Site sécurité- Crédit Agricole

Information Sécurité

Les risques sur internet

Protéger mes données bancaires

Nos engagements

L'actu sécurité informatique by Crédit Agricole Pyrénées Gascogne

Édition #2 (Mars 2018)

Édito


La sécurité faisant partie des préoccupations premières d’une banque comme le Crédit Agricole Pyrénées Gascogne, sa dimension informatique (cyber) est devenue un enjeu majeur aujourd'hui.

Il nous semble important de partager notre connaissance dans ce domaine avec l'ensemble de nos clients. Hameçonnage, cryptage de données, demande de rançon, ingénierie sociale... ces cas sont nombreux et arrivent régulièrement.

La CyberSécurité est une problématique majeure pour notre Caisse Régionale, c'est en effet le thème retenu par 7 Caisses Locales comme sujet principal de leurs Assemblées Générales en 2018. Nous participons également à de nombreux événements de sensibilisation comme les Rencontres de la CyberSécurité le 21 mars 2018 au Palais Beaumont de Pau, dont nous sommes partenaires et organisons le 11 avril prochain le deuxième Café de la CyberSécurité, à Cologne (32).

Aussi, au travers de cette newsletter, nous vous proposons de retrouver un ensemble d'articles traitant de cas concrets rencontrés par des entreprises mais aussi des clients du territoire, de bonnes pratiques en matière de sécurité et un article thématique sur un sujet d'actualité.

Bonne lecture,


Photo Vincent de Bellefon

Vincent de BELLEFON
Directeur Informatique, Organisation & Logistique

Bonne pratique
"Sécuriser son poste de travail"


La protection du poste de travail est essentielle. En effet un ordinateur mal protégé peut mettre en péril non seulement les informations stockées sur le poste lui-même, mais aussi l’ensemble des systèmes auquel il se connecte.

Une fois qu'un accès non autorisé est utilisé, l'appareil peut devenir la porte d'entrée vers des systèmes plus sensibles dès lors qu'un logiciel espion a pu être installé à l'insu de l'opérateur..

Votre comportement face à ce risque est essentiel, il faut prendre conscience des règles élémentaires afin de renforcer la sécurité de cet outil de travail :

  • Sauvegarde systématique et quotidienne des données
  • Mise à jour régulière de vos logiciels
  • Chiffrement des supports de stockage
  • Mots de passe robustes et personnels
  • Utilisation prudente d’Internet (téléchargements,utilisation de services en ligne)


Que faire ?

Ne jamais laisser un ordinateur allumé avec une session utilisateur ouverte, laissé sans surveillance, même peu de temps (pause-café, etc.). Ceci permet à un intrus d’usurper facilement votre identité sans votre mot de passe principal et même de voler les autres mots de passe présents sur votre poste de travail.

Astuce : La simple combinaison de touches : CTRL - Alt - Suppr puis Entrée permet de verrouiller instantanément votre session de travail et protège votre poste des intrusions.

Sécuriser son poste : Les Bonnes Pratiques

Indicateurs sécurité


  • 2.25 millions d'€ c’est le coût des cyberattaques subies par les entreprises françaises en 2017.
  • 6 milliards d’individus victimes de cyberattaques d’ici 2022.
  • 54% des utilisateurs s’estiment prêts à débourser plus de 100$ pour récupérer leurs fichiers en cas de ransomware.
  • 12 millions d’identifiants subtilisés grâce au phishing en 2017.

Évènements


  • 21 mars / Pau / Les Rencontres de la Cybersécurité
  • 3 avril / Le Mans / 6ème Congrès de la Sécurité des SI de Santé
  • 11 avril / Cologne / 2ème Café de la CyberSécurité
  • 23 avril / Lyon / The Web Conference

C'est arrivé ailleurs
"Le Scandale Ashley Madison"


Le site de rencontres extraconjugales américain Ashley Madison a connu durant l'été 2015 le plus gros revers de son histoire.

La société avait en effet négligé l'importance de la sécurisation de son système informatique, celui-ci n'était pas suffisamment robuste et la société violait même de nombreuses dispositions légales concernant la protection de la vie privée.

Cette insuffisance a permis à un groupe de pirates nommé "The Impact Team" d'exploiter la faille de sécurité et par là même de s'approprier les données personnelles de plus de 30 millions d'utilisateurs du service de par le monde (emails, noms, adresses, téléphones voire les préférences sexuelles...).

Ce scandale a entraîné dans son sillage des milliers de divorces dans les rangs des abonnés et de nombreuses démissions dans la société. Ashley Madison a en outre dû débourser plus de 15 millions de dollars de dédommagement suite aux nombreux procès qui ont été intentés contre la société américaine..

L'entreprise a survécu à ce séisme et il y a fort à parier que les questions de sécurité informatique sont au centre de leurs nouvelles préoccupations.

C'est arrivé ailleurs : le scandale ashley madison

Ça n'arrive pas qu'aux autres
"Vengeance amère"


Après avoir quitté son poste au sein d'un établissement scolaire français réputé pour son excellence et sa rigueur, un professeur de mathématiques se rend compte que ses habilitations au système d'information de l'établissement sont toujours actives.

Ayant quelques griefs à la suite de son éviction de son poste, celui-ci décide de se venger en publiant sur les réseaux sociaux des informations relatives aux bulletins scolaires de certains de certains élèves ainsi que des informations confidentielles concernant des échanges entre enseignants.

Outre le scandale que ces agissements a occasionné, l'école a dû débourser plus de 18 000 euros afin de réparer les dommages causés.

Cette affaire a effectivement nécessité des frais d'identification et de résolution de la faille informatique, de reconstruction des données volées ou détériorées, des frais de communication et des honoraires d'avocats pour faire disparaître les informations divulguées sur les réseaux sociaux. L'image de cet établissement réputé a bien entendu été entachée et les conséquences sur les inscriptions s'en font sentir depuis.

Ça n'arrive pas qu'aux autres : Vengeance amère

C'est arrivé près de chez vous
"Être vigilant"


Voici une aventure qui est arrivée à l'un de nos clients :

Ce dernier effectuait une anodine recherche sur son ordinateur personnel lorsque lui est apparu sur l'écran un message lui indiquant qu'il était victime d'un virus. La fenêtre en question bloquait apparemment son moteur de recherche et lui enjoignait de rappeler un numéro d'assistance qui s'affichait à l'écran.

Lors de cet appel, notre client paniqué a communiqué son numéro de carte et son RIB, afin que le pseudo expert lui débloque son ordinateur. Un prélèvement de 200€ a été débité sur son compte. Ayant été prévenus suffisamment tôt, nous avons pu annuler l'opération par la suite et restituer la somme au client.

En pratique :

Il s’agit en réalité d’une simple fenêtre intempestive, lavictime va payer pour un service qui ne sert à rien...

Notre conseil :

Nous vous recommandons de ne jamais répondre auxsollicitations et de faire analyser en cas de doute votreordinateur par un informaticien professionnel.

C'est arrivé près de chez vous : Être vigilant

Sujet du mois
"Meltdown et Spectre"


C’est une nouvelle qui a donné le ton pour l’année 2018 :quelques jours seulement après le nouvel an, ont étédévoilées les failles Meltdown et Spectre . Ces deux faillesont en commun d’exposer des défauts présents dans laplupart des puces Intel construites au cours des deuxdernières décennies et s’étendent même à celles des autresfabricants qui utilisent la même architecture.

Fait nouveau par rapport aux précédentes attaquesdévoilées dans les médias, ces failles potentielles netoucheraient pas un système d’exploitation spécifique, maisla très large majorité des nos appareils informatiques(téléphones portables, tablettes, ordinateurs, serveurs...).

Le vecteur d'infection : le processeur

Celui-ci est un composant indissociable à la bonne marchede nos appareils. C’est le « cerveau » qui effectueles opérations indispensables au fonctionnement del’ordinateur et aux programmes qui y sont installés. Toutesles données d'un système informatique y sont traitées à unmoment ou un autre. Les principaux constructeurs de cesprocesseurs sont Intel, AMD et ARM.

Le Système d’exploitation, quant à lui, est la coucheintermédiaire qui fait le lien entre les applications et leprocesseur (Ex : Windows, MacOs, Android, iOS etc.).

Comment fonctionnent ces failles?

Les informations traitées par un processeur doivent, enthéorie, être isolées dans des zones hermétiques. Pourtant,les chercheurs qui ont découvert ces failles ont prouvé qu’ilétait envisageable de détourner les mesures de protections etd’accéder aux données, réputées impénétrables, traitées parles processeurs (données privées de type empreintesdigitales, mots de passe...).

C'est l’architecture même de la puce qui revêt une faille. Eneffet, son exploitation est réalisable en raison des choix desconstructeurs : pour améliorer les performances, lesfabricants Intel, AMD et ARM autorisent des codes às'exécuter de façon prédictive, en allant même récupérer desdonnées dans un logiciel voisin.Les 2 vulnérabilités utilisent ce défaut de conception quipermet à la puce unité centrale (CPU) d’accéder à la mémoire :

  • L'étanchéité de la mémoire par application a pu êtrecontourné.
  • Un logiciel pourrait donc lire des données sauvegardéesconcernant une autre application.

Quelles sont leurs différences ?

Meltdown qui concerne la plupart des processeurs Intel(qui est le plus gros acteur du marché) a été, nous pouvons ledire à ce jour, repoussée par les mises à jour des différentsconstructeurs.

Il en est tout autre pour la faille Spectre . En raison de sonimplantation plus profonde, les constructeurs vont devoirmodifier l’architecture même de leurs puces pour s’enprémunir.

Certains appareils resteront donc exposés pendant desmois, voire des années. C’est une faille très complexe quiconcerne tous les processeurs installés sur nos machines et lasolution définitive pour combler cette brèche n’a pas ététrouvée même si des contre-mesures sont en cours d'étude.

Que faire ?

Le premier conseil est bien évidemment un conseil debon sens : vous devez impérativement procéder àl’installation des mises à jour proposées par les ordinateurs,les tablettes ou les Smartphones.

Il se peut que certaines mesures liées à ces mises à jourentraînent un ralentissement du fonctionnement desprocesseurs et du coup de la performance de votreordinateur.

Par ailleurs il est fortement recommandé pour lesutilisateurs de produits Microsoft, de disposer d’un antivirusà jour.

Le point sur : Meltdown et Spectre

Conclusion


A la suite de la découverte de ces failles par le grand public, le PDG d'Intel avait voulu rassurer lors du CES (Consumer Electronics Show) àLas Vegas. Il a en effet affirmé qu’aucun piratage n’avait été décelé et que ces deux menaces étaient contenues. Il n’en reste pas moins que lefabricant est entré de plein pied dans une crise sans précédent qui marque la hausse des vulnérabilités de nos systèmes informatiques. Desrecours collectifs ont déjà été lancés contre Intel aux Etats-Unis.

Édition #3 (Mai 2018)

Edito - Edition Spéciale "Protection des données personnelles"


Les données personnelles sont devenues le nouvel or noir de nos économies modernes, elles représentent un réel enjeu économique, stratégique et même parfois politique comme nous avons pu le voir avec le scandale Facebook & Cambridge Analytica découvert il y a peu.

Avec l’expansion d’Internet, des réseaux sociaux, et des objets connectés il est parfois difficile de garder la main sur ses données personnelles. Elles sont devenues un modèle économique à part entière que les entreprises du numérique ont largement adopté et sur lequel elles ont axé l’aspect social et personnalisé des services proposés.

Nous avons décidé de consacrer une édition spéciale à ces problématiques en revenant largement sur ce sujet notamment avec un dossier complet sur l’actualité brûlante mise au jour par le scandale Facebook, des articles qui illustrent bien l’importance de protéger ses données personnelles mais également sur le RGPD (Règlement Général sur la Protection des Données) qui entre en vigueur le 25 mai.

Bonne lecture,

Photo Vincent de Bellefon

Vincent de BELLEFON
Directeur Informatique, Organisation & Logistique

Bonne pratique
"Sauvegarder régulièrement ses données"


Finis les classeurs, les albums photos poussiéreux, les CD... Toutes nos données sont aujourd’hui numériques, disponibles immédiatement et classées facilement sauf quand...

...un disque dur tombe en panne, un virus informatique infecte votre ordinateur, une tasse de café se renverse sur votre Smartphone !

Dans ces situations il y a un risque réel que vos précieux documents, photos, fichiers musicaux soient perdus corps et biens !

Sauvegarder, oui mais pourquoi ?

Enregistrer, nous le faisons tous naturellement : nous créons des dossiers, rangeons méthodiquement nos fichiers, mais nous réalisons souvent trop tard la nécessité de sauvegarder, de mettre à l’abri nos données essentielles ailleurs que sur nos postes de travail, mobiles et tablettes.

Il n’est pas si compliqué de procéder à des sauvegardes, reste à adopter les bons réflexes. Vous devez impérativement protéger vos fichiers stockés localement sur vos appareils : les contacts, les photos, les vidéos personnelles, les documents importants et les emails... Tous les fichiers sont concernés.

Quelles solutions existent

Important :Trier les fichiers que l’on veut sauvegarder est primordial, il n’est pas nécessaire de garder des fichiers en double ou des photos floues... vous verrez que chaque mégaoctet est précieux !

Les deux principales possibilités sont la copie vers un disque dur externe ou bien l’utilisation d’un service de stockage en ligne (Cloud)

  • Les disques durs externes : Ceux-ci présentent un très bon support pour sauvegarder des données, il existe différents types de disques durs : les disques durs externes, les disques SSD, les serveurs NAS... Le choix est varié mais il est important de choisir une capacité de stockage bien supérieure à celle de l’appareil où sont stockées les informations à protéger.
  • Les services de stockage en ligne (Cloud) : Ces services offrent une grande facilité d’utilisation et une accessibilité aux données très rapide. Il est en effet possible d’accéder à ses fichiers depuis n’importe quel appareil connecté au Web (ordinateur, Smartphone, tablette..). La plupart des grands opérateurs proposent aujourd’hui des solutions comprenant des forfaits de stockage adaptés à vos besoins en matière de sauvegarde (Google, Amazon, Dropbox...).

Notre Conseil :

Rien n’empêche d’utiliser l’une ou l’autre des solutions voire de combiner les deux en privilégiant le stockage en ligne pour les fichiers susceptibles d’être rapidement utilisés ou partagés ; ces services offrant une grande simplicité de diffusion notamment par le biais de liens rapides.

Sauvegarder régulièrement ses données

Indicateurs Sécurité


securite
  • 87 millions de personnes ont été victimes du scandale Cambridge Analytica / Facebook.
  • 92% des dirigeants français s’inquiètent de ne pas être en conformité au regard du RGPD.
  • 5,6 millions de données personnelles sont piratées ou perdues chaque année.
  • 15h11, c’est le nombre d’heures passées par semaine par les 13-19 ans sur internet en 2017.

Evénements


Evenements
  • 15 mai – Paris - Les ateliers du CLUSIF – “Société de notation, risques et opportunités pour le RSSI”
  • 23-25 mai – St Tropez - Rencontres de l’Identité, de l’Audit et du Management de la Sécurité
  • 24 mai – Paris - Matinée Stratégique CIO
  • 12-14 juin – Monaco - DataCloud Europe

C’est arrivé ailleurs
"Facebook et l’utilisation des données personnelles"


Le scandale est né des révélations du lanceur d’alerte canadien Christopher Wylie, fin mars. Celui-ci a accusé la société britannique Cambridge Analytica d’avoir utilisé les données de millions d’individus sur Facebook.

Il estime ainsi que les algorithmes de la firme auraient massivement influencé les électeurs lors de la présidentielle américaine et auraient favorisé l’actuel président des États-Unis, Donald Trump, lors de sa campagne électorale.

Cette firme d'analyse de données, spécialisée dans la communication stratégique, a collecté les données de pas moins de 87 millions de membres Facebook afin de mettre en œuvre des opérations de ciblage politiques. La société a développé un logiciel capable de prédire et d’influencer le vote des électeurs américains en 2016 grâce à la formidable base de données ainsi collectée.

Pour ce faire Cambridge Analytica a utilisé un quizz psychologique, "This is your digital life", afin de récolter des informations sur les profils publics des utilisateurs de Facebook. Non seulement les répondants ont vu leurs données « aspirées » mais également celles de leurs amis et connaissances.

En France ce sont « seulement » 76 personnes qui ont répondu à ce questionnaire, mais Cambridge Analytica a pu également collecter des informations concernant les amis des personnes qui ont effectué le test. Ce sont en fait les données de 211 591 français qui ont pu être récupérées.

Facebook et les données personnelles :

Facebook a développé depuis 2004 un modèle économique qui repose sur l'exploitation des données personnelles. Son fonctionnement est essentiellement basé sur la monétisation des données des utilisateurs auprès des publicitaires. Imaginez quelques secondes l’immensité des informations qu’a amassé Facebook au cours de ces 14 ans d’existence !

On peut légitimement s’interroger sur l’enjeu que représente notre patrimoine numérique... Nos données sont à l’instar des « Bit Coins » devenues une monnaie virtuelle, que s’échangent de grandes firmes.

A savoir :

Pour vérifier si vos données Facebook ont été partagées avec Cambridge Analytica il suffit de vous rendre sur la page d'aide du réseau social. Si la section « Mes informations ont-elles été partagées ? » apparaît c’est que vous ou vos amis se sont connectés au quizz en question.

#DeleteFacebook Le réseau fait désormais face à un mouvement de désabonnement massif de ses utilisateurs qui ont, par ce scandale, perdu confiance dans le géant américain. Le milliardaire Mark Zuckerberg, patron et fondateur du réseau social comptant 2 milliards d’abonnés, vient de témoigner ce mardi 10 avril devant le Congrès américain et a dû se défendre pendant plus de 10 heures. Le groupe a en outre perdu plus de 10 % en Bourse depuis mars. Les géants américains du net vont devoir faire face à une nouvelle donne : la protection des données personnelles au moment où le Règlement Général sur la Protection des Données (RGPD) doit entrer en vigueur (le 25 mai prochain).

utilisation des données personnelles

Ça n’arrive pas qu’aux autres
"Ransomware"


Voici un cas typique d’attaque informatique qui peut toucher n’importe quelle administration ou entreprise quelle que soit sa taille.

Il y a un an le journal Sud-Ouest révélait que près de la moitié des écoles bordelaises avaient été victimes d’un ransomware (ou rançongiciel). Cette attaque démarrée en septembre 2016, avait fini par infecter un nombre important de serveurs de l’académie de Gironde paralysant ainsi 40 des 101 établissements de la ville de Bordeaux.

Cette attaque a été possible par la diffusion d’ordinateurs en ordinateurs d’un virus qui crypte et bloque l’accès aux données, les pirates réclamant alors une rançon pour restituer les données ainsi collectées.

L’origine de cette attaque serait liée à la négligence d’un employé de l’académie qui aurait téléchargé un fichier joint contenant le code malveillant.

Bien que l’académie bordelaise dispose d’un contrat avec un éditeur de logiciel antivirus il semble que cette solution de protection n’ait pas été correctement installée sur l’ensemble des machines.

Cette histoire illustre à quel point les utilisateurs que nous sommes peuvent devenir le point faible de la chaîne de sécurité. Ainsi il est conseillé de ne pas ouvrir de mails dont la provenance est inconnue. Ces mails peuvent contenir des liens risqués ou des fichiers corrompus à télécharger en pièce-jointe.

Ransomware

C’est arrivé près de chez vous
J’ai besoin de ton aide !


Les piratages de messagerie se multiplient. Les pirates s'emparent du mot de passe, usurpent l'identité du titulaire et envoient de faux mails aux "contacts" pour leur soutirer de l'argent.

Revenons sur le cas d’une collaboratrice du Crédit Agricole Pyrénées Gascogne qui a retrouvé dans sa messagerie un mail énigmatique de l’une de ses clientes :

« Bonjour, Comment vas-tu ? Bien j'espère.
De mon côté, quelques pépins liés à des soucis de santé.
Aurais-tu du temps à me consacrer par mail ? Car j'ai une faveur à te solliciter dans l'immédiat.
PS : Je suis temporairement injoignable par tél.
Sophie »

Alertée par le caractère urgent mais étonnée par le tutoiement inhabituel dans leurs échanges, notre collègue a contacté par téléphone la cliente qui bien évidemment n’était pas à l’origine de cet envoi. Sa messagerie avait été piratée et tous les contacts de son carnet d’adresse avaient été destinataires de ce message.

L’intérêt pour les malfaiteurs ? En cas de réponse, les pirates se faisant passer pour un ami en détresse demandent toujours de l’argent via des mandats-cash.

Que faire ?

Si vous recevez ce type de mails dans votre boîte électronique, supprimez-les immédiatement. Si le nom est celui de l’un de vos proches mais le message est semblable au mail cité plus haut, contactez-le par téléphone pour vous assurer qu’il ne s’agit pas d’une arnaque.

utilisation des données personnelles

Le sujet du mois Le RGPD


Le 25 mai prochain, le Règlement Général pour la Protection des Données (RGPD) entrera en vigueur. D’une façon générale, il fournira aux internautes un nouveau cadre pour protéger leur vie privée.

Au cœur du texte, l’internaute

Selon la définition classique, un internaute est un utilisateur du réseau internet. Il désigne donc une personne qui utilise un navigateur web pour visiter des sites web et, par extension, toute personne employant une application informatique permettant d'obtenir sur internet des informations, ou de l'interactivité avec d'autres personnes : courrier électronique, chat, transfert de fichiers par FTP ou peer to peer, forums de discussions sur Usenet, etc.

Un internaute en d’autres termes...c’est vous !

C’est pourquoi le RGPD vous concerne, et plus précisément l’empreinte numérique que vous laissez sur la toile : vos données à caractère personnel.

Les données personnelles :

Ce terme englobe l’ensemble des informations qui permettent d’identifier un individu en fonction de critères établis. Ce sont des données qui concernent personnellement les utilisateurs de manière directe ou indirecte ; elles peuvent être de nature très différentes : adresse email, numéro de téléphone, adresse postale, photographie, numéro de sécurité sociale, numéro client...

En résumé : toutes les informations que nous sommes amenés à saisir quotidiennement au travers de tous nos appareils (ordinateurs, Smartphones, tablettes et objet connectés...).

Ces données représentent pour tous les grands acteurs de l’internet un véritable enjeu économique de développement. L’analyse et la collecte de ces précieuses informations sont devenues leur objectif N°1. Ces dernières sont ainsi traitées et classées pour être ensuite utilisées voire vendues.

Nous sommes désormais ultra-connectés, à tel point que nous oublions parfois combien nous pouvons être amenés à communiquer d’informations personnelles et confidentielles sur le web. Ce sont précisément ces données qui seront encadrées et protégées par ce nouveau texte.

Quel est son objectif et son contenu ?

Ce règlement, dont le texte a été adopté en avril 2016, vise principalement à protéger les données à caractère personnel de tout citoyen au sein des 28 états membres de l’Europe.

Il doit en effet cadrer la collecte de ces informations, leur traitement mais surtout leur utilisation. Des principes de protection sont établis et en conséquence, toutes les entreprises devront se plier aux règles de bonne conduite précisées par le règlement. Elles devront se mettre en conformité afin que lorsque un internaute navigue sur leurs sites ou utilise leurs applications, les données collectées soient protégées. Ces données ne pourront plus faire l’objet d’un commerce visant par exemple à être revendues pour vous cibler comme prospect.

En outre, le RGPD concerne toutes les entités dès lors qu’elles détiennent des données, y compris celles qui n'ont pas d'activité sur internet. En effet, un fichier client d’une PME ou bien la liste des salariés d'une société sont considérés comme des fichiers de données personnelles même si elles n’ont pas d’exposition sur la toile.

Que va-t-il changer pour les citoyens européens ?

Le droit à l’oubli est une nouveauté instaurée par ce règlement, sur simple demande formulée par l’utilisateur une entreprise devra mettre tout en œuvre pour effacer les données le concernant.

D’autres nouveaux droits font également leur apparition. En premier lieu la portabilité des données d’un service internet à un autre devra être effective et facilitée. Ceci afin que chaque citoyen européen puisse transférer ses informations d’une entreprise ou d’un service à un concurrent de façon aisée. Comme nous l’avons vu plus haut l’encadrement des mineurs est aussi au centre des prérogatives du RGPD, il définit ainsi une « Majorité Numérique » fixée à 15 ans, âge à compter duquel un enfant mineur peut s’inscrire seul sur les réseaux sociaux et consentir à l’utilisation de ses données personnelles (en deçà l’autorisation des parents est obligatoire).

Pour les entreprises ?

La première des étapes pour chaque entreprise est bien évidemment de connaître le périmètre des données traitées qui leurs sont confiées. Il est impératif de répertorier tous les fichiers contenant des données personnelles. Les entités doivent aussi s’interroger sur la nécessité de les conserver mais aussi s’assurer de leur validité au regard de leur conservation (recueil du consentement des utilisateurs).

Ensuite il va être nécessaire d’effectuer un travail informatique pour permettre la mise en place des outils pour pouvoir exercer les nouveaux droits à la portabilité et à l'oubli. Les sociétés devront créer et tenir un registre des traitements de données personnelles dans lequel elles définiront le bien fondé et l’usage de chaque collecte de données en y associant le nom d'un responsable.

Les entreprises et les administrations qui utilisent des données à caractère personnel devront recourir également aux services d'un data protection officer (DPO), obligatoire pour les grandes entreprises technologiques, et vivement recommandé pour les autres. Ce délégué à la protection des données personnelles permettra de fluidifier les relations entre l'entreprise et le régulateur.

Enfin, pour chaque processus de traitement des données, elles devront mener une étude d'impact pour s'assurer qu'elles mesurent bien les risques vis-à-vis de la vie privée des citoyens européens concernés. Les mesures et protections, notamment en matière de cybersécurité des données personnelles, devront être clairement définies et mises en place.

Les moyens d’action : des sanctions renforcées

Le bras armé du RGPD réside principalement dans le fait que des amendes pourront être infligées. Les sanctions évoquées sont particulièrement sévères et d'un montant très élevé. Jusqu'ici limitée à 3 millions d'euros en France, l'amende pour non-respect du RGPD peut grimper jusqu'à 3 à 4% du montant du chiffre d’affaires pour une entreprise à envergure mondiale, soit plusieurs centaines de millions d’euros pour certaines des entreprises contrevenantes.

Des notifications en cas de fuite de données

les entreprises et les organismes sont tenus de notifier dès que possible l'autorité nationale de protection (en France : l'Anssi - Agence Nationale de la Sécurité des Systèmes d'Information) en cas de violations graves de données afin que les utilisateurs puissent prendre des mesures appropriées (article 33 du règlement). Cette information pourra en outre générer pour ces entreprises un risque de réputation entraînant également des répercussions sur leurs résultats.

Les entreprises prennent le risque en cas de pertes ou de divulgations de données personnelles à devoir affronter des actions de groupe qui pourront être initiées par des citoyens européens et qui ne manqueront pas d’apparaître dans les mois à venir.

utilisation des données personnelles

Édition #4 (Juillet 2018)

Edito


La période estivale est enfin là, nous allons pouvoir souffler et nous reposer lors de vacances bien méritées. Pour autant il n’est pas rare que, durant ces périodes de congés, notre vigilance baisse et que nous soyons plus enclins à baisser notre garde.

C’est pourquoi nous avons décidé de vous accompagner encore cet été en vous donnant quelques clés pour comprendre certains risques qui se glissent dans nos usages quotidiens de l’informatique.

Vous trouverez au fil de nos articles une revue de détails sur quelques pièges à éviter en cette période de vacances.

Bonne lecture,

Photo Vincent de Bellefon

Vincent de BELLEFON
Directeur Informatique, Organisation & Logistique

Bonne pratique
"Les réseaux Wi-Fi Publics"


Votre réseau Wi-Fi privé est en général sécurisé et permet des échanges de données cryptées. Ce n’est pas le cas sur un réseau Wi-Fi public qui est ouvert à toute personne après une simple authentification. Durant cette période estivale propice aux déplacements il est bon de rappeler quelques règles simples : En vacances et en manque de connexion Internet, il n’est pas rare que vous décidiez d'utiliser un réseau Wi-Fi public pour vérifier vos mails et consulter les réseaux sociaux.

Attention, ces connexions peu sécurisées peuvent être dangereuses.

À peine arrivé dans un lieu public (à l'hôtel ou au restaurant), lorsque vous faites défiler les réseaux Wi-Fi disponibles la tentation est grande de vous connecter à celui qui n'affiche pas de cadenas (ce que l’on appelle un "réseau ouvert").

Le problème, c’est que ce dernier n'est pas du tout sécurisé.

C’est un sport prisé par les hackers dans les lieux publics : ils créent un réseau avec un nom approchant à celui du lieu dans lequel se trouvent les utilisateurs mal avisés. En effet, le nom d’un réseau est facile à créer, il est impératif de bien s’assurer de l’origine du réseau Wi-Fi gratuit sur lequel vous vous connectez. Il ne faut en aucun cas sélectionner au hasard ce dernier car vous risqueriez de tomber sur un pirate qui en profitera pour récupérer toutes les données personnelles que vous envoyez sur Internet : e-mails importants, données de carte bancaire, voire données d'identification permettant d'accéder à votre réseau d'entreprise. Une fois que les pirates disposent de ces renseignements, ils peuvent, à leur gré, accéder à vos systèmes en votre nom. Autre pratique utilisée par les pirates, se placer entre vous et le hotspot Wi-Fi. Par ce biais au lieu de communiquer en direct avec le point de connexion, toutes les informations passent par les pirates qui les relaient ensuite au point d’accès (en conservant ces données pour les utiliser plus tard bien entendu).

Comment se protéger ?

La règle la plus simple est d’éviter les réseaux publics qui ne nécessitent pas de mot de passe. Dans un lieu public comme un hôtel ou un restaurant, n’hésitez pas à demander systématiquement le nom du réseau Wi-Fi mis à disposition ainsi que le code associé pour vous assurer que vous êtes sur le bon réseau. Les autres réseaux ne renvoyant pas vers un site Internet au nom de l’établissement ou ceux ne demandant pas de code ne sont à fuir.

Une autre solution consiste à utiliser un Virtual Private Network, ou VPN, qui se charge de crypter les données que vous échangez.

Les réseaux Wi-Fi Publics

Indicateurs Sécurité


securite
  • 5 000 postes sont actuellement à pourvoir dans le domaine de la cybersécurité.
  • +100 millions d’augmentation du nombre d’utilisateurs des réseaux sociaux depuis le 1er janvier.
  • 42 % des internautes français ont été victimes d'un comportement cybercriminel l'an passé.
  • 71% des attaques en entreprises sont initiées par des faux emails (Phishing).

Evénements


Evenements
  • 07-12 juillet – Strasbourg – Rencontres Mondiales du Logiciel Libre
  • 6 août – Bordeaux – STHACK – Rencontres sur la Sécurité Informatique
  • 21-22 août – Paris – Conférence Internationale « Intelligence Artificielle et IoT »
  • 4 octobre – Pays Basque – 3ème Café de la CyberSécurité

C’est arrivé ailleurs
"Netflix"


Pas moins de 110 millions de clients de la plateforme de streaming Netflix ont été ciblés aux mois de septembre et novembre derniers par une campagne de piratage d’envergure. Ce piratage a pris la forme d’un phishing (Les phishing sont des « cyber-arnaques » ou « cyber-escroqueries » par email) qui consiste à faire croire à l’internaute qu’il s’adresse à un tiers de confiance.

Ce mail, adressé à des millions d’utilisateurs du célèbre service de streaming était envoyé depuis l’adresse supportnetflix@checkinformation.com et reprenait soigneusement les codes et la charte graphique du géant américain du streaming.

Celui-ci indiquait à l’utilisateur que son compte avait été suspendu en raison d’un problème dans le paiement de sa dernière facture. La victime était alors invitée à fournir les renseignements de sa carte de crédit pour régler le problème.

Le bénéfice était double pour les pirates : la revente des codes d’identification de l’utilisateur et bien évidemment l’utilisation frauduleuse des données bancaires ainsi récupérées.

Netflix s’est expliqué au site Mashable, déclarant : “Nous prenons la sécurité des comptes de nos abonnés très au sérieux, et nous employons de nombreuses mesures proactives pour détecter ce genre d’activité frauduleuse. Malheureusement, les arnaques sont courantes sur internet et elles ciblent principalement des marques célèbres comme Netflix et leur large base de client afin de leur soutirer des informations personnelles”.

utilisation des données personnelles

Notre conseil

Comme toujours, il est conseillé de vérifier l’adresse mail de l’expéditeur avant de cliquer sur tout lien ou pièce jointe dans un email. De même avant de saisir des informations personnelles (identifiants, coordonnées bancaires…), veillez à ce que le site soit sécurisé, c’est-à-dire qu’un cadenas apparaisse dans le navigateur et que l’adresse du site commence par HTTPS au lieu de HTTP.

Ça n’arrive pas qu’aux autres
"L’Arnaque au président"


Il s’agit d’une arnaque qui peut s’élever à plusieurs centaines de milliers d’euros. L’arnaque aux Faux Ordres de Virements (ou FOVI ou plus communément "Arnaque au président") est une escroquerie très élaborée que nous allons illustrer au travers du cas de cette société d’emballage des Alpes–Maritimes.

En tout début d’été 2017, la comptable de cette société reçoit un mail émanant semble-t-il du directeur de l'entreprise, récemment parti en congés, lui demandant si l’avocat d'un groupe "consultant" avait déjà pris contact avec elle. Sous-entendant que si ce n’était pas le cas, la prise de contact allait être imminente, le message l’enjoignait à la plus grande discrétion sur l’entretien qu’elle aurait avec cet avocat.

Deux jours après, l’avocat prétendant appartenir à un cabinet d’audit bien connu téléphone à l'employée et lui explique qu'une discrète OPA (offre publique d’achat) est en cours pour prendre le contrôle d’une entreprise rivale. Elle doit donc réaliser au plus vite un virement de 253 458 € sur un compte bancaire domicilié à l’étranger. Il s'en suit un échange de mails confirmés par le prétendu directeur (toujours en vacances), à la suite desquels l'ordre de virement est signé et les fonds sont virés.

Une fois la pression retombée et l’opération réalisée, la comptable reprend un peu de recul sur cette opération... craignant d'avoir été abusée, elle parvient à joindre son directeur et lui expose les faits. Ce dernier n’était bien entendu pas à l’origine de la requête et n’était pas du tout au courant de cette manipulation (son adresse mail privée avait été piratée).

Bilan : Même si la banque prévenue suffisamment tôt a pu bloquer une partie des fonds, cette société a subi un préjudice très important qui aurait pu lui faire déposer le bilan s’ils avaient pu continuer à solliciter les virements nécessaires à l’OPA.

Comment flairer l’arnaque ? :

Deux éléments devraient vous mettre la puce à l’oreille : la situation d’urgence, il faut prendre rapidement une décision sans pouvoir bénéficier d’un temps de réflexion, et le mode de contact utilisé où le donneur d’ordre est toujours absent (en congés, en déplacement à l’étranger...)

En chiffres :

640 millions d’euros, c’est le préjudice cumulé des faux ordres de virements internationaux pour les entreprises françaises ou implantées en France en l’espace de sept ans.

Arnaque au président

C’est arrivé près de chez vous
"Vous avez été tiré au sort ! "


Un de nos clients des Hautes-Pyrénées a reçu il y a quelques jours l'excellente nouvelle que vous pouvez découvrir ci-dessous :

"Bonjour, Chère cliente, cher client, Nous vous informons que vous venez de remporter une somme très importante. Pour plus d'information consulter les pièces jointes. Pour la marche à suivre contacter Maître DAVID JAMES par émaiL Vous trouverez son adresse dans les fichiers. Bonne réception FRANÇAISE DES JEUX .N° de LOT: 9001-BNK-87 N°de Réf: 07/04/1990"

Son premier réflexe empreint de curiosité a été d'ouvrir la Pièce Jointe attachée à cet email prometteur, son action fut rapidement stoppée par un examen plus minutieux du contenu du document. Les caractères spéciaux et diverses fautes présentes l'ont conduit à se rapprocher de nos services pour solliciter un avis.

Il s’agissait bien entendu d’une arnaque, aucune somme ne pouvait être espérée...

Notre conseil :

Dans la plupart des cas ces mails ne sont que les prémisses d'une escroquerie qui se développera au gré de vos réponses. Il se peut en outre que la Pièce Jointe véhicule un fichier malicieux qui serait en mesure de bloquer votre ordinateur ou d'en dérober les données précieuses.

Vous avez été tiré au sort

Le sujet du mois Les crypto-monnaies


Eldorado pour les uns, elles se réduisent à une "escroquerie" voire à une "pure bulle, spéculative" pour les autres...

Retour sur le fonctionnement de ces nouveaux instruments financiers :

Le terme de crypto monnaie ou de monnaie virtuelle remonte à 1995, date son émergence, mais son exposition médiatique remonte à 2009 avec le Bitcoin, première devise basée sur la Blockchain. Depuis le phénomène est devenu mondial et plus de 1500 monnaies alternatives ont vu le jour.

Ce type de devise est totalement dématérialisé, il ne supporte aucun moyen de paiement conventionnel (ni pièce de monnaie, ni billet, ni chèque). Les détenteurs de ces monnaies virtuelles les conservent dans des portefeuilles (ou wallet) en ligne et les échangent comme des biens marchands sur des plateformes dédiées.

Par ailleurs, ces devises sont décentralisées, et ne dépendent d’aucune autorité, le réseau n’est en effet contrôlé par aucune institution. Le but est de permettre à tout le monde d’effectuer en toute sécurité des transactions monétaires sans intervention extérieure (banque, notaire etc…) selon le principe du pair à pair (Peer To Peer).

C’est la Blockchain

qui en rend possible la décentralisation, et en sécurise les transactions.

Son principe ? Chaque ordinateur possédant une copie de la Blockchain est appelé « nœud » du réseau. Dès qu’un nœud reçoit une transaction (ou plutôt, un bloc de transaction) il la relaie au nœud suivant, puis la valide et met à jour le registre ; d’où le terme de Blockchain (chaîne de blocs). Cette technologie, sans organe de contrôle, est comme un grand registre partagé par l’ensemble des ordinateurs, il est impossible de modifier une information sans le consentement de TOUS les ordinateurs.

Quels en sont les dangers ?

Un miroir aux alouettes ? : En à peine 10 ans d’existence, le cours du Bitcoin a été multiplié par 14 avec en 2017, une valorisation proche des 20.000 dollars. Le premier d’entre tous les dangers en est justement sa médiatisation qui en fait l’investissement en vogue et attire toutes sortes d’escrocs qui proposent d’investir sur de plateformes fictives. Nous pouvons en effet constater une hausse très nette de cas de faux investissements dans le Bitcoin, de fausses plateformes pour acheter des crypto-monnaies et autres fausses plateformes de trading en crypto-monnaies qui fleurissent un peu partout et font de nombreuses victimes.

La vigilance est de mise: Il existe comme nous l’avons vu un risque d’escroquerie mais même en cas de transaction réelle il subsiste un risque opérationnel : Il s’agit du vol des monnaies stockées, ou transférées entre portefeuilles voire converties en monnaies fiduciaires. Les épargnants sont une cible de choix pour les hackers ou les voleurs car en cas d’attaque, il n’existe aucun recours.

De même sur des plateformes légitimes il ne faut pas négliger le risque d’investissement : il s’agit du risque de perte en capital lié à la forte volatilité des crypto monnaies. Acheter de telles valeurs c’est spéculer en non pas investir. Un simple regard sur les évolutions des cours du Bitcoin, fortes variations, frénésie en décembre 2017 qui passe de 10000 dollars au double en moins de 3 semaines. En l’espace de quelques jours, il affichait une baisse de 40%. « Krach » ou « saine correction » ?

Il s’agit bien de capital à risque, en France, l’Autorité des Marchés Financiers (AMF) contraint les sociétés qui souhaitent en faire la publicité d’y apposer la mention suivante : « les performances passées ne préjugent pas des performances futures ». Elle a en outre publié le 15 mars dernier une liste noire (non exhaustive) de plateformes d’achat et de vente de crypto monnaies.

Enfin, le risque de régulation : Les lois qui encadrent ces monnaies numériques ne sont pas normalisées à l’échelle internationale. Les Etats-Unis par exemple, les autorisent mais avec un cadre règlementaire très strict là ou d’autres pays les ignorent. Il y a là des enjeux de captation de nouvelles taxes que les états ne vont certainement pas éluder dans un avenir très proche.

Voici quelques signaux d’alerte sur les plateformes d’échanges de ces crypto-monnaies :

  • L’absence de mentions légales sur le site.
  • Même en présence de mentions légales, soyez vigilant : beaucoup affirment avoir leur siège social à l’étranger ou indiquent des adresses en France qui, lorsqu’elles existent, ne sont que des boites postales.
  • Des coordonnées de banques que vous avez du mal à identifier.

Au moindre doute, prenez contact avec AMF Epargne Info Service au 01 53 45 62 00 ou Assurance Banque Epargne Info Service au 0 811 901 801.

En conclusion, que retenir des crypto monnaies ?

Nous sommes extrêmement vigilants sur ces nouvelles monnaies et nous déconseillons très fortement les investissements sur ce type de supports. Les raisons en sont simples : Dans l’écosystème des crypto monnaies, rien n’est sûr, sauf si vous aimez le risque et les sensations fortes. Même si vous stockez l’ensemble de vos avoirs numériques sur des plateformes dites de confiance, vous n’êtes pas pour autant à l’abri du vol. Enfin, il faut être en conformité avec les lois du pays dans lequel on réside. La France exige aux épargnants à dévoiler leur identité sur les plateformes d’achat, TRACFIN (organisme en charge de la lutte contre le blanchiment et le financement du terrorisme) propose une limitation de l’usage des monnaies virtuelles et une surveillance accrue des usages frauduleux ; l’anonymat des utilisateurs est dangereux pour la sécurité publique. Malwares, phishing, piratages informatiques, publicités mensongères ou fermetures de plateformes les risques liés à la crypto monnaie sont très nombreux.

Les crypto-monnaies

NOUS ALERTER SUR UNE SUSPICION DE FRAUDE

Contactez-nous

DECLARER LA PERTE OU LE VOL DE VOTRE CARTE BANCAIRE

De la France ou depuis l’étranger, 7j/7 et 24h/24, appelez immédiatement SOS CARTE du Crédit Agricole au 00 33 9 69 39 92 91

Plan du site | Mentions légales | Charte des données | Politique de protection des données | Etudes économiques & financières
© Crédit Agricole 2016