Cblue protège contre les cyberattaques
Seul 50% des entreprises internationales sondées se disent être en mesure de détecter une cyberattaque. Heureusement, Cblue apporte la solution. Read More « Cblue protège contre les cyberattaques »
Auteur : Thierry Veyre
J'ai créé le cabinet ISIE pour apporter au chefs d'entreprise désireux de renforcer la performance informatique de leurs entreprises des solutions simples et adaptées à leurs besoins.
Lutter contre les cybers menaces : l’intelligence artificielle épaule les experts informatiques
Depuis dix ans, certains éditeurs dans le domaine de la cybersécurité recourent à des algorithmes d’apprentissage automatique. Ces intelligences artificielles sont capables de synthétiser un grand nombre de données et de définir si un fichier est malveillant. Elles sont, par contre, incapables de prévoir des événements inédits. Read More « Lutter contre les cybers menaces : l’intelligence artificielle épaule les experts informatiques »
Les logiciels périmés : un régal pour les cyber pirates !
Les éditeurs ne mettent plus à jour les anciennes versions de leurs logiciels qui ne sont donc plus sécurisés et peuvent contenir des failles exploitées par les cyber pirates. Read More « Les logiciels périmés : un régal pour les cyber pirates ! »
Méfiez-vous des fausses nouvelles du Net
Les entreprises doivent prendre en compte les répercussions des risques en matière de sécurité informatique de ces faux sites d’information.
Si vous voulez connaître les secrets de Cblue, cet article est fait pour vous !
Cblue, la première intelligence artificielle qui assiste ou remplace l’informaticien des petites entreprises, a été développée selon la règles des « 3A » : Analyse, Action et Alerte. Read More « Si vous voulez connaître les secrets de Cblue, cet article est fait pour vous ! »
Que faites-vous quand vous recevez un message électronique dont l’objet est « votre facture » ?
Dans un précédent article, nous avons évoqué les conséquences d’un crypto virus de type « ransomware » et les méthodes pour retrouver les données infectées. Ces situations sont complexes mais il existe quelques réflexes à avoir pour ne pas tomber dans ce cyber piège.
Quelques conseils pour ne pas tomber dans le piège de l’arnaque à l’appel en absence.
De plus en plus de personnes sont victimes de spam vocal (ping-call). Cette escroquerie basée sur des numéros surtaxés peut vous couter jusqu’à 30 euros par appel si vous tombez dans le piège. Read More « Quelques conseils pour ne pas tomber dans le piège de l’arnaque à l’appel en absence. »
Quels sont les bons réflexes à adapter contre les rançongiciels ?
Un rançongiciel (ransomware en anglais) est un logiciel malveillant qui prend en otage des données personnelles. Pour ce faire, un rançongiciel chiffre les données puis demande à leur propriétaire d’envoyer de l’argent en échange de la clé qui permettra de les déchiffrer. Voici quelques règles à appliquer face à ce risque croissant. Read More « Quels sont les bons réflexes à adapter contre les rançongiciels ? »
Les employés sont un facteur de risque important pour la cyber sécurité des entreprises.
Une part importante des cyber menaces vient de l’intérieur même de l’entreprise. Les entreprises considèrent que cette menace serait exclusivement la conséquence d’un employé mal intentionné. Dans les faits, ce n’est pas le seul risque lié aux employés : le risque réel ou risque utilisateur est aussi important. Voici quelques conseils sur ce sujet. Read More « Les employés sont un facteur de risque important pour la cyber sécurité des entreprises. »
Les 5 chiffres à connaître de la cybersécurité
Les évolutions récentes, du cloud au périphérique personnel utilisé en entreprise en passant par la mobilité, ont fait évoluer la question de la cybersécurité. Les spams et sites d’hameçonnage sont toujours présents et de nouvelles menaces ont fait leur apparition. Quelle que soit sa taille ou son secteur d’activité, les entreprises et leurs dirigeants doivent prendre en compte ce nouvel enjeu. Read More « Les 5 chiffres à connaître de la cybersécurité »
Réforme des règles de protection des données personnelles : qui y gagne vraiment ?
Réforme des règles de protection des données personnelles: qui y gagne vraiment ?
Read More « Réforme des règles de protection des données personnelles : qui y gagne vraiment ? »
Quelques précautions pour les particuliers face aux cyber menaces.
À mesure que le paysage des cyber menaces évolue, les éditeurs de sécurité développent des technologies de pointe pour aider les particuliers à protéger leurs données mais l’ingéniosité des cybercriminels impose à ces utilisateurs le recourt à quelques précautions. Read More « Quelques précautions pour les particuliers face aux cyber menaces. »
Connaissez-vous l’article 34 de la CNIL ?
Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès.
Piratage à répétition des sites Internet des grandes compagnies. Adoptez les bons réflexes pour protéger vos données personnelles.
Sony, Orange, … et plus récemment VTech, les pirates informatiques multiplient le vol des données numérique des clients des grandes compagnies nationales et mondiales. Voici quelques règles essentielles que vous devez suivre.
Plusieurs mots de passe pour réduire le risque
Si vous utilisez toujours le même mot de passe pour tous les services en ligne que vous utilisez, vous augmentez sensiblement le risque de vol de vos données personnelles. Ceci est illustré par l’exemple suivant.
Supposons que vous êtes un utilisateur d’une console de jeu vendue par un fabricant japonais. Pour pouvoir jouer en ligne, vous devez créer un compte. Ce compte est composé d’un identifiant qui est souvent votre adresse de messagerie et d’un mot de passe. Pour vous faciliter la vie, vous utilisez toujours le même mot de passe. Le pirate qui dérobe vos informations peut alors facilement accéder à votre messagerie, votre compte Fnac, votre compte Amazon, … Il pourra même changer vos mots de passe et vous interdire l’accès à vos comptes !
Vous devez choisir un mot de passe pour chaque site Internet et aussi choisir des mots de passe différents pour vos vies numériques privées et professionnelles.
Conseil n°1 : utiliser toujours des mots de passe complexes et différents pour chaque service en ligne.
Vos données bancaires : secret absolu !
De nombreux sites Internet marchants, vous propose (ou impose) l’enregistrement de votre carte bancaire. Ceci permet de gagner du temps en activant le fameux « achat en un clic » mais reste très dangereux si un pirate à accès à votre compte. Vous devez systématiquement supprimer ce type d’information.
Vous pouvez aussi opter pour une carte bancaire sécurisée qui vous fournit un numéro à usage unique.
Conseil n°2 : supprimer systématiquement l’enregistrement de vos coordonnées bancaires.
La confidentialité de vos données personnelles : ne simplifiez pas la vie des pirates
En appliquant ces règles simples, vous diminuez sensiblement le risque de piratage. Il est vrai que la gestion d’une multitude de mot de passe est contraignante mais il existe des méthodes mémo techniques pour la génération de ces derniers ou des logiciels pour leurs stockages qui vous faciliteront ce travail.
Votre borne sans fils : quel compromis entre sécurité et confort pour les utilisateurs ?
Lors de nos derniers audits de systèmes d’information, nous avons remarqué que la sécurité du réseau informatique était correctement mise en place, notamment au niveau des serveurs. Par contre, la sécurisation des bornes sans fils (bornes Wifi) était très souvent oubliée ou mise de côté. Cette faille majeure de sécurité est d’autant plus dangereuse que le potentiel pirate n’a pas besoin d’être physiquement dans vos locaux. Voici quelques conseils pour vous prémunir. Read More « Votre borne sans fils : quel compromis entre sécurité et confort pour les utilisateurs ? »
Vos communications par messagerie électronique sont-elles fiables ?
Vous avez sans doute déjà reçu un faux message électronique venant, soit disant, de votre banque. Ce message prétexte une mise à jour technique du portail de la banque ou une prétendue vérification de vos coordonnées personnelles. En cliquant sur un lien contenu dans le message, vous êtes alors redirigé vers un site imitant le site institutionnel de la banque puis vous invite à saisir vos identifiants et mots de passe. Au final, cette escroquerie a pour seul but de vous dérobez vos informations personnelles. Comment se prémunir de ces situations ?
Analyser les messages que vous recevez
En informatique, une règle d’or s’impose : vos identifiants et mots de passe doivent rester secret quel que soit la situation. Si vous recevez un message électronique qui respecte la charte graphique de votre banque, d’un fournisseur ou d’une institution et qui vous demande de renseigner ce type de données personnelles alors vous pouvez être sûr qu’il s’agit une escroquerie. Vous pouvez facilement le confirmer en cliquant sur l’adresse de messagerie de l’expéditeur : les pirates vous envoient le message depuis une adresse dont l’alias est contact@mabanque.com mais la vraie adresse est, en fait, jkdhfksh@yzuz.al !
Conseil n°1 : ne donner jamais vos identifiants et contrôler l’adresse de messagerie de l’expéditeur.
Signer numériquement les messages que vous envoyez
Vos correspondants peuvent aussi recevoir des faux messages électroniques venant de votre adresse. Ce type d’escroquerie plus sophistiquée peut être facilement contré en utilisant un certificat numérique de courrier électronique. Ce certificat permet d’authentifier votre adresse. On parle de signature numérique. Un message venant de votre adresse signée présentera un symbole de ruban et le logiciel de votre correspondant l’alertera si le message ne correspond pas à sa signature.
Il existe de nombreux site Internet qui propose des certificats gratuits ou payants (http://www.startssl.com, https://www.tbs-certificats.com, http://www.ssl247.fr, …). La mise en œuvre de ces certificats est simple et souvent présentée sous forme d’un didacticiel.
Conseil n°2 : utilisez un certificat numérique pour votre messagerie.
Devancez les problèmes !
En conclusion, pour répondre à la problématique du piratage des messages électronique, vous pouvez analyser les messages que vous recevez et utilisez un certificat numérique pour les messages que vous envoyez.
Gérez-vous correctement les comptes obsolètes de vos utilisateurs ?
Lors de nos audits de sécurité informatique, nous découvrons quasi systématiquement la présence de compte d’utilisateur ayant quitté l’entreprise. Ces utilisateurs peuvent toujours accéder aux données voir à leur ancienne messagerie même s’ils sont maintenant en poste chez un conçurent ! Voici quelques conseils sur ce sujet. Read More « Gérez-vous correctement les comptes obsolètes de vos utilisateurs ? »
Ne laissez pas votre ancien prestataire informatique saboter votre système d’information !
Changer de prestataire informatique est toujours une opération délicate. Pour vous protéger techniquement et juridiquement d’un incident volontaire ou involontaire, vous devez imposer à ce fournisseur un certain nombre de règles. Read More « Ne laissez pas votre ancien prestataire informatique saboter votre système d’information ! »
Comment un piratage de données peut entraîner la faillite d’une entreprise.
Les conséquences financières pour les entreprises victimes d’un piratage de données sont à la fois directes (honoraire des informaticiens, des experts, des avocats, …) et indirectes (temps perdu, ressources pour retrouver un fonctionnement normal pendant la résolution de la faille de sécurité, perte de confiance des clients, …). Voici quelques chiffres sur ce sujet. Read More « Comment un piratage de données peut entraîner la faillite d’une entreprise. »
Waze : souriez, vous êtes hackés !
Une faille de sécurité touche actuellement l’application Waze de Google. Grâce à elle, des pirates seraient en mesure de suivre les trajets de n’importe lequel de ses utilisateurs.
Cette faille de sécurité a été découverte par des scientifiques de l’Université de Santa Barbara en Californie qui sont parvenus à démontrer l’ampleur des dégâts que cette faille pourrait occasionner si elle était exploitée par des hackers.
En collaboration avec une journaliste, ils ont pénétré le système pour avoir accès à ses données de localisation. Pour ce faire, ils se sont intercalés entre son mobile et le serveur avec lequel les données de Waze sont échangées. Trois jours durant ils ont pu la suivre à la trace en temps réel, que ce soit en voiture, en taxi et même en bus. Seuls ses trajets en métro sont demeurés invisibles, la faute à une connexion interrompue. Leur position sur le réseau leur a également permis d’agir directement sur l’application en créant des véhicules fantômes, de quoi façonner virtuellement des embouteillages ou épier encore plus d’utilisateurs en plaçant ces faux conducteurs dans différentes zones.
GPS et assistant d’aide à la conduite, Waze est l’une des applications les plus utilisées de son secteur. Elle compte 70 millions d’inscrits dont 5 millions rien qu’en France. Alertés il y a quelques mois, le directeur de l’équipe de recherche de l’Université de Santa Barbara et ses responsables ont assuré qu’une mise à jour avait été déployée pour corriger cette faille.
Notre conseil pour partir en vacances sereinement
Cette mise à jour semble corrigée partiellement cette faille : elle ne serait plus active lorsque l’application fonctionne en arrière-plan, mais toujours opérationnelle lorsqu’elle est en premier plan.
Nous vous conseillons de passer l’application en ”mode invisible”, mode à réactiver à chaque démarrage de l’application.
Quelques conseils pour utiliser Dropbox, Google Docs, Wetransfer, … en entreprise.
Vous êtes des millions de professionnels à recourir aux services de DropBox, Google Docs, Wetransfer, … pour partager des données. Voici quelques conseils pour garantir le niveau de confidentialité et de sécurité nécessaire. Read More « Quelques conseils pour utiliser Dropbox, Google Docs, Wetransfer, … en entreprise. »
En matière de sécurité informatique, attention aux conseils donnés par les médias…
Une journaliste a conseillé d’utiliser des mots de passe composés de 8 caractères chiffres ou lettres pour les services en ligne (Facebook, Twitter, …).
L’exemple présenté à l’écran affichait des mots de passe avec uniquement des lettres majuscules.
Un simple test sur le site https://howsecureismypassword.net/ permet de voir qu’un tel mot de passe peut-être piraté en… une minute !!!
Merci à M6 d’aborder ce type de sujet mais pour votre sécurité, je vous conseille d’appliquer les règles éditées par l’ANSSI pour la conception de vos mots de passe(https://www.ssi.gouv.fr/guide/mot-de-passe/).
Les usurpations d’identité en entreprise coutent plusieurs millions d’euros.
Les arnaques par usurpation d’identité ciblant les entreprises qui travaillent avec des fournisseurs et des entreprises à l’étrangers et qui font régulièrement des paiements par virement, ont été multipliées par 10 depuis le début de l’année.
Tous les secteurs de l’économie sont concernés. Les transferts frauduleux ont été envoyés vers une centaine de pays, notamment à des banques en Chine et à Hong Kong. Les pirates choisissent leurs victimes en utilisant des techniques d’ingénierie sociale. Ils identifient avec précision les personnes et les protocoles nécessaires pour effectuer des transferts d’argent. Les victimes sont étudiées et surveillées et peuvent recevoir des messages d’hameçonnage leur demandant des détails supplémentaires concernant l’entreprise ou ses employés. Les services de ressources humaines, de comptabilité ou d’audit sont souvent identifiés comme les cibles privilégiées des fausses demandes de renseignements.
En appliquant les conseils suivants, vous réduirez le risque face à ce type de cyber menace.
Conseil n°1 : utilisez des outils informatiques professionnels.
Vous devez bannir les comptes de messagerie gratuits sur Internet. Si vous n’avez pas de nom de domaine d’entreprise, achetez-en un et utilisez-le pour la création de vos comptes de messagerie professionnels.
Conseil n°2 : limitez les informations sensibles sur les réseaux sociaux et le site Internet de l’entreprise.
Vous devez prêter une attention particulière aux types d’informations diffusées sur les réseaux sociaux et les sites Web de l’entreprise, en particulier concernant les tâches réalisées au sein de l’entreprise, les descriptions de postes, les informations sur la hiérarchie et les détails des déplacements du personnel.
Conseil n°3 : méfiez-vous des demandes urgentes.
Vous devez vous méfier des demandes qui sont censées rester secrètes ou si vous êtes sous pression pour réaliser des actions rapidement.
Conseil n°4 : mettez en place des procédures de sécurité informatiques et financières.
Vous devez mettre en place des procédures de sécurité informatiques et financières, notamment la mise en œuvre d’un processus de vérification en deux étapes.
Pour les outils de communication « externes », vous pouvez définir d’autres canaux de communication, tels que les appels téléphoniques, pour vérifier les transactions importantes.
Les intervenants d’une transaction financière doivent utiliser des signatures numériques et doivent supprimer les messages indésirables (spam) des correspondants inconnus.
En cas de doute sur un message, vous pouvez utiliser la fonction « Transférer » qui permet de saisir manuellement une adresse de messagerie au lieu d’utiliser une adresse potentielle piratée.
Enfin, l’utilisation d’une authentification à deux facteurs pour les comptes de messagerie d’entreprise réduit les risques qu’un cybercriminel accède au compte de messagerie d’un employé grâce à un mot de passe compromis. En exigeant deux informations, par exemple un mot de passe et un code PIN, vous limitez grandement le risque qu’un compte de messagerie puisse être utilisé à l’insu de son utilisateur.
Les victimes de ce type d’arnaque rapportent qu’elles se sont fait piéger alors même qu’elles étaient en mesure d’identifier et d’éviter l’escroquerie. Ne tombez pas dans le piège !
Quelques conseils pour ne pas tomber dans le piège de l’arnaque à l’appel en absence.
De plus en plus de personnes sont victimes de spam vocal (ping-call). Cette escroquerie basée sur des numéros surtaxés peut vous couter jusqu’à 30 euros par appel si vous tombez dans le piège.
Le spam vocal ou ping-call est une technique frauduleuse qui consiste à appeler un numéro de téléphone en ne laissant sonner qu’une seule fois. Le destinataire, n’ayant pas eu le temps de décrocher, essaie alors de rappeler le numéro du « correspondant » qui s’est affiché…et tombe sur un numéro surtaxé. Quelques variantes existent : un message vous annonce que votre colis est arrivé, que vous avez un problème avec une facture, une anomalie dans votre contrat d’assurance, un document à récupérer, … Ces escrocs ont une imagination débordante et ont même remplacé les ordinateurs par des humains qui vous gardent en ligne le plus longtemps possible si vous avez la mauvaise idée de rappeler.
En appliquant les conseils suivants, vous réduirez le risque face à ce type d’arnaque.
Conseil n°1 : analyser la demande et son imprécision.
La première règle à retenir est que tout numéro commençant par 081., 082., 089., … est potentiellement dangereux.
La deuxième règle est de ne jamais rappeler un numéro inconnu ou un numéro qui ne vous a pas laissé de message sur votre répondeur même si son préfixe est 01, 02, 03, …
Enfin, ce type d’arnaque présente toujours une demande imprécise qui doit vous forcez à vous poser les bonnes questions : Quelle société m’appelle ? Quel est le motif de son appel ? De quel service parle-t’on ? …
Vous devez analyser ces informations avant de rappeler.
Conseil n°2 : signaler le numéro.
Pour aider les autres consommateurs à ne pas tomber dans le piège, vous pouvez signaler le numéro en utilisant la plateforme 33 700. Cette plateforme permet d’envoyer gratuitement un SMS au 33 700 avec le texte « Spam vocal 01 XX XX XX XX » en précisant le numéro de téléphone suspect. Vous recevrez ensuite un accusé de réception du 33 700. Votre signalement sera transmis aux opérateurs.
Vous pouvez aussi utiliser le site Internet « Signal Arnaques » (http://www.signal-arnaques.com/scam/addphone).
Conseil n°3 : si vous êtes victime, contacter le numéro Info escroquerie.
Ce service accessible au 0 805 805 817, vous permet de vous renseigner sur ce type d’arnaque.
Il permet aussi de signaler un site internet ou un courriel d’escroquerie, un vol de coordonnées bancaires ou une tentative d’hameçonnage.
Conseil n°4 : « bruler » le numéro dans votre téléphone.
Les téléphones modernes ont des fonctions pour bloquer un correspondant. Vous pouvez ainsi en un clic définitivement interdire à un numéro « toxique » de vous appeler.
Nous conclurons ce billet en précisant qu’une version SMS de cette escroquerie existe… C’est le fameux message que vous avez sans doute reçu qui vous indique qu’un MMS est en attente…
L’Autorité de régulation des communications électroniques et des postes (ARCEP) semble impuissante face à ce type d’arnaque. L’Etat pourrait peut-être l’aider avec une loi imposant aux opérateurs des dispositifs de détection et de contrôle efficaces ?
Thierry Veyre Consultant associé chez ISIE