Archives de catégorie News

Lutter contre l’Arnaque au faux virement bancaire

L’arnaque au faux ordre de virement ou FOVI désigne un type d’escroquerie qui, par usurpation d’identité, vise à amener la victime à réaliser un virement de fonds sur un compte frauduleux.

Pour les particuliers, cette arnaque est de plus en plus répandue notamment via les sites e-commerce et les sites de petites annonces mais cela peut toucher également les entreprises qui peuvent se faire compromettre.

En plus des conseils que vous trouverez sur https://www.cybermalveillance.gouv.fr, je vous conseillerais un outil en ligne afin de vérifier si l’IBAN qu’on vous a envoyé correspond bien à celle de la personne ou de l’entreprise réelle.

Il suffit pour cela d’aller sur: https://www.ibancalculator.com/iban_validieren.html et de mettre l’IBAN et cliquer sur Validate IBAN. Vous aurez un resultat avec l’identification du propriétaire de l’IBAN, son adresse.

Si cela ne correspond pas à votre client ou fournisseur, ne faites pas le virement et signaler le faux compte aux autorités compétentes.

N’hésitez pas à partager dans vos réseaux cet article afin de sensibiliser un grand nombre.

Facebook, comment sécuriser son compte et restreindre l’accès aux données

Voici une petite démonstration vidéo, pour apprendre à sécuriser son compte Facebook mais aussi à restreindre l’accès à ces données personnelles à tout le monde et à Facebook.

Cela afin de limiter la possibilité de se faire pirater son compte facilement.

Nous ferons une prochaine vidéo avec les options avancées en matière de sécurité.

Merci de vous abonner à la chaine YouTube pour être tenue au courant des prochaines vidéos.

Cliquez ici pour accéder à la video

Les chiffres sur les notifications de violations de données en 11 mois de RGPD

Après la publication par la CNIL des chiffres liés aux notifications de violations de données à caractère personnel sur https://www.data.gouv.fr/, voici les informations que j’ai jugé utile de relevé et de faire figurer sur des graphiques pour que cela soit plus lisible.

Ce qui est marquant concernant ces notifications, c’est leur grand nombre et ce en quelques mois: 1650 au total en moins d’un an.

Les notifications par secteur d’activité

Nombre de violations de données personnelles déclarées selon l’activité de mai 2018 à mars 2019

Graphique représentant le nombre de notifications de violations de données par activité déposé auprès de la CNIL entre mai 2018 et Mars 2019

Lorsqu’on analyse ce graphique, nous voyons que quasiment tous les secteurs d’activités ont connu des fuites de données et que les entreprises prennent en compte de notifications des cas de violations de données personnelles.

Les causes des incidents

Les causes des incidents notifiés

Quasiment plus de 1000 notifications indiquent une cause externe malveillante soit environ 60%

Nature de la violation

Nature de la violation

L’accès illégitime représente plus de 85% de la nature de violation

Nous constatons que l’obligation de notifications en cas de violations de données, auprès de la CNIL commencent à entrer dans les bonnes pratiques des entreprises et il faut encourager cela.

Il faut également inciter encore plus les entreprises à aller vers la conformité au RGPD afin de mieux sécuriser leurs données car malheureusement les menaces ne cessent d’augmenter.

Sources: Open Data de la CNIL sorti en mai 2019

Article écrit par Chafik MOHAMED, Consultant en sécurité informatique et RGPD

La sécurité des usages pro-perso

La sécurité des usages pro-perso par cybermalveillance.gouv.fr

La transformation numérique modifie en profondeur les usages et les comportements. Être connecté est devenu le quotidien.

Le développement des technologies mobiles (Pc portables, tablettes, smartphones) offre désormais la possibilité d’accéder, depuis presque n’importe où, à ses informations personnelles mais aussi à son système informatique professionnel : la frontière numérique entre la vie professionnelle et personnelle devient de plus en plus poreuse.

Face à cette évolution, il est important d’adapter ses pratiques afin de protéger tant votre entreprise ou votre organisation, que votre espace de vie privée. cette fiche pratique présente les 10 principales règles à adopter pour sécuriser au mieux ses usages numériques personnels et professionnels.
Le terme « entreprise » employé dans ce document regroupera toutes les organisations professionnelles qu’elles soient à caractère privé, public ou associatif.

Quelques conseils:

  • Utilisez des mots de passe différents pour tous les services professionnels et personnels
    Si vous ne le faites pas et qu’un des services auquel vous accédez se fait pirater, le vol de votre mot de passe permettra à une personne malveillante d’accéder à tous vos autres services y compris les plus critiques (banque, messagerie, sites marchands, réseaux sociaux…). Et si vous utilisez ce même mot de passe pour accéder au système informatique de votre entreprise, c’est elle que vous mettez aussi en péril, car un cybercriminel pourrait utiliser vos identifiants de connexion pour voler ou détruire des informations.
  • Ne mélangez pas votre messagerie personnelle et professionnelle
    Déjà parce que c’est le meilleur moyen de rapidement ne plus s’y retrouver et de commettre des erreurs. Notamment des erreurs de destinataires qui pourraient avoir pour effet de voir des informations confidentielles de votre entreprise vous échapper vers des contacts personnels qui pourraient en faire un mauvais usage. Ou à l’inverse de voir un message trop personnel circuler dans votre entreprise alors que vous ne le souhaiteriez pas. Enfin, comme votre messagerie personnelle est généralement bien moins sécurisée que votre messagerie professionnelle, vous faire pirater votre compte, pourrait mettre en danger votre entreprise si un cybercriminel accédait à des messages professionnels confidentiels que vous auriez gardés dans votre messagerie personnelle.

La sécurité des usages pro-perso

La fiche complète téléchargeable ici

La vidéo

Le hameçonnage par cybermalveillance.gouv.fr

Le hameçonnage par cybermalveillance.gouv.fr

L’hameçonnage (phishing en anglais) est une technique frauduleuse destinée à leurrer l’internaute pour l’inciter à communiquer des données personnelles (comptes d’accès, mots de passe…) et/ou bancaires en se faisant passer pour un tiers de confiance.

Il peut s’agir d’un faux message, SMS ou appel téléphonique de banques, de réseaux sociaux, d’opérateurs de téléphonie, de fournisseur d’énergie, de sites de commerce en ligne, etc.

Le but recherché:

Voler des informations personnelles ou professionnelles (comptes, mots de passe, données bancaires…) Pour en faire un usage frauduleux.

Les mesures préventives:

  • Ne communiquez jamais d’informations sensibles par messagerie ou téléphone : aucune administration ou société commerciale sérieuse ne vous demandera vos données bancaires ou vos mots de passe par message électronique ou par téléphone.
  • Avant de cliquer sur un lien douteux, positionnez le curseur de votre souris sur ce lien (sans cliquer) ce qui affichera alors l’adresse vers laquelle il pointe réellement afin d’en vérifier la vraisemblance, ou allez directement sur le site de l’organisme en question par un lien favori que vous aurez vous-même créé.
  • Vérifiez l’adresse du site qui s’affiche dans votre navigateur. Si cela ne correspond pas exactement au site concerné, c’est très certainement un site frauduleux. Parfois, un seul caractère peut changer dans l’adresse du site pour vous tromper. Au moindre doute, ne fournissez aucune information et fermez immédiatement la page correspondante.
  • En cas de doute, contactez si possible directement l’organisme concerné pour confirmer le message ou l’appel que vous avez reçu.
  • Utilisez des mots de passes différents et complexes pour chaque site et application que vous utilisez, afin d’éviter que le vol d’un de vos mots de passe ne compromette tous vos comptes personnels. Vous pouvez également utiliser des coffres forts numériques de type KeePass pour stocker de manière sécurisée vos différents mots de passe.
  • Vérifiez les date et heure de dernière connexion à votre compte afin de repérer si des accès illégitimes ont été réalisés.
  • Activez la double authentification pour sécuriser vos accès.

Le hameçonnage par cybermalveillance.gouv.fr

Si vous êtes victime:

  • Malencontreusement, vous avez communiqué des éléments sur vos moyens de paiement ou si vous avez constaté des débits frauduleux sur votre compte, faites opposition immédiatement auprès de votre organisme bancaire ou financier et déposez plainte au commissariat de police ou à la gendarmerie la plus proche.
  • Vous avez constaté que des éléments personnels servent à usurper votre identité, déposez plainte au commissariat de police ou à la gendarmerie la plus proche.
  • Vous êtes victime d’une usurpation de votre adresse de messagerie ou de tout autre compte, changez immédiatement vos mots de passe.
  • Un message douteux dans votre boite, il faut le signaler à signal spam, sans y répondre,
  • Vous pouvez signaler une adresse de site d’hameçonnage à phishing initiative (phishing-initiative.fr) qui en fera fermer l’accès.
  • Pour être conseillé en cas d’hameçonnage : info escroqueries 0 805 805 817 (numéro gratuit).

La vidéo ici

La sécurité des appareils mobiles par cybermalveillance.gouv.fr

La sécurité des appareils mobiles par cybermalveillance.gouv.fr

Les smartphones et tablettes informatiques sont devenus des instruments pratiques du quotidien, tant pour un usage personnel que professionnel.

Leurs capacités ne cessent de croître et les fonctionnalités qu’ils offrent s’apparentent, voire dépassent parfois, celles des ordinateurs.

Les smartphones sont généralement bien moins sécurisés que les ordinateurs par leurs propriétaires, alors qu’ils contiennent souvent des informations sensibles.

Cette fiche pratique mise à disposition par cybermalveillance.gouv.fr, présente les 10 principales règles à adopter pour assurer au mieux la sécurité de son appareil mobile.

Memo-appareils-mobiles

Quelques conseils:

  • Mettez en place les codes d’accès
    Qu’il s’agisse du code de déverrouillage ou du code PIN, ces protections complémentaires empêcheront une personne malintentionnée de pouvoir se servir facilement de votre appareil si vous en perdez le contrôle (perte, vol, abandon) et donc d’accéder à vos informations. Bien entendu, vos codes d’accès doivent être suffisamment difficiles à deviner (évitez 0000 ou 1234, par exemple). Activez également le verrouillage automatique de votre appareil afin que le code d’accès soit demandé au bout de quelques minutes si vous laissez votre appareil sans surveillance.
  • Chiffrez les données de l’appareil
    En cas de perte ou de vol, seul le chiffrement des données contenues dans votre appareil vous assurera qu’une personne malintentionnée ne pourra pas contourner les codes d’accès et accéder quand même à vos informations. Tous les appareils récents proposent cette option qu’il suffit d’activer dans les paramètres et qui est quasi transparente à l’utilisation. Et si vous utilisez une carte d’extension mémoire pour stocker vos informations, vérifiez qu’elle est également chiffrée.
  • Appliquez les mises à jour de sécurité
    Qu’il s’agisse du système d’exploitation (Android, iOS) ou des applications qui sont sur votre appareil, il est important d’installer sans tarder les mises à jour dès qu’elles sont proposées car elles corrigent souvent des failles de sécurité qui pourraient être exploitées par des cybercriminels pour prendre le contrôle de votre appareil et accéder à vos informations.
  • Faites des sauvegardes
    Votre appareil mobile contient généralement des informations que vous n’avez nulle part ailleurs comme votre répertoire de contacts, vos messages, vos photos… Pensez à le sauvegarder régulièrement car si vous le perdez, si on vous le vole, ou s’il se casse vous pourriez tout perdre.

 

La vidéo ici:

Bien gérer ses mots de passe

Comment bien gérer ses mots de passe?

Messageries, réseaux sociaux, banques, administrations et commerces en ligne, réseaux et applications d’entreprise…

La sécurité de l’accès à tous ces services du quotidien repose aujourd’hui essentiellement sur les mots de passe.

Face à la profusion des mots de passe, la tentation est forte d’en avoir une gestion trop simple. Mais une telle pratique serait dangereuse, car elle augmenterait considérablement les risques de compromettre la sécurité de vos accès.

Cette fiche pratique de cybermalveillance.gouv.fr, présente les 10 principales règles à adopter pour gérer efficacement ses mots de passe et assurer ainsi au mieux sa sécurité numérique.

Bien gérer ses mots de passe

Quelques conseils:

  • Utiliser un mot de passe différent pour chaque accès
    Ainsi en cas de perte ou de vol d’un de vos mots de passe seul le service concerné sera vulnérable. Dans le cas contraire, tous les services sur lesquels vous utilisez le même mot de passe compromis seraient piratables.
  • Utilisez un mot de passe suffisamment long et complexe
    Une technique d’attaque ré­pandue, dite par « force brute » consiste à essayer toutes les combinaisons
    possibles de caractères, jusqu’à trouver le bon mot de passe. Réalisées par des ordinateurs, ces
    attaques peuvent tes­ ter des dizaines de milliers de combinai­sons par seconde. Pour empêcher ce type
    d’attaque, il est admis qu’un bon mot de passe doit compor­ter au minimum 12 signes mélangeant
    des majuscules, des minuscules, des chiffres et des ca­ractères spéciaux.

La fiche avec tous les conseils à télécharger ici

 La vidéo de sensibilisation ici:

 

 

Bon vent au RGPD

Ca y est le RGPD est appliqué dans les pays de l’UE depuis le 25 mai 2018 et donc bon vent au RGPD 🙂

Dans cet article, je souhaite insister sur le fait que le ce règlement constitue une véritable opportunité pour votre entreprise et je vous encourage donc à entreprendre, si ce n’est pas déjà fait, la démarche de mise en conformité et voici ces opportunités (sources: CNIL et BPIFrance):

1. Renforcer la confiance

Toute personne qui vous confie ses données personnelles établit avec vous une relation de confiance et souhaite le respect de ses droits et de sa vie privée.
Le RGPD réaffirme les droits pour les personnes concernées de maîtriser leurs données en leur conférant des droits : droits d’accès, de rectification,
d’effacement, d’opposition, etc. Respecter ces droits contribue à valoriser votre image d’entreprise sérieuse et responsable.
Une opportunité de sceller une relation de confiance avec vos interlocuteurs et d’améliorer votre image de marque !

2. Améliorer votre efficacité commerciale

Pour vendre vos produits ou vos services, vous avez besoin de prospecter, de connaître vos clients et de gérer la facturation. Pour cela, vous constituez des fichiers concernant vos clients et prospects.
Si le RGPD réaffirme le principe d’exactitude et de mise à jour des données enregistrées dans un fichier, maintenir vos fichiers à jour est surtout dans l’intérêt même du développement de votre chiffre d’affaires.
En ayant une gestion rigoureuse de vos données, vous gagnez donc en efficacité et en productivité !

3. Mieux gérer votre entreprise

Avec le temps et le développement de votre entreprise, votre volume de données augmente et nécessite de mobiliser de plus en plus de moyens humains et techniques (espace de stockage, logiciels adaptés, etc.) pour les gérer, les mettre à jour, et en assurer la sécurité.

Le principe de « minimisation » des données (« Je ne collecte que les données dont j’ai vraiment besoin ») et l’obligation de tenir à jour la liste de vos fichiers vous permettent de faire le point sur les données que vous collectez et d’identifier vos besoins réels.

Le RGPD exige par ailleurs que les données soient pertinentes par rapport à l’objectif pour lequel vous collectez les données.

Appliquer ces principes vous permet donc d’optimiser vos investissements.
L’arrivée du RGPD est ainsi une occasion forte de se poser les bonnes questions sur son activité et ses process (comme cela a été par exemple le cas lors du passage du papier à la dématérialisation).

 

4. Améliorer la sécurité des données de votre entreprise

L’actualité témoigne d’un nombre de plus en plus important de failles de sécurité et d’attaques informatiques. Ces dernières peuvent avoir des conséquences désastreuses sur l’activité des entreprises. Le niveau de sécurité de l’entreprise dans sa globalité se pose en préalable à la sécurité des données.

Au même titre que vous protégez le nom de votre PME ou son logo, vitaux pour le fonctionnement de votre entreprise, les données personnelles doivent faire l’objet de mesures de sécurité
particulières, informatiques et physiques.

Protéger son patrimoine informationnel et protéger les personnes concernées des atteintes à leurs données, c’est donner à son entreprise des moyens de se développer sereinement.

 

5. Rassurer vos clients et donneurs d’ordre et ainsi développer votre activité

Dans tous les secteurs d’activité, les donneurs d’ordre seront très attentifs à la mise en œuvre du RGPD par leurs prestataires.

Il s’agit donc d’un sujet crucial pour les sous-traitants qui traitent des données personnelles pour le compte d’entreprises, à la fois pour maintenir leurs relations commerciales existantes mais également pour éventuellement en conquérir de nouvelles.

Si vous respectez le RGPD, vous aurez un avantage concurrentiel !

 

6. Créer de nouveaux services

Le RGPD introduit aussi de nouveaux concepts pouvant se traduire en nouveaux services (exemple : la portabilité des données).

Le développement et l’organisation de ces nouveaux outils et services représentent de véritables défis et de nouvelles opportunités économiques (exemple : sur les plateformes en ligne pour la musique, les vidéos, l’utilisateur pourrait à terme faire exporter ses choix, ses listes de préférences, etc.).

L’utilisateur final pourrait fortement gagner en termes d’expérience, ces éléments entreront alors dans sa décision d’achat !

7. Se mettre en conformité avec Sheo Technology

Nous vous accompagnons dans votre démarche de mise en conformité au RGPD en vous proposant une offre qui correspondra vraiment  à vos besoins.

Sheo Technology, s’appuie sur des partenaires juridiques mais aussi techniques notamment en cybersécurité afin de pouvoir vous faire une proposition vraiment très complète et qui englobe l’ensemble des différents services de votre entreprise ou association.

Vous pouvez télécharger ici nos offres de mise en conformité

L’essentiel du RGPD modélisé

Dans le cadre des fiches pratiques du RGPD par Sheo Technology, voici une fiche sur l’essentiel du RGPD modélisé sous format mind-mapping.

En m’inspirant du Whiteboard du professeur Daniel J Solove de l’université de Georges Washington, j’ai modélisé les grands domaines de la Réglementation Générale de la Protection des Données (RGPD) qui sera mise en application le 25 mai 2018 et ce dans un objectif d’aider à bien assimiler la portée de cette réglementation.

Le RGPD a vocation à s’appliquer aux traitements de données à caractère personnel, qu’ils soient automatisés (même en partie) ou non (à condition que les données traitées soient contenues ou appelées à figurer dans un fichier) de tous les citoyens européens.

Cette fiche est une 1ère version et elle sera certainement revue et corrigée dans l’avenir en prenant en compte les changements apportées par la CNIL mais aussi par vos remarques constructives.

Merci de cliquez sur l’image pour l’agrandir.

 

L'essentiel du RGPD modelisé

Je remercie grandement le professeur Daniel J Solove pour ses travaux de vulgarisation du RGPD aux US et les articles très intéressants sur ce sujet.

Cliquez ici pour accéder à nos offres de mise en conformité au RGPD en partenariat avec le cabinet Oxalia Data-Protection

 

A venir prochainement les fiches sur les fournisseurs cloud et leur mise en conformité au RGPD

PS: les sources présentes sur notre site ne doivent pas être reproduites sans la permission des auteurs par contre vous pouvez liker et partager dans les réseaux sociaux afin qu’un maximum de monde puisse profiter de ce mind-mapping.

Très bonnes fêtes à vous tous et toutes

 

 

RGPD: La qualification d’un incident

Voici l’arbre de décision mise en place par la CNIL, qui doit permettre au DPO ( Data Privacy Officer ou Délégué à la protection des données) de qualifier un incident afin de déterminer l’autorité ou les autorités compétentes qui doivent recevoir la notification (initiale et complémentaire).

RGPD la qualification d'incident

RGPD la qualification d’incident

Je rappelle qu’en cas en de violation de données personnelles, il faut « documenter » l’incident, c’est-à-dire tenir un registre interne dans lequel seront consignés les faits concernant la violation, ses effets et les mesures prises pour y remédier La CNIL mettra dans les mois qui viennent, un téléservice permettant de faire cette notification

A bientôt pour d’autres fiches sur la notification d’incident dans le cadre du RGPD.