bancaires en ligne? Que font concrètement les établissements pour sécuriser leur banque en ligne? Est-ce suffisant?
|
|
- Victor Aubin
- il y a 8 ans
- Total affichages :
Transcription
1 n 35 La Lettre Sécurité Édito Solucom parmi les 1 er certifiés PASSI C est avec fierté que nous pouvons annoncer que nous faisons parti des premières sociétés certifiées «Prestataires d audits de sécurité des SI» en France! Sécurité des services bancaires en ligne : où en sommes nous? Cette reconnaissance est le fruit du travail mené depuis plusieurs années et valorisé dès 2008 par une certification ISO sur le développement de nos compétences, la qualité de nos missions d audits et nos tests d intrusion. La certification PASSI, dont le référentiel a été conçu par l ANSSI, est aujourd hui la seule sur le marché qui allie audit des sites du prestataire, suivi sur le terrain d une mission et vérifications de compétences des personnes à l écrit comme à l oral. Cette complétude est un vrai gage de qualité et de confiance pour nos clients. Nous poursuivons par ailleurs le développement de notre expertise technique pour accompagner nos clients dans toutes les problématiques de cybersécurité. Nous avons ainsi été retenus et interviendrons pour la première fois lors de la BlackHat Europe sur le thème des tests d intrusion sur des automates industriels. Nous présenterons nos méthodologies et outils conçus spécifiquement pour tester la sécurité de ces éléments clés des SI industriels. Nous espérons vous y retrouver! Gérôme Billois, Senior manager au sein de la practice Risk management & sécurité de l information Réaliser un virement, commander un chéquier ou consulter son relevé de banque sont aujourd hui autant d opérations sensibles réalisées facilement via son ordinateur ou son smartphone. Ces services, plébiscités par les utilisateurs, sont autant d opportunités de fraude pour les pirates informatiques. La sécurisation de ces plateformes représente ainsi un triple enjeu pour les banques. Tout d abord un enjeu financier direct, lié au préjudice que pourraient subir les clients et leur éventuel dédommagement. Enjeu d image ensuite, les banques devant rassurer sur leur capacité à protéger leurs clients. Enfin, un enjeu de conformité aux directives émises par les organismes régulateurs tels que la Banque de France et la Banque Centrale Européenne. Que font concrètement les établissements pour sécuriser leur banque en ligne? Est-ce suffisant? La sécurité, intégrée by design aux services bancaires en ligne? Sécuriser l accès au service, premier impératif La grande majorité des banques françaises requiert la saisie d un mot de passe composé de quatre à six chiffres, via un clavier virtuel. Un nombre plus limité de banques ne propose pas de clavier virtuel mais un champ «classique» de saisie de mot de passe. Chacune des deux solutions présente ses propres forces. Le champ «classique» présente l avantage de pouvoir imposer une politique de mot de passe plus complexe (majuscules, minuscules, chiffres, etc.) qu une simple succession de chiffres, rendant ainsi le mot de passe plus difficile à deviner. Autre argument en faveur du champ «classique», une personne située à proximité du client a plus de difficultés à identifier les caractères saisis sur un clavier physique que ceux cliqués sur un écran, plus visible. Le clavier virtuel, quant à lui, est protégé des logiciels malveillants (malwares) les plus basiques de type keylogger 1. Lorsqu il est correctement implémenté, il permet également de complexifier la saisie automatisée du mot de passe et ainsi limiter les usurpations d identités «opportunistes». Quelques rares banques françaises ont décidé de mettre en place une authentification nonrejouable pour contrôler l accès à leurs services. Ainsi, en complément de l identifiant et du mot de passe, il est nécessaire de saisir un code à usage unique (OTP pour One Time Password) fourni par la banque via SMS, matériel dédié ou encore application smartphone. Les autres banques ont décidé de n utiliser ces mécanismes d authentification non-rejouable que pour la réalisation d opérations sensibles. Suite en page 2 DÉCRYPTAGES P4 La captive d assurance, nouvel outil pour le risk manager P7 Lutte anti-ddos : la technique ne suffit pas, organisons-nous!
2 Dossier Des opérations «sensibles» sous surveillance La Banque de France a émis en 2009 des recommandations en matière de protection des opérations en ligne, avec un accent fort sur les opérations sensibles : «sont considérées en premier lieu comme opérations sensibles toutes les opérations permettant d effectuer directement ou indirectement un transfert de fonds sortant, entraînant l appauvrissement du compte client». (La surveillance des moyens de paiement et des systèmes d échange - Banque de France, 2009). Pour la Banque de France, la mise en œuvre d une authentification non-rejouable (ANR) est indispensable pour protéger l exécution d opérations sensibles, notamment les opérations de virement, mais aussi la commande de moyens de paiement, la mise à jour des données du client et l émission de chèques dématérialisés. Dans les faits, seul l ajout de bénéficiaire est considéré comme une opération sensible par l ensemble des banques françaises. A l heure actuelle, la solution la plus répandue pour la validation des opérations sensibles par les particuliers est l OTP SMS. Ainsi, à chaque demande d opération sensible, le client reçoit un SMS contenant un code unique qu il saisit sur la banque en ligne pour valider l opération. D autres solutions sont utilisées, mais de manière minoritaire, comme la carte TAN (grille papier contenant un nombre fini de codes à usage unique) ou le lecteur CAP-EMV (lecteur de carte bancaire muni d un écran et d un clavier). Plus récemment de nombreux projets de validation «Out of Band» ont été initiés. Cette solution vise à dissocier les canaux d initialisation et de validation des opérations, par exemple via l utilisation d une application mobile complémentaire au site internet. Il est à noter que pour les entreprises, la solution adoptée par la grande majorité des acteurs est le certificat (logiciel ou matériel), qui offre également des fonctionnalités de signature et garantit ainsi la non-répudiation des opérations. Des cybercriminels qui s adaptent Le mouvement de sécurisation des services bancaires a vu les cybercriminels s adapter. Plusieurs moyens simples permettent aux attaquants de voler les identifiants et mots de passe : messages de phishing menant les victimes sur de fausses mires d authentification aux couleurs de la banque, déploiement de keyloggers / formgrabbers 1, interceptions des flux de communication, etc. Toutefois, depuis que la réalisation d opérations sensibles est protégée par une ANR, la connaissance des identifiants et mots de passe n est plus suffisante pour appauvrir le compte des clients. Il en est de même pour les malwares les plus basiques, qui sont incapables de contourner ces mécanismes. Aussi, ces dernières années ont vu se développer des malwares de type Man-In-The- Browser (MITB) dédiés aux banques en ligne. Lors des navigations Web, ils modifient les pages affichées à leur victime et en parallèle initient des requêtes en leur nom. Les malwares MITB sont particulièrement adaptés au contournement des authentifications par mot de passe unique. Plus récemment, la tendance est au déploiement de malwares sur smartphone, notamment afin de détourner les OTP SMS émis par la banque. Au-delà des impacts financiers pour le client, les attaques par malwares entachent également la réputation des banques attaquées, dès lors jugées incapables de garantir la sécurité de leurs clients. Pour autant, de quels autres moyens disposent les plateformes de banque en ligne pour élever leur niveau de sécurité? Détection et réaction: le nerf de la guerre Mécanisme de protection: la ligne Maginot des banques en ligne Si l on décide de voir le verre à moitié plein, il est intéressant de noter que chaque nouvelle attaque met en évidence des lacunes dans les mécanismes de protection en place, contribuant ainsi à l amélioration continue du niveau de sécurité. Ainsi, au-delà de la protection des opérations sensibles par ANR, plusieurs autres mesures de protection sont adoptées par les banques de la place : masquage partiel des numéros de téléphone et adresses mail (pour éviter leur récupération par les attaquants), interdiction de virements vers des bénéficiaires frauduleux («listes noires d IBAN»), mise en place de plafonds sur les virements, ajout d un délai d activation du bénéficiaire, etc. Toutefois, les banques qui concentrent leurs efforts sur les seuls mécanismes de protection se retrouvent dans des situations difficiles à gérer lorsqu elles sont victimes d un type d attaque non anticipé. Quelles décisions prendre et avec quels interlocuteurs? Quelle communication vis-à-vis des clients fraudés et non-fraudés? Comment revenir à une situation «protégée» tout en maintenant le service offert aux clients? Ce flottement donne généralement quelques jours aux pirates pour mener à bien leurs attaques, tandis que le passage en gestion de crise paralyse fortement les activités de la banque. L amélioration continue des mécanismes de protection permet de se prémunir des attaques connues et d anticiper les plus prédictibles. En parallèle, il est crucial d accepter les contournements à venir, de se donner les moyens de les détecter et de réagir rapidement le moment venu. Ce constat est d ailleurs appuyé par la Banque Centrale Européenne, via ses «Recommandations pour la sécurité des paiements sur internet» publiées en janvier 2013, pour application dès le 1er février Au-delà des bonnes pratiques sur les processus de sécurité (politiques, analyses de risques, etc.) et des aspects relatifs à 1-Logiciel ou matériel malveillant capturant les frappes du clavier, pour récupération par l attaquant 2-Logiciel malveillant en capacité de collecter les éléments saisis au sein d un navigateur 2 La Lettre Sécurité N 35 octobre 2014
3 la robustesse des accès banque en ligne (authentification forte, protection des sessions, etc.) déjà globalement maîtrisés, l accent est en effet mis sur la surveillance, la détection et le blocage des transactions frauduleuses ainsi que sur les dispositifs d alerte à destination des clients. Le client au cœur du dispositif de détection de fraude Trois vecteurs principaux de détection sont à disposition des banques : le client fraudé lui-même, la présence d indicateurs de compromission à son niveau et l analyse de son comportement. Le client fraudé identifie la fraude avec certitude après consultation de l état de ses comptes. Mais il peut également identifier les tentatives de fraudes et noter des comportements anormaux du site (temps de chargement longs, pages inhabituelles, demandes inopportunes de validation, etc.). La priorité pour les banques est donc de faciliter la remontée d information par les clients. Dans la mesure où l interlocuteur principal des clients est leur conseiller, une solution efficace consiste en la formation des conseillers et téléconseillers à la fraude : scénarios classiques, questions à poser pour affiner le diagnostic, réponses à apporter, etc. L escalade vers des téléconseillers dédiés à la gestion des fraudes peut notamment faire partie du processus. La présence d indicateurs de compromission caractérise l infection d un client par un malware et met ainsi en évidence la nécessité de mettre sous surveillance ses activités. En fonction du malware, les critères analysés peuvent être les suivants : IBAN utilisés pour les virements, méthodes JavaScript invoquées par le client lors de la visite du site, etc. De nombreux éditeurs proposent des solutions de détection, parfois dédiées au secteur bancaire. Elles prennent la forme soit d un logiciel à installer sur le poste du client, soit d un composant à installer sur l infrastructure de la banque en ligne. Ces solutions sont toutefois souvent peu utilisées par les clients car complexes à installer et à maintenir. L analyse comportementale du client permet, sur la base d indicateurs techniques et métiers, d identifier les actions inhabituelles, et donc suspectes, de chaque client. Les critères suivants peuvent notamment être pris en compte : lieux et horaires de connexion, fréquence et montant des opérations, bénéficiaires habituels (pays, IBAN, etc.), présence d un même bénéficiaire étranger pour plusieurs clients, etc. Généralement basée sur un système de notation de la transaction, les solutions existantes facilitent le travail des équipes internes en leur permettant de concentrer leurs analyses sur les transactions suspectes uniquement. Ces solutions sont plus largement répandues mais peuvent encore beaucoup progresser. Réaction : un enjeu fort, une maturité hétérogène Comment réagir une fois les premiers diagnostics techniques menés si la détection n est pas réalisée par le client lui-même? La levée de doute doit nécessairement être effectuée auprès du client. Aussi, afin d établir un contact avec le client qui soit à la fois rapide et en phase avec la politique de l agence concernée, la solution la plus répandue est d informer le conseiller pour qu il assure un premier traitement. L existence et la diffusion de procédures simplifiées à destination des conseillers est également un accélérateur efficace du traitement. Ces procédures indiquent les réflexes à adopter (questions à poser et conseils à donner au client) en fonction de la nature de la suspicion : changement de mot de passe, désinfection du poste, acceptation d une intervention, etc. En complément, les fonctionnalités ciblées par la fraude en cours doivent pouvoir être désactivées client par client, par exemple sur action du conseiller concerné. Cette possibilité évite de réduire les fonctionnalités offertes à l ensemble des clients alors que seul un nombre réduit est infecté. Afin d éviter les sur-sollicitations et d être plus efficace en cas d incident avéré notamment, les alertes à destination des conseillers clientèle doivent rester exceptionnelles et être à ce titre préfiltrées par des dispositifs techniques ou organisationnels. Enfin, au-delà de l efficacité de la réaction en mode nominal, il est également crucial de réussir sa gestion de crise : critères d entrée, partage des processus par les interlocuteurs, canaux de communication, traitement opérationnel et communication. Toutes ces opérations nécessitent une refonte souvent en profondeur des outils de gestion de la banque en ligne et des processus de relation clients. Plusieurs grandes banques sont en train de réaliser leurs mues vers la «banque en ligne sécurisée 2.0» mais les efforts doivent être maintenus dans la durée. Vers une sécurité de bout en bout des opérations financières 58% des Français attendent des améliorations sur la sécurité de la part de leur banque. Bien que sensibilisés au sujet, les acteurs bancaires doivent encore accentuer leurs efforts. De nombreux défis restent à relever, notamment sur l identification de nouveaux mécanismes d authentification qui doivent combiner résistance aux attaques sophistiquées, compatibilité avec les situations de mobilité et facilité d utilisation. Au-delà de cette seule protection, les volets détection et réaction sont le véritable enjeu. On peut s attendre dans les prochains mois à une uniformisation vers le haut tant dans l outillage que les processus internes de gestion des fraudes. Seule une imbrication poussée des filières cybersécurité et métier permettra de relever ces défis et de garantir ainsi une sécurité de bout en bout des opérations financières. Ce constat est également vrai pour les autres secteurs d activité. Ce paradigme, construit par les banques et autorités au fil du temps et au gré des nécessités, mérite donc toute leur attention sous peine de subir des attaques aux impacts dévastateurs. Etienne Capgras, consultant senior etienne.capgras@solucom.fr octobre 2014 La Lettre Sécurité N 35 3
4 Dossier Décryptage La captive d assurance: un nouvel outil au service du risk manager Pauline Rouaud, consultante pauline.rouaud@solucom.fr Les captives d assurance ont longtemps eu mauvaise presse : outil d optimisation fiscale, concurrent déloyal de l assureur. Pourtant, dans un contexte d encadrement du marché et de développement massif de méthodes alternatives de financement du risque, les captives pourraient se racheter une réputation et, dans le même temps, devenir un outil privilégié du risk management et ne plus être un simple outil d optimisation fiscale! Qu est-ce qui explique ce revirement de situation? La réglementation Solvabilité 2 semble être passée par là. Un outil bien implémenté en France Une captive est un montage juridique et financier orchestré par une société industrielle ou commerciale voulant se doter de sa propre compagnie d assurance, sans que cela ne relève de son activité principale. La captive facture, tout comme un assureur classique, des primes à la maison mère et couvre en contrepartie leurs sinistres. Si l assureur reste l acteur principal du financement du risque, un grand nombre d entreprises se tournent vers cette solution. Accor, Danone, Total, Carrefour, Alstom et bien d autres ont succombé à la tendance! En 2010, on comptait 5200 captives, contre 1000 en Un outil traditionnellement aux mains du directeur financier Le directeur financier a rapidement vu en la captive d assurance une source de revenus supplémentaires, et ce à plusieurs égards. En accédant directement au marché de la réassurance, l entreprise optimise sa gestion des coûts. Moins vulnérable aux fluctuations du marché, elle peut faire rapidement varier la voilure de sa captive en fonction de la dynamique du marché et donc de ses intérêts. Le mécanisme lui permet également, dans une moindre mesure, d économiser les frais d intermédiation. Elle permet parallèlement à l entreprise d améliorer sa rentabilité : via le mécanisme de consolidation, sa comptabilité bénéficie des résultats financiers de la captive. En outre, les profits et les fonds accumulés par la captive peuvent aisément bénéficier à la maison mère : indemnisation des sinistres, distribution de dividendes, liquidation ou vente de la captive. Souvent la vision du directeur financier a été privilégiée, en témoigne la domiciliation de la plupart des captives qui relève clairement de l optimisation fiscale : plus de 30% d entre elles sont domiciliées aux Bermudes. Un outil au coeur de la gestion des risques Entrée en vigueur en janvier 2013, la règlementation Solvabilité 2 a pour objectif affiché de garantir les intérêts des assurés face aux assureurs. L assuré et l assureur se confondant dans le cas des captives, il n était pas évident que la réglementation s applique à elles. Elle n est pourtant pas dénuée d effet : comme le montre Laure Léger, elle participe à une augmentation générale des coûts des captives via l augmentation de l exigence de capital (pilier 1) et la hausse des coûts de gestion (pilier 2). Enfin, au nom de la transparence (pilier 3), la directive oblige les captives à communiquer des informations jusqu à présent classifiées comme confidentielles. Face à ces nouvelles contraintes, le directeur financier verra en Solvabilité 2 une incitation supplémentaire à domicilier sa captive dans un pays à fiscalité privilégiée et le risk manager une opportunité pour sortir son épingle du jeu et se réapproprier le concept de captive! On l oublie souvent mais la mise en place d une captive a pour objectif initial de répondre à des problématiques de risk management en couvrant les risques non pris en charge par le marché des assurances. Aussi, les risques dits non assurables trouvent enfin leurs assureurs. Si «catastrophe naturelle» sont souvent les seuls et uniques mots qui nous viennent à l esprit lorsqu on veut accoler l adjectif «non assurable» à un risque, leur nombre est susceptible d augmenter et ce pour deux raisons. Tout d abord parce que de nouveaux risques, à l image de la cybercriminalité, apparaissent et ne sont pas, aujourd hui encore, couverts de façon satisfaisante par les acteurs traditionnels du marché. Ensuite parce que les assureurs, du fait de la hausse du coût du capital induite par Solvabilité 2, risquent de cesser de couvrir certains dommages qui ne seraient plus aussi rentables et participeraient indirectement à agrandir le champ d action d un de leurs concurrents, la captive! Solvabilité 2 participe certes, on l a vu, à une augmentation du coût du capital d une captive mais incite également et indirectement les entreprises à améliorer l amortissement d un tel investissement. Pour ce faire, elles n ont pas d autres choix que de renforcer leurs stratégies de contrôle des risques. Elles doivent parallèlement optimiser leurs programmes d assurances. Pour ce faire, elles disposent de deux leviers : une meilleure gestion des rétentions qu elles doivent financer (part du risque à la charge de l assuré) et la création des polices d assurance adaptées à ses besoins et à ses contraintes financières également. En définitive, deux vents contraires semblent jouer en faveur des captives d assurance. En effet, si le contexte réglementaire actuel semble être défavorable aux captives, il participe également à leur légitimation : elles doivent faire face aux mêmes contraintes que leur grand frère, l assureur traditionnel. Dans le même temps, la frilosité des assureurs à prendre en charge les nouveaux risques pousse les entreprises à mettre en place leurs assurances home made. Au regard du contexte actuel, il est donc de la responsabilité du risk manager de s associer avec son confrère, le directeur financier, afin de donner les moyens à sa captive de jouer pleinement et simultanément sur le volet fiscalité mais aussi sur celui de la gestion de crise. De cette façon, il gagnera en efficacité mais aussi en visibilité au sein de la direction générale. 4 La Lettre Sécurité N 35 octobre 2014
5 Décryptage Continuité d activité : le repli croisé, pas si simple! Vincent Exposito, consultant senior vincent.exposito@solucom.fr En cas de crise ou de sinistre majeur rendant un bâtiment indisponible, le plan de continuité d activité (PCA) permet d assurer le maintien des activités vitales d une organisation. Il s appuie pour cela sur différentes solutions, notamment le repli de collaborateurs : sur un site de repli dédié (propre à l organisation ou chez un prestataire), sur les autres sites de l organisation non touchés par le sinistre (repli croisé), ou encore en recourant au travail à distance (par exemple depuis le domicile des employés). Le repli croisé est défini comme le repli de collaborateurs d un site sinistré sur un ou plusieurs autres sites de l organisation. Généralement les sites sont «appairés» entre eux d où la notion de repli «croisé». Il s appuie le plus souvent sur la réquisition de salles de réunion, de salle de formation ou de bureaux. Cette stratégie intéresse vivement les organisations, dans une optique de valorisation de son patrimoine immobilier et de maîtrise des coûts du PCA. En effet, la souscription à une position de secours chez un prestataire spécialisé peut paraître en comparaison onéreuse : de quelques centaines d euros par an pour une position dite mutualisée à une dizaine de milliers d euros par an pour une position dédiée. Si les avantages de coût, bien qu indéniables, méritent d être discutés, la complexité et les contraintes (organisationnelles et techniques) de construction et de maintien en conditions opérationnelles du repli croisé sont souvent sous-estimées et doivent être étudiées. Comment concevoir son repli de manière efficace? Quels sont les facteurs clés de succès? Afin d anticiper au mieux la préparation du repli croisé dans le cadre d une stratégie de continuité d activité, il convient de répondre à plusieurs problématiques et traiter le repli de bout en bout. Maîtriser le potentiel réel de repli en relation étroite avec les Moyens Généraux Avant qu une situation de crise ou de sinistre ne se produise, un référentiel des positions de repli sur l ensemble des sites de l organisation doit être constitué. Il s agit plus précisément de : Cartographier les salles de réunion des différents sites ainsi que leur capacité d accueil, et maintenir à jour cette cartographie. Un chantier d autant plus complexe lorsque les déménagements intra et inter sites ainsi que les réaffectations de locaux sont fréquents. Définir le taux de remplissage envisageable des salles, dans l esprit des règlementations applicables aux conditions de travail (luminosité, espace, etc.), bien que des conditions dégradées soient parfois envisageables. Opérationnaliser le repli croisé Il est ensuite nécessaire de s assurer que le site de repli peut accueillir une population productive. Cette opérationnalisation passe par des actions logistiques : Permettre l accès aux locaux en prévoyant des moyens ou des procédures d accès au site. Préparer la démultiplication des prises électriques en constituant notamment un stock de matériel, pour pallier à un nombre de raccordements en général limité. Pré-identifier des moyens alternatifs à la tenue de réunions (réservations d espaces collaboratifs chez des prestataires de proximité ou des hôtels par exemple), puisque les salles de réunion sont par principe réquisitionnées. L opérationnalisation s appuie également sur des actions portées par la filière informatique : Fournir des postes de travail de remplacement aux collaborateurs repliés. Pour assurer une réponse rapide, l augmentation du fond de roulement de postes de travail sur un site alternatif peut être une solution. En cas de crise, ces postes de travail seront réquisitionnés et délivrés aux premiers collaborateurs repliés. Pour ce faire, il est nécessaire de prévoir la définition d un master de secours embarquant le maximum de logiciels requis et déployable industriellement. Mais aussi la mise en place et le dimensionnement d une solution de masterisation rapide des postes de travail compatible avec le besoin de repli des collaborateurs. Démultiplier la capacité de raccordement au réseau. De la même manière que pour le raccordement électrique, il est nécessaire de fournir aux collaborateurs repliés une connexion au réseau. Cela passe par le dimensionnement des liens d interconnexions des sites, l anticipation du nombre de ports réseaux complémentaires et par la constitution d un stock de câbles réseaux et de switchs supplémentaires. Préparer les aspects techniques Le déclenchement du repli croisé va changer les conditions de travail des collaborateurs repliés et des collaborateurs du site d accueil. Il est donc indispensable de : Faciliter la vie sur le site d accueil, afin de minimiser l impact de changement de site pour les collaborateurs repliés! Prendre en compte les changements affectant les conditions de travail des employés «sinistrés». Le repli croisé induit des contraintes RH qu il convient d adresser. Communiquer sur les impacts du sinistre ainsi que sur l état d avancement de remise en service du site sinistré. Le métier de l organisation n est pas de faire du secours : porter le secours en interne nécessite des moyens dédiés et une organisation forte afin de garantir le caractère opérationnel et pérenne du PCA. Par conséquent, le repli croisé nécessite la mobilisation indispensable des Moyens Généraux et de la DSI, tant dans son élaboration que dans son maintien opérationnel dans le temps. octobre 2014 La Lettre Sécurité N 35 5
6 Décryptage Législation américaine sur les «data brokers» : une influence limitée sur la gouvernance des données personnelles? Raphaël Brun, consultant senior raphael.brun@solucom.fr En mai 2014, la Federal Trade Commission (FTC), l autorité de contrôle en charge de la protection des consommateurs américains, a publié un rapport présentant les sociétés spécialisées dans la revente de données personnelles d internautes : les data brokers. Ce rapport propose des recommandations au Congrès américain pour encadrer ces transactions. Quelles sont ces orientations? Sont-elles nouvelles ou dans la même ligne directrice que le projet de règlement européen? Une législation «permissive» aux États-Unis, une opportunité pour les data brokers Les data brokers sont des agences de courtage des données qui collectent des informations personnelles d internautes (noms, adresses, hobbies, données de santé, etc.) provenant de sources multiples (réseaux sociaux, administrations publiques, sources commerciales, etc.). Ces informations sont analysées et servent à la construction de profils et de catégories. Elles sont ensuite revendues sous la forme de produits à des fins, par exemple, de marketing, de recherche sur les personnes ou de lutte contre la fraude. On estime qu il existe 4000 data brokers aux États-Unis (Acxiom, Corelogic ), chacun pouvant détenir plusieurs centaines de milliards de données! Un marché qui ne cesse d augmenter, à l ère du Big Data et de l explosion des données en circulation. Un marché qui doit son essor au cadre législatif spécifique au continent américain. En effet, il n existe pas de loi générale aux États-Unis concernant les données à caractère personnel (DCP). L approche américaine se caractérise au contraire par des dispositifs spécifiques pour chaque secteur ou domaine. Par exemple, le Privacy Act pour le secteur public ou encore le Gramm-Leach-Bliley Act pour les institutions financières. Certains principes présents sont connus en Europe comme la garantie de sécurité des données collectées, la notification en cas de vol de données et la désignation d un responsable de traitement. Cependant dans ces législations, même au niveau fédéral, de nombreux principes comme la finalité de traitement, le droit à l information ou le droit à la rectification tels que nous les connaissons, sont absents. Avant les États-Unis, d autres pays ont légiféré avec difficulté De nombreux pays ont récemment tenté de légiférer dans ce sens, en s inspirant plus ou moins fortement des principes européens. C est le cas de Singapour (le Personal Data Protection Act est entré en vigueur le 2 juillet dernier), de l Inde (2013), du Brésil (2014), ainsi que de nombreux pays d Afrique comme le Maroc (2009), le Gabon (2011), le Mali (2012) ou le Kenya (2014). Tous ont connu des difficultés pour imposer des mesures contraignantes de respect des DCP et pour installer durablement une autorité de contrôle indépendante. Cette tendance montre cependant l intérêt croissant des pays dits «émergents» pour ce sujet qui n est plus uniquement une question européenne. L Europe est-elle en passe d imposer sa vision sur le traitement des DCP? Le sujet des données personnelles a pris une place de plus en plus importante en Europe et dans le monde au regard des différentes législations mises en place ces dernières années. Mais l événement majeur de ces derniers mois reste la promesse américaine de légiférer plus largement sur le sujet. Promesse qui s appuie sur des principes bien connus en Europe. En conséquence, un deuxième modèle concurrent de protection des DCP vient-il s ajouter au modèle européen ou l Europe est-elle en train de réussir à imposer sa vision sur les données personnelles face au modèle américain? Le paysage législatif mondial de demain est encore flou, mais pour autant les recommandations de la FTC sur les data brokers semblent plus s inscrire dans une optique européenne de protection que dans la logique permissive historique outre-atlantique. Rien ne semble encore joué, mais les orientations prises par cette législation sur les data brokers, les dernières négociations autour du Safe Harbor ou de l USA FREEDOM Act et les récentes condamnations de Google semblent montrer que la Vieille Europe est plutôt sur la bonne voie Article rédigé en collaboration avec Pierre- Alain Pocquet, consultant. 6 La Lettre Sécurité N 35 octobre 2014
7 Décryptage Lutte anti-ddos : la technique ne suffit pas, organisons-nous! Baptistin Buchet, consultant baptistin.buchet@solucom.fr Depuis quelques années, les attaques par déni de service distribué (Distributed Denial of Service) se sont démocratisées ; leur facilité d accès et d usage, leur efficacité prouvée et leur grande variété les propulsent aujourd hui en tête des tactiques de diversion et des moyens d atteinte à l image. Une aubaine pour les cyber-attaquants qui font progresser à la fois la durée et la force des attaques. Face à ce constat, les entreprises se sont interrogées sur les moyens de protection possibles. Le marché s est adapté. Aujourd hui, deux stratégies se dessinent, entre solutions historiques manuelles et solutions novatrices hybrides (Cloud et/ou on-premise). Une question se pose toutefois : la mise en œuvre d une telle solution de protection, certes adaptée aux besoins, suffit-elle pour s assurer d une efficacité solide en cas d attaque avérée? La réponse est non! Imaginez : vous avez subi pendant plusieurs jours les effets d une attaque DDoS, avec des conséquences inacceptables pour le maintien de vos activités. Vous décidez de mettre en place une solution de protection ad hoc. Le projet démarre, vous choisissez une solution, elle est installée et fonctionne. Vous voilà enfin équipé d une solution d une efficacité prometteuse. Avec un simple ordre de bascule à donner à votre équipe de production ou à un fournisseur, elle sera mise en route. Vous êtes confiant. Activation, surveillance, désactivation : les 3 piliers d une stratégie de protection anti DDoS Pour autant, vous pourriez avoir oublié de répondre à un certain nombre de questions clés. Sur quels critères de détection et à quels seuils serez-vous en mesure de passer l ordre d activation? Serez-vous assez réactif pour qu il ne soit pas trop tard vis-à-vis des impacts business? L échelle du temps DDoS est proche du ¼ d heure... Une fois la solution activée, quelles seront les premières actions à entreprendre? Avez-vous identifié ou contrôlerez-vous les effets de bord qu elles pourront engendrer sur votre environnement de production? Faudra-il communiquer aux clients, au réseau commercial? Durant l attaque, êtes-vous certain d être apte à communiquer efficacement avec le prestataire en charge de la solution? Pourrez-vous aisément constater l efficacité de ses services? Connait-il votre contexte, votre infrastructure? Est-il à jour des derniers changements pour éviter une protection partielle? Par analogie avec l ordre d activation, saurezvous quand et comment décider du retour à la normale? Enfin, avez-vous suffisamment de visibilité pour déterminer si l attaque continue ou non en amont des barrières défensives? Les retours d expérience montrent que la mise en place d une solution protectrice seule, sans réponse à l ensemble de ces questions, ne suffit pas. Aussi ne faut-il pas se cantonner à la simple souscription d un service de protection : des moyens et des processus de détection, d activation, de communication, d arbitrage et retour à la normale devront être élaborés et régulièrement expérimentés. Les actions majeures devront être rigoureusement formalisées : le déclenchement de la solution de protection comme le retour à la normale (qui décide, qui réalise, sur quelles informations, avec quelle réactivité ). Par ailleurs, les volets surveillance et gestion de crise pendant l attaque ne doivent pas être négligés (quels moyens pour vérifier que l attaque a toujours lieu, avec quel effet, quels seuils/ indicateurs pour déclencher les escalades?). En particulier, la gestion de crise ne doit pas se cantonner au rétablissement des services. Elle doit également envisager le risque que le DDoS considéré puisse n être qu une simple diversion ou bien une partie d une attaque plus globale. Tests et exercices : les garants de la bonne gestion d une attaque DDoS Au-delà de la formalisation, trois types de tests s avèrent indispensables. Les plus simples sont les tests de «bascule à vide» : sans contrainte de temps particulière, il s agit de mettre en action les différents modes opératoires liés à l activation, au maintien ou à la désactivation de la solution de protection. Au-delà de la formation des équipes concernées, ces tests permettent de juger de la qualité des procédures techniques ; ils permettront également leur amélioration continue afin d assurer au mieux leur efficacité en cas d attaque. Des tests de «bascule en conditions réelles» sont ensuite requis : à l opposé de la «bascule à vide», une attaque simulée sera ici commanditée auprès d un organisme tiers afin que les équipes techniques puissent s exercer en conditions réelles. Les mêmes modes opératoires techniques seront mis à l épreuve, dans un objectif cependant différent : le respect des échéances théoriques et la maîtrise des impacts. Des exercices de «gestion de crise» sont également à prévoir. Complémentaires des deux premières séries ci-dessus, il s agit là de se focaliser sur l expérimentation de la gestion de crise et non sur les aspects techniques. Ces tests permettront de juger la qualité de la gestion en répondant notamment aux bonnes questions en dehors de la sphère technique et en intégrant la communication, le juridique ou encore la relation clients. Chaque tâche trouve-t-elle rapidement son porteur? L ordonnancement prévu est-il respecté? Les moyens nécessaires sontils accessibles (matériels, salles, interlocuteurs, etc.)? Les rôles prédéfinis de chacun sont-ils connus de tous et à l avance? La remontée des informations au Responsable de crise est-elle correctement réalisée? Les solutions techniques ne peuvent suffire à gérer toutes les composantes d une attaque DDos. Nécessaire et complémentaire, la mise en place d une organisation interne apte à gérer l attaque et la crise doit être considérée par les entreprises pour se protéger correctement et efficacement. octobre 2014 La Lettre Sécurité N 35 7
8 L actualité Solucom Solucom présent à la BlackHat 2014 (14-17 octobre 2014) : Pour plus d informations et vous inscrire : Arnaud Soullié, auditeur senior à Solucom, animera un workshop sur la sécurité des SI industriels et les tests d intrusion sur les automates industriels programmables (API). Les participants pourront tester sur des automates réels les méthodes et outils d attaques spécifiques aux SI industriels. Prochains évènements de l Observatoire de la Sécurité des Systèmes d Information et Réseaux : 14 octobre 2014 (dans les locaux de Solucom) 18 novembre et 9 décembre 2014 (dans les locaux de l INRIA) Pour plus d informations, consultez le site de l OSSIR : Save the date : présentation du radar du RSSI (2 décembre) Solucom animera dans ses locaux un petit déjeuner autour de l analyse du radar des tendances sécurité. Basé sur nos retours d expérience et notre analyse du marché, il permet de décrypter les mouvements de fond et thèmes émergents du secteur de la sécurité. Actualités Solucom : Chiffre d affaires au 1 er trimestre en solide progression de 11% dont 7% à périmètre comparable Au 1 er trimestre de son exercice 2014/15, Solucom a réalisé un chiffre d affaires consolidé de 37,4 M, en progression de 11% par rapport au 1 er trimestre 2013/14. A périmètre comparable, hors contribution de Lumens Consultants et Trend Consultants, la croissance du cabinet s établit à 7%. Dans le sillage du dernier exercice, Solucom a maintenu son effort en matière de recrutement. Au 30 juin 2014, les effectifs du cabinet s établissent à 1337 collaborateurs, contre 1327 au 31 mars dernier. Prochain rendez-vous : le 22 octobre (après la clôture de la Bourse), chiffre d affaires du 1 er semestre 2014/15. Pour plus de renseignements : celine.romenteau@solucom.fr Directeur de la publication : Patrick Hirigoyen Responsable de la rédaction : Frédéric Goux Contributeurs :, Gérôme Billois, Raphaël Brun, Baptistin Buchet, Etienne Capgras, Vincent Exposito, Pauline Rouaud Photographies : Getty images Fotolia Graphiques : Solucom Conception graphique : Les enfants gâtés Impression : Axiom Graphics ISSN La Lettre Sécurité Revue de la practice risk management et sécurité de l information du cabinet Solucom Tour Franklin, terrasse Boieldieu La Défense Paris - La Défense solucom@solucom.fr abonnement : lettresecurite@solucom.fr
5 novembre 2013. Cloud, Big Data et sécurité Conseils et solutions
5 novembre 2013 Cloud, Big Data et sécurité Conseils et solutions Agenda 1. Enjeux sécurité du Cloud et du Big Data 2. Accompagner les projets 3. Quelques solutions innovantes 4. Quelle posture pour les
Plus en détailAttaques ciblées : quelles évolutions dans la gestion de la crise?
3 avril 2012 Attaques ciblées : quelles évolutions dans la gestion de la crise? Une nécessaire refonte des fondamentaux Gérôme BILLOIS gerome.billois@solucom.fr Twitter: @gbillois Frédéric CHOLLET frederic.chollet@solucom.fr
Plus en détailTrusteer Pour la prévention de la fraude bancaire en ligne
Trusteer Pour la prévention de la fraude bancaire en ligne La solution de référence pour la prévention de la fraude bancaire en ligne Des centaines d institutions financières et des dizaines de millions
Plus en détailHySIO : l infogérance hybride avec le cloud sécurisé
www.thalesgroup.com SYSTÈMES D INFORMATION CRITIQUES ET CYBERSÉCURITÉ HySIO : l infogérance hybride avec le cloud sécurisé Le cloud computing et la sécurité au cœur des enjeux informatiques L informatique
Plus en détailpolitique de la France en matière de cybersécurité
dossier de presse politique de la France en matière de cybersécurité 20 février 2014 Contact presse +33 (0)1 71 75 84 04 communication@ssi.gouv.fr www.ssi.gouv.fr Sommaire L ANSSI L ANSSI en chiffres Le
Plus en détailPrestations d audit et de conseil 2015
M. Denis VIROLE Directeur des Services +33 (0) 6 11 37 47 56 denis.virole@ageris-group.com Mme Sandrine BEURTHE Responsable Administrative +33 (0) 3 87 62 06 00 sandrine.beurthe@ageris-group.com Prestations
Plus en détailwww.pwc.fr Risk Assurance & Advisory Services Pour un management des risques performant et «résilient»
www.pwc.fr Risk Assurance & Advisory Services Pour un management des risques performant et «résilient» C est sans surprise que dans la dernière enquête «CEO» de PwC, les dirigeants font état de leurs préoccupations
Plus en détailVision prospective et obstacles à surmonter pour les assureurs
smart solutions for smart leaders Le «Big Data» assurément Rédigé par Pascal STERN Architecte d Entreprise Vision prospective et obstacles à surmonter pour les assureurs Un avis rendu par la cour de justice
Plus en détailLe Plan de Continuité d Activité (PCA / BCP)
Le Plan de Continuité d Activité (PCA / BCP) Comment le mettre en œuvre et vérifier qu il restera opérationnel? Bruno KEROUANTON RSSI Clear Channel France - CISSP 16 juin 2004 - Paris Introduction, définitions
Plus en détailRENDEZ VOS CLEFS OU L AUTHENTIFICATION FORTE SANS SUPPORT PHYSIQUE
12/02/2013 RENDEZ VOS CLEFS OU L AUTHENTIFICATION FORTE SANS SUPPORT PHYSIQUE LE 12 FEVRIER 2013 SOMMAIRE PREAMBULE_VOTRE VISION DE LA SECURITE INTRODUCTION_QU EST-CE QUE LA SECURITE LA SECURITE FAIT PENSER
Plus en détailExternaliser le système d information : un gain d efficacité et de moyens. Frédéric ELIEN
Externaliser le système d information : un gain d efficacité et de moyens Frédéric ELIEN SEPTEMBRE 2011 Sommaire Externaliser le système d information : un gain d efficacité et de moyens... 3 «Pourquoi?»...
Plus en détailDOSSIER DE PRESSE. presse@lexsi.com LEXSI.COM. tgraffeuil@oxygen-rp.com. Contacts presse : OXYGEN Tatiana GRAFFEUIL Audrey SLIWINSKI 01 41 11 37 89
DOSSIER DE PRESSE Contacts presse : OXYGEN Tatiana GRAFFEUIL Audrey SLIWINSKI 01 41 11 37 89 tgraffeuil@oxygen-rp.com LEXSI Anne BIGEL presse@lexsi.com LEXSI.COM Sommaire INTRODUCTION 1 LEXSI, cabinet
Plus en détailLes cyber risques sont-ils assurables?
Les cyber risques sont-ils assurables? Cyril Nalpas Master Management du Risque Institut Léonard de Vinci cyril.nalpas@gmail.com Les cyber risques sont-ils assurables? Quelles sont les questions que peuvent/doivent
Plus en détailClub des Responsables d Infrastructures et de la Production
Club des Responsables d Infrastructures et de la Production LA BRIGADE D ENQUÊTES SUR LES FRAUDES AUX TECHNOLOGIES DE L INFORMATION Intervention du Commissaire Divisionnaire Anne SOUVIRA Le 19 mars 2014
Plus en détailManagement de la sécurité des technologies de l information
Question 1 : Identifiez les causes d expansion de la cybercriminalité Internet est un facteur de performance pour le monde criminel. Par sa nature même et ses caractéristiques, le monde virtuel procure
Plus en détailRSA ADAPTIVE AUTHENTICATION
RSA ADAPTIVE AUTHENTICATION Plate-forme complète d authentification et de détection des fraudes D UN COUP D ŒIL Mesure du risque associé aux activités de connexion et de postconnexion via l évaluation
Plus en détailVers un nouveau modèle de sécurité
1er décembre 2009 GS Days Vers un nouveau modèle de sécurité Gérôme BILLOIS - Manager sécurité gerome.billois@solucom.fr Qui sommes-nous? Solucom est un cabinet indépendant de conseil en management et
Plus en détailNOMADES ET SMARTPHONES EN ENTREPRISE EN TOUTE SÉCURITÉ PAR BERTRAND THOMAS ET JULIEN COULET
Introduction aux solutions de Mobile Device Management NOMADES ET SMARTPHONES EN ENTREPRISE EN TOUTE SÉCURITÉ PAR BERTRAND THOMAS ET JULIEN COULET QUELQUES CHIFFRES Mi 2011, 77% de la population mondiale
Plus en détailLa Lettre Sécurité. CAC 40 et cybersécurité, vers une prise de conscience des entreprises? Édito. n 34
n 34 La Lettre Sécurité Édito Sécurité des SI industriels : rester aux avant-postes! Les attaques récentes l ont mis en avant : le SI industriel est toujours une cible, il est essentiel de monter en compétences
Plus en détailBonnes pratiques de l'ocde pour la gestion des sinistres d assurance
DIRECTION DES AFFAIRES FINANCIERES ET DES ENTREPRISES Bonnes pratiques de l'ocde pour la gestion des sinistres d assurance Ces bonnes pratiques, préparée par le Comité des assurance de l'ocde, ont été
Plus en détailn spécial Assises de la Sécurité 2009
n 20 - Octobre 2009 La Lettre Sécurité Édito À l heure où maîtrise du SI et conformité sont au cœur des préoccupations des décideurs, le RSSI est fréquemment sollicité sur le niveau de sécurité effectif
Plus en détailComment mieux lutter contre la fraude à l assurance? Gestion de sinistres Odilon Audouin, le 4 avril 2013
Comment mieux lutter contre la fraude à l assurance? Gestion de sinistres Odilon Audouin, le 4 avril 2013 Eléments de contexte Un coût significatif, une évolution des typologies Selon l ALFA (sur la base
Plus en détailStratégie nationale en matière de cyber sécurité
Stratégie nationale en matière de cyber sécurité 1 INTRODUCTION Le fonctionnement de notre société est aujourd hui étroitement lié aux infrastructures et systèmes de communication et de traitement de l
Plus en détailOptimiser la maintenance des applications informatiques nouvelles technologies. Les 11 facteurs clés de succès qui génèrent des économies
Application Services France the way we do it Optimiser la maintenance des applications informatiques nouvelles technologies Les 11 facteurs clés de succès qui génèrent des économies Chaque direction informatique
Plus en détailCHAPITRE 3 : INTERVENTIONS SUR INCIDENTS
CHAPITRE 3 : INTERVENTIONS SUR INCIDENTS CINQ RECOMMANDATIONS ESSENTIELLES 1 CINQ RECOMMANDATIONS ESSENTIELLES CINQ RECOMMANDATIONS ESSENTIELLES BASÉES SUR UNE ANALYSE DES INCIDENTS OBSERVÉS En 2014, le
Plus en détailVIGIPIRATE PARTIE PUBLIQUE OBJECTIFS DE CYBERSÉCURITÉ
VIGIPIRATE PARTIE PUBLIQUE OBJECTIFS DE CYBERSÉCURITÉ Édition du 27 février 2014 INTRODUCTION 5 1 / PILOTER LA GOUVERNANCE DE LA CYBERSÉCURITÉ 7 1.1 / Définir une stratégie de la cybersécurité 8 1.1.1
Plus en détailL outillage du Plan de Continuité d Activité, de sa conception à sa mise en œuvre en situation de crise
Auteur : Robert BERGERON Consultant en Sécurité des Systèmes d Information et Management de la Continuité d Activité Quel outil pour le PCA? de sa conception à sa mise en œuvre en situation de crise Introduction
Plus en détailBMCE Direct. Guide d utilisateur Entreprise SOLUTION DE BANQUE A DISTANCE. www.bmcebank.ma. 140 Avenue Hassan II - Casablanca, Maroc
BMCE Direct SOLUTION DE BANQUE A DISTANCE Guide d utilisateur Entreprise 080 100 8100 www.bmcebank.ma 140 Avenue Hassan II - Casablanca, Maroc Bienvenue dans BMCE Direct, L e nouveau service Banque à distance
Plus en détailRAPPORT DU CONSEIL D ADMINISTRATION A L ASSEMBLEE GENERALE
22.05.08 RAPPORT DU CONSEIL D ADMINISTRATION A L ASSEMBLEE GENERALE Le Conseil d administration de la Société Générale a pris connaissance du rapport ci-joint du Comité spécial qu il a constitué le 30
Plus en détailLES REGLES ELEMENTAIRES DE SECURITE LE POSTE DE TRAVAIL. CNRS RSSIC version du 11 mai 2012
LES REGLES ELEMENTAIRES DE SECURITE LE POSTE DE TRAVAIL CNRS RSSIC version du 11 mai 2012 Un poste de travail mal protégé peut mettre en péril non seulement les informations qui sont traitées sur le poste
Plus en détailFICHE PRODUIT COREYE CACHE Architecture technique En bref Plateforme Clients Web Coreye Cache applicative Références Principe de fonctionnement
COREYE CACHE Solution d absorption de charge pour une disponibilité et une performance optimales des applications Web En bref Architecture technique La plateforme Coreye Cache délivre la majeure partie
Plus en détailAUDIT CONSEIL CERT FORMATION
www.lexsi.com AUDIT CONSEIL CERT FORMATION LEXSI GROUP / INNOVATIVE SECURITY / CONSEIL EN SECURITE DE L INFORMATION / PARIS LYON LILLE MONTREAL SINGAPOUR A PROPOS DE LEXSI Avec plus de 10 ans d expérience,
Plus en détailMeilleures pratiques de l authentification:
Meilleures pratiques de l authentification: mettre le contrôle à sa place LIVRE BLANC Avantages d un environnement d authentification totalement fiable : Permet au client de créer son propre token de données
Plus en détailJOURNEES DES COMMISSIONS 16 octobre 2008. Groupe thématique " Les programmes internationaux d assurances»
JOURNEES DES COMMISSIONS 16 octobre 2008 Groupe thématique " Les programmes internationaux d assurances» Modérateur : Zaïlla ASSAOUI, Responsable assurance groupe Yves Rocher Intervenants : Isabelle CREMIEUX,
Plus en détailPour bien commencer avec le Cloud
Pour bien commencer avec le Cloud Pour s informer sur les solutions et les services du Cloud Pour déterminer si le Cloud correspond à vos besoins Pour bien initialiser votre démarche vers le Cloud I -
Plus en détailNovembre 2013. Regard sur service desk
Novembre 2013 Regard sur service desk édito «reprenez le contrôle grâce à votre service desk!» Les attentes autour du service desk ont bien évolué. Fort de la riche expérience acquise dans l accompagnement
Plus en détailActuellement, de nombreux outils techniques et technologiques sont disponibles pour assurer la sécurité d un système d information.
Actuellement, de nombreux outils techniques et technologiques sont disponibles pour assurer la sécurité d un système d information. Cependant, faire le choix des plus efficaces et des plus rentables, ainsi
Plus en détailMonnaie, banques, assurances
Monnaie, banques, assurances Panorama La politique monétaire de la Banque nationale suisse en 2013 En 2013, la croissance de l économie mondiale est demeurée faible et fragile. En Europe, les signes d
Plus en détailExemples de typologies présentées par TRACFIN
Exemples de typologies présentées par TRACFIN Exemples de typologies concernant l assurance vie 1. Abus de faiblesse Madame A, retraitée de 80 ans, dispose de revenus annuels inférieurs à 50 000 et d un
Plus en détailLa sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL. Dr Hervé LECLET. Santopta
La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL Dr Hervé LECLET Tous les centres d'imagerie médicale doivent assurer la sécurité informatique de leur système d'information
Plus en détailWEB et Industries de Santé Industrie Pharmaceutique, Dispositifs Médicaux, Imagerie, Diagnostic in vitro et Matériel Médical
WEB et Industries de Santé Industrie Pharmaceutique, Dispositifs Médicaux, Imagerie, Diagnostic in vitro et Matériel Médical Votre activité est spécifique et vous cherchez des réponses concrètes Stratégie
Plus en détailGestion des cyber-risques
Aon Risk Solutions Gestion des cyber-risques Investir dans la sécurité et la continuité Risk. Reinsurance. Human Resources. Cyber Risk Practice Group Aon apporte son aide à l établissement d un inventaire
Plus en détailPROFILAGE : UN DEFI POUR LA PROTECTION DES DONNEES PERSONNELLES Me Alain GROSJEAN Bonn & Schmitt
PROFILAGE : UN DEFI POUR LA PROTECTION DES DONNEES PERSONNELLES Me Alain GROSJEAN Bonn & Schmitt ASPECTS TECHNIQUES M. Raphaël VINOT CIRCL SEMINAIRE UIA ENJEUX EUROPEENS ET MONDIAUX DE LA PROTECTION DES
Plus en détailAgrément des hébergeurs de données de santé. 1 Questions fréquentes
Agrément des hébergeurs de données de santé 1 Questions fréquentes QUELS DROITS POUR LES PERSONNES CONCERNEES PAR LES DONNEES DE SANTE HEBERGEES? La loi précise que l'hébergement de données de santé à
Plus en détailIntroduction Que s est-il passé en 2014? Qu attendre de 2015?
Les grandes tendances Data & Analytics 2015 L épreuve de la réalité janvier 2015 Introduction Que s est-il passé en 2014? Qu attendre de 2015? 2014 a confirmé l intérêt croissant pour la donnée au sein
Plus en détailComment lutter efficacement contre la fraude à l assurance
Comment lutter efficacement contre la fraude à l assurance 1 En cette période de tension sur leur rentabilité et de pression sur les tarifs, les assureurs soulignent la nécessité de renforcer leur dispositif
Plus en détailComment assurer la gestion des identités et des accès sous forme d un service Cloud?
FICHE DE PRÉSENTATION DE SOLUTION CA CloudMinder Comment assurer la gestion des identités et des accès sous forme d un service Cloud? agility made possible Grâce à CA CloudMinder, vous bénéficiez de fonctionnalités
Plus en détailDe ce fait, les attaques se diversifient, deviennent «plus intelligentes» et plus complexes à éviter. On distingue alors deux grandes familles :
n 30 La Lettre Sécurité Édito Cybercriminalité : think global! La cybercriminalité est sous les feux de la rampe : préoccupation des États et des entreprises, elle fait émerger de nouvelles réglementations
Plus en détailGestion des Incidents SSI
Gestion des Incidents SSI S. Choplin D. Lazure Architectures Sécurisées Master 2 ISRI/MIAGE/2IBS Université de Picardie J. Verne Références CLUSIF Gestion des incidents de sécurité du système d information
Plus en détailSTRATEGIE, GOUVERNANCE ET TRANSFORMATION DE LA DSI
STRATEGIE, GOUVERNANCE ET TRANSFORMATION DE LA DSI NOTRE EXPERTISE Dans un environnement complexe et exigeant, Beijaflore accompagne les DSI dans le pilotage et la transformation de la fonction SI afin
Plus en détailTRIBUNE BRAINWAVE GOUVERNANCE ET SéCURITé. Shadow IT, la menace fantôme. Une tendance irréversible mais pas dénuée de risques.
TRIBUNE BRAINWAVE GOUVERNANCE ET SéCURITé Shadow IT, la menace fantôme Une tendance irréversible mais pas dénuée de risques. Par Sébastien Faivre Chief Marketing Officer de Brainwave Shadow IT, la menace
Plus en détailExcellence. Technicité. Sagesse
2014 Excellence Technicité Sagesse Audit Conseil ATHENA est un cabinet de services créé en 2007 et spécialisé dans les domaines de la sécurité informatique et la gouvernance. De part son expertise, ATHENA
Plus en détailDes capacités de cybersécurité et de confiance numérique pour accélérer votre transformation digitale
CYBERSÉCURITÉ Des capacités de cybersécurité et de confiance numérique pour accélérer votre transformation digitale Delivering Transformation. Together. Sopra Steria, leader européen de la transformation
Plus en détaileframe pour optimiser les reportings métiers et réglementaires
eframe pour optimiser les reportings métiers et réglementaires TIME WINDOW DRIVEN REPORTING POUR DES ANALYSES ET DES RAPPORTS COMPLETS ET EXACTS, À TEMPS TOUT LE TEMPS www.secondfloor.com eframe pour optimiser
Plus en détailCYBERSÉCURITÉ. Des capacités globales de cybersécurité pour une transformation numérique en toute confiance. Delivering Transformation. Together.
CYBERSÉCURITÉ Des capacités globales de cybersécurité pour une transformation numérique en toute confiance Delivering Transformation. Together. Sopra Steria, leader européen de la transformation numérique,
Plus en détailLa lettre. La Gestion des comptes clients : les mesures à adopter très vite. Le poste client : l investissement le plus important à l actif du bilan
Dossier : Gestion d entreprise 43 Direction financière à la demande La Gestion des comptes clients : les mesures à adopter très vite La gestion des comptes clients, est-ce seulement le boulot de la compta?
Plus en détailMaîtriser les mutations
Maîtriser les mutations Avec UNE Supply chain AGILE La réflexion porte ses fruits www.cereza.fr TALAN Group Notre savoir-faire : maîtriser les mutations et en faire une force pour l entreprise Cereza,
Plus en détailPASSI Un label d exigence et de confiance?
PASSI Un label d exigence et de confiance? INTRINSEC Site Intrinsec www.intrinsec.com Blog Intrinsec sécurité Securite.intrinsec.com Twitter Intrinsec @Intrinsec_Secu INTRINSEC Identité Fondée en 1995,
Plus en détailLean Management : une stratégie de long terme. Pourquoi l évolution des comportements est-elle essentielle à une réussite durable?
Lean Management : une stratégie de long terme Pourquoi l évolution des comportements est-elle essentielle à une réussite durable? Au cours de ces deux dernières années, les grandes entreprises du monde
Plus en détailUserLock Quoi de neuf dans UserLock? Version 8.5
UserLock Quoi de neuf dans UserLock? Version 8.5 Table des Matières 1. UserLock Version 8... 3 1.1. Le Statut utilisateur, un nouvel indicateur de risque... 3 1.2. Des alertes en temps réel contre les
Plus en détailFRONTeO Plateforme digitale pour les banques. Dossier de presse
FRONTeO Plateforme digitale pour les banques Dossier de presse 2015 Sommaire Page 3 Editorial «La banque se digitalise, l informatique évolue, MAINSYS anticipe...» Page 4 Une gamme complète de solutions
Plus en détail10 bonnes pratiques de sécurité dans Microsoft SharePoint
10 bonnes pratiques de sécurité dans Microsoft SharePoint SharePoint constitue certes un outil collaboratif précieux. Mais gare aux risques pour votre entreprise. 10 bonnes pratiques de sécurité dans Microsoft
Plus en détailFiches micro-informatique SECURITE LOGIQUE LOGIxx
Objectif Fiches micro-informatique SECURITE LOGIQUE LOGIxx Présenter des préconisations pour sécuriser le poste de travail informatique et son environnement sous forme de fiches pratiques. Public concerné
Plus en détailCRM PERFORMANCE CONTACT
CRM PERFORMANCE CONTACT PREMIUM 3ème génération Un concentré de haute technologie pour augmenter de 30 % vos rendez-vous Le Vinci, 2 place Alexandre Farnèse 84000 Avignon Tél : + 33 (0)4 90 13 15 88 Télécopie
Plus en détailLes vols via les mobiles
1 Les vols via les mobiles Android est le système d exploitation le plus populaire parmi les utilisateurs des appareils mobiles et malheureusement aussi parmi les cybercriminels puisque c est l OS le plus
Plus en détailCONDITIONS GENERALES DU SERVICE BANQUE EN LIGNE ECOBANK
CONDITIONS GENERALES DU SERVICE BANQUE EN LIGNE ECOBANK 1. OBJET Les présentes conditions générales fixent les modalités d accès et de fonctionnement du service de banque en ligne fourni par ECOBANK (le
Plus en détailLa Lettre Sécurité. Comment adapter votre gestion de crise à la cybercriminalité avancée? Édito. n 32. 1. Prendre du recul face aux incidents
n 32 La Lettre Sécurité Édito 2014, que souhaiter pour la sécurité? 2013 aura été une année mouvementée pour la sécurité de l information.les révélations de Mandiant sur les moyens d attaques chinois ont
Plus en détailAIG, un des leaders mondiaux de l assurance, compte plus de 63 000 collaborateurs et 88 millions de clients dans le monde. Vous trouverez dans cette
Bienvenue chez AIG 2 AIG, un des leaders mondiaux de l assurance, compte plus de 63 000 collaborateurs et 88 millions de clients dans le monde. Vous trouverez dans cette brochure une présentation de notre
Plus en détailLa conformité et la sécurité des opérations financières
La conformité et la sécurité des opérations financières Au service de vos systèmes d information critiques www.thalesgroup.com/security-services Des services financiers plus sûrs, même dans les passes
Plus en détailComment optimiser l utilisation des ressources Cloud et de virtualisation, aujourd hui et demain?
DOSSIER SOLUTION Solution CA Virtual Placement and Balancing Comment optimiser l utilisation des ressources Cloud et de virtualisation, aujourd hui et demain? agility made possible La solution automatisée
Plus en détailCRM pour le Service clients et l Assistance technique
CRM pour le Service clients et l Assistance technique La satisfaction Maximizer. Inciter la fidélisation de la clientèle. Servir la clientèle efficacement est l élément clé d une croissance d affaires
Plus en détailLa Lettre Sécurité. Dossier
n 23 La Lettre Sécurité Édito L actualité sécurité récente et à venir s avère chargée : la cybercriminalité est sur toutes les lèvres, innovations technologiques et nouvelles réglementations obligent les
Plus en détailCampagne de Communication Prévisionnelle. Web Intelligence & Réputation Internet
Campagne de Communication Prévisionnelle Web Intelligence & Réputation Internet 1 Sommaire 1. Introduction... 3 2. Détail de la prestation de gestion de réputation online... 5 2.1 Sélection des mots, thématiques
Plus en détailAvril 2013 DIAGNOSTIC NUMERIQUE. Réalisé par l Office de Tourisme Andernos-les-Bains
Avril 2013 DIAGNOSTIC NUMERIQUE Réalisé par l Office de Tourisme Andernos-les-Bains Sommaire Présentation...3 Matériel numérique...4 Mise à disposition de matériel numérique...4 Mise à disposition d une
Plus en détailFace aux nouvelles menaces liées aux cyber attaques et l évolution des technologies, comment adapter son SMSI? CLUB27001 PARIS 22 novembre 2012
Face aux nouvelles menaces liées aux cyber attaques et l évolution des technologies, comment adapter son SMSI? CLUB27001 PARIS 22 novembre 2012 Sommaire 1 L évolution des menaces 2 L évolution du SMSI
Plus en détailSIMULER ET CONCEVOIR LE TRAVAIL FUTUR
SIMULER ET CONCEVOIR LE TRAVAIL FUTUR Utilisation du logigramme d activité dans un projet informatique, pour simuler les compétences futures, et évaluer la charge de travail. WWW.ANACT.FR OUTIL DE SIMULATION
Plus en détailSOLUTIONS INTELLIGENTES DE PRÉVENTION DES FRAUDES
SOLUTIONS INTELLIGENTES DE PRÉVENTION DES FRAUDES PRÉSENTATION Il y a 15 ans, le mot «cybercriminalité» commençait tout juste à se répandre dans le monde de l entreprise et les cybercriminels, qui s étaient
Plus en détailMais quelles sont les pratiques des grandes entreprises à ce sujet aujourd hui? Quels sont les nouveaux challenges de la sensibilisation?
n 27 La Lettre Sécurité Édito De la réaction à la détection / réaction, le nécessaire changement de posture du RSSI! Les initiatives sécurité ont lontemps consisté à définir et mettre en œuvre des plans
Plus en détailPÉRENNISER LA PERFORMANCE
PÉRENNISER LA PERFORMANCE La recherche de performance est aujourd hui au cœur des préoccupations des organisations : succession des plans de productivité et de profitabilité, plans de reprise d activités,
Plus en détailSÉCURISEZ LE TRAITEMENT DES PAIEMENTS AVEC KASPERSKY FRAUD PREVENTION. #EnterpriseSec http://www.kaspersky.com/fr/entreprise-securite-it/
SÉCURISEZ LE TRAITEMENT DES PAIEMENTS AVEC KASPERSKY FRAUD PREVENTION #EnterpriseSec http://www.kaspersky.com/fr/entreprise-securite-it/ Aujourd'hui, les clients des banques peuvent effectuer la plupart
Plus en détailGestion des risques liés aux systèmes d'information, dispositif global de gestion des risques, audit. Quelles synergies?
Gestion des risques liés aux systèmes d'information, dispositif global de gestion des risques, audit. Quelles synergies? gil.delille@forum-des-competences.org Agenda Les enjeux liés aux systèmes d information
Plus en détailBANQUE NEUFLIZE OBC LES BONNES PRATIQUES INTERNET ET MESSAGERIE
BANQUE NEUFLIZE OBC LES BONNES PRATIQUES INTERNET ET MESSAGERIE VIRUS SPAM PHISH NG INTERNET WIFI Les risques informatiques aujourd hui L environnement de la cybercriminalité est toujours en forte progression
Plus en détailSécurité sur le web : protégez vos données dans le cloud
Livre blanc Sécurité sur le web : protégez vos données dans le cloud Présentation Les équipes de sécurité ne peuvent pas être partout, et pourtant le contexte actuel exige des entreprises qu elles protègent
Plus en détailFICHE TECHNIQUE : METTRE EN PLACE UNE GPEC
METTRE EN PLACE UNE GPEC Gestion Prévisionnelle des Emplois et des Compétences Cette fiche technique aborde la mise en place d une démarche GPEC sous l angle de la description d un processus. Elle présente
Plus en détailRegard sur hybridation et infogérance de production
Regard sur hybridation et infogérance de production Février 2014 édito «comment transformer l hybridation des infrastructures en levier de performances?» Les solutions d infrastructure connaissent depuis
Plus en détailQu est ce que Visual Guard. Authentification Vérifier l identité d un utilisateur
Qu est ce que Visual Guard Authentification Vérifier l identité d un utilisateur Autorisation Qu est-ce qu un utilisateur peut faire dans l application Audits et rapports Fonctionnalités d Audit et de
Plus en détailSécurisation des paiements en lignes et méthodes alternatives de paiement
Comment sécuriser vos paiements en ligne? Entre 2010 et 2013, les chiffres démontrent que c est sur internet que la fraude à la carte bancaire a montré sa plus forte progression. Même si le taux de fraude
Plus en détailSPECIALISATIONS DU MASTER GRANDE ECOLE
SPECIALISATIONS DU MASTER GRANDE ECOLE Finance, Contrôle des Organisations Cette spécialisation se fonde sur la nécessité de prendre des décisions et/ou d organiser les différents processus au cœur de
Plus en détailL assurance des flottes automobiles
Dossier Flottes Automobiles Expert Retrouvez toutes les fiches pour mieux gérer votre flotte automobile L assurance des flottes automobiles Tout ce qu il faut savoir pour assurer une flotte automobile
Plus en détailDNS : types d attaques et. techniques de. sécurisation. Le DNS (Domain Name System), un élément essentiel de l infrastructure Internet
DNS : types d attaques et techniques de sécurisation Présentation du DNS (Domain Name System) Les grands types d attaques visant le DNS et les noms de domaine Les principales techniques de sécurisation
Plus en détailCompte d exploitation 2012. Assurance vie collective.
Compte d exploitation 2012. Assurance vie collective. 2012 Votre assureur suisse. 1/12 Compte d exploitation Assurance vie collective 2012 2012: des résultats positifs et encore plus de transparence. Chère
Plus en détailIntégrer l assurance dans la gestion des risques liés à la sécurité des données
Intégrer l assurance dans la gestion des risques liés à la sécurité des données François Brisson, responsable marché Technologie-Media-Télécoms 48 ème plénière MEDINSOFT - Marseille 27 novembre 2012 1
Plus en détailDécouvrir les vulnérabilités au sein des applications Web
Applications Web Découvrir les vulnérabilités au sein des applications Web Les vulnérabilités au sein des applications Web sont un vecteur majeur du cybercrime. En effet, selon le rapport d enquête 2012
Plus en détailSite de repli et mitigation des risques opérationnels lors d'un déménagement
Site de repli et mitigation des risques opérationnels lors d'un déménagement Anne Claire PAULET Responsable Risques Opérationnels GASELYS AGENDA PRÉSENTATION GASELYS LES RISQUES OPÉRATIONNELS CONTINUITÉ
Plus en détailClément ALBRIEUX (69)
Pratique 20 : Une nouvelle identité entrepreneuriale 287 Le témoin : Clément ALBRIEUX (69) 30 collaborateurs Comment est définie et gérée l innovation dans votre cabinet? Les collaborateurs du cabinet
Plus en détailL Application Performance Management pourquoi et pour quoi faire?
Management pourquoi et pour quoi faire? Un guide pratique pour comprendre l intérêt des solutions d Application Management, à l heure où les systèmes d information sont au cœur de l efficacité opérationnelle
Plus en détailLivre Blanc. L hébergement à l heure du Cloud. Comment faire son choix?
Comment faire son choix? Document conçu et rédigé par le cabinet de conseil et d études Pierre Audoin Consultants Mars 2014 www.pac-online.com blog.pac-online.com Sommaire Un nouveau paradigme... 3 L'hébergement
Plus en détail