générale de l’Informatique de la Commission Européenne (DIGIT CE) a annoncé mercredi sa collaboration avec Microsoft, Accenture et Comparex dans leur volonté d’accéder au cloud public pour les organisations de l’UE. Ce partenariat s’inscrit dans la volonté « d’accéder à de nouvelles capacités en matière de cloud et de services numériques dans le secteur des services publics ». Le contrat porterait sur une période de deux ans avec une option de prolongation.

Il s’agirait de travailler sur deux fronts bien distincts, d’un côté les infrastructures (IaaS) et la plate-forme (PaaS). « Cette collaboration entre Accenture, Comparex et Microsoft permettra aux institutions européennes d’obtenir des services de cloud computing rapides, pratiques et flexibles » indique Dany Delepierre, directeur général du pôle santé et service public d’Accenture Belgique et Luxembourg. « Le Cloud Platform Accenture fournira la flexibilité et une meilleure gouvernance, tout en facilitant le développement sécurisé de nouvelles applications et le transfert des applications existantes dans le cloud » rajoute t-il.

De son côté, la Commission Européenne se félicite de ce choix. L’attribution du contrat faisant suite à un appel d’offre public. « Le Cloud Platform d’Accenture faisant fonctionner la technologie Microsoft Azure respecte toutes les règles d’un cloud public hyper-scale sécurisé » indique la Commission Européenne.

Ce choix n’est pas étonnant étant donné qu’Accenture fournit déjà des services à plusieurs institutions de l’UE, comme l’UE-LISA (Agence européenne pour la gestion opérationnelle des systèmes d’information) et la direction générale de la fiscalité et de l’union douanière.

Retrouvez nos offres cloud applicatives.

 

downsec

Down-Sec prend en otage la Belgique

La Belgique est actuellement en plein conflit informatique. Le groupe activiste Down-Sec a décidé de paralyser plusieurs sites web d’instances gouvernementales pour arriver à se faire entendre dans l’affaire Madison.

Down-Sec, un collectif de pirates informatique qui se revendiquent comme un groupe dissident radical d’Anonymous Belgique, a commencé une vendetta envers le gouvernement belge. Depuis la semaine dernière, ces hackers ont successivement pris le contrôle de plusieurs sites internet officiels. Ainsi les sites du premier ministre, du ministre de la Défense, du ministre de l’éducation et le serveur de la Fédération Wallonie-Bruxelles ont été piratés, les rendant inaccessibles pendant plusieurs heures. Dimanche, Down-Sec a maintenu la pression en attaquant le site de l’Agence fédérale du contrôle du nucléaire, puis le site fédéral d’intervention d’urgence informatique.

Les attaques ont finalement été endiguées comme l’explique Miguel de Bruycker, directeur du centre belge pour la Cybersécurité : « Les trois problèmes ont été résolus. A chaque fois, un procédé similaire a été utilisé. En gros, ils bloquent un carrefour en le surchargeant de trafic internet. Le serveur ne peut plus répondre et plante. Nous devons alors nous atteler à ‘dévier’ le trafic internet en appliquant différents filtres, ce qui peut prendre un certain temps. »

Pour Madison

Le collectif ne compte pourtant pas en rester là. Leur leitmotiv : la reconnaissance du suicide de la jeune Madison début février. L’adolescente de 14 ans s’est pendue dans sa cage d’escalier à Herstal, près de Liège, suite à du harcèlement sur les réseaux sociaux. Les activistes dénoncent la non-réaction du gouvernement suite à ce drame et exhorte « que le gouvernement mette plus de moyens contre le harcèlement et à aider les victimes au lieu d’engraisser ces ministres ». D’après les informations postées sur leur compte twitter, Down-Sec devrait s’attaquer aux banques dans les prochains jours.

Découvrez notre offre eaZySecure pour renforcer votre sécurité informatique.

rancon

Cybersécurité: il était une fois le rançonnage

On ne le dira jamais assez, mieux vaut prévenir que guérir. Dans le domaine de la cybersécurité, c’est d’autant plus vrai que lorsqu’une attaque surgit, les dommages peuvent être considérables… Voici une petite histoire pour finir de vous convaincre.

Tout commence en Californie, où l’Hollywood Presbyterian Medical Center, un hôpital, a été la cible d’une cyber-attaque. Les hackers réclamaient la coquette somme de 3,4 milliards de dollars pour rendre le contrôle du système informatique. Finalement l’établissement a cédé et a versé 17000 dollars en Bitcoins pour récupérer l’intégralité de son système. Soumis à ce chantage l’hôpital a payé la rançon avant de prévenir les autorités et est resté très discret quant à cette réduction assez conséquente, ainsi que par la nature de cette attaque. Selon certains il s’agirait d’un simple phishing (technique d’usurpation d’identité et récupération de données personnelles). D’après le directeur néanmoins, céder était la meilleure solution pour rétablir le fonctionnement normal du réseau.

Bien que les conséquences ne soient pas dramatiques, cette histoire est révélatrice de l’état d’esprit général sur la cybersécurité. Selon le dernier rapport de la Cloud Security Alliance, 24,6% des entreprises seraient prêtes à payer une rançon dans une situation similaire afin d’empêcher une cyber-attaque… 14% seraient même prête à débourser plus d’un million de dollars ! Des chiffres qui font tiquer Joël Mollo, directeur Europe du Sud de Skyhigh Network : « Il est choquant de constater que tant d’entreprises sont prêtes à payer, ne serait-ce qu’un seul centime d’une rançon, et accorderaient leur confiance aux pirates pour ne pas donner suite à une attaque. Il n’y a aucune garantie de réalisation et aucun moyen de revenir en arrière une fois que le paiement est effectué sachant que le pirate peut ne pas redonner l’accès aux données ou relancer une attaque par la suite. C’est de plus un bien mauvais signal à transmettre aux pirates. Du coup, ces derniers sont de plus en plus confiants sur le fait qu’ils auront gain de cause, qu’ils peuvent exécuter leurs cyberattaques et que la plupart des entreprises préfèreront payer que de se retrouver sans système informatique.  Des exemples de sociétés qui refusent de payer, telles que Meetup.com à l’étranger ou Domino’s Pizza en 2014 ou Labio en 2015 en France, sont rares et pourtant elles sont l’exemple à suivre.”

La logique est simple. Si une entreprise accepte de payer une fois, rien n’empêche les hackers de revenir à la charge pour reprendre en otage le système afin de soutirer une nouvelle rançon. Protéger son SI et sa cybersécurité permet de se soustraire de cette épée de Damoclès. Alors certes, la démarche peut paraître coûteuse et contraignante mais le jeu en vaut la chandelle. Malgré tout, certaines entreprises préfèrent prendre le risque, quitte à dégager leur responsabilité en cas de pépin. C’est le cas de l’entreprise Vtech par exemple. Le fabricant de jouets s’est fait pirater les données de 6 millions de clients en décembre et, comble du cynisme, a décidé de changer les termes et conditions qui accompagnent la vente de ses produits. La nouvelle clause stipule que l’entreprise ne peut être tenue pour responsable en cas de piratage des données confiées par ses clients… Une échappatoire qui fait réagir Norman Girard, vice-président et directeur général Europe de Varonis : « Imaginez si tous les questionnaires médicaux que vous remplissez chez votre médecin comportaient un avertissement tel que « Si quelqu’un vole les informations que vous fournissez, c’est votre problème » ou si un magasin affirmait « Libre à vous d’utiliser votre carte de crédit, mais nous ne sommes pas responsables si quelqu’un arrive a voler les informations de cette dernière sur notre système”. Un particulier ou un professionnel souhaiterait-il encore traiter avec ce genre d’organisations ? »

Découvrez notre offre eaZySecure pour lutter contre les failles et les vulnérabilités de votre SI.

macron

Cloud : OVH Group exhorte Macron à y penser

« L’État pourrait être davantage exemplaire dans l’intégration des nouvelles technologies présentes en France. Nous sommes leader européen. Nos concurrents sont de grands groupes américains dont la position dominante nuit à la compréhension des solutions françaises. Il faudrait que les appels d’offre en tiennent compte. Il faut défendre ce que le marché européen du numérique peut apporter. Nous demandons à être traités à égalité. »

C’est le message de Laurent Allard, CEO d’OVH Group, leader européen de Cloud et des infrastructures Internet, adressé directement à Emmanuel Macron. A l’occasion de la venue du ministre pour l’inauguration de leur nouveau campus à Roubaix, la firme a décidé d’invectiver le ministre du Numérique pour pousser l’État à montrer l’exemple et ouvrir la voie vers le nuage aux entreprises française, parfois encore frileuse à l’idée d’externaliser leurs infrastructures.

« En France, la dépense publique informatique est énorme parce que les services publics continuent à investir dans des technologies anciennes et à gérer leurs propres infrastructures informatiques. Or, nous avons tous besoin qu’ils réduisent leurs coûts et soient plus agiles. C’est justement ce que permet le Cloud. Les entreprises l’ont bien compris. Il est temps que l’État fasse de même. » explique Laurent Allard.

Rappelons que le budget alloué par l’État français, au Cloud sous toutes ses formes (Iaas, Saas, Paas) reste encore dérisoire et très en retrait par rapport à nos voisins outre-Atlantique.

Découvrez nos offres Cloud applicatives pour les entreprises

drapeau-americain

Cloud : les entreprises US passent la seconde

Selon une étude menée par le cabinet Clutch auprès de 300 décideurs de sociétés américaines, les prévisions de migration vers le Cloud sont plus qu’excellentes. En effet, 63% des entreprises sondées affirment qu’elles augmenteront leurs dépenses dans le nuage en 2016. Pour 20% d’entre elles les budgets alloués augmenteront même de plus de 30%.

clutch1

Plus surprenant encore, l’argument de la sécurité (21% des sondés) est très souvent avancé outre-Atlantique, alors qu’il reste encore un frein à l’adoption du Cloud en Europe. Pour rappel, 2/3 des entreprises françaises n’ayant pas encore basculé dans le nuage évoquaient des doutes quant à la capacité de bien protéger leurs informations.

Parmi les autres facteurs mis en avant par les sociétés américaines ayant pour volonté d’investir dans le Cloud, l’augmentation de l’efficacité de l’organisation et le stockage des données sont des arguments forts, tout comme la flexibilité et la vitesse des infrastructures. Étonnamment l’aspect budgétaire reste en retrait avec seulement 22% des entreprises considérant cela comme un élément déterminant.

Rappelons qu’en France, le Cloud public représentait un chiffre d’affaire de 1,9 milliard d’euros en 2015 mais que les cabinets d’études prévoient une croissance annuelle moyenne de 26% d’ici à 2019. Selon les estimations, le Cloud public représenterait un marché potentiel de 4,5 milliards d’euros d’ici à 2019.

Découvrez nos offres Cloud applicative.

test

Cybersécurité : le classement des pays de l’UE

A l’occasion de la Journée mondiale pour un internet plus sûr qui a eu lieu le 9 février, Eurostat, l’organisme officiel de statistique européen, a publié une étude sur la cybersécurité dans l’Union Européenne. Et le résultat est plutôt inquiétant puisque en moyenne 1 utilisateur sur 4 aurait déjà été confronté à des problèmes de cybersécurité. Que ce soit un virus, une escroquerie ou l’utilisation frauduleuse de données personnelles, 25% des utilisateurs d’Internet en Europe ont rencontré ce genre de problème. Le classement établi par Eurostat donne les résultats suivant.

Les bons élèves : Parmi les 5 premiers pays les plus sécurisés, on retrouve la République Tchèque à la première place avec seulement 10% des utilisateurs ayant rencontré un problème en 2015. Suivent ensuite les Pays-Bas (11%), la Slovaquie (13%), l’Irlande (14%) et Chypre (15%).

Les mauvais élèves : Parmi les 5 pays les moins sécurisés, le bonnet d’âne revient à… la Croatie qui culmine à 42% des utilisateurs ayant rencontré un problème l’année passée. La Croatie qui est donc talonnée par la Hongrie (39%), le Portugal (36%), Malte (34%) et… la France (33%) !

L’étude révèle également que la question de la cybersécurité dissuade, en partie, les Européens de profiter pleinement des possibilités d’internet. Ainsi, 19% des internautes n’ont jamais acheté quelque chose en ligne, 18% ne se sont jamais connectés à leur banque en ligne et 13% n’ont jamais utilisé internet sur un support mobile, ailleurs que chez eux.

Retrouvez la totalité de l’étude ici.

Découvrez eaZySecure notre offre de cybersécurité.

L’Etat US boost le Cloud !

Une étude menée par IDC (International Data Conseil), prévoit une forte hausse de l’utilisation du Cloud dans le budget IT 2016 américain. De son côté la France reste plus timide face à cette nouvelle pratique.

Selon le cabinet d’études IDC, l’État fédéral américain envisage de dépenser 8,5% de l’ensemble de son budget IT sur des projets Cloud. Si d’aventure la prévision s’avère exacte, cela marquerait une très nette progression par rapport à l’année dernière où seulement 5% du budget était consacré au nuage. Et sans faire de mauvais jeu de mot, il a vraiment le vent en poupe, car ces estimations restent pourtant très prudente… Les dépenses prévues l’année passé par l’OMB (Office of Management and Budget) ont finalement doublé. « Nous pensons que les dépenses dans le Cloud peuvent atteindre environ la moitié des dépenses IT totales du gouvernement, mais ce seuil ne sera pas atteint avant 2018 », indique Shawn McCarthy, directeur de recherche du cabinet IDC.

Face à la montée en puissance du Cloud outre-Atlantique, la France fait pâle figure et reste plus timide sur ce secteur. En juillet dernier seulement, le service achat de l’État, avec l’appui de la Dinsic (Direction interministérielle du numérique et des systèmes d’information et de communication de l’État), passait un premier appel d’offre pour des services Iaas. Pour la « modique » somme d’un million d’euros… Par rapport au budget total des dépenses IT externe de l’État chiffrés à près de 2 milliards ! Néanmoins un projet de Cloud interne a été engagé par plusieurs ministères, pour évaluer le coût d’une VM interne, afin de donner des bases de comparaisons pour les autres secteurs.

Alors même si le fossé paraît énorme et le retard français important, il faut nuancer le constat car les situations sont radicalement différentes entre les deux État. « L’État anglais a sous-traité tout son système d’information aux grand intégrateurs. Il se sert de l’ouverture de son magasin Cloud comme d’arme de chute des prix auprès de ses sociétés. Aux États-Unis, l’État fédéral a négocié avec Amazon l’hébergement de son Cloud privé sur un datacenter dédié. Avant d’effectuer des comparaisons rapides et de chercher à importer des portions de modèles étrangers, certains feraient mieux de commencer par comprendre le contexte dans lesquels ces modèles s’insèrent ! » s’insurge Jacques Marzin, ex-DSI de l’État français.

Découvrez nos offre de Cloud applicatif

 

Facebook mis en demeure par la CNIL

Après plusieurs mises en garde à l’encontre de Facebook, la CNIL (Commission nationale de l’informatique et des libertés) a haussé le ton et lançant un dernier ultimatum à la firme américaine. Ultimatum accompagné d’une mise en demeure pour le géant du réseau social (1,5 milliard de membres dans le monde, 30 millions en France). Accompagné de la Belgique, des Pays-Bas et de l’Espagne, la commission somme Facebook de se mettre en conformité avec la loi française concernant l’appropriation et l’usage de données à caractère personnelles. Et ce, dans un délai de trois mois sous peine de sanctions.

Selon la CNIL, Facebook enfreindrait une dizaine de texte de lois et d’accord en cours, dont la loi des libertés informatique de 1978, ainsi que la directive européenne de 1995 relative à la protection des personnes physiques à l’égard des données personnelles.

Parmi les principaux reproches, la commission accuse le réseau de posséder les données de navigation des internautes « à leur insu, même s’ils ne possèdent pas de compte Facebook », l’utilisation de cookies publicitaires, le recueillement d’informations à caractère privé (orientation politique, sexuelles…) et l’indifférence de l’entreprise face aux décisions de justice.

En effet, depuis 2015 et l’action de l’Autrichien Max Schrems, le réseau social est accusé de transférer la quasi-totalité des données utilisateurs sur des serveurs aux États-Unis, invoquant le passe-droit du Safe Harbor. L’Europe a depuis répliqué en créant le EU-US Privacy Shield pour protéger les données personnelles des internautes.

«L’objet de cette mise en demeure n’est pas de se substituer au réseau social pour fixer les mesures concrètes à mettre en place, mais de le conduire à se mettre en conformité avec la loi, sans entraver son modèle économique ni sa capacité d’innovation», a tenu à préciser la Commission. L’amende prévue, en cas de non respect des exigences de la CNIL, sera indexé sur le chiffre d’affaire de l’entreprise, à hauteur de 4%… Soit 17 millions de dollars d’amende environ. Pas sûr que cela soit suffisamment dissuasif…

Protégez vos données personnelles grâce à notre offre eaZySecure !

Cybersécurité : faut-il tirer la sonnette d’alarme ?

Selon plusieurs études récemment publiées, la cybersécurité des entreprises ne serait pas aussi efficace qu’il n’y parait. Alors que la tendance allait plutôt vers le mieux, il s’avèrerait qu’il n’en est rien. Ainsi, selon une étude réalisée par Sage (leader mondial de logiciel de comptabilité), 62% des entreprises ont déjà subi au moins une tentative de fraude. Pire, 12% en ont déjà subi au moins cinq.

Parmi les fraudes les plus courantes, la « fraude au président » semble être particulièrement appréciée par les hackers. Le but étant de se faire passer pour un dirigeant afin d’obtenir un virement à l’étranger. Et 80% des entreprises victimes ont rencontré cette pratique ! Ce type d’attaque, appelé communément ingénierie sociale, demeure néanmoins assez méconnu puisque d’après une étude Solucom/Conscio, 46% des collaborateurs ne sont pas préparés à réagir à de telles pratiques.

Ces attaques sont aussi le moyen d’intégrer des ransomware (logiciel de rançonnage) dans le système. D’après Cisco, elles généreraient près de 34 millions de dollars chaque année. De plus, la compromission des domaines WordPress auraient également augmenté de 221% entre février et octobre 2015 !

Enfin, le temps de détection d’une intrusion dans le système serait estimé entre 100 et 200 jours.

Des statistiques sans équivoque qui poussent, une fois de plus, à ne pas prendre la cybersécurité à la légère.

Découvrez notre solution de protection eaZySecure !