Catégorie : cybersécurité

05 Juin 2019

La mosaïque du Cryptage : le nouveau monde diversifié des communications sécurisées

En remontant plusieurs millions d’années en arrière, vous découvrirez un océan de créatures entassées autour de terres verdoyantes et dépourvues de toute activité vertébrale. Puis un poisson est sorti de la mer et a changé notre cours terrestre pour toujours. Mais ce poisson ambitieux avait-il une intention révolutionnaire ? Certainement pas – au lieu de se concentrer sur les besoins plus immédiats de l’alimentation et de nouveaux territoires.

Il en va de même pour les demandes contemporaines de communications numériques sécurisées. Alors que les communications numériques permettent de transcender le monde du courrier papier, rendant l’envoi et la réception d’informations instantanés, elles rendent par inadvertance nos détails personnels les plus précieux plus exposés et plus ouverts. Et comme il n’y a aucun moyen de remonter le temps, les arguments en faveur de la protection par cryptage des informations sensibles se multiplient – et évoluent.

Mais, à mesure que de plus en plus d’industries migrent en ligne, nous commençons à voir que ce nouveau monde numérique n’est pas unique, surtout lorsqu’il s’agit de communications numériques sécurisées. Qu’il s’agisse de différents clients ou de différentes réglementations juridictionnelles les protégeant, une solution de chiffrement doit être aussi flexible que la diversité des organisations qu’elle dessert.

Voici les points clés à considérer pour déterminer les facteurs qui affectent les communications sécurisées, pourquoi les besoins sont si divers et où exactement vous pourriez commencer à placer votre organisation dans la mosaïque du cryptage :

1) Amendes réglementaires avec des dents tranchantes

L’emplacement d’une organisation peut influer sur la mesure dans laquelle on s’attend à ce qu’elle protège ses données. Au Danemark, par exemple, le cryptage est désormais obligatoire pour toutes les communications contenant les données personnelles de citoyens danois relevant de sa juridiction, conformément à sa propre interprétation du règlement général sur la protection des données (RGPD) concernant les pays membres de l’UE. Le non-respect du RGPD et d’autres lois ou organismes de réglementation semblables, comme la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) récemment mise à jour au Canada, par exemple, peut entraîner des amendes dévastatrices et des dommages encore plus dévastateurs à la marque.

Echoworx reconnaît que tous les pays ne protègent pas de la même façon les données personnelles et la vie privée de leurs citoyens. Pour éviter les regards indiscrets de la bureaucratie ou le non-respect des réglementations juridictionnelles, les solutions de cryptage en nuage d’Echoworx sont disponibles sur AWS Cloud dans 13 pays. Nous disposons également de centres de données certifiés SOC2 et ICO aux États-Unis, au Royaume-Uni, en Allemagne, en Irlande, au Mexique et au Canada, garantissant ainsi que toutes les données sensibles restent à proximité de chez nous.

2) Différentes industries – différentes analyses de rentabilisation

Bien que les organisations œuvrant dans le domaine des banques, des services financiers et de l’assurance (BFSI) aient été les premiers grossistes à adopter les communications chiffrées, la technologie s’étend de façon exponentielle à d’autres industries. Selon une étude récente de Ponemon, par exemple, les entreprises manufacturières et de services commencent à pénétrer le marché du chiffrement, qui représente respectivement 12 % et 11 % du marché.

De plus, au fur et à mesure que de nouvelles industries commencent à mettre en œuvre des communications sécurisées chiffrées, la demande pour une solution de chiffrement flexible pour s’adapter à différents cas d’utilisation commerciale augmente également. Chez Echoworx, par exemple, nous offrons une solution de chiffrement évolutive basée sur le Cloud avec de multiples méthodes de livraison sécurisées et conviviales pour s’adapter à tout processus d’affaires.

En savoir plus sur les différentes façons dont vous pouvez envoyer des informations sécurisées avec Echoworx.

3) Les utilisateurs changent

Des services bancaires mobiles à la Génération Z, la façon dont les utilisateurs envoient des informations et ce qu’ils sont prêts à envoyer change rapidement et en un clin d’œil. Aujourd’hui, les utilisateurs maîtrisent la technologie et sont prompts à fournir des détails personnels, mais ils sont encore plus prompts à passer à autre chose si une organisation manipule mal leurs données. Ils exigent une communication instantanée et une expérience utilisateur simplifiée avec les organisations avec lesquelles ils travaillent. Pour éviter de faire comme les drones, vous devez aller plus loin pour vous assurer qu’ils viennent en premier – tout en vous assurant que leurs données personnelles sensibles sont protégées.

Avec Echoworx, vous pouvez personnaliser chaque aspect de votre expérience de chiffrement pour faire passer vos clients en premier – de la façon dont ils accèdent à un message sécurisé à quelque chose d’aussi simple que la possibilité de créer une marque. De plus, pour éviter toute situation négative affectant l’expérience de l’utilisateur, Echoworx offre des services en 22 langues pour tous nos modes de livraison flexibles, garantissant ainsi que rien ne sera perdu dans la traduction.

Explorez ces différentes méthodes de livraison ici.

4) Le cryptage n’est plus seulement un problème informatique

Qu’il s’agisse d’atteintes à la protection des données qui font la une des journaux ou de quelque chose d’aussi simple que l’expérience client, le chiffrement n’est plus un problème informatique en coulisse, c’est une question commerciale. Mais la mise en œuvre d’un programme de chiffrement n’est pas aussi simple que l’adoption d’une solution et le basculement d’un commutateur. Il doit y avoir un changement de culture interne universel dans la plupart des organisations. Par exemple, selon les données d’Echoworx, alors que 50 % des PDG s’inquiètent le plus des effets préjudiciables possibles sur l’expérience des utilisateurs lorsqu’ils adoptent une solution de sécurité, 88 % des professionnels des TIC considèrent le chiffrement comme coûteux, difficile et une contrainte à la productivité des entreprises.

Echoworx travaille avec les entreprises pour s’assurer que les solutions de cryptage sont aussi peu intrusives et aussi simples que possible – du déploiement à l’utilisateur final. En notre qualité de fournisseur de services de chiffrement tiers, nous soutenons nos clients, réduisant ainsi le fardeau supplémentaire des demandes d’aide des utilisateurs et, avec près de deux décennies d’expérience sur le marché du chiffrement, nous pouvons nous adapter à toute analyse de rentabilisation.

En savoir plus sur le travail avec Echoworx.

Par Nicholas Sawarna, Sr. Spécialiste du marketing de contenu, Echoworx

 

Sources:

  • Étude Ponemon sur les tendances mondiales en matière de cryptage  – April 2018
03 Mai 2019
how to make a business case for encryption

Comment faire une analyse de rentabilisation pour le cryptage

Plus de 290 milliards de courriels sont envoyés chaque jour à travers le monde. Dans les entreprises, la communication numérique constitue un avantage concurrentiel par rapport au courrier traditionnel parce qu’elle est plus rapide, moins coûteuse et plus facile à déployer. Toutefois, les économies de coûts peuvent disparaître dès qu’une organisation subit une atteinte à la protection des données ou à la vie privée, ce qui n’est que trop courant. En 2018, 4,8 milliards de dossiers ont été volés lors des atteintes, soit plus de 9 000 par minute, et moins de trois pour cent de ces dossiers ont été cryptés.

Aujourd’hui, nous passerons rapidement en revue deux raisons pour lesquelles le cryptage des courriels est essentiel pour une entreprise, et vos attentes chez un fournisseur de cryptage au cas où votre entreprise souhaite minimiser les risques et les coûts associés à la protection du courriel.

Pourquoi le cryptage des courriels est essentiel en affaires : le coût élevé de la perte de confiance

Si votre entreprise recueille, gère et distribue des renseignements personnels, il est essentiel de déployer un cryptage convivial pour la sécurité de ces données en circulation dans le courriel. Certes, c’est une bonne chose à faire, mais c’est également ce que les clients veulent et attendent. À titre d’exemple, 87 pour cent des PDG investissent dans le cyber sécurité spécifiquement pour le renforcement de la confiance des clients, car une fois que vous perdez la confiance, vous perdez le client. Lorsque la confiance et la satisfaction des clients sont liées à la sécurité des données, il est facile de voir comment le cryptage des courriels ne figure plus dans la catégorie des choses agréables à avoir. C’est désormais essentiel.

Pourquoi le cryptage des courriels est essentiel en affaires : conformité et évitement des amendes

 La mise en œuvre d’une solution de cryptage vous aide également à faire en sorte que le gouvernement reste maître de la situation en vertu de la loi.

Si votre organisation ne procède pas à la protection des données contre l’interception en cours de route, les amendes peuvent devenir importantes. À titre d’exemple, un an seulement après le lancement du Règlement général sur la protection des données (RGPD) dans l’UE, nous constatons déjà des amendes massives – à l’instar de l’amende de 50 millions d’euros que Google a été condamné à payer début 2018 pour violation du RGPD.

Au Canada, en vertu de la nouvelle Loi sur la protection des renseignements personnels et des documents électroniques (LPRPDE), il est désormais obligatoire de signaler les atteintes à la protection des données, et des amendes pour non-conformité peuvent atteindre 100 000 $.

Compte tenu de l’expansion de la législation sur la protection de la vie privée, la Californie, New York, et même le Qatar, entre autres, ont créé leurs propres lignes directrices – les organisations ne peuvent plus se permettre d’ignorer le cryptage du courriel pour des données privées. La législation sur la protection de la vie privée a désormais du mordant et les amendes sont élevées.

Il ne fait aucun doute que s’occuper de vos affaires est synonyme du cryptage. La prochaine chose à faire, c’est de travailler avec un fournisseur de cryptage qui comprend vos besoins et qui y apporte des solutions efficaces.

Trouver un fournisseur de cryptage qui fonctionne pour vous

Selon un récent rapport Gartner, les dépenses globales en sécurité de l’information devraient dépasser 124 milliards de dollars en 2019. Ce qui signifie que votre entreprise a beaucoup de choix en matière de solutions de cryptage. Bien que ce choix soit bon, il peut également conduire à des décisions écrasantes et mauvaises. À titre d’exemple, si une organisation met en place une solution de cryptage, mais qu’elle n’est pas largement utilisée, cela peut signifier qu’elle n’a pas choisi un fournisseur de cryptage pouvant répondre à ses besoins et l’accompagner dans ce processus. Nous ne voulons pas que cela vous arrive, c’est la raison pour laquelle nous avons dressé une liste de choses à rechercher chez un fournisseur de cryptage de courriel.

Sept choses à rechercher chez un fournisseur de cryptage d’entreprise :

  1. Expérience éprouvée – Veuillez-vous renseigner depuis combien de temps le fournisseur travaille dans le domaine du cryptage. Chez Echoworx, par exemple, nous comprenons les risques de la gestion du courriel parce que nous fournissons des solutions de cryptage depuis près de deux décennies.
  2. Des solutions qui vont au-delà du cryptage prêt à l’emploi – Bien que le cryptage prêt à l’emploi soit mieux que le cryptage zéro, soyez à la recherche d’un fournisseur pouvant vous prodiguer des conseils sur des solutions adaptées à vos besoins. De nombreuses entreprises ont besoin d’options de livraison flexibles et de cryptage basé sur des règles qui sortent des sentiers battus.
  3. Des solutions Cloud réduisant les frais généraux – L’envoi des messages cryptés coûte simplement plus coûteux lorsque vous exécutez une solution existante de cryptage. Les coûts comprennent le matériel et les serveurs physiques sur site ainsi que le personnel chargé de les faire fonctionner. Soyez à la recherche d’un fournisseur de cryptage tiers qui vous permettra de téléchargez vos communications sécurisées sur le cloud, prendre en charge les requêtes, avoir accès à des experts en cryptage, faire des économies, et réduire les coûts de vos ressources informatiques.
  4. Centres de données existant dans le monde – Les centres de données à travers le monde permettent aux utilisateurs de déployer des communications au sein de leur juridiction, et dans le respect de la conformité réglementaire. À ce titre, chez Echoworx, nous avons des centres de données dans six pays à savoir : l’Allemagne,l’ Irlande, le Royaume-Uni, le Canada, le Mexique et les États-Unis. Cela nous permet de réduire les coûts, de maintenir la conformité et de réduire le temps de déploiement.
  5. Gestion de la réputation – Chaque fois qu’une information sensible quitte le périmètre numérique d’une organisation, elle met la réputation de cette entreprise en danger. Un fournisseur de services de cryptage devrait être en mesure de comprendre ce risque et d’offrir des solutions telles que l’alignement complet de la marque sur plusieurs langues afin d’assurer une expérience utilisateur transparente.
  6. Des systèmes qui prennent en charge la mise à l’échelle dynamique – Votre fournisseur solution de cryptage à échelle dynamique peut-elle s’adapter sans délai à la demande croissante de courriels fluctuant d’un jour à l’autre ou même d’une heure à l’autre ? Votre système est-il disponible dans le Cloud AWS dans 13 pays ?
  7. Partenaires approuvés pour la paix de l’esprit – Faites-vous confiance à votre fournisseur pour le traitement de vos données en toute sécurité et de manière responsable ? Chez Echoworx, nous soumettons nos activités à des audits réguliers. Nous en sommes très fiers : Certification SOC2, Certification Web Trust, Membre de la Certification de Racine de Microsoft et Membre de la Certification de Racine de Apple.

Une dernière chose à rechercher chez un fournisseur de cryptage : un historique de retour sur investissement (ROI) positif.

À titre d’exemple, une étude récente de Forrester Total Economic Impact™ a révélé qu’une entreprise utilisant la plate-forme de cryptage OneWorld d’Echoworx peut s’attendre à un retour sur investissement de 155 pour cent, avec des bénéfices pouvant atteindre 2,7 millions de dollars en termes de réduction des coûts. Cette même étude a montré que l’utilisation des options de support en libre-service de OneWorld – à l’instar de la réinitialisation automatique des mots de passe – augmente la productivité des centres d’appels, élimine le besoin de frais généraux supplémentaires et permet aux entreprises de faire des économies de presque 320 000 $ sur trois ans.

Obtenez dès maintenant l’étude complète de Forrester Total Economic Impact™ sur OneWorld.

Comme vous pouvez le constater, le coût des communications par courriel non cryptées est élevé et le risque est trop grand. N’est-il pas temps que vous trouviez un fournisseur de cryptage de confiance qui puisse répondre aux besoins de votre entreprise et de vos clients ?

Par: Beverly Barrett, directrice, gestion des canaux, Echoworx

sources:

24 Avr 2019
Five ways to minimize the risk of insider threats

Cybermenaces internes ? Plus près de chez vous que vous ne le pensez !

Pour les entreprises, il ne suffit plus de protéger les données et les systèmes contre les agents externes nuisibles. Les organisations doivent également mettre en place des mesures défensives pour se protéger contre ce qui se passe beaucoup plus près de chez elles : les menaces internes.

Les cyberattaques internes surviennent par inadvertance ou intentionnellement. Nous voulons partager les quatre types de menaces internes et certaines mesures défensives qui aident les organisations à réduire le risque de ces menaces.

Deux types d’attaques accidentelles internes

Au lieu de sauter dans un environnement de confiance zéro qui est si restrictif qu’il entrave la productivité et l’expérience utilisateur, rappelez-vous que la plupart de vos employés et partenaires de confiance n’ont pas d’intention malveillante. Les attaques internes par inadvertance ou involontaires se produisent parce que l’interne est inconscient ou négligent.

Une attaque inconsciente est une attaque lorsqu’une personne ayant accès aux informations de l’entreprise est compromise par un agent extérieur mais ne s’en rend pas compte. Cela peut se produire lorsqu’une personne laisse un appareil de l’entreprise sans surveillance ou utilise le Wi-Fi non crypté sur un appareil de l’entreprise.

Une attaque par négligence se produit lorsqu’une personne contourne un protocole de sécurité, souvent pour accélérer un processus de travail ou en raison d’un manque de connaissance du protocole de sécurité. Lorsque les employés n’ont pas reçu une formation adéquate en matière de sécurité, ils sont plus vulnérables à l’hameçonnage et aux tentatives d’hameçonnage par harpon.

Deux types d’attaques intentionnelles internes

Les deux principaux types d’attaques internes intentionnelles proviennent d’agresseurs malveillants et professionnels.

Une attaque malveillante vient d’un interne qui devient mécontent et se met en colère pour se venger de la compagnie pour une offense réelle ou imaginaire. Il peut s’agir de voler des données ou de saboter un réseau ou un système de l’entreprise.

Une attaque professionnelle vient d’un interne qui est un voleur de carrière. Il s’agit d’exploiter les vulnérabilités du système à des fins lucratives.

Attaques extérieures par l’intérieur

Bien que les attaques brutales restent une menace courante aux portes de tout pare-feu, il existe également des moyens pour les acteurs malveillants d’attaquer votre entreprise par l’intérieur. Appelé attaques d’ingénierie sociale, un pirate informatique peut usurper l’identité d’une personne au sein d’une organisation par le biais d’informations d’identification volées, d’informations volées ou d’attaques de la chaîne logistique. Une unité de climatisation intelligente, par exemple, pourrait être connectée à un réseau de l’organisation, créant ainsi une vulnérabilité de porte dérobée qui contourne les défenses de première ligne.

Cinq façons de minimiser le risque de menaces internes

Avec tous ces renards dans le poulailler, les organisations sont avisées d’adopter une approche défensive face aux menaces internes.

  1. Obtenez l’appui du conseil d’administration – Même en 2019, il est courant pour les conseils d’administration de ne pas poser de questions sur la cybersécurité ou de ne pas comprendre ce qu’est la cybersécurité. Rafael Narezzi, un éminent stratège en cybersécurité, suggère que tous les membres du conseil d’administration doivent  » comprendre ce qu’est la cybersécurité « . Pas dans des discussions techniques approfondies, mais les conséquences pour l’entreprise si elles n’agissent pas. » Lorsque le Conseil et l’équipe de la haute direction comprendront le coût et les conséquences des cybermenaces, les initiatives de cybersécurité bénéficieront d’un soutien accru.Ce manque d’attention est plus fréquent que vous ne le pensez probablement. La Global Economic Crime and Fraud Survey 2018 de PwC a révélé que moins de la moitié des organisations interrogées avaient effectué une évaluation des risques de cybercriminalité. Et ce, malgré le fait que la cybercriminalité soit l’une des trois fraudes les plus signalées !

 

  1. Utilisez une solution de chiffrement efficace et conviviale – Il est impératif que les données organisationnelles soient sécurisées parce qu’un grand nombre d’internes y ont accès et que l’envoi d’informations sensibles aux clients, fournisseurs et partenaires fait partie intégrante des activités commerciales.Les caractéristiques à rechercher dans une solution de chiffrement au niveau de l’entreprise incluent :

    – Politiques de cryptage automatique qui appliquent le cryptage dans des circonstances définies (par exemple lorsque certaines informations ou mots-clés apparaissent dans un e-mail).

    – Plusieurs méthodes de livraison flexibles pour différents types de communications cryptées sécurisées qui permettent à l’expéditeur de contrôler la façon dont un message est envoyé et d’inclure ou non des caractéristiques comme une limite de temps.

    – Expérience utilisateur facile et sans faille pour les employés et les clients.

    Avec une expérience utilisateur sans faille – par exemple, avec la plate-forme de chiffrement Echoworx One World – les employés sont moins susceptibles de contourner les protocoles de sécurité parce qu’ils sont intégrés aux flux de travail réguliers et ne font pas de la sécurité un fardeau pour les expéditeurs ou destinataires.

    En plus de réduire les risques de menaces internes, l’adoption d’une solution de chiffrement souple et sans faille présente des avantages financiers. Une étude récente de Forrester Total Economic Impact™, par exemple, a révélé qu’une entreprise typique peut bénéficier de 2,7 millions de dollars d’avantages en termes de réduction des coûts en utilisant notre solution de chiffrement flexible OneWorld.  Obtenez dès maintenant l’étude complète de Forrester Total Economic Impact™ sur OneWorld.

  2. Sensibiliser le personnel à la cybersécurité – Même si les employés savent pourquoi ils ne devraient pas ouvrir les pièces jointes et cliquer sur les liens d’e-mails étranges ou utiliser « p@ssw0rd » comme mot de passe, ils sont toujours vulnérables aux attaques car la cybercriminalité est de plus en plus sophistiquée. Pour changer cela, assurez-vous que tous les employés suivent une formation régulière et efficace sur la cybersécurité qui les aide à comprendre pourquoi c’est important, comment mettre en œuvre des mesures de sécurité au travail et comment repérer les arnaques sophistiquées d’hameçonnage et de harpon.La formation peut inclure des tests et des astuces. Une bonne astuce consiste à envoyer une fausse tentative d’hameçonnage au personnel pour renforcer les leçons du monde réel tirées de la formation sur la cybersécurité.
  3. Intégrer la sécurité dans tous les produits et processus dès le début – Former les équipes de développeurs à créer des produits sécurisés dès leur conception. Frédéric Virmont, expert de l’industrie de la cybersécurité, déclare :  » La sécurité est comme la qualité, elle doit être du début à la fin du cycle de vie. Pour les développeurs, nous avons maintenant des outils où ils peuvent coder et vérifier la sécurité en cours de route. Si vous attendez la fin du produit, il est trop tard. Une fois la maison construite, il est trop tard pour ajouter des sorties de secours. »Cette idée inclut l’architecture des permissions. Une conception non sécurisée permet à tous les utilisateurs d’accéder à plus de données que nécessaire. Pour être soucieux de la sécurité, créez une architecture de permissions qui donne accès en fonction des besoins et des rôles. Par exemple, le directeur du marketing n’aurait pas les mêmes permissions que les agents du service à la clientèle.
  4. Faire de la cybersécurité la voie de la moindre résistance pour tous les utilisateurs – Que cela vous plaise ou non, nous faisons ce qui est simple. Pour les organisations, cela signifie que des protocoles de sécurité des données trop complexes entravent leur adoption. Comme les méthodes de cybersécurité ne fonctionnent que lorsque le personnel et les clients les utilisent, l’expérience de l’utilisateur doit toujours être prise en compte et hiérarchisée.Pour en revenir à l’exemple du chiffrement ci-dessus, nous avons constaté que beaucoup d’utilisateurs internes hésitent à envoyer des courriels chiffrés parce qu’ils ne savent pas comment les chiffrer ou n’aiment pas l’aspect spammeur de leur destinataire. Il s’agit là de deux barrières inutiles qui entravent la sécurité sans faille et préparent parfaitement le terrain pour des attaques internes par négligence.

Les menaces internes sont réelles et un récent rapport de PwC aux États-Unis a révélé que 32 pour cent des personnes interrogées considèrent les menaces internes plus coûteuses et plus dommageables que les incidents externes.

En adoptant une approche de sécurité qui implique une solution de chiffrement sans faille, la sécurité par la conception (et la voie de la moindre résistance) et la formation efficace du personnel et du conseil d’administration, votre organisation peut minimiser les risques associés aux attaques malveillantes et non intentionnelles de l’intérieur.

C’est pourquoi, chez Echoworx, le cryptage est tout ce que nous faisons. Notre plate-forme de chiffrement OneWorld est une extension naturelle pour la plupart des systèmes existants et offre une large gamme de méthodes de chiffrement flexibles, adaptables et fiables pour une utilisation au niveau des entreprises. Pour en savoir plus sur  Le ROI de Echoworx OneWorld encryption ici.

Par: Brian Au, spécialiste en informatique, Echoworx

22 Fév 2019
cyber security your competitive advantage

Est-ce que la cybersécurité peut représenter un avantage concurrentiel ?

Autrefois, avant que les entreprises ne soient obsédées par les clients et n’organisent des événements de leadership hors site pour approfondir leur proposition de valeur, la sécurité informatique était simple. Il y avait le DSI et quelques préposés de la salle des serveurs climatisée qui étaient invisibles aux yeux des non-informaticiens. À l’époque, la cybersécurité fonctionnait dans l’ombre et fonctionnait très bien… jusqu’à ce qu’elle ne le fasse plus.

Aujourd’hui, alors que la cybersécurité est à l’avant-plan des préoccupations de la haute direction, des conseils d’administration, des clients et des partenaires. Toutes ces parties prenantes peuvent vous dire ce qui fait la renommée de Target : une atteinte à la protection des données d’un client qui a coûté à l’entreprise plus de 200 millions de dollars à résoudre.

Et dans un paysage commercial de plus en plus concurrentiel, les entreprises avant-gardistes intègrent la sécurité de l’information dans leurs processus d’affaires afin d’éviter de devenir la prochaine mise en garde aux nouvelles de 18 heures.

Assez pour que les entreprises se mettent à pleurer (WannaCry) : l’évolution des menaces en matière de cybersécurité

 

Les menaces en constante évolution auxquelles sont confrontées les entreprises en termes de cybersécurité comprennent les brèches et attaques malveillantes, les atteintes accidentelles déclenchées par des employés bien intentionnés et par une surveillance gouvernementale connue. Ironiquement, comme les entreprises tirent profit des réseaux d’infrastructure connectés (pensez aux progrès de la gestion de la chaîne d’approvisionnement, par exemple), cette connectivité augmente également le risque de menaces pour la sécurité, car les attaques peuvent se propager si rapidement sur les réseaux connectés.

Les DSI et les responsables de la sécurité ne sont plus seuls à la table des négociations à préconiser de meilleures mesures de protection de la vie privée et de sécurité des données, mais des améliorations sont encore possibles. Le rapport sur l’état de la sécurité de l’information dans le monde de 2018 (2018 Global State of Information Security Survey) a révélé que seulement 40 % des membres de conseils d’administration participent à la stratégie de sécurité de leurs entreprises.

Mais la plus importante de toutes les menaces est peut-être l’idée persistante que la cybersécurité est un problème informatique. Ce n’est pas un problème informatique. C’est un problème lié aux affaires. Malheureusement, la plupart des chefs d’entreprise ne comprennent pas les tenants et aboutissants de la sécurité des données et des menaces numériques qui peuvent rendre plus difficile la résolution de ce problème.

Les spécialistes de la sécurité peuvent obtenir plus d’influence au niveau du leadership et du conseil d’administration en présentant la cybersécurité comme un avantage concurrentiel. Il ne s’agit pas d’affiner les faits, si l’on considère que 88 % des entreprises interrogées dans le cadre de l’Enquête EY 2015 Global Information Security Survey estiment que leur sécurité informatique est insuffisante.  88 % !

Quatre façons dont les investissements dans la cybersécurité aident les entreprises à acquérir un avantage concurrentiel :

 

  1. Réduis les risques associés à la conformité et les amendes – Les dispositions légales telles que la GDPR, la HIPAA et la LPRPDE ont une incidence sur la façon dont les entreprises mènent leurs activités et les amendes peuvent être considérables. Saviez-vous que les violations du GDPR peuvent coûter jusqu’à 20 millions de dollars ou 4 % du chiffre d’affaires annuel (le plus élevé des deux montants étant retenu) ? Étant donné que les citoyens de l’UE sont couverts par le GDPR même lorsqu’ils sont en dehors de l’UE, les entreprises internationales peuvent rester en conformité en utilisant des mesures de cryptage proactives basées sur des politiques qui appliquent automatiquement une protection aux groupes prédéterminés de consommateurs (par exemple, les citoyens européens).
  2. Réduction des coûts inutiles – Le coût moyen d’une seule atteinte à la protection des données est de 3,6 millions de dollars américains. Mais la brèche chez Target a coûté 55 fois plus que ce montant, c’est pourquoi une stratégie de cybersécurité qui protège contre tous ces inconvénients est si précieuse. Par exemple, investir dans une plateforme de cryptage flexible signifie que le cryptage peut être automatisé pour s’adapter à n’importe quelle situation commerciale et garder les données en sécurité – sans aucun désagrément.
  3. Protège l’image de marque de la société – Le fait de laisser involontairement des organisations malveillantes ou des pirates informatiques accéder aux informations personnelles de vos clients est un moyen rapide de réduire ou de détruire leur confiance placée en vous. Imaginez combien de temps il faudra à Equifax pour regagner la confiance de 147 millions d’Américains après la brèche de 2017. Investir dans des mesures proactives de cybersécurité, comme le cryptage, vous aide à protéger cette relation fragile que représente la réalité de la confiance dans le numérique.
  4. Fournis une solution avantageuse pour vos clients – Vos clients peuvent ne pas être en mesure de suivre l’évolution constante du monde de la cybersécurité, mais ils s’attendent à ce que la protection soit un élément intégré quand ils font des affaires avec vous. Les mesures proactives de cybersécurité rendent la conduite des affaires en ligne plus sûre et plus fiable, ce qui permet aux clients de gagner du temps, de simplifier leurs expériences utilisateur et leur apporte une réelle valeur ajoutée.

Conseil rapide : Facilitez l’utilisation de votre avantage concurrentiel

Un programme de sécurité de l’information comprend probablement plusieurs lignes de défense, dont le cryptage, l’autorisation et les mesures d’intégrité des données, mais ces systèmes et processus ne fonctionnent que si les personnes les utilisent. Nous vous encourageons à mettre en œuvre des systèmes et des processus de cybersécurité qui sont simples à utiliser pour les employés et les clients. Parce que même lorsque la cybersécurité est une priorité, la plupart des employés et des clients ne rencontreront pas d’inconvénients pour des raisons de sécurité.

 Par : Alex Loo, Vice-président des opérations, Echoworx

 —–

[1] https://www.nbcnews.com/business/business-news/target-settles-2013-hacked-customer-data-breach-18-5-million-n764031

[2] https://www.pwc.com/us/en/cybersecurity/assets/pwc-2018-gsiss-strengthening-digital-society-against-cyber-shocks.pdf

[3] https://www.ey.com/en_gl/digital/cybercrime_challenges21stcentury

[4] https://www.echoworx.com/wp-content/uploads/2018/05/echoworx_web-infographic_encryption-in-gdpr.pdf?pdf=encryption-in-gdpr-InfoGraph

[5] https://www.ey.com/en_gl/advisory/global-information-security-survey-2018-2019

28 Déc 2018

Nouvelle année ? Nouveaux défis en matière de sécurité de l’information !

Tandis que nous nous dirigeons vers la nouvelle année, nous repensons aux épreuves, aux tribulations et aux défis auxquels nous avons été confrontés au cours de l’année écoulée – avant de présenter des solutions spécifiques à ces problèmes. Dans le monde de la sécurité de l’information, ces améliorations se situent généralement dans le domaine de l’identification des menaces, de la prévention des problèmes de cybersécurité et de la maîtrise des technologies les plus récentes et les plus avancées en matière de protection des données.

Et quelle année bien remplie cela a été ! Qu’il s’agisse de l’adoption d’une nouvelle loi sur la protection de la vie privée, comme la GDPR ou l’AB 375 de la Californie, ou de nouvelles lois qui menacent la vie privée, comme les nouvelles lois australiennes en matière de cryptage, qui demandent un accès par des portes dérobées aux données, ce fut tout un défi pour nous tous. Nous avons également été témoins d’atteintes à la protection des données et de cas de ransomware qui ont mis à genoux même les grands conglomérats d’entreprises, comme Marriot.

Alors, que faut-il faire en 2019 ?

La triste réalité du monde de la sécurité de l’information est que de nouvelles menaces, de nouvelles arnaques et de nouveaux acteurs malveillants suscitant des inquiétudes semblent faire leur apparition tous les jours. Rester toujours au sommet de cette évolution constante de l’information est suffisant pour rendre quelqu’un fou. Et les conséquences de se laisser distancer peuvent être désastreuses pour votre entreprise, votre réputation et, finalement, vos clients.

L’année dernière, Slava Ivanov, notre éminent ingénieur logiciel chez Echoworx, s’est donné pour mission de rassembler et de regrouper les derniers trucs et astuces en matière de cybersécurité dans un condensé de définitions pour la série d’introduction (101). Qu’il s’agisse de sujets plus légers, comme la nouvelle technologie japonaise utilisant « l’authentification postérieure », qui donne accès à un système ou à une machine via les « empreintes de fesses », ou des aspects plus sérieux sur la sécurité de l’information, comme le « Spear phishing » (harponnage), ou sur les questions de protection de données, comme le cryptage Blowfish, Slava a développé une liste terminologique très pratique qui peut servir de point de départ pour les personnes souhaitant faire des recherches sur un terme.

Donc, avant de finaliser vos résolutions du Nouvel An, cette année, jetez un coup d’œil à l’Introduction à la sécurité informatique (Information Security 101) de Slava pour voir s’il y a quelque chose que vous avez raté en 2018.

Cliquez ici pour consulter les principaux termes et définitions de l’année dernière concernant la sécurité de l’information.

Par Nicholas Sawarna, Sr. Spécialiste en Content Marketing, chez Echoworx

18 Déc 2018
Australia demands encryption backdoors

Préoccupations en Australie : les nouvelles portes dérobées de données controversées de l’Australie

De sérieuses menaces à notre droit à la vie privée sont faites en Australie – une nation traditionnellement connue pour son dévouement aux valeurs démocratiques du Commonwealth. En décembre 2018, l’Australie s’est dotée de nouvelles législatures qui permettent aux services de renseignement et de répression de l’État d’exiger l’accès aux données sensibles cryptées des entreprises ciblées.

Alors que d’autres gouvernements amis prennent note de cette nouvelle évolution, cette législature pourrait marquer le début d’une période difficile pour la protection de la vie privée numérique et la façon dont nous stockons et partageons les informations sensibles.

Mais d’abord, un peu plus de renseignements sur le contexte :

Depuis leur création, les membres de ce qu’on appelle les « Five Eyes », un groupe collectif d’organismes de renseignement et d’application de la loi provenant du Royaume-Uni, des États-Unis, du Canada, de la Nouvelle-Zélande et de l’Australie, militent depuis des années pour un meilleur accès à leurs citoyens. L’accès aux données privées des citoyens représentait une occasion unique non seulement de garder un œil sur ceux d’entre nous qui avaient des intentions malveillantes, mais aussi une autre occasion de contrôler et de gérer leur population.

Dans un passé récent, cela s’est manifesté par des moyens numériques – de la législature, comme la PATRIOT Act du gouvernement américain ou la plus récente Investigatory Powers Act du Royaume-Uni, à l’utilisation d’euphémismes dangereux, comme « Cryptage responsable ». Les données numériques sensibles sont un trésor pour les Five Eyes et ils sont en pleine effervescence depuis des années à l’idée d’y entrer.

Les portes dérobées restent des portes

En termes simples, la nouvelle loi sur la protection de la vie privée adoptée par le Parlement australien exige que les prestataires de services numériques tiers créent des portes dérobées par lesquelles les institutions publiques peuvent accéder aux informations cryptées de bout en bout quand on leur en demande. Bien qu’ils puissent présenter ces demandes officiellement à une entité, il convient de noter qu’ils ont maintenant le pouvoir d’exiger que les personnes des entreprises cibles, de Sally la PDG à Bill du service informatique, fournissent sur demande cet accès par des portes dérobées.

Et ces exigences ont beaucoup de mordant.

Si une organisation refuse une demande émanant d’un organisme gouvernemental australien, comme un organisme d’application de la loi, elle risque des millions de dollars d’amendes. Les personnes qui ne se conforment pas à la loi sont passibles d’une peine d’emprisonnement.

Ça a l’air effrayant ?

C’est encore plus grave.

Il y a un impact global de ces nouvelles législations sur la vie privée

En tant que membre des Five Eyes, l’Australie est un acteur majeur de la scène mondiale du renseignement. Non seulement ce pays et son assemblée législative aident à établir une partie considérable de ce qui est acceptable pour les agences gouvernementales de renseignement – mais ils ont aussi créé un dangereux précédent qui pourrait se propager à d’autres membres du collectif Five Eyes.

Le danger de se précipiter dans une urgence sans réfléchir.

Une des répercussions involontaires de la création de ces portes dérobées réside dans les nouvelles vulnérabilités potentielles qu’elles posent aux organismes gouvernementaux australiens qui les ont réclamées. Bien qu’ils prétendent avoir résolu d’importants problèmes de sécurité nationale grâce à leur nouvelle capacité d’espionner leurs propres citoyens, le gouvernement australien a paradoxalement introduit des failles dangereuses dans leurs propres systèmes qui peuvent être exploitées par des individus malveillants.

Que peut-on faire ?

Chez Echoworx, et dans toute la communauté de la cybersécurité, nous croyons fermement à la protection des données cryptées. Sans la capacité d’envoyer et de recevoir des données confidentielles par le biais de plateformes numériques, la vie privée de tout le monde est en danger et le pire, c’est que nous pourrions ouvrir les portes aux criminels que nous essayons d’arrêter.

Par Derek Christiansen, responsable de l’engagement, Echoworx

25 Oct 2018
Moving PGP to the cloud

VOUS MIGREZ VOTRE PGP VERS LE CLOUD ? VOICI CE QUE VOUS DEVEZ SAVOIR

Est-ce que le cryptage PGP est un élément dans votre stratégie de messagerie sécurisée ? Est-ce que vous hébergez actuellement ce système sur place ? Avez-vous déjà pensé à déplacer le cryptage de vos e-mails PGP vers le cloud ? Cela peut sembler fastidieux, mais, avec les outils et les services appropriés, le passage vers le cloud est un investissement à considérer pour vous et vos clients.

Un système PGP installé sur site est gourmand au niveau de la consommation de ressources et nécessite l’installation de logiciels sur votre poste de travail et vos serveurs. La charge de travail de votre service informatique peut être considérable – la migration vers le cloud peut considérablement soulager votre personnel.

Voici quelques points à considérer si vous songez à déménager :

Le cryptage des courriels ne doit pas seulement se limiter à un système acceptable.

Nous avons la responsabilité de protéger les messages sensibles que nous envoyons, et nous devons le faire d’une manière qui n’entrave pas nos activités.

Une solution efficace de cryptage de courriels dispose de cinq qualités principales :

  • Il est simple à mettre en œuvre
  • Il peut s’adapter à des demandes croissantes et à des augmentations imprévues des volumes de courriels.
  • Il est doté de nombreuses fonctionnalités, basé sur des normes et à jour, et supporte les technologies de cryptage les plus utilisées actuellement.
  • Il est conforme aux réglementations en vigueur, de sorte que les messages envoyés par l’UE, par exemple, ne sont pas stockés ou envoyés aux États-Unis ou dans d’autres pays qui pourraient compromettre le respect des règles du GDPR.
  • Il est opéré de façon sécurisée par un prestataire de confiance, soucieux de la sécurité.

Les systèmes en place ne devraient pas vous empêcher de migrer vers le cloud

La migration d’un système PGP installé sur place vers le cloud n’est pas seulement possible, ces systèmes existants peuvent également être migrés sans interruption, ce qui est un  aspect professionnel essentiel à considérer si votre entreprise envoie quotidiennement un grand nombre de messages sécurisés. Et vous avez accès à des méthodes de transmission sécurisées additionnelles, comme la possibilité d’envoyer des messages via un portail Web, et à des fonctions supplémentaires, comme la possibilité de personnaliser des messages avec un cryptage personnalisé pour la marque.

Gestion des clés de façon automatisée.

Selon la 13e étude sur le cryptage commanditée par Thales à l’Institut Ponemon, la gestion des clés demeure un problème majeur pour 57 % des entreprises. Et bon nombre de ces établissements indiquent qu’ils continuent de gérer manuellement leurs processus clés. Ce n’est pas une nouvelle statistique. En fait, la gestion des clés est demeurée un problème récurrent d’une année à l’autre ! La migration vers le cloud vous permet de simplifier votre processus de gestion des clés– et de l’automatiser.

Pourquoi utiliser la sécurité en tant que service ?

Dans le contexte actuel, les entreprises doivent s’adapter rapidement à l’évolution constante de la demande. Les menaces en matière de sécurité évoluent en permanence et la technologie continue de se métamorphoser de façon fulgurante. De nouveaux développements tels que les technologies informatiques mobiles, l’Internet des objets, le logiciel en tant que service et l’infrastructure en tant que service ouvrent la voie à des changements fondamentaux dans le mode opératoire des entreprises.

Travailler avec un prestataire de services de sécurité cloud peut apporter de nombreux avantages. Sheila Jordan, DSI de Symantec, par exemple, souligne que si les investissements informatiques et technologiques peuvent être utilisés pour assurer le fonctionnement et la croissance d’une entreprise, la liste des tâches à accomplir sera toujours supérieure aux ressources et fonds disponibles. L’informatique est souvent perçue comme un moyen facile de réduire les coûts, et en réponse, les DSI : « doivent donner la priorité aux demandes qui ont le plus de répercussions directes sur la rentabilité et les objectifs financiers de l’entreprise ». Les DSI sont non seulement chargés de protéger les données, mais aussi d’aider les entreprises à utiliser ces données pour générer des informations exploitables. La migration vers le cloud permet aux entreprises de suivre et de générer des rapports en temps réel [1].

 

Vous pensez à la Sécurité en tant que service ? Voici quelques questions à considérer :

  • Quel est votre profil de risque ?
  • Y a-t-il une situation de crise particulière face à laquelle vous êtes en train de faire face ?
  • Avez-vous déjà mis en place une stratégie claire ?

 

Une fois que la décision de passer au cloud a été prise, choisissez minutieusement votre prestataire. Ne cherchez pas une solution unique : si vous le faites, vous constaterez peut-être que la solution que vous avez choisie est rapidement devenue obsolète ou n’est pas le seul élément d’un produit plus sophistiqué. Demandez à votre nouveau partenaire de fournir une formation et un encadrement à vos équipes tout en guidant votre entreprise tout au long du processus. Plus important encore, apprenez à connaître l’équipe avec laquelle vous travaillerez, car de bonnes relations peuvent faire la différence lorsque vous faites face à une crise.

Sheila Jordan, de Symantec, nous donne la meilleure réponse : « Lorsque vous travaillez avec un partenaire qui a une bonne compréhension de votre entreprise et de ce que vous visez, il peut vous offrir un soutien et des solutions globales qui évolueront avec votre entreprise. Les bons partenaires seront toujours orientés vers le client, faisant tout ce qui est en leur pouvoir pour faire avancer votre entreprise ».

Découvrez à quel point il est facile de migrer votre PGP vers le cloud.

Par Christian Peel, VP Ingénierie, Echoworx

———

[1] Sheila Jordan, “Security as a Service,” in Canadian Cybersecurity 2018: An Anthology of CIO/CISO Enterprise-Level Perspectives, ed. Ajay K. Sood (Toronto: CLX Forum, 2018), 23-45.

27 Sep 2018
cybersecurity audits

Pourquoi les audits de cybersécurité sont-ils importants?

Le monde de la cybersécurité est en train de se transformer. Les taux de courriels et de logiciels malveillants ne cessent d’augmenter et de nouvelles menaces font leur apparition. Entre-temps, le nombre d’attaques par ransomware (rançongiciel) est devenu si élevé que des groupes d’attaque ciblés s’en servent maintenant comme leurres pour couvrir des formes plus graves d’attaque.

Dans un océan de cybermenaces en constante évolution, votre entreprise peut-elle se maintenir à flot ?

Si vous pensez qu’un pare-feu est tout ce dont vous avez besoin pour évaluer la cybersécurité de votre parc informatique – probablement pas. Après tout, les cyberattaques sont maintenant une question de quand, pas si, et aucune solution unique ne peut résoudre tous les problèmes. C’est sur ce point que le fait d’avoir un deuxième avis peut vous aider énormément à comprendre le contexte actuel de la cybersécurité en ce qui concerne les menaces, les moyens de défense disponibles, les risques de tiers et les nouvelles réglementations.

Présentation de l’audit de cybersécurité.

Pourquoi effectuer des audits de cybersécurité ?

La cybersécurité est un réseau complexe de systèmes et de méthodes qui doivent évoluer en réponse aux menaces. Et les audits de cybersécurité effectués par des tiers contribuent à apporter clarté et perspicacité. Dans certaines organisations, il se peut que l’on ne sache pas à quelle fréquence et pourquoi les politiques de sécurité devraient être actualisées. Les services informatiques ne disposent peut-être pas des outils dont ils ont besoin pour assurer la sécurité des systèmes. Pire encore, ils ne s’en rendent peut-être pas compte ! Et même lorsque la cybersécurité est un élément clé de la culture des entreprises, se concentrer sur les grilles de pointage et les indicateurs de performance des entreprises peut faire en sorte que l’attention se porte sur le passé et les menaces déjà rencontrées. Les entreprises doivent plutôt se tourner vers l’avenir pour anticiper les menaces qui ne sont pas encore apparues- en prenant les mesures proactives de cybersécurité de la vie privée au moment de la conception.

Comment les audits de cybersécurité peuvent-ils vous aider ?

Il y a quatre raisons principales pour lesquelles votre entreprise profitera des audits de cybersécurité.

  1. Ils apportent connaissance et validation. Les prestataires d’audit ont une grande expérience et proposent les meilleures pratiques pour renforcer les programmes de l’entreprise. Les auditeurs ont reçu une formation sur les nouvelles réglementations (comme le RGPD (GDPR)). Ils sont en mesure de s’assurer que les systèmes et les processus répondent aux normes réglementaires en vigueur. Les auditeurs peuvent également identifier les problèmes potentiels et suggérer des améliorations.
  2. Ils offrent des évaluations neutres et objectives des programmes. Des évaluations objectives donnent également un meilleur aperçu de l’attrait d’une entreprise pour les pirates informatiques.
  3. Les vérifications par des tiers peuvent être plus précises. Comme les auditeurs ne sont pas directement associés à l’entreprise, ils peuvent avoir une vision plus précise de l’ensemble de la structure organisationnelle, y compris BYOD et les appareils mobiles qui peuvent ne pas faire partie officiellement du flux de travail de l’organisation.
  4. Ils vous aident à valider vos politiques de confidentialité auprès de partenaires tiers potentiels. Et vice-versa.

Que recherche un audit de cybersécurité ?

L’évaluation de la cybersécurité nécessite des compétences techniques spécifiques. Les auditeurs doivent examiner les configurations de serveur, effectuer des tests d’intrusion et examiner les ensembles de règles de gestion des événements liés à la sécurité.  Ce ne sont pas tous les services informatiques qui disposent des compétences et des connaissances nécessaires pour s’acquitter de ces tâches.

De plus, il existe des règlements complexes en matière de protection des données et de protection de la vie privée, et votre organisation doit les respecter dans toutes les juridictions où elle exerce ses activités. Par exemple, le RGPD (GDPR), récemment adopté, exige que les atteintes à la protection des données concernant des données provenant de résidents de l’UE soient rendues publiques dans un délai de 72 heures. Votre entreprise reconnaîtra-t-elle qu’une telle intrusion s’est produite ? Dans quelle mesure votre entreprise assure-t-elle la sécurité des renseignements personnels identifiables (RPI) ? Votre entreprise recueille des données – sont-elles accessibles à vos partenaires, fournisseurs ou clients ? Vos contrats précisent-ils comment les fournisseurs et les distributeurs traiteront ces données ? Ces entreprises ont-elles mis en place des systèmes pour assurer la sécurité de vos données ?

Pourquoi les audits de cybersécurité sont-ils importants ?

Selon un rapport récent de PWC, 87 % des PDG mondiaux estiment qu’il est essentiel d’investir dans la cybersécurité pour gagner la confiance des clients. Pourtant, moins de la moitié des entreprises dans le monde réalisent des audits des tiers qui traitent les données personnelles qu’elles collectent. En d’autres termes, il y a 54 % de chances qu’une entreprise qui recueille des données personnelles ne soit pas certaine que ces données sont protégées de façon adéquate – même si leurs PDG ont fait part de l’importance d’une telle démarche.

Si une entreprise croit à la protection des données personnelles ou, à tout le moins, veut prévenir une intrusion coûteuse, elle doit faire preuve de diligence raisonnable lorsqu’elle choisit des fournisseurs tiers. C’est pourquoi il est si important d’effectuer des audits de cybersécurité. Une entreprise a besoin de savoir où et comment ses données sont stockées, car, en fin de compte, toute entreprise qui collecte des données personnelles est responsable en fin de compte de toute demande de protection des données – demandes qui sont transmises aux tierces parties.

Nous mettons en pratique ce que nous préconisons!

Chez Echoworx, nous nous consacrons au cryptage et travaillons chaque jour pour aider les entreprises à protéger leurs données sensibles en cours de transfert. Il est logique que nous investissions dans les niveaux les plus élevés de cybersécurité. C’est pourquoi l’ensemble de notre entreprise, du sommet à la base, est régulièrement examinée par des auditeurs indépendants afin d’assurer une protection des données de premier ordre – et nous sommes fiers de nos certifications SOC2 et Web Trust !

Découvrez nos qualifications en cybersécurité par vous-même !

Par Par Alex Loo, Vice-président des opérations, Echoworx

———

[1] http://www.isaca.org/Knowledge-Center/Research/Documents/Auditing-Cyber-Security_whp_eng_0217.pdf?regnum=463832

14 Sep 2018
Is your business vulnerable to cybersecurity threats?

Votre entreprise est-elle vulnérable aux menaces en matière de cybersécurité ?

En 2017, Deloitte a été classé pour la cinquième année consécutive meilleur consultant en cybersécurité dans le monde. Mais plus tard cette année-là, on a appris que Deloitte avait été victime d’un piratage continu qui avait duré près d’une année complète.[1]

Comment ce bouleversement dramatique a-t-il pu se produire en si peu de temps ?

Toute entreprise est vulnérable aux cyberattaques. Plus l’entreprise est grande, plus la cible est grande. Pour la majorité des entreprises, ce n’est qu’une question de temps.

Les pirates informatiques ont pour objectif de voler des données sensibles telles que les secrets d’entreprise, les données personnelles et la propriété intellectuelle. Les pirates informatiques lancent également des attaques de sabotage. Les dommages financiers causés à l’économie mondiale dépassent 575 milliards de dollars par an, soit plus que le PIB de nombreux pays.

À quel point votre entreprise est-elle vulnérable ?

Cybersécurité = vigilance permanente

Voici quelques vulnérabilités de cybersécurité à surveiller :

– Mauvaise configuration de la sécurité. C’est la faille la plus fréquente et la plus dangereuse parce qu’elle repose sur l’exploitation de quelques erreurs informatiques simples, comme l’exécution de logiciels périmés, l’utilisation de paramètres et de mots de passe par défaut en usine et l’utilisation de comptes par défaut.

  • Débordements de la mémoire tampon. Lorsqu’une application tente de mettre plus de données dans une mémoire tampon qu’elle ne peut en contenir, la mémoire tampon est saturée. Cela peut permettre à un attaquant d’écraser des blocs de mémoire pour altérer des données, faire planter des programmes ou installer un code malveillant. Ces attaques sont courantes et difficiles à découvrir, mais elles sont aussi plus difficiles à exploiter qu’une attaque de vulnérabilité par injection.
  • Exposition des données sensibles. Il désigne tout cas où un pirate informatique accède à des données sensibles, soit directement depuis un système, soit en transit entre un utilisateur et un serveur. La faille la plus directe qui peut être exploitée est l’absence de cryptage, ou le cryptage qui est compromis par des mots de passe faibles ou l’absence d’authentification multifactorielle. Toute organisation qui gère des données sensibles peut être vulnérable à ce type d’attaque.
  • Authentification brisée et gestion des sessions. Les comptes, mots de passe, ou ID de session exposés peuvent représenter des fuites ou des failles dans les procédures d’authentification. Les pirates les utilisent pour s’approprier des comptes et usurper l’identité d’utilisateurs légitimes.
  • Une infrastructure ou un logiciel de sécurité désuet. Les équipements les plus anciens ne supportent pas facilement les applications modernes et ne sont pas facilement protégés contre les menaces les plus courantes.

 

Le plus récent rapport sur le niveau de violation montre qu’en moyenne plus de sept millions de disques ont été perdus ou volés chaque jour en 2017 – ce qui représente 82 enregistrements par seconde! Et parmi ces centaines de millions d’incidents de cybersécurité, seuls 4% sont considérés comme des «violations sécurisées», ce qui signifie que les données volées étaient protégées par un cryptage. Plus du quart de ces violations se sont produites dans le secteur de la santé.

La nouvelle forme de cyberattaque est le piratage cryptographique. Aussi connu sous le nom d’extraction de pièces de monnaie, il s’agit de l’utilisation non autorisée d’ordinateurs pour miner de la cryptomonnaie. Les pirates installent du code sur un ordinateur cible à l’aide de liens malveillants dans des courriels ou des sites Web infectés. Symantec rapporte que l’activité du minage de cryptomonnaie a augmenté de 34 000 % en 2017 et que la détection des mineurs de cryptomonnaie a augmenté de 8 500 %. Fin 2017, l’activité de minage de cryptomonnaie a également été détectée sur les appareils mobiles, et elle augmentera probablement dans cet environnement également.

Défendre votre entreprise

Bien qu’aucun système ne soit à 100 % exempt d’attaques, un cryptage fort est un outil de défense efficace contre le piratage.

Gardez ces conseils à l’esprit :

  • Crypter toutes les informations sensibles qui pourraient être accessibles par des pirates ou des cybercriminels.
  • Conservez vos informations d’identification confidentielles et sécurisez-les avec des mots de passe.
  • Utilisez l’authentification multifactorielle dans la mesure du possible.
  • Pratiquez le hachage de mots de passe forts.

Nous utilisons le Cloud. C’est sûr, non ?

Le système Cloud ne vous met pas à l’abri des risques. Comme le souligne Sandra Liepkalns, RSSI chez LoyaltyOne, les données doivent toujours être stockées physiquement, et « le Cloud » signifie simplement que vous utilisez des serveurs hors site. Savez-vous où sont ces serveurs ? Si vos serveurs se trouvent aux États-Unis, ont-ils les autorisations nécessaires pour traiter les informations protégées par GDPR en provenance d’Europe ? Et les menaces physiques ? Les serveurs sont-ils situés dans des zones sujettes aux inondations ou aux incendies de forêt ? Et les ouragans ? Ou des tremblements de terre ?

En fin de compte, chaque entreprise est responsable de la protection des données des clients. Après tout, la question n’est pas de savoir si votre organisation sera piratée, mais quand elle le sera. Ne vous laissez pas prendre au dépourvu ! Minimisez les risques et intégrez la sécurité à tous vos systèmes et processus

Par Randy Yu, directeur du déploiement chez Echoworx

———–

[1] https://www.theguardian.com/business/2017/sep/25/deloitte-hit-by-cyber-attack-revealing-clients-secret-emails

25 Jan 2018
cyber-malfaiteurs

Quelle est la limite acceptable? Le paysage des menaces au Mexique

Le Mexique est l’une des économies les plus dynamiques du monde, axée sur l’utilisation de la technologie pour stimuler les entreprises. Mais cette dépendance à la technologie a un côté négatif – les entreprises sont nettement plus vulnérables aux cyber-menaces et aux violations de données.

Le Mexique attire l’attention des cyber-malfaiteurs. L’attraction est en grande partie due à son importance géostratégique régionale et mondiale croissante, couplée avec la richesse économique et financière croissante du pays.

Selon des études récentes, les entreprises mexicaines font face à des menaces similaires à celles qui existent dans les économies les plus développées du monde. Le Mexique est en deuxième position en Amérique latine – juste derrière le Brésil – pour le plus grand nombre de cyberattaques, et les secteurs les plus visés sont les banques, le commerce de détail et les télécommunications.

Il est grand temps de faire des ajustements

L’apparition d’activités cybercriminelles au Mexique, la diversité des institutions financières et la valeur en capital croissante du secteur sont autant de facteurs qui attirent les attaques. Des groupes criminels, manifestement compétentes, ont assiégé le secteur financier mexicain en compromettant les guichets automatiques et en escroquant massivement les clients des banques. Des attaques moins sophistiquées, comme l’utilisation de chevaux de Troie bancaires, de rançongiciels et de logiciels malveillants POS, sont très répandues et constituent une menace importante.

Les principales vulnérabilités observées dans le paysage cybernétique mexicain sont dues à l’absence d’une culture de cybersécurité, des configurations système démodées et des versions obsolètes d’applications logicielles. Le droit à la vie privée et la protection des renseignements personnels tant pour les particuliers que pour les entreprises constituent un enjeu extrêmement important pour les organisations internationales et le secteur public. Si la cybersécurité n’est pas renforcée, davantage d’entreprises mexicaines seront exposées.

Si le Mexique veut être un pionnier des droits relatifs aux données, la nouvelle infrastructure doit s’adapter efficacement aux changements dans la façon dont l’information est transmise dans le monde et respecter non seulement les directives nationales et régionales, mais également les pratiques internationales de protection de l’information.

La question se pose

Votre entreprise est-elle à la croisée des chemins ? Accepter les coûts liés à l’augmentation des défenses ou devenir de plus en plus vulnérables au risque d’attaques!

Le choix judicieux serait de migrer vers un modèle proactif en intégrant des points de contrôle de sécurité contraires à un modèle réactif. Le fait d’avoir les bonnes mesures de sécurité en place peut être un facteur de différenciation.

Une dérive positive

Selon PwC Mexique: « 91% des sociétés mexicaines ont privilégié la cybersécurité dans leurs entreprises et le Mexique est le pays qui investit le plus en cybersécurité en Amérique latine ». Le secteur financier a ouvert la voie dans ce domaine, suivi par les télécommunications, qui sont les deux secteurs économiques les plus mondialisés du Mexique.

C’est là que le gouvernement du Mexique devrait travailler en étroite collaboration avec des entreprises privées. Les avantages de la poursuite de la recherche sur la question de la protection des données sont mutuellement bénéfiques, en mettant l’accent sur la création d’une économie durable et en pleine croissance.

Echoworx a répondu aux demandes de sécurité de données du Mexique en mettant en place notre plate-forme de chiffrement avancée OneWorld dans un centre de données local près de Mexico. Cette expansion a été alimentée par la demande croissante des entreprises multinationales opérant au Mexique pour traiter et protéger leurs données sensibles localement.

Avec notre plate-forme agile de chiffrement d’e-mails, il est plus facile que jamais pour les entreprises de se conformer, de maintenir la réputation de leur marque, de renforcer la confiance de leurs clients et d’obtenir un avantage concurrentiel tout en protégeant leurs communications confidentielles, leur propriété intellectuelle et autres données sensibles.

Le Mexique est considéré comme l’un des leaders mondiaux des transactions numériques, et la sécurité étant une grande préoccupation, la protection des communications doit être une priorité absolue. En tant que leader dans le chiffrement des courriers électroniques, Echoworx se focalise sur le renforcement de la cybersécurité en collaborant avec diverses parties prenantes tout aussi passionnées afin de garantir la collaboration et la communication d’informations sensibles au Mexique.

Rencontrez-nous

Notre équipe sera à InfoSecurity Mexico au Centro Citibanamex au Mexique en mai. Si vous prévoyez d’être en ville, vous trouverez l’équipe Echoworx sur le stand n° #209. Nous présenterons des cas d’utilisation réels de la façon dont les entreprises gagnent de la valeur en intégrant le chiffrement dans leurs processus commerciaux, tout en sécurisant les communications. Passez nous voir pour discuter!

Par Christian Peel, vice-président ingénierie clients, Echoworx

05 Jan 2018
attaques sur les microprocesseurs

Attaques Spectre et Meltdown, vous pensez que le ciel vous tombe sur la tête?

Comme la plupart des entreprises, Echoworx est au courant des vulnérabilités récemment annoncées et qui ont un impact sur les microprocesseurs les plus modernes. Nous voulions prendre une minute pour donner des conseils sur les attaques Spectre et Meltdown, sensibiliser et vous fournir des informations sur les mesures prises par Echoworx pour y remédier.

Quelles sont ces attaques?

Spectre est en réalité deux vulnérabilités différentes, et Meltdown en est une. Ces deux attaques exploitent les caractéristiques des microprocesseurs « modernes » appelées « exécution spéculative ». L’exécution spéculative est une technique de pré-extraction de données et d’instructions de pré-exécution au cas où elles seraient nécessaires. En fait, si elles ne sont pas nécessaires, il existe encore des restes de données en mémoire qui peuvent être lus par d’autres processus.

L’attaque Meltdown est la pire des deux, car elle peut exposer toute la mémoire de l’ordinateur, pas seulement quelques parties. Meltdown est également plus facile à exploiter. Heureusement, Meltdown est aussi plus facile à corriger. D’un autre côté, Spectre est plus difficile à exploiter, expose moins, mais est plus difficile à traiter par des correctifs. Il existe des correctifs pour des exploits spécifiques connus.

Qu’est-ce qui est affecté par ces attaques?

Ce qui est « moderne » n’est pas si moderne que ça… du moins en informatique. En fait, tout processeur Intel construit depuis environ 1995 serait impacté. Les processeurs Intel, AMD, ARM et d’autres sont également affectés à des degrés divers. Des rapports indiquent que certains processeurs ne sont pas exposés à toutes les vulnérabilités, mais il est difficile de savoir si cela a été prouvé ou non. Il serait préférable de pécher par excès de prudence.

Que devriez-vous faire personnellement sur vos périphériques?

Vos correctifs doivent toujours être à jour, et ce cas ne fait pas exception. Il existe des correctifs pour Linux, Microsoft (Windows, Edge, IE), Apple (MacOS, iOS, TvOS, Safari), Android, Firefox, Chrome et probablement beaucoup d’autres applications. Leur mise à jour vous aidera à vous protéger.

Vous devez également vous assurer que votre logiciel antivirus/de sécurité sur Internet est à jour. Microsoft a annoncé que ses correctifs pourraient avoir des problèmes de compatibilité avec certains logiciels anti-virus. Le correctif pour Windows ne s’installe pas si vous avez une AV périmée ou incompatible. Il faut d’abord mettre à jour le logiciel AV, puis installer le correctif MS.

Sachez que certaines solutions à ce problème peuvent avoir un impact sur les performances. Il y a des estimations exagérées quant à l’impact que cela peut avoir, mais les vendeurs disent que les impacts sont minimes. Par exemple, Apple rapporte un maximum de 2,5% contre 1 point de référence pour ces correctifs.

Par David Broad CISSP, responsable de la sécurité de l’information et de la vérification, Echoworx

04 Oct 2017

Votre entreprise a-t-elle de bonnes pratiques … en matière de sécurité?

Merci à tous les médias qui nous ont aidé à répandre le message important de la pratique des communications sécurisées! Ils n’étaient pas obligés de le faire. Ils ont choisi de couvrir notre histoire parmi des centaines d’autres. Quand la confiance compte – la sécurité est essentielle.

Renseignements personnels: Dans l’actualité

Media Post | 5 octobre 2017 |
Les utilisateurs sont plus susceptibles de partager des informations dans les courriels que pendant les rendez-vous: Étude

LittleThings| 3 octobre 2017 |
Une étude montre que les Américains font plus confiance aux ordinateurs qu’aux nouvelles personnes pour donner des renseignements personnels

MensHealth | 28 septembre 2017 |
Vous faites probablement plus confiance à votre ordinateur qu’à votre petite amie

EBL News | 28 septembre 2017 |
Nous faisons plus confiance à internet qu’aux nouveaux partenaires amoureux

Yahoo News | 27 septembre 2017 |
Nous révélons plus sur les médias sociaux que lors d’un rendez-vous

USA Today | 27 septembre 2017 |
Nous faisons plus confiance à internet qu’aux nouveaux partenaires amoureux

New York Post | 26 septembre 2017 |
Les Américains font plus confiance à internet qu’aux nouveaux partenaires amoureux

MSN | 26 septembre 2017 |
Les Américains font plus confiance à internet qu’aux nouveaux partenaires amoureux

InfoSecurity | 28 novembre 2016 |
Quel rôle joue la confidentialité dans votre stratégie de transformation numérique?

 

08 Sep 2017
Respect de la vie privée dès la conception

Respect de la vie privée dès la conception – ou à cause d’une catastrophe?

Vous faites des affaires en Europe? Si c’est le cas, le RGPD peut vous infliger des amendes de 20 millions d’euros après le 25 mai 2018, sauf si vous avez mis en place des niveaux très élevés de protection de la vie privée dans vos systèmes.

Le Règlement général sur la protection des données (GDPR) protège la vie privée et les droits des personnes et entre en vigueur en mai. Il s’applique aux entreprises basées dans l’UE, ainsi qu’aux entreprises étrangères faisant des affaires dans l’UE. Le champ d’application couvre un large éventail de données personnelles, par exemple, les noms, les adresses e-mail, les médias sociaux, les coordonnées bancaires et les adresses IP des ordinateurs.

Pour les entreprises qui ne respectent pas le RGPD, il y a des amendes allant jusqu’à 20 millions d’euros ou jusqu’à 4% de vos bénéfices annuels mondiaux – un coup dur pour vos profits. La bonne nouvelle c’est qu’il existe une directive pour vous guider, connue sous le nom de Respect de la vie privée dès la conception, ou « PbD ».

La protection de la vie privée dès la conception
Le RGPD signifie suivre les sept principes PbD qui sont inclus presque textuellement dans le règlement.

1. Proactif non réactif ; préventif non réparateur Pensez à cela comme « protection de la vie privée dès la conception ou à cause d’une catastrophe ». Si vous intégrez la confidentialité, le chiffrement et la cybersécurité globale appropriés dans vos produits et services, vous risquez moins d’être victime d’une violation, ce qui signifie des amendes, des recours collectifs et une atteinte à votre réputation.

2. Protection de la vie privée par défaut Beaucoup de gens ne lisent pas les CLUF ou les longs documents juridiques des institutions financières. Facilitez l’utilisation de vos offres en respectant les plus hauts niveaux de confidentialité et de chiffrement, et demandez clairement l’autorisation spécifique d’utiliser les données du client à d’autres fins que celles prévues. Par exemple, ne cochez pas les cases afin que l’utilisateur final distrait ne donne pas la permission par accident.

3. Protection de la vie privée dès la conception Quel est le niveau de chiffrement de vos applications et systèmes de gestion des données? Cela doit être un fait par défaut, sans choix, intégré dans l’ensemble de votre architecture de données.

4. Fonctionnalité complète – une somme positive, pas une somme-zéro Il y a un argument selon lequel la sécurité totale et la confidentialité totale ne sont pas compatibles, mais c’est faux – un chiffrement fort vous permet d’avoir les deux. De plus, lorsque vos clients savent que vous l’utilisez, ils auront un niveau de confiance plus élevé et seront plus disposés à partager leurs données.

5. Sécurité de bout en bout – protection complète du cycle de vie Avec votre système conçu pour respecter et préserver la confidentialité à chaque contact, que se passe-t-il lorsque vous avez terminé avec vos données ? À partir du moment où un client donne son nom, jusqu’à la fermeture du compte, vous devez vous assurer que ses données sont gérées de manière sécurisée avant d’être détruites.

6. Visibilité et transparence – ça doit rester ouvert Soyez capable de démontrer que vous utilisez les données comme prévu à chaque étape. Mais vous devez également accepter de partager avec cette personne toutes les données que vous avez recueillies sur elle, car les données lui appartiennent. Et avoir accès à ces données signifie que cette personne peut corriger les erreurs et rendre les données beaucoup plus utiles pour vous.

7. Respect de la vie privée de l’utilisateur – l’utilisateur doit être au centre Être centré sur l’utilisateur signifie que votre entreprise et vos architectes de données sont proactifs en matière de protection de la vie privée des clients. Mais l’intégration d’un chiffrement fort des données et d’une cybersécurité globale ne se limite pas à la sécurité. L’investissement dans ces technologies et pratiques favorisera le respect et la confiance de vos clients, ce qui est une bonne chose, peu importe où vous faites des affaires.

Vous avez encore des questions ? Regardez notre webinaire, avec la créatrice de Protection de la vie privée dès la conception, Dr Ann Cavoukian, afin de mieux comprendre la préparation pour le RGPD.

Par Alex Loo, vice-président des opérations, Echoworx

07 Juin 2017
cybersécurité

Définir l’Avenir de la Cybersécurité, Ensemble

La cybersécurité est l’un des plus grands problèmes que rencontrent les entreprises dans l’environnement électronique actuel. Dans toutes ses facettes, la cybercriminalité continue d’augmenter, et les courriels sont, et devraient rester, la cible numéro 1 des cybercriminels. De nombreuses entreprises se focalisent sur la cybersécurité pour se protéger contre les attaques externes, mais ignorent les menaces potentielles liées aux courriels et par les courriels – ce qui peut être beaucoup plus destructeur.

Le vol de données confidentielles pour l’espionnage industriel, la divulgation de secrets commerciaux à un concurrent et/ou la divulgation d’informations privées sur la santé au public peuvent tous être obtenus par courrier électronique. On estime que d’ici 2019, les comptes de messagerie d’entreprise dans le monde dépasseront 1,3 milliard. Avec l’énorme volume de courriels entrant et sortant des entreprises, il y a un grand risque de violations. De plus, selon des recherches effectuées par Echoworx, les industries hautement réglementées, comme le pétrole et le gaz, les soins de santé et la finance, sont des cibles de choix pour les menaces à la sécurité du courrier électronique.

Il est urgent que les décideurs au sein des entreprises prennent en compte la réalité des vulnérabilités des messageries … ou subir les conséquences potentielles.

Prenons le piratage du DNC par exemple. Si le chiffrement des messages électroniques avait été utilisé et les mesures véritablement appliquées pour déclencher la messagerie sécurisée, la gravité du piratage aurait été minimale. Il fut un temps où le cryptage des e-mails était très compliqué à mettre en œuvre dans toutes les entreprises. Mais les temps ont changé.

Grâce au cryptage des courriels, les entreprises peuvent maintenant:

• Sécuriser les communications numériques tout en développant leurs marques
• Améliorer le service à la clientèle
• Améliorer l’efficacité et réduire les coûts d’exploitation
• Augmenter la vitesse, la performance, la fonction
• Assurer la conformité réglementaire
• Prévenir la perte de données, atténuer les risques

Jeter un regard en arrière: Cybercon 2016

Echoworx, un fervent partisan du chiffrement de courriers électroniques de classe mondiale, a participé à la Cybercon 2016 qui s’est tenue à Atlanta, pour discuter des problèmes en constante évolution de la cybersécurité et du rôle que nous jouons tous dans la sécurité des données.

En fait, Echoworx a été l’une des douze entreprises sélectionnées à travers le monde pour participer à une séance de présentation de produits sur invitation durant la Cybercon 2016.

« Nous sommes ravis qu’un groupe aussi fort et diversifié d’entreprises de cybersécurité étrangères et nationales participe à cette opportunité unique pour raconter leur histoire à des professionnels de premier plan du secteur de la sécurité », a déclaré Justin Daniels, directeur du groupe Atlanta Emerging Companies Group de Baker Donelson et de l’accélérateur de cyber-sécurité Baker Donelson. « Étant donné que la plupart des sociétés présentes viennent hors des États-Unis, c’est véritablement un événement qui souligne la reconnaissance internationale de l’écosystème robuste de cybersécurité de la région métropolitaine d’Atlanta. »

Par Kael Harden, directeur de territoire – Est, Echoworx

15 Mai 2017
cyberattack

LES RÉPERCUSSIONS DES CYBERATTAQUES, PLUS IMPORTANTES ET MOINS VISIBLES QUE VOUS NE LE PENSIEZ.

La cybersécurité est l’une des questions les plus discutées dans toute organisation. Bien que la nécessité de protéger votre entreprise contre toutes sortes de cyberattaques demeure urgente, le véritable impact d’un incident de cyberattaque n’a pas encore été prouvé.

Récemment, j’ai lu un article de Deloitte qui disait qu’il est difficile pour les dirigeants d’évaluer l’impact des cyberattaques sur leur entreprise parce qu’ils ne sont pas vraiment conscients du travail et des efforts qu’ils font pour rendre une entreprise cyber-sécurisée, ou des conséquences de ne pas le faire avant qu’il ne soit trop tard.

Le piratage du DNC a été le plus gros piratage électoral de l’histoire des États-Unis. Tous les deux jours, WikiLeaks est occupé à rendre publiques les conversations « privées » qui ont eu lieu au sein des réseaux DNC. Ces conversations privées se répandent comme une traînée de poudre sur les médias sociaux. Les cyberattaques comme celle contre le DNC ne sont pas rares. Chaque jour qui passe, il y a une nouvelle intrusion dans les données de Yahoo, les dossiers médicaux d’Anthem, à travers le logiciel ransomware WannaCry, et ainsi de suite.

Les courriels sont utilisés tous les jours pour les communications d’entreprise, y compris les communications confidentielles. Malheureusement, même après tous ces incidents publics et les leçons tirées, beaucoup d’entreprises hésitent encore à utiliser le cryptage. Les raisons vont de la complexité du logiciel à l’excès de confiance dans la faible probabilité d’une cyberattaque contre eux. Mais devinez quoi ? Personne n’est en sécurité. Peu importe la taille de l’entreprise.

Les coûts et les répercussions d’une atteinte à la protection des données et des cyberattaques comprennent:

• Notification coûts : Toutes les démarches nécessaires pour signaler l’infraction au personnel compétent dans un délai imparti.
• Les coûts d’intervention en cas d’atteinte à la sécurité : Toutes les activités nécessaires pour informer les personnes concernées par lettre, appel téléphonique, courriel ou avis général que des renseignements personnels ont été perdus ou volés.
• Le coût de la prestation de services de surveillance du crédit pendant au moins un an.
• Atteinte à la réputation.
• Perte de clientèle.
• Publicité négative : Couverture médiatique étendue, ce qui nuit encore plus à la réputation de l’organisation.
• Honoraires d’avocats et litiges.
• Augmentation des primes d’assurance.
• Perte de propriété intellectuelle (PI).

C’est à vous de protéger la confidentialité des données de votre entreprise. Et il est temps d’agir maintenant.

Si vous souhaitez en savoir plus sur la plupart des risques en matière de cybersécurité et sur les moyens sûrs de les réduire, les contenus supplémentaires mentionnés ci-dessous peuvent vous intéresser.

Téléchargez notre RAPPORT| Combien Faites-Vous Confiance au Courriel?

Par Will Nathan, Echoworx.