Archives de catégorie News

Parchafik

Baromètre de la cyber-sécurité

Le CESIN (Club des Experts de la Sécurité de l’Information et du Numérique) vient de sortir le baromètre de la cyber-sécurité des entreprises.

Voici ce que je retiens de cette enquête:

– Une grande majorité d’entreprises touchées par des cyber-attaques qui ont des impacts direct sur le business.

– Le ramsomware reste l’attaque la plus fréquente.

– De plus en plus d’entreprises en plus de l’amélioration des techniques de défenses recourent de plus aux cyber-assurances.

– Le budget IT lié à la sécurité est estimé à 5% malgré la croissance fort des cyber-attaques.

– Le cloud pose des soucis aux entreprises en terme de confidentialité des données

– Le BYOD (bring your own device) met à à mal sécurité dans les entreprises

– Le RGPD est un sujet très important au sein de l’IT et représente un coût supplémentaire malgré cela, le RGPD est très bien perçu par les entreprises qui y voient un réel moyen de renforcer la protection des données.

– Beaucoup de RSSI cumulent en plus de leur fonction, celui de DPO (Data Protection Officer).

Ce dernier point me pose un souci car selon moi, il aura forcément conflit d’intérêt entre les deux fonctions ce qui n’est pas permis dans le RGPD. D’après moi, ce sont 2 rôles complémentaires mais pas unitaires.

Et vous en pensez quoi?

Source

Parchafik

Ça ne rigole pas avec la protection des données en Angleterre

Le #RGPD va donner encore plus de pouvoir aux Autorités de supervision et les sanctions seront plus lourdes en cas de manquement à la sécurité des données personnelles.

Cette semaine c’est Darty qui a été sanctionné par la @CNIL – Commission Nationale de l’Informatique et des Libertés

En Angleterre, l’équivalent de la CNIL, l’ICO, (Information Commissioner’s Office), vient d’infliger une très lourde amende de plus de 500 000€ à l’opérateur de téléphonie, @Carphone Warehouse pour une cyberattaque qui a eu lieu en 2015 où 3 millions de données clientes ont été piratées.

Les données clientes compromises comprenaient: les noms, adresses, numéros de téléphone, dates de naissance, état civil et, pour plus de 18 000 clients, les détails historiques des cartes de paiement.

L’autorité de supervision a constaté plusieurs insuffisances dans la sécurisation des données des clients et a déterminé que la société n’avait pas pris les mesures nécessaires pour protéger les renseignements personnels.

L’ICO a estimé qu’il s’agissait d’une violation grave du principe 7 de la loi de 1998 sur la protection des données en Angleterre d’où l’amende record infligée.

Je rappelle que les sanctions seront plus lourdes avec la mise en application du RGPD en cas de manquement avéré à la protection des données personnelles.

Donc il serait temps pour les entreprises européennes d’entamer la démarche de mise en conformité au RGPD avant le 25 mai 2018.

Source:

 

 

Parchafik

Processeurs AMD, Microsoft suspend les mises à jour.

Suite à de nombreuses plaintes d’utilisateurs de PC équipés de processeurs AMD, qui retrouvaient leur PC dans un état non amorçable après l’installation des dernières mises à jour de sécurité de Windows, Microsoft vient de suspendre la distribution automatique des mises à jour pour ce type de machine.

Microsoft dénonce une mauvaise documentation du côté d’AMD qui a servit à développer les patchs.

Pour ceux qui ont déjà appliqué les mises à jour et qui rencontrent des soucis il va falloir aller ici et chercher une solution.

Sources de l’article ici:

https://www.theverge.com/2018/1/9/16867068/microsoft-meltdown-spectre-security-updates-amd-pcs-issues

 

Parchafik

RGPD: La qualification d’un incident

Voici l’arbre de décision mise en place par la CNIL, qui doit permettre au DPO ( Data Privacy Officer ou Délégué à la protection des données) de qualifier un incident afin de déterminer l’autorité ou les autorités compétentes qui doivent recevoir la notification (initiale et complémentaire).

RGPD la qualification d'incident

RGPD la qualification d’incident

Je rappelle qu’en cas en de violation de données personnelles, il faut « documenter » l’incident, c’est-à-dire tenir un registre interne dans lequel seront consignés les faits concernant la violation, ses effets et les mesures prises pour y remédier La CNIL mettra dans les mois qui viennent, un téléservice permettant de faire cette notification

A bientôt pour d’autres fiches sur la notification d’incident dans le cadre du RGPD.

Parchafik

Projet Honolulu ou l’administration centralisée de Microsoft

J’ai essayé en lab le projet “Honolulu” de Microsoft avec sa console d’administration unifiée.

Cela promet vraiment de très bonnes choses au niveau administration des environnements Microsoft.

En preview, on peut via la plateforme, administre des postes clients windows 10, des serveurs (avec tous les rôles), des clusters failover ainsi que des clusters Hyperconvergée (avec du storage space direct) et tout cela en console web.

La mise en place est vraiment très simple ( 3 choix de déploiement) et pas besoin de connexion internet pour fonctionner.

Bien sur il y a encore des améliorations à apporter mais cela va dans le bon sens.

Plus d’informations sur le projet ici: https://lnkd.in/e7BjZGN

Parchafik

Microsoft Compliance Manager Preview disponible

Microsoft a lancé la console Compliance Manager  Preview afin de gérer la conformité (RGPD) des différents produits cloud à partir d’un seul endroit.

L’accès est gratuite pour les utilisateurs de Microsoft 365, Azure et Dynamics 365 (y compris les utilisateurs d’essai) Compliance Manager Preview est un tableau de bord qui fournit un résumé de la protection des données et de l’état actuelle en terme conformité, ainsi que des recommandations pour améliorer la protection des données et cette conformité.

Compliance Manager va aide sur 3 aspects clés:

  • Permet d’effectuer une évaluation des risques en temps réel sur les services cloud Microsoft.

Compliance Manager fournit un tableau de bord résumant votre conformité aux exigences réglementaires en matière de protection des données qui vous importent lors de l’utilisation des services cloud Microsoft. Dans chaque cadre de contrôle, vous pouvez obtenir un score de conformité qui reflète votre état en matière de conformité en temps réel et vous aide à effectuer des évaluations des risques en temps réel.

  • Fournit des informations exploitables pour améliorer vos capacités de protection des données.

Vous pouvez obtenir des informations détaillées sur Microsoft et votre responsabilité de respecter les normes de conformité. Pour chaque contrôle géré par Microsoft, vous pouvez voir les détails d’implémentation et de test du contrôle, la date du test et les résultats. Pour les contrôles que vous gérez, vous recevrez des actions recommandées avec des instructions pas à pas pour la mise en œuvre et les tests. Cet outil vous aidera à mieux comprendre comment utiliser les fonctionnalités de Microsoft Cloud pour mettre en œuvre efficacement les contrôles que vous gérez.

  • Simplifie les processus de conformité grâce à la gestion de contrôle intégrée et aux outils de génération de rapports prêts à être audités.

Compliance Manager vous aide également à simplifier votre processus de conformité en vous fournissant l’outil de gestion des contrôles qui vous permet d’assigner des tâches et de collaborer plus efficacement entre les équipes. Vous pouvez générer des rapports prêtes à l’audit avec des preuves en quelques clics, ce qui réduit le besoin de collecter manuellement des informations sur plusieurs équipes. Cet outil aidera les responsables de la conformité, de la sécurité et de la protection de la vie privée et les évaluateurs de risques à effectuer une pré-évaluation proactive et à se préparer aux vérifications.

Attention, les recommandations de Compliance Manager Preview ne doivent pas être interprétées comme une garantie de conformité.

Voici le lien pour essayer Compliance Manager Preview: https://lnkd.in/eKWetXU

Parchafik

Associations, TPE, PME le RGPD ou GDPR c’est dans moins de 5 mois !

Le GDPR est l’acronyme de:  « General Data Protection Regulation » ou en français Règlement Général sur la Protection des Données (RGPD)

GDPR

C’est quoi?

  • Il s’agit tout simplement de la nouvelle loi Européenne qui régie la protection des données personnelles des résidents Européen

Le timing ?

  • Ce nouveau texte de référence est officiellement une loi depuis avril 2016 mais l’application de celle-ci sera le 25 mai 2018, autant dire demain !

Qui est concerné?

  • TOUTES les organisations quel que soit leurs domaines ou leurs tailles sont concernées dès lors qu’elles manipulent des données personnelles de citoyens européens, donc cela concerne aussi les entreprises étrangères…

Quelles sont les risques?

  • En cas de non-conformité ou de non-respect, l’organisation incriminée devra payer une amende égale à 4% du chiffre d’affaires annuel MONDIAL ou bien 20 Millions d’euros (somme maximale). Elle pourra être poursuivie en justice si une personne a subi des dommages matériel ou morale du fait de la non protection des données,

Les Grandes lignes du GDPR

  • Transparence : Les organisations devront être transparentes dans la gestion et l’utilisation des données personnelles. Elles doivent être claires sur la façon dont elles traitent et utilisent les données.
  • Limitation de traitement : Les données personnelles devront être traitées à des fins précises et légitimes. Il sera par ailleurs interdit de les réutiliser ou de les divulguer pour des applications autres que celles prévues initialement lors de leurs collectes.
  • Volume et durée restreinte : Les organisations devront s’assurer que seules les données nécessaires seront conservées et uniquement pendant la durée nécessaire à l’objectif initial.
  • Assurer l’exactitude des données personnelles : Les organisations devront permettre la correction et la suppression des données collectées. Elles devront également s’assurer que les informations détenues sont correctes.
  • Assurer la sécurité, l’intégrité et la confidentialité : Des mesures devront être prises par les organisations pour sécuriser les données stockées.
  • Obligation de notification : Les organisations auront l’obligation de reporter toutes violations de données personnelles sous 72h.

La Cnil vous dit comment se préparer en 6 étapes au GDPR

  1. Désigner un pilote: Pour piloter la gouvernance des données personnelles de votre structure, vous aurez besoin d’un véritable chef d’orchestre qui exercera une mission d’information, de conseil et de contrôle en interne
  2. Cartographier vos traitements de données personnelles: recenser de façon précise vos traitements de données personnelles. L’élaboration d’un registre des traitements vous permet de faire le point.
  3. Prioriser les actions à mener: identifier les actions à mener pour vous conformer aux obligations actuelles et à venir. Priorisez ces actions au regard des risques que font peser vos traitements sur les droits et les libertés des personnes concernées.
  4. Gérer les risques: Après avoir identifié des données avec un risque élevé, vous devrez mener, pour chacun de ces traitements, une analyse d’impact sur la protection des données
  5. Organiser les processus internes: mettez en place des procédures internes qui garantissent la prise en compte de la protection des données à tout moment
  6. Documenter la conformité: vous devez constituer et regrouper la documentation nécessaire pour prouver cette conformité.

Un lien à suivre pour plus de détails ici