News RGPD...

News RGPD

  • Veille Cyber N405 – 19 septembre 2022
    par veillecybertb le 23 septembre 2022 à 23h00

    Veille hebdomadaire du 18 septembre 2022 CyberStratégie /CyberDéfense / CyberSécurité – Protection des données / RGPD – Intelligence artificielle … Lettre Cyber 405 L’actualité cyber du 12 au 18 septembre 2022 …… faits, chroniques et opinions, référentiels, séquences audio, séquences vidéo … selon vos centres d’intérêt, personnels ou professionnels, je vous laisse découvrir l’actualité de la semaine, dans ces domaines essentiels que sont … la CyberStratégie, la CyberSécurité, la protection des données personnelles et l’intelligence artificielle … sans prétention à l’exhaustivité et avec beaucoup de subjectivité, inévitable, bien évidemment. Une bonne semaine à vous. Sans oublier que je reste à l’écoute de vos commentaires et de vos observations guillet.lionel@gmail.com Ce qui a retenu mon attention dans l’actualité de cette semaine 13 septembre 2022. Le gouvernement dans le cloud, de nouveaux dispositifs annoncés – Les élections professionnelles par vote électronique, ça semble OK dans la fonction publique – Infogreffe sanctionné par la CNIL, vraiment n’importe quoi titre un média – Fraude à Pôle emploi, un piège pour les entreprises … A(ré)écouter – A (re)voir Les cyberattaques, quelles sont les solutions pour les anticiper ? Sur France Inter, dans le podcast « Zoom Zoom Zen » Pwn2own Vancouver 2022, au micro de l’équipe NoLimitSecu cette semaine,  David BERARD et Vincent DEHORS parlent des vulnérabilités qu’ils ont exploitées sur une voiture Tesla Model3 Informations Règles de cybersécurité communes sur les objets connectés : l’UE devrait présenter le 13 septembre sa proposition de loi Loi européenne sur la cyber-résilience de l’IoT : la mise en œuvre demande réflexion Objets connectés: les maillons faibles de la cybersécurité une brève BFM Tv Que retenir des annonces gouvernementales sur le cloud souverain ? 12/09/2022 – Bruno Le Maire et Jean-Noël Barrot réaffirment la stratégie nationale pour le Cloud et annoncent de nouveaux dispositifs en faveur du secteur, le communiqué de presse Discours de Bruno Le Maire sur la stratégie nationale pour le Cloud L’État va préciser la doctrine “Cloud au centre” pour une meilleure appropriation par ses services Cloud souverain : la surprenante volte-face de l’Etat en faveur de l’écosystème français Cloud : cinq nouveaux dispositifs pour soutenir le développement du secteur, l’information du ministère de l’économie … Bruno Le Maire annonce la création d’un comité stratégique de filière sur le numérique de confiance Données sensibles dans le Cloud : le gouvernement n’exclut pas des mesures contraignantes pour les entreprises Données sensibles : le gouvernement envisage des mesures contraignantes pour les entreprises Les administrations néerlandaises pourront stocker leurs données dans des “clouds” commerciaux Financement des réseaux : les GAFAM dans la ligne de mire de Bruxelles Mandiant rejoint Google Cloud, le communiqué de presse … (en) Cybersécurité : Google s’offre le géant Mandiant pour rattraper Microsoft Management de la sécurité de l’Information La cybersécurité doit aussi se penser durable 4 idées reçues sur la Cybersécurité Comment adapter la gestion des vulnérabilités dans un paysage des menaces en perpétuelle évolution ? Canada – On ne parle pas assez de cybersécurité Propriété intellectuelle dans l’espace numérique : de l’importance de la protéger et de la valoriser Des tests rassurants pour le vote électronique aux élections professionnelles Sensibilisation cybersécurité, les freins et objections les plus fréquents et pourtant … »Se protéger est plus facile qu’il n’y paraît » Le secteur de la santé est désormais le plus ciblé par les ransomwares : Comment se défendre ? Les hôpitaux seront-ils un jour épargnés par la menace cyber ? Pourquoi il faut davantage parler des attaques par rançongiciel Avènement des menaces liées aux technologies opérationnelles, ou la nouvelle ère des objets malveillants Les cybercriminels multiplient les attaques ciblant des protocoles industriels EvilProxy : le nouvel outil de hacking qui fait trembler les experts en sécurité Des failles connues mais pas toujours corrigées chez HP États-Unis : Le rôle de l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) dans les systèmes de contrôle industriels (en) Le bulletin d’actualité du 12 septembre du CERT-FR, un retour sur « les vulnérabilités significatives de la semaine passée pour souligner leurs criticités » Et puis, dans la vie personnelle comme dans la vie professionnelle 5 conseils de cybersécurité pour les étudiants 1 500 cartes d’identité et passeports français sont en vente sur des forums de hackers Veille de veille(s) L’OSINT par Julien Métayer, un article sur les outils de veille et de renseignement Les 5 meilleurs outils Veille La protection des données personnelles – RGPD / GDPR le règlement européen et plus … Sanction de 250 000 euros à l’encontre d’INFOGREFFE, le communiqué de presse de la CNIL Infogreffe a fait tout ce qu’il ne faut pas faire avec les mots de passe Sanction de la CNIL à l’encontre d’ACCOR : une décision riche d’enseignements pour les Délégués à la protection des données, un communiqué de l’AFCDP, l’Association française des correspondants à la protection des données à caractère personnel [Structurer] Par finalités, le premier design pattern pour concevoir des interfaces respectueuses du RGPD, proposé par le LINC, le Laboratoire d’Innovation Numérique de la CNIL Pourquoi attendre la finalisation de la 3ème tentative d’accord entre l’UE et les USA sur le transfert des données personnelles ? Les problématiques des (r)évolutions numériques en cours A la traîne des Chinois et des Américains, l’Europe rêve de souveraineté numérique Trend Micro pointe les menaces cyber autour du Metavers On ne peut pas téléphoner à internet, mais on peut le modérer Moteur de recherche : Google dépenserait des sommes astronomiques pour maintenir sa position dominante Des nouvelles du CyberFront Niveau record des attaques par « vishing hybride », hameçonnage vocal amorcé par e-mail La nouvelle ruse des hackers : passer par Pôle emploi pour piéger les entreprises Proofpoint : Cyber espionnage, TA453 lance une série d’attaques contre plusieurs personnalités occidentales, toutes spécialisées dans l’analyse des politiques publiques au Moyen-Orient Hôpital piraté de Corbeil-Essonnes : on connaît le nom du coupable Hôpital de Corbeil-Essonnes : le groupe russophone Lockbit 3.0 revendique la cyberattaque et lance le chantage aux données LockBit, le groupe de hackers qui se cache derrière l’attaque de l’hôpital de Corbeil-Essonnes Du hacktivisme à Google en passant par l’armée : les mille vies de « Mudge », le lanceur d’alerte de Twitter Plainte contre Twitter: le petit oiseau va pâtir?, accès abonnés Libération Une association de hackers éthiques voit le jour à Tournai, en Belgique B&D Eolas, Atos : deux infogéreurs touchés par des cyberattaques « Cyberattaque d’ampleur » à l’institut national polytechnique de Toulouse Matière à réflexions Rentrée cyber : une rentrée bizarre, très bizarre… un édito de Cédric CARTAU Un rapport de la direction générale du Trésor sur l’assurance du risque cyber (voir les lettres du 8 et 11 septembre) Études, enquêtes et référentiels Guide sur les carrières en cybersécurité du Centre canadien pour la cybersécurité [métier] Donner aux femmes les moyens de travailler dansla cybersécurité, c’est gagnant-gagnant, une étude du Global Cybersecurity Forum (en) L’obsolescence des infrastructures de sauvegarde, un risque bien présent, une enquête Censuswide/Cohesity 20 tendances informatiques que les DSI doivent connaître pour se préparer à lutter, une enquête MuleSoft Travail hybride : les PME investissent dans la sécurité de leur réseau selon une étude de Dynabook Europe GmbH Les cyberattaques feraient grimper la mortalité dans les établissements de santé touchés Séminaires – Conférences – Journées La cybersécurité peut-elle être efficace ? La réponse de Solange GHERNAOUTI lors du prochain Lundi de la cybersécurité le 19 septembre Peut-on vraiment assurer le risque cyber ? À la prochaine matinale InCyber le 22 septembre Intelligence artificielle, sécurité et plus … IA au service de la sécurité … ou pas Michelin accompagne piétons et cyclistes grâce à son nouveau service d’intelligence artificielle Interrogations / Perspectives / Prospectives Autocratie numérique : La surveillance des IA sonne le glas de la vie privée Nouveau partenariat stratégique d’ampleur entre Confiance.ai et Aniti Voici ce qu’il se passe lorsqu’on demande à l’IA d’imaginer les futurs gratte-ciels Les États-Unis interdisent l’exportation des puces d’IA de pointe vers la Chine Ms Tang Yu, la première IA nommée PDG L’IA, l’arme des GAFAM face au défi climatique des data centers L’IA va-t-elle remplacer les rédacteurs web ? Droit des robots : politique publique, responsabilité juridique et le nouveau monde des systèmes autonomes Pourquoi le marché de l’IA explicable se développe rapidement (en) Vidéo : On demande à un robot avancé si les machines à intelligence artificielle prendront le contrôle du monde (en) « Les robots ne prendront jamais le contrôle du monde »: Ameca, le robot humanoïde le plus avancé au monde, assure qu’il n’y a « pas besoin de s’inquiéter » et affirme que les androïdes sont là pour « aider et servir les humains » (en) 10 Bits : La liste critique de l’actualité des données du 27 août au 2 septembre (en) 10 Bits : La liste critique de l’actualité des données du 3 au 9 septembre (en) Technologie – Recherche et développement IBM met à niveau le mainframe Linux, augmentant la disponibilité et les performances de l’IA (en) Économie – Business L’IA va-t-elle manger les emplois des centres d’appels ? 15 septembre 2022. De la cybersécurité « by design » pour les objets connectés, l’UE publie son projet – Le Health Data Hub souverain, ça attendra 2025 – 12 organismes français en 24h, le tableau de chasse revendiqué par les,responsables de la cyberattaque de l’hôpital de Corbeil-Essonnes et … l’hôpital de Cahors touché par une cyberattaque à son tour – Octobre, le mois de la sensibilisation à la cybersécurité … A(ré)écouter – A (re)voir Cybersécurité, partie intégrante de l’intelligence économique, une visio du CLUSIR Normandie de fin juin Informations La souveraineté numérique passe par la protection des données et la cybersécurité Avec Dora, l’Europe veut renforcer la résistance au risque cyber Comment l’Europe veut renforcer la protection des objets connectés Bruxelles instaure une obligation de cybersécurité « by design » pour les fabricants d’objets connectés État de l’Union : De nouvelles règles de l’UE en matière de cybersécurité pour des produits matériels et logiciels plus sécurisés, le communiqué de presse de la Commission avec l’ensemble des éléments du dossier dont la proposition d’acte législatif Avec le Cyber Resilience Act, l’Union européenne veut serrer la vis sur la cybersécurité Cybersécurité : Bruxelles s’attaque aux objets connectés Ordinateur quantique : quatre algorithmes conçus pour résister à sa menace Google a finalisé le rachat de Mandiant Management de la sécurité de l’Information La lettre d’information N.21 – septembre 2022   de CyberMalveillance.gouv.fr Le gouvernement met la pression sur les entreprises pour qu’elles sécurisent leurs données (voir lettre de veille du 13 septembre) Cybersécurité : il faut pirater le cerveau des pirates Il est temps de tirer le signal d’alarme face aux risques croissants de sécurité du cloud L’évaluation régulière des vulnérabilités et l’auto-remédiation sont les clés d’une stratégie de sécurité cloud réussie Cybersécurité : mieux vaut prévenir que guérir Surface d’attaque exposée : que surveiller et pourquoi ? Fini les mots de passe ? Les « passkeys » expliqués en trois questions Pour être plus discrets, ces rançongiciels chiffrent des fichiers de manière intermittente Patch Tuesday de septembre : une vulnérabilité Zero Day de type « important » à traiter comme critique Patch Tuesday : Microsoft corrige 64 nouvelles vulnérabilités, dont cinq critiques Patch Tuesday : Microsoft dégaine 64 correctifs en septembre Et puis, dans la vie personnelle comme dans la vie professionnelle Perte ou vol de matériel informatique nomade : les bons réflexes à avoir ! Une information de la CNIL LinkedIn, vous pourriez y rencontrer des professionnels, de l’arnaque ! Campagne de smishing liée à l’assurance maladie. Le « smishing » est une forme de phishing par SMS particulièrement convaincant. Alors … vigilance (!) Veille de veille(s) La newsletter hebdomadaire Threat Landscape Intrinsec du 14 septembre Les 5 actus cybersécurité à ne pas manquer | 14 sept 2022 dudécodeur La protection des données personnelles – RGPD / GDPR le règlement européen et plus … Infogreffe épinglé par la CNIL pour avoir conservé trop longtemps des données personnelles Amende record à l’encontre d’Instagram à la suite de l’intervention du Comité européen pour la protection des données La CNIL et la DPC irlandaise enquêtent elles aussi sur Twitter Les autorités européennes de protection des données pointent du doigt leur manque de budget Microsoft restera l’hébergeur du Health Data Hub jusqu’en 2025 Le Health Data Hub sur du cloud souverain, ce n’est pas pour demain Données personnelles, promesses non tenues: le « far west » des applications de santé Un flou scientifique et réglementaire entoure encore les applications de santé Au Parlement européen, la commission santé va codiriger le dossier sur l’espace des données de santé Conformité RGPD : les bonnes pratiques à appliquer en entreprise Les problématiques des (r)évolutions numériques en cours La France future vache à lait des pirates informatiques ? « C’est vrai ça ? » traque les fake news sur LinkedIn Google a bien abusé avec Android, tranche la justice européenne La justice européenne confirme l’abus de position dominante de Google mais réduit l’amende Les DSI face aux nouvelles réglementations fiscales en matière de contrôle des transactions en continu (CTC) Des nouvelles du CyberFront Ransomware : qui paie et pourquoi ? Cyberattaque. Indemniser les entreprises qui ont payé une rançon : bonne ou mauvaise idée ? publié par Ouest-France L’israélien Cognyte et les services français du renseignement … qu’est-ce que le Cyber-HUMINT ? L’Estonie aide l’Ukraine à renforcer sa cyberrésilience Des pirates informatiques russes utilisent un nouveau malware voleur d’informations contre des organisations ukrainiennes (en) Israël offre une cyberassistance à l’Albanie pour contrer l’Iran La Chine accuse la NSA d’avoir piraté son université de recherche militaire pour voler des données Nouvelles lois sur la cybersécurité pour les fournisseurs de télécommunications (en) Confirmation de nouvelles règles strictes pour protéger les réseaux de télécommunications britanniques contre les cyberattaques, le communiqué de presse gouvernemental Les hackers de l’hôpital de Corbeil-Essonnes revendiquent 12 cyberattaques d’organismes français Cyberattaque de Corbeil-Essonnes : les pirates divulguent des données de santé volées pour exercer un chantage sur l’hôpital Les données des patients de l’hôpital de Corbeil-Essonnes commencent à être divulguées par les hackers et … … L’hôpital de Cahors touché par une cyberattaque Cybersécurité : enquête ouverte sur les documents de l’OTAN volés au Portugal Devant le Sénat américain, le lanceur d’alerte Peiter Zatko déclare la guerre à Twitter Twitter incapable de protéger les données des utilisateurs, selon un ancien RSI La CNIL davantage crainte que la FTC, d’après l’ancien responsable de la sécurité de Twitter Toulouse INP confronté à un ransomware depuis lundi 12 septembre au soir Une cyberattaque paralyse les écoles de Polytechnique Toulouse, une rançon demandée Matière à réflexions Notre quotidien au filtre des traitements algorithmiques, une interview de François PELLIGRINI, expert en droit des technologies numériques Les lumières du numérique, une synthèse du rapport de la Commission Bronner Les lumières à l’ère numérique, le rapport complet; désordres informationnels, perturbations démocratiques, recommandations … Études, enquêtes et référentiels Forensics. Les experts traversent l’écran dans le N. 25 du magazine CyberRun. Accessible sur abonnement gratuit Guide pour les collectivités territoriales « sécurité numérique, l’essentiel de la réglementation », sa présentation par Françoise HALPER sur LinkedIn Les entreprises du marché français adaptent leur stratégie de cybersécurité pour répondre aux défis informatiques selon le Cabinet ISG Cybersécurité : wipers et botnet IoT s’attaquent de plus en plus aux systèmes industriels, selon Nozomi Networks Les lacunes en matière de sécurité du cloud exposent les actifs critiques de l’entreprise en seulement trois coups selon un rapport d’Orca Security Séminaires – Conférences – Journées Session portes ouvertes 2022 du CLUSIF le 3 octobre en ouverture du mois européen de la cybersécurité … Cybermoi/s 2022 – Webinaire d’information le 20 septembre, un webinaire organisé par l’ANSSI et Cybermalveillance.gouv.fr Octobre est le Mois de la sensibilisation à la cybersécurité au Canada Mois européen de la cybersécurité: événement de lancement, 27 septembre 2022, le communiqué de presse du Conseil de l’Union européenne Campagnes de sensibilisation à la cybersécurité : quelle est leur efficacité pour modifier les comportements ? lancement d’une enquête de l’ENISA pour répondre à cette question (en) Silicon Day Cybersécurité : comment soigner sa résilience IT le 27 septembre dans sa 2ème édition Le Gacyb Finistère fait son show autour de la cybersécurité, c’est le 6 octobre Intelligence artificielle, sécurité et plus … IA au service de la sécurité … ou pas L’Université de l’Alberta va redoubler d’efforts pour détecter les conducteurs distraits grâce à l’intelligence artificielle (en) Interrogations / Perspectives / Prospectives Loi sur l’IA : que signifie l’IA à usage général (GPAI) ? (en) Ce que la loi européenne sur l’IA signifie pour le secteur de l’assurance (en) L’IA, la nouvelle tendance qui vient faciliter la tricherie chez les étudiants 3 capacités essentielles manquantes à l’IA (en) Modèles fondamentaux : changement de paradigme de l’IA en 2022 (en) Il n’y a pas de place Tiananmen dans la nouvelle IA chinoise de création d’images (en) Santé Neurosciences : comprendre les flux de communication dans le cerveau grâce au machine learning L’utilisation de l’intelligence artificielle pour aider à réduire les faux positifs (en) Un système basé sur l’IA est prometteur dans la détection de la tuberculose (en) Recherche et développement La formation sur les réseaux de neurones antagonistes aide à comprendre comment une intelligence artificielle puissante peut fonctionner (en) Une nouvelle méthode de comparaison des réseaux de neurones expose le fonctionnement de l’intelligence artificielle (en) Meta a construit une IA capable de deviner les mots que vous entendez en décodant vos ondes cérébrales (en) 18 septembre 2022. L’Union européenne et la sécurité numérique … que de réglementations ! Que de réglementations ! – Régions de France et Gendarmerie Nationale ensemble pour lutter contre la cybercriminalité – Le commandant de la cyberdéfense s’adresse aux cybercombattants – La cyberattaque d’Uber, cas d’école… A(ré)écouter – A (re)voir Guerre de l’information : le faible surprend le fort, sur YouTube, doc du Centre de recherche 451 dans sa série sur la guerre de l’information « La santé commence difficilement à rattraper son retard en matière cyber » vidéo IT For business de l’interview d’Emmanuel GOSSELIN de Sophos Informations Partager son dossier médical, ce sera bientôt possible dans toute l’UE Le service numérique européen qui veut aider à éviter les erreurs médicales « Numérique de confiance » : l’État tend la main à OVHCloud Stratégie nationale cyber : Télécom SudParis co-pilote SuperviZ Le programme et équipement prioritaire de recherche (PEPR) « Cybersécurité » – Appel à projets – 2022. La date limite de dépôt des dossiers, 30 septembre à 11h. CEST Management de la sécurité de l’Information Quelques conseils pour créer un (bon) CTF (capture the flag) Améliorer ses défenses face aux menaces de demain La cybersécurité est une course de fond Cybersécurité : les 5 règles pour une bonne rentrée Comment se faire indemniser suite à une arnaque au président, une analyse juridique Cybersécurité: l’UE durcit les règles sur les objets connectés (voir lettre du 15 septembre) Le Cyber Resilience Act : de quoi s’agit-il et pourquoi il est important, une analyse de Rayna STAMBOLIYSKA La Commission européenne va obliger les fabricants d’objets connectés à muscler leur cybersécurité Objets connectés : cinq questions sur le Cyber Resilience Act européen Loi sur la cyberrésilience, une synthèse de la Commission européenne et encore … La Commission européenne présente un plan d’attaque sur le métavers Marc-Antoine LEDIEU propose un récapitulatif en 1 diapo des projets de règlements ou de directives de l’UE depuis septembre 2020 Canada – Cybersécurité : de nouvelles réglementations s’en viennent Il est temps de moderniser les réseaux des établissements scolaires et de repenser leur sécurité Rentrée universitaire : les meilleures universités françaises exposées au risque de fraude par email, un article de Loïc GUEZO La protection des données sensibles dans les systèmes de santé nécessite une approche unifiée La cybersécurité au cœur de l’industrie Améliorer la posture de sécurité en rapprochant les équipes chargées de l’identité et de la sécurité Microsoft déploie un patch de sécurité urgent, même sur Windows 7 L’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) ordonne aux agences de corriger la vulnérabilité utilisée dans les attaques Stuxnet ; l’Agence ajoute une demi-douzaine de vulnérabilités à son catalogue de vulnérabilités exploitées (en) Sanctions iraniennes – La semaine du ransomware de Bleeping Computer du 16 septembre (en) Et puis, dans la vie personnelle comme dans la vie professionnelle Attention aux SMS, appels ou courriels frauduleux, l’assurance maladie communique … Veille de veille(s) La lettre de veille de l’ARCSI concernant la semaine 37 (du 12 au 18 septembre) et rapportant les faits marquants en cryptologie et sécurité de l’information, le message de Francis BRUCKMANN ou l’actualité en continu sur le site de l’Association La protection des données personnelles – RGPD / GDPR le règlement européen et plus … Les cadres de référence de la CNIL pour guider les organismes dans la mise en conformité de leur traitement Faire d’un droit individuel un sujet collectif : rencontres entre la société civile et la CNIL autour de la protection des données, le dossier CNIL Il a fallu que l’Europe intervienne pour infliger une amende record à Instagram Meta et Google condamnés pour défaut de consentement à la collecte de données en Corée du Sud Le CEPD estime que Meta traite les données personnelles des enfants de manière illicite Canada – Loi 25 : Les pénalités pour atteinte à la vie privée augmentent Protection des renseignements personnels au Québec : votre entreprise est-elle prête pour les nouvelles règles en vigueur en septembre? Les problématiques des (r)évolutions numériques en cours Comment YouTube rémunère les discours haineux, misogynes et racistes Le « Darkverse », le côté obscur du Métavers qui inquiète déjà les spécialistes  « Le droit à la vie privée est plus que jamais en danger », alerte l’ONU Logiciels espions et surveillance : menaces croissantes contre la vie privée et les droits de l’homme, prévient un rapport de l’ONU, le communiqué de presse du Haut-Commissariat aux droits de l’Homme (en) En 2022, un tiers de la population mondiale n’a toujours pas accès à Internet Des nouvelles du CyberFront Le Top des Malwares du mois d’août en France : FormBook garde la tête du classement devant AgentTesla et GuLoader Ransomware : un été plus calme qu’anticipé en France La vieille attaque par hameçonnage est en hausse Une spectaculaire augmentation des attaques mobiles au premier trimestre 2022 Rentrée du COMCYBER : le GDI Bonnemaison s’adresse aux cybercombattants La gendarmerie s’associe aux Régions de France pour lutter contre la cybercriminalité Agir sur les territoires pour faire face à la menace cyber – Régions de France et la Gendarmerie Nationale signent une convention de coopération en matière de cybersécurité Comment 15 hackers ont paralysé 30 000 soldats russes et sauvé Kiev, sur JDN, accessible sur inscription simple Le chef de la cyberguerre ukrainienne pense qu’il est entrain de gagner (en) Sur Internet, la guérilla pro-Ukraine de NAFO, la brigade de mèmes à tête de chien Bulletin de cybersécurité conjoint sur des auteurs de cybermenaces affiliés au Corps des Gardiens de la révolution islamique de l’Iran qui exploitent des vulnérabilités dans le cadre d’opérations d’extorsion de données et de rançons publié notamment par le Centre canadien pour la cybersécurité Canada – Fuite de données chez Bell Solutions techniques 1 000 € offerts pour un tatouage, l’offre hallucinante de Lockbit, le célèbre groupe de pirates Bug Bounty chez les pirates. Les pirates informatiques du groupe LockBit 3.0 annoncent les premières primes offertes dans leur Bug Bounty et remercient … un agent du FBI ! Posté par Damien BANCAL The Merge d’Ethereum attire aussi toute une ribambelle de cybercriminels LastPass, le gestionnaire de mots de passe, confirme que les pirates ont eu un accès interne à son système, pendant quatre jours Les États-Unis inculpent et sanctionnent des pirates informatiques iraniens 3 hackers iraniens inculpés aux USA après des cyberattaques dont certaines en Israël Uber victime d’une importante cyberattaque : le pirate aurait 18 ans. Tout part d’un mot de passe volé Uber piraté, les systèmes internes piratés et les rapports de vulnérabilité volés “Incident de cybersécurité” chez Uber: un employé “bombardé” de requêtes cède le code d’accès par “ras-le-bol” Ce que la violation de données d’Uber révèle sur l’ingénierie sociale (en) Uber victime d’un piratage dont l’ampleur semble très importante Uber : tous les systèmes informatiques pourraient avoir été compromis par un pirate « Incident de cybersécurité » chez Uber, qui dérape en Bourse Uber affirme qu’aucune donnée sensible n’a été exposée dans la dernière violation… mais il y a plus que cela L’hôpital de Cahors victime d’une cyberattaque, les données médicales non impactées Le pirate du Centre Hospitalier de Corbeil-Essonnes, un Français ? Mon analyse sur l’attaque du CH Sud Francilien de Cédric LAMOUCHE Matière à réflexions La cybersécurité, l’atout clé pour l’Europe L’avenir effrayant d’internet : et si le pire était devant nous en matière de cybersécurité ? Avec le quantique, la sécurité numérique entre dans l’ère du paradoxe « Les communs numériques, une alternative au contrôle total des données par le privé ou le public », accès abonnés LeMonde Intelligence artificielle, sécurité et plus … IA au service de la sécurité … ou pas Détection d’exploit Zero-Day à l’aide de l’apprentissage automatique (en) Lutter contre la fraude financière avec l’apprentissage automatique (en) Le patron de l’intelligence artificielle du Pentagone dit que des données réelles guident le travail (en) L’IA, arme de destruction massive (en) Interrogations / Perspectives / Prospectives La Commission européenne va proposer une présomption réfutable pour les dommages liés à l’IA Des chercheurs affirment que le développement de l’intelligence artificielle mène à une « catastrophe probable » pour l’humanité « Prompt art », intelligence artificielle et droit d’auteur : guide pratique L’IA très largement sous-exploitée dans le secteur public (Conseil d’État) Sans données de qualité, l’IA reste inutile Pourquoi la qualité des données est-elle importante dans la mise en œuvre de l’IA ? Pourquoi l’humain est nécessaire pour propulser l’IA conversationnelle (en) Dans le métaverse : comment l’IA conversationnelle construira sa base d’expérience (en) Qui a laissé sortir les chiens robots ? (en) Santé Comment l’apprentissage automatique peut accélérer les solutions aux défis de conception de protéines (en) Classifier les cancers primitifs non diagnostiqués grâce au deep learning Des chercheurs de l’Institute for Protein Design montrent comment l’IA peut générer de nouvelles formes de protéines (en) Enseignement L’Apprentissage automatique, expliqué (en) Économie – Business– Stratégie L’IA française en pointe pour lutter contre la pénurie d’énergie Intelligence artificielle : banque et retail investissent le plus Machine learning : PyTorch de Facebook passe sous le giron de la Fondation Linux États-Unis : L’intelligence artificielle du gouvernement concerne les personnes, pas la programmation (en) Comment l’intelligence artificielle influence l’avenir du travail dans l’industrie du transport aérien À votre disposition pour recueillir vos observations, suggestions et commentaires sur cette information guillet.lionel@gmail.com Une précision – Les recherches ciblées sur les lettres de veille archivées sont désormais possibles par l’intermédiaire d’un widget sur la page d’accueil du site https://veillecyberland.wordpress.com/ Un mot-clé, sa validation, et le système vous affiche la liste des lettres qui le contiennent. Il suffit alors de cliquer sur le lien hypertexte de chacune des lettres pour les ouvrir et lancer une recherche par CTRL+F sur leur contenu. La transaction manque d’élégance, mais elle est efficace. Elle peut vous être utile pour une étude, pour préparer une intervention, une présentation, etc.

  • Veille Cyber N405 – 19 septembre 2022
    par veillecybertb le 23 septembre 2022 à 21h31

    Veille hebdomadaire du 18 septembre 2022 CyberStratégie /CyberDéfense / CyberSécurité – Protection des données / RGPD – Intelligence artificielle … Lettre Cyber 405 L’actualité cyber du 12 au 18 septembre 2022 …… faits, chroniques et opinions, référentiels, séquences audio, séquences vidéo … selon vos centres d’intérêt, personnels ou professionnels, je vous laisse découvrir l’actualité de la semaine, dans ces domaines essentiels que sont … la CyberStratégie, la CyberSécurité, la protection des données personnelles et l’intelligence artificielle … sans prétention à l’exhaustivité et avec beaucoup de subjectivité, inévitable, bien évidemment. Une bonne semaine à vous. Sans oublier que je reste à l’écoute de vos commentaires et de vos observations guillet.lionel@gmail.com Ce qui a retenu mon attention dans l’actualité de cette semaine 13 septembre 2022. Le gouvernement dans le cloud, de nouveaux dispositifs annoncés – Les élections professionnelles par vote électronique, ça semble OK dans la fonction publique – Infogreffe sanctionné par la CNIL, vraiment n’importe quoi titre un média – Fraude à Pôle emploi, un piège pour les entreprises … A(ré)écouter – A (re)voir Les cyberattaques, quelles sont les solutions pour les anticiper ? Sur France Inter, dans le podcast “Zoom Zoom Zen” Pwn2own Vancouver 2022, au micro de l’équipe NoLimitSecu cette semaine,  David BERARD et Vincent DEHORS parlent des vulnérabilités qu’ils ont exploitées sur une voiture Tesla Model3 Informations Règles de cybersécurité communes sur les objets connectés : l’UE devrait présenter le 13 septembre sa proposition de loi Loi européenne sur la cyber-résilience de l’IoT : la mise en œuvre demande réflexion Objets connectés: les maillons faibles de la cybersécurité une brève BFM Tv Que retenir des annonces gouvernementales sur le cloud souverain ? 12/09/2022 – Bruno Le Maire et Jean-Noël Barrot réaffirment la stratégie nationale pour le Cloud et annoncent de nouveaux dispositifs en faveur du secteur, le communiqué de presse Discours de Bruno Le Maire sur la stratégie nationale pour le Cloud L’État va préciser la doctrine “Cloud au centre” pour une meilleure appropriation par ses services Cloud souverain : la surprenante volte-face de l’Etat en faveur de l’écosystème français Cloud : cinq nouveaux dispositifs pour soutenir le développement du secteur, l’information du ministère de l’économie … Bruno Le Maire annonce la création d’un comité stratégique de filière sur le numérique de confiance Données sensibles dans le Cloud : le gouvernement n’exclut pas des mesures contraignantes pour les entreprises Données sensibles : le gouvernement envisage des mesures contraignantes pour les entreprises Les administrations néerlandaises pourront stocker leurs données dans des “clouds” commerciaux Financement des réseaux : les GAFAM dans la ligne de mire de Bruxelles Mandiant rejoint Google Cloud, le communiqué de presse … (en) Cybersécurité : Google s’offre le géant Mandiant pour rattraper Microsoft Management de la sécurité de l’Information La cybersécurité doit aussi se penser durable 4 idées reçues sur la Cybersécurité Comment adapter la gestion des vulnérabilités dans un paysage des menaces en perpétuelle évolution ? Canada – On ne parle pas assez de cybersécurité Propriété intellectuelle dans l’espace numérique : de l’importance de la protéger et de la valoriser Des tests rassurants pour le vote électronique aux élections professionnelles Sensibilisation cybersécurité, les freins et objections les plus fréquents et pourtant …”Se protéger est plus facile qu’il n’y paraît” Le secteur de la santé est désormais le plus ciblé par les ransomwares : Comment se défendre ? Les hôpitaux seront-ils un jour épargnés par la menace cyber ? Pourquoi il faut davantage parler des attaques par rançongiciel Avènement des menaces liées aux technologies opérationnelles, ou la nouvelle ère des objets malveillants Les cybercriminels multiplient les attaques ciblant des protocoles industriels EvilProxy : le nouvel outil de hacking qui fait trembler les experts en sécurité Des failles connues mais pas toujours corrigées chez HP États-Unis : Le rôle de l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) dans les systèmes de contrôle industriels (en) Le bulletin d’actualité du 12 septembre du CERT-FR, un retour sur “les vulnérabilités significatives de la semaine passée pour souligner leurs criticités” Et puis, dans la vie personnelle comme dans la vie professionnelle 5 conseils de cybersécurité pour les étudiants 1 500 cartes d’identité et passeports français sont en vente sur des forums de hackers Veille de veille(s) L’OSINT par Julien Métayer, un article sur les outils de veille et de renseignement Les 5 meilleurs outils Veille La protection des données personnelles – RGPD / GDPR le règlement européen et plus … Sanction de 250 000 euros à l’encontre d’INFOGREFFE, le communiqué de presse de la CNIL Infogreffe a fait tout ce qu’il ne faut pas faire avec les mots de passe Sanction de la CNIL à l’encontre d’ACCOR : une décision riche d’enseignements pour les Délégués à la protection des données, un communiqué de l’AFCDP, l’Association française des correspondants à la protection des données à caractère personnel [Structurer] Par finalités, le premier design pattern pour concevoir des interfaces respectueuses du RGPD, proposé par le LINC, le Laboratoire d’Innovation Numérique de la CNIL Pourquoi attendre la finalisation de la 3ème tentative d’accord entre l’UE et les USA sur le transfert des données personnelles ? Les problématiques des (r)évolutions numériques en cours A la traîne des Chinois et des Américains, l’Europe rêve de souveraineté numérique Trend Micro pointe les menaces cyber autour du Metavers On ne peut pas téléphoner à internet, mais on peut le modérer Moteur de recherche : Google dépenserait des sommes astronomiques pour maintenir sa position dominante Des nouvelles du CyberFront Niveau record des attaques par “vishing hybride”, hameçonnage vocal amorcé par e-mail La nouvelle ruse des hackers : passer par Pôle emploi pour piéger les entreprises Proofpoint : Cyber espionnage, TA453 lance une série d’attaques contre plusieurs personnalités occidentales, toutes spécialisées dans l’analyse des politiques publiques au Moyen-Orient Hôpital piraté de Corbeil-Essonnes : on connaît le nom du coupable Hôpital de Corbeil-Essonnes : le groupe russophone Lockbit 3.0 revendique la cyberattaque et lance le chantage aux données LockBit, le groupe de hackers qui se cache derrière l’attaque de l’hôpital de Corbeil-Essonnes Du hacktivisme à Google en passant par l’armée : les mille vies de “Mudge”, le lanceur d’alerte de Twitter Plainte contre Twitter: le petit oiseau va pâtir?, accès abonnés Libération Une association de hackers éthiques voit le jour à Tournai, en Belgique B&D Eolas, Atos : deux infogéreurs touchés par des cyberattaques “Cyberattaque d’ampleur” à l’institut national polytechnique de Toulouse Matière à réflexions Rentrée cyber : une rentrée bizarre, très bizarre… un édito de Cédric CARTAU Un rapport de la direction générale du Trésor sur l’assurance du risque cyber (voir les lettres du 8 et 11 septembre) Études, enquêtes et référentiels Guide sur les carrières en cybersécurité du Centre canadien pour la cybersécurité [métier] Donner aux femmes les moyens de travailler dansla cybersécurité, c’est gagnant-gagnant, une étude du Global Cybersecurity Forum (en) L’obsolescence des infrastructures de sauvegarde, un risque bien présent, une enquête Censuswide/Cohesity 20 tendances informatiques que les DSI doivent connaître pour se préparer à lutter, une enquête MuleSoft Travail hybride : les PME investissent dans la sécurité de leur réseau selon une étude de Dynabook Europe GmbH Les cyberattaques feraient grimper la mortalité dans les établissements de santé touchés Séminaires – Conférences – Journées La cybersécurité peut-elle être efficace ? La réponse de Solange GHERNAOUTI lors du prochain Lundi de la cybersécurité le 19 septembre Peut-on vraiment assurer le risque cyber ? À la prochaine matinale InCyber le 22 septembre Intelligence artificielle, sécurité et plus … IA au service de la sécurité … ou pas Michelin accompagne piétons et cyclistes grâce à son nouveau service d’intelligence artificielle Interrogations / Perspectives / Prospectives Autocratie numérique : La surveillance des IA sonne le glas de la vie privée Nouveau partenariat stratégique d’ampleur entre Confiance.ai et Aniti Voici ce qu’il se passe lorsqu’on demande à l’IA d’imaginer les futurs gratte-ciels Les États-Unis interdisent l’exportation des puces d’IA de pointe vers la Chine Ms Tang Yu, la première IA nommée PDG L’IA, l’arme des GAFAM face au défi climatique des data centers L’IA va-t-elle remplacer les rédacteurs web ? Droit des robots : politique publique, responsabilité juridique et le nouveau monde des systèmes autonomes Pourquoi le marché de l’IA explicable se développe rapidement (en) Vidéo : On demande à un robot avancé si les machines à intelligence artificielle prendront le contrôle du monde (en) “Les robots ne prendront jamais le contrôle du monde”: Ameca, le robot humanoïde le plus avancé au monde, assure qu’il n’y a “pas besoin de s’inquiéter” et affirme que les androïdes sont là pour “aider et servir les humains” (en) 10 Bits : La liste critique de l’actualité des données du 27 août au 2 septembre (en) 10 Bits : La liste critique de l’actualité des données du 3 au 9 septembre (en) Technologie – Recherche et développement IBM met à niveau le mainframe Linux, augmentant la disponibilité et les performances de l’IA (en) Économie – Business L’IA va-t-elle manger les emplois des centres d’appels ? 15 septembre 2022. De la cybersécurité “by design” pour les objets connectés, l’UE publie son projet – Le Health Data Hub souverain, ça attendra 2025 – 12 organismes français en 24h, le tableau de chasse revendiqué par les,responsables de la cyberattaque de l’hôpital de Corbeil-Essonnes et … l’hôpital de Cahors touché par une cyberattaque à son tour – Octobre, le mois de la sensibilisation à la cybersécurité … A(ré)écouter – A (re)voir Cybersécurité, partie intégrante de l’intelligence économique, une visio du CLUSIR Normandie de fin juin Informations La souveraineté numérique passe par la protection des données et la cybersécurité Avec Dora, l’Europe veut renforcer la résistance au risque cyber Comment l’Europe veut renforcer la protection des objets connectés Bruxelles instaure une obligation de cybersécurité “by design” pour les fabricants d’objets connectés État de l’Union : De nouvelles règles de l’UE en matière de cybersécurité pour des produits matériels et logiciels plus sécurisés, le communiqué de presse de la Commission avec l’ensemble des éléments du dossier dont la proposition d’acte législatif Avec le Cyber Resilience Act, l’Union européenne veut serrer la vis sur la cybersécurité Cybersécurité : Bruxelles s’attaque aux objets connectés Ordinateur quantique : quatre algorithmes conçus pour résister à sa menace Google a finalisé le rachat de Mandiant Management de la sécurité de l’Information La lettre d’information N.21 – septembre 2022   de CyberMalveillance.gouv.fr Le gouvernement met la pression sur les entreprises pour qu’elles sécurisent leurs données (voir lettre de veille du 13 septembre) Cybersécurité : il faut pirater le cerveau des pirates Il est temps de tirer le signal d’alarme face aux risques croissants de sécurité du cloud L’évaluation régulière des vulnérabilités et l’auto-remédiation sont les clés d’une stratégie de sécurité cloud réussie Cybersécurité : mieux vaut prévenir que guérir Surface d’attaque exposée : que surveiller et pourquoi ? Fini les mots de passe ? Les “passkeys” expliqués en trois questions Pour être plus discrets, ces rançongiciels chiffrent des fichiers de manière intermittente Patch Tuesday de septembre : une vulnérabilité Zero Day de type “important” à traiter comme critique Patch Tuesday : Microsoft corrige 64 nouvelles vulnérabilités, dont cinq critiques Patch Tuesday : Microsoft dégaine 64 correctifs en septembre Et puis, dans la vie personnelle comme dans la vie professionnelle Perte ou vol de matériel informatique nomade : les bons réflexes à avoir ! Une information de la CNIL LinkedIn, vous pourriez y rencontrer des professionnels, de l’arnaque ! Campagne de smishing liée à l’assurance maladie. Le “smishing” est une forme de phishing par SMS particulièrement convaincant. Alors … vigilance (!) Veille de veille(s) La newsletter hebdomadaire Threat Landscape Intrinsec du 14 septembre Les 5 actus cybersécurité à ne pas manquer | 14 sept 2022 dudécodeur La protection des données personnelles – RGPD / GDPR le règlement européen et plus … Infogreffe épinglé par la CNIL pour avoir conservé trop longtemps des données personnelles Amende record à l’encontre d’Instagram à la suite de l’intervention du Comité européen pour la protection des données La CNIL et la DPC irlandaise enquêtent elles aussi sur Twitter Les autorités européennes de protection des données pointent du doigt leur manque de budget Microsoft restera l’hébergeur du Health Data Hub jusqu’en 2025 Le Health Data Hub sur du cloud souverain, ce n’est pas pour demain Données personnelles, promesses non tenues: le “far west” des applications de santé Un flou scientifique et réglementaire entoure encore les applications de santé Au Parlement européen, la commission santé va codiriger le dossier sur l’espace des données de santé Conformité RGPD : les bonnes pratiques à appliquer en entreprise Les problématiques des (r)évolutions numériques en cours La France future vache à lait des pirates informatiques ? “C’est vrai ça ?” traque les fake news sur LinkedIn Google a bien abusé avec Android, tranche la justice européenne La justice européenne confirme l’abus de position dominante de Google mais réduit l’amende Les DSI face aux nouvelles réglementations fiscales en matière de contrôle des transactions en continu (CTC) Des nouvelles du CyberFront Ransomware : qui paie et pourquoi ? Cyberattaque. Indemniser les entreprises qui ont payé une rançon : bonne ou mauvaise idée ? publié par Ouest-France L’israélien Cognyte et les services français du renseignement … qu’est-ce que le Cyber-HUMINT ? L’Estonie aide l’Ukraine à renforcer sa cyberrésilience Des pirates informatiques russes utilisent un nouveau malware voleur d’informations contre des organisations ukrainiennes (en) Israël offre une cyberassistance à l’Albanie pour contrer l’Iran La Chine accuse la NSA d’avoir piraté son université de recherche militaire pour voler des données Nouvelles lois sur la cybersécurité pour les fournisseurs de télécommunications (en) Confirmation de nouvelles règles strictes pour protéger les réseaux de télécommunications britanniques contre les cyberattaques, le communiqué de presse gouvernemental Les hackers de l’hôpital de Corbeil-Essonnes revendiquent 12 cyberattaques d’organismes français Cyberattaque de Corbeil-Essonnes : les pirates divulguent des données de santé volées pour exercer un chantage sur l’hôpital Les données des patients de l’hôpital de Corbeil-Essonnes commencent à être divulguées par les hackers et … … L’hôpital de Cahors touché par une cyberattaque Cybersécurité : enquête ouverte sur les documents de l’OTAN volés au Portugal Devant le Sénat américain, le lanceur d’alerte Peiter Zatko déclare la guerre à Twitter Twitter incapable de protéger les données des utilisateurs, selon un ancien RSI La CNIL davantage crainte que la FTC, d’après l’ancien responsable de la sécurité de Twitter Toulouse INP confronté à un ransomware depuis lundi 12 septembre au soir Une cyberattaque paralyse les écoles de Polytechnique Toulouse, une rançon demandée Matière à réflexions Notre quotidien au filtre des traitements algorithmiques, une interview de François PELLIGRINI, expert en droit des technologies numériques Les lumières du numérique, une synthèse du rapport de la Commission Bronner Les lumières à l’ère numérique, le rapport complet; désordres informationnels, perturbations démocratiques, recommandations … Études, enquêtes et référentiels Forensics. Les experts traversent l’écran dans le N. 25 du magazine CyberRun. Accessible sur abonnement gratuit Guide pour les collectivités territoriales “sécurité numérique, l’essentiel de la réglementation”, sa présentation par Françoise HALPER sur LinkedIn Les entreprises du marché français adaptent leur stratégie de cybersécurité pour répondre aux défis informatiques selon le Cabinet ISG Cybersécurité : wipers et botnet IoT s’attaquent de plus en plus aux systèmes industriels, selon Nozomi Networks Les lacunes en matière de sécurité du cloud exposent les actifs critiques de l’entreprise en seulement trois coups selon un rapport d’Orca Security Séminaires – Conférences – Journées Session portes ouvertes 2022 du CLUSIF le 3 octobre en ouverture du mois européen de la cybersécurité … Cybermoi/s 2022 – Webinaire d’information le 20 septembre, un webinaire organisé par l’ANSSI et Cybermalveillance.gouv.fr Octobre est le Mois de la sensibilisation à la cybersécurité au Canada Mois européen de la cybersécurité: événement de lancement, 27 septembre 2022, le communiqué de presse du Conseil de l’Union européenne Campagnes de sensibilisation à la cybersécurité : quelle est leur efficacité pour modifier les comportements ? lancement d’une enquête de l’ENISA pour répondre à cette question (en) Silicon Day Cybersécurité : comment soigner sa résilience IT le 27 septembre dans sa 2ème édition Le Gacyb Finistère fait son show autour de la cybersécurité, c’est le 6 octobre Intelligence artificielle, sécurité et plus … IA au service de la sécurité … ou pas L’Université de l’Alberta va redoubler d’efforts pour détecter les conducteurs distraits grâce à l’intelligence artificielle (en) Interrogations / Perspectives / Prospectives Loi sur l’IA : que signifie l’IA à usage général (GPAI) ? (en) Ce que la loi européenne sur l’IA signifie pour le secteur de l’assurance (en) L’IA, la nouvelle tendance qui vient faciliter la tricherie chez les étudiants 3 capacités essentielles manquantes à l’IA (en) Modèles fondamentaux : changement de paradigme de l’IA en 2022 (en) Il n’y a pas de place Tiananmen dans la nouvelle IA chinoise de création d’images (en) Santé Neurosciences : comprendre les flux de communication dans le cerveau grâce au machine learning L’utilisation de l’intelligence artificielle pour aider à réduire les faux positifs (en) Un système basé sur l’IA est prometteur dans la détection de la tuberculose (en) Recherche et développement La formation sur les réseaux de neurones antagonistes aide à comprendre comment une intelligence artificielle puissante peut fonctionner (en) Une nouvelle méthode de comparaison des réseaux de neurones expose le fonctionnement de l’intelligence artificielle (en) Meta a construit une IA capable de deviner les mots que vous entendez en décodant vos ondes cérébrales (en) 18 septembre 2022. L’Union européenne et la sécurité numérique … que de réglementations ! Que de réglementations ! – Régions de France et Gendarmerie Nationale ensemble pour lutter contre la cybercriminalité – Le commandant de la cyberdéfense s’adresse aux cybercombattants – La cyberattaque d’Uber, cas d’école… A(ré)écouter – A (re)voir Guerre de l’information : le faible surprend le fort, sur YouTube, doc du Centre de recherche 451 dans sa série sur la guerre de l’information “La santé commence difficilement à rattraper son retard en matière cyber” vidéo IT For business de l’interview d’Emmanuel GOSSELIN de Sophos Informations Partager son dossier médical, ce sera bientôt possible dans toute l’UE Le service numérique européen qui veut aider à éviter les erreurs médicales “Numérique de confiance” : l’État tend la main à OVHCloud Stratégie nationale cyber : Télécom SudParis co-pilote SuperviZ Le programme et équipement prioritaire de recherche (PEPR) “Cybersécurité” – Appel à projets – 2022. La date limite de dépôt des dossiers, 30 septembre à 11h. CEST Management de la sécurité de l’Information Quelques conseils pour créer un (bon) CTF (capture the flag) Améliorer ses défenses face aux menaces de demain La cybersécurité est une course de fond Cybersécurité : les 5 règles pour une bonne rentrée Comment se faire indemniser suite à une arnaque au président, une analyse juridique Cybersécurité: l’UE durcit les règles sur les objets connectés (voir lettre du 15 septembre) Le Cyber Resilience Act : de quoi s’agit-il et pourquoi il est important, une analyse de Rayna STAMBOLIYSKA La Commission européenne va obliger les fabricants d’objets connectés à muscler leur cybersécurité Objets connectés : cinq questions sur le Cyber Resilience Act européen Loi sur la cyberrésilience, une synthèse de la Commission européenne et encore … La Commission européenne présente un plan d’attaque sur le métavers Marc-Antoine LEDIEU propose un récapitulatif en 1 diapo des projets de règlements ou de directives de l’UE depuis septembre 2020 Canada – Cybersécurité : de nouvelles réglementations s’en viennent Il est temps de moderniser les réseaux des établissements scolaires et de repenser leur sécurité Rentrée universitaire : les meilleures universités françaises exposées au risque de fraude par email, un article de Loïc GUEZO La protection des données sensibles dans les systèmes de santé nécessite une approche unifiée La cybersécurité au cœur de l’industrie Améliorer la posture de sécurité en rapprochant les équipes chargées de l’identité et de la sécurité Microsoft déploie un patch de sécurité urgent, même sur Windows 7 L’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) ordonne aux agences de corriger la vulnérabilité utilisée dans les attaques Stuxnet ; l’Agence ajoute une demi-douzaine de vulnérabilités à son catalogue de vulnérabilités exploitées (en) Sanctions iraniennes – La semaine du ransomware de Bleeping Computer du 16 septembre (en) Et puis, dans la vie personnelle comme dans la vie professionnelle Attention aux SMS, appels ou courriels frauduleux, l’assurance maladie communique … Veille de veille(s) La lettre de veille de l’ARCSI concernant la semaine 37 (du 12 au 18 septembre) et rapportant les faits marquants en cryptologie et sécurité de l’information, le message de Francis BRUCKMANN ou l’actualité en continu sur le site de l’Association La protection des données personnelles – RGPD / GDPR le règlement européen et plus … Les cadres de référence de la CNIL pour guider les organismes dans la mise en conformité de leur traitement Faire d’un droit individuel un sujet collectif : rencontres entre la société civile et la CNIL autour de la protection des données, le dossier CNIL Il a fallu que l’Europe intervienne pour infliger une amende record à Instagram Meta et Google condamnés pour défaut de consentement à la collecte de données en Corée du Sud Le CEPD estime que Meta traite les données personnelles des enfants de manière illicite Canada – Loi 25 : Les pénalités pour atteinte à la vie privée augmentent Protection des renseignements personnels au Québec : votre entreprise est-elle prête pour les nouvelles règles en vigueur en septembre? Les problématiques des (r)évolutions numériques en cours Comment YouTube rémunère les discours haineux, misogynes et racistes Le “Darkverse”, le côté obscur du Métavers qui inquiète déjà les spécialistes  “Le droit à la vie privée est plus que jamais en danger”, alerte l’ONU Logiciels espions et surveillance : menaces croissantes contre la vie privée et les droits de l’homme, prévient un rapport de l’ONU, le communiqué de presse du Haut-Commissariat aux droits de l’Homme (en) En 2022, un tiers de la population mondiale n’a toujours pas accès à Internet Des nouvelles du CyberFront Le Top des Malwares du mois d’août en France : FormBook garde la tête du classement devant AgentTesla et GuLoader Ransomware : un été plus calme qu’anticipé en France La vieille attaque par hameçonnage est en hausse Une spectaculaire augmentation des attaques mobiles au premier trimestre 2022 Rentrée du COMCYBER : le GDI Bonnemaison s’adresse aux cybercombattants La gendarmerie s’associe aux Régions de France pour lutter contre la cybercriminalité Agir sur les territoires pour faire face à la menace cyber – Régions de France et la Gendarmerie Nationale signent une convention de coopération en matière de cybersécurité Comment 15 hackers ont paralysé 30 000 soldats russes et sauvé Kiev, sur JDN, accessible sur inscription simple Le chef de la cyberguerre ukrainienne pense qu’il est entrain de gagner (en) Sur Internet, la guérilla pro-Ukraine de NAFO, la brigade de mèmes à tête de chien Bulletin de cybersécurité conjoint sur des auteurs de cybermenaces affiliés au Corps des Gardiens de la révolution islamique de l’Iran qui exploitent des vulnérabilités dans le cadre d’opérations d’extorsion de données et de rançons publié notamment par le Centre canadien pour la cybersécurité Canada – Fuite de données chez Bell Solutions techniques 1 000 € offerts pour un tatouage, l’offre hallucinante de Lockbit, le célèbre groupe de pirates Bug Bounty chez les pirates. Les pirates informatiques du groupe LockBit 3.0 annoncent les premières primes offertes dans leur Bug Bounty et remercient … un agent du FBI ! Posté par Damien BANCAL The Merge d’Ethereum attire aussi toute une ribambelle de cybercriminels LastPass, le gestionnaire de mots de passe, confirme que les pirates ont eu un accès interne à son système, pendant quatre jours Les États-Unis inculpent et sanctionnent des pirates informatiques iraniens 3 hackers iraniens inculpés aux USA après des cyberattaques dont certaines en Israël Uber victime d’une importante cyberattaque : le pirate aurait 18 ans. Tout part d’un mot de passe volé Uber piraté, les systèmes internes piratés et les rapports de vulnérabilité volés “Incident de cybersécurité” chez Uber: un employé “bombardé” de requêtes cède le code d’accès par “ras-le-bol” Ce que la violation de données d’Uber révèle sur l’ingénierie sociale (en) Uber victime d’un piratage dont l’ampleur semble très importante Uber : tous les systèmes informatiques pourraient avoir été compromis par un pirate “Incident de cybersécurité” chez Uber, qui dérape en Bourse Uber affirme qu’aucune donnée sensible n’a été exposée dans la dernière violation… mais il y a plus que cela L’hôpital de Cahors victime d’une cyberattaque, les données médicales non impactées Le pirate du Centre Hospitalier de Corbeil-Essonnes, un Français ? Mon analyse sur l’attaque du CH Sud Francilien de Cédric LAMOUCHE Matière à réflexions La cybersécurité, l’atout clé pour l’Europe L’avenir effrayant d’internet : et si le pire était devant nous en matière de cybersécurité ? Avec le quantique, la sécurité numérique entre dans l’ère du paradoxe “Les communs numériques, une alternative au contrôle total des données par le privé ou le public”, accès abonnés LeMonde Intelligence artificielle, sécurité et plus … IA au service de la sécurité … ou pas Détection d’exploit Zero-Day à l’aide de l’apprentissage automatique (en) Lutter contre la fraude financière avec l’apprentissage automatique (en) Le patron de l’intelligence artificielle du Pentagone dit que des données réelles guident le travail (en) L’IA, arme de destruction massive (en) Interrogations / Perspectives / Prospectives La Commission européenne va proposer une présomption réfutable pour les dommages liés à l’IA Des chercheurs affirment que le développement de l’intelligence artificielle mène à une “catastrophe probable” pour l’humanité “Prompt art”, intelligence artificielle et droit d’auteur : guide pratique L’IA très largement sous-exploitée dans le secteur public (Conseil d’État) Sans données de qualité, l’IA reste inutile Pourquoi la qualité des données est-elle importante dans la mise en œuvre de l’IA ? Pourquoi l’humain est nécessaire pour propulser l’IA conversationnelle (en) Dans le métaverse : comment l’IA conversationnelle construira sa base d’expérience (en) Qui a laissé sortir les chiens robots ? (en) Santé Comment l’apprentissage automatique peut accélérer les solutions aux défis de conception de protéines (en) Classifier les cancers primitifs non diagnostiqués grâce au deep learning Des chercheurs de l’Institute for Protein Design montrent comment l’IA peut générer de nouvelles formes de protéines (en) Enseignement L’Apprentissage automatique, expliqué (en) Économie – Business– Stratégie L’IA française en pointe pour lutter contre la pénurie d’énergie Intelligence artificielle : banque et retail investissent le plus Machine learning : PyTorch de Facebook passe sous le giron de la Fondation Linux États-Unis : L’intelligence artificielle du gouvernement concerne les personnes, pas la programmation (en) Comment l’intelligence artificielle influence l’avenir du travail dans l’industrie du transport aérien À votre disposition pour recueillir vos observations, suggestions et commentaires sur cette information guillet.lionel@gmail.com Une précision – Les recherches ciblées sur les lettres de veille archivées sont désormais possibles par l’intermédiaire d’un widget sur la page d’accueil du site https://veillecyberland.wordpress.com/ Un mot-clé, sa validation, et le système vous affiche la liste des lettres qui le contiennent. Il suffit alors de cliquer sur le lien hypertexte de chacune des lettres pour les ouvrir et lancer une recherche par CTRL+F sur leur contenu. La transaction manque d’élégance, mais elle est efficace. Elle peut vous être utile pour une étude, pour préparer une intervention, une présentation, etc.

  • Google Analytics : pourquoi le compte n’y est toujours pas pour les Cnil européennes …
    par Renseignements Stratégiques, Investigations & Intelligence Economique | Scoop.it le 23 septembre 2022 à 12h34

    La Cnil danoise juge que l’usage de Google Analytics reste inconforme au RGPD, en dépit des options ajoutées après les rappels à l’ordre de plusieurs homologues européennes. source : https://www.silicon.fr/google-analytics-pourquoi-le-compte-ny-est-toujours-pas-pour-les-cnil-europeennes-448215.html

  • Klever Days 2022 : En avant pour la version 17 de Kleverware IAG « Eagle »
    par Marc Jacob le 22 septembre 2022 à 16h23

    A l'occasion de l'édition 2022 des Klever Days Bertrand Augé fondateur de Kleverware a annoncé la version 17 de Kleverware IAG développé sur la nouvelle plate-forme microservices nommé « Eagle » et le partenariat avec Inwebo et avec Wallix. Un des points fort de la matinée a été le retour d'expérience d'un client issu d'une grande assurance française. Bertrand Augé et Arnaud Fléchard Arnault Flechard CTO et confondateur de Kleverware a présenté Kleverware IAG et sa nouvelle version, depuis 2005 le leitmotiv de Kleverware est « Qui a le droit à quoi ? » L'objectif est de travailler sur les processus en complément d'une solution d'IAM. Kleverware IAG propose une gouvernance des cycles de vie des identités ce qui implique de faire des inventaires des droits et accès. La solution vérifie la cohérence des accès. Enfin, elle améliore la maîtrise des risques et de la conformité en s'assurant des légitimités des accès. L'objectif reste d'être conforme aux législations sectorielles. Ainsi la solution Kleverware IAG collecte des informations en format natif et les mets en forme pour la modéliser fidèlement aux SI. Elle fait aussi de la revue de droit en vérifiant que les bonnes personnes aient les bons droits. Des revues sont ciblées sur les situations dites à risque. Il est aussi possible de cibler ces revues de droits. L'ensemble est auditable et conforme aux demandes de l'audit interne. Lors de la gestion des mouvements arrivées, départs, changements de fonctions... des campagnes sont lancées ce qui conduit à une réduction des risques. Des matrices d'habilitation des droits sont intégrées dans l'outil qui servent lors des campagnes de recertification cela facilite la tâche des équipes et la qualité des revues de droits. Ainsi, des tableaux de bords sont proposés pour faciliter la tâche des auditeurs. Kleverware et Inwebo : une offre complémentaire Guillaume Absi, Channel Manager d'Inwebo Group a présenté son entreprise et son intégration avec Kleverware IAG. Inwebo est une société français créée il y a une dizaine une d'année. La société est forte de 350 clients dans le monde. Elle possède ces propres infrastructures. Sa solution sécurise les identités dans pour le B to B que pour le B to C. Elle permet avec un point d'accès unique de sécuriser les accès et les services en connectant les identités et les applications. Une brique de MFA (Authentification Multi-facteurs) permet de renforcer la sécurisation des transactions. Ainsi la solution d'Inwebo vient en complément de Kleverware IAG. La brique des accès et des identités vont alimenter la partie gestion de la gouvernance. Les deux s'alimentent mutuellement. Kleverware Wallix : Une longue histoire pour le meilleur de la sécurisation des accès Puis Julien Cassignol Directeur Sales et Frédéric Sarrat Général Manager de Wallix ont rappelé la relation historique qui lient les deux sociétés. Wallix est un éditeur de logiciel français présent en Europe et aux États-Unis. Elle revendique plus de 2000 clients avec un modèle de vente indirecte fort de 300 partenaires dans le monde. Elle a environ 200 collaborateurs dont une centaine en France. Elle a plusieurs certifications de l'ANSSI et a été reconnue cette année par le Gartner parmi les leaders de son cadran magique. Ses solutions proposent de sécuriser les accès à privilège avec entre autre PAM4ALL sa nouvelle offre sortie en 2022. Wallix propose de la gestion des sessions qui surveille la session en regardant le trafic et en analysant les flux pour permettre l'audit. Elle permet l'authentification via Bastion et la gestion des mots de passe. A travers de son MFA elle vérifie les accès, la gestion des privilèges pour éviter au niveau de la ressource que les droits d'utilisation soit les moins persistants possibles et pour que les privilèges soit accorder pour une durée et des droits limités. Puis Julien Cassignoles a expliqué l'intérêt de l'intégration avec Kleverware IAG. Dans un contexte de PAM, le CIEM devient obligatoire a-t-il expliqué. Le premier cas d'usage est de détecter l'obtention de droits excessifs. Le point de contrôle reste Kleverware IAG et le contrôle des accès à privilège passe par la solution de Wallix. Le deuxième cas d'usage est de vérifier la cohérence des droits et des fonctions. Par comparaison entre les droits des collaborateurs de même fonction on peut trouver des anomalies au niveau des droits. Ceci permet d'avoir une meilleure gestion des droits à privilège. Quand Kleverware IAG simplifie le travail des équipes IT Par la suite un client de Kleverware appartenant à une grande institution financière française a fait un retour d'expérience de Kleverware IAG. Il explique qu'au sein de son entreprise trois personnes supervisent la gestion des droits et une centaine de personne sont des administrateurs délégués à la gestion des droits et des habilitations. Les administrateurs délégués doivent vérifier que les nouveaux arrivants ont les bons droits par rapport à leur fonction. Ainsi, ils ont été amenés à déployer Kleverware IAG au sein de leur groupe. Lors de l'arrivée d'un nouvel entrant, un circuit a été mis en place qui commence par une déclaration de la RH. Puis le manager intervient dans le processus et valide ses demandes pour le nouvel entrant. Les administrateurs doivent vérifier les droits demandés afin qu'il n'y ait pas de trop de droits attribués par les managers. Des dérogations peuvent être données au cas par cas. Des matrices d'habilitation ont été construites afin de connaître les paramètres nécessaires aux droits. Dans ce cadre, cette entreprise utilise Kleverware IAG depuis les années 2000 à l'occasion d'un de leur projet d'entreprises pour revoir les droits Mainframe que possédaient les utilisateurs. Pour ce projet, ils ont utilisé Kleverware KAudit. Ils ont travaillé avec les managers pour connaître ce dont il avait besoin comme type de droits selon les profils d'utilisateurs. Ils ont pu supprimer des centaines de profils et de faciliter le travail de révision de droits qui était fait auparavant à partir de fichier Excel. Au départ uniquement 4 à 5 personnes utilisaient KAudit. En 2012, la société a acquis la solution Kleverware IAG qu'elle a ouvert à l'ensemble des administrateurs délégués soit une centaine de personnes. Ils ont travaillé avec Kleverware IAG pour mettre en place la recertification puis les revenus de droits. Aujourd'hui, elle utilise deux instances : une pour la gestion des droits un managériales et une seconde pour les administrateurs. Aujourd'hui 180 collaborateurs parmi lesquels administrateurs et les équipes de qualité de services utilisent cet outil. Les auditeurs ont aussi un accès. 85000 personnes sont répertoriés, 150000 comptes et 284000 SA Open pour les outils distribués sont répertoriés. Kleverware IAG reçoit tous les jours environ 140 fichiers avec des formats hétérogènes. Tous les mois Kleverware IAG fournit des fichiers d'écarts. 5 campagnes de recertification sont lancées tous les ans. Pour les distributeurs agents d'assurances trois campagnes sont lancées par an. Chaque campagne dure environ deux mois. Il y a environ 37000 mouvements par an dans la société en se basant par les fichiers RH. Les fonctionnalités de recertification sont appréciées aussi par l'audit interne. Il note que les administrateurs délégués peuvent, lors de la recertification ou en consultant la fiche d'un utilisateur, effectuer des suppressions de droits. Ces demandes sont personnalisées soit ils utilisent les outils de workflow d'habilitation soir directement via Kleverware IAG qui va créer un mail en direction de « l'implémenteur » pour supprimer des droits. Le mail génère aussi un ticket dans l'outil de ticketing. Lorsque l'on passe par Kleverware IAG la tâche des administrateurs est facilitée d'autant que des traces sont conservées. De plus, les demandes sont automatisées et adressées aux bonnes personnes. Les demandes sont suivies dans l'outil de leur premier envoi jusqu'à la réalisation de la suppression. Il est possible d'avoir des alertes de suivi des demandes. L'administrateur délégué fait tous les jours de la détection des départs, arrivées et mouvements. Pour ces derniers des détections spécifiques à la population concernée sont lancés. Pour les agents, les courtiers, les distributeurs des droits automatisés sont donnés ce qui facilite les campagnes de certification. Quant aux campagnes de recertification qui sont lancées des rapports sont fournis qui sont conforme aux demandes des différents types d'auditeurs. La tâche est facilitée par des certifications automatisées pour les personnes qui n'ont pas eu de changement dans leur profil entre deux campagnes de certification. Il a donné un exemple d'une campagne de certification sur une population de plus de 3200 distributeurs soit de plus de 25000 habilitations en utilisant les matrices, 98% des comptes étaient prévalidées ce qui a réduit considérablement le temps passé. Au final il a travaillé de 2013 à 2017 avec les équipes de Kleverware en faisant évoluer la solution en commun. Il a participé à l'évolution de l'outil de recertification organisé en verticale par action budgétaire et unité managériales qui a permis de faire évoluer les légendes et les indicateurs. Enfin il a aussi participé au modèle des mouvements organisés et horizontale par action budgétaire. Kleverware IAG version 17 : Prenez de la hauteur avec « Eagle » Arnault Flechard a conclu cette matinée en présentant les évolutions majeures de Kleverware IAG avec la plateforme surnommé « Eagle ». Elle repose sur le retour d'expérience de tous les utilisateurs. Elle va vers l'IGA pour mieux contrôler les workflow dès cycle de vies des identités dans l'entreprise. Pour Arnaud Fléchard, cette solution est en mesure de devenir le référentiel des identités. Ainsi, ces technologies sont prêtes pour prévoir les interconnexions au SI Bien sur la recertification reste identique. L'architecture Cloud a été revue en micro services pour accélérer les déploiements. Il est possible de personnaliser l'interface aux couleurs du client. Elle responsive au mobile, tablette... la solution est conforme au RGPD en mettant par exemple les délais de purge des bases de données selon la politique de l'entreprise. Des interfaces spécifiques sont fournies aux intégrateurs. Dans la nouvelle version on pourra faire des rafraîchissements partiels des différentes applications contenu dans Kleverware IAG. Elle propose aussi des personnalisations en direction des utilisateurs finaux. Le but est d'améliorer l'expérience utilisateurs en lui faisant gagner du temps. La solution propose plusieurs langues en plus du français qui sont interchangeable sur un simple clic. Il est aussi possible de créer des requêtes multiples par exemple pour connaître toutes les personnes qui ne se sont pas connecter depuis un certain laps de temps. On pourra construire autant de tableau bord que l'on souhaite afin de suivre les évolutions par type de requêtes, par verticaux, comme AD, Mainframe, RGDP par habilitations... ceci pour détecter la moindre anomalie. Grâce à sa version Cloud, cette infrastructure pour 2000 identités coûte 2€ par jour. Il est possible de rendre l'infrastructure élastique en fonction des heures de connexion. Dans une première phase bêta, la solution, qui va utiliser la plateforme Inwebo pour l'authentification, va être testée par des clients. Cette phase va durer quelques mois pour arriver à une version officielle en mars 2023. . Après, la sortie de Kleverware IAG Eagle version 17 il pense proposer une version majeure tous les 6 mois. Ainsi une version CIEM devrait être proposée vers la fin 2023. La recertification va être déployée sur cette version et aussi des applications autour de la demande et de l'approbation de droit à partir de 2024. Il a conclu son intervention en rappelant le slogan de cette nouvelle solution : Tout en prenant de la hauteur, aucun détail n'échappera à votre vigilance avec Kleverware IAG !

  • Google Analytics : pourquoi le compte n’y est toujours pas pour les Cnil européennes
    par Clément Bohic le 22 septembre 2022 à 10h27

    La Cnil danoise juge que l'usage de Google Analytics reste inconforme au RGPD, en dépit des options ajoutées après les rappels à l'ordre de plusieurs homologues européennes.

  • Εταιρική ασφάλεια από την πλατφόρμα μας Atlas AI OSINT.. ▶ audax.gr/kyvernoegklima… Tags: #audaxcybersecurity #theofaniskasimis #cyber #cybersecurity #cybersecuritytraining #infosec #infosecurity #osint #gdpr #soc #blueteam #monitoring #threatintelligence #greece🇬🇷
    par Audax Cybersecurity le 21 septembre 2022 à 12h54

    Εταιρική ασφάλεια από την πλατφόρμα μας Atlas AI OSINT.. ▶ audax.gr/kyvernoegklima… Tags: #audaxcybersecurity #theofaniskasimis #cyber #cybersecurity #cybersecuritytraining #infosec #infosecurity #osint #gdpr #soc #blueteam #monitoring #threatintelligence #greece🇬🇷

  • RGPD : Instagram condamné à 405 millions d’euros d’amende pour avoir dévoilé les données personnelles d’enfants …
    par Renseignements Stratégiques, Investigations & Intelligence Economique | Scoop.it le 21 septembre 2022 à 11h13

    À la suite de la décision contraignante de règlement des différends du Comité européen pour la protection des données (CEPD) du 28 juillet 2022, l’autorité irlandaise de protection des données (DPC) a adopté sa décision concernant Instagram (Meta Platforms Ireland Limited – Meta IE) et a émis une amende record sur le fondement du RGPD : 405 millions d’euros. source : https://www.votre-reputation.com/2022/09/21/rgpd-instagram-condamne-a-405-millions-deuros-damende-pour-avoir-devoile-les-donnees-personnelles-denfants/

  • Astrachain annonce SPLiT.force, son plug-in pour Salesforce
    par Marc Jacob le 21 septembre 2022 à 8h15

    Astrachain dévoile SPLiT.force, un plug-in spécifique pour Salesforce. Avec ce plug-in dédié, les entreprises peuvent à la fois bénéficier de toute la puissance du CRM numéro un mondial, et totalement sécuriser leurs données sensibles, notamment en les protégeant du Cloud Act et des législations extra-européennes. SPLiT.force, une solution immune au Cloud Act pour les données sensibles dans Salesforce SPLiT.force permettra aux entreprises de continuer à utiliser Salesforce de la même manière, tout en garantissant à leurs données sensibles une protection stricte contre les risques du Cloud Act et plus globalement des législations extra-européennes. Concrètement, avec le plug-in SPLiT.force, les entreprises et organisations utilisatrices pourront sélectionner des informations issues de Salesforce afin de les stocker via SPLiT, et ainsi bénéficier d'une ultime confidentialité, sécurité et conformité RGPD pour leurs données sensibles. Comme l'ensemble de la gamme SPLiT, le plug-in SPLiT.force, ne nécessite aucun déploiement de solutions de chiffrement complexes, ni de gestion des clés de chiffrement inhérentes. Cette simplicité opérationnelle est rendue possible par la technologie de fragmentation développée par Astrachain, qui a remporté de nombreux prix, et qui fait l'objet de dépôts de brevets en cours. Cette annonce d'Astrachain s'inscrit dans le contexte d'une très forte prise de conscience des entreprises, et notamment des plus grandes, du besoin de protéger et de maintenir la confidentialité de leurs données sensibles, tout en bénéficiant de l'efficacité et de la flexibilité des solutions SaaS. Parmi les secteurs les plus avancés dans le domaine et déjà clients d'Astrachain : le retail, le luxe, la pharmaceutique mais aussi l'industrie et le BTP. Plus largement, cette annonce fait également suite à de nombreuses distinctions pour Astrachain en France, lauréate du concours d'innovation i-Lab opéré par Bpifrance et du programme d'investissements d'avenir PIA4 France 2030, sur le volet cybersécurité. La solution développée par Astrachain a en outre été reconnue et remarquée par la CNIL, qui l'a identifiée comme « présentant un intérêt fort pour la protection des données ». Il est enfin à rappeler que la solution SPLiT est conforme aux recommandations de fragmentation des données publiées par le Comité Européen de la Protection des Données (European Data Protection Board).

  • Fivetran présente Metadata API
    par Marc Jacob le 21 septembre 2022 à 7h45

    Fivetran annonce la disponibilité de Metadata API de Fivetran pour permettre le suivi des données « in-flight », de la source à la destination, alors qu'elles passent par les pipelines gérés par Fivetran. Grâce à cette visibilité supplémentaire, les clients peuvent intégrer des outils de gouvernance et d'observabilité pour donner aux équipes data un meilleur contrôle sur qui a accès à quelles données. En permettant la gouvernance automatisée des données, Metadata API de Fivetran fournit également aux gestionnaires de données, aux équipes de sécurité et aux équipes d'ingénierie data la visibilité nécessaire pour répondre à la question de savoir d'où viennent les données, qui y a accédé et quels changements ont eu lieu dans le pipeline. Des législations complexes telles que le RGPD, la loi californienne sur la protection de la vie privée des consommateurs (CCPA) et d'autres lois étatiques imposent des amendes aux entreprises qui ne se conforment pas aux règles complexes de protection de la confidentialité des données. Metadata API aide les entreprises à répondre aux exigences de conformité, en s'intégrant facilement à leurs stratégies existantes en matière de confidentialité et de sécurité, tout en renforçant la valeur des investissements qu'elles ont réalisés dans les catalogues de données et les solutions de Data Quality. Avec Metadata API de Fivetran : · Les analystes de données bénéficient d'une compréhension approfondie de la provenance des données et sont en mesure d'effectuer des analyses d'impact sur celles-ci. · Les gestionnaires de données savent que les utilisateurs finaux ont accès à des données qui ont été traitées de manière sécurisée et qui sont conformes aux exigences de gouvernance. · Les équipes de sécurité et juridiques peuvent réaliser des audits de sécurité et s'assurer que les données déplacées sont conformes aux politiques organisationnelles. · Les architectes et ingénieurs data seront bientôt en mesure de comprendre les changements de schémas en amont et de s'assurer que les processus en aval sont mis à jour. Créer une expérience de gouvernance de données automatisée - Fivetran s'associe aux principaux catalogues data Fivetran est heureux de lancer une meilleure gestion des métadonnées avec quatre grands fournisseurs de catalogues de données : Atlan, data.world, Alation et Collibra. Voici les avantages combinés : · Les informations sur toutes les données peuvent être consolidées dans un seul catalogue de données, pour une vue complète et une expérience utilisateur transparente. · Des graphiques de lignage des données de bout en bout sont disponibles pour les données, malgré leur passage par de multiples systèmes et outils. · En centralisant la gouvernance dans un seul outil, les responsables data peuvent mieux garantir que les politiques et les processus sont appliqués aux données comme il se doit. · La possibilité de retracer à la source les données au niveau d'une colonne jusqu'à leur origine permet de confirmer la Data Quality et de renforcer la confiance dans l'exactitude et la sécurité d'utilisation des données. « Metadata API de Fivetran résout une lacune majeure dans l'extraction des données des systèmes opérationnels vers les systèmes analytiques modernes en fournissant le contexte tant attendu. La disponibilité de Metadata API accélérera le développement d'applications fiables et sécurisées à forte intensité de données en exposant le lignage, l'analyse d'impact et les aspects de sécurité et de confidentialité », a déclaré Sanjeev Mohan, directeur chez SanjMo, expert en données et en analyse et ancien vice-président de recherche chez Gartner. « L'interface de data.world avec Fivetran permet aux producteurs et aux consommateurs de données de comprendre et de faire confiance à la synchronisation et au mappage des données le long de toutes les bases de données, sources de données et applications qui comptent pour les entreprises », a déclaré Jon Loyens, CPO et cofondateur de data.world. « Avec Fivetran, nous fournissons une visibilité granulaire des données, y compris les métadonnées des paires de colonnes source-destination, ce qui simplifie la découverte de données, la gouvernance des données et les informations exploitables. » Un nouveau rapport publié par Vanson Bourne pour Fivetran souligne que les entreprises continuent de se battre avec une bonne gouvernance des données - une nécessité pour la conformité. Toutes les personnes interrogées aux États-Unis (100 %) ont déclaré que leur entreprise pourrait améliorer les rôles, les politiques et les normes en matière de gouvernance des données ; 90 % des personnes interrogées en France, 82 % des personnes interrogées au Royaume-Uni et en Irlande, et 82 % des personnes interrogées en Allemagne sont du même avis.

  • Cybersécurité dans le retail : comment se défendre ?
    par Etienne de la Fouchardière, expert Retail chez WALLIX. le 20 septembre 2022 à 11h34

    Tous les acteurs du retail sont aujourd'hui concernés par les cyberattaques. Qu'ils soient géants du e-commerce ou du commerce de proximité, ces acteurs détiennent une multitude de données sensibles, des noms et adresses aux habitudes de consommation, en passant par les numéros de cartes bancaires et autres informations personnelles identifiables - une mine d'or pour les cybercriminels. Mais, la bonne nouvelle, c'est qu'il existe des mesures pour renforcer leur sécurité. Utiliser les nouvelles technologies L'une des principales raisons pour lesquelles le secteur du retail est maintenant une cible privilégiée est la simplicité et la vulnérabilité de son infrastructure. Les systèmes de vente sont souvent créés en utilisant une combinaison de différentes technologies, certains dormants et d'autres en évolution perpétuelle. En général, cela signifie qu'ils utilisent à la fois une infrastructure existante et de nouvelles innovations numériques ou basées sur le cloud. Le développement des technologies est en grande partie motivé par le désir et le besoin de fournir des expériences omnicanales aux consommateurs. Pour rester compétitifs, les détaillants doivent offrir une certaine flexibilité à leurs clients, impliquant ainsi de proposer différents moyens de paiement. Par conséquent, ils sont souvent réticents à l'idée de mettre à jour les systèmes. Après tout, aujourd'hui plus que jamais, chaque transaction compte, et les détaillants ne veulent pas être confrontés à des systèmes complexes ou à des obstacles qui pourraient empêcher ou ralentir les ventes. Cependant, les commerçants ont tendance à vouloir améliorer leurs offres numériques et à entrer dans l'ère de l'e-commerce. La pandémie a certainement joué un rôle dans cette évolution, car de nombreux acteurs ont été contraints d'adopter des méthodes numériques pour poursuivre leurs activités. Mais si ces systèmes, anciens et nouveaux, répondent aux objectifs d'efficacité et d'évolutivité, ils présentent également de multiples failles potentiellement exploitables par les cybercriminels. Retail : un champ d'activité d'envergure pour les cybercriminels À quelle fréquence les cyberattaques affectent-elles réellement ce secteur ? Des études récentes font état d'une augmentation de la cybercriminalité, d'autant plus que de nombreux détaillants ont accéléré leur transformation numérique. En fait, les données montrent que 65% des entreprises ont signalé une hausse des cyberattaques depuis la pandémie. Ces attaques sont coûteuses autant d'un point de vue financier que de celui de la réputation. Il existe également plusieurs autres raisons expliquant l'exposition de ce secteur aux attaques. Le turn-over y est traditionnellement plus élevé, mettant en exergue qu'en l'absence d'une gestion appropriée, le taux d'accès aux systèmes par des comptes privilégiés est également élevé. La solution est simple : simplifier et renforcer la sécurité Au vu des risques pris en matière de sécurité informatique il semble pertinent de mettre en place une plateforme de gestion des accès ou gestion des accès à privilège (PAM). En un mot, cela consiste à s'assurer que chaque brique a accès aux informations nécessaires pour effectuer ses tâches et non à l'intégralité des données de l'entreprise. Ceci dans l'objectif de protéger et de gérer au mieux la confidentialité. De nombreux risques de cybersécurité inhérents au secteur sont liés à l'accès privilégié, et la mise en place d'un tel système permet d'ajouter rapidement et facilement une couche supplémentaire de protection. Ainsi, les attaques sont arrêtées avant qu'elles ne puissent causer des dommages ou se propager à l'ensemble de l'entreprise. En effet, le système PAM n'accorde jamais à ces utilisateurs un accès privilégié à toutes les parties du système. Une solution PAM robuste sécurise également les composants machine-à-machine (M2M) au sein d'un système. Ainsi, même si un pirate prend d'une manière ou d'une autre le contrôle d'un appareil IoT dans un entrepôt automatisé, la solution PAM bloque l'accès à cet appareil. Par conséquent, le pirate ne peut pas l'utiliser comme point d'entrée. De plus, une solution PAM complète est capable de surveiller en temps réel toute l'activité des différentes sessions, et mettre automatiquement fin aux usages suspects ou simplement alerter l'administrateur. Non seulement ce type de technologie renforce considérablement la sécurité, mais il permet à l'entreprise de rester en conformité. Le secteur du commerce est soumis à une grande variété de réglementations auxquelles les entreprises doivent se conformer (par exemple, PCI DSS, RGPD, NIST et SOX). En plus de la surveillance, le PAM enregistre également chaque session et la rend consultable, et accessible pour un audit potentiel. En outre, ces sessions enregistrées sont également utiles pour les audits de sécurité, ainsi que pour la formation des membres de l'équipe de sécurité. La cybersécurité dans le secteur du commerce ne doit pas être compliquée mais intuitive, et les professionnels doivent faire des compromis entre les nouvelles et les anciennes technologies. Il est essentiel que nous commencions à discerner les risques, et à mettre en œuvre des technologies qui peuvent les limiter et combattre les menaces afin d'inverser la tendance.