Catégorie : cybersécurité

25 Oct 2018
Moving PGP to the cloud

VOUS MIGREZ VOTRE PGP VERS LE CLOUD ? VOICI CE QUE VOUS DEVEZ SAVOIR

Est-ce que le cryptage PGP est un élément dans votre stratégie de messagerie sécurisée ? Est-ce que vous hébergez actuellement ce système sur place ? Avez-vous déjà pensé à déplacer le cryptage de vos e-mails PGP vers le cloud ? Cela peut sembler fastidieux, mais, avec les outils et les services appropriés, le passage vers le cloud est un investissement à considérer pour vous et vos clients.

Un système PGP installé sur site est gourmand au niveau de la consommation de ressources et nécessite l’installation de logiciels sur votre poste de travail et vos serveurs. La charge de travail de votre service informatique peut être considérable – la migration vers le cloud peut considérablement soulager votre personnel.

Voici quelques points à considérer si vous songez à déménager :

Le cryptage des courriels ne doit pas seulement se limiter à un système acceptable.

Nous avons la responsabilité de protéger les messages sensibles que nous envoyons, et nous devons le faire d’une manière qui n’entrave pas nos activités.

Une solution efficace de cryptage de courriels dispose de cinq qualités principales :

  • Il est simple à mettre en œuvre
  • Il peut s’adapter à des demandes croissantes et à des augmentations imprévues des volumes de courriels.
  • Il est doté de nombreuses fonctionnalités, basé sur des normes et à jour, et supporte les technologies de cryptage les plus utilisées actuellement.
  • Il est conforme aux réglementations en vigueur, de sorte que les messages envoyés par l’UE, par exemple, ne sont pas stockés ou envoyés aux États-Unis ou dans d’autres pays qui pourraient compromettre le respect des règles du GDPR.
  • Il est opéré de façon sécurisée par un prestataire de confiance, soucieux de la sécurité.

Les systèmes en place ne devraient pas vous empêcher de migrer vers le cloud

La migration d’un système PGP installé sur place vers le cloud n’est pas seulement possible, ces systèmes existants peuvent également être migrés sans interruption, ce qui est un  aspect professionnel essentiel à considérer si votre entreprise envoie quotidiennement un grand nombre de messages sécurisés. Et vous avez accès à des méthodes de transmission sécurisées additionnelles, comme la possibilité d’envoyer des messages via un portail Web, et à des fonctions supplémentaires, comme la possibilité de personnaliser des messages avec un cryptage personnalisé pour la marque.

Gestion des clés de façon automatisée.

Selon la 13e étude sur le cryptage commanditée par Thales à l’Institut Ponemon, la gestion des clés demeure un problème majeur pour 57 % des entreprises. Et bon nombre de ces établissements indiquent qu’ils continuent de gérer manuellement leurs processus clés. Ce n’est pas une nouvelle statistique. En fait, la gestion des clés est demeurée un problème récurrent d’une année à l’autre ! La migration vers le cloud vous permet de simplifier votre processus de gestion des clés– et de l’automatiser.

Pourquoi utiliser la sécurité en tant que service ?

Dans le contexte actuel, les entreprises doivent s’adapter rapidement à l’évolution constante de la demande. Les menaces en matière de sécurité évoluent en permanence et la technologie continue de se métamorphoser de façon fulgurante. De nouveaux développements tels que les technologies informatiques mobiles, l’Internet des objets, le logiciel en tant que service et l’infrastructure en tant que service ouvrent la voie à des changements fondamentaux dans le mode opératoire des entreprises.

Travailler avec un prestataire de services de sécurité cloud peut apporter de nombreux avantages. Sheila Jordan, DSI de Symantec, par exemple, souligne que si les investissements informatiques et technologiques peuvent être utilisés pour assurer le fonctionnement et la croissance d’une entreprise, la liste des tâches à accomplir sera toujours supérieure aux ressources et fonds disponibles. L’informatique est souvent perçue comme un moyen facile de réduire les coûts, et en réponse, les DSI : « doivent donner la priorité aux demandes qui ont le plus de répercussions directes sur la rentabilité et les objectifs financiers de l’entreprise ». Les DSI sont non seulement chargés de protéger les données, mais aussi d’aider les entreprises à utiliser ces données pour générer des informations exploitables. La migration vers le cloud permet aux entreprises de suivre et de générer des rapports en temps réel [1].

 

Vous pensez à la Sécurité en tant que service ? Voici quelques questions à considérer :

  • Quel est votre profil de risque ?
  • Y a-t-il une situation de crise particulière face à laquelle vous êtes en train de faire face ?
  • Avez-vous déjà mis en place une stratégie claire ?

 

Une fois que la décision de passer au cloud a été prise, choisissez minutieusement votre prestataire. Ne cherchez pas une solution unique : si vous le faites, vous constaterez peut-être que la solution que vous avez choisie est rapidement devenue obsolète ou n’est pas le seul élément d’un produit plus sophistiqué. Demandez à votre nouveau partenaire de fournir une formation et un encadrement à vos équipes tout en guidant votre entreprise tout au long du processus. Plus important encore, apprenez à connaître l’équipe avec laquelle vous travaillerez, car de bonnes relations peuvent faire la différence lorsque vous faites face à une crise.

Sheila Jordan, de Symantec, nous donne la meilleure réponse : « Lorsque vous travaillez avec un partenaire qui a une bonne compréhension de votre entreprise et de ce que vous visez, il peut vous offrir un soutien et des solutions globales qui évolueront avec votre entreprise. Les bons partenaires seront toujours orientés vers le client, faisant tout ce qui est en leur pouvoir pour faire avancer votre entreprise ».

Découvrez à quel point il est facile de migrer votre PGP vers le cloud.

Par Christian Peel, VP Ingénierie, Echoworx

———

[1] Sheila Jordan, “Security as a Service,” in Canadian Cybersecurity 2018: An Anthology of CIO/CISO Enterprise-Level Perspectives, ed. Ajay K. Sood (Toronto: CLX Forum, 2018), 23-45.

27 Sep 2018
cybersecurity audits

Pourquoi les audits de cybersécurité sont-ils importants?

Le monde de la cybersécurité est en train de se transformer. Les taux de courriels et de logiciels malveillants ne cessent d’augmenter et de nouvelles menaces font leur apparition. Entre-temps, le nombre d’attaques par ransomware (rançongiciel) est devenu si élevé que des groupes d’attaque ciblés s’en servent maintenant comme leurres pour couvrir des formes plus graves d’attaque.

Dans un océan de cybermenaces en constante évolution, votre entreprise peut-elle se maintenir à flot ?

Si vous pensez qu’un pare-feu est tout ce dont vous avez besoin pour évaluer la cybersécurité de votre parc informatique – probablement pas. Après tout, les cyberattaques sont maintenant une question de quand, pas si, et aucune solution unique ne peut résoudre tous les problèmes. C’est sur ce point que le fait d’avoir un deuxième avis peut vous aider énormément à comprendre le contexte actuel de la cybersécurité en ce qui concerne les menaces, les moyens de défense disponibles, les risques de tiers et les nouvelles réglementations.

Présentation de l’audit de cybersécurité.

Pourquoi effectuer des audits de cybersécurité ?

La cybersécurité est un réseau complexe de systèmes et de méthodes qui doivent évoluer en réponse aux menaces. Et les audits de cybersécurité effectués par des tiers contribuent à apporter clarté et perspicacité. Dans certaines organisations, il se peut que l’on ne sache pas à quelle fréquence et pourquoi les politiques de sécurité devraient être actualisées. Les services informatiques ne disposent peut-être pas des outils dont ils ont besoin pour assurer la sécurité des systèmes. Pire encore, ils ne s’en rendent peut-être pas compte ! Et même lorsque la cybersécurité est un élément clé de la culture des entreprises, se concentrer sur les grilles de pointage et les indicateurs de performance des entreprises peut faire en sorte que l’attention se porte sur le passé et les menaces déjà rencontrées. Les entreprises doivent plutôt se tourner vers l’avenir pour anticiper les menaces qui ne sont pas encore apparues- en prenant les mesures proactives de cybersécurité de la vie privée au moment de la conception.

Comment les audits de cybersécurité peuvent-ils vous aider ?

Il y a quatre raisons principales pour lesquelles votre entreprise profitera des audits de cybersécurité.

  1. Ils apportent connaissance et validation. Les prestataires d’audit ont une grande expérience et proposent les meilleures pratiques pour renforcer les programmes de l’entreprise. Les auditeurs ont reçu une formation sur les nouvelles réglementations (comme le RGPD (GDPR)). Ils sont en mesure de s’assurer que les systèmes et les processus répondent aux normes réglementaires en vigueur. Les auditeurs peuvent également identifier les problèmes potentiels et suggérer des améliorations.
  2. Ils offrent des évaluations neutres et objectives des programmes. Des évaluations objectives donnent également un meilleur aperçu de l’attrait d’une entreprise pour les pirates informatiques.
  3. Les vérifications par des tiers peuvent être plus précises. Comme les auditeurs ne sont pas directement associés à l’entreprise, ils peuvent avoir une vision plus précise de l’ensemble de la structure organisationnelle, y compris BYOD et les appareils mobiles qui peuvent ne pas faire partie officiellement du flux de travail de l’organisation.
  4. Ils vous aident à valider vos politiques de confidentialité auprès de partenaires tiers potentiels. Et vice-versa.

Que recherche un audit de cybersécurité ?

L’évaluation de la cybersécurité nécessite des compétences techniques spécifiques. Les auditeurs doivent examiner les configurations de serveur, effectuer des tests d’intrusion et examiner les ensembles de règles de gestion des événements liés à la sécurité.  Ce ne sont pas tous les services informatiques qui disposent des compétences et des connaissances nécessaires pour s’acquitter de ces tâches.

De plus, il existe des règlements complexes en matière de protection des données et de protection de la vie privée, et votre organisation doit les respecter dans toutes les juridictions où elle exerce ses activités. Par exemple, le RGPD (GDPR), récemment adopté, exige que les atteintes à la protection des données concernant des données provenant de résidents de l’UE soient rendues publiques dans un délai de 72 heures. Votre entreprise reconnaîtra-t-elle qu’une telle intrusion s’est produite ? Dans quelle mesure votre entreprise assure-t-elle la sécurité des renseignements personnels identifiables (RPI) ? Votre entreprise recueille des données – sont-elles accessibles à vos partenaires, fournisseurs ou clients ? Vos contrats précisent-ils comment les fournisseurs et les distributeurs traiteront ces données ? Ces entreprises ont-elles mis en place des systèmes pour assurer la sécurité de vos données ?

Pourquoi les audits de cybersécurité sont-ils importants ?

Selon un rapport récent de PWC, 87 % des PDG mondiaux estiment qu’il est essentiel d’investir dans la cybersécurité pour gagner la confiance des clients. Pourtant, moins de la moitié des entreprises dans le monde réalisent des audits des tiers qui traitent les données personnelles qu’elles collectent. En d’autres termes, il y a 54 % de chances qu’une entreprise qui recueille des données personnelles ne soit pas certaine que ces données sont protégées de façon adéquate – même si leurs PDG ont fait part de l’importance d’une telle démarche.

Si une entreprise croit à la protection des données personnelles ou, à tout le moins, veut prévenir une intrusion coûteuse, elle doit faire preuve de diligence raisonnable lorsqu’elle choisit des fournisseurs tiers. C’est pourquoi il est si important d’effectuer des audits de cybersécurité. Une entreprise a besoin de savoir où et comment ses données sont stockées, car, en fin de compte, toute entreprise qui collecte des données personnelles est responsable en fin de compte de toute demande de protection des données – demandes qui sont transmises aux tierces parties.

Nous mettons en pratique ce que nous préconisons!

Chez Echoworx, nous nous consacrons au cryptage et travaillons chaque jour pour aider les entreprises à protéger leurs données sensibles en cours de transfert. Il est logique que nous investissions dans les niveaux les plus élevés de cybersécurité. C’est pourquoi l’ensemble de notre entreprise, du sommet à la base, est régulièrement examinée par des auditeurs indépendants afin d’assurer une protection des données de premier ordre – et nous sommes fiers de nos certifications SOC2 et Web Trust !

Découvrez nos qualifications en cybersécurité par vous-même !

Par Par Alex Loo, Vice-président des opérations, Echoworx

———

[1] http://www.isaca.org/Knowledge-Center/Research/Documents/Auditing-Cyber-Security_whp_eng_0217.pdf?regnum=463832

14 Sep 2018
Is your business vulnerable to cybersecurity threats?

Votre entreprise est-elle vulnérable aux menaces en matière de cybersécurité ?

En 2017, Deloitte a été classé pour la cinquième année consécutive meilleur consultant en cybersécurité dans le monde. Mais plus tard cette année-là, on a appris que Deloitte avait été victime d’un piratage continu qui avait duré près d’une année complète.[1]

Comment ce bouleversement dramatique a-t-il pu se produire en si peu de temps ?

Toute entreprise est vulnérable aux cyberattaques. Plus l’entreprise est grande, plus la cible est grande. Pour la majorité des entreprises, ce n’est qu’une question de temps.

Les pirates informatiques ont pour objectif de voler des données sensibles telles que les secrets d’entreprise, les données personnelles et la propriété intellectuelle. Les pirates informatiques lancent également des attaques de sabotage. Les dommages financiers causés à l’économie mondiale dépassent 575 milliards de dollars par an, soit plus que le PIB de nombreux pays.

À quel point votre entreprise est-elle vulnérable ?

Cybersécurité = vigilance permanente

Voici quelques vulnérabilités de cybersécurité à surveiller :

– Mauvaise configuration de la sécurité. C’est la faille la plus fréquente et la plus dangereuse parce qu’elle repose sur l’exploitation de quelques erreurs informatiques simples, comme l’exécution de logiciels périmés, l’utilisation de paramètres et de mots de passe par défaut en usine et l’utilisation de comptes par défaut.

  • Débordements de la mémoire tampon. Lorsqu’une application tente de mettre plus de données dans une mémoire tampon qu’elle ne peut en contenir, la mémoire tampon est saturée. Cela peut permettre à un attaquant d’écraser des blocs de mémoire pour altérer des données, faire planter des programmes ou installer un code malveillant. Ces attaques sont courantes et difficiles à découvrir, mais elles sont aussi plus difficiles à exploiter qu’une attaque de vulnérabilité par injection.
  • Exposition des données sensibles. Il désigne tout cas où un pirate informatique accède à des données sensibles, soit directement depuis un système, soit en transit entre un utilisateur et un serveur. La faille la plus directe qui peut être exploitée est l’absence de cryptage, ou le cryptage qui est compromis par des mots de passe faibles ou l’absence d’authentification multifactorielle. Toute organisation qui gère des données sensibles peut être vulnérable à ce type d’attaque.
  • Authentification brisée et gestion des sessions. Les comptes, mots de passe, ou ID de session exposés peuvent représenter des fuites ou des failles dans les procédures d’authentification. Les pirates les utilisent pour s’approprier des comptes et usurper l’identité d’utilisateurs légitimes.
  • Une infrastructure ou un logiciel de sécurité désuet. Les équipements les plus anciens ne supportent pas facilement les applications modernes et ne sont pas facilement protégés contre les menaces les plus courantes.

 

Le plus récent rapport sur le niveau de violation montre qu’en moyenne plus de sept millions de disques ont été perdus ou volés chaque jour en 2017 – ce qui représente 82 enregistrements par seconde! Et parmi ces centaines de millions d’incidents de cybersécurité, seuls 4% sont considérés comme des «violations sécurisées», ce qui signifie que les données volées étaient protégées par un cryptage. Plus du quart de ces violations se sont produites dans le secteur de la santé.

La nouvelle forme de cyberattaque est le piratage cryptographique. Aussi connu sous le nom d’extraction de pièces de monnaie, il s’agit de l’utilisation non autorisée d’ordinateurs pour miner de la cryptomonnaie. Les pirates installent du code sur un ordinateur cible à l’aide de liens malveillants dans des courriels ou des sites Web infectés. Symantec rapporte que l’activité du minage de cryptomonnaie a augmenté de 34 000 % en 2017 et que la détection des mineurs de cryptomonnaie a augmenté de 8 500 %. Fin 2017, l’activité de minage de cryptomonnaie a également été détectée sur les appareils mobiles, et elle augmentera probablement dans cet environnement également.

Défendre votre entreprise

Bien qu’aucun système ne soit à 100 % exempt d’attaques, un cryptage fort est un outil de défense efficace contre le piratage.

Gardez ces conseils à l’esprit :

  • Crypter toutes les informations sensibles qui pourraient être accessibles par des pirates ou des cybercriminels.
  • Conservez vos informations d’identification confidentielles et sécurisez-les avec des mots de passe.
  • Utilisez l’authentification multifactorielle dans la mesure du possible.
  • Pratiquez le hachage de mots de passe forts.

Nous utilisons le Cloud. C’est sûr, non ?

Le système Cloud ne vous met pas à l’abri des risques. Comme le souligne Sandra Liepkalns, RSSI chez LoyaltyOne, les données doivent toujours être stockées physiquement, et « le Cloud » signifie simplement que vous utilisez des serveurs hors site. Savez-vous où sont ces serveurs ? Si vos serveurs se trouvent aux États-Unis, ont-ils les autorisations nécessaires pour traiter les informations protégées par GDPR en provenance d’Europe ? Et les menaces physiques ? Les serveurs sont-ils situés dans des zones sujettes aux inondations ou aux incendies de forêt ? Et les ouragans ? Ou des tremblements de terre ?

En fin de compte, chaque entreprise est responsable de la protection des données des clients. Après tout, la question n’est pas de savoir si votre organisation sera piratée, mais quand elle le sera. Ne vous laissez pas prendre au dépourvu ! Minimisez les risques et intégrez la sécurité à tous vos systèmes et processus

Par Randy Yu, directeur du déploiement chez Echoworx

———–

[1] https://www.theguardian.com/business/2017/sep/25/deloitte-hit-by-cyber-attack-revealing-clients-secret-emails

25 Jan 2018
cyber-malfaiteurs

Quelle est la limite acceptable? Le paysage des menaces au Mexique

Le Mexique est l’une des économies les plus dynamiques du monde, axée sur l’utilisation de la technologie pour stimuler les entreprises. Mais cette dépendance à la technologie a un côté négatif – les entreprises sont nettement plus vulnérables aux cyber-menaces et aux violations de données.

Le Mexique attire l’attention des cyber-malfaiteurs. L’attraction est en grande partie due à son importance géostratégique régionale et mondiale croissante, couplée avec la richesse économique et financière croissante du pays.

Selon des études récentes, les entreprises mexicaines font face à des menaces similaires à celles qui existent dans les économies les plus développées du monde. Le Mexique est en deuxième position en Amérique latine – juste derrière le Brésil – pour le plus grand nombre de cyberattaques, et les secteurs les plus visés sont les banques, le commerce de détail et les télécommunications.

Il est grand temps de faire des ajustements

L’apparition d’activités cybercriminelles au Mexique, la diversité des institutions financières et la valeur en capital croissante du secteur sont autant de facteurs qui attirent les attaques. Des groupes criminels, manifestement compétentes, ont assiégé le secteur financier mexicain en compromettant les guichets automatiques et en escroquant massivement les clients des banques. Des attaques moins sophistiquées, comme l’utilisation de chevaux de Troie bancaires, de rançongiciels et de logiciels malveillants POS, sont très répandues et constituent une menace importante.

Les principales vulnérabilités observées dans le paysage cybernétique mexicain sont dues à l’absence d’une culture de cybersécurité, des configurations système démodées et des versions obsolètes d’applications logicielles. Le droit à la vie privée et la protection des renseignements personnels tant pour les particuliers que pour les entreprises constituent un enjeu extrêmement important pour les organisations internationales et le secteur public. Si la cybersécurité n’est pas renforcée, davantage d’entreprises mexicaines seront exposées.

Si le Mexique veut être un pionnier des droits relatifs aux données, la nouvelle infrastructure doit s’adapter efficacement aux changements dans la façon dont l’information est transmise dans le monde et respecter non seulement les directives nationales et régionales, mais également les pratiques internationales de protection de l’information.

La question se pose

Votre entreprise est-elle à la croisée des chemins ? Accepter les coûts liés à l’augmentation des défenses ou devenir de plus en plus vulnérables au risque d’attaques!

Le choix judicieux serait de migrer vers un modèle proactif en intégrant des points de contrôle de sécurité contraires à un modèle réactif. Le fait d’avoir les bonnes mesures de sécurité en place peut être un facteur de différenciation.

Une dérive positive

Selon PwC Mexique: « 91% des sociétés mexicaines ont privilégié la cybersécurité dans leurs entreprises et le Mexique est le pays qui investit le plus en cybersécurité en Amérique latine ». Le secteur financier a ouvert la voie dans ce domaine, suivi par les télécommunications, qui sont les deux secteurs économiques les plus mondialisés du Mexique.

C’est là que le gouvernement du Mexique devrait travailler en étroite collaboration avec des entreprises privées. Les avantages de la poursuite de la recherche sur la question de la protection des données sont mutuellement bénéfiques, en mettant l’accent sur la création d’une économie durable et en pleine croissance.

Echoworx a répondu aux demandes de sécurité de données du Mexique en mettant en place notre plate-forme de chiffrement avancée OneWorld dans un centre de données local près de Mexico. Cette expansion a été alimentée par la demande croissante des entreprises multinationales opérant au Mexique pour traiter et protéger leurs données sensibles localement.

Avec notre plate-forme agile de chiffrement d’e-mails, il est plus facile que jamais pour les entreprises de se conformer, de maintenir la réputation de leur marque, de renforcer la confiance de leurs clients et d’obtenir un avantage concurrentiel tout en protégeant leurs communications confidentielles, leur propriété intellectuelle et autres données sensibles.

Le Mexique est considéré comme l’un des leaders mondiaux des transactions numériques, et la sécurité étant une grande préoccupation, la protection des communications doit être une priorité absolue. En tant que leader dans le chiffrement des courriers électroniques, Echoworx se focalise sur le renforcement de la cybersécurité en collaborant avec diverses parties prenantes tout aussi passionnées afin de garantir la collaboration et la communication d’informations sensibles au Mexique.

Rencontrez-nous

Notre équipe sera à InfoSecurity Mexico au Centro Citibanamex au Mexique en mai. Si vous prévoyez d’être en ville, vous trouverez l’équipe Echoworx sur le stand n° #209. Nous présenterons des cas d’utilisation réels de la façon dont les entreprises gagnent de la valeur en intégrant le chiffrement dans leurs processus commerciaux, tout en sécurisant les communications. Passez nous voir pour discuter!

Par Christian Peel, vice-président ingénierie clients, Echoworx

05 Jan 2018
attaques sur les microprocesseurs

Attaques Spectre et Meltdown, vous pensez que le ciel vous tombe sur la tête?

Comme la plupart des entreprises, Echoworx est au courant des vulnérabilités récemment annoncées et qui ont un impact sur les microprocesseurs les plus modernes. Nous voulions prendre une minute pour donner des conseils sur les attaques Spectre et Meltdown, sensibiliser et vous fournir des informations sur les mesures prises par Echoworx pour y remédier.

Quelles sont ces attaques?

Spectre est en réalité deux vulnérabilités différentes, et Meltdown en est une. Ces deux attaques exploitent les caractéristiques des microprocesseurs « modernes » appelées « exécution spéculative ». L’exécution spéculative est une technique de pré-extraction de données et d’instructions de pré-exécution au cas où elles seraient nécessaires. En fait, si elles ne sont pas nécessaires, il existe encore des restes de données en mémoire qui peuvent être lus par d’autres processus.

L’attaque Meltdown est la pire des deux, car elle peut exposer toute la mémoire de l’ordinateur, pas seulement quelques parties. Meltdown est également plus facile à exploiter. Heureusement, Meltdown est aussi plus facile à corriger. D’un autre côté, Spectre est plus difficile à exploiter, expose moins, mais est plus difficile à traiter par des correctifs. Il existe des correctifs pour des exploits spécifiques connus.

Qu’est-ce qui est affecté par ces attaques?

Ce qui est « moderne » n’est pas si moderne que ça… du moins en informatique. En fait, tout processeur Intel construit depuis environ 1995 serait impacté. Les processeurs Intel, AMD, ARM et d’autres sont également affectés à des degrés divers. Des rapports indiquent que certains processeurs ne sont pas exposés à toutes les vulnérabilités, mais il est difficile de savoir si cela a été prouvé ou non. Il serait préférable de pécher par excès de prudence.

Que devriez-vous faire personnellement sur vos périphériques?

Vos correctifs doivent toujours être à jour, et ce cas ne fait pas exception. Il existe des correctifs pour Linux, Microsoft (Windows, Edge, IE), Apple (MacOS, iOS, TvOS, Safari), Android, Firefox, Chrome et probablement beaucoup d’autres applications. Leur mise à jour vous aidera à vous protéger.

Vous devez également vous assurer que votre logiciel antivirus/de sécurité sur Internet est à jour. Microsoft a annoncé que ses correctifs pourraient avoir des problèmes de compatibilité avec certains logiciels anti-virus. Le correctif pour Windows ne s’installe pas si vous avez une AV périmée ou incompatible. Il faut d’abord mettre à jour le logiciel AV, puis installer le correctif MS.

Sachez que certaines solutions à ce problème peuvent avoir un impact sur les performances. Il y a des estimations exagérées quant à l’impact que cela peut avoir, mais les vendeurs disent que les impacts sont minimes. Par exemple, Apple rapporte un maximum de 2,5% contre 1 point de référence pour ces correctifs.

Par David Broad CISSP, responsable de la sécurité de l’information et de la vérification, Echoworx

04 Oct 2017

Votre entreprise a-t-elle de bonnes pratiques … en matière de sécurité?

Merci à tous les médias qui nous ont aidé à répandre le message important de la pratique des communications sécurisées! Ils n’étaient pas obligés de le faire. Ils ont choisi de couvrir notre histoire parmi des centaines d’autres. Quand la confiance compte – la sécurité est essentielle.

Renseignements personnels: Dans l’actualité

Media Post | 5 octobre 2017 |
Les utilisateurs sont plus susceptibles de partager des informations dans les courriels que pendant les rendez-vous: Étude

LittleThings| 3 octobre 2017 |
Une étude montre que les Américains font plus confiance aux ordinateurs qu’aux nouvelles personnes pour donner des renseignements personnels

MensHealth | 28 septembre 2017 |
Vous faites probablement plus confiance à votre ordinateur qu’à votre petite amie

EBL News | 28 septembre 2017 |
Nous faisons plus confiance à internet qu’aux nouveaux partenaires amoureux

Yahoo News | 27 septembre 2017 |
Nous révélons plus sur les médias sociaux que lors d’un rendez-vous

USA Today | 27 septembre 2017 |
Nous faisons plus confiance à internet qu’aux nouveaux partenaires amoureux

New York Post | 26 septembre 2017 |
Les Américains font plus confiance à internet qu’aux nouveaux partenaires amoureux

MSN | 26 septembre 2017 |
Les Américains font plus confiance à internet qu’aux nouveaux partenaires amoureux

InfoSecurity | 28 novembre 2016 |
Quel rôle joue la confidentialité dans votre stratégie de transformation numérique?

 

08 Sep 2017
Respect de la vie privée dès la conception

Respect de la vie privée dès la conception – ou à cause d’une catastrophe?

Vous faites des affaires en Europe? Si c’est le cas, le RGPD peut vous infliger des amendes de 20 millions d’euros après le 25 mai 2018, sauf si vous avez mis en place des niveaux très élevés de protection de la vie privée dans vos systèmes.

Le Règlement général sur la protection des données (GDPR) protège la vie privée et les droits des personnes et entre en vigueur en mai. Il s’applique aux entreprises basées dans l’UE, ainsi qu’aux entreprises étrangères faisant des affaires dans l’UE. Le champ d’application couvre un large éventail de données personnelles, par exemple, les noms, les adresses e-mail, les médias sociaux, les coordonnées bancaires et les adresses IP des ordinateurs.

Pour les entreprises qui ne respectent pas le RGPD, il y a des amendes allant jusqu’à 20 millions d’euros ou jusqu’à 4% de vos bénéfices annuels mondiaux – un coup dur pour vos profits. La bonne nouvelle c’est qu’il existe une directive pour vous guider, connue sous le nom de Respect de la vie privée dès la conception, ou « PbD ».

La protection de la vie privée dès la conception
Le RGPD signifie suivre les sept principes PbD qui sont inclus presque textuellement dans le règlement.

1. Proactif non réactif ; préventif non réparateur Pensez à cela comme « protection de la vie privée dès la conception ou à cause d’une catastrophe ». Si vous intégrez la confidentialité, le chiffrement et la cybersécurité globale appropriés dans vos produits et services, vous risquez moins d’être victime d’une violation, ce qui signifie des amendes, des recours collectifs et une atteinte à votre réputation.

2. Protection de la vie privée par défaut Beaucoup de gens ne lisent pas les CLUF ou les longs documents juridiques des institutions financières. Facilitez l’utilisation de vos offres en respectant les plus hauts niveaux de confidentialité et de chiffrement, et demandez clairement l’autorisation spécifique d’utiliser les données du client à d’autres fins que celles prévues. Par exemple, ne cochez pas les cases afin que l’utilisateur final distrait ne donne pas la permission par accident.

3. Protection de la vie privée dès la conception Quel est le niveau de chiffrement de vos applications et systèmes de gestion des données? Cela doit être un fait par défaut, sans choix, intégré dans l’ensemble de votre architecture de données.

4. Fonctionnalité complète – une somme positive, pas une somme-zéro Il y a un argument selon lequel la sécurité totale et la confidentialité totale ne sont pas compatibles, mais c’est faux – un chiffrement fort vous permet d’avoir les deux. De plus, lorsque vos clients savent que vous l’utilisez, ils auront un niveau de confiance plus élevé et seront plus disposés à partager leurs données.

5. Sécurité de bout en bout – protection complète du cycle de vie Avec votre système conçu pour respecter et préserver la confidentialité à chaque contact, que se passe-t-il lorsque vous avez terminé avec vos données ? À partir du moment où un client donne son nom, jusqu’à la fermeture du compte, vous devez vous assurer que ses données sont gérées de manière sécurisée avant d’être détruites.

6. Visibilité et transparence – ça doit rester ouvert Soyez capable de démontrer que vous utilisez les données comme prévu à chaque étape. Mais vous devez également accepter de partager avec cette personne toutes les données que vous avez recueillies sur elle, car les données lui appartiennent. Et avoir accès à ces données signifie que cette personne peut corriger les erreurs et rendre les données beaucoup plus utiles pour vous.

7. Respect de la vie privée de l’utilisateur – l’utilisateur doit être au centre Être centré sur l’utilisateur signifie que votre entreprise et vos architectes de données sont proactifs en matière de protection de la vie privée des clients. Mais l’intégration d’un chiffrement fort des données et d’une cybersécurité globale ne se limite pas à la sécurité. L’investissement dans ces technologies et pratiques favorisera le respect et la confiance de vos clients, ce qui est une bonne chose, peu importe où vous faites des affaires.

Vous avez encore des questions ? Regardez notre webinaire, avec la créatrice de Protection de la vie privée dès la conception, Dr Ann Cavoukian, afin de mieux comprendre la préparation pour le RGPD.

Par Alex Loo, vice-président des opérations, Echoworx

07 Juin 2017
cybersécurité

Définir l’Avenir de la Cybersécurité, Ensemble

La cybersécurité est l’un des plus grands problèmes que rencontrent les entreprises dans l’environnement électronique actuel. Dans toutes ses facettes, la cybercriminalité continue d’augmenter, et les courriels sont, et devraient rester, la cible numéro 1 des cybercriminels. De nombreuses entreprises se focalisent sur la cybersécurité pour se protéger contre les attaques externes, mais ignorent les menaces potentielles liées aux courriels et par les courriels – ce qui peut être beaucoup plus destructeur.

Le vol de données confidentielles pour l’espionnage industriel, la divulgation de secrets commerciaux à un concurrent et/ou la divulgation d’informations privées sur la santé au public peuvent tous être obtenus par courrier électronique. On estime que d’ici 2019, les comptes de messagerie d’entreprise dans le monde dépasseront 1,3 milliard. Avec l’énorme volume de courriels entrant et sortant des entreprises, il y a un grand risque de violations. De plus, selon des recherches effectuées par Echoworx, les industries hautement réglementées, comme le pétrole et le gaz, les soins de santé et la finance, sont des cibles de choix pour les menaces à la sécurité du courrier électronique.

Il est urgent que les décideurs au sein des entreprises prennent en compte la réalité des vulnérabilités des messageries … ou subir les conséquences potentielles.

Prenons le piratage du DNC par exemple. Si le chiffrement des messages électroniques avait été utilisé et les mesures véritablement appliquées pour déclencher la messagerie sécurisée, la gravité du piratage aurait été minimale. Il fut un temps où le cryptage des e-mails était très compliqué à mettre en œuvre dans toutes les entreprises. Mais les temps ont changé.

Grâce au cryptage des courriels, les entreprises peuvent maintenant:

• Sécuriser les communications numériques tout en développant leurs marques
• Améliorer le service à la clientèle
• Améliorer l’efficacité et réduire les coûts d’exploitation
• Augmenter la vitesse, la performance, la fonction
• Assurer la conformité réglementaire
• Prévenir la perte de données, atténuer les risques

Jeter un regard en arrière: Cybercon 2016

Echoworx, un fervent partisan du chiffrement de courriers électroniques de classe mondiale, a participé à la Cybercon 2016 qui s’est tenue à Atlanta, pour discuter des problèmes en constante évolution de la cybersécurité et du rôle que nous jouons tous dans la sécurité des données.

En fait, Echoworx a été l’une des douze entreprises sélectionnées à travers le monde pour participer à une séance de présentation de produits sur invitation durant la Cybercon 2016.

« Nous sommes ravis qu’un groupe aussi fort et diversifié d’entreprises de cybersécurité étrangères et nationales participe à cette opportunité unique pour raconter leur histoire à des professionnels de premier plan du secteur de la sécurité », a déclaré Justin Daniels, directeur du groupe Atlanta Emerging Companies Group de Baker Donelson et de l’accélérateur de cyber-sécurité Baker Donelson. « Étant donné que la plupart des sociétés présentes viennent hors des États-Unis, c’est véritablement un événement qui souligne la reconnaissance internationale de l’écosystème robuste de cybersécurité de la région métropolitaine d’Atlanta. »

Par Kael Harden, directeur de territoire – Est, Echoworx

15 Mai 2017
cyberattack

LES RÉPERCUSSIONS DES CYBERATTAQUES, PLUS IMPORTANTES ET MOINS VISIBLES QUE VOUS NE LE PENSIEZ.

La cybersécurité est l’une des questions les plus discutées dans toute organisation. Bien que la nécessité de protéger votre entreprise contre toutes sortes de cyberattaques demeure urgente, le véritable impact d’un incident de cyberattaque n’a pas encore été prouvé.

Récemment, j’ai lu un article de Deloitte qui disait qu’il est difficile pour les dirigeants d’évaluer l’impact des cyberattaques sur leur entreprise parce qu’ils ne sont pas vraiment conscients du travail et des efforts qu’ils font pour rendre une entreprise cyber-sécurisée, ou des conséquences de ne pas le faire avant qu’il ne soit trop tard.

Le piratage du DNC a été le plus gros piratage électoral de l’histoire des États-Unis. Tous les deux jours, WikiLeaks est occupé à rendre publiques les conversations « privées » qui ont eu lieu au sein des réseaux DNC. Ces conversations privées se répandent comme une traînée de poudre sur les médias sociaux. Les cyberattaques comme celle contre le DNC ne sont pas rares. Chaque jour qui passe, il y a une nouvelle intrusion dans les données de Yahoo, les dossiers médicaux d’Anthem, à travers le logiciel ransomware WannaCry, et ainsi de suite.

Les courriels sont utilisés tous les jours pour les communications d’entreprise, y compris les communications confidentielles. Malheureusement, même après tous ces incidents publics et les leçons tirées, beaucoup d’entreprises hésitent encore à utiliser le cryptage. Les raisons vont de la complexité du logiciel à l’excès de confiance dans la faible probabilité d’une cyberattaque contre eux. Mais devinez quoi ? Personne n’est en sécurité. Peu importe la taille de l’entreprise.

Les coûts et les répercussions d’une atteinte à la protection des données et des cyberattaques comprennent:

• Notification coûts : Toutes les démarches nécessaires pour signaler l’infraction au personnel compétent dans un délai imparti.
• Les coûts d’intervention en cas d’atteinte à la sécurité : Toutes les activités nécessaires pour informer les personnes concernées par lettre, appel téléphonique, courriel ou avis général que des renseignements personnels ont été perdus ou volés.
• Le coût de la prestation de services de surveillance du crédit pendant au moins un an.
• Atteinte à la réputation.
• Perte de clientèle.
• Publicité négative : Couverture médiatique étendue, ce qui nuit encore plus à la réputation de l’organisation.
• Honoraires d’avocats et litiges.
• Augmentation des primes d’assurance.
• Perte de propriété intellectuelle (PI).

C’est à vous de protéger la confidentialité des données de votre entreprise. Et il est temps d’agir maintenant.

Si vous souhaitez en savoir plus sur la plupart des risques en matière de cybersécurité et sur les moyens sûrs de les réduire, les contenus supplémentaires mentionnés ci-dessous peuvent vous intéresser.

Téléchargez notre RAPPORT| Combien Faites-Vous Confiance au Courriel?

Par Will Nathan, Echoworx.

14 Mai 2017
employee breaches

VOUS NE POUVEZ PAS ARRÊTER LES CLICS !

Demandez au citoyen moyen dans la rue quelle est la plus grande menace pour la sécurité de l’entreprise, et il dressera une longue liste de pirates informatiques étrangers, de cas d’espionnage d’entreprise et de tous les types de scénarios de type James Bond. Posez la même question à un professionnel de la sécurité et vous obtiendrez une réponse beaucoup plus simple : « Les gens ». En particulier, les employés. C’est vrai, le « facteur humain » l’emporte sur tous les autres risques de sécurité auxquels les entreprises sont confrontées. Bon nombre des atteintes à la sécurité dont il est question dans les gros titres comportent également un élément humain, qu’il s’agisse d’un simple stratagème d’ingénierie sociale et de donner accès sans le savoir à un pirate informatique ou de quelque chose de plus ingénieux élaboré par un employé mécontent.

Selon l’Identify Theft Resource Center, en 2016, les entreprises et les organismes gouvernementaux américains ont subi plus de 1 000 infractions de sécurité, soit une augmentation de 40 % par rapport à 2015, atteignant un record absolu ! En 2016, les incidents de piratage ont atteint un niveau record – près de 55,5 % de toutes ces intrusions – soit une augmentation de 17,7 % par rapport à 2015. Les atteintes à la confidentialité de l’information par courriel au taux de 9,2 %, suivi de la catégorie des erreurs ou de la négligence des employés au taux de 8,7 %. Bien que certains types d’atteintes à la sécurité des données diminuent généralement en proportion du total, les pertes de données dues au piratage et à l’hameçonnage augmentent rapidement.

Dans un récent rapport du Data Breach Digest de Verizon, les attaques d’ingénierie sociale ont un tel succès parce que les acteurs de la menace savent que les humains sont le maillon faible de toute stratégie de sécurité de l’information. Ils exploitent la curiosité naturelle des gens, leurs peurs, leur fierté et d’autres facteurs du psychisme humain pour avoir accès à des données sensibles. Il s’agit habituellement de quelque chose d’aussi simple que de cliquer sur un lien ou d’ouvrir une pièce jointe dans un courriel qui semble provenir d’une source digne de confiance. Le rapport Verizon démontre à quel point cela peut être simple:

• Un employé qui reçoit un courriel de félicitations de la part du DPI de l’entreprise pour un travail bien fait : « Cliquez ici pour votre prix récompensant vos réalisations. » Résultat : une tentative de virements bancaires totalisant plus de 5 millions de dollars.

• Un ingénieur en chef à la recherche d’un emploi pendant ses heures de travail reçoit un courriel d’un recruteur offrant des possibilités d’emploi prometteuses : « Les postes vacants actuels sont dans le fichier joint. » Résultat : Des plans volés utilisés par un concurrent pour faire son entrée plus rapidement sur le marché.

Vous pensez que vos employés sont trop intelligents pour cela ? Pensez-y à nouveau. Les employés ne sont pas stupides – ils ont été mis en garde contre les risques de cliquer sur des liens et d’ouvrir des pièces jointes depuis des années. Beaucoup rigolent devant la fontaine d’eau à propos des courriels des banques de pays étrangers leur annonçant avoir hérité de 20 millions de dollars d’un parent décédé, ou les faux courriels de PayPal ou d’Apple qui veulent simplement « confirmer » leur compte. Mais les pirates informatiques sont devenus de plus en plus astucieux pour comprendre les facteurs qui motivent les humains à agir et créent des moyens astucieux pour en tirer profit. Ces types d’objectifs peuvent être de nature assez générale, comme l’accès à tous les dossiers d’une entreprise de soins de santé, ou ils peuvent être spécifiques, comme l’accès aux plans pour un nouveau produit d’une entreprise, tel que cela a été précédemment décrit.

(Opinion : Le monde entier est en train de se faire pirater. Pourquoi ne pas en faire plus pour arrêter cela ?) https://t.co/JvrhMZW9zc pic.twitter.com/HsmDvB8tEQ
— The New York Times (@nytimes) 14 mai 2017

Malheureusement, malgré le fait que les employés sont conscients de l’existence de ces programmes, cela ne change pas leur comportement – ou le comportement de l’entreprise dans son ensemble – en leur offrant une meilleure formation. Selon un récent rapport d’Osterman Research, « les employés doivent être constamment sensibilisés et formés par le biais de programmes de sensibilisation à la sécurité afin d’être plus vigilants quant à leurs actions ». Le rapport cite des statistiques alarmantes tirées d’un récent sondage auprès des personnes interrogées qui participent à la gestion des dispositifs de sécurité au sein de leur moyenne ou grande organisation. Dans ce sondage, seulement 31 % des personnes interrogées considéraient que « faire une évaluation du niveau de préparation de nos employés au niveau de la sécurité » était une méthode utilisée de manière significative ou approfondie pour évaluer l’efficacité de leurs dépenses en matière de sécurité de l’information. Comparativement, il y a 49 % des personnes qui attachaient une grande importance au fait de procéder à une évaluation de la conformité par rapport aux normes réglementaires.

L’étude a également révélé un écart important entre l’importance de prévenir les atteintes à la protection des données entre les cadres supérieurs et les cadres moyens et les travailleurs « moyens ». Bien que 77 % des personnes interrogées estiment que leur organisation est très bien ou raisonnablement bien préparée à faire face aux répercussions d’une atteinte importante aux données, la priorité accordée à la prévention des atteintes à la protection des données varie considérablement selon le rôle au sein d’une organisation. Par exemple, 71 % des cadres supérieurs en informatique accordaient une priorité élevée à la prévention contre les intrusions, alors que seulement 21 % des employés  » moyens  » l’ont fait. Les gestionnaires de niveau intermédiaire (43 %) et les cadres supérieurs (55 %) étaient également très peu enclins à accorder un degré de priorité élevé à la prévention des atteintes à la protection des données.

En résumé : La sécurité de l’entreprise peut être une préoccupation majeure pour les dirigeants, mais cette urgence ne se fait pas sentir chez les employés qui mettent en danger les données sensibles de l’entreprise, quelle qu’en soit la forme. Lorsque la sécurité se résume à une simple case à cocher, le blâme retombe sur l’entreprise lorsque des erreurs humaines sont commises. Les éliminer autant que possible en utilisant une technologie qui les préviennent de faire de simples erreurs « humaines » est essentiel à la sécurité de l’entreprise.

Si vous souhaitez savoir comment protéger vos informations sensibles contre le facteur « humain », le contenu ci-dessous peut vous intéresser :

Téléchargez notre RAPPORT| Combien Faites- Vous Confiance au Courriel?

Par Greg Aligiannis, Directeur principal de la sécurité, Echoworx

 

12 Mai 2017
insider threats

LA LUTTE CONTRE LES MENACES INTERNES

Quand Edward Snowden a divulgué les documents confidentiels du programme de surveillance de la NSA, il a envoyé un message fort aux entreprises ; si un employé peut voler des documents sensibles de la NSA, un employé peut agir de la même façon avec n’importe qui. En autorisant l’accès des employés aux données confidentielles d’une entreprise, il y a un risque évident en ce qui concerne sa sécurité financière et informatique, car ces données peuvent être utilisées pour exploiter l’entreprise.

Quelle est la motivation derrière de telles trahisons ? Il peut s’agir d’une occasion frauduleuse qui se présente à un employé ou d’un ressentiment qu’ils nourrissent et qui fomente dans l’action. Il peut s’agir de la morale ou des croyances profondes d’un employé ou, en fait, du gain financier. L’accès aux secrets les mieux gardés de l’entreprise et la connaissance interne de ses faiblesses en matière de sécurité, donne toujours un avantage aux coupables.

Le fait de voler de façon préméditée n’est pas la seule menace interne.

Imaginez votre entreprise, maintenant imaginez qu’un employé de votre entreprise envoie un document confidentiel à un client. Peut-être qu’il est pressé, qu’il est un peu groggy ou qu’il envoie le courriel avant que le café ne fasse effet et qu’il envoie le document confidentiel sans le crypter. Le hacker attend en fin de ligne pour trouver une vulnérabilité, et devinez quoi, votre employé du mois vient de lui remettre la sécurité de votre entreprise sur un plateau d’argent. En 2015, plus de 116 milliards de messages commerciaux ont été envoyés chaque jour. C’est 116 milliards de chances pour que des informations sensibles soient interceptées – soit dans un but malveillant ou accidentellement.

Le principal élément de la menace à la #cybersécurité est profondément humain. https://t.co/WSWyLeHms5
— Echoworx (@Echoworx) 13 décembre 2016

La quantité de données qui circulent tous les jours au sein des réseaux d’entreprise peut être stupéfiante et une grande partie de ces données est considérée comme confidentielle. Les entreprises dans des secteurs très réglementés détiennent de grandes quantités de données confidentielles, notamment des données biométriques, des dossiers médicaux, des opérations financières et le suivi des stocks. Le simple fait d’avoir accès à une mine de renseignements hautement confidentiels en une seule fois fait des industries très réglementées des cibles de choix.

Étant donné que de nombreuses entreprises privilégient les pare-feu et la sécurité des serveurs et évitent le cryptage des courriels, elles laissent subsister une énorme faille pour l’interception des messages en mettant ainsi les informations en danger. Le cryptage du courrier électronique basé sur des stratégies est un élément clé pour combattre les cybercriminels qui déploient encore plus d’efforts pour pirater les données de messagerie d’entreprise.

Les solutions de cryptage des e-mails, qui peuvent être configurées pour reconnaître et crypter les e-mails spécifiés en fonction des politiques préalablement définies par l’entreprise, offrent une expérience conviviale pour les employés et une certaine tranquillité d’esprit pour la gestion informatique. Mais est-ce que votre personnel l’utilisera de façon efficace ? Tous les cas nous ont montré que des entreprises et même des secteurs entiers ont négligé de se poser cette question.

Si les solutions de sécurité du courrier électronique – ou toute autre technologie dans ce domaine – sont trop compliquées, les employés vont presque certainement trouver des moyens plus faciles d’accomplir leurs tâches. Dans ce cas de figure, la sécurité représente la balle qui est lâchée. Les menaces internes continuent de priver de sommeil les dirigeants d’entreprise la nuit. Un récent rapport de PwC aux États-Unis a révélé que 32 % des personnes interrogées estiment que les menaces internes sont plus coûteuses et plus dommageables que les incidents externes.

Le cryptage est indispensable pour garantir que ces informations confidentielles restent privées et sécurisées – pendant que les courriels sont en transit et au repos. Si vous souhaitez en savoir plus sur la façon dont le cryptage des courriels peut aider votre entreprise et vos employés à protéger les données sensibles, le rapport ci-dessous est susceptible de vous intéresser.

Téléchargez notre RAPPORT| Combien Faites-Vous Confiance au Courriel?

Par Sam Elsharif, VP Développement logiciel, Echoworx

07 Mai 2017
Wannacry

WannaCry: La menace persiste, la confidentialité contre la sécurité est terminée

Pour toute personne utilisant des ordinateurs dans son entreprise ou organisation, considérez la date du 12 mai 2017 comme une sonnette d’alarme. C’est une date à laquelle, ce qui est considéré comme la plus grande attaque informatique de l’histoire s’est déroulée, affectant des ordinateurs dans 150 pays à travers le monde. WannaCry est un logiciel malveillant transmis par courriel à partir d’un lien et crypte les fichiers locaux, exigeant une rançon de $300 US en Bitcoin pour leur libération.

Les cyber attanquants utilisent un hack volé développé par l’agence de sécurité nationale américaine (NSA) pour la collecte des renseignements, à partir d’une faille dans le logiciel de Microsoft Windows.

Jacob Ginsberg, Directeur principal des produits à Echoworx, a proposé une solution pour la réduction ou atténuation de pareils risques d’attaques.

Quelles sont les lacunes des approches gouvernementales et d’entreprises exposées par cette attaque?

Ceci est la conséquence directe d’une politique que nous avons menée et il est temps de la changer. Les relations entre l’État et le secteur privé ont été contradictoires et ils n’ont pas collaboré.

Le gouvernement des États-Unis accumule des vulnérabilités et procède à leur exploitation, plutôt que de les déclarer aux fabricants (la NSA a informé Microsoft de la faille seulement après le vole du hack). Ces hacks sont des armes. Le gouvernement et les services de renseignements jouent à un jeu risqué. Ils misent sur la valeur de garder ces vulnérabilités exposées – dans le but d’espionner et d’attaquer qui ils veulent – l’emportant sur les risques de garder leurs citoyens et leurs infrastructures en danger – cependant, c’est un jeu auquel ils ne sortiront pas victorieux tout le temps.

Nous devons l’admettre que le récit de la confidentialité contre la sécurité est révolu. Nous avons besoin de plus de coopération entre les secteurs public et privé. Les services de sécurité ont des conseils à prodiguer. En ce qui concerne le WannaCry, les services de renseignement, de sécurité et Microsoft ont fait du bon travail. Tous se sont accaparé du problème et ont travaillé en synergie pour résoudre et limiter les dégâts.

Il existe un lien entre la technologie, la société et les choses sur lesquelles nous dépendons. Les gens peuvent sérieusement être affectés suite aux cyber-menaces. À titre d’exemple, en Angleterre, des opérations chirurgicales sur des patients ont été annulées suite à cette attaque. Nous devons travailler ensemble pour la sécurité de nos pays et de nos infrastructures. Il faut créer une nouvelle relation entre les intérêts publics et privés.

Pour plus d’informations sur le rançongiciel de Wannacry et comment vous protéger, veuillez cliquer ici: https://t.co/CKQAJZbbYQ #WannaCry #wcry #Ransomware

— Réponse de sécurité (@threatintel) le 13 mai 2017

Comment protéger mon organisation contre de telles attaques?

Cette WannaCry attaque est quelque chose que l’organisation aurait pu éviter. Ceci fait suite à l’utilisation des logiciels obsolètes. Il est important d’avoir des logiciels actualisés et plus récents.

Bien que vous soyez tentez d’ignorer les notifications qui vous invitent à mettre à jour votre logiciel et système d’opération, ne le faites pas. Bien que Microsoft ait offert un patch en mars traitant ainsi la vulnérabilité de WannaCry, plusieurs organisations ne l’ont pas utilisé, ni procéder à la mise à jour leur logiciel ou avaient des anciens systèmes d’exploitation, ne pouvant plus être pris en charge. À cet effet, Microsoft a fait sortir un patch pour ces anciens systèmes, mais c’est un cas rare qui pourrait ne plus jamais se produire.

Utilisez le logiciel de cryptage afin d’assurer la protection de vos données et informez votre personnel sur la procédure adéquate du courriel. L’ancien débat sur le fait que le logiciel de cryptage est difficile à utiliser ou qu’il ralentit le système n’est plus d’actualité.

Obtenez des politiques claires en ce qui concerne l’accès et l’autorisation à l’information. Ceci est destiné à tout le monde, des grandes entreprises Fortune 500 au citoyen moyen.

La menace fait-elle partir du passé pour l’instant?

Ce serait un canular de penser que cela n’arrivera plus jamais. La technologie s’infiltre dans chaque aspect de la société. Nous utilisons tous des services bancaires en ligne, par exemple. Si ce genre de choses à l’instar de ce piratage persiste à la longue, il pourrait être exploité par des groupes terroristes ou crimes organisés.

Nous ferions mieux d’en tirer des leçons et de penser mieux parce qu’ils (cyber attaquants) sont toujours là. C’est un jeu constant de chat à la souris, et les méchants font attention. Considérez ceci comme une sonnette d’alarme.

Par Lorena Magee, VP Marketing, Echoworx.

28 Avr 2017
Echoworx | Email Encryption Solutions | How to Protect Company Email From Attacks

COMMENT PROTÉGER LE COURRIER ÉLECTRONIQUE DE VOTRE ENTREPRISE CONTRE LES ATTAQUES

Le courrier électronique est l’un des moyens les plus fréquemment utilisés par les attaquants pour infiltrer les systèmes d’une organisation et accéder à des données sensibles. Le courriel est un outil qui fait partie intégrante des téléphones intelligents, des tablettes, des appareils de jeu et des ordinateurs de bureau, mais qui toutefois n’est pas spécifiquement conçu pour protéger la vie privée ou la sécurité.

Sans la mise en place de protections, « le courrier électronique est une carte postale et non une lettre scellée », prévient Jacob Ginsberg, directeur principal des produits chez Echoworx. Il dit que souvent les gens ne comprennent pas la permanence des données et comment elles peuvent exister sur les serveurs bien après qu’ils l’aient oublié.

«Le courrier électronique est l’un des moyens les plus répandus pour les pirates informatiques d’infiltrer le système d’une entreprise », déclare Sam Elsharif, vice-président du développement de logiciels chez Echoworx. « Ils utilisent souvent l’hameçonnage, envoyant des courriels qui semblent provenir d’une source légitime qui demande aux destinataires de cliquer sur un lien qui les dirige vers un lien leur demandant de fournir des renseignements sur leur carte de crédit ou leur mot de passe».

La cybercriminalité coûtera 8 billions de dollars d’ici 2022 #cybercrime #CyberSecurity #infosec https://t.co/qwdvngJmHY pic.twitter.com/GlO6Ez0BDv

— Bob Carver (@cybersecboardrm) 31 mai 2017

Comment sécuriser vos communications par courriel?
Selon M. Ginsberg, le cryptage est une solution logique et assure une protection efficace. Même les petites et moyennes entreprises devraient envisager le cryptage, surtout si elles gèrent des données comme la propriété intellectuelle et les informations sur les cartes de crédit des clients.

« Il y a de vieilles idées fausses sur le cryptage – il doit être difficile à utiliser, seuls les experts en informatique peuvent le comprendre, cela ralentit les choses – mais elles ne sont plus valables », dit M. Ginsberg. « Les outils sont simples à utiliser et j’encourage fortement le cryptage. »

M. Ginsberg affirme qu’avec le cryptage, seuls les utilisateurs et les destinataires prévus peuvent voir les données. Pour plus de sécurité – et un outil d’hameçonnage – les utilisateurs pourraient vouloir ajouter une signature numérique (un message codé associé à une personne en particulier).

La formation du personnel sur l’utilisation du courrier électronique est capitale.
« Organiser régulièrement des formations pour sensibiliser les employés aux réglementations et bonnes pratiques en matière de courrier électronique », suggère Elsharif. « Faites preuve de vigilance : recherchez des menaces et des solutions et observez comment votre organisation stocke les données, comment vous envoyez des courriels, et comment vous traitez l’information relative aux cartes de crédit. Assurez-vous que votre entreprise se conforme à la réglementation en vigueur ».

Elsharif préconise de consulter plus d’un fournisseur, selon vos besoins. « Tout le monde a besoin de pare-feu et d’un logiciel antivirus. Autorisez-vous vos employés d’accéder à votre réseau de l’extérieur ? Il se peut que vous ayez à considérer la possibilité d’un VPN (Virtual Private Network) (réseau privé virtuel). N’ayez pas peur de vérifier auprès de plusieurs fournisseurs. Aucune entreprise ne peut tout faire à elle seule. »

La technologie peut être efficace pour limiter les menaces par courriel, mais ne comptez pas uniquement sur elle.

«Rien ne dépasse le bon sens humain », dit Elsharif. « En tant qu’utilisateur, essayez de suivre les bonnes pratiques et ne soyez pas négligents dans la gestion de vos données.»

Voir, c’est croire
Voyez par vous-même comment notre toute dernière technologie de cryptage est facile à installer, extrêmement personnalisable, et surtout, très simple à utiliser pour tout le monde.

Contactez-nous pour une démonstration en direct.

Par Greg Aligiannis, Directeur principal de la sécurité, Echoworx

12 Avr 2017
educating security personnel

CRYPTER, SENSIBILISER ET RESPONSABILISER POUR MINIMISER LES RISQUES D’ATTAQUE

Le cryptage est indispensable pour protéger les données précieuses de votre entreprise et assurer le bon fonctionnement de vos opérations. Mais avec un contexte de menaces en constante évolution, votre entreprise reste vulnérable aux risques d’attaques ou de vol de données.

Comment pouvez-vous vous assurer que la solution de cryptage de votre organisation conserve toujours une longueur d’avance sur les pirates et que vos systèmes ne seront pas piratés ?

« Il faut rehausser les murs sur tous les fronts », déclare Jacob Ginsberg, directeur principal des produits chez Echoworx.

« Souvent, vous ne savez pas si votre système comporte des failles », ajoute Sam Elsharif, vice-président du développement logiciel chez Echoworx. « Si vous êtes administrateur système, assurez-vous d’utiliser les outils les plus performants pour protéger votre système, y compris les derniers patchs et correctifs fournis par vos prestataires de services. Assurez-vous toujours que vos systèmes ont les dernières mises à jour et exécutez des scans, surveillez votre réseau et observez les meilleures pratiques».

les meilleures pratiques
Les meilleures pratiques comprennent le respect des règles de conformité, le fait de savoir comment supprimer et stocker correctement les données, déterminer qui peut avoir accès au réseau et apprendre à détecter les failles. M. Elsharif conseille de consulter les fournisseurs afin d’être au courant des dernières avancées en matière de logiciels de cryptage, de se tenir au courant des réseaux et de la sécurité, et de lire les actualités pour savoir quelles sont les nouvelles cibles des pirates informatiques.

Réduire au minimum le risque d’attaque
M. Ginsberg suggère ces mesures pour aider une entreprise à réduire au minimum les risques d’attaque : « Tout d’abord, sensibiliser les utilisateurs aux bonnes habitudes d’utilisation du courrier électronique. Ensuite, renforcez votre propre personnel informatique et de sécurité. Donnez du pouvoir à vos experts en interne ou collaborez avec des experts externes. C’est un défi permanent de toujours être au courant des changements qui se produisent en permanence. »

Selon M. Ginsberg, le personnel informatique devrait évaluer l’état de sécurité du réseau, les outils déployés et les pratiques des membres de l’organisation. Si les habitudes des utilisateurs mettent les données en danger : « c’est une discussion difficile à avoir, mais on ne peut plus se permettre de passer outre».

Il explique que les gens sont souvent frustrés par les outils ou les procédures et cherchent un moyen de les contourner. Par exemple, ils peuvent envoyer des courriels à partir de leur téléphone cellulaire personnel ou utiliser leur ordinateur personnel pour se connecter à un réseau d’entreprise, ce qui crée un risque.

Nouveau poste : « La majorité des employés sont prêts à partager des informations sensibles, selon un sondage. » https://t.co/tgSEEl82Z8

— Maria Korolov (@MariaKorolov) 20 avril 2017

Le Cryptage Avancé est une Solution Logique
Bien que certaines entreprises et certains utilisateurs puissent être réticents à adopter le cryptage parce qu’il était difficile à utiliser et ralentissait le transfert de messages, ce n’est plus une excuse valable. M. Ginsberg précise que la technologie de cryptage a évolué de sorte qu’elle est désormais facile à utiliser et qu’elle fonctionne rapidement et de façon transparente en arrière-plan, ce qui facilite la protection des communications sensibles.

Voir, c’est croire.
Rejoignez-nous pour une démonstration en direct de notre plateforme de cryptage de courriels – OneWorld. Voyez par vous-même comment notre technologie de cryptage de pointe est facile à installer, hautement personnalisable et, surtout, simple d’utilisation pour tous.

Par Greg Aligiannis, Directeur Principal de la sécurité, Echoworx

14 Mar 2017
Echoworx | Email Encryption Solutions | GDPR: Will You Weather the Security Storm? 1

GDPR: ALLEZ-VOUS SURVIVRE À LA TEMPÊTE DE SÉCURITÉ ?

Vous vous imaginiez qu’une communication simplifiée et sécurisée avec les employés et les clients serait en tête de liste de contrôle de toute entreprise de services financiers, n’est-ce pas ? Que le besoin de confidentialité et de conformité réglementaire n’a jamais été aussi important ? D’autant plus que les données financières ont été parmi les plus souvent exposées et volées lors de récentes intrusions récentes. Réfléchissez encore une fois ! Notre sondage de l’an dernier a révélé qu’en dépit du fait que 83 % des professionnels des services financiers utilisent le courrier électronique plus que toute autre forme de communication, 23 % n’utilisent pas ou ne connaissent aucune des technologies de cryptage du courrier électronique et du partage de fichiers existants.

Il est temps pour les entreprises de fermer les portes, car le Règlement général sur la protection des données (RGPD) « General Data Protection Regulation (GDPR) » arrive et les entreprises sont préoccupées par son impact. La Commission européenne a adopté de nouveaux règlements panrégionaux, qui entreront en vigueur en avril 2018. Les entreprises qui ne se conforment pas aux nouvelles lois pourraient se voir infliger des amendes de 20 millions d’euros ou de 4 % du chiffre d’affaires global – le montant le plus élevé étant retenu. Les amendes de ce niveau auront un impact significatif sur toute entreprise. Vous n’avez qu’à regarder les coûts encourus par TalkTalk à la suite d’une violation de données très médiatisée l’an dernier (60 millions de livres sterling et une perte considérable de clients) – et vous pouvez voir des amendes de ce genre qui empêchent le CFO de dormir la nuit.
Nous avons organisé une table ronde à l’intention des DPI et des RSSI des sociétés de services financiers. La plupart ont admis qu’ils savaient qu’il fallait faire quelque chose au sujet de la conformité au RGPD, mais ils ne savaient pas par où commencer. Il est clairement ressorti de ces entretiens avec ces hauts responsables de l’industrie des services financiers que les entreprises sont tout à fait conscientes de la menace que représentent les cybercriminels et les pirates informatiques. Ils ont déjà pris des mesures visant à les contrer. Cependant, la pression pour réduire les coûts est une lutte ressentie par tous. Une étude menée par TheCityUK Cyber Taskforce (p.11) a révélé que 46 % des entreprises considèrent les cybermenaces comme une source de préoccupation majeure pour leurs activités, contre seulement 10 % dans la même enquête un an plus tôt.

Les courriels internes ne sont pas les seuls à devoir se protéger par un niveau de sécurité adéquat. La communication externe avec les clients nécessite également des mesures de sécurité. Les récits sur la cybercriminalité et les atteintes à la protection des données continuent de faire la une des journaux tous les jours, tandis que les consommateurs sont plus avisés que jamais en matière de technique et de sécurité. En fait, une enquête récente du ministère américain du Commerce a révélé que 45 % des consommateurs ont déclaré que les préoccupations liées à la cybersécurité les empêchaient d’effectuer des transactions financières en ligne.
Les institutions de services financiers devraient disposer de solutions de cryptage solides qui sont à la fois faciles à gérer pour l’entreprise et qui sont en même temps conformes aux besoins et aux attentes des clients. Les banques ont continué à résister parce qu’elles trouvent que c’est trop compliqué. Beaucoup affirment que les clients ne parviendront pas à comprendre comment utiliser des solutions de sécurité plus complexes. Ce n’est tout simplement plus une excuse. Il existe de nombreuses options sur le marché qui privilégient l’expérience utilisateur. Avec une puissante solution de cryptage de courriels, le processus est simplifié tant pour l’expéditeur que pour le destinataire.

Le coût d’une atteinte à la protection des données pour une organisation de services financiers va bien au-delà des implications financières (bien qu’avec la perspective d’amendes énormes dans le cadre du GDPR – c’est certainement une préoccupation importante). La réduction de la confiance des clients et les dommages à la réputation sont un facteur contributif tout aussi coûteux. Depuis longtemps, les sociétés du secteur des services financiers ont renforcé leurs mesures de sécurité au niveau des limites de leurs activités. Ils doivent maintenant étendre cette protection à leurs clients. Des questions comme les intrusions dans le système de TalkTalk, ainsi que les nouveaux pouvoirs d’espionnage du gouvernement sous la forme du projet de loi sur les pouvoirs d’enquête ont suscité plus d’inquiétude que jamais chez les clients quant à la sécurité de leurs données. Les banques doivent intervenir rapidement pour rassurer les clients et éviter qu’ils se tournent vers un rival plus sûr. En outre, toutes les entreprises de services financiers doivent s’assurer qu’elles se conforment au GDPR, en adoptant le cryptage des données personnelles et toute la notion de sécurité et de respect de la vie privée dans sa conception, avant qu’il n’entre en vigueur en 2018.

Le Règlement général sur la protection des données (GDPR) entre en vigueur en Europe en mai 2018, les entreprises américaines et canadiennes qui pensent que cela ne les affectera pas seront confrontées à un dur réveil – avec des amendes de 20 millions d’euros, ou 4% de votre revenu global, la valeur la plus élevée étant retenue!

Pour en savoir plus sur le GDPR regardez notre webinaire La protection de la vie privée au niveau de la conception
« Privacy by Design » avec la créatrice, Dr. Ann Cavoukian.

Par Jacob Ginsberg, directeur principal, Echoworx

Cet article a été publié initialement dans la Global Banking & Finance Review