News RGPD...

News RGPD

  • Une bande dessinée sur le pillage de nos données personnelles, DATAMANIA
    par Communiqué de Dunod le 29 janvier 2023 à 15h11

    Scénario : Audric Gueidan Dessin : Halfbob En librairie le 15 mars 2023 16.90 € | 96 pages Un nouveau scandale concernant une fuite massive de données personnelles, une dernière app à la mode qui aspire la vie privée et espionne les contacts, des nouveaux acronymes tels que GAFAM, RGPD, VP...

  • Données personnelles : publication de l'Index AFCDP 2023 du Droit d'accès L'Index du droit d'accès de l'AFCDP s'améliore
    par AFCDP le 29 janvier 2023 à 11h52

    Comme chaque année et quelques jours avant la journée européenne de la protection des données, l'AFCDP, l'association des Délégués à la protection des données (DPD/DPO) et autres professionnels de la protection des données, publie son « Index annuel du Droit d'accès ». Cet indicateur, publié par l'AFCDP depuis 2010, est basé sur les travaux effectués par les participants du Mastère Spécialisé « Management et Protection des Données à Caractère Personnel » de l'ISEP (Institut Supérieur d'Électronique de Paris, grande école). Dans le cadre de ce cursus, les participants — souvent des Délégués à la protection des données/Data Protection Officer en poste ou des professionnels amenés à l'être — mènent plusieurs projets, dont l'un consiste à exercer leur droit d'accès. Confrontés ainsi à la réalité, il leur est demandé d'en tirer des enseignements pratiques et opérationnels afin que leur propre responsable de traitement réponde de façon conforme. Sous l'égide de Bruno Rasle (créateur de l'Index), pour l'édition 2023, les participants des deux dernières promotions du Mastère Spécialisé « Management et Protection des Données Personnelles » de l'ISEP ont ainsi sollicité 136 responsables de traitement, dont 24,3 % du secteur public et 75,7 % du secteur privé. Enfin, une amélioration ? Les mauvais résultats de l'an dernier — sans doute dues aux effets de la pandémie — semblent être un mauvais souvenir, puisque le pourcentage des responsables de traitement sollicités n'ayant jamais réagi passe de 55,7 % à 34,5 % (on retrouve ici les étiages pré-COVID19), ce qui reste naturellement bien trop dans l'absolu. Sur les 89 organismes qui ont réagi : 69 l'ont fait en moins d'un mois, soit 50,7 % du total des 136 responsables de traitement, qu'il faut comparer aux 45,9 % de 2022. « Pendant la crise sanitaire de 2020-2021, les entreprises ont manifestement donné la priorité à d'autres processus, et quelque peu négligé le respect des obligations issues du RGPD. Cela s'est manifesté par une baisse sensible de l'index du droit d'accès, mais on observe à présent une nette amélioration, même si le taux de réponses jugées conformes reste très médiocre. De belles marges de progrès en perspective pour les Délégués à la protection des données et leurs responsables de traitements ! » (Patrick Blum, Délégué général de l'AFCDP) Au-delà du respect des délais de réponse, les participants du Mastère Spécialisé « Informatique et Libertés » de l'ISEP se sont aussi intéressés à la conformité des réponses vis-à-vis du RGPD, en évaluant le degré de conformité des réponses obtenues. Au total, de l'avis des participants du Mastère Spécialisé, sur les 69 organismes qui ont répondu dans les délais impartis, seuls 44 ont obtenu une appréciation satisfaisante, soit 32,3 % du total (des 136), à comparer aux 22,2 % de l'Index 2022. Pour les autres, 14 organismes obtiennent une appréciation moyenne, soit 10,3 % du total (des 136), et 11 une mauvaise appréciation, soit 8 % du total. Les indicateurs se sont donc sensiblement améliorés, ce qui n'empêche pas la survenance d'erreurs grossières dans le traitement des demandes de droit d'accès au titre du RGPD, par exemple : – Aucune donnée fournie (ni réponse)… mais l'envoi d'un questionnaire de satisfaction suite à la demande ! – Après des échanges agréables et clairs avec l'entreprise, grosse déception : les données reçues sont incompréhensibles – Une banque, confrontée à une demande sur place, refuse de la prendre en compte – Un établissement de santé se contente de fournir la liste du type de données traitées (mais aucune des données en question) – Des données de tiers figurent parmi celles fournies – Un acteur du secteur de la restauration rapide supprime le « Compte fidélité » après la demande d'accès – Un acteur de l'électroménager communique un fichier chiffré, mais sans transmettre le code permettant d'en prendre connaissance (et ne répond à aucune relance) – Un établissement de l'enseignement supérieur ne procède à aucune vérification d'identité et transmet de façon non sécurisée des données personnelles comprenant des références bancaires. Remerciements : Nous remercions les participants Mastère Spécialisé de l'ISEP pour leur implication. Délégués à la Protection des Données dans le cadre du RGPD, ils auront à cœur de mettre en place au sein de leur organisme les procédures permettant de répondre efficacement et de façon sécurisée aux demandes de droit d'accès exprimées par les personnes concernées. Les Index AFCDP du droit d'accès sont publiés, depuis 2010, sur la page www.afcdp.net/index-du-droit-d-acces

  • Veille Cyber N423 – 23 janvier 2023
    par veillecybertb le 27 janvier 2023 à 16h17

    Veille hebdomadaire du 22 janvier 2023 CyberStratégie /CyberDéfense / CyberSécurité – Protection des données / RGPD – Intelligence artificielle … Lettre Cyber 423 L’actualité cyber du 16 au 22 janvier 2023…… faits, chroniques et opinions, référentiels, séquences audio, séquences vidéo … selon vos centres d’intérêt, personnels ou professionnels, je vous laisse découvrir l’actualité de la semaine, dans ces domaines essentiels que sont … la CyberStratégie, la CyberSécurité, la protection des données personnelles et l’intelligence artificielle … sans prétention à l’exhaustivité et avec beaucoup de subjectivité, inévitable, bien évidemment. Une bonne semaine à vous. Sans oublier que je reste à l’écoute de vos commentaires et de vos observations guillet.lionel@gmail.com Ce qui a retenu mon attention dans l’actualité de cette semaine 17 janvier 2023. L’utilisation de l’arme cyber dans le conflit russo/ukrainien, des enseignement pour le commandant de la cyberdéfense – Un guide pour une politique de gestion des correctifs – Faut-il abandonner le gestionnaire de mots de passe Lastpass, telle est la question – Le risque cyber au Forum de Davos … A(ré)écouter – A (re)voir CyberGuerre, les aspects « cyber » de la guerre en Ukraine au micro de l’équipe NoLimitSecu cette semaine avec Matin UNTERSINGER Comment Microsoft aide l’Ukraine face aux cyberattaques, podcast de l’Express « La méthode russe est un rouleau compresseur », assène un général français. « La guerre électronique bat son plein » (voir le dossier publié le 15/01 à partir de la conférence de presse du ComCyber, le général Aymeric BONNEMAISON) Ukraine: Le « cyber Pearl Harbor » n’a pas eu lieu, une séquence audio RFI L’incroyable cyber-résistance ukrainienne face à l’offensive russe Ce que l’armée française retient de l’utilisation de l’arme cyber dans le conflit russo-ukrainien, accès abonnés VarMatin Informations Cyberdéfense : ils sont les architectes des bastions rennais Comment Rennes devient une place forte de la cybersécurité, accès abonnés LesEchos La télésurveillance médicale est en plein essor pour connecter patients et soignants La cybersécurité en Chine pèsera 22 milliards de dollars en 2025 Management de la sécurité de l’Information Quels changements apporte le règlement européen sur les services numériques (DSA) ? Analyse juridique La Cybersécurité maritime (en) Benoît Fuzeau, Président du CLUSIF : « Dans la cybersécurité, le problème majeur c’est la diffusion de l’information » Cloud : a quelles questions répondre avant d’héberger ses applications ? Éducation & numérique : quelle stratégie de sauvegarde pour les écoles ? Les dirigeants ne comprennent pas le langage de la cybersécurité (à rapprocher des informations passées dans la lettre de veille du 12 janvier) SASE (Secure Access Service Edge) : Mort annoncée des équipements réseau et sécurité physiques ? Une vidéo Cloudflare Un Guide détaillé de création d’une politique de gestion des correctifs La Chaine d’approvisionnement, Cybervulnérable Cybersécurité : quels enjeux liés à l’identité pour 2023 ? La cybercriminalité : prévention et lutte, un rappel des basiques sur le site du quotidien El Watan Données d’entreprise : pourquoi sont-elles en danger et comment les protéger Le bulletin d’actualité du 9 janvier du CERT-FR, un retour sur « les vulnérabilités significatives de la semaine passée pour souligner leurs criticités » Et puis, dans la vie personnelle comme dans la vie professionnelle Comment faire que les objets connectés reçus à Noël ne deviennent pas des aspirateurs à données personnelles, une interview de Loïc GUEZO Saintes (17) – Des locataires de la Semis victimes de mails frauduleux Privacy Day : Comment protégez vos données à caractère personnel sur votre smartphone ? Phishing : hôteliers, attention à votre compte Booking ! Veille de veille(s) L’hebdo cybersécurité | 15 janvier 2023 du décodeur La protection des données personnelles – RGPD / GDPR le règlement européen et plus … Jeux mobiles : la CNIL sanctionne VOODOO à hauteur de 3 millions d’euros RGPD : Voodoo sanctionné à hauteur de 3 millions d’euros La confidentialité programmée (privacy by design) deviendra une norme ISO le mois prochain La Journée de la protection des données, la data Privacy Day, le 28 janvier 2023 (en) Comment protéger nos données à caractère personnel au sein de nos entreprises actuelles ? Nos données pourront-elles de nouveau voyager librement aux Etats-Unis  ? Suisse – Des données de santé anonymisées des assurés désormais accessibles pour la recherche Les problématiques des (r)évolutions numériques en cours Faut il abandonner Lastpass pour d’autres gestionnaires de mot de passe comme Bitwarden ou 1Password ? Oui selon des experts qui évoquent « sa longue histoire d’incompétence et de négligence » Ordinateur quantique et cybersécurité : risque ou opportunité ? TikTok accusé d’espionner l’Amérique et de corrompre la jeunesse, accès abonnés LeMonde Des nouvelles du CyberFront Davos : en 2023, le risque cyber reste bien présent OTAN – Les cyberattaques basées sur l’IA sont une menace critique (en) 36 pays maintenant unis contre les ransomwares Statistiques sur les cyberattaques de  décembre 2022 d’Hackmageddon (en) La cybersécurité en 2022 : attaques contre la supply chain et professionnalisation de la cybercriminalité En 2023, les pirates informatiques ne désarmeront pas, les prévisions de la Société Fortra De plus en plus de virus dans les applis Cloud, une étude du Threat Labs de Netskope Baromètre des risques d’Allianz 2023 : la cyberdélinquance et l’interruption d’activité en tête ; les risques économiques et énergétiques en hausse La Chine propose un traité de l’ONU criminalisant la « diffusion de fausses informations » Trouble politique au Brésil, un hacker malmène l’informatique du gouvernement Un hacker diffuse les données sensibles de chefs d’entreprises taïwanaises Canada – Une vague de cyberattaques qui n’est pas près de s’essouffler, selon des experts Des hackers détournent des sites de l’UE pour voler des infos bancaires La société Cellebrite victime d’une nouvelle fuite de données Matière à réflexions Atténuation des risques interconnectés : une étude de cas (en) dans le cadre du Forum économique mondial de Davos. Également … La cyber-pandémie : un besoin de renforcement de la cyber-résilience dans les télécoms (en) Études, enquêtes et référentiels Un référentiel des métiers de l’IoT publié par le Think-Tank Gr-IoT Séminaires – Conférences – Journées La cyber en santé et ses spécificités au prochain Lundi de la cybersécurité le 6 février. Tous les détails dans la lettre de Gérard PELIKS Intelligence artificielle, sécurité et plus … IA au service de la sécurité … ou pas L’intelligence artificielle ChatGPT et la démocratisation de la cybercriminalité L’intelligence artificielle façonnera les futures cyberattaques La menace de sécurité représentée par les cyberattaques basées sur l’IA, une étude de Traficom (en) IA : un outil de plus en plus performant pour les cyberattaquants La chasse aux biais des algorithmes d’intelligence artificielle par Bias Buccaneers Le Japon se sert de l’IA pour mettre fin aux campagnes de désinformation Prédire les impacts d’un tsunami en quelques fractions de seconde grâce au deep learning Interrogations / Perspectives / Prospectives Un aperçu des dernières innovations en matière d’IA et de leurs implications pour les entreprises (en) L’IA dans les médias sociaux – la façon d’utiliser (en) L’enseignement supérieur devra s’adapter à l’IA générative – et c’est une bonne chose (en) Quel droit spécifique dédié à l’intelligence artificielle ? L’avenir du travail à l’ère de l’intelligence artificielle L’intelligence artificielle est « pour tout le monde » (en) Le changement de technologie de l’IA sera probablement relativement rapide car il agit comme un innovateur technologique (en) Préparez-vous pour un tout nouvel avenir dirigé par la technologie de l’IA (en) Santé Diagnostic Médical et Intelligence Artificielle : Enjeux Ethiques », un avis commun du Comité consultatif national d’éthique (CCNE) et du Comité national pilote d’éthique du numérique (CNPEN)  à la demande du premier ministre. Diagnostic médical et intelligence artificielle : deux comités d’éthique formulent des recommandations et appellent à la vigilance Intelligence artificielle : les diagnostics doivent « être soumis à un contrôle humain », plaident les comités d’éthique Comment l’intelligence artificielle peut lutter contre les problèmes clés affectant les soins de santé (en) Recherche, développement et application L’IA au cœur du futur Windows 12 ? Économie – Business Principales entreprises de services cloud sur le thème de l’intelligence artificielle (en) Comment l’IA peut atténuer les problèmes de la chaîne d’approvisionnement (en) 19 janvier 2023. L’ANSSI communique sur NIS2 – Le droit à l’OSINT en 2023 – L’OTAN teste l’IA pour protéger les infrastructures critiques … A(ré)écouter – A (re)voir Point presse du 12/01 du ministère des armées- Thème : emploi de l’arme cyber avec le commandant de la cyberdéfense à partir de 14mn30s, la vidéo de la conférence (voir également les lettres du 15 au 17 janv .) Revoir le webinaire : sécurité des systèmes d’IA, enjeux et bonnes pratiques sur le site de la CNIL Le risque cyber bientôt inassurable ? Sur BSmart Tv avec Bernard MONTEL de Tenable et Philippe COTELL de l’AMRAE L’invitée de La Matinale – Solange GHERNAOUTI, experte en cybersécurité et professeure à l’UNIL sur la Radio suisse romande. Et si les États-Unis étaient paralysés par une panne électrique géante suite à une attaque informatique … Informations Microsoft licencie 10 000 salariés Management de la sécurité de l’Information Lancement de nouvelles règles plus strictes en matière de cybersécurité pour un paysage numérique européen plus sûr Directive NIS 2 : ce qui va changer pour les entreprises et l’administration françaises, le communiqué de presse de l’ANSSI OSINT le droit de l’Open Source Intelligence en 2023 par Marc-Antoine LEDIEU, avocat RSSI, une information largement illustrée Comment sensibiliser les dirigeants aux enjeux de cybersécurité ? Sensibiliser les dirigeants mais aussi … « Renforcer la cybersécurité dans le secteur maritime » Enquête sur les besoins cybersécurité dans le social & médico-social, réponse au plus tard le 31 janvier Le Club 27001 publie un livre blanc sur la nouvelle version ISO 27002.2022 Sa présentation par Michel VERDUN dans un bref sur LinkedIn Serious Game – L’analyse de risques avec EBIOS RM ! Un appel à contribution pour la Création d’un serious game permettant de découvrir et approfondir l’analyse de risques avec la méthode EBIOS RM Un rapport d’IBM détaille les mesures à prendre pour sécuriser les données à l’ère du quantique IBM : L’informatique quantique constitue une « menace existentielle » pour le chiffrement des données  (en) La sécurité dans l’ère de l’informatique quantique. Le risque est réel, la réponse c’est maintenant, l’étude IBM (en) Protéger les avocats et les équipes juridiques contre les cyber-risques Les cybermenaces touchent aussi les agriculteurs Vers une nouvelle approche de la sécurité des données pour la nouvelle année ? 2023, des Cyber-attaques Nouvelle Vague Comment maintenir la confiance à l’ère du numérique ? 5 sources de risques dans l’exploitation du système d’information Des ransomwares aux attaques visant à contrôler ou endommager les environnements OT 4 conseils pour se protéger contre les compromissions malveillantes Cybersécurité : le chiffrement ubiquitaire, nouvelle arme contre les hackers ?, mais, mais … qu’est-ce que le chiffrement ubiquitaire ? Menaces cyber : le grand retour du malvertising L’Observatoire des Cybermenaces : une « météo » mensuelle des malwares Fin de support de windows 8.1, windows server 2012 et windows server 2012 R2 dans le bulletin d’actualité 004 du CERT-FR L’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) met à jour les meilleures pratiques de mappage vers MITRE ATT&CK (en) Veille de veille(s) La newsletter hebdomadaire Threat Landscape Intrinsec du 19 janvier La Veille cyber hebdomadaire N.422 est en ligne, un retour sur la semaine du 9 au 15 janvier, sans oublier son extrait dédié à l’intelligence artificielle La protection des données personnelles – RGPD / GDPR le règlement européen et plus … Collecte de données dans les applications mobiles : la CNIL lance une consultation publique sur les enjeux économiques Données personnelles – consultation publique sur les enjeux économiques de la collecte de données dans les applications mobiles Le Comité européen à la protection des données (CEPD) adopte le rapport final de la « task force » dédiée aux bannières cookies (« cookie banner »), le communiqué de presse de la CNIL Exercer son droit d’accès : un parcours semé d’embûches, un article de Bruno RASLE Decathlon, à fond la surveillance. La famille Mulliez maximise l’exploitation de vos données personnelles Covid-19: vers une suppression du SI de traçage des cas contacts (projet de décret), accès abonnés sur simple inscription Les problématiques des (r)évolutions numériques en cours Cyber assurance : des couvertures plus restreintes Vers une Cyber-Tour de Babel ? Un étude menée par Kaspersky révèle que les dirigeants d’entreprise ne comprennent pas le langage de la cybersécurité (voir aussi le sujet dans les dernières lettres) Non à la vidéosurveillance algorithmique, refusons l’article 7 de la loi olympique ! Le communiqué de presse de la Quadrature du Net Des nouvelles du CyberFront Cyberattaques : près de 600 « menaces étrangères » contre des entreprises françaises détectées en 2022 Qu’est-ce que le CALID ? Le Centre d’analyse en lutte informatique défensive Le gouvernement américain annonce un troisième défi Hack The Pentagon (en) Les cyberattaques ne connaissent pas la crise Classement Top Malware Check Point décembre 2022 : Emotet, Qbot et Kryptik sont sur le podium en France par CheckPoint Un rapport publié par Nozomi Networks Labs démontre que les attaques destructrices et de ransomwares dominent le paysage des menaces en 2022 « Êtes-vous mobilisés ? » : les Russes piégés par un astucieux site de hackers Le groupe hacktiviste NoName057(16), affilié à la Russie, met l’élection présidentielle tchèque de 2023 sur le devant de la scène (en) Norton : des milliers de comptes piratés, les mots de passe dans la nature Piratage Norton : comptes et gestionnaire de mots de passe compromis Nuxe victime d’une cyberattaque : des hackers russophones de Lockbit font chanter le géant des cosmétiques La Poste britannique s’enfonce dans la crise après une attaque par rançongiciel Mailchimp victime d’une cyberattaque par social engineering Cryptomonnaies : les cybergendarmes démantèlent une plate-forme de blanchiment, accès abonnés LeMonde Matière à réflexions Cybercriminalité : l’impossible coopération face au marché Les BigTech et le Pentagone : une alliance, jusqu’où ? Accès abonnés LesEchos Études, enquêtes et référentiels Boum publie la 6e édition de son guide d’autodéfense numérique, un article de Jean-Marc MANACH, accès abonnés NextImpact Le guide d’autodéfense numérique 6e édition en libre accès Incidents cyber : le risque principal pour des entreprises qui n’en ont pas conscience Etude PwC : 35% des dirigeants français se sentent vulnérables face au risque cyber 26e enquête annuelle mondiale sur les PDG de PwC (en) La cyber est le premier risque des entreprises, estiment les dirigeants français (40%) La cyberdélinquance en tête des risques d’entreprises selon Allianz Identifier les principaux risques commerciaux 2023. Le baromètre d’Allianz (en) Pourquoi les responsables informatiques se sentent de moins en moins protégés contre les cyberattaques et autres incidents, un rapport Veam Software Volatilité des crypto-monnaies et problèmes de sécurité : une étude de Kaspersky identifie les principaux obstacles à l’adoption des crypto-monnaies Séminaires – Conférences – Journées La Prise en compte de la menace cyber dans nos ambassades : quelles actions menées par la Direction de la Sécurité Diplomatique du ministère de l’Europe et des Affaires étrangères dans la prochaine Matinale du CyberCercle le 8 février. Sur le site quelques ressources sur le thème du déplacement à l’étranger Intelligence artificielle, sécurité et plus … IA au service de la sécurité … ou pas Avec l’IA, l’OTAN teste la cyber-protection des infrastructures critiques L’IA de Nukkai épaule le war game de l’OTAN avec Thales L’IA nous rendra-t-elle plus sûrs ? (en) ChatGPT pour le cybercrime offensif et défensif (en) Interrogations / Perspectives / Prospectives Qu’est-ce qu’une intelligence artificielle ? Au moment où il n’est plus question que de ChatGPT … Les progrès de l’intelligence artificielle vont-ils rendre le travail obsolète ? Dans l’émission « L’invité(e) des Matins » de Guillaume ERNER sur France culture le 18 janv. Intelligence Artificielle et Machine Learning, que nous réserve l’avenir ? (en) Veiller à ce que l’intelligence artificielle ait des valeurs humaines avant qu’il ne soit trop tard (en) « Le projet de régulation de l’intelligence artificielle de l’UE ne semble pas être à la hauteur des risques que représente la percée d’outils comme ChatGPT », accès abonnés LeMonde Et voici la part d’ombre de ChatGPT et consort Bill Gates, premier supporter d’un ChatGPT toujours plus puissant GPT-4 : les nouveautés attendues après ChatGPT et GPT-3 . Plus fort que ChatGPT ? Santé ChatGPT va-t-elle bientôt se substituer aux médecins ? Recherche, développement et application Tout savoir sur DALL-E, la puissante IA d’OpenAI Économie – Business L’adoption de l’IA en entreprise semble avoir atteint un plateau Construire une stratégie de gouvernance de l’IA qui fonctionne (en) Microsoft lance ses services Azure OpenAI avec ChatGPT en ligne de mire Comment Microsoft peut devenir le grand gagnant de l’IA générative (en) Les 100 meilleures entreprises d’IA à surveiller en 2023 d’après Analytics Insight (en) Événements – Livres / Rapports / Études … La Software République s’associe à la région Île-de-France pour le challenge “AI for Urban Mobility” Capitaliser sur les données issues de la parole conversationnelle, le 31 janv. un webinaire proposé par Le Cycle Voix du Hub France IA ActuIA 10 : un numéro spécial sur l’intelligence artificielle pour bien commencer 2023 22 janvier 2023. Gare aux fraudes bancaires, une alerte de Cybermalveillance.gouv.fr – Ransomwares en 2022, plus d’attaques, moins de gains … A(ré)écouter – A (re)voir L’ENQUÊTE – Un organisme du ministère des Armées victime d’une cyberattaque de grande ampleur sur BFMTV le 20/01 Informations Cybersécurité : « le CNRS en tant qu’organisme pluridisciplinaire a une carte très importante à jouer » Fiasco du guichet unique des entreprises : « L’Etat ne sait pas gérer un gros projet informatique », une interview du député Philippe LATOMBE (voir lettres du 5, du 8 et du 10 janv.) Google : 12 000 suppressions de postes dans le monde Google supprime 12 000 emplois, soit plus de 6 % de ses effectifs mondiaux Management de la sécurité de l’Information Cyber Resilience Act : une nouvelle étape dans la sécurité de l’IoT, analyse juridique Une boîte à outils pour la cybersécurité dans le domaine des transports proposée par la Commission européenne en 2021 Formation Cybersécurité : format bootcamp ou continu ? [métier] Le COMCYBER lance sa page Welcome to the Jungle France, la plateforme de recrutement des offres d’emplois dans le domaine de la cyberdéfense [métier] Cyberattaque : comment faire face ? Un Guide LeMagIT Le traitement du risque cyber sur la supply chain La cybersécurité infogérée, une réponse aux enjeux de sécurité des entreprises Blockchain : outil de traçabilité des chaînes d’approvisionnement Trois raisons d’adopter le Zero Trust pour protéger les bots et assurer la sécurité des sites Web et API Martial Prévalet : “L’encadrement intermédiaire peut être pleinement acteur en matière de gestion des risques” Kaspersky : Quelles menaces pour les entreprises en 2023 ? Chantage médiatique, fausses fuites de données et hausse des attaques via le cloud Les Assurances et réglementations : principaux facteurs de sécurité en 2023 ? L’année 2023 va-t-elle imposer les système de détection des menaces cyber ? Un outil pour aider des victimes du rançongiciel BianLian à récupérer leurs fichiers Technique – Chasse aux serveurs Cobalt Strike Une « golden source » de matrice C2, Command and Control (en) Sa présentation par Clément Domingo … Et puis, dans la vie personnelle comme dans la vie professionnelle Une fraude bancaire toutes les 4 secondes : et si demain, c’était vous la victime ? Une table-ronde proposée par Cybermalveillance.gouv.fr en visioconférence le 24 janvier qui accompagne … … Que faire en cas de fraude au faux conseiller bancaire ? Une nouvelle fiche de cybermalveillance.gouv.fr Usurpation d’identité et problèmes bancaires : que faire ? Une information de la Banque de France Le « vishing » ou comment de faux banquiers vous arnaquent en vidant vos comptes par téléphone Attention au « vishing », une nouvelle arnaque téléphonique Attention lors de vos achats en ligne : des hackers infectent les sites d’e-commerce. Un piège parfois indétectable Arnaques et escroqueries en ligne : comment les identifier et agir ? Sur le site Ma Sécurité Ma Sécurité : un nouveau site dédié à la sécurité des citoyens Comment limiter les attaques liées à l’échange de cartes SIM ? Veille de veille(s) Résumé de la semaine 3 (du 14 au 20 janvier), un bulletin du CERT-XMCO La lettre de veille de l’ARCSI concernant la semaine 3 (du 16 au 22 janvier) et rapportant les faits marquants en cryptologie et sécurité de l’information, le message de Francis BRUCKMANN ou l’actualité en continu sur le site de l’Association Ciblage des échanges cryptographiques – La semaine du ransomware de Bleeping Computer du 20 janvier (en) La protection des données personnelles – RGPD / GDPR le règlement européen et plus … La CNIL lance une consultation publique sur le traitement des données par les applis (voir lettre du 19/01) Applications mobiles : la CNIL consulte avant d’encadrer L’UE inflige une nouvelle amende de 5,5 millions d’euros à Meta pour avoir enfreint le règlement sur les données avec WhatsApp RGPD : nouvelle amende de 5,5 millions d’euros pour Meta La Commission de protection des données annonce la conclusion de l’enquête sur WhatsApp, le communiqué de presse de la Commission irlandaise pour la protection des données (DPC) (en) RGPD : L’UE hausse le ton et frappe fort Les problématiques des (r)évolutions numériques en cours Cybersécurité : la face cachée du métavers Les cadres dirigeants sont-ils en mesure de comprendre les menaces pour mieux faire face aux cyberattaques ? (voir le sujet également dans les lettres du 19/17/12 janvier) Des nouvelles du CyberFront Pourquoi le traité de cybersécurité des Nations Unies menace-t-il la liberté d’expression ? Les malware pour Linux sont en croissance, voici les trois principales menaces actuelles Mauvaise nouvelle pour les hackers : les victimes paient beaucoup moins les rançons Bonne nouvelle : le ransomware a moins rapporté en 2022 qu’en 2021 Les victimes de ransomware refusent toujours plus souvent de payer Statistiques sur les cyberattaques du 4ème trimestre 2022 d’Hackmageddon (en) Le Maroc et Israël élargissent leur coopération militaire à la cybersécurité Guerre en Ukraine : quand les cyberattaques sont étroitement liées au conflit armé Ukraine : les applications mobiles, nouvelles armes du champ de bataille Suisse- Le rattachement de l’Office fédéral de la cybersécurité au DDPS ne fait pas que des heureux États-Unis. 37 millions de comptes T-Mobile touchés par un piratage L’enquête sur les fuites met en évidence les problèmes de protection de l’information de la Cour suprême des États-Unis Pourquoi la chute de l’échangeur Bitzlato pourrait avoir un monstrueux effet domino dans la cybercriminalité Cryptomonnaies : les cybergendarmes démantèlent une plate-forme de blanchiment, accès abonnés LeMonde Streaming de compétitions sportives : accord entre fournisseurs d’accès pour lutter contre le piratage IPTV : cet accord entre SFR, Bouygues, Free, Orange et l’ARCOM va être le cauchemar des sites pirates Matière à réflexions Cyber Obscurité, lorsque tout s’éteint, un édito de … Solange GHERNAOUTI: « Plus nous serons connectés, plus nous serons vulnérables » Le business derrière nos données. Enjeux sur nos vies privées 1/3 Une communication de la Commission européenne sur l’état d’avancement de la mise en œuvre de la stratégie pour la sécurité de l’UE, contrer les menaces hybrides, cybercriminalité, renforcement de la cybersécurité et de la cyberdéfense … au sommaire de ce rapport (en) Terrorisme, criminalité organisée, menaces hybrides, protection des infrastructures critiques et frontières intelligentes au menu des récents développements de la sécurité intérieure européenne, l’analyse de Pierre BERTHELET Études, enquêtes et référentiels Sensibilisation à la cybersécurité pour les NULS, une édition MetaCompliance en libre accès sur LinkedIn Le National Institute of Standards and Technology (NIST) lance un appel à commentaires d’une importante mise à jour de son framework cybersécurité NIST. Projet Cybersecurity framework 2.0 : Importantes mises à jour proposées (en) Les dépenses mondiales en cybersécurité vont augmenter de 13,2 % pour atteindre 223 Mds de $ en 2023 dont 144 Mds pour les prestations de services et 79 Mds pour les expéditions de produits, les prévisions de Canalys Séminaires – Conférences – Journées Le Panorama de la cybercriminalité du CLUSIF, sa présentation est prévue le 26 janvier. Elle sera accessible à distance sur le site du Club à partir de 16h Intelligence artificielle, sécurité et plus … IA au service de la sécurité … ou pas ChatGPT meilleur allié des hackers, vraiment ? ChatGPT et cybersécurité : ce qu’en disent les spécialistes du secteur Des experts en sécurité sont parvenus à créer un logiciel malveillant polymorphe « hautement évasif » à l’aide de ChatGPT. Le logiciel malveillant serait capable d’échapper aux produits de sécurité ChatGPT pourrait créer une vague de logiciels malveillants polymorphes, avertissent les chercheurs (en) ChatGPT ouvre de nouvelles opportunités pour les cybercriminels : 5 façons pour les organisations de se préparer (en) Cybersécurité des infrastructures critiques : l’OTAN table sur l’IA (voir aussi lettre du 19/01) Cette IA peut détecter un cambrioleur à travers un mur grâce au réseau Wi-Fi Interrogations / Perspectives / Prospectives ChatGPT : première interview radio de l’intelligence artificielle dans « L’invité de 9h10 » sur France inter le 18/01 La publication d’une série d’articles ChatGPT sur LeMonde, accessibles seulement à ses abonnés … OpenAI : dans la tête des créateurs de ChatGPT « Le projet de régulation de l’intelligence artificielle de l’UE ne semble pas être à la hauteur des risques que représente la percée d’outils comme ChatGPT », une tribune de Charles CUVELLIEZ, Jean-Jacques QUISQUATER et Stéphane VAN ROY ChatGPT : « Saluer l’avancée technologique, mais comprendre les limites de ce type de système », une tribune de Laurence DEVILLERS A qui appartiennent les textes et les images générés par une intelligence artificielle ? ChatGPT : à l’université, un outil pédagogique ou un instrument de triche ? ChatGPT : « Plus que dans un capitalisme de surveillance, nous voici dans une administration de notre bien-être », une analyse d’Eric SALADIN Ce que ChatGPT fait à la veille : l’exploitation de l’information. 3/4 et, évidemment, s’il y a 3/4, il y a … Ce que ChatGPT fait à la veille : l’orientation des besoins. 1/4 Ce que ChatGPT fait à la veille : la collecte (sourcing et veille) 2/4 Aurélie Jean : « Pourquoi l’interdiction totale de ChatGPT à l’école est une fausse bonne idée », accès abonnés LeFigaro 10 Bits : La liste critique de l’actualité des données du 14 au 20 janvier (en) Santé Prédire l’apparition de troubles anxieux dès l’adolescence grâce à l’apprentissage automatique Économie – Business Dall-E et ChatGPT : Google prépare ses réponses Pour concurrencer ChatGPT, Google va sortir plus de 20 produits avec intelligence artificielle. Les premiers produits pourraient être présentés dès mai 2023 Sparrow, la réponse de Google à ChatGPT Événements – Livres / Rapports / Études … Challenge AI for Urban Mobility Appel à projet. AI for Urban Mobility. Vous avez jusqu’au 10 février … information et formulaire À votre disposition pour recueillir vos observations, suggestions et commentaires sur cette information guillet.lionel@gmail.com Une précision – Les recherches ciblées sur les lettres de veille archivées sont désormais possibles par l’intermédiaire d’un widget sur la page d’accueil du site https://veillecyberland.wordpress.com/ Un mot-clé, sa validation, et le système vous affiche la liste des lettres qui le contiennent. Il suffit alors de cliquer sur le lien hypertexte de chacune des lettres pour les ouvrir et lancer une recherche par CTRL+F sur leur contenu. La transaction manque d’élégance, mais elle est efficace. Elle peut vous être utile pour une étude, pour préparer une intervention, une présentation, etc.

  • Journée de la protection des données - Commentaire Sendinblue
    par Julien Champseix, Responsable de la Sécurité des Systèmes d'Information et Arthur Poirier, Directeur Juridique et Délégué à la Protection des Données chez Sendinblue le 27 janvier 2023 à 15h55

    À l'occasion de la journée européenne de la protection des données, Julien Champseix, Responsable de la Sécurité des Systèmes d'Information et Arthur Poirier, Directeur Juridique et Délégué à la Protection des Données chez Sendinblue commentent l'impact des régulations RGPD sur les TPE/PME, le rôle des géants du web ainsi que l'effet de la protection des données sur les consommateurs Sendinblue. Naviguer dans l'économie digitale en préservant la confidentialité de ses données peut paraître une tâche complexe pour les consommateurs d'aujourd'hui. Entre les fuites de données, les bonnes pratiques et les régulations qui changent constamment, le rôle des consommateurs dans la protection de leurs propres données est assez flou. Les individus et les consommateurs bénéficient de droits vis-à-vis de leurs données personnelles. Car bon nombre d'entre eux, sont de plus en plus concernés par la sécurité de leurs données, et poussent les entreprises à renforcer leur stratégie de cybersécurité et à être plus transparentes sur la façon dont elles les gèrent. Puisque les grandes organisations ont tendance à prendre en charge un volume considérable de données personnelles, elles se doivent de gérer la majorité des risques de violations et de fuites. Par ailleurs, ce sont elles qui ont le plus de ressources pour contrecarrer les incidents de cybersécurité. De même, les petites et moyennes entreprises peuvent se retrouver dans une situation délicate quand il s'agit de protection des données. Honorer la confiance et la fidélité des clients est toujours une priorité, mais trouver les ressources dans une petite équipe pour assurer une protection robuste de leurs données peut paraître un challenge impossible. Cela peut pourtant être évité. Le RGPD ne devrait pas peser sur les entreprises - il est là pour protéger les données personnelles, mais cela ne veut pas dire qu'il est “anti-business”. Il vient à l'inverse renforcer les bonnes pratiques. En effet, appliquer le RGPD pour celles-ci montre leur engagement ferme auprès d'un standard de protection de données reconnu en Europe et au-delà. Tout comme la Responsabilité Sociale des Entreprises (RSE), la protection des données et le respect du RGPD sont devenus des critères importants impactant la décision de travailler ou non avec une entreprise ce qui doit résonner auprès de nombreux dirigeants.

  • Veille Cyber N423 – 23 janvier 2023
    par veillecybertb le 27 janvier 2023 à 14h48

    Veille hebdomadaire du 22 janvier 2023 CyberStratégie /CyberDéfense / CyberSécurité – Protection des données / RGPD – Intelligence artificielle … Lettre Cyber 423 L’actualité cyber du 16 au 22 janvier 2023…… faits, chroniques et opinions, référentiels, séquences audio, séquences vidéo … selon vos centres d’intérêt, personnels ou professionnels, je vous laisse découvrir l’actualité de la semaine, dans ces domaines essentiels que sont … la CyberStratégie, la CyberSécurité, la protection des données personnelles et l’intelligence artificielle … sans prétention à l’exhaustivité et avec beaucoup de subjectivité, inévitable, bien évidemment. Une bonne semaine à vous. Sans oublier que je reste à l’écoute de vos commentaires et de vos observations guillet.lionel@gmail.com Ce qui a retenu mon attention dans l’actualité de cette semaine 17 janvier 2023. L’utilisation de l’arme cyber dans le conflit russo/ukrainien, des enseignement pour le commandant de la cyberdéfense – Un guide pour une politique de gestion des correctifs – Faut-il abandonner le gestionnaire de mots de passe Lastpass, telle est la question – Le risque cyber au Forum de Davos … A(ré)écouter – A (re)voir CyberGuerre, les aspects “cyber” de la guerre en Ukraine au micro de l’équipe NoLimitSecu cette semaine avec Matin UNTERSINGER Comment Microsoft aide l’Ukraine face aux cyberattaques, podcast de l’Express “La méthode russe est un rouleau compresseur”, assène un général français. “La guerre électronique bat son plein” (voir le dossier publié le 15/01 à partir de la conférence de presse du ComCyber, le général Aymeric BONNEMAISON) Ukraine: Le “cyber Pearl Harbor” n’a pas eu lieu, une séquence audio RFI L’incroyable cyber-résistance ukrainienne face à l’offensive russe Ce que l’armée française retient de l’utilisation de l’arme cyber dans le conflit russo-ukrainien, accès abonnés VarMatin Informations Cyberdéfense : ils sont les architectes des bastions rennais Comment Rennes devient une place forte de la cybersécurité, accès abonnés LesEchos La télésurveillance médicale est en plein essor pour connecter patients et soignants La cybersécurité en Chine pèsera 22 milliards de dollars en 2025 Management de la sécurité de l’Information Quels changements apporte le règlement européen sur les services numériques (DSA) ? Analyse juridique La Cybersécurité maritime (en) Benoît Fuzeau, Président du CLUSIF : “Dans la cybersécurité, le problème majeur c’est la diffusion de l’information” Cloud : a quelles questions répondre avant d’héberger ses applications ? Éducation & numérique : quelle stratégie de sauvegarde pour les écoles ? Les dirigeants ne comprennent pas le langage de la cybersécurité (à rapprocher des informations passées dans la lettre de veille du 12 janvier) SASE (Secure Access Service Edge) : Mort annoncée des équipements réseau et sécurité physiques ? Une vidéo Cloudflare Un Guide détaillé de création d’une politique de gestion des correctifs La Chaine d’approvisionnement, Cybervulnérable Cybersécurité : quels enjeux liés à l’identité pour 2023 ? La cybercriminalité : prévention et lutte, un rappel des basiques sur le site du quotidien El Watan Données d’entreprise : pourquoi sont-elles en danger et comment les protéger Le bulletin d’actualité du 9 janvier du CERT-FR, un retour sur “les vulnérabilités significatives de la semaine passée pour souligner leurs criticités” Et puis, dans la vie personnelle comme dans la vie professionnelle Comment faire que les objets connectés reçus à Noël ne deviennent pas des aspirateurs à données personnelles, une interview de Loïc GUEZO Saintes (17) – Des locataires de la Semis victimes de mails frauduleux Privacy Day : Comment protégez vos données à caractère personnel sur votre smartphone ? Phishing : hôteliers, attention à votre compte Booking ! Veille de veille(s) L’hebdo cybersécurité | 15 janvier 2023 du décodeur La protection des données personnelles – RGPD / GDPR le règlement européen et plus … Jeux mobiles : la CNIL sanctionne VOODOO à hauteur de 3 millions d’euros RGPD : Voodoo sanctionné à hauteur de 3 millions d’euros La confidentialité programmée (privacy by design) deviendra une norme ISO le mois prochain La Journée de la protection des données, la data Privacy Day, le 28 janvier 2023 (en) Comment protéger nos données à caractère personnel au sein de nos entreprises actuelles ? Nos données pourront-elles de nouveau voyager librement aux Etats-Unis  ? Suisse – Des données de santé anonymisées des assurés désormais accessibles pour la recherche Les problématiques des (r)évolutions numériques en cours Faut il abandonner Lastpass pour d’autres gestionnaires de mot de passe comme Bitwarden ou 1Password ? Oui selon des experts qui évoquent “sa longue histoire d’incompétence et de négligence” Ordinateur quantique et cybersécurité : risque ou opportunité ? TikTok accusé d’espionner l’Amérique et de corrompre la jeunesse, accès abonnés LeMonde Des nouvelles du CyberFront Davos : en 2023, le risque cyber reste bien présent OTAN – Les cyberattaques basées sur l’IA sont une menace critique (en) 36 pays maintenant unis contre les ransomwares Statistiques sur les cyberattaques de  décembre 2022 d’Hackmageddon (en) La cybersécurité en 2022 : attaques contre la supply chain et professionnalisation de la cybercriminalité En 2023, les pirates informatiques ne désarmeront pas, les prévisions de la Société Fortra De plus en plus de virus dans les applis Cloud, une étude du Threat Labs de Netskope Baromètre des risques d’Allianz 2023 : la cyberdélinquance et l’interruption d’activité en tête ; les risques économiques et énergétiques en hausse La Chine propose un traité de l’ONU criminalisant la “diffusion de fausses informations” Trouble politique au Brésil, un hacker malmène l’informatique du gouvernement Un hacker diffuse les données sensibles de chefs d’entreprises taïwanaises Canada – Une vague de cyberattaques qui n’est pas près de s’essouffler, selon des experts Des hackers détournent des sites de l’UE pour voler des infos bancaires La société Cellebrite victime d’une nouvelle fuite de données Matière à réflexions Atténuation des risques interconnectés : une étude de cas (en) dans le cadre du Forum économique mondial de Davos. Également … La cyber-pandémie : un besoin de renforcement de la cyber-résilience dans les télécoms (en) Études, enquêtes et référentiels Un référentiel des métiers de l’IoT publié par le Think-Tank Gr-IoT Séminaires – Conférences – Journées La cyber en santé et ses spécificités au prochain Lundi de la cybersécurité le 6 février. Tous les détails dans la lettre de Gérard PELIKS Intelligence artificielle, sécurité et plus … IA au service de la sécurité … ou pas L’intelligence artificielle ChatGPT et la démocratisation de la cybercriminalité L’intelligence artificielle façonnera les futures cyberattaques La menace de sécurité représentée par les cyberattaques basées sur l’IA, une étude de Traficom (en) IA : un outil de plus en plus performant pour les cyberattaquants La chasse aux biais des algorithmes d’intelligence artificielle par Bias Buccaneers Le Japon se sert de l’IA pour mettre fin aux campagnes de désinformation Prédire les impacts d’un tsunami en quelques fractions de seconde grâce au deep learning Interrogations / Perspectives / Prospectives Un aperçu des dernières innovations en matière d’IA et de leurs implications pour les entreprises (en) L’IA dans les médias sociaux – la façon d’utiliser (en) L’enseignement supérieur devra s’adapter à l’IA générative – et c’est une bonne chose (en) Quel droit spécifique dédié à l’intelligence artificielle ? L’avenir du travail à l’ère de l’intelligence artificielle L’intelligence artificielle est “pour tout le monde” (en) Le changement de technologie de l’IA sera probablement relativement rapide car il agit comme un innovateur technologique (en) Préparez-vous pour un tout nouvel avenir dirigé par la technologie de l’IA (en) Santé Diagnostic Médical et Intelligence Artificielle : Enjeux Ethiques”, un avis commun du Comité consultatif national d’éthique (CCNE) et du Comité national pilote d’éthique du numérique (CNPEN)  à la demande du premier ministre. Diagnostic médical et intelligence artificielle : deux comités d’éthique formulent des recommandations et appellent à la vigilance Intelligence artificielle : les diagnostics doivent “être soumis à un contrôle humain”, plaident les comités d’éthique Comment l’intelligence artificielle peut lutter contre les problèmes clés affectant les soins de santé (en) Recherche, développement et application L’IA au cœur du futur Windows 12 ? Économie – Business Principales entreprises de services cloud sur le thème de l’intelligence artificielle (en) Comment l’IA peut atténuer les problèmes de la chaîne d’approvisionnement (en) 19 janvier 2023. L’ANSSI communique sur NIS2 – Le droit à l’OSINT en 2023 – L’OTAN teste l’IA pour protéger les infrastructures critiques … A(ré)écouter – A (re)voir Point presse du 12/01 du ministère des armées- Thème : emploi de l’arme cyber avec le commandant de la cyberdéfense à partir de 14mn30s, la vidéo de la conférence (voir également les lettres du 15 au 17 janv .) Revoir le webinaire : sécurité des systèmes d’IA, enjeux et bonnes pratiques sur le site de la CNIL Le risque cyber bientôt inassurable ? Sur BSmart Tv avec Bernard MONTEL de Tenable et Philippe COTELL de l’AMRAE L’invitée de La Matinale – Solange GHERNAOUTI, experte en cybersécurité et professeure à l’UNIL sur la Radio suisse romande. Et si les États-Unis étaient paralysés par une panne électrique géante suite à une attaque informatique … Informations Microsoft licencie 10 000 salariés Management de la sécurité de l’Information Lancement de nouvelles règles plus strictes en matière de cybersécurité pour un paysage numérique européen plus sûr Directive NIS 2 : ce qui va changer pour les entreprises et l’administration françaises, le communiqué de presse de l’ANSSI OSINT le droit de l’Open Source Intelligence en 2023 par Marc-Antoine LEDIEU, avocat RSSI, une information largement illustrée Comment sensibiliser les dirigeants aux enjeux de cybersécurité ? Sensibiliser les dirigeants mais aussi … “Renforcer la cybersécurité dans le secteur maritime” Enquête sur les besoins cybersécurité dans le social & médico-social, réponse au plus tard le 31 janvier Le Club 27001 publie un livre blanc sur la nouvelle version ISO 27002.2022 Sa présentation par Michel VERDUN dans un bref sur LinkedIn Serious Game – L’analyse de risques avec EBIOS RM ! Un appel à contribution pour la Création d’un serious game permettant de découvrir et approfondir l’analyse de risques avec la méthode EBIOS RM Un rapport d’IBM détaille les mesures à prendre pour sécuriser les données à l’ère du quantique IBM : L’informatique quantique constitue une “menace existentielle” pour le chiffrement des données  (en) La sécurité dans l’ère de l’informatique quantique. Le risque est réel, la réponse c’est maintenant, l’étude IBM (en) Protéger les avocats et les équipes juridiques contre les cyber-risques Les cybermenaces touchent aussi les agriculteurs Vers une nouvelle approche de la sécurité des données pour la nouvelle année ? 2023, des Cyber-attaques Nouvelle Vague Comment maintenir la confiance à l’ère du numérique ? 5 sources de risques dans l’exploitation du système d’information Des ransomwares aux attaques visant à contrôler ou endommager les environnements OT 4 conseils pour se protéger contre les compromissions malveillantes Cybersécurité : le chiffrement ubiquitaire, nouvelle arme contre les hackers ?, mais, mais … qu’est-ce que le chiffrement ubiquitaire ? Menaces cyber : le grand retour du malvertising L’Observatoire des Cybermenaces : une “météo” mensuelle des malwares Fin de support de windows 8.1, windows server 2012 et windows server 2012 R2 dans le bulletin d’actualité 004 du CERT-FR L’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) met à jour les meilleures pratiques de mappage vers MITRE ATT&CK (en) Veille de veille(s) La newsletter hebdomadaire Threat Landscape Intrinsec du 19 janvier La Veille cyber hebdomadaire N.422 est en ligne, un retour sur la semaine du 9 au 15 janvier, sans oublier son extrait dédié à l’intelligence artificielle La protection des données personnelles – RGPD / GDPR le règlement européen et plus … Collecte de données dans les applications mobiles : la CNIL lance une consultation publique sur les enjeux économiques Données personnelles – consultation publique sur les enjeux économiques de la collecte de données dans les applications mobiles Le Comité européen à la protection des données (CEPD) adopte le rapport final de la “task force” dédiée aux bannières cookies (“cookie banner”), le communiqué de presse de la CNIL Exercer son droit d’accès : un parcours semé d’embûches, un article de Bruno RASLE Decathlon, à fond la surveillance. La famille Mulliez maximise l’exploitation de vos données personnelles Covid-19: vers une suppression du SI de traçage des cas contacts (projet de décret), accès abonnés sur simple inscription Les problématiques des (r)évolutions numériques en cours Cyber assurance : des couvertures plus restreintes Vers une Cyber-Tour de Babel ? Un étude menée par Kaspersky révèle que les dirigeants d’entreprise ne comprennent pas le langage de la cybersécurité (voir aussi le sujet dans les dernières lettres) Non à la vidéosurveillance algorithmique, refusons l’article 7 de la loi olympique ! Le communiqué de presse de la Quadrature du Net Des nouvelles du CyberFront Cyberattaques : près de 600 “menaces étrangères” contre des entreprises françaises détectées en 2022 Qu’est-ce que le CALID ? Le Centre d’analyse en lutte informatique défensive Le gouvernement américain annonce un troisième défi Hack The Pentagon (en) Les cyberattaques ne connaissent pas la crise Classement Top Malware Check Point décembre 2022 : Emotet, Qbot et Kryptik sont sur le podium en France par CheckPoint Un rapport publié par Nozomi Networks Labs démontre que les attaques destructrices et de ransomwares dominent le paysage des menaces en 2022 “Êtes-vous mobilisés ?” : les Russes piégés par un astucieux site de hackers Le groupe hacktiviste NoName057(16), affilié à la Russie, met l’élection présidentielle tchèque de 2023 sur le devant de la scène (en) Norton : des milliers de comptes piratés, les mots de passe dans la nature Piratage Norton : comptes et gestionnaire de mots de passe compromis Nuxe victime d’une cyberattaque : des hackers russophones de Lockbit font chanter le géant des cosmétiques La Poste britannique s’enfonce dans la crise après une attaque par rançongiciel Mailchimp victime d’une cyberattaque par social engineering Cryptomonnaies : les cybergendarmes démantèlent une plate-forme de blanchiment, accès abonnés LeMonde Matière à réflexions Cybercriminalité : l’impossible coopération face au marché Les BigTech et le Pentagone : une alliance, jusqu’où ? Accès abonnés LesEchos Études, enquêtes et référentiels Boum publie la 6e édition de son guide d’autodéfense numérique, un article de Jean-Marc MANACH, accès abonnés NextImpact Le guide d’autodéfense numérique 6e édition en libre accès Incidents cyber : le risque principal pour des entreprises qui n’en ont pas conscience Etude PwC : 35% des dirigeants français se sentent vulnérables face au risque cyber 26e enquête annuelle mondiale sur les PDG de PwC (en) La cyber est le premier risque des entreprises, estiment les dirigeants français (40%) La cyberdélinquance en tête des risques d’entreprises selon Allianz Identifier les principaux risques commerciaux 2023. Le baromètre d’Allianz (en) Pourquoi les responsables informatiques se sentent de moins en moins protégés contre les cyberattaques et autres incidents, un rapport Veam Software Volatilité des crypto-monnaies et problèmes de sécurité : une étude de Kaspersky identifie les principaux obstacles à l’adoption des crypto-monnaies Séminaires – Conférences – Journées La Prise en compte de la menace cyber dans nos ambassades : quelles actions menées par la Direction de la Sécurité Diplomatique du ministère de l’Europe et des Affaires étrangères dans la prochaine Matinale du CyberCercle le 8 février. Sur le site quelques ressources sur le thème du déplacement à l’étranger Intelligence artificielle, sécurité et plus … IA au service de la sécurité … ou pas Avec l’IA, l’OTAN teste la cyber-protection des infrastructures critiques L’IA de Nukkai épaule le war game de l’OTAN avec Thales L’IA nous rendra-t-elle plus sûrs ? (en) ChatGPT pour le cybercrime offensif et défensif (en) Interrogations / Perspectives / Prospectives Qu’est-ce qu’une intelligence artificielle ? Au moment où il n’est plus question que de ChatGPT … Les progrès de l’intelligence artificielle vont-ils rendre le travail obsolète ? Dans l’émission “L’invité(e) des Matins” de Guillaume ERNER sur France culture le 18 janv. Intelligence Artificielle et Machine Learning, que nous réserve l’avenir ? (en) Veiller à ce que l’intelligence artificielle ait des valeurs humaines avant qu’il ne soit trop tard (en) “Le projet de régulation de l’intelligence artificielle de l’UE ne semble pas être à la hauteur des risques que représente la percée d’outils comme ChatGPT”, accès abonnés LeMonde Et voici la part d’ombre de ChatGPT et consort Bill Gates, premier supporter d’un ChatGPT toujours plus puissant GPT-4 : les nouveautés attendues après ChatGPT et GPT-3 . Plus fort que ChatGPT ? Santé ChatGPT va-t-elle bientôt se substituer aux médecins ? Recherche, développement et application Tout savoir sur DALL-E, la puissante IA d’OpenAI Économie – Business L’adoption de l’IA en entreprise semble avoir atteint un plateau Construire une stratégie de gouvernance de l’IA qui fonctionne (en) Microsoft lance ses services Azure OpenAI avec ChatGPT en ligne de mire Comment Microsoft peut devenir le grand gagnant de l’IA générative (en) Les 100 meilleures entreprises d’IA à surveiller en 2023 d’après Analytics Insight (en) Événements – Livres / Rapports / Études … La Software République s’associe à la région Île-de-France pour le challenge “AI for Urban Mobility” Capitaliser sur les données issues de la parole conversationnelle, le 31 janv. un webinaire proposé par Le Cycle Voix du Hub France IA ActuIA 10 : un numéro spécial sur l’intelligence artificielle pour bien commencer 2023 22 janvier 2023. Gare aux fraudes bancaires, une alerte de Cybermalveillance.gouv.fr – Ransomwares en 2022, plus d’attaques, moins de gains … A(ré)écouter – A (re)voir L’ENQUÊTE – Un organisme du ministère des Armées victime d’une cyberattaque de grande ampleur sur BFMTV le 20/01 Informations Cybersécurité : “le CNRS en tant qu’organisme pluridisciplinaire a une carte très importante à jouer” Fiasco du guichet unique des entreprises : “L’Etat ne sait pas gérer un gros projet informatique”, une interview du député Philippe LATOMBE (voir lettres du 5, du 8 et du 10 janv.) Google : 12 000 suppressions de postes dans le monde Google supprime 12 000 emplois, soit plus de 6 % de ses effectifs mondiaux Management de la sécurité de l’Information Cyber Resilience Act : une nouvelle étape dans la sécurité de l’IoT, analyse juridique Une boîte à outils pour la cybersécurité dans le domaine des transports proposée par la Commission européenne en 2021 Formation Cybersécurité : format bootcamp ou continu ? [métier] Le COMCYBER lance sa page Welcome to the Jungle France, la plateforme de recrutement des offres d’emplois dans le domaine de la cyberdéfense [métier] Cyberattaque : comment faire face ? Un Guide LeMagIT Le traitement du risque cyber sur la supply chain La cybersécurité infogérée, une réponse aux enjeux de sécurité des entreprises Blockchain : outil de traçabilité des chaînes d’approvisionnement Trois raisons d’adopter le Zero Trust pour protéger les bots et assurer la sécurité des sites Web et API Martial Prévalet : “L’encadrement intermédiaire peut être pleinement acteur en matière de gestion des risques” Kaspersky : Quelles menaces pour les entreprises en 2023 ? Chantage médiatique, fausses fuites de données et hausse des attaques via le cloud Les Assurances et réglementations : principaux facteurs de sécurité en 2023 ? L’année 2023 va-t-elle imposer les système de détection des menaces cyber ? Un outil pour aider des victimes du rançongiciel BianLian à récupérer leurs fichiers Technique – Chasse aux serveurs Cobalt Strike Une “golden source” de matrice C2, Command and Control (en) Sa présentation par Clément Domingo … Et puis, dans la vie personnelle comme dans la vie professionnelle Une fraude bancaire toutes les 4 secondes : et si demain, c’était vous la victime ? Une table-ronde proposée par Cybermalveillance.gouv.fr en visioconférence le 24 janvier qui accompagne … … Que faire en cas de fraude au faux conseiller bancaire ? Une nouvelle fiche de cybermalveillance.gouv.fr Usurpation d’identité et problèmes bancaires : que faire ? Une information de la Banque de France Le “vishing” ou comment de faux banquiers vous arnaquent en vidant vos comptes par téléphone Attention au “vishing”, une nouvelle arnaque téléphonique Attention lors de vos achats en ligne : des hackers infectent les sites d’e-commerce. Un piège parfois indétectable Arnaques et escroqueries en ligne : comment les identifier et agir ? Sur le site Ma Sécurité Ma Sécurité : un nouveau site dédié à la sécurité des citoyens Comment limiter les attaques liées à l’échange de cartes SIM ? Veille de veille(s) Résumé de la semaine 3 (du 14 au 20 janvier), un bulletin du CERT-XMCO La lettre de veille de l’ARCSI concernant la semaine 3 (du 16 au 22 janvier) et rapportant les faits marquants en cryptologie et sécurité de l’information, le message de Francis BRUCKMANN ou l’actualité en continu sur le site de l’Association Ciblage des échanges cryptographiques – La semaine du ransomware de Bleeping Computer du 20 janvier (en) La protection des données personnelles – RGPD / GDPR le règlement européen et plus … La CNIL lance une consultation publique sur le traitement des données par les applis (voir lettre du 19/01) Applications mobiles : la CNIL consulte avant d’encadrer L’UE inflige une nouvelle amende de 5,5 millions d’euros à Meta pour avoir enfreint le règlement sur les données avec WhatsApp RGPD : nouvelle amende de 5,5 millions d’euros pour Meta La Commission de protection des données annonce la conclusion de l’enquête sur WhatsApp, le communiqué de presse de la Commission irlandaise pour la protection des données (DPC) (en) RGPD : L’UE hausse le ton et frappe fort Les problématiques des (r)évolutions numériques en cours Cybersécurité : la face cachée du métavers Les cadres dirigeants sont-ils en mesure de comprendre les menaces pour mieux faire face aux cyberattaques ? (voir le sujet également dans les lettres du 19/17/12 janvier) Des nouvelles du CyberFront Pourquoi le traité de cybersécurité des Nations Unies menace-t-il la liberté d’expression ? Les malware pour Linux sont en croissance, voici les trois principales menaces actuelles Mauvaise nouvelle pour les hackers : les victimes paient beaucoup moins les rançons Bonne nouvelle : le ransomware a moins rapporté en 2022 qu’en 2021 Les victimes de ransomware refusent toujours plus souvent de payer Statistiques sur les cyberattaques du 4ème trimestre 2022 d’Hackmageddon (en) Le Maroc et Israël élargissent leur coopération militaire à la cybersécurité Guerre en Ukraine : quand les cyberattaques sont étroitement liées au conflit armé Ukraine : les applications mobiles, nouvelles armes du champ de bataille Suisse- Le rattachement de l’Office fédéral de la cybersécurité au DDPS ne fait pas que des heureux États-Unis. 37 millions de comptes T-Mobile touchés par un piratage L’enquête sur les fuites met en évidence les problèmes de protection de l’information de la Cour suprême des États-Unis Pourquoi la chute de l’échangeur Bitzlato pourrait avoir un monstrueux effet domino dans la cybercriminalité Cryptomonnaies : les cybergendarmes démantèlent une plate-forme de blanchiment, accès abonnés LeMonde Streaming de compétitions sportives : accord entre fournisseurs d’accès pour lutter contre le piratage IPTV : cet accord entre SFR, Bouygues, Free, Orange et l’ARCOM va être le cauchemar des sites pirates Matière à réflexions Cyber Obscurité, lorsque tout s’éteint, un édito de … Solange GHERNAOUTI: “Plus nous serons connectés, plus nous serons vulnérables” Le business derrière nos données. Enjeux sur nos vies privées 1/3 Une communication de la Commission européenne sur l’état d’avancement de la mise en œuvre de la stratégie pour la sécurité de l’UE, contrer les menaces hybrides, cybercriminalité, renforcement de la cybersécurité et de la cyberdéfense … au sommaire de ce rapport (en) Terrorisme, criminalité organisée, menaces hybrides, protection des infrastructures critiques et frontières intelligentes au menu des récents développements de la sécurité intérieure européenne, l’analyse de Pierre BERTHELET Études, enquêtes et référentiels Sensibilisation à la cybersécurité pour les NULS, une édition MetaCompliance en libre accès sur LinkedIn Le National Institute of Standards and Technology (NIST) lance un appel à commentaires d’une importante mise à jour de son framework cybersécurité NIST. Projet Cybersecurity framework 2.0 : Importantes mises à jour proposées (en) Les dépenses mondiales en cybersécurité vont augmenter de 13,2 % pour atteindre 223 Mds de $ en 2023 dont 144 Mds pour les prestations de services et 79 Mds pour les expéditions de produits, les prévisions de Canalys Séminaires – Conférences – Journées Le Panorama de la cybercriminalité du CLUSIF, sa présentation est prévue le 26 janvier. Elle sera accessible à distance sur le site du Club à partir de 16h Intelligence artificielle, sécurité et plus … IA au service de la sécurité … ou pas ChatGPT meilleur allié des hackers, vraiment ? ChatGPT et cybersécurité : ce qu’en disent les spécialistes du secteur Des experts en sécurité sont parvenus à créer un logiciel malveillant polymorphe “hautement évasif” à l’aide de ChatGPT. Le logiciel malveillant serait capable d’échapper aux produits de sécurité ChatGPT pourrait créer une vague de logiciels malveillants polymorphes, avertissent les chercheurs (en) ChatGPT ouvre de nouvelles opportunités pour les cybercriminels : 5 façons pour les organisations de se préparer (en) Cybersécurité des infrastructures critiques : l’OTAN table sur l’IA (voir aussi lettre du 19/01) Cette IA peut détecter un cambrioleur à travers un mur grâce au réseau Wi-Fi Interrogations / Perspectives / Prospectives ChatGPT : première interview radio de l’intelligence artificielle dans “L’invité de 9h10” sur France inter le 18/01 La publication d’une série d’articles ChatGPT sur LeMonde, accessibles seulement à ses abonnés … OpenAI : dans la tête des créateurs de ChatGPT “Le projet de régulation de l’intelligence artificielle de l’UE ne semble pas être à la hauteur des risques que représente la percée d’outils comme ChatGPT”, une tribune de Charles CUVELLIEZ, Jean-Jacques QUISQUATER et Stéphane VAN ROY ChatGPT : “Saluer l’avancée technologique, mais comprendre les limites de ce type de système”, une tribune de Laurence DEVILLERS A qui appartiennent les textes et les images générés par une intelligence artificielle ? ChatGPT : à l’université, un outil pédagogique ou un instrument de triche ? ChatGPT : “Plus que dans un capitalisme de surveillance, nous voici dans une administration de notre bien-être”, une analyse d’Eric SALADIN Ce que ChatGPT fait à la veille : l’exploitation de l’information. 3/4 et, évidemment, s’il y a 3/4, il y a … Ce que ChatGPT fait à la veille : l’orientation des besoins. 1/4 Ce que ChatGPT fait à la veille : la collecte (sourcing et veille) 2/4 Aurélie Jean : “Pourquoi l’interdiction totale de ChatGPT à l’école est une fausse bonne idée”, accès abonnés LeFigaro 10 Bits : La liste critique de l’actualité des données du 14 au 20 janvier (en) Santé Prédire l’apparition de troubles anxieux dès l’adolescence grâce à l’apprentissage automatique Économie – Business Dall-E et ChatGPT : Google prépare ses réponses Pour concurrencer ChatGPT, Google va sortir plus de 20 produits avec intelligence artificielle. Les premiers produits pourraient être présentés dès mai 2023 Sparrow, la réponse de Google à ChatGPT Événements – Livres / Rapports / Études … Challenge AI for Urban Mobility Appel à projet. AI for Urban Mobility. Vous avez jusqu’au 10 février … information et formulaire À votre disposition pour recueillir vos observations, suggestions et commentaires sur cette information guillet.lionel@gmail.com Une précision – Les recherches ciblées sur les lettres de veille archivées sont désormais possibles par l’intermédiaire d’un widget sur la page d’accueil du site https://veillecyberland.wordpress.com/ Un mot-clé, sa validation, et le système vous affiche la liste des lettres qui le contiennent. Il suffit alors de cliquer sur le lien hypertexte de chacune des lettres pour les ouvrir et lancer une recherche par CTRL+F sur leur contenu. La transaction manque d’élégance, mais elle est efficace. Elle peut vous être utile pour une étude, pour préparer une intervention, une présentation, etc.

  • ENISA: Protecting Data: Can we Engineer Data Sharing?
    par ENISA le 27 janvier 2023 à 12h06

    The European Union Agency for Cybersecurity (ENISA) celebrates the Data Protection Day and explores how technologies can support personal data sharing in practice. To celebrate the European Data Protection Day on 28 January 2023, ENISA publishes today its report on how cybersecurity technologies and techniques can support the implementation of the General Data Protection Regulation (GDPR) principles when sharing personal data. EU Agency for Cybersecurity, Executive Director, Juhan Lepassaar, said: "In an ever growing connected world, protecting shared data is essential if we want to generate trust in the digital services. We therefore need to rely on the technologies at hand to address the emerging risks and thus find the solutions to best protect the rights and freedoms of individuals across the EU." Because data today is at the heart of our lives and central to our economy, data has been coined as the new currency. No transactions or activity can be performed online nowadays without the exchange and sharing of data. Organisations share information with partners, analytic platforms, public or other private organisations and the ecosystem of shareholders is increasing exponentially. Although we do see data being taken from devices or from organisations to be shared with external parties in order to facilitate business transactions, securing and protecting data should remain a top priority and adequate solutions implemented to this end. The objective of the report is to show how the data protection principles inscribed in the GDPR can be applied in practice by using technological solutions relying on advanced cryptographic techniques. The report also includes an analysis of how data is dealt with when the sharing is part of another process or service. This is the case when data need to go through a secondary channel or entity before reaching the final recipient. The report focuses on the various challenges and possible architectural solutions on intervention aspects. An example of these is the right to erasure and the right to rectification when sharing data. Targeting policy makers and data protection practitioners, the report provides an overview of the different takes on how to approach personal data sharing in an effective way. Background The EU Agency for Cybersecurity has been working in the area of privacy and data protection since 2014, by analysing technical solutions for the implementation of the GDPR, privacy by design and security of personal data processing. The work in this area falls under the provisions of the Cybersecurity Act (CSA) and is meant to support Member States on specific cybersecurity aspects of Union policy and law in relation to data protection and privacy. This work builds upon the Agency's activities in the area of Data Protection Engineering and is produced in collaboration with the ENISA Ad Hoc Working Group on Data Protection Engineering. The Agency has been providing guidance on data pseudonymisation solutions to data controllers and processors since 2018.

  • Vie privée: la Belgique une nouvelle fois mise en demeure …
    par Renseignements Stratégiques, Investigations & Intelligence Economique | Scoop.it le 27 janvier 2023 à 11h02

    La Commission européenne a lancé une procédure d’infraction à l’encontre de l’Etat belge. En cause : les licenciements, en juillet dernier, du président de l’APD et de sa co-directrice et lanceuse d’alerte, Charlotte Dereppe. Des révocations, rappelle Didier Reynders, dont les conditions ne respectent pas le RGPD. source : https://www.lesoir.be/491453/article/2023-01-26/vie-privee-la-belgique-une-nouvelle-fois-mise-en-demeure

  • Données personnelles : le temps des sanctions ?
    par Arnaud Marquant Directeur des opérations KB Crawl SAS le 27 janvier 2023 à 9h57

    Les sanctions de la CNIL auprès des entreprises ne respectant pas le RGPD se multiplient. Une étape dans l'acculturation des organisations au respect des données personnelles, que la journée mondiale du 28 janvier (« Data Privacy Day ») permet d'évoquer. Depuis plusieurs mois, la Commission Nationale de l'Informatique et des Libertés (CNIL) multiplie les sanctions à l'attention d'entreprises ne respectant par le Règlement Général sur la Protection des Données (RGPD). Le 15 septembre 2022, elle attribuait une amende record de 405 M€ à Instagram pour divulgation publique d'adresses de mails et/ou de numéros de téléphone. Le 20 octobre, elle sanctionnait la société Clearview AI pour collecte de données de personnes se trouvant en France. Un mois plus tard, Discord INC ainsi qu'EDF étaient priées de s'acquitter respectivement de 800 000 € et 600 000 €. Au mois de décembre dernier, la CNIL sanctionnait entre autres Microsoft, Apple, TikTok et la société Voodoo... Discord : les données de 2,5 millions de comptes français conservées Que nous disent ces différentes décisions sur la protection des données personnelles ? D'abord que le « gendarme » français de nos données, à savoir la CNIL, se montre extrêmement vigilant quant au respect des textes en vigueur, édictées en avril 2016 avant d'être appliqués en 2018. Prenons l'exemple de Discord : après contrôle de la CNIL, l'entreprise s'est révélée dans l'incapacité de respecter la durée de conservation des (très nombreuses) données qu'elle véhiculait au quotidien – à savoir des échanges oraux, à la fois de nature professionnelle et personnelle. Elle a notamment relevé que les informations de près de 2,5 millions de comptes français inutilisés depuis plus de trois années avaient été conservées par l'entreprise américaine. La CNIL a aussi noté que Discord avait manqué à son obligation d'information sur les durées de conservation, et que l'application vocale demeurait connectée à l'ordinateur lorsque l'utilisateur avait fermé la fenêtre. La sécurité des données personnelles a par ailleurs été pointée du doigt dans la mesure où le mot de passe de l'entreprise n'était pas suffisamment robuste (aucune variation entre les types de caractères n'était exigée), et qu'aucune étude d'impact relative à la protection des données n'avait été diligentée par Discord. Le temps du respect du RGPD est venu Bien que relativement modeste eût égard aux quelque 400 M€ réclamés à Instagram par la CNIL, l'amende infligée à Discord pointe une différence d'approche patente entre la protection des données telle qu'elle est pratiquée au sein de l'Union Européenne, et celle qui est en vigueur Outre-Atlantique. Des organisations telles que Microsoft, Apple ou encore Clearview relèvent clairement d'une culture juridique où l'orientation business prédomine sur la défense du consommateur, c'est-à-dire du citoyen. Après quelques années au cours desquelles certaines pratiques ont été constatées sans engendrer de sanctions, nous sommes semble-t-il entrés dans une autre séquence. Estimant sans doute que les organisations – notamment celles qui sont basées hors de l'UE – ont largement eu le temps de s'acculturer au RGPD, la CNIL fait valoir son droit de faire respecter strictement la loi continentale. Une nouvelle que l'ensemble des délégués à la protection des données (DPO) doivent désormais pleinement intégrer, surtout en cas de retard de mise en conformité au sein de leur entreprise... C'est sur ce point sans doute que les organisations (françaises comme étrangères) doivent actuellement se montrer vigilantes. La Journée Européenne de la Protection des Données à Caractère Personnel (Data Privacy Day) de ce 28 janvier est là pour nous rappeler combien les données personnelles relèvent d'un bien spécifique, sanctuarisé, précieux, dans un contexte tout à la fois marqué par une recrudescence des cyber-attaques, une instabilité internationale qui perdure et des transitions plurielles à mener. Au passage, cette journée symbolique du 28 janvier rappellera aux veilleurs comme aux entreprises férues d'intelligence économique la nature exacte de leur rôle lorsque des recherches sont opérées. Il est en effet de la responsabilité de chacun que les outils de curation utilisés ne captent pas de données personnelles, encore moins que celles-ci ne se retrouvent stockées au sein de serveurs professionnels. Une évidence qu'il est toujours bon de conserver à l'esprit...

  • Transition digitale : les compétences pour rester compétitif
    par Peter de Lingueo le 27 janvier 2023 à 7h23

    La transition digitale est devenue incontournable pour les entreprises de tous les secteurs. Les avancées technologiques et l’essor des réseaux sociaux et des applications mobiles ont bouleversé les modèles économiques traditionnels et ont élevé les attentes des consommateurs en termes de rapidité, de personnalisation et de service. Selon une étude de McKinsey & Company, les entreprises qui investissent dans les technologies digitales ont deux fois plus de chances de croître plus rapidement que les entreprises qui ne le font pas.Pour réussir dans ce nouvel environnement, les entreprises doivent posséder certaines compétences clés : #1/ La compréhension des technologies digitales Il est crucial pour les entreprises de comprendre les technologies digitales les plus récentes et les tendances du marché pour rester compétitives dans un environnement en constante évolution. IoT (Internet des objets) Les technologies comme l’IA, la robotique, la réalité augmentée/virtuelle, la blockchain, les technologies 5G, la numérisation des processus d’affaires, les technologies de l’Internet des objets (IoT) et les technologies de l’analyse de données sont en train de révolutionner les industries et de créer de nouveaux modèles commerciaux. Les entreprises qui comprennent ces technologies et savent les utiliser à bon escient peuvent offrir des produits et des services plus efficaces et plus pertinents pour leurs clients, améliorer leur productivité et augmenter leur rentabilité. Il est donc essentiel pour les entreprises de suivre les tendances actuelles et de s’adapter aux nouvelles technologies en investissant dans la formation de leur personnel, en recrutant des experts en technologies digitales et en développant des partenariats stratégiques avec des entreprises leaders dans les technologies digitales. #2/ La gestion de données La gestion efficace des données est cruciale pour les entreprises qui souhaitent réussir dans le monde numérique. Les entreprises peuvent utiliser les données pour comprendre les tendances de marché, identifier les opportunités et les risques, améliorer les performances opérationnelles, augmenter la fidélité des clients et générer des revenus supplémentaires. Les entreprises doivent être en mesure de collecter, de stocker et d’analyser les données de leurs clients pour mieux comprendre leurs besoins et leur comportement. Les technologies telles que l’analyse prédictive, l’apprentissage automatique, l’analyse des réseaux sociaux, les capteurs IoT et les technologies de l’analyse de données en temps réel permettent aux entreprises de collecter des données à grande échelle et de les utiliser pour améliorer les produits et les services, élaborer des stratégies de marketing ciblées, et améliorer l’expérience client. La gestion de données implique également la capacité à utiliser des outils d’analyse de données pour générer des insights utiles et à mettre en place des stratégies de confidentialité et de sécurité pour protéger les données des clients. Les entreprises doivent être en mesure de gérer les données de manière responsable et respecter les réglementations et les normes en vigueur en matière de protection des données, comme le RGPD. Il est donc important pour les entreprises de mettre en place des stratégies de gestion de données solides, de former leur personnel et de s’associer à des prestataires de services expérimentés pour gérer les données de manière efficace. #3/ La communication digitale Les réseaux sociaux et les applications mobiles ont considérablement modifié la manière dont les entreprises communiquent avec leurs clients, en leur offrant des opportunités uniques pour établir une relation directe avec leur public cible et pour créer une communauté engagée autour de leur marque. Selon une étude de Hootsuite, plus de la moitié des consommateurs utilisent les réseaux sociaux pour prendre des décisions d’achat. Les entreprises doivent posséder des compétences en matière de communication digitale pour être en mesure de créer des contenus pertinents et engageants, de gérer les réputations en ligne et de gérer les crises potentielles. Il s’agit d’un enjeu incontournable pour les entreprises de comprendre les différentes plateformes de réseaux sociaux, les tendances en matière de contenu et les meilleures pratiques de gestion de communauté pour pouvoir créer des campagnes de communication efficaces et engager les consommateurs sur les réseaux sociaux. La communication digitale implique également la capacité à utiliser des outils de marketing automation pour cibler les campagnes de manière efficace et à utiliser des techniques de SEO pour améliorer la visibilité en ligne. Les entreprises peuvent utiliser ces outils pour automatiser les tâches de marketing répétitives, telles que l’envoi d’emails, la publication sur les réseaux sociaux et la segmentation de la liste de diffusion. Les techniques de SEO permettent aux entreprises de maximiser la visibilité de leur site web et de leur contenu en ligne en utilisant des mots clés pertinents et en optimisant leur site pour les moteurs de recherche. #4/ La collaboration à distance 1er au classement d’outils de communication en télétravail La numérisation des entreprises a conduit à une augmentation de la collaboration à distance, en raison de la pandémie de COVID-19, cela a été accentué avec l’adoption du télétravail en masse. Les entreprises doivent posséder des compétences pour gérer des équipes virtuelles et pour utiliser efficacement les outils de collaboration à distance pour maximiser la productivité et la créativité. Cela inclut la capacité à utiliser des outils de communication en ligne tels que les conférences vidéo, les chats et les outils de partage de fichiers, ainsi qu’à mettre en place des processus et des protocoles pour maintenir une communication efficace et une coordination des tâches entre les membres de l’équipe. Les entreprises doivent également être en mesure de gérer les défis liés à la collaboration à distance, tels que la perte de la communication en face à face, la difficulté à maintenir une culture d’entreprise forte et la lutte contre l’isolement professionnel. Il est donc important pour les entreprises d’investir dans les bons outils et technologies pour faciliter la collaboration à distance, de mettre en place des politiques de télétravail efficaces et de former leur personnel sur les meilleures pratiques pour la collaboration à distance. Les entreprises qui réussissent à gérer efficacement la collaboration à distance peuvent améliorer la productivité, augmenter la satisfaction des employés et améliorer la qualité de leurs produits et services. #5/ La flexibilité et l’agilité Enfin, les entreprises qui réussissent dans la transition digitale sont celles qui sont flexibles et agiles. La capacité d’adaptation et d’innovation est cruciale pour répondre aux défis et aux opportunités de l’environnement numérique en constante évolution. Les entreprises doivent être en mesure de s’adapter rapidement aux changements de l’environnement numérique et de prendre des décisions rapides pour saisir les opportunités. Cela implique la capacité à être innovant, à prendre des risques calculés et à être ouvert aux idées et aux perspectives nouvelles. Elles doivent être capable de s’adapter aux nouvelles technologies, de développer de nouveaux modèles commerciaux et de mettre en place des processus d’innovation efficaces pour rester compétitives. Les entreprises qui ont une culture d’innovation et qui sont disposées à prendre des risques sont plus à même de réussir dans un environnement numérique en constante évolution. Il est donc important pour les entreprises de créer un environnement propice à l’innovation en promouvant la créativité et la pensée critique, en encourageant les employés à proposer des idées et en les récompensant pour les initiatives prises. Les entreprises doivent également être en mesure de mettre en place des processus de test et d’échec rapide pour évaluer les idées et les projets d’innovation et de mettre en place des programmes de formation pour aider les employés à développer des compétences en matière d’innovation. Finalement La transition digitale est un défi pour les entreprises, mais elle offre également de nombreuses opportunités. Les entreprises qui possèdent les compétences clés évoquées dans cet article seront en mesure de saisir ces opportunités et de réussir dans le monde numérique. Il est important pour les entreprises de continuer à investir dans la formation de leur personnel et de leur permettre de développer ces compétences pour rester compétitives et prospérer dans un environnement en constante évolution. L’article Transition digitale : les compétences pour rester compétitif est apparu en premier sur CPFormation.

  • PanoCrim 2022 du CLUSIF : Encore un florilège de cyberattaques
    par Marc Jacob le 26 janvier 2023 à 23h49

    Benoit Fuzeau, le président du CLUSIF a introduit le panoCrim en rappelant que cette 23ème édition s'inscrit dans l'ADN du CLUSIF, c'est à dire l'esprit d'échange ! Puis Loïc Guezo, le secrétaire général du CLUSIF, rappelle que le PanoCrim regroupe 35 experts qui se réunissent tout au long de l'année et sélectionnent en sources ouvertes des incidents de sécurité. Puis il a cédé la parole aux différents intervenants. Du nouveau chez les rançonneurs ? Xavier Aghina et Gérôme Billois ont mis l'accent sur les nouveautés du côté des rançonneurs. Le 14 janvier 2022, le Groupe Revil a été arrêté en Russie grâce à un partenariat entre plusieurs états. Cette arrestation avait adressée un message fort aux pirates. Toutefois, avec la guerre en Ukraine, la coopération internationale s'est vite arrêtée. Puis les attaques en ransomwares se sont multipliées à commencer par celles sur Thales, Damart, Intersport... ces groupes de pirates utilisent souvent des outils repackager. Dans ce cadre, la France est en troisième position derrière les États-Unis et l'Allemagne des pays ciblés selon l'ENISA. Par la suite, Xavier Aghina et Gérôme Billois ont pris l'exemple de Toyota qui a dû arrêter 14 sites de production suite à l'attaque d'un de ses sous-traitants, puis un second de ses sous-traitants a été attaqué avec le même type de problème. Enfin, l'attaque de Brigestone a eu le même type d'impact sur Toyota. Heureusement, Toyota avait pensé à sa résilience mais sans inclure le risque Cyber. Ils estiment que cette dimension sera prise en compte dans le futur par Toyota. Xavier Aghina et Gérôme Billois ont par la suite fait un focus sur les attaques sur les hôpitaux comme celui de Corbeille Essonne... Du fait des nombreuses attaques sur les organismes de santé, l'Etat a débloqué 20 millions d'euros pour renforcer la sécurité des hôpitaux. Threat Actor (Stern ou Demon, Mango) : CONTI Gérôme Billois a évoqué le cas du groupe d'attaquants CONTI. Ce dernier en 2022 s'en est pris au Costa Rica dont un ransomware a bloqué tout d'abord le service des impôts puis des Télécom. Par la suite, il a bloqué la Sécurité Sociale... De ce fait, le Président de la République, nouvellement nommé, a déclaré l'état d'urgence dans le pays. Cette dernière mesure n'a pas servi à grand chose, puisque les Universités ont aussi été bloquées... Fort de ses succès, le réseau Conti à l'origine de ce ransomware a appelé le Costa Rica à payer la rançon et même à renverser le gouvernement. Le groupe Conti a généré depuis sa création en 2020 plusieurs centaines d'attaques. Par contre il a été démantelé lorsqu'il a pris parti pour la Russie. En fait, avec l'embargo financiers sur la Russie, les victimes ne pouvaient plus payer les rançons. Il s'est auto-détruit après l'attaque sur le Costa Rica. Le groupe avait industrialisé leurs équipes et leurs outils et était constitué de professionnels payés environ 1800$. En 2021, Conti avait collecté environ 180 millions de $. Le MFA, roi détrôné ? Gérôme Billois a conclu son intervention en mettant en avant l'authentification à deux facteurs qui est devenue un outil de sécurisation très important. Par contre, les pirates utilisent la technique du « MFA fatigue » qui est l'envoie de demande d'authentification répétée jusqu'au moment où l'utilisateur fatigué par ses sollicitations, clique sur "Oui"… Le SIM Swap ou d'autres méthodes plus raffinées et industrialisées ont aussi proliféré. Heureusement, des parades se développent. Toutefois mieux vaut une authentification MFA que pas d'authentification, a-t-il rappelé. 2022, année de la cyberguerre ? Loïc Guézo a traité de la géopolitique. Il a commencé son intervention par le cas de Julien Assange qui a failli être extradé. Le Président Poutine l'a naturalisé Russe afin de le mettre à l'abri d'extradition. Puis il a abordé le cas Pégasus qui a fait l'objet de multiples enquêtes ouvertes, de tempêtes politiques dans plusieurs pays. De plus, des sanctions internationales ont été prises à l'encore de son éditeur NSO. Des confrontations entre États ont eu lieu souvent via des groupes de pirates. Il a cité par exemple le cas du Vanuatu qui a arrêté ses SI et est revenu aux papiers suite à une attaque informatique. Il s'est penché sur le cas de l'Albanie qui a subi une attaque attribué à l'Iran. Cette dernière a donné lieu à une rupture des relations diplomatiques entre ses deux pays. Autre exemple, l'attaque contre le Monténégro durant laquelle la France est intervenue pour défendre ce pays. Suite à la multiplication des menaces, le Turkménistan veut créer son internet souverain. De même en Russie, un internet cloisonné a été mis en ligne. Ce dernier a été immédiatement attaqué. Pour conclure son intervention, il a évoqué la guerre en Ukraine qui a fait l'objet d'une guerre d'image avec de nombreuses deepfake. Le conflit russo-ukrainien dans le cyberespace Puis le docteur Michel Dubois a fait un focus sur le conflit en Ukraine. Dans ce cadre, le cyber-espace est un espace supplémentaire de conflit. Il a commencé par des défigurations de sites ukrainiens. Puis les Russes ont utilisé 5 malwares très puissants qui ont effacé des fichiers, et au passage ont demandé des rançons. Un d'entre eux a aussi attaqué le satellite Ka-Sat qui a permis de couper les communications de l'armée ukrainienne, mais a aussi impacté l'Allemagne et la France en créant des zones blanches. Les russes ont aussi attaqué le réseau électrique ukrainien. Ils ont aussi détourné l'internet souverain dans certaines villes assiégées. Devant cette situation, le président ukrainien a créé une armée cyber constituée d'internautes recruté dans le monde entier. Des pirates français ont soutenu cette armée en oubliant que c'est illégal mais qu'en plus les russes pouvaient procéder à du Hackback et les mettre en danger. Les Anonymous se sont aussi mêlés et ont soutenu l'Ukraine en menant des actions contre la Russie mais aussi contre l'Europe en considérant qu'elle n'aidait pas assez l'Ukraine. De leur côté les États-Unis ont envoyé des experts pour aider l'Ukraine. Les chinois pour leur part ont attaqué les deux belligérants... Plusieurs cyber sanctions ont été prises par les acteurs d'internet comme Twitter, des États comme la France qui interdit la vente de produits de cybersécurité russes... Enfin, il a rappelé que la Russie a détruit de nombreux data centres ukrainiens. Avis de tempête dans le nuage Philippe Werle et Michaël Jacques ont présenté les attaques sur le Cloud qui ont été retenues cette année. En préambule ils ont annoncé que 30% des incidents de sécurité étaient dû à des problèmes de mauvaise configuration. Ils ont cité l'exemple de Cloudflare qui a subi un incident de sécurité important suite à une mauvaise configuration de son Cloud. Ils ont rappelé la vulnérabilité d'Oracle Cloud qui a été patche très rapidement. Chez Google Cloud ou AWS des vulnérabilités ont permis des vols de données conséquentes. Chez Microsoft Teams des vulnérabilités permettaient entre autre de contourner des mesures de sécurité engendrant des fuites de données très importantes. Du fait de toutes ses vulnérabilités le Cloud est-il pérenne ? En Europe Office 365 et Google ne sont plus les bienvenus du fait du RGPD. De plus, la crise de l'énergie rend le Cloud moins rentable... Threat Actor APT38 : Lazarus toujours sur le « pont » Cédric Cailleaux a présenté le Groupe Lazarus, à l'origine de WannaCry, qui a été très actif en 2022 en s'attaquant entre autre aux secteurs de l'énergie aux États-Unis. Il a mené des attaques ciblées en utilisant le motif de fausses campagnes de recrutement qui commençaient par du social engineering. Pour conclure, il considère que Lazarus risque de faire parler de lui en 2023. Cryptomonnaies et NFT, le nouvel eldorado numérique ?… pour les pirates ! Timothé Coulmain et Michaël Jacques ont abordé la finance décentralisée (DEFI) qui permet d'accorder des prêts, des investissements sans passer par des banques. En 2022 des piratages ont fait perdre plus de 200 milliards de $ sur DEFI. Par exemple, Lazarus a arnaqué 625 millions de $ à Robin Network. Wormhole a lui perdu 325 millions de $ en suite à un mauvais codage qui n'a duré que quelques heures. Bien sûr, en plus des attaques, toutes les arnaques de la cyber sont utilisées pour menacer DEFI. Les NFT ont eux aussi subi des attaques qui ont généré 86 millions de $ de pertes comme par exemple dans le cas d'Opensea qui a perdu 1,7 millions de $. En revanche, la sécurité et la confiance dans la blockchain n'ont pas été remises en cause. Par contre, les attaques devraient se multiplier dans l'avenir. Threat Actor, Killnet : Vers l'Hacktivisme 2.0 Cédric Cailleaux a fait un focus particulier sur le Groupe Killnet qui a vu le jour fin février 2022 pour devenir un Hacktiviste prorusse. Il aurait mené 5.500 attaques. Ils ont ciblé le site de l'Eurovision, d'En Marche, du Parlement Européen ou encore le site d'Elon Musk. Avec Killnet on est arrivé à l'Hacktivisme 2.0 qui ont une idéologie politique, une méthode recrutement qui aboutit à la remise d'un Kit de piratage lorsque le candidat est recruté. L'Hacktivisme 2.0 se professionnalise et ne va plus se limiter à des DDoS ou des défigurations de sites web à l'avenir. Police, justice des résultats, les prémices d'une collaboration efficace Christophe Durand et Garance Mathias ont exposé quelques "affaires" policières réussies où les coupables ont pu être démasqués et déférés à la justice. Concernant les NFT, la police a pu récupérer un « singe NFT » suite à une veille réalsié sur le net. Les jeunes arrêtés sont aujourd'hui mis en examen en attendant leur procès. Ils ont évoqué la jurisprudence en matière de communication du Code de déverrouillage d'un Smartphone a été prise et qui oblige l'utilisateur à donner son code. Puis, ils ont mentionné plusieurs autres enquêtes policières comme : Des investigations françaises ont permis d'aboutir au déchiffrement de LockerGoga. Aux États-Unis un RSSI a été condamné pour avoir menti... Par ailleurs, une société de cybersécurité s'est rendu compte que les pirates à l'origine de la création de DealBolt, un ransomware très virulent, ont fait une erreur de codage qui a permis à la police de récupérer les clés de chiffrement de 155 victimes qui avaient déposé plainte. D'où l'intérêt pour les victimes de déposer plaintes ont-ils lancé ! Aux Etats-Unis suite à l'exploitation d'une vulnérabilité, un pirate a été condamné. On note une accélération de la réponse judiciaire avec la comparution immédiate et l'augmentation des amendes portées à 70.000 euros et "le plaider coupable" qui permet d'alléger les peines. Enfin, ils ont rappelé que la loi sur la saisie des crypto actifs a été adoptée. Threat Actor (DEV-0537), Lapsus$ n'a pas dit son dernier mot Pierre Raufast a présenté Lapsus$ un groupe d'attaquants qui a eu une durée de vie de 9 mois seulement. Il volait du code et de la propriété intellectuelle. Ils ont attaqué Microsoft, Okta... Ils ont popularisé la « MFA fatigue » en particulier. Il mettait en ligne des annonces de recrutement. Les membre de ce groupe était constitué de personnes assez jeunes dont deux adolescents arrêté à Londres. Ils ont été victimes de leurs amateurismes. Le quantique sous le feux des attaques ? Pierre Raufast a poursuivi en traitant des menaces inhérentes à l'informatique quantique. Un risque a été formalisé par les militaires. Une solution est de proposer un chiffrement post-quantique. Par contre, le « faisandage d'algorithme » c'est-à-dire le fait d'introduire des backdoor existe. Ainsi le NIST a lancé un concours en 2016 pour débusquer ces faisandages. 69 dossiers ont été déposés et en 2022 il reste 4 candidats. Pour l'ANSSI, il y a une immaturité de chiffrement post quantique mais qui peut servir dans le cas de défense en profondeur. Les États-Unis ont pris le même genre de recommandation. On aurait aimé vous parler de… Valentin Jangwa a fait un rapide focus sur d'autres cas dont le groupe du CLUSIF aurait aimé traiter, comme celui de Twitter dont le RSSI a démissionné et quelques mois après il a révélé que Twitter avait de graves problèmes de sécurité. CHatGPT, qui a été cofondé par Elon Musk, inquiète par le fait qu'il puisse être meilleur que les pirates en mettant en place des attaques de phishing. Enfin LastPass a été attaqué fin août puis une seconde fois un peu plus tard ce qui a conduit à une compromission des mots de passes. Face à toutes ces menaces, il faut rester en veille en permanence. Le grand public français cybervictime Benoît Grunemwald et Philippe Werle ont présenté certains type d'attaques qui ciblent le grand public a commencé par le Smishing un hameçonnage par SMS qui existe depuis 2006. Ils rappellent que le SMS a une certaine confiance des utilisateurs. Toutefois, il est rentré à la seconde place des personnes sondées sur leur confiance en les SMS reçus. Une attaque en utilisant le Crit'Air comme motif permet de récupérer des numéros de carte bancaire. Une autre attaque concerne la mise à jour de la Carte Vitale et demande à la fin de payer les frais de ports, ce qui permet aux cybercriminels de récupérer les numéros de carte bancaire. Ils ont aussi noté les attaques durant lesquelles les pirates se font passer pour des conseillers bancaires. Sans compter les faux appels de supports techniques qui en mettant la pression sur l'utilisateur l'incite à payer une fausse prestation informatique afin une nouvelle fois de récupérer les numéros de cartes bancaires. Les pirates utilisent toujours des moyens de pression pour obtenir de plus en plus d'argent, de données à caractère personnel. Il faut donc porter plainte même pour des petits montants. EN conclusion de cette édition, les internautes doivent rester sur le qui vive et se méfier de tout. La construction d'un web de confiance n'est sans doute pas demain !