Flux RSS
Données personnelles
643 documents trouvés, affichage des résultats 211 à 220.
| < Les 10 documents précédents | Les 10 documents suivants > |
(01/04/2011 14:34:40)
Le rapport X-Force d'IBM alerte sur la sécurité des mobiles et du cloud
Dans ce rapport, il est indiqué que les entreprises doivent notamment avoir à l'esprit que le jailbreak permet d'accéder au root des téléphones mobiles, ce qui pose un certain nombre de problèmes. Alors que de nombreux propriétaires de téléphone choisissent volontairement d'outrepasser les restrictions du constructeur pour installer sur leur mobile des applications initialement non compatibles, les pirates savent aussi tirer parti des outils de jailbreaking à leur disposition. Ainsi, ils peuvent modifier le code à l'intérieur d'un outil pour obtenir un accès root non autorisé, comme l'indique un rapport sur les tendances et les risques «IBM X-Force 2010 Trend et Risk Report» établi par des spécialistes de la sécurité chez IBM.
Une autre préoccupation émise dans ce rapport concerne les menaces que représente la sécurité des réseaux sociaux, généralement très sous-estimées selon eux. Certes, comme le précise le rapport, « les attaques généralisées visant à exploiter ces vulnérabilités ne sont pas légion. » Mais c'est essentiellement parce que « pour ceux qui mettent en place des réseaux de zombies à grande échelle sur Internet, les ressources financières que pourraient générer le piratage des appareils mobiles ne sont pas aussi intéressantes que celles procurées par les machines de bureau. » Néanmoins, chaque téléphone mobile peut contenir suffisamment d'informations précieuses pour justifier une attaque ciblée. « Introduit dans un mobile, un programme malveillant peut être utilisé pour espionner les utilisateurs, accéder à des informations sensibles, et entrer dans les réseaux d'entreprise. Par conséquent, les entreprises devraient prendre au sérieux le risque que représentent ces logiciels malveillants », indique le rapport.
Adapter sa sécurité
IBM X-Force recommande un minimum de mesures de sécurité dont un pare-feu, un anti-malware, des mots de passe forts, le verrouillage et la suppression des données après plusieurs tentatives de connexion, l'utilisation de passerelles entre les dispositifs et les réseaux d'entreprise (VPN), et la configuration du Bluetooth de façon à ce que seuls les appareils sécurisés puissent se connecter entre eux. Les entreprises qui utilisent une flotte mobile devraient également envisager le cryptage des données sensibles. « Toutes les données ne doivent pas être chiffrées, mais les données sensibles de l'entreprise, oui, » préconise le rapport.
Les boutiques légales d'applications en ligne sont également désignées comme source très dangereuse pour la diffusion de malware sur les smartphones. Si elles ne disposent pas des ressources nécessaires pour contrôler toutes les applications soumises, ces plates-formes peuvent en effet vendre des applications qui sont en fait des logiciels malveillants. « Probablement, des applications en apparence dignes de confiance, sont facilement utilisées comme vecteur pour la propagation de malware, » indique le rapport. Les entreprises qui cherchent à sécuriser les smartphones pourraient utiliser à bon escient la technologie d'encapsulage pour séparer les données et les applications professionnelles de tout le reste sur un même téléphone. « Les utilisateurs ne veulent qu'un seul appareil, et le fait d'encapsuler le contenu professionnel permettrait aussi un usage personnel du mobile, tout en protégeant les données sensibles, » indiquent les spécialistes.
Le cloud aussi touché
Le rapport X-Force s'est également intéressé aux services Cloud et à la sécurité des nuages, un aspect qui conditionne grandement leur adoption. Mais de plus en plus d'entreprises s'y mettent, au moins pour héberger certaines de leurs données et applications. La sécurité ne doit pas être infaillible si les risques associés à l'utilisation du Cloud sont acceptables. « Pour les entreprises, la question n'est pas de savoir si le Cloud dans son ensemble est sécurisé, mais si elles-mêmes se sentent à l'aise pour délocaliser une partie de leur charge de travail sur le Cloud, » commente le rapport. Les clients doivent naturellement faire confiance à la sécurité offerte par les fournisseurs de Cloud, et accepter que ceux-ci donnent peu de détails sur leurs mesures de protection pour éviter de révéler leurs méthodes aux attaquants éventuels.
« Donc, les clients doivent faire confiance à leurs fournisseurs, mais ceux-ci ne peuvent garantir une sécurisation infaillible, » résume le rapport X-Force. Il est possible que les fournisseurs de nuage soient en mesure d'offrir une meilleure sécurité à leurs clients. « La protection que procure le nuage pourrait contribuer à mieux défendre les réseaux d'entreprise qu'ils ne le font eux-mêmes, » dit encore le rapport. « Au moins à court terme, les clients doivent évaluer leur degré de tolérance par rapport aux risques associés à l'utilisation de services Cloud et agir en conséquence, » indique le rapport.
Crédit Photo: D.R
(...)(31/03/2011 14:33:01)Le ministère de la santé alerte sur une tentative de phishing
Le ministère du Travail, de l'Emploi et de la Santé avertit les internautes français d'une tentative d'escroquerie en ligne en son nom, a-t-il indiqué mercredi 30 mars. Sous forme d'hameçonnage, la fraude se traduit par un e-mail de demande de vérification émanant du ministère avec nécessité de fournir ses numéros de carte vitale et de carte bancaire.
Le ministère du Travail, de l'Emploi et de la Santé rappelle qu'il ne demande en aucun cas de telles données aux internautes français.
De son nom anglais phishing, l'hameçonnage cherche à obtenir par la ruse des données personnelles pour une future usurpation d'identité.
(...)(31/03/2011 13:24:29)La FTC va surveiller Google pendant 20 ans sur la vie privée
La firme de Moutain View a accepté de se soumettre à des conditions assez sévères émanant de la FTC, l'organisme de régulation américain, après le lancement de Google Buzz. Lancé en grandes pompes en février 2010, le réseau social avait fait l'objet de milliers de plaintes d'internautes. Il a été déployé auprès des utilisateurs de la messagerie Gmail, mais l'option permettant de refuser de s'inscrire sur Buzz n'était pas opérationnelle. Les nombreux internautes qui avaient choisi de ne pas rejoindre le réseau social s'y trouvaient donc inscrits, quoiqu'ils fassent. Ceux qui avaient pris le train en marche ignoraient que leurs données personnelles puissent être partagées ou exposées aux yeux d'autres utilisateurs. La politique de confidentialité de Google au moment du lancement de Buzz était la suivante : «Lorsque vous vous inscrivez à un service particulier qui nécessite une inscription, nous vous demandons de fournir des renseignements personnels. Si nous utilisons ces informations d'une manière différente que celle pour laquelle elles ont été collectées, nous vous demanderons votre consentement avant de les utiliser ».
Des pratiques frauduleuses violant la vie privée
La FTC reproche donc à Google d'avoir violé cette politique de confidentialité en utilisant les informations fournies pour Gmail à une autre fin. Le régulateur a également noté, - en dépit de la présence d'options permettant de ne pas s'inscrire sur Buzz, ou de le désactiver après s'y être inscrit - que Google a induit en erreur les utilisateurs en usant de pratiques frauduleuses qui ont violé leur vie privée.
La FTC a donc exigé que Google mette en oeuvre un programme de protection des renseignements personnels complets. Elle demande à ce que la firme de Moutain View se soumette tous les deux ans à un audit indépendant de ses pratiques en matière de confidentialité et ce pendant 20 ans. « Lorsque les entreprises font des promesses de confidentialité, elles doivent honorer leurs engagements », a déclaré Jon Leibowitz, président de la FTC, dans un communiqué annonçant l'accord sur Google Buzz. « C'est un règlement très contraignant qui garantit que Google fournira une protection forte pour la confidentialité des internautes, dans toutes ses opérations. »
Le régulateur rendra les termes de l'accord sur Google à la disposition du public, et ce texte sera soumis à consultation jusqu'au 1er mai.
(...)
Modifications discrètes de l'organisation de la CNIL
Le Journal Officiel du 30 mars 2011 a publié les textes instituant le désormais fameux Défenseur des droits, nommé discrétionnairement en conseil des ministres sauf opposition des trois cinquièmes des deux commissions parlementaires supervisant de telles nominations. Le Défenseur des droits remplace le Médiateur de la République, le Défenseur des enfants, la Commission nationale de déontologie de la sécurité (CNDS) et la Haute Autorité de lutte contre les discriminations et pour l'égalité (Halde) comme mentionné à l'article 22 de la loi n° 2011-334 (voir encadré).
Au passage, la CNIL (Commission Nationale Informatique et Libertés) est aussi affectée à plusieurs niveaux.
Tout d'abord, le quotidien des contrôles de la CNIL dans les entreprises et administrations est modifié par les articles 7 et 8 de la loi n° 2011-334. Les contrôles sont ainsi mieux encadrés et respectent désormais les principes généraux des procédures judiciaires, notamment l'intervention du juge des libertés et de la détention pour les mesures atteignant aux locaux que la CNIL veut visiter contre l'avis de l'occupant. Ce point était objet de litiges.
Les articles 2 à 5 réorganisent la formation contentieuse prononçant les sanctions.
Une moindre indépendance
L'organisation et la composition de la CNIL sont donc également affectées.
Ainsi, le nouveau Défenseur des Droits s'y invite soit directement soit via un représentant (article 1 de la même loi) en tant que dix-huitième membre.
Elu en son sein, le président de la CNIL ne pourra plus être un élu. L'article 4 dispose en effet : « La fonction de président de la commission est incompatible avec toute activité professionnelle, tout mandat électif national, tout autre emploi public et toute détention, directe ou indirecte, d'intérêts dans une entreprise du secteur des communications électroniques ou de l'informatique. La durée du mandat de président est de cinq ans. »
Or, parmi les membres actuels de la CNIL, il y a 2 députés, 2 sénateurs, 2 membres du Conseil économique, social et environnemental, 2 conseillers d'État, 2 conseillers à la Cour de cassation, 2 conseillers à la Cour des comptes et 5 personnalités qualifiées désignées par le Président de l'Assemblée nationale (1 personnalité), le Président du Sénat (1 personnalité), et le gouvernement par décret (3 personnalités).
Si un fonctionnaire ou un magistrat devient président, il devra donc être mis en disponibilité. Un élu devrait démissionner mais, en tel cas, il perdrait de fait son mandat de membre de la CNIL puisque les deux sont liés. Cette disposition pourrait accroître l'indépendance de l'institution mais, de fait, va privilégier les « personnalités qualifiées » non-professionnelles et nommées discrétionnairement.
Les décisions de la CNIL s'imposant autant aux entreprises privées qu'aux administrations et collectivités, cette modification des relations de pouvoirs en son sein ne seront pas sans conséquences sur les exigences relatives aux systèmes d'information et aux fichiers de données personnelles.
MySQL.com victime d'une injection SQL
Le site web MySQL.com réservé aux clients d'oracle a apparemment été compromis au cours du week-end par des pirates qui ont publié les noms d'utilisateurs et dans certains cas leurs mots de passe.
Les deux hackers d'origine roumaine se font appeler « TinKode » et « Ne0h». La méthode utilisée pour le piratage est une attaque par injection SQL, sans fournir de détail plus précis. Les noms de domaines touchés ont été recensés : www.mysql.com, www.mysql.fr, www.mysql.de, www.mysql.it et www-jp.mysql.com. Selon un post sur la liste de diffusion Full Disclosure, MySQL.com repose sur une variété de bases de données internes qui sont sur un serveur web Apache. Les informations affichées sur le post inclus une série d'empreintes (hash) de mots de passe, dont certains ont été cassés.
Attention au mot de passe trop simple
Parmi les informations d'identification publiées par le site Pastebin, on découvre par exemple le blog de deux anciens employés de MySQL. Il y a l'ancien responsable produit, Robin Schumacher, et l'ancien vice-président des relations communautaires, Kaj Arno. Le premier est actuellement directeur de la stratégie produit chez EnterpriseDB, tandis que le second est maintenant vice-président exécutif pour les produits à SkySQL. On notera que le mot de passe choisi par Robin Schumacher, 6661, est très simple et ne correspond pas aux règles élémentaires de sécurité.
Oracle, qui a pris le contrôle de MySQL avec l'acquisition de Sun Microsystems en avril 2009, n'a pas fait de commentaires. Sucuri, une entreprise de sécurité qui surveille les sites web des attaques de pirates, a conseillé aux utilisateurs ayant un compte sur MySQL.com, de changer leurs mots de passe dès que possible et surtout de ne pas utiliser le même mot de passe sur plusieurs sites.
Les cybercriminels vendent des kits d'attaques as a service
Ces kits vendus sont composés d'une variété de techniques de piratage, ou séquences de codes, capables de tirer parti des failles logicielles afin de les infecter par des programmes malveillants. Des chercheurs de Seculert ont trouvé au moins deux kits - Incognito 2.0 et Bomba - livrés avec leur propre solution d'hébergement et leur interface de gestion. « Le nouveau business model rend la tâche facile aux cybercriminels qui pouvaient avoir certaines difficultés à sécuriser leur hébergement ou à trouver des FAI prêts à héberger leurs serveurs malveillants, » dit Aviv Raff, CTO et cofondateur de Seculert. L'entreprise offre un service cloud spécialisé chargé d'alerter les clients sur les logiciels malveillants en circulation, les exploits et autres cyber-menaces.
Les offres globales sont destinées aux criminels qui souhaitent atteindre un grand nombre d'ordinateurs tournant sous Microsoft Windows. Une fois les ordinateurs piratés, les machines peuvent être utilisées pour voler des données personnelles, envoyer des spams, mener des attaques par déni de service ou à d'autres choses encore. C'est aussi moins cher. Les clients ne payent que le temps pendant lequel leurs attaques sont actives. « Autrement dit, si pour une raison ou une autre le FAI décide de fermer les serveurs pirates, ils n'ont rien à payer, » explique le CTO de Seculert. Celui-ci a estimé que ce type d'hébergement et de service coûtait entre 100 et 200 dollars par mois. «Tout est géré par le prestataire de services, » indique Aviv Raff. « Le client ne paye que pour le temps pendant lequel ses attaques sont hébergées. Nous ne connaissons pas les tarifs exacts, mais comme pour n'importe quel autre service cloud, il est clair que cette offre revient beaucoup moins cher que l'achat séparé d'un kit et de son hébergement, » a t-il dit.
Les clients doivent fournir leurs propres malware constituant les exploits à diffuser. Ils doivent également prendre en charge le piratage des sites web à partir desquels ils veulent rediriger leurs victimes vers le serveur malveillant hébergé par les opérateurs d'Incognito. Quand une victime potentielle visite l'un des sites web infecté, une balise iframe active le transfert de contenu à partir des serveurs Incognito d'où sont menées plusieurs attaques contre les machines en vue de réussir une ou plusieurs intrusions.
Les réseaux sociaux et l'actualité comme planche d'appel
Jusqu'à présent, Seculert a dénombré qu'environ 8 000 sites légitimes avaient été piratés et touchés par des exploits hébergés par Incognito. « Certaines victimes sont infectées quand elles vont visiter ces sites selon un mode de navigation normale, » explique Aviv Raff. Les pirates ont également mené des campagnes de spam pour tenter d'attirer les internautes vers ces sites infectés. Comme l'a récemment remarqué Seculert, un de ces messages prétendait venir de Twitter, manifestant son soutien au Japon et invitant les gens à cliquer sur un lien pour voir une vidéo des réacteurs de la centrale de Fukushima endommagée par le tsunami. En réalité, le lien de ce faux message ne débouchait sur aucune vidéo. Au lieu de cela, un cheval de Troie était téléchargé et installé sur l'ordinateur, dans le cas où celui-ci présentait une vulnérabilité logicielle.
« Incognito 2.0 fournit une interface de gestion basée sur le web qui permet aux clients de vérifier combien d'ordinateurs ont été infectés et quel type d'exploit a été utilisé, » ajoute le CTO de Seculert qui a posté des captures d'écran sur son blog. Incognito 2,0 semble en pleine croissance : les chercheurs de Seculert ont pu établir après analyse de son infrastructure, qu'au moins 30 clients utilisaient la plate-forme pour installer toute sorte de malware, depuis le Trojan Zeus de piratage des comptes bancaires, jusqu'aux faux logiciels antivirus et aux chevaux de Troie génériques qui provoquent le téléchargement et l'installation d'autres logiciels malveillants sur un ordinateur infecté. Sur une quinzaine de jours en janvier, au moins 150 000 machines ont été touchées : environ 70 % de ces ordinateurs ont été infectés avec un exploit utilisant une vulnérabilité dans l'environnement d'exécution Java, et 20 % en profitant d'une faille dans Adobe Reader.
Le vol d'identité médicale, une menace réelle outre-Atlantique
Selon de nombreux experts, le vol d'identité médicale est en hausse, d'une part parce qu'il est devenu plus rentable, mais aussi à cause de l'utilisation croissante des dossiers de santé informatisés qui offrent l'accès à un plus grand nombre de données privées. En outre, les numéros de carte de crédit et autres types de données financières ont perdu de leur valeur. « Sur le marché noir, les numéros de carte de crédit se négocient pour quelques dollars, alors que les numéros d'identification médicaux et ceux des mutuelles de santé se vendent pour quelques centaines de dollars, » explique Robbie Higgins, vice-président, responsable des services de sécurité chez GlassHouse, un fournisseur de solutions informatiques. Par ailleurs, comme il le fait remarquer, les organismes de cartes de crédit, les banques et les sociétés de services financiers ont les moyens de surveiller les transactions et de repérer celles qui sont frauduleuses, ce qui n'est pas le cas des services de santé. « Ces organismes sont peu performants pour détecter des transactions frauduleuses », confirme t-il.
Près de 1,5 million d'Américains en ont été victimes
C'est aussi l'avis de Jennifer Leuer, directrice générale de ProtectMyID chez Experian, un service chargé de protéger les données d'identification dans le domaine de la santé. « Le secteur de la santé est beaucoup plus fragmenté. Il peut potentiellement faire appel à des dizaines de fournisseurs ou d'intervenants », indique t-elle. Et cette disparité favorise les incidents. Ça été le cas du fournisseur de services de santé Health Net qui a découvert que les données personnelles et les dossiers de 1,9 million de ses clients avaient disparu de ses serveurs. La mutuelle conservait sur ses disques les noms, adresses, numéros de sécurité sociale, informations financières et données sur la santé des anciens adhérents et des adhérents actuels de Health Net, plus celles d'employés et de professionnels de soins de santé.
La semaine dernière, le Ponemon Institute, sponsorisé par Experian ProtectMyID, a publié son deuxième rapport annuel sur le vol d'identité médicale au niveau national. Son étude conclut que près de 1,5 million d'Américains sont victimes de vols de ce type. Le rapport a même estimé le coût moyen pour résoudre une affaire de vol d'identité médicale : 20 663 dollars en 2011, contre 20 160 dollars l'année précédente. L'étude a porté sur 1 672 cas, dont 633 victimes concernées directement ou indirectement, en général par le biais d'un membre de leur famille proche, par le vol d'identité.
Signaler la perte de sa carte d'assurance maladie
Les situations observées dans le vol des données médicales ne sont pas différentes de celles des vols d'identité. Dans 36% des cas, le vol est le fait d'un membre de la famille. L'origine reste inconnue dans 17% des cas. Le fournisseur de soins est mis en cause dans 14% des cas. Dans 10% des cas, ils sont le fait d'employés administratifs malveillants travaillant pour un prestataire de santé. Enfin, 9% résultent de la perte de portefeuille, 8% de l'interception par des pirates d'une déclaration envoyée par mail et 6% du phishing.
Par ailleurs, selon Jennifer Leuer, contrairement au vol d'identité financière, le vol d'identité médicale n'est pas la première chose à laquelle pensent les individus. « Lorsque quelqu'un perd son portefeuille, il pense en priorité à remplacer son permis de conduire, à appeler l'organisme émetteur de sa carte de crédit, mais il ne pense pas à signaler le vol de sa carte d'assurance maladie », déclare t-elle. « Nous espérons que l'augmentation des déclarations faisant état de ce type de violations va davantage sensibiliser le public au vol d'identité médicale », ajoute t-elle. Dans le rapport annuel qu'a publié la Federal Trade Commission début mars, pour la 11 année consécutive, le vol d'identité dont sont victimes chaque année 9 millions d'Américains, arrive encore en tête des plaintes pour fraudes à la consommation.
Illustration (crédit : D.R.)
La CNIL inflige 100 000 euros d'amende à Google
La Commission Nationale Informatique et Liberté hausse le ton contre Google et surtout sur son peu d'empressement de répondre aux demandes de l'autorité administrative. Au final, l'éditeur de Mountain View écope d'une amende de 100 000 euros. L'histoire commence en 2009 quand l'Europe et notamment la CNIL se rend compte que les Google Car en charge de prendre des photos pour le service Maps et Street View, captent et enregistrent des données transitant par les réseaux WiFi des particuliers et cela à leur insu. Parmi ces données collectées, la Commission a retrouvé aussi bien des informations techniques (identifiants SIID et adresses MAC des points d'accès WiFi) que des données concernant des particuliers, identifiés ou identifiables (données de connexions à des sites web, mot de passe de messagerie, adresses de courrier électroniques, échanges de courriels révélant notamment des informations sensibles sur l'orientation sexuelle ou la santé des personnes).
Un déplacement du problème
(...)(17/03/2011 12:51:47)
BlackBerry OS 6 : RIM conseille aux utilisateurs de désactiver JavaScript
Selon RIM, la faille pourrait permettre à un pirate d'accéder aux données des utilisateurs via le BlackBerry Browser, dans le cas où son propriétaire serait amené à visiter un site web malveillant. Le problème affecte uniquement les appareils tournant sous BlackBerry OS 6, puisque la faille ne peut-être exploitée que sur des smartphones dont le navigateur intègre le moteur de rendu WebKit.
C'est en 2009 que RIM a revu son navigateur pour BlackBerry OS 6. A l'époque, le constructeur venait d'acheter Torch Mobile, le créateur du navigateur mobile Iris Browser, basé sur le moteur de rendu open source Webkit. Tous les BlackBerry tournant sur des versions antérieures du système d'exploitation de RIM ne sont donc pas concernés par cette vulnérabilité.
Un accès à certaines données seulement
RIM affirme que le bogue ouvre seulement l'accès aux données stockées sur les cartes mémoire et dans la mémoire intégrée des smartphones mais ne donne pas accès aux données conservées par l'application, comme les données «utilisateur» de la messagerie, de l'agenda et des carnets d'adresse. Jusqu'à présent, RIM dit ne pas avoir repéré de personnes exploitant cette vulnérabilité en dehors de celles travaillant en environnement de test.
Le canadien fournit des informations aux services informatiques pour expliquer comment désactiver JavaScript sur plusieurs terminaux BlackBerry, dont le Torch 9800, le Bold 9700 et le Curve 9300. Dans les cas où la méthode ne fonctionne pas, RIM recommande de désactiver totalement le BlackBerry Browser sur les appareils concernés jusqu'à ce que la vulnérabilité soit corrigée.
Une ouverture imposée par le succès des concurrents
RIM a bâti sa réputation grâce aux options de sécurité et de protection de la vie privée offertes aux utilisateurs. Mais le succès rencontré par l'iPhone d'Apple et par le système d'exploitation Open Source Android de Google a contraint l'entreprise à ouvrir ses terminaux à des applications plus variées. C'est ainsi que RIM a opté pour le moteur de rendu Open Source WebKit pour son navigateur. L'entreprise considérait également la possibilité de laisser tourner sur sa future tablette Playbook des applications conçues pour Android et cet épisode pourrait influer sur sa décision.
Ces dernières années, les applications mobiles sont devenues un élément clef de promotion pour les smartphones, notamment avec le lancement très médiatisé de boutiques d'applications mobiles comme l'App Store d'Apple et l'Android Market de Google. Dans une récente enquête réalisée par le cabinet d'études ChangeWave, 14% des utilisateurs de téléphone mobile disent que ce sont les applications qu'ils apprécient le plus dans les nouveaux smartphones. Viennent ensuite la facilité d'utilisation des terminaux (12%) et la possibilité d'accéder à Internet (12%). Toujours selon cette étude, l'application de messagerie professionnelle de RIM, qui a attiré vers la marque beaucoup d'utilisateurs, est considérée comme la fonctionnalité la plus importante par 10% des utilisateurs.
(...)(17/03/2011 12:29:33)Tribune de Théodore-Michel Vrangos : Sécurité, le réveil peut être brutal !
On a récemment appris que Bercy aurait été victime d'une attaque informatique inédite ! Depuis le mois de décembre, plus de 150 ordinateurs ont été infiltrés par des «hackers». Cette opération d'espionnage d'une ampleur sans précédent vient s'ajouter à la longue liste des cyber-attaques. Quelques jours auparavant, le PDG de Renault, Carlos Ghosn, demandait un audit interne des fonctions de sécurité et du système d'information du groupe automobile français, par ailleurs au centre d'une affaire juridico-médiatique sur fond d'imbroglio d'espionnage industriel et de règlement de comptes. Il est significatif que la direction d'une des plus grandes entreprises françaises se sente obligée d'annoncer par la voix de son PDG, le lancement d'un audit de sécurité.
En France, contrairement aux pays anglo-saxons ou à l'Allemagne, on constate que les grands groupes négligent trop souvent l'importance de la sécurité de l'information. Si elle figure parmi les préoccupations majeures d'un nombre croissant d'entreprises comme l'a montré l'étude 'Global Information Security Survey', publiée par Ernst & Young, il n'en demeure pas moins vrai que les budgets octroyés à la sécurité des systèmes d'information ne sont pas toujours à la hauteur des ambitions. Mettre en place une protection efficace engendre des coûts ! L'ensemble des DSI s'entend pour déclarer unanimement que la sécurité de l'information est un de leurs principaux soucis. Cependant, les ressources humaines et financières consacrées à ce poste, demeurent insuffisantes, faute de budgets ! Où plutôt, faute de considérer cette activité comme primordiale. Autre constatation. En 2008, seules 12 entreprises françaises étaient certifiées ISO 27001, la norme de sécurité IT. La France était à égalité avec l'Islande mais loin derrière le Royaume-Uni qui comptait 400 entreprises certifiées, ou le Japon avec plus de 3 000 entreprises certifiées !
Toutes les organisations sont informatisées et travaillent en réseau. L'ouverture à l'Internet, le partage des données et l'interactivité croissante ont aussi beaucoup contribué à faciliter l'accès aux informations. S'emparer des données confidentielles, personnelles ou stratégiques devient un jeu d'enfant pour certains. Pourtant, en dépit de l'expansion des pratiques liées à Internet, les mesures de sécurité ne sont pas toujours au rendez-vous, voire négligées. Et, ce n'est pas toujours une affaire d'argent. C'est le plus souvent une question de motivation stratégique et de priorité, au plus haut niveau de l'organisation !
Pour lire la suite de cette tribune de Théodore-Michel Vrangos, rendez-vous sur notre Blogs Experts (...)
| < Les 10 documents précédents | Les 10 documents suivants > |