Flux RSS
Données personnelles
643 documents trouvés, affichage des résultats 471 à 480.
| < Les 10 documents précédents | Les 10 documents suivants > |
(21/02/2008 17:50:20)
Société Générale : Jérôme Kerviel aurait envoyé sept faux emails pour justifier ses transactions
Le Mercredi 20 février 2008, en soirée, le Comité spécial du Conseil d'administration de la Société Générale a publié un rapport d'étape de 27 pages sur ses investigations à la suite de la découverte d'une fraude qui aura coûté près de 5 Md€ à la banque. Pour résumer, à la lecture de ce document, c'est à la fois la faiblesse des contrôles métiers de la banque et l'astuce de Jérôme Kerviel qui auraient permis la fraude. Jérôme Kerviel semble avoir démontré une capacité impressionnante à jongler avec les outils financiers de la banque et à manipuler leur logique interne. De même, on note une absence d'initiative des responsables du contrôle à procéder à des examens plus poussés et non explicitement prévus dans les procédures. Une certaine crédulité et le manque de confiance en soi des agents de contrôle ont également pu contribuer à la poursuite des manipulations. Usage de faux emails à sept reprises Par ailleurs, il avait été évoqué par la banque le fait que Jérôme Kerviel aurait usurpé des droits d'accès. Cela ne paraît plus aussi évident. Selon le rapport, l'investigation d'éventuelles usurpations informatiques se poursuit. En effet, « les sept accès indus initialement identifiés par la task force de SGCIB [NDLR : Société Générale Corporate Investment and Banking] n'ont pas in fine été avérés (la task force avait mal interprété les informations recueillies à ce sujet) ». [[page]] En revanche, on note dans les causes de l'absence de détection des actions frauduleuses, l'usage présumé de faux emails forgés à sept reprises par Jérôme Kerviel afin de se justifier. Ces emails apparaissaient comme ayant été émis par d'autres établissements bancaires servant de contre partie. Entre le 12 avril 2007 et le 18 Janvier 2008, sept emails frauduleux ont ainsi été détectés : - en vérifiant qu'ils concernaient des transactions fictives ou à d'autres conditions que celles évoquées dans les emails, - en vérifiant dans l'outil Zantaz (archivage des emails) que Jérôme Kerviel, n'avait reçu aucun message de l'émetteur indiqué ces jours-là, - en identifiant d'éventuelles anomalies dans les emails (signature modifiée par rapport aux autres emails du même émetteur) En outre, la banalisation des erreurs de certains programmes informatiques a pu entraîné une absence de réaction : « [Le département ] RISQ/RDM/EQY attribue l'origine des anomalies à des problèmes récurrents d'enregistrement des opérations dans les systèmes informatiques. Il se contente de notifier le dépassement de limite à Jérôme Kerviel et à sa hiérarchie proche et de s'assurer de sa résorption ». Le comité spécial estime donc que des faiblesses ont été identifiées dans le dispositif de supervision et de contrôle, auxquelles il convient d'apporter sans délai des remèdes. Trois chantiers prioritaires doivent être enclenchés afin de renforcer le dispositif de contrôle en vue de prévenir de nouvelles fraudes : [[page]] - le renforcement de la sécurité informatique, par le développement de solutions d'identification forte (biométrie), l'accélération de projets structurels en cours en matière de gestion de la sécurité des accès ainsi que des audits de sécurité ciblés ; - le renforcement des contrôles et des procédures d'alerte ; celles-ci sont revues notamment pour s'assurer d'une circulation appropriée des informations pertinentes entre les différentes unités et au bon niveau hiérarchique ; - le renforcement de l'organisation et de la gouvernance du dispositif de prévention des risques opérationnels pour en développer la transversalité et mieux prendre en compte le risque de fraude, y compris sous l'angle des ressources humaines. Encore des travaux en cours L'essentiel des travaux a été engagé. Toutefois, un certain nombre d'entre eux n'a pas pu être achevé à ce jour, comme les analyses de la sécurité informatique. Principalement, selon le comité, il leur reste à mener à leur terme les travaux suivants : " (...) l'approfondissement de nos analyses sur les possibilités d'intrusion dans le système front office, l'étude exhaustive des messageries électroniques et des bandes téléphoniques de Jérôme Kerviel et de son entourage professionnel". (...)
(12/02/2008 17:48:24)Le chiffrement peut nuire aux entreprises
Un paradoxe. Selon certains experts en sécurité, le chiffrement de données ouvrirait le système des entreprises à de nouveaux risques et menaces. Ce constat, réalisé notamment par les équipes d'IBM, d'Internet Security Systems et de Juniper, vient à contre-courant d'une tendance actuelle qui consiste d'abord à se prémunir du vol ou de la perte de données, mais également à répondre aux régulations gouvernementales en termes de stockage de données. Pour ces chercheurs, cela procurerait l'effet inverse : au lieu de bâtir un rempart infranchissable, il ouvrirait incidemment en grand la porte à des attaques. « De nombreuses entreprises sont récemment venues au chiffrement, explique Richard Moulds, vice-président stratégie de nCipher à nos confrères de Techworld. Leur seul contact a été avec SSL, mais cela agit uniquement en session [ndlr, et ne concerne pas le chiffrement pour les données stockées mais celles transmises par Internet]. Quand vous passez au chiffrement de données stockées et cryptez votre ordinateur portable, si vous perdez la clé - et crashez vos données-, cela peut être considéré comme un déni de service sur soi-même. » Encore plus étonnante, son analyse consiste à considérer qu'une personne mal attentionnée puisse pénétrer un portable, annuler la clé et ...demander une rançon. Les chercheurs ont soulevé un autre point important : un chiffrement zélé de données freine la diffusion de l'information dans l'entreprise et met ainsi en péril le partage et l'analyse des données sensibles. (...)
(12/02/2008 15:01:20)Alex Türk rassure le Munci à propos de l'offshore
Alex Türk, président de la Cnil et sénateur du Nord, n'a pas tardé à envoyer sa réponse au Munci (association professionnelle française regroupant les membres des professions IT), à la suite du billet enflammé publié par le Munci à propos de la position de la Cnil vis à vis de l'offshore.
L'association a reproché en effet à Alex Türk des propos tenus au Maroc, qui semblaient encourager implicitement l'offshore. Le Munci a envoyé une lettre au président de la Cnil, en lui demandant des explications. La réponse est arrivée deux jours après. Alex Türk trouve les termes employés par le Munci « excessifs et infondés » pour qualifier le terme d'accompagnement qu'il a utilisé dans son discours. Selon lui, « accompagner l'offshore ne signifie pas en promouvoir le développement sur le plan économique. La Cnil n'a d'ailleurs pas de jugement de valeur à formuler concernant cette pratique, mais elle se doit d'informer les entreprises filiales ou sous-traitants des risques juridiques encourus (contrôles, voire sanctions, y compris pénales) si cette pratique s'opère sans respecter les règles de protection des données personnelles ».
Dans un but d'information et de prévention, la Cnil a créé un groupe de travail, présidé par Didier Grasse, commissaire en charge de ces questions et membre de la cour des comptes. Ce groupe devrait auditionner de nombreux professionnels, et proposer des solutions pour inciter les entreprises à une meilleure vigilance dans le respect des règles de protection des données. Alex Türk propose d'ailleurs aux responsables du Munci de les rencontrer, afin qu'ils puissent exposer leur vision de l'offshore.
Prise de conscience des pouvoirs publics
De son côté, le Munci a salué « cette réponse rapide et tout à fait rassurante ». Avec un bémol toutefois. « Nous avons certaines raisons de penser que les pouvoirs publics (nos trois derniers gouvernements notamment) ont souvent une attitude un peu trop favorable à l'offshore » a en effet répondu Régis Granarolo, président du Munci à Alex Türk, dans une lettre datée d'hier.
Le Munci déplore le fait que l'administration française elle-même a de plus en plus souvent recours à l'offshore pour réduire ses coûts, mais se félicite de la prise de conscience des pouvoirs publics à propos du laxisme de certains prestataires offshore en matière de protection des données. Le Munci a par ailleurs accepté l'invitation d'Alex Türk à participer au groupe de travail sur l'offshore.
En savoir plus :
Correspondance entre Alex Türk et le Munci
(08/02/2008 15:15:58)
OpenID en chevalier blanc de la gestion d'identité en ligne
Le rêve de disposer d'une authentification personnelle unique automatiquement reconnue par plusieurs sites vient de faire un pas vers la réalité. Il se pourrait bien que l'initiative libre OpenID soit en passe de fédérer l'ensemble des forces vives du en ligne. L'OpenID foundation vient d'annoncer que Google, IBM, Microsoft, VeriSign et Yahoo avaient rejoint son conseil d'administration. L'association insiste d'emblée sur le fait que ce conseil d'administration ne prend pas de décision d'ordre technique, lesquelles relèvent toujours d'un processus collectif au sein de la communauté. Entre début 2006 -500 sites web adhérents- et aujourd'hui (plus de 10 000 sites), OpenID semble avoir réussi là où les initiatives des acteurs traditionnels avaient échoué. Il est vrai que, Microsoft en tête, ils ne visaient tous qu'une chose : s'approprier le contrôle des identités des internautes. Une excellente nouvelle a double titre : cela laisse à la fois espérer une identification "transparente" des internautes et une moindre menace pour leur identité en raison du modèle décentralisé d'OpenID, créé en 2005. Fin décembre, OpenID annonçait avoir défini une politique de gestion des droits. Un travail réalisé en commun avec le soutien d'AOL, de Microsoft, de VeriSign, de Sun, de Symantec et de Yahoo! Le rêve c'est, désormais, une réussite pour OpenID à la mesure de celle de la fondation Mozilla. (...)
(06/02/2008 09:30:59)Google sécurise les courriels des entreprises
Alors que la version payante des Google Apps n'atteint pas le succès escompté aux Etats-Unis, le moteur de recherche va tenter de conquérir de nouveaux clients en lançant des outils de sécurisation des courriels. Une initiative qui, selon le géant de Moutain View, devrait convaincre les entreprises que ses produits bureautiques sont susceptibles de satisfaire leurs besoins. Les outils de sécurité - issus de la technologie de Postini, racheté l'an dernier pour 625 M$ - ne seront pas réservés aux entreprises qui utilisent Gmail, le service de courriel de Google, ou les autres briques des Google Apps. Ils pourront ainsi se marier avec Lotus Note, Microsoft Exchange ou Novel Groupwise. « Certains clients démontrent un intérêt pour les Google Apps, mais ne veulent pas toutes les utiliser. Ils veulent une approche taillée davantage sur mesure », explique un porte-parole. Le moteur de recherche lancera trois outils conçus pour sécuriser le courrier électronique, d'un filtre antispam à 3 $ par utilisateur et par an, à un logiciel d'archivage faisant également office d'antivirus à 25 $. Développer un modèle économique autour des courriels sans forcer les entreprises à tirer un trait sur leur messagerie favorite est une démarche censée, selon Nucleus Research. « Cela va aider Google à accroître le nombre de ses clients », commente Rebecca Wettermann, vice-présidente de l'institut de recherche. Reste que Google est encore loin d'être solidement installé en environnement professionnel. Parmi les défis à relever pour y parvenir, Nucleus Research fait du développement d'un mode hors ligne parfaitement fonctionnel une priorité, indispensable au succès des applications bureautiques. (...)
(31/01/2008 14:28:30)IBM retient PGP pour crypter les disques de ses 355 000 salariés
C'est décidé, IBM va crypter l'intégralité des données stockées sur les disques durs des machines de ses 355 000 salariés. L'opération va s'étendre sur toute l'année 2008. Jusqu'à aujourd'hui, IBM se limitait à l'utilisation de l'extension Secure Multipurpose Internet Mail pour protéger les courriers qui transitaient par Lotus Notes. IBM explique sa coûteuse décision, dont il refuse de communiquer le montant, par la crainte de "perdre" des informations et la nécessité de se conformer aux règles qui protègent la vie privée. Le groupe annonce qu'il compte imposer le cryptage des données le concernant à ses fournisseurs. On notera qu'IBM a choisi d'utiliser le logiciel PGP (Pretty Good Privacy, qui fut inventé par Philip Zimmerman) plutôt que d'utiliser, par exemple, BitLocker, outil de cryptage des données intégré à Windows Vista. Le 1er novembre dernier, IBM Global Services et PGP Corporation avaient annoncé des offres de services d'IBM fondées sur les logiciels Whole Disk Encryption, NetShare, Desktop Email et PGP Universal Gateway Email de PGP Corp. Cette société est née en 2002 après avoir repris son indépendance vis-à-vis de Network Associates qui l'avait acheté en 1997. Philip Zimmerman ne joue aucun rôle dans la direction de PGP Corp. Il consacre ses talents à la mise au point de procédés de cryptage pour la VoIP comme ZRTP et Zfone, son logiciel d'encryption des télécommunications en VoIP qui fonctionne en pair à pair. (...)
| < Les 10 documents précédents | Les 10 documents suivants > |