Catégorie : Information et la sécurité.

03 Avr 2019
customer centric encryption

Pourquoi le Cryptage Centré sur le Client est Indispensable dans les Services Financiers

Avant que le cryptage des messages ne devienne une pratique courante avec son intégration dans les platesformes de messagerie populaires, tel que WhatsApp, et dans les réglementations internationales de protection de la vie privée, comme le Règlement Général de l’UE sur la Protection des Données (GDPR), le secteur des services financiers pouvait généralement s’en tirer avec des options trop complexes et peu faciles à utiliser en termes de sécurité des données. Les clients ignoraient tout simplement que la protection de leurs données pouvait être transparente et pratiquement invisible.

Ils le savent maintenant et attendent des solutions de cryptage centrées sur le client, en particulier de la part des organisations de services financiers qui sécurisent leurs données les plus sensibles.

Les sociétés de services financiers ne devraient pas avoir à choisir entre la sécurité et l’expérience client. Si vous examinez les spécifications de chiffrement, vous remarquerez que les algorithmes ne sont pas les principaux différenciateurs d’une solution de messagerie sécurisée. Presque tous les produits de sécurité contemporains comportent un cryptage RSA 2048 bits, un cryptage AES 256 bits, ainsi que des signatures SHA2.

L’expérience client constitue le véritable différenciateur. Dans quelle mesure est-il facile pour les clients et les employés d’utiliser la solution de cryptage ? Et bénéficient-ils de l’expérience client impressionnante à laquelle ils s’attendent ?

Cinq façons de sécuriser l’innovation centrée sur le client grâce au cryptage

Les différenciateurs de l’expérience client que les entreprises de services financiers devraient rechercher dans une solution de cryptage incluent :

  • Des stratégies définissables pour contrôler les communications nécessitant un cryptage et la manière dont elles sont envoyées.
  • Plusieurs méthodes de distribution flexibles pour différents types de communications cryptées sécurisées.
  • Une expérience utilisateur simple et sans friction pour les employés et les clients, peu importe leur savoir-faire technique (ou leur manque).
  • De multiples options de marque et de langue afin de soutenir l’alignement de la marque et les attentes des clients, ainsi que donner aux clients la tranquillité d’esprit découlant de la réception de messages sécurisés d’une source fiable.
  • Prise en charge de comptes dédiés pour aider les entreprises à comprendre comment le cryptage des e-mails s’intègre dans leur modèle commercial.

 

L’expérience client est si importante parce qu’elle est directement liée à la confiance – la nouvelle monnaie dans le secteur bancaire (trust—the new currency in banking). Vos clients ont besoin de vous confier leurs données les plus personnelles et, qu’elles soient confidentielles ou non, les expériences des utilisateurs érodent leur confiance dans votre capacité à protéger leurs données. Et quand les clients perdront confiance et ne feront plus confiance à votre marque, ils partiront. Un récent sondage d’Echoworx a révélé que 80 % des clients envisagent de quitter une marque après une atteinte à la protection des données. Compte tenu du nombre de PDG préoccupés par la réputation de leur entreprise, il n’est pas logique de se contenter d’une solution de cryptage qui ne peut pas supporter une expérience client impressionnante : le risque pour la marque est simplement trop élevé.

En plus de bénéficier de votre modèle commercial centré sur le client, l’adoption d’une solution de chiffrement flexible et sans friction présente des avantages monétaires supplémentaires. Une étude récente de Forrester Total Economic Impact™, par exemple, a révélé qu’une entreprise typique peut réduire son résultat net de 2,7 millions de dollars en utilisant notre solution de cryptage flexible OneWorld.

Pour obtenir l’étude complète de Forrester Total Economic Impact™ sur OneWorld, cliquez ici 

Atteindre à la fois la conformité réglementaire et l’orientation client

Comme toutes les entreprises, les organisations de services financiers sont assujetties à des règlements sur la protection de la vie privée, comme le Règlement sur la protection des renseignements personnels. Mais ce n’est là que la pointe de l’iceberg – et le non-respect de ces lois sur la protection de la vie privée s’accompagne de sanctions sévères (stiff sharp-toothed penalties.)

Les entreprises de services financiers sont soumises à la réglementation suivante[1] ou devraient être au courant de ce qui suit[2] :

  • Directives de la FINRAs
  • Loi Gramm-Leach-Bliley (GLBA)
  • SEC 17A-3 et 17A-4
  • Norme de Sécurité des Données du Secteur des Cartes de Paiement (PCI DSS)
  • Règles Fédérales de Procédure Civile (FRCP)
  • Sarbanes-Oxley (SOX)
  • Règlement Général de l’UE sur la Protection des Données (GDPR)
  • Norme 31-303 des Autorités Canadiennes en Valeurs Mobilières (CSA NI)
  • Association Canadienne des Courtiers en Valeurs Mobilières (IDA29.7)
  • Exigences Types pour la Gestion des Documents Electroniques (MOREQ)
  • Loi Californienne sur la Protection de la vie Privée des Consommateurs (CCPA)
  • Département des Services Financiers de New York (NYDFS) Réglementation en Matière de Cybersécurité

 

Dans la mesure où la conformité fait partie intégrante du secteur des services financiers, le meilleur intérêt de votre entreprise est de choisir une solution de cryptage respectueuse de la vie privée. Cela signifie que votre plateforme de messagerie sécurisée détermine comment envoyer des messages en fonction des règles que vous avez définies lors de la personnalisation initiale du service. Par exemple, un partenaire commercial reçoit un chiffrement transparent via TLS, un client reçoit un relevé mensuel sous forme de pièce jointe PDF sécurisée et une banque européenne peut exiger des e-mails PGP car les employés ont un logiciel PGP exécuté sur leur ordinateur de bureau.

Ce que le cryptage centré sur le client signifie pour votre résultat net

Dans les services financiers, fournir une expérience client sécurisée et sans friction n’est pas une option pour une communication sécurisée transparente. Toutefois, le choix et la mise en œuvre de la solution de cryptage flexible appropriée présentent des avantages monétaires supplémentaires. Par example, une étude récente de Total Economic Impact™ (TEI) menée par Forrester suggère que les organisations au niveau de l’entreprise utilisant la plateforme de chiffrement OneWorld d’Echoworx peuvent réduire leur chiffre d’affaires de près de 320 000 $ grâce à l’adoption d’options de support en libre-service, comme la réinitialisation automatique des mots de passe, augmentant ainsi leur productivité et réduisant les frais supplémentaires du centre d’appels.

Le cryptage axé sur le client aide les entreprises de services financiers à établir et à maintenir la confiance avec leurs clients, à rester en conformité et à réduire leurs coûts. N’est-il pas temps de tirer parti de ce différenciateur concurrentiel éprouvé?

La Différence Echoworx

Chez Echoworx, le cryptage est tout ce que nous faisons. Notre plate-forme de cryptage OneWorld est une extension naturelle de la plupart des systèmes existants et propose une large gamme de méthodes de cryptage flexibles, adaptables et fiables pour un usage au niveau des entreprises.

Pour en savoir plus sur le ROI du cryptage Echoworx OneWorld, cliquez ici.

Par Christian Peel, VP Ingénierie, Echoworx

——–

[1] https://www.echoworx.com/project/encryption-technologies-financial-services/

[2] https://www2.deloitte.com/us/en/pages/regulatory/articles/banking-regulatory-outlook.html

22 Mar 2019
Customer Satisfaction

Comment stimuler l’engagement numérique avec les clients

Dans le monde hors ligne, les organisations construisent lentement leur clientèle au fil du temps et ces clients deviennent et restent généralement fidèles à l’entreprise, à moins qu’il n’y ait une erreur majeure. Mais ce n’est pas ainsi que les choses se passent dans le monde numérique ; bien que la concurrence soit féroce, les clients du numérique sont faciles à obtenir mais difficiles à garder. Même la plus petite déviation de l’expérience de l’utilisateur peut les envoyer à faire leurs bagages.

L’engagement de la clientèle numérique, qui repose en grande partie sur les communications numériques, joue un rôle important dans l’expérience et la satisfaction de la clientèle. Les organisations doivent créer un environnement numérique invitant qui encourage l’engagement et renforce la confiance numérique. Si la confiance numérique est facile à gagner, elle est plus facile à perdre et impossible à regagner.

C’est pourquoi nous suggérons que votre environnement numérique prenne en charge les quatre éléments suivants : la sécurité, l’expérience utilisateur, la réduction des coûts et la conformité. Avec ces outils en place, il est plus facile et plus sûr que jamais de stimuler l’engagement numérique avec vos clients.

Communications sécurisées

Les clients s’attendent à une sécurité des données intégrée, mais 69 % d’entre eux ne croient pas que les entreprises font tout ce qu’elles peuvent pour protéger leurs données. Votre entreprise peut se démarquer de la concurrence en tenant la promesse de communications sécurisées. Une façon d’assurer des communications sécurisées pour tous les expéditeurs et destinataires est d’utiliser une solution de chiffrement avec des méthodes de livraison flexibles, notamment TLS, S/MIME, PGP et des portails Web sécurisés. Le chiffrement est une proposition de valeur pour les entreprises qui veulent gagner la confiance de leurs clients tout en se protégeant contre les atteintes coûteuses aux données.

Expérience utilisateur

Les clients bénéficient d’une bonne expérience utilisateur lorsque la protection des données est intégrée au processus. Faire du chiffrement l’option par défaut profite de la condition humaine – nous avons tendance à suivre la voie de la moindre résistance. Épargnez à vos clients la peine d’ajouter une étape supplémentaire – s’ils se souviennent ou trouvent le temps – sans laisser le chiffrement au hasard. Votre choix de cryptage peut également protéger vos clients contre les attaques d’hameçonnage et de harponnage, lorsque des personnes malveillantes imitent votre marque par courriel pour voler des informations privées ou installer des logiciels malveillants. Le cryptage qui peut prendre en charge plusieurs marques et plusieurs méthodes de livraison dans plusieurs langues garantit aux clients que vos messages sécurisés proviennent d’une source fiable et non d’un spam.

Atténuation des coûts

L’engagement du client est souhaitable dans le cadre d’un service rationalisé qui aide vos clients et soutient votre modèle d’affaires. Mais si les systèmes d’engagement client vous enchaînent au même vieux matériel encombrant, plus de ressources informatiques et plus de personnel de support client, les coûts peuvent rapidement dépasser les avantages. La bonne nouvelle, c’est que ça n’a pas à se passer comme ça. Par exemple, selon une étude récente commandée par Echoworx, le passage de votre système PGP à un environnement de chiffrement en nuage permet d’économiser près de 800 000 $ en coûts de système existant sur place, sans aucune perturbation pour vos clients.

Voir le rapport complet ici.

Conformité

Les organisations sont assujetties à de multiples règlements sur la protection de la vie privée, y compris la GDPR, la LPRPDE et la HIPAA, selon l’endroit où elles exercent leurs activités et où vivent leurs clients. Le non-respect de ces règlements entraîne des amendes et des pénalités. Par exemple, les violations du GDPR peuvent coûter jusqu’à 20 millions de dollars ou quatre pour cent du chiffre d’affaires annuel (le plus élevé des deux montants étant retenu). Ces règlements rendent également obligatoire le signalement de toute atteinte à la protection des données. Pour vous donner une idée du caractère éphémère de la confiance dans le numérique, la plupart des clients du numérique partiront pour toujours dès qu’ils entendront parler d’une violation. Lorsque vous choisissez une plate-forme de chiffrement, assurez-vous qu’elle comporte des fonctions qui vous permettent de rester du bon côté de la conformité et qu’elle aide vos clients à se sentir en sécurité pendant leur engagement en ligne avec vous.

Il est plus difficile et plus important que jamais de maintenir la confiance numérique. Préparez-vous au succès en mettant en place des systèmes tels que le cryptage pour soutenir et stimuler vos activités d’engagement client en ligne.

La différence avec Echoworx

Chez Echoworx, le cryptage est tout ce que nous faisons. Notre plate-forme de chiffrement OneWorld est une extension naturelle pour la plupart des systèmes existants et offre une large gamme de méthodes de chiffrement flexibles, adaptables et fiables pour une utilisation au niveau des entreprises.

Pour en savoir plus sur les méthodes de cryptage d’Echoworx OneWorld, cliquez ici.

Par Alex Loo, vice-président des opérations chez Echoworx

01 Mar 2019

Une note parfaite de 10 ? Pourquoi la flexibilité dans le cryptage est-elle importante pour votre entreprise ?

Selon Forrester : « les consommateurs utilisent des technologies qui privilégient la facilité d’utilisation et accordent une plus grande valeur à leur (expérience client) (CX) [i] ». Et comme le savent les professionnels de la banque, des services financiers, du gouvernement, de la santé, du droit et de la conformité, les clients attendent que cette expérience inclue des communications cryptées et une protection des données. Si votre entreprise utilise un produit de sécurité de courriels prêt à l’emploi avec un cryptage de courriel intégré, vous êtes sur la bonne voie.

Mais si vous êtes à la tête d’une entreprise centrée sur le client, une approche personnalisée du cryptage est probablement plus conforme aux valeurs de votre entreprise qu’une solution prête à l’emploi. L’implémentation d’une solution de cryptage flexible, en tant qu’extension naturelle de votre structure de cryptage existant fait passer la sécurité de vos données et le facteur de confiance numérique de bon à excellent.

Voici quatre raisons commerciales pour adopter un modèle de cryptage flexible :

1 – Accroître la souplesse et l’alignement continu sur les processus d’affaires –

Les processus d’affaires varient d’une entreprise à une autre. Un groupe envoie des millions de relevés électroniques chaque mois, tandis que d’autres envoient des documents sensibles un à la fois à des parties internes ou externes. La mise en place d’une plateforme de cryptage avec des contrôles flexibles pour chaque cas de figure vous donne la possibilité de créer une expérience utilisateur personnalisable pour les expéditeurs et les destinataires tout en gardant le contrôle des messages cryptés qui sont en cours de transfert et au repos.

2 – Établissez instantanément un climat de confiance grâce à des options de langues et des options en matière d’image de marque –

Si votre entreprise exerce ses activités à l’échelle internationale, une excellente expérience client inclut des communications dans la langue de préférence de votre client. Et il va sans dire que toutes les communications doivent être adaptées à votre marque, quel que soit le secteur d’activité dans lequel elles s’inscrivent. Avec 79 % des personnes qui prennent moins de 30 secondes pour évaluer la sécurité d’un courriel, les courriels qui ne portent pas la marque de votre entreprise peuvent rapidement être considérés comme du pourriel et mettre en doute la fiabilité numérique de votre entreprise. Avec OneWorld d’Echoworx, une extension de cryptage automatique destinée aux solutions d’entreprise courantes, vous pouvez définir des politiques linguistiques qui sont automatiquement exécutées pour les communications cryptées basées sur les attributs : de  l’expéditeur, de la marque, de la localisation et du destinataire.

3 – Prenez une longueur d’avance sur vos concurrents en matière de gestion de la sécurité de l’information –

Dans un récent sondage mené auprès de professionnels et de décideurs en TI, nous avons constaté que bien que le cryptage soit une priorité pour la plupart des entreprises, moins de la moitié des entreprises équipées de logiciels de cryptage sont en mesure de bien l’utiliser de façon routinière. Cela signifie que dans n’importe quel secteur d’activité, il est fort probable que l’utilisation d’une solution de cryptage flexible pour sécuriser les méthodes de transmission puisse être un facteur qui vous démarque des autres entreprises. Et lorsque vous optez pour une solution conviviale, vos mesures de cryptage et de sécurité des données deviennent une offre centrée sur le client avec une proposition de valeur. Prenons l’expérience des utilisateurs mobiles et de bureau, par exemple.  Avec plus de 80 % des courriels initialement lus sur des appareils mobiles, toute solution de cryptage devrait offrir une expérience utilisateur comparable ou identique aux ordinateurs de bureau.

4 – Accroître la performance à long terme grâce à une gestion proactive des risques –

Le rapport 2018 sur l’état de la sécurité de l’information (Global State of Information Security Survey) dans le monde suggère que la performance économique à long terme est plus probable lorsque les entreprises ont une plus grande résistance aux risques que simplement chercher à éviter ceux-ci.[ii] Cela s’explique par le fait que les entreprises résilientes – celles qui ont des plans de reprise après un sinistre ou des plans de continuité des activités – peuvent se remettre plus rapidement d’incidents désastreux que celles qui en sont privées. Du point de vue de la cybersécurité, la gestion proactive des risques comprend un cryptage qui prend en charge plusieurs méthodes de transmission sécurisées avec des options de repli efficaces, des procédures de cryptage sécurisé par mot de passe et une expérience utilisateur simplifié qui rend l’utilisation du cryptage la solution la plus conviviale par défaut.

Dans une culture d’entreprise axée sur le client, les entreprises doivent être proactives pour répondre aux attentes des clients et les surpasser tout en assurant la sécurité des données des clients. Il est plus facile et plus important que jamais d’adopter un cryptage sécurisé au niveau de votre entreprise. La sécurisation des données sensibles est la meilleure chose à faire- et elle est accompagnée de solides arguments commerciaux.

La différence Echoworx

Chez Echoworx, le cryptage est notre seule activité. Notre plateforme de cryptage OneWorld est une extension naturelle pour la plupart des systèmes existants et offre un large éventail de méthodes de cryptage flexibles, adaptables et fiables pour une utilisation au niveau des entreprises.

Pour en savoir plus sur la méthode de cryptage d’Echoworx OneWorld pour la transmission des données, cliquez ici.

 Par Christian Peel, VP Ingénierie, Echoworx

——-

[i] https://go.forrester.com/blogs/new-leaders-emerge-as-businesses-are-disrupted-more-rapidly/

[ii] https://www.pwc.com/us/en/cybersecurity/assets/pwc-2018-gsiss-strengthening-digital-society-against-cyber-shocks.pdf

01 Mar 2019
who controls your encryption experience

Qui contrôle votre utilisation du cryptage ?

Dans son essence, la sécurité est un exercice de contrôle. La sécurité contrôle la façon dont notre propriété est utilisée, les personnes qui y ont accès et la garde en sécurité. Dans le domaine de la cybersécurité, cette notion fait généralement référence à la protection des actifs numériques d’une organisation, c’est-à-dire la conservation de données sûres et fiables.

Mais qu’advient-il de ce sentiment de contrôle sécurisé lorsque les données sont hors de votre portée – hors de votre périmètre numérique ? Vous le cryptez.

Voici quelques points à prendre en compte pour un cryptage efficace – sans renoncer au contrôle :

  1. Les besoins en matière de conformité sont satisfaits grâce au cryptage.

En vertu des règles internationales en matière de protection de la vie privée, comme le GDPR, la non-conformité peut vous exposer à des amendes massives que vous ne pouvez pas vous permettre. Et, bien que les méthodes de transmission comme TLS ou PGP soient efficaces pour protéger les données en cours de transfert et sur une base intégrale, elles ne sont pas adaptées à chaque situation – des options supplémentaires sont nécessaires. Si une connexion TLS n’est pas disponible, vous souhaiterez peut-être utiliser d’autres méthodes de transmission sécurisées, comme un portail Web ou une pièce jointe cryptée, pour garantir la protection des données sensibles en permanence.

Découvrez les avantages et les inconvénients des différentes méthodes de transmission sécurisée.

  1. Les politiques proactives réduisent les risques d’erreurs internes

 

Le cryptage est une des caractéristiques de toute conception sérieuse en matière de cybersécurité – mais l’application dans le monde réel accuse encore du retard, selon les données d’Echoworx. Lorsqu’une plateforme n’est pas facile à utiliser et qu’il est difficile de crypter un message, les expéditeurs ont tendance à privilégier la voie de la facilité – l’envoi sans protection de données sensibles. La mise en place de politiques de cryptage proactives en action rend non seulement le cryptage obligatoire sur la base de règles prédéfinies, mais améliore également la simplicité d’utilisation de la plateforme en automatisant un processus parfois déroutant.

Prenons l’exemple des politiques de cryptage entrant, par exemple. Lorsqu’un client envoie à une entreprise des informations sensibles, comme un numéro de carte de crédit, sur un mode ouvert ou non reconnu, il est possible que des filtres de messagerie existants puissent marquer et bloquer son message pour des raisons de conformité. En définissant des politiques de cryptage des courriels entrants, les courriels entrants contenant des données sensibles sont automatiquement cryptés avant d’être expédiés dans la boîte de réception du destinataire – dans des conditions de sécurité, de fiabilité et de conformité.

  1. Gardez le contrôle des dispositifs de cryptage

 

Depuis le choix du fournisseur de services de messagerie jusqu’à quelque chose d’aussi simple que le type d’appareil, les destinataires peuvent contrôler sans le savoir leur utilisation du cryptage de diverses façons. Ce résultat involontaire peut s’avérer préjudiciable à la qualité de l’expérience utilisateur, surtout s’il existe de meilleures méthodes de cryptage pour leur situation.

Grâce à des politiques proactives, votre entreprise peut promouvoir des méthodes de transmission sécurisées adaptées à des clients spécifiques. Vous pouvez, par exemple, définir des règles qui limitent TLS aux partenaires de confiance uniquement – ou utiliser le cryptage des pièces jointes uniquement pour la transmission sécurisée des relevés.

Consultez les cas d’utilisation spécifiques de notre plateforme de cryptage OneWorld.

  1. Offrir une expérience fiable d’utilisation de cryptage.

 

Une partie d’une véritable expérience utilisateur simplifiée repose sur une expérience utilisateur cohérent – quels que soient le périphérique, l’emplacement, l’emplacement ou la connectivité. Un message crypté, par exemple, devrait offrir la même expérience utilisateur, que le message sécurisé soit accessible sur un ordinateur de bureau ou hors ligne via un appareil mobile – sans avoir besoin d’applications tierces. Cette même expérience utilisateur cohérente permet également de rationaliser le travail au sein d’environnements collaboratifs.

Les scénarios professionnels au niveau des opérations les plus courantes, par exemple, impliquent souvent l’utilisation d’un document sensible sur plusieurs périphériques et systèmes d’exploitation. Le document va-t-il paraître et agir de la même manière hors ligne et en ligne ? Si vous travaillez en collaboration sur un document crypté sensible, l’expérience utilisateur sera-t-elle identique pour toutes les parties concernées ?

Découvrez les différentes méthodes de transmission offertes par la plateforme de cryptage d’Echoworx Oneworld.

  1. Être capable de rappeler des messages cryptés

 

La possibilité de récupérer un message compromis, même après sa lecture, est une fonction simple, mais fondamentale qui permet de contrôler une opération de cryptage. Qu’un message soit envoyé à un destinataire involontaire ou qu’il ne soit plus sécurisé, le contrôle d’un message ne doit pas être perdu simplement en appuyant sur « Envoyer ».

  1. L’image de marque, c’est plus qu’un simple changement de couleur

 

L’image de marque et la distinction des marques sont cruciales pour tout groupe entrepreneurial. La capacité de faire un marquage, de séparer et de segmenter les interactions avec les clients en fonction de la marque peut signifier n’importe quoi, de la façon dont un message sécurisé est reçu à la langue souhaitée. Les différentes marques devraient également être cloisonnées afin d’éviter les écoutes clandestines en provenance d’autres unités commerciales.

Plus de détails sur le cryptage avec OneWorld.

Par Derek Christiansen, responsable de l’engagement, Echoworx

25 Fév 2019
NHS goes fully digital

La Grande-Bretagne fait ses adieux aux télécopieurs ! Une nouvelle ère sans papier s’ouvre-t-elle pour le secteur public britannique ?

Le 1er janvier 2019, le National Health Service (NHS) de Grande-Bretagne a fait un grand bond en avant dans le domaine du numérique – plus de nouveaux télécopieurs. Bien que cela puisse paraître insignifiant, le message fondamental est profond : un engagement total en faveur des canaux de messagerie numérique. Et, en tant que premier employeur de la fonction publique au Royaume-Uni, avec 1,2 million de personnes, les répercussions d’une telle décision pourraient avoir un impact encore plus considérable.

Contexte :

Depuis plusieurs années, le NHS menaçait de passer au numérique, en éliminant progressivement leurs communications par voie postale et en mettant en ligne- et sous forme numérique leur service national de soins de santé vieux de 70 ans. Et, en partant des aspects de convivialité aux plus importantes, comme la perte de 900 000 lettres de patients à la fin de l’année 2017, le plus gros incident du NHS, les débuts ont été difficiles.

Mais, sous la houlette de l’ancien ministre du Divertissement, aujourd’hui ministre de la Santé, Matt Hancock, « Le plan à long terme du NHS » demeure inchangé et inaltérable dans son engagement envers tout ce qui touche au numérique. En ce qui concerne l’adoption du numérique, le rapport de 136 pages présente avec force : « Pratiquement tous les aspects de la vie moderne ont été, et continueront d’être, profondément remodelés par l’innovation et la technologie – et la santé ne fait pas exception ». [1]

Aucun Télécopieur fourni

D’ici 2020, le NHS vise à bannir complètement les télécopieurs de son système – avec un objectif de suppression totale pour mars de l’année prochaine. Cela signifie, entre autres, qu’ils se tournent vers un environnement entièrement numérique, ce qui porte à un niveau critique leur besoin d’une solution de cryptage efficace. Le ministre Hancock a intégré la nécessité du cryptage dans un plan proposé pour construire une architecture numérique NHS qui peut fournir une base solide pour une nouvelle génération de services numériques.

Les économies réalisées sont importantes

Le passage à la dématérialisation par le biais des communications numériques offre des avantages considérables à des institutions comme le NHS. Entre 2013 et 2016, par exemple, le NHS a économisé £136 millions (environ 178 millions de dollars) grâce à son Electronic Prescription Service (EPS), un service de communications numériques actuellement utilisé par 93 % des cabinets médicaux anglais. Et un processus aussi simple que la prise de rendez-vous par voie numérique devrait permettre au NHS d’économiser un autre ₤50M (environ 65 millions de dollars) par an. [2]

Un deuxième avantage pour un avenir numérique sans papier pour le NHS est de promouvoir le service en tant qu’environnement de pointe pour les organismes de santé innovateurs. En tant que centre de technologies de la santé, les utilisateurs du NHS sont aux premières loges pour ce qui est des nouvelles technologies et pratiques en matière de santé.

Les télécopieurs constituent uniquement le début

En l’espace d’une décennie seulement, d’ici 2029, le NHS s’est fixé pour objectif d’être totalement exempt de papier – une entreprise de taille. Mais les avantages sont énormes ! En offrant des options de soins de santé sans papier, les patients, les professionnels de la santé et les employés du NHS ont accès à des services instantanés disponibles partout, ce qui permet aux utilisateurs du NHS d’être en meilleure santé et de rester indépendants plus longtemps.

Mais avec toutes les informations personnelles sensibles impliquées dans les soins de santé, des solutions de cryptage robustes au niveau de l’entreprise sont nécessaires. Et, du TLS aux solutions de cryptage intégral, comme les pièces jointes cryptées, toute solution réaliste devra également être flexible pour offrir une expérience utilisateur excellente, conviviale et harmonieuse.

Découvrez les différentes façons dont les entreprises utilisent les différentes méthodes de cryptage pour la transmission de données.

Par Christian Peel, VP Ingénierie, Echoworx

——-

[1] https://www.longtermplan.nhs.uk/wp-content/uploads/2019/01/nhs-long-term-plan.pdf

[2] https://www.longtermplan.nhs.uk/wp-content/uploads/2019/01/nhs-long-term-plan.pdf

22 Fév 2019

Vous avez des données danoises ? Le cryptage est désormais obligatoire au Danemark.

Crypter ou ne pas crypter : telle n’est plus la question au Danemark – où de nouvelles interprétations du Règlement général sur la protection des données (RGPD)/(GDPR) marquent l’histoire du cryptage. Depuis le 1er janvier 2019, toutes les entreprises travaillant à quelque titre que ce soit avec le Danemark doivent appliquer un niveau de cryptage acceptable pour la communication des données sensibles.

Pourquoi le Danemark ?

Bien que le GDPR s’applique à tous les membres de l’UE et à leurs citoyens, quel que soit leur lieu de résidence, chaque pays a ses propres interprétations des parties spécifiques du règlement. Dans le cas du Danemark, une définition plus littérale de la section 9 du GDPR, qui traite du « traitement des catégories particulières de données à caractère personnel », a été adoptée. Par conséquent, toutes les données sensibles en transit relevant de la juridiction danoise doivent être protégées, ce qui signifie que le cryptage est obligatoire.

Qu’est-ce que cela signifie pour les entreprises danoises ?

Toutes les entreprises exerçant des activités commerciales au Danemark ou impliquant des citoyens danois, notamment en qualité de tiers, doivent protéger les données personnelles au moyen d’un cryptage sécurisé TLS ou par un cryptage de bout-en-bout. Mais la manière dont vous utilisez les mesures de protection des données est également importante. L’opportuniste TLS, par exemple, où les connexions non abouties se retrouvent en texte clair, n’offre pas une protection adéquate. Les personnes qui ne se conforment pas aux nouvelles règles peuvent faire face à des sanctions ou, pire, à des amendes draconiennes à la suite d’une infraction. Cette nouvelle évolution du GDPR devrait déboucher sur des mesures similaires dans d’autres pays de l’UE.

Pour en savoir plus sur les méthodes de cryptage de transmission des données.

Quelles sont les mesures qu’une entreprise peut prendre ?

Depuis le lancement du GDPR en mai dernier, le discours de l’Europe a été clair et simple : protégez vos données personnelles ou faites des affaires ailleurs. De plus, en adoptant des politiques proactives de protection de la vie privée dès la conception, en utilisant le GDPR comme base de référence, une entreprise peut s’assurer de leur conformité dans l’UE et partout ailleurs où des politiques similaires existent. Par conséquent, ce nouveau développement danois doit être considéré comme un avantage concurrentiel et non comme un désavantage.

Alors qu’un système fermé pourrait théoriquement fonctionner pour les entreprises danoises qui interagissent uniquement avec les Danois, cette mentalité peut entraîner des problèmes de compatibilité, la deuxième activité étant exercée à l’étranger. Une plateforme de messagerie sécurisée flexible peut contribuer à éviter les problèmes de compatibilité et à maintenir la conformité.

Pour en savoir plus sur les fonctionnalités flexibles de la plateforme de cryptage OneWorld d’Echoworx.

Par Christian Peel, VP Ingénierie, Echoworx

25 Jan 2019
Protecting sensitive incoming data

Cryptage entrant : Le pourquoi et le comment

Alors que votre entreprise a mis en place des systèmes pour crypter les courriels sortants, que se passe-t-il lorsque vous recevez un courriel contenant des renseignements sensibles ? S’il n’est pas déjà crypté, est-ce que vous refusez de l’accepter ? Est-ce qu’il se retrouve bloqué par vos filtres de conformité ? Si oui, quel message envoyez-vous en refusant de recevoir ?

Qu’est-ce que le cryptage entrant ?

Le cryptage entrant est le processus par lequel les courriels contenant des informations sensibles, comme les numéros de carte de crédit, sont cryptés avant d’être sauvegardés dans les serveurs de messagerie de l’entreprise. Les filtres de cryptage entrant analysent tous les courriels en fonction d’un ensemble de règles bien définies, en examinant le contenu et les pièces jointes, ainsi que les destinataires.

Pourquoi le cryptage entrant est-il nécessaire ?

Les exigences PCI (Norme de sécurité de l’industrie des cartes de paiement) précisent que les courriels contenant des données sur les titulaires de carte doivent être cryptés pendant leur transmission sur des réseaux publics ouverts et que les données des titulaires de carte doivent être protégées avant leur archivage. Cela signifie que les informations sensibles ou personnelles telles que les numéros de carte de crédit ne peuvent pas être sauvegardées sur votre réseau sans être cryptées.

Par exemple, vous pourriez diriger une grande entreprise de vente au détail vers laquelle les clients envoient des requêtes par courriel contenant des données sensibles, comme des renseignements sur les cartes de crédit. Afin de vous conformer à la législation PCI, votre système de filtrage de messagerie peut être configuré pour bloquer ou supprimer ces types de messages. Cette situation peut entraîner l’insatisfaction des clients, car leurs courriels restent sans réponse, ce qui entraîne des pertes d’affaires et des préjudices involontaires à leur marque.

Comment fonctionne le cryptage entrant ?

L’utilisation d’un système de transmission PDF sécurisé permet aux entreprises de réduire au minimum leurs risques de sécurité face aux normes PCI. Au lieu de procéder eux-mêmes au cryptage, ils utilisent un service tiers qui fournit un cryptage à la volée des courriels, déclenché par des politiques automatisées sur une plate-forme certifiée PCI. Lorsque les messages contenant des informations sensibles arrivent cryptés et sécurisés, ils sont moins susceptibles d’être bloqués par les services de filtrage de messagerie existants.

Tous les courriels entrants qui déclenchent une politique de cryptage sont automatiquement cryptés dans un fichier PDF sécurisé, avec toutes les pièces jointes, avant d’être envoyé directement dans la boîte de réception d’un destinataire. Dès réception du courriel, le destinataire télécharge simplement les pièces jointes cryptées et saisit une phrase secrète auto-enregistrée pour authentifier, ouvrir et lire son contenu.

Ce qu’il faut considérer pour une solution efficace de cryptage entrant

Proposer une option de cryptage sécurisé pour tous les courriels entrants ne devrait pas nécessairement être compliqué. L’utilisation d’un système de transmission PDF sécurisé garantit non seulement le stockage sécurisé des informations sensibles, mais aussi le respect des réglementations en matière de confidentialité et des normes de sécurité des données par votre entreprise.

Pour en savoir plus sur le cryptage entrant avec Echoworx OneWorld.

En plus de la transmission sécurisée de fichiers PDF, toute solution de cryptage digne de ce nom doit offrir des méthodes de transmission sécurisées supplémentaires, allant du portail Web aux pièces jointes sécurisées, SMIME/PGP et TLS. Bien que les réponses et tout autre échange puissent être effectués via des fonctions de réponse sécurisée intégrées, vos employés peuvent également disposer d’options supplémentaires pour communiquer en toute sécurité avec leurs clients.

Pour de plus amples informations sur les méthodes de cryptage sécurisé d’Echoworx OneWorld.

Par Derek Christiansen, responsable de l’engagement, Echoworx

11 Jan 2019
Generation Z, Personal Data and Digital Trust: Unlike Any Before

La Génération Z, les données personnelles et la confiance dans le numérique : Comme jamais auparavant

Trouvez la solution à cette devinette : je suis toujours connecté, mais j’évite les contacts sociaux. Je fais preuve d’une grande attention aux détails, mais j’ai l’attention d’un poisson rouge. Je communique volontiers des renseignements personnels – mais j’exige qu’ils soient protégés. Je me méfie des entreprises – mais je communique avec elles comme s’il s’agissait de ma famille.

Qui suis-je ?

Si vous avez deviné qu’il s’agissait d’un millénaire, vous êtes sur la bonne voie. Mais ces caractéristiques sont plutôt attribuées aux personnes de la Génération Z – la première génération de « digital natives », (personnes nées dans un monde numérique), nées entre le milieu des années 90 et les années 2000, qui sont en passe de percer sur le marché de la consommation. Et, étant donné qu’ils représenteront 40 % de tous les consommateurs d’ici 2020, [1] avec un pouvoir d’achat de 44 milliards de dollars [2], c’est un groupe auquel votre entreprise doit se préparer – surtout lorsqu’il est question de protection des données.

Comment la Génération Z partage-t-elle l’information numérique ?

En tant que « digital natives », les personnes de la Génération Z ne connaissent pas de vie sans connexion avec le monde numérique. Et, comme la plupart de leur vie est déjà en ligne, certains faisant même leur première apparition digitale au moyen de leur premier selfie par le biais d’une échographie utérine, ils sont beaucoup plus à l’aise avec même le fait d’avoir leurs détails les plus personnels soient disponibles par un simple clic de souris. Ils sont « toujours connectés », certains membres de la Génération Z consultent leurs médias sociaux une centaine de fois par jour ou plus, et cela se reflète dans la façon dont ils partagent l’information numérique.

Selon les informations d’Echoworx, la facilité avec laquelle la Génération Z partage des renseignements personnels en ligne est comparable, voire supérieure, à ces mêmes paramètres pour les millénaires. Par exemple, 56 % des membres de la génération Z ne s’opposent pas à la publication de leur pointage de crédit sur les médias sociaux. Cette même mesure est considérablement moins élevée chez les personnes du millénaire, 44 % d’entre elles se sentant à l’aise, et elle continue de diminuer au fil des générations plus anciennes.

Est-ce que la génération Z est naïve ? Ou juste plus rapide ?

La moyenne d’attention moyenne d’un membre de la Génération Z est de 8 secondes, selon les données du Digital Marketing Institute. Et, en tant que digital natives, elles ont besoin d’une gratification instantanée pour le prix des données personnelles – sans trop se soucier des conséquences à long terme ni se demander à quoi servent leurs données personnelles. Mais, en raison de leur faible niveau d’attention, les personnes de la Génération Z sont des experts en matière de filtrage et de conservation des informations qui leur sont présentées [3].

Alors, sont-ils naïfs ? Non. Mais cela ne signifie pas nécessairement qu’ils sont entièrement responsables. Et leur rapidité vertigineuse en matière de vitesse numérique peut les conduire à des pratiques imprudentes lorsqu’il s’agit de protéger leurs données. Par exemple, selon les données d’Echoworx, près de la moitié des personnes de la Génération Z changent régulièrement leur mot de passe numérique. Comparez ce même chiffre à celui de millénaires, où près des trois quarts d’entre eux mettent régulièrement à jour leurs identifiants en ligne.

La Génération Z est-elle imprudente avec ses données numériques personnelles ?

Pour comprendre le point de vue d’une Génération Z, il faut regarder les choses de leur point de vue. Par exemple, confieriez-vous votre (numéro d’assurance sociale) NAS à vos parents ? Pourriez-vous demander conseil à votre sœur sur la meilleure façon d’éplucher une pomme ? Si vous avez répondu oui, remplacez simplement le membre de votre famille par un influenceur en ligne ou l’une de vos marques préférées. Si vous êtes connecté en permanence, vous vivez en ligne.

Et vous faites confiance aux personnes que vous aimez pour vous indiquer la bonne direction. C’est pourquoi les personnes de la Génération Z sont tellement bien disposées pour donner des détails ou obtenir des conseils de marques ou d’influenceurs.

De ce point de vue, le fait de communiquer facilement des renseignements personnels en ligne n’est pas aussi insensé qu’il n’y paraît pour les générations plus âgées.

Et les générations antérieures ne sont pas parfaites non plus. Selon un récent sondage Gallup, près d’un quart des Américains ont été victimes de cybercriminalité en 2018[4], et ce, malgré les affirmations de 71 % des sondés qui se préoccupent de la cyber criminalité et les deux tiers des Américains qui, selon des données de l’American Bankers Association (ABA), prennent des mesures pour protéger leurs données confidentielles [5].

La confiance numérique est un jeu fragile à jouer

Contrairement à ses équivalences hors ligne, la confiance numérique comporte en quelque sorte une sorte d’orgueil : si elle est facile à obtenir, elle est encore plus facile à perdre et presque impossible à rétablir. En fait, selon les données d’Echoworx, plus des trois quarts des membres de la Génération Z envisagent de quitter une marque après une atteinte à la protection des données. Alors, comment jouez-vous à ce jeu ?

Pas de problème. Protégez-les.

Selon Deloitte, les attentes des clients en ligne n’ont jamais été aussi élevées et vos clients exigent un contrôle sur leurs données personnelles. Et 69 % des clients ne croient pas que les entreprises font tout ce qu’elles peuvent pour protéger leurs données [6], mais, selon les données de l’ABA, près de la moitié des Américains continuent à faire confiance aux secteurs traditionnels, comme les banques et la santé [7].

Même si certains peuvent considérer cette nouvelle fascination par rapport à la collecte de données personnelles comme nuisible à la conduite des affaires, votre entreprise devrait la considérer comme un avantage qui vous démarquera par rapport à la concurrence. Si votre enseigne fait tout son possible pour protéger les données de vos clients, en utilisant les meilleures pratiques proactives, telles qu’un cryptage personnalisé et orienté sur les besoins du client pour les documents sensibles en cours de transferts, vos clients seront les premiers à le constater.

Pour en savoir plus sur les façons de conserver la confiance de vos clients à l’égard du numérique.

Par Nicholas Sawarna, Sr. Spécialiste du marketing de contenu, Echoworx

 

——

[1] https://digitalmarketinginstitute.com/en-ca/the-insider-3987498273498375892/19-10-16-is-your-business-ready-for-the-rise-of-generation-z?blog

[2] https://www.forbes.com/sites/kristinwestcottgrant/2018/05/09/data-privacy-social-media-visual-content-adobe-through-the-lens-of-generation-z/#5c812c243a9c

[3] https://digitalmarketinginstitute.com/en-ca/the-insider-3987498273498375892/19-10-16-is-your-business-ready-for-the-rise-of-generation-z?blog

[4] https://bankingjournal.aba.com/2018/12/gallup-poll-quarter-of-americans-victimized-by-cybercrime/

[5] https://bankingjournal.aba.com/2018/12/survey-data-privacy-growing-as-concern-banks-seen-as-trusted/

[6] https://www2.deloitte.com/insights/us/en/industry/technology/digital-media-trends-consumption-habits-survey.html

[7] https://bankingjournal.aba.com/2018/12/survey-data-privacy-growing-as-concern-banks-seen-as-trusted/

28 Déc 2018

Nouvelle année ? Nouveaux défis en matière de sécurité de l’information !

Tandis que nous nous dirigeons vers la nouvelle année, nous repensons aux épreuves, aux tribulations et aux défis auxquels nous avons été confrontés au cours de l’année écoulée – avant de présenter des solutions spécifiques à ces problèmes. Dans le monde de la sécurité de l’information, ces améliorations se situent généralement dans le domaine de l’identification des menaces, de la prévention des problèmes de cybersécurité et de la maîtrise des technologies les plus récentes et les plus avancées en matière de protection des données.

Et quelle année bien remplie cela a été ! Qu’il s’agisse de l’adoption d’une nouvelle loi sur la protection de la vie privée, comme la GDPR ou l’AB 375 de la Californie, ou de nouvelles lois qui menacent la vie privée, comme les nouvelles lois australiennes en matière de cryptage, qui demandent un accès par des portes dérobées aux données, ce fut tout un défi pour nous tous. Nous avons également été témoins d’atteintes à la protection des données et de cas de ransomware qui ont mis à genoux même les grands conglomérats d’entreprises, comme Marriot.

Alors, que faut-il faire en 2019 ?

La triste réalité du monde de la sécurité de l’information est que de nouvelles menaces, de nouvelles arnaques et de nouveaux acteurs malveillants suscitant des inquiétudes semblent faire leur apparition tous les jours. Rester toujours au sommet de cette évolution constante de l’information est suffisant pour rendre quelqu’un fou. Et les conséquences de se laisser distancer peuvent être désastreuses pour votre entreprise, votre réputation et, finalement, vos clients.

L’année dernière, Slava Ivanov, notre éminent ingénieur logiciel chez Echoworx, s’est donné pour mission de rassembler et de regrouper les derniers trucs et astuces en matière de cybersécurité dans un condensé de définitions pour la série d’introduction (101). Qu’il s’agisse de sujets plus légers, comme la nouvelle technologie japonaise utilisant « l’authentification postérieure », qui donne accès à un système ou à une machine via les « empreintes de fesses », ou des aspects plus sérieux sur la sécurité de l’information, comme le « Spear phishing » (harponnage), ou sur les questions de protection de données, comme le cryptage Blowfish, Slava a développé une liste terminologique très pratique qui peut servir de point de départ pour les personnes souhaitant faire des recherches sur un terme.

Donc, avant de finaliser vos résolutions du Nouvel An, cette année, jetez un coup d’œil à l’Introduction à la sécurité informatique (Information Security 101) de Slava pour voir s’il y a quelque chose que vous avez raté en 2018.

Cliquez ici pour consulter les principaux termes et définitions de l’année dernière concernant la sécurité de l’information.

Par Nicholas Sawarna, Sr. Spécialiste en Content Marketing, chez Echoworx

18 Déc 2018
Australia demands encryption backdoors

Préoccupations en Australie : les nouvelles portes dérobées de données controversées de l’Australie

De sérieuses menaces à notre droit à la vie privée sont faites en Australie – une nation traditionnellement connue pour son dévouement aux valeurs démocratiques du Commonwealth. En décembre 2018, l’Australie s’est dotée de nouvelles législatures qui permettent aux services de renseignement et de répression de l’État d’exiger l’accès aux données sensibles cryptées des entreprises ciblées.

Alors que d’autres gouvernements amis prennent note de cette nouvelle évolution, cette législature pourrait marquer le début d’une période difficile pour la protection de la vie privée numérique et la façon dont nous stockons et partageons les informations sensibles.

Mais d’abord, un peu plus de renseignements sur le contexte :

Depuis leur création, les membres de ce qu’on appelle les « Five Eyes », un groupe collectif d’organismes de renseignement et d’application de la loi provenant du Royaume-Uni, des États-Unis, du Canada, de la Nouvelle-Zélande et de l’Australie, militent depuis des années pour un meilleur accès à leurs citoyens. L’accès aux données privées des citoyens représentait une occasion unique non seulement de garder un œil sur ceux d’entre nous qui avaient des intentions malveillantes, mais aussi une autre occasion de contrôler et de gérer leur population.

Dans un passé récent, cela s’est manifesté par des moyens numériques – de la législature, comme la PATRIOT Act du gouvernement américain ou la plus récente Investigatory Powers Act du Royaume-Uni, à l’utilisation d’euphémismes dangereux, comme « Cryptage responsable ». Les données numériques sensibles sont un trésor pour les Five Eyes et ils sont en pleine effervescence depuis des années à l’idée d’y entrer.

Les portes dérobées restent des portes

En termes simples, la nouvelle loi sur la protection de la vie privée adoptée par le Parlement australien exige que les prestataires de services numériques tiers créent des portes dérobées par lesquelles les institutions publiques peuvent accéder aux informations cryptées de bout en bout quand on leur en demande. Bien qu’ils puissent présenter ces demandes officiellement à une entité, il convient de noter qu’ils ont maintenant le pouvoir d’exiger que les personnes des entreprises cibles, de Sally la PDG à Bill du service informatique, fournissent sur demande cet accès par des portes dérobées.

Et ces exigences ont beaucoup de mordant.

Si une organisation refuse une demande émanant d’un organisme gouvernemental australien, comme un organisme d’application de la loi, elle risque des millions de dollars d’amendes. Les personnes qui ne se conforment pas à la loi sont passibles d’une peine d’emprisonnement.

Ça a l’air effrayant ?

C’est encore plus grave.

Il y a un impact global de ces nouvelles législations sur la vie privée

En tant que membre des Five Eyes, l’Australie est un acteur majeur de la scène mondiale du renseignement. Non seulement ce pays et son assemblée législative aident à établir une partie considérable de ce qui est acceptable pour les agences gouvernementales de renseignement – mais ils ont aussi créé un dangereux précédent qui pourrait se propager à d’autres membres du collectif Five Eyes.

Le danger de se précipiter dans une urgence sans réfléchir.

Une des répercussions involontaires de la création de ces portes dérobées réside dans les nouvelles vulnérabilités potentielles qu’elles posent aux organismes gouvernementaux australiens qui les ont réclamées. Bien qu’ils prétendent avoir résolu d’importants problèmes de sécurité nationale grâce à leur nouvelle capacité d’espionner leurs propres citoyens, le gouvernement australien a paradoxalement introduit des failles dangereuses dans leurs propres systèmes qui peuvent être exploitées par des individus malveillants.

Que peut-on faire ?

Chez Echoworx, et dans toute la communauté de la cybersécurité, nous croyons fermement à la protection des données cryptées. Sans la capacité d’envoyer et de recevoir des données confidentielles par le biais de plateformes numériques, la vie privée de tout le monde est en danger et le pire, c’est que nous pourrions ouvrir les portes aux criminels que nous essayons d’arrêter.

Par Derek Christiansen, responsable de l’engagement, Echoworx

01 Déc 2018
Sécurité 101

GUIDE DE SÉCURITÉ DE BASE: UN THESAURUS 2018 POUR LA SÉCURITÉ DE L’INFORMATION

On accorde beaucoup d’importance à la sécurité des données dans le monde numérique d’aujourd’hui, et c’est vraiment le besoin du moment – vous trouverez ci-dessous des réponses à certains des sujets les plus pertinents en matière de sécurité informatique.

Slava Ivanov, Ingénieur logiciel éminent chez Echoworx avec ses années d’expérience progressives dans la fourniture de solutions de sécurité pour résoudre les défis d’affaires, couplé à sa connaissance approfondie des cycles de développement logiciel est engagé dans le développement d’un Thésaurus 2018 pour la sécurité de l’information.

 

DECEMBRE |

 

Q : EMBROUILLÉ AVEC INTERNET, LE DEEP WEB OU LE DARK WEB ?

R : L’Internet est constitué de ressources en ligne disponibles grâce aux moteurs de recherche, comme les sites Web que nous utilisons pour faire du shopping, faire des transactions bancaires ou entretenir des liens sociaux. Le Deep Web (web profond) est la partie d’Internet qui n’est pas indexé par les principaux moteurs de recherche. Pour visiter de tels sites, vous devez vous rendre directement à la ressource. Ce n’est pas nécessairement un outil malveillant, mais il est trop vaste pour être indexé. Le Dark Web est la partie du Deep Web qui n’est pas seulement non indexé, mais qui nécessite également un accès spécial. Le Dark Web est souvent basé sur des sous-réseaux supplémentaires, comme Tor ou Freenet et souvent associé à des activités criminelles.

Q : QU’EST-CE QUE L’AUTHENTIFICATION POSTÉRIEURE ?

R : Quand nous parlons de sécurité biométrique, nous faisons généralement référence à la reconnaissance faciale ou aux empreintes digitales – mais cette méthode d’authentification ne concerne que votre postérieur. Des chercheurs japonais ont mis au point un siège équipé de capteurs à 360° qui mesurent apparemment le creux de votre siège, c’est-à-dire « l’empreinte des fesses », ou la pression arrière. Les chercheurs affirment une précision de 98 % dans l’identification correcte d’une personne assise. Pas mal, non ? Cette méthode d’authentification pourrait avoir des applications dans des systèmes antivol performants pour nos voitures ou encore une autre méthode pour vous connecter à votre appareil quand vous êtes assis derrière votre bureau.

Q : QU’EST-CE QU’UN KEYLOGGER ?

R : Les keyloggers sont aussi connus sous le nom de « keystroke loggers » (enregistreurs de frappe). Il existe de nombreux types de keyloggers basés sur une variété de méthodes utilisant des enregistreurs de frappe, dont deux qui sont bien connus : les keyloggers logiciels et matériels. Les keyloggers matériels sont généralement installés entre un clavier et un périphérique. Comme ils fonctionnent entièrement sur du matériel, les logiciels de sécurité ne peuvent pas les détecter. Les keyloggers logiciels peuvent être intégrés dans des rootkits ou d’autres formes moins détectables. Bien que les programmes eux-mêmes soient légaux, bon nombre d’entre eux sont utilisés dans le but de voler des renseignements confidentiels. La détection de tout type de keylogger est une tâche difficile car ils sont conçus pour rester cachés.

 

NOVEMBRE |

 

Q : QU’EST-CE QUE L’INGÉNIERIE SOCIALE ?

R : L’ingénierie sociale est l’art de manipuler les gens pour qu’ils dévoilent des informations confidentielles. Même les systèmes les plus sécurisés qui ne peuvent être pénétrés par des moyens numériques ou cryptographiques peuvent être compromis par un simple appel téléphonique à un employé de la société ciblé et en se faisant passer pour un collègue ou un employé du service informatique. Certaines techniques d’ingénierie sociale bien connues incluent l’hameçonnage, le détournement de clic, l’hameçonnage par téléphone, et le baiting (appâtage). Il n’existe pas de solution miracle pour prévenir une attaque d’ingénierie sociale, mais la meilleure défense est la formation des utilisateurs et de les sensibiliser à la sécurité.

Q : VULNÉRABILITÉ VS EXPLOIT : QUELLE EST LA DIFFÉRENCE ?

R : Une vulnérabilité de sécurité est une faille de sécurité involontaire d’un logiciel ou d’un système qui le laisse ouvert à une exploitation potentielle, comme un accès non autorisé ou un autre comportement malveillant, comme des virus, vers et autres programmes malveillants. Le terme « exploit » est un autre terme pour désigner une vulnérabilité de sécurité, cependant il désigne un problème de sécurité en cours, et non pas un problème potentiel. Par exemple, une serrure endommagée sur la porte de votre chalet serait une vulnérabilité qui doit être corrigée le plus rapidement possible. Mais une serrure de porte endommagée dans une grande ville serait un exemple d’exploit – il pourrait y avoir des gens dans les environs, qui exploitent activement cette vulnérabilité connue.

Q : QU’EST-CE QU’UN PENTEST (TEST D’INTRUSION) ?

R : Un Pentest est une forme abrégée pour un test d’intrusion. Il s’agit d’un exercice de sécurité où un expert de confiance en cybersécurité va tenter de trouver les vulnérabilités d’un système avant que les intrus malveillants puissent les exploiter. Pour produire un rapport de test d’intrusion, le système est ciblé par des attaques simulées : force brute, injections SQL, etc. Les résultats sont ensuite partagés avec l’équipe de sécurité de l’entreprise ciblée pour la mise en œuvre des correctifs de sécurité et des correctifs ultérieurs. Afin d’assurer la sécurité du système, le test d’intrusion doit être effectué régulièrement, surtout lorsque de nouvelles technologies sont ajoutées.

Q : QU’EST-CE QUE LA CIA A À VOIR AVEC LA CYBERSÉCURITÉ ?

Dans le monde de la sécurité informatique, le trio d’acronyme CIA signifie confidentialité, intégrité, disponibilité – à ne pas confondre avec l’Agence centrale de renseignement américaine. La confidentialité – pour assurer la sécurité des données sensibles ; le cryptage est une solution fiable pour garantir la confidentialité. L’Intégrité – dans la conservation de l’intégrité des données ; les hachages cryptographiques et la signature numérique sont utilisés pour vérifier que les informations n’ont pas été altérées. Disponibilité – maintenir l’accessibilité des données ; la planification stratégique et l’allocation des ressources dans le but d’assurer la disponibilité des services et des applications 24 heures sur 24, 7 jours sur 7, y compris les plans de sauvegarde, la récupération des données, ainsi que la capacité à évoluer des services.

 

OCTOBRE |

 

Q: QU’EST-CE QU’UN BOTNET ?

R : Le mot « Botnet » est une combinaison des mots robot et réseau. Le botnet est considéré comme un groupe d’appareils connectés à Internet – tel que les IoT et appareils mobiles, ordinateurs, réseaux – infectés par un logiciel malveillant. Chaque dispositif compromis est appelé « bot » et peut être contrôlé à distance par l’émetteur d’un botnet, connu sous le nom de « bot master ». Les botnets sont de plus en plus souvent proposés en location par des cybercriminels comme marchandises et utilisés couramment dans les attaques DDoS. Les botnets sont capables de tirer profit de la puissance collective des ordinateurs, pour envoyer de gros volumes de spam, voler des informations d’identification en masse ou espionner des personnes ou des entreprises.

Q : LE CRYPTOJACKING EST-T-IL LA NOUVELLE MENACE AMBIANTE ?

R : Le cryptojacking est l’utilisation non autorisée de l’ordinateur d’une victime pour miner de la crypto-monnaie. Selon un récent rapport de sécurité de Symantec, le cryptojacking est apparu de nulle part et a explosé comme rien auparavant. Les pirates informatiques considèrent qu’il s’agit d’un moyen simple et peu coûteux de gagner plus d’argent avec moins de risques. Contrairement à d’autres types de logiciels malveillants, le cryptojacking n’endommage pas les données de la victime ou son ordinateur. Mais, puisqu’ils utilisent les ressources en matière de traitement du processeur, la victime devra faire face à des coûts liés à la réduction de la durée de vie de l’appareil, à une consommation d’énergie accrue et à des problèmes de performance globale.

Q : QU’EST-CE QU’UN LOGICIEL ESPION ?

R : Un logiciel espion est un type de logiciel malveillant qui est installé sur votre ordinateur, souvent à votre insu. Il est conçu pour surveiller vos activités informatiques et pour recueillir et transmettre les données à des entreprises à des fins de marketing. La collecte de données comprend en général vos informations personnelles telles que votre nom, adresse, habitudes en matière de navigation Internet, préférences, intérêts ou téléchargements. En plus d’être une atteinte à la vie privée, ce logiciel peut causer de sérieux problèmes en termes de niveau des performances du système.

Q : QU’EST-CE QUE L’ATTAQUE DES ANNIVERSAIRES ?

R : L’attaque des anniversaire est un type d’attaque brutale basée sur le paradoxe de l’anniversaire, qui affirme que sur 253 personnes dans une pièce, il y a 50 % de chances que quelqu’un ait votre date de naissance ; cependant, seulement 23 personnes doivent être dans la pièce pour obtenir 50 % de chances que deux personnes partagent le même anniversaire. C’est parce que les concordances sont basés sur des paires. Ce phénomène statistique s’applique également à la recherche de collisions dans les algorithmes de hachage car il est beaucoup plus difficile de trouver quelque chose qui entre en collision avec un hachage donné que de trouver deux entrées qui ont la même valeur de hachage.

Q : QUELLE EST LA POLITIQUE D’ORIGINE COMMUNE ?

R : En informatique, « Same-Origin Policy » Politique d’origine commune est le mécanisme de défense basé sur le navigateur qui garantit que certaines conditions doivent être remplies avant que le contenu (généralement JavaScript) ne soit exécuté lorsqu’il est servi depuis une application Web donnée. En vertu de la politique, le navigateur permet à un script de page Web d’accéder aux données d’une autre page Web uniquement lorsqu’elles ont la même origine, c’est-à-dire lorsque l’origine est une combinaison du protocole, du domaine et du port des ressources Web.

 

SEPTEMBRE |

 

Q : LES PROJETS OPEN SOURCE SONT-ILS PLUS SÛRS QUE LES PROJETS PROPRIÉTAIRES ?

R : Une fausse idée répandue est que les projets open source sont plus sûrs, soit parce que n’importe qui peut en vérifier le code source, soit parce que les observateurs sont si nombreux à le scruter. Et inversement, un produit commercial d’une entreprise bien connue est plus sûr parce que tout le monde lui fait confiance. La sécurité du projet dépend d’une combinaison de nombreux facteurs, notamment le nombre de développeurs qui y travaillent, leurs antécédents, le contrôle de la qualité du projet, etc. Il y a de nombreux exemples d’applications affreusement peu sûres qui proviennent des deux camps.

Q : QU’EST-CE QUE LA FALSIFICATION DES DEMANDES INTERSITES (Cross-Site Request Forgery) ?

R : Le Cross-Site Request Forgery (CSRF) est un genre d’attaque sur un site Web où un intrus se camoufle comme un utilisateur légitime et de confiance. Par exemple, une balise image d’une page Web peut être compromise et pointer vers une URL liée à une action ; lorsque l’utilisateur charge cette page, le navigateur exécute cette action et l’utilisateur peut ne pas être conscient qu’une telle attaque a eu lieu. L’attaque peut être utilisée pour changer les paramètres du pare-feu, afficher des données non autorisées sur un forum ou effectuer des transactions financières frauduleuses.

Q : POURQUOI MON IDENTIFIANT PKI COMPREND-IL DEUX CLÉS ?

R : La combinaison de clés publiques et privées est une paire de clés asymétriques qui exécutent les fonctions de cryptage/décryptage lors d’une transmission de données sécurisée. La clé publique est donc publique et accessible à tous. D’autre part, la clé privée doit rester confidentielle pour son propriétaire respectif. Lors du cryptage des données, la clé publique du destinataire est utilisée – et seul ce destinataire sera en mesure de les décrypter. Lors de la signature, la clé privée est employée pour confirmer l’identité de l’expéditeur.

Q : QU’EST-CE QUE LA FALSIFICATION DE REQUÊTE INTERSITES (CRSF) ?

R : La falsification de requête intersites (cross-site request forgery) (CSRF) est le type d’attaque sur un site Web où un pirate se fait passer pour un utilisateur légitime et fiable. Par exemple, une balise image d’une page Web peut être compromise et pointer vers une URL associée à une action ; lorsque l’utilisateur charge cette page, le navigateur exécute cette action et l’utilisateur peut ne pas être conscient qu’une telle attaque a eu lieu. L’attaque peut être utilisée pour modifier les paramètres du pare-feu, afficher des données non autorisées sur un forum ou procéder à des transactions financières frauduleuses.

Q : EST-CE QUE LES PROJETS OPEN SOURCE SONT PLUS SÉCURISÉS QUE LES PROJETS PROPRIÉTAIRES ?

R : On pense souvent à tort que les projets open source sont plus sûrs, soit parce que n’importe qui peut vérifier le code source, soit parce que de nombreux utilisateurs l’observent. Et inversement, un produit commercial d’une entreprise bien connue est plus sûr parce que tout le monde leur accorde sa confiance. La sécurité du projet dépend d’une combinaison de nombreux facteurs, notamment le nombre de développeurs qui y travaillent, leurs qualifications, le contrôle de la qualité du projet, etc. Il y a de nombreux exemples d’applications effroyablement insécurisées qui proviennent des deux camps.

Q : S’AGIT-IL D’UNE ATTAQUE « DOS » OU « DDOS » ?

R : Une attaque par déni de service (DoS) est un type de cyberattaque conçu pour rendre un ordinateur ou un réseau inaccessible à ses utilisateurs en perturbant les services d’un hébergeur. Cela se fait généralement en inondant le serveur d’un nombre incalculable de paquets pour en saturer la capacité, ce qui entraîne un déni de service ou un dépassement de mémoire tampon qui peut faire consommer de l’espace disque, de la mémoire, ou le temps de traitement du processeur du serveur. Une attaque par déni de service distribué (DDoS) est similaire à une attaque par déni de service (DoS), mais le trafic est généré par différentes sources, ce qui rend impossible sa prévention en bloquant simplement une source unique d’attaque.

 

AOÛT |

 

Q : J’UTILISE GOOGLE CHROME, ET VOUS ?

R : De nos jours, il y a beaucoup de navigateurs à votre disposition : Chrome, avec son moteur de recherche Google intégré ; Edge, avec sa capacité à prendre des notes directement sur la page ; Firefox, avec son option pour continuer à lire les pages où vous étiez dans un autre appareil ; Safari, parfaitement adapté aux appareils mobiles. Quels que soient vos critères de sélection pour choisir votre navigateur Internet, le plus important est de le maintenir à jour avec tous les correctifs et mises à jour de sécurité. Profitez d’une navigation sur Internet en toute sécurité.

Q : QU’EST-CE QU’UN CERTIFICAT NUMÉRIQUE?

R : Dans le secteur de la cryptographie, un certificat numérique est une forme électronique d’identification, tout comme votre passeport ou votre permis de conduire. Il fournit des informations sur votre identité et est établi par une autorité de certification (AC) pour une période de temps spécifique. L’AC assure la validité des informations contenues dans le certificat. Le format le plus courant pour les certificats numériques est défini par la norme X.509. Il y a une variété de domaines où les certificats sont utilisés : SSL/TLS, S/MIME, signature de code, etc.

Q : QUEL EST LE GOÛT DES COOKIES INFORMATIQUES?

R : Un cookie est un petit fichier provenant d’un site web qui est sauvegardé dans votre ordinateur par le navigateur web. La partie savoureuse du cookie est qu’il peut stocker, par exemple, les informations de connexion, le code postal, etc. de sorte que vous n’avez pas besoin de le taper à plusieurs reprises. La partie amère, c’est qu’il peut suivre vos habitudes et être utilisé par les réseaux publicitaires. La saveur désagréable survient lorsqu’un cookie contenant des informations sensibles est intercepté par un pirate informatique. Débarrassez-vous régulièrement des cookies, gardez votre logiciel antivirus à jour et visitez les sites web auxquels vous faites confiance – et profitez ainsi de la saveur des cookies !

Q: QUE SIGNIFIE SSO?

A: SSO est l’acronyme de Single Sign-On (authentification unique). Avec l’authentification unique, l’utilisateur peut s’authentifier une seule fois, puis utiliser plusieurs systèmes ou applications sans avoir à entrer à nouveau ses identifiants. Sans aucune SSO, les utilisateurs doivent retenir un nom d’utilisateur et un mot de passe différents (identifiants différents) pour chaque système utilisé. Cela conduit l’utilisateur à utiliser des mots de passe courts, simples ou similaires pour chaque ressource. Pour réduire la contrainte liée aux mots de passe, le temps nécessaire pour saisir à nouveau les informations d’identité, les demandes de « mot de passe oublié », etc. de nombreuses entreprises mettent en œuvre l’authentification unique.

Q: QU’EST-CE QUE S/MIME?

A: S/MIME (Extensions de messagerie Internet polyvalentes sécurisées) est la norme pour sécuriser les messages MIME. Elle fait passer la communication SMTP à un niveau supérieur en permettant l’utilisation d’un protocole de messagerie largement supporté sans compromettre la sécurité. Elle utilise l’infrastructure à clé publique (PKI) pour chiffrer et/ou signer les données. S/MIME apporte les avantages du service cryptographique au courrier électronique : confidentialité et intégrité des données avec cryptage des messages ; authentification et non-répudiation avec signature numérique.

 

JUILLET|

 

Q: QU’EST-CE QUE MIME?

A: MIME (Multipurpose Internet Mail Extensions) est la norme Internet qui définit la manière dont un message doit être formaté pour être transféré entre différents systèmes de messagerie. MIME est un format très souple qui permet d’inclure presque tous les types de données telles que le texte, les images, l’audio, les applications, etc. Avec un encodage approprié, MIME est également capable de gérer les messages écrits dans les différentes langues internationales. MIME est conçu pour les communications SMTP, mais de nombreuses définitions de la norme sont largement utilisées dans les protocoles de communication WWW.

Q:QU’EST-CE QUE LE TABNABBING?

R:Le Tabnabbing, également connu sous le nom de Tabjacking, est une attaque par hameçonnage qui utilise l’inattention d’un utilisateur pour ouvrir plusieurs onglets de navigateur afin de voler les informations sensibles de l’utilisateur. Par exemple, vous avez ouvert la page touchée par cette attaque avec d’autres onglets du navigateur. Si le script de l’onglet malveillant détecte une inactivité, la page Web sera alors rechargée et affichera, par exemple, une fausse page de connexion de Gmail à la place. En raison d’un manque d’attention aux onglets ouverts, l’utilisateur peut entrer les informations d’identification demandées et elles seront volées par les cybercriminels.

Q: COMMENT UN VPN PEUT-IL AMELIORER LA PROTECTION DE MA VIE PRIVEÉ ET MA SECURITÉ?

R: Un VPN (Virtual Private Network) permet d’étendre un réseau privé   (ex: réseau d’entreprise) sur un réseau public (ex. : Internet) et permet aux utilisateurs d’accéder aux ressources du réseau privé comme s’ils étaient directement connectés à ce réseau privé. Un VPN utilise une technologie de cryptage pour crypter le trafic réseau, ainsi, si un pirate détecte les paquets, il ne reçoit que des données cryptées. Il identifie la modification des données transmises et les rend intacts. Un VPN utilise l’authentification pour empêcher l’accès non autorisé aux ressources.

Q: EST-CE QUE LE « PHARMING » EST UN AUTRE MOT DE PLUS AVEC UNE ERREUR?

R: Le pharming est un type avancé de cybercriminalité, qui ressemble à l’hameçonnage, qui combine les sens des mots « Phishing » et « Farming ». La principale motivation du pharming est d’obtenir des noms d’utilisateur et des mots de passe auprès de détaillants ou de banques en ligne, sans avoir besoin de vous hameçonner avec des courriels ou des liens malveillants. Vous allez sur une ressource Web bien connue, comme toujours, mais vous vous retrouvez sur le système du pirate informatique – qui a été modifié pour ressembler à un site Web légitime. L’une des techniques utilisées dans une attaque de pharming est le piratage des services DNS sur un système informatique par un code malveillant désigné sous le nom d’Empoisonnement du cache DNS.

 

JUIN |

 

Q: COMMENT ÊTRE EN SÉCURITÉ EN FAISANT DES PAIEMENTS EN LIGNE?

R: Il y a quelques points à considérer lorsque vous faites des achats en ligne : 1. Assurez-vous que le site Web de vente en ligne utilise une connexion SSL et que l’entreprise est digne de confiance. 2. Toujours préférer les transactions par carte de crédit à celles par débit. 3. N’effectuez pas de paiements lorsque vous êtes connecté à un réseau Wi-Fi public. 4. Pensez à refuser de mémoriser les données de votre carte de crédit sur le site Web d’un vendeur – même si vous l’utilisez souvent. 5. Ne saisissez jamais votre code PIN ou le mot de passe de votre banque lorsque vous effectuez une transaction. Le dernier mot : Vérifiez votre relevé de carte de crédit régulièrement, inscrivez-vous pour les notifications de transaction, si possible, et soyez en sécurité.

Q : COMMENT ÊTRE EN SÉCURITÉ SUR LES WI-FI STARBUCKS?

R: Pour être en sécurité lorsque vous utilisez un réseau Wi-Fi public, utilisez uniquement une connexion sécurisée (SSL) sur des sites Web fiables. Évitez d’utiliser des noms d’utilisateur et des mots de passe personnels, même si c’est pour vérifier votre courrier électronique, car les pirates peuvent surveiller les réseaux Wi-Fi non protégés et vos informations peuvent être volées. Désactivez les options Partage de fichiers et AirDrop et vérifiez que le pare-feu de votre ordinateur portable est activé. Pour une protection encore meilleure, sécurisez et chiffrez votre connexion en utilisant un réseau privé virtuel (VPN) – un tunnel numérique sécurisé vers votre périphérique.

Q: QU’EST-CE QUE l’IDO DE TOUTE FAÇON?

R: L’Internet des Objets (IoT) est un écosystème d’appareils connectés capables de communiquer avec nous, et entre eux, sur Internet. Un thermostat intelligent, contrôlable à partir de nos téléphones et tablettes, par exemple, est un appareil bien connu connecté à l’IoT. De nos jours, tout est « intelligent », des simples capteurs et actionneurs aux réfrigérateurs et voitures. L’avenir de l’IoT est très passionnant et va révolutionner notre façon de vivre, en rendant des villes et des pays entiers plus intelligents et plus efficaces. C’est vraiment un âge d’or pour les appareils IoT.

Q:COMMENT EST-CE QUE LE BLOWFISH ÉVOLUE DANS LE DOMAINE DE LA CRYPTOGRAPHIE?

R: Le Blowfish est un algorithme de cryptage symétrique conçu par Bruce Schneier en 1993 pour remplacer les anciens algorithmes DES et IDEA. Il a une taille de bloc de 64 bits et utilise une clé à longueur variable, de 32 bits à 448 bits, ce qui convient à la fois à l’usage local et à l’exportation. Blowfish cherche à rendre difficile une attaque par force brute en rendant l’installation de la clé initiale assez lente. Cet algorithme n’est pas breveté, sans licences, et est disponible gratuitement pour tout le monde. Blowfish ne devrait pas être utilisé pour les gros fichiers en raison de la petite taille des blocs (64 bits par opposition à la taille des blocs de 128 bits de l’AES).

 

MAI |

 

Q: BLUEJACKING, BLUESNARFING ET BLUEBUGGING EST-CE DE NOUVELLES NUANCES DE BLEU?

R: Le bluejacking, la première attaque bluetooth, est l’envoi de messages non sollicités vers des périphériques dont le bluetooth est activé. Le bluejacking n’est pas très méchant et se limite généralement à envoyer des messages texte, des images ou des sons à un périphérique ciblé. Le bluesnarfing est plus méchant et cible les informations confidentielles de l’utilisateur – avec un attaquant qui se connecte à un périphérique bluetooth, à l’insu du propriétaire, et télécharge son répertoire, son calendrier et plus encore. Le bluebugging va plus loin – c’est une prise de contrôle virtuelle complète du périphérique. Une fois connecté, un attaquant peut accéder à vos contacts, passer et écouter des appels, lire vos messages et e-mails et même suivre votre position, à votre insu.

Q: SAML OU OAUTH?

R: SAML (langage de balisage d’assertion de sécurité) est généralement utilisé lorsque la solution nécessite une gestion centralisée des identités ; implique SSO avec au moins un participant d’entreprise ; donne accès à une application. OAuth (autorisation ouverte) est généralement utilisé lorsqu’une solution fournit un accès à des ressources, comme des comptes, des fichiers, etc . ; ou implique des périphériques mobiles. Les deux technologies peuvent être utilisées en même temps. Par exemple : SAML pour l’authentification ; une fois le jeton SAML traité, utilisez-le comme jeton de support OAuth pour accéder aux ressources protégées via HTTP.

Q: QUELS SONT LES TYPES DE BIOMÉTRIE?

R: Il y a deux principaux types de biométrie : La biométrie physiologique est quelque chose lié à ce que nous sommes, y compris les tailles spécifiques, les dimensions et les caractéristiques de notre corps. Votre visage, vos yeux, vos veines ou vos empreintes digitales sont un exemple de données biométriques physiologiques. Ce que nous faisons c’est de la biométrie comportementale qui est liée à nos habitudes personnelles et à nos mouvements uniques. Votre voix, vos gestes, votre façon de marcher et votre signature manuscrite sont l’exemple le plus simple de ce type.

Q: EST-IL POSSIBLE D’ARRÊTER LE VOL D’IDENTITÉ?

R: Il est presque impossible d’empêcher complètement le vol d’identité, mais il est possible de réduire le risque en suivant quelques conseils simples : 1. Faites attention à vos paramètres de confidentialité sur les médias sociaux. 2. Utilisez des mots de passe forts et différents lors de la création de comptes en ligne. 3. Ne consultez pas les e-mails suspects qui peuvent être un hameçonnage pour les données. 4. Ne fournissez aucune information à des sites Web n’utilisant pas de connexion SSL. 5. Protégez votre PC en utilisant un logiciel de protection pare-feu, antivirus et anti-espion, et à jour.

 

AVRIL |

 

Q: POURQUOI UTILISER SAML ?

R: Le langage SAML (Security Assertion Markup Language) est une norme ouverte qui représente un cadre XML pour le partage d’informations de sécurité sur l’identité, l’authentification et l’autorisation entre différents systèmes. SAML élimine la nécessité de disposer de plusieurs mots de passe d’applications et de services en permettant un échange d’authentification basé sur des jetons. Il résout le défi clé en activant la fonctionnalité d’authentification unique (SSO). SAML permet de gagner du temps sur le plan administratif et d’accroître la sécurité grâce à un contrôle centralisé de l’authentification et de l’accès.

Q: QU’EST-CE QUE LA CONFORMITÉ PCI ?

A: Le PCI est un acronyme pour Payment Card Industry et est souvent suivi des lettres DSS pour Data Security Standard. Les entreprises conformes à la norme PCI doivent respecter les règles définies par le PCI Security Standards Council. Certains d’entre eux sont : Maintenir une politique de sécurité de l’information ; surveiller et maintenir un réseau sécurisé ; mettre en œuvre des contrôles d’accès rigoureux ; protéger les renseignements de nature délicate. Les clients de ces entreprises doivent se sentir en sécurité et confiants que leurs données seront protégées.

Q:QU’EST-CE QUE LE VOL D’IDENTITÉ?

R: Le vol d’identité est un accès non désiré ou non autorisé à vos renseignements personnels. Une fois que quelqu’un s’empare de vos données personnelles, il peut commettre toutes sortes de crimes en les utilisant, y compris la fraude dans les télécommunications, le blanchiment d’argent, les cybercrimes, et plus encore. Les criminels utilisent des renseignements apparemment inoffensifs, comme votre date de naissance, pour avoir accès à d’autres renseignements à votre sujet, y compris votre adresse, votre courriel, votre lieu de naissance, vos numéros d’assurance et vos mots de passe. Prenez soin de protéger vos données en veillant à la protection de votre vie privée lorsque vous partagez des données sensibles.

Q: QU’EST-CE QUI EST LE STANDARD DE CRYPTAGE AVANCÉ (AES)?

R: L’Advanced Encryption Standard (AES) est un algorithme de cryptage par blocs à clé symétrique. AES est un sous-ensemble du cryptage Rijndael développé par deux cryptographes belges, Vincent Rijmen et Joan Daemen. AES est capable de gérer des blocs de 128 bits, en utilisant des clés de 128, 192 et 256 bits. La taille de la clé est illimitée, alors que la taille maximale du bloc est de 256 bits. AES est plus sûr et permet un cryptage plus rapide que ses prédécesseurs DES et 3DES. Globalement, AES s’est avéré être un cryptogramme fiable au fil du temps.

 

MARS |

 

Q: BLUETOOTH: LA FACILITÉ A UN PRIX?

R: Nous utilisons la technologie Bluetooth tous les jours pour connecter nos écouteurs, nos trackers de fitness, le système mains libres de la voiture, etc. Il est important de connaître les questions de sécurité associées à la technologie. Bluetooth envoie des données sans fil qui peuvent être interceptées par les mauvaises personnes. Pour protéger vos informations, pensez à régler vos appareils sur « indétectable » lorsqu’ils ne sont pas utilisés. N’acceptez jamais les demandes d’appariement de parties inconnues. Téléchargez et installez régulièrement des mises à jour de sécurité sur vos appareils.

Q: Y A-T-IL UNE ERREUR DANS LE MOT «PHISHING»?

R: Les arnaques d’hameçonnage imitent des entreprises comme les banques, les fournisseurs de services en ligne, les organisations légitimes et autorisées afin d’obtenir des informations sensibles comme les noms d’utilisateur, les mots de passe, les détails des cartes de crédit, etc. On le nomme Phishing en raison de la longue tradition des hackers d’utiliser « PH » au lieu de « F ». Faites attention à ne pas tomber dans les pièges mis en place par ces Phishermen et évitez de vous faire prendre dans le filet des Phish.

Q: QU’EST-CE QUE C’EST LE DIFFIE-HELLMAN KEY EXCHANGE?

R: Diffie-Hellman (DH) est un protocole d’échange de clés conçu à l’origine par Ralph Merkle. Il porte le nom de Whitfield Diffie et Martin Hellman – deux cryptographes. DH permet d’échanger en toute sécurité des clés cryptographiques sur un canal public sans rien partager au préalable. Une clé secrète partagée peut alors être utilisée pour crypter les communications consécutives. L’échange DH lui-même ne fournit pas d’authentification des parties et pourrait être vulnérable à l’attaque man-in-the-middle. Les variantes de DH avec authentification devraient être considérées.

Q: QU’EST-CE QUE LA NÉGOCIATION (HANDSHAKE) SSL?

A: La connexion SSL/TLS entre un client et un serveur commence par une négociation « handshake ». Cela comprend un certain nombre d’étapes – en commençant par la validation de l’identité de l’autre partie et se terminant par la génération d’une clé de session commune. Le client génère une clé symétrique, la crypte et la renvoie, puis le serveur décrypte cette clé de session à l’aide de sa clé privée. Le serveur et le client sont maintenant prêts à utiliser cette clé symétrique pour crypter et décrypter le transfert de données.

 

FÉVRIER |

 

Q: EST-CE QUE LA TECHNOLOGIE DE RECONNAISSANCE FACIALE PERMET UNIQUEMENT L’AUTHENTIFICATION?

R: La technologie de reconnaissance faciale nous aide déjà dans de nombreux domaines de notre vie, comme le contrôle de sécurité dans les aéroports, la vidéosurveillance de façon simple et amicale, les enquêtes sur les scènes de crime, etc. Examinons comment la technologie peut être utilisée pour adapter les approches marketing ? Il peut, par exemple, remplacer une carte de fidélité de magasin. Lorsque vous entrez dans le magasin, le personnel saura ce que vous avez acheté la dernière fois, vous fera des offres personnelles et échangera vos points. Le magasin lui-même peut adapter vos offres en analysant les données faciales, telles que le sexe, l’âge et l’origine ethnique. Les possibilités sont infinies.

Q: EST-CE QUE LE TLS UTILISE UN CRYPTAGE SYMÉTRIQUE OU ASYMÉTRIQUE?

R: Les deux. TLS utilise un algorithme de cryptage asymétrique uniquement pour établir une session client-serveur sécurisée. Pour le cryptage asymétrique, l’expéditeur a besoin d’une clé publique pour crypter les données et le destinataire a besoin d’une clé privée pour les décrypter. Le cryptage du volume de la charge utile exige de la vitesse, de sorte qu’un algorithme de cryptage symétrique est utilisé pour échanger des informations sur une session sécurisée établie. Pour le cryptage symétrique, l’expéditeur et le destinataire partagent une seule clé symétrique pour crypter et décrypter les données.

Q: «OK, GOOGLE» DOIS-JE ME FAIRE DU SOUCI AU SUJET DU RESPECT DE MA VIE PRIVÉE?

R: Les assistants vocaux, comme Google Home, Amazon Echo, etc., peuvent répondre à vos questions, fournir un rapport météo, monter le thermostat, contrôler les lumières ou même commander une pizza. Cette solution pratique a un prix. L’assistant est toujours à l’écoute. Envisagez d’utiliser le bouton « mic mute » pour l’éteindre lorsqu’il n’est pas nécessaire. N’importe qui peut contrôler votre appareil. Envisagez de ne pas connecter certains appareils IdO (Internet des objets) comme les serrures de porte intelligentes ; désactivez les options de paiement qui ne sont pas utilisées. Profitez de votre assistant numérique, mais n’en faites pas le maître de maison.

Q: QU’EST-CE QUE LE CAMOUFLAGE?

R: Le but du camouflage est d’empêcher quelqu’un de comprendre le contenu de quelque chose. Dans le développement de logiciels, il est souvent utilisé sur le code informatique pour rendre plus difficile l’altération, l’ingénierie inverse ou le vol de la fonctionnalité d’un produit. Il est important de comprendre que le camouflage n’est pas comme le cryptage, mais plutôt comme de l’encodage. Il peut être inversé en utilisant la même technique ou simplement comme un processus manuel qui prend du temps.

Q: QUELLES SONT LES MÉTHODES D’AUTHENTIFICATION?

R: Il existe trois grandes catégories d’authentification:

La connaissance est quelque chose que vous connaissez, par exemple un simple nom d’utilisateur et un mot de passe ;
La possession est quelque chose que vous avez, il peut s’agir d’une carte d’accès ou d’une télécommande ;
L’inhérence est quelque chose qui vous est propre, votre caractéristique biométrique, comme une empreinte digitale.

Parfois, votre localisation est considérée comme la 4e méthode. L’authentification multifactorielle augmente significativement la sécurité, mais aura évidemment un impact sur l’expérience utilisateur.

 

JANVIER |

 

Q: QU’EST-CE QUE L’ENCODAGE DES DONNÉES?

R: En informatique, l’encodage consiste à transformer les données originales dans un autre format afin qu’elles puissent être transférées et utilisées par différents systèmes. Par exemple, utiliser l’encodage binaire en texte Base64 pour les fichiers binaires pour les envoyer par courriel. L’encodage utilise des algorithmes accessibles au public et peut être facilement inversé (décodé). Le but principal de l’encodage n’est pas de garder l’information secrète, mais de s’assurer qu’elle est utilisée dans des conditions de sécurité et de façon appropriée.

Q: LA BIOMÉTRIE EST-ELLE LA SOLUTION PAR EXCELLENCE EN MATIÈRE D’AUTHENTIFICATION?

R: La biométrie est le terme technique qui fait référence aux mesures liées aux caractéristiques humaines, comme l’empreinte digitale, la voix, l’iris des yeux, etc. De nombreux produits de consommation ont adopté la biométrie pour l’authentification pour des raisons de commodité pour l’utilisateur, tandis que les produits d’entreprise choisissent de se retirer afin d’assurer une sécurité maximale des données. Le principal moyen d’authentification est la connaissance, comme un mot de passe ou un NIP (PIN). Les données biométriques n’ont jamais été conçues pour être le secret. Pouvez-vous vous imaginer porter des gants tout le temps ?

Q: EST-CE QUE LE FACE ID EST PLUS SÛR QUE LE TOUCH ID?

R: Apple affirme qu’il y a une chance sur un million que quelqu’un puisse débloquer votre appareil en utilisant Face ID comparé à 1 chance sur 50000 que quelqu’un ait la même empreinte digitale que vous. Est-ce que cela signifie que la sécurité de Face ID est 20 fois plus élevée ? Il est important de se rappeler que le Face ID et le Touch ID sont davantage une question de fonctionnalité et de design que de sécurité. Votre mot de passe (PIN) restera toujours le plus grand point faible de votre appareil. Donc, c’est mieux d’en faire un qui soit puissant.

Q: QU’EST-CE QUE LE «HEX»?

R: Les nombres hexadécimaux (hexadécimale ou base-16) sont largement utilisés en calcul et en mathématiques comme représentation de valeurs binaires. Chaque chiffre hexadécimal représente quatre bits ou un demi-octet. 16 symboles uniques 0-9 et A-F utilisés pour représenter une valeur.

Cette couleur pourpre porte le numéro hexadécimal #7334A4
#73(hexadécimal) est (7×16) + (3×1) = 115 (décimale) de bleu
#34(hexadécimal) est (3×16) + (4×1) = 52 (décimale) de vert
#A4 (hexadécimal) est (10×16) + (4×1) = 164 (décimale) de bleu
Dans l’espace RVB (RGB) notre couleur sera rvb (115, 52, 164) (115, 52, 164)

Il s’agit d’une version très résumée des nombreux termes et acronymes de sécurité utilisés de nos jours, mais nous espérons que cela vous aidera. Ne vous arrêtez pas maintenant. Renseignez-vous sur la façon dont vous pouvez utiliser le cryptage pour créer des communications fiables avec des livres blancs, des rapports, des webinaires et des vidéos.

RESSOURCES DE CRYPTAGE

27 Nov 2018
protecting your customers is more than just building a bigger firewall

Le monde est-il complètement chamboulé ? Confiance, paradoxe et cryptage numériques

Gagner la confiance d’un client est une récompense qui ne se gagne qu’après de nombreuses années d’attention à votre marque, de service irréprochable et de qualité de produit. Et un client en confiance est un client loyal sur lequel vous pouvez compter pour travailler avec vous en toutes circonstances, peu importe la situation.

N’est-ce pas ?

Pas tout à fait.

Lorsqu’il s’agit de gagner la confiance du public à l’égard du numérique, les méthodes traditionnelles peuvent être ébranlées rapidement. Curieusement, par opposition aux relations précieuses hors ligne que vous entretenez avec tant de soin, acquérir la confiance dans le numérique est un jeu d’enfant, où les utilisateurs sont plus susceptibles de partager avec vous plus de détails personnels plutôt qu’une personne dont ils se font la complice. En fait, selon une étude d’Echoworx, l’utilisateur moyen ne prend que 30 secondes pour évaluer la sécurité d’un courriel avant d’envoyer ses données les plus personnelles.

Ça a l’air sympa ? Ça l’est effectivement. Peut-être même un peu trop – puisque la facilité pour inciter les clients à faire confiance à votre marque en ligne s’accompagne d’une énorme responsabilité dont le prix est trop élevé pour les personnes non préparées au numérique. Et vous n’êtes qu’à une erreur de les perdre à jamais – avec 80 % des clients qui envisagent de quitter votre marque après une brèche au niveau de la sécurité.

Donc, étant donné que votre organisation investit tant d’argent et de temps à bâtir son image de marque, pourquoi prendre le risque de ne pas protéger de façon adéquate les données sensibles pour éviter que tout ne s’écroule ? C’est là que les investissements préventifs dans l’infrastructure de cyber sécurité commencent soudainement à prendre tout leur sens – dans le sens organisationnel du terme.

Dans le passé, la cybersécurité était généralement perçue comme une question relevant davantage de la sphère interne. En termes simples, le mantra était le suivant : si vous empêchez les méchants d’entrer, l’argent reste à la banque. Mais, compte tenu de la perspective actuelle, centrée sur la clientèle, sur la façon de fournir des services numériques et des menaces réelles que représentent les attaques ransomware, cette conception a évolué vers un problème organisationnel – une crise touchant les marques.

Dans ce cas, comment éviter de perdre vos clients ?

Facile : Il faut les protéger.

Et protéger vos clients, c’est bien plus que mettre en place un pare-feu plus important. Vous devez également tenir compte des données sensibles qui sortent de votre parc informatique cloisonné. Alors que le cryptage est un moyen efficace de sécuriser vos communications, les solutions peu pratiques font passer vos messages pour du spam – au détriment de l’utilisateur final ou du client, ce qui va à l’encontre du but recherché.

Les messages cryptés sécurisés doivent avoir un aspect authentique et être flexibles pour répondre aux besoins de votre clientèle. L’image de marque, les langues et tout autre détail propre à chaque entreprise devraient être personnalisables de manière à ne pas affecter l’expérience utilisateur. Cela permet non seulement d’éliminer la confusion (quelque chose qui plaît aux fraudeurs), mais c’est aussi simplement un bon service pour les clients.

Vous devez également envisager d’offrir plusieurs méthodes de transmission pour répondre aux différents besoins des clients. Par exemple, vous souhaitez parfois crypter un document, pas un message entier. Vous pouvez rechercher une méthode de transmission qui permet le cryptage des pièces jointes uniquement.

Plus vos messages cryptés reproduisent l’aspect et la convivialité de vos communications régulières, sans sacrifier l’expérience utilisateur, vos clients accorderont davantage leur confiance aux interactions en lignes avec vous. Et plus vous les protégez, moins vous risquez de subir une intrusion catastrophique. C’est ainsi qu’investir dans la confidentialité des données est non seulement bon pour protéger votre infrastructure organisationnelle, mais aussi pour votre entreprise, votre marque et tout simplement pour un bon service client.

Par Lorena Magee, vice-présidente du marketing chez Echoworx

27 Nov 2018
TLS encrypted delivery

Est-ce que le TLS est une solution adéquate pour les courriels sécurisés ?

Lorsqu’il s’agit de recueillir des données sensibles des clients, vous ne pouvez tout simplement pas vous permettre de prendre le moindre risque. Vos clients vous font confiance et vous devez les protéger, ainsi que leurs données les plus personnelles. Mais, bien qu’il soit important de protéger votre périmètre numérique, votre entreprise doit également s’assurer que les données sensibles restent sécurisées pendant le transport.

Une des méthodes pour y parvenir est d’utiliser une solution de cryptage TLS. Mais qu’est-ce que le TLS exactement ? Comment fonctionne-t-elle ? Et quand est-ce que c’est assez bon pour les courriels sécurisés ?

Voici ce que vous devez savoir sur le TLS :

Qu’est-ce que TLS ?

En termes plus simples, TLS (Transport Layer Security) est une méthode de cryptage de la connexion entre deux parties communiquant sur Internet – pensez à un tunnel crypté. TLS peut être appliqué au courrier électronique pour éviter que des yeux indiscrets puissent voir les messages en cours de transmission – ou accéder aux données transmises entre un utilisateur et un site Web. La facilité de ce type de cryptage des messages en fait l’un des modes de transmission les plus populaires.

Quand faut-il accroître la sécurité des messages ?

Le TLS est l’une des méthodes les plus simples et les plus simples pour transmettre des messages sécurisés. Mais est-il assez sûr ? Cela dépend – à vous de nous le dire.

Avez-vous accès à d’autres méthodes de cryptage si une connexion TLS n’est pas disponible ? Quels sont exactement vos besoins en matière de sécurité ? Vous vous méfiez des sociétés tierces, comme Google via Gmail, qui scannent votre correspondance ? Êtes-vous préoccupé par les Attaques de l’homme du milieu « man-in-the-middle », où une connexion sécurisée est compromise ? Ce ne sont là que quelques-unes des questions auxquelles vous devez répondre pour déterminer si le TLS est suffisamment sécurisé pour vous.

Que faire pour renforcer la sécurité des messages ?

Bien que les messages standards avec un cryptage TLS aient leurs avantages, cette méthode de transfert ne répond pas toujours aux besoins de chacun de vos clients. C’est pourquoi Echoworx OneWorld va plus loin en offrant automatiquement un plus grand nombre de méthodes de cryptage de la transmission. OneWorld offre également de la flexibilité au sein de l’environnement TLS – avec la possibilité de créer des politiques spécifiques pour l’utilisation de TLS et des pieds de page de courriel de marque signalant que le message a été transmis de façon sécurisée.

Existe-t-il des alternatives sécurisées au TLS ?

Dans les cas où TLS n’est pas une option souhaitable, vous devez disposer d’autres options – pour vous assurer qu’aucun message n’est envoyé sans cryptage ou dans un environnement compromis. Par ailleurs, il existe une variété d’autres options de transmission sécurisée, allant des méthodes de cryptage à clé publique, comme S/MIME et PGP, aux portails Web protégés.

La plateforme de cryptage OneWorld d’Echoworx offre toutes ces options, ainsi que des pièces jointes cryptées. Et comme OneWorld vérifie si le TLS est disponible avant le transfert, les messages sensibles ne sont jamais envoyés non cryptés.

Consultez plus de méthodes de transmission de messages sécurisés.

Par Christian Peel, VP Ingénierie, Echoworx

22 Oct 2018
Am i a data controller or data processor

UNE UNION RÉALISÉE DANS LE CLOUD : LE RESPONSABLE DU TRAITEMENT DE DONNÉES ET LE SOUS-TRAITANT DE DONNÉES

Le Règlement général sur la protection des données (GDPR) de l’UE est entré en vigueur le 25 mai 2018. En particulier, le GDPR donne aux particuliers un plus grand contrôle sur leurs données personnelles, et il exige que les entreprises précisent clairement les raisons pour lesquelles elles recueillent ces informations. Dans le cadre du GDPR, les sociétés qui accèdent à l’information sur les clients sont définies comme étant des responsables du traitement et/ou des sous-traitants. Toute entreprise qui fait des affaires au sein de l’UE ou avec des citoyens ou des résidents de l’UE doit se conformer au GDPR, même si elle est basée en dehors de l’Europe.

Quelle est la relation entre les responsables du traitement et les sous-traitants ?

Le responsable du traitement est la personne, l’entreprise ou l’agence qui détermine quelles données seront collectées, auprès de qui et dans quel but. Le responsable du traitement détermine également où et comment les données à caractère personnel sont stockées et gérées. Le sous-traitant est la personne, la société ou l’agence qui traite les données pour le compte d’un responsable du traitement. En effet : le responsable du traitement est à la recherche d’un stockage de données, et le sous-traitant fournit le stockage. Mais les deux sont assujettis au GDPR.

Dans la plupart des cas, les responsables du traitement téléchargent les données vers un processeur. Le responsable du traitement traitera ensuite les données et les stockera dans le nuage. Comme le responsable du traitement conserve le contrôle des données, il est essentiel de faire confiance au responsable du traitement.

Voici quelques questions à considérer :

  • Savez-vous où se trouvent les serveurs de vos sous-traitants ?
  • Est-ce que votre sous-traitant se conforme au GDPR ?
  • Leurs procédures en matière de cloud sont-elles sécurisées ? Peuvent-ils le prouver à l’aide d’audits effectués par des tiers ?
  • Est-ce que votre sous-traitant est certifié WebTrust ? Sont-ils en conformité avec SOC2 ?

 

Les responsables du traitement doivent également être clairs sur les politiques de conservation des données. Les personnes doivent savoir combien de temps leurs données seront conservées, et les données ne peuvent être conservées au-delà du temps nécessaire. À la fin de cette période, toutes les données doivent être détruites. Les sous-traitants qui sauvegardent des données dans plusieurs systèmes doivent mettre en place des procédures pour s’assurer qu’elles peuvent être supprimées.

En tant qu’entreprise de traitement de données, Echoworx ne distribue du courrier qu’aux utilisateurs finaux. Nous stockons tous les courriels sous forme cryptée et les supprimons rapidement. Nous sommes en totale conformité avec le GDPR.

Qu’est-ce que cela signifie pour moi ?

Il existe de nombreux cas où les entreprises peuvent rencontrer des points de contact dans la relation entre le responsable du traitement et le sous-traitant. Prenons l’exemple des services bancaires : vous êtes peut-être une grande banque qui a tout simplement trop de clients pour fournir un cryptage de données fiable et efficace en interne. Votre banque signe une entente contractuelle avec un fournisseur de cryptage tiers pour crypter et envoyer de gros volumes d’états financiers sécurisés. Étant donné que vous conservez le contrôle des coordonnées du client et des détails du relevé, votre rôle dans cette relation est celui d’un contrôleur de données – alors que la plate-forme de cryptage tierce partie, qui traite les données pour un transit sécurisé, est le processeur de données.

En fin de compte, vous êtes responsable d’assurer la sécurité des données sensibles des clients, qu’il s’agisse d’informations aussi simples que leur adresse ou plus complexes comme leur historique financier. De plus, en vertu de règlements comme le GDPR et de règlements encore plus récents, comme l’AB 375 de la Californie, vous êtes également responsable de vous assurer que vos sous-traitants de données tiers respectent les normes de sécurité que vous leur imposez.

Pour vous aider à établir une base de référence de ce qui est nécessaire, vous pourriez faire appel à un audit de cybersécurité réalisé par un tiers – voici ce que vous devez savoir.

Le Cybersecurity Leadership Exchange Forum (CLX Forum) offre de nouvelles perspectives

Une analyse approfondie du GDPR et de ses implications est fournie par le Forum CLX, une communauté de réflexion du leadership canadien, dans son livre Canadian Cybersecurity 2018 : An Anthology of CIO/CISO Enterprise Level Perspectives. Parmi les nombreuses observations les plus intéressantes, Edward Kiledjian, VP Information Security, Compliance and CISO chez OpenText, aborde la question de savoir à qui appartiennent les informations personnelles. Bien que cette question n’ait pas encore été tranchée en Amérique du Nord, le GDPR indique clairement qu’en Europe, les particuliers sont désormais propriétaires de leurs données. À tout moment, un citoyen de l’UE peut révoquer le droit d’une organisation de stocker ses données personnelles. Et si un citoyen de l’UE demande à une entreprise de détruire des données, l’entreprise doit le faire dans un délai d’un mois. Il est également important de noter que les données recueillies précédemment ne sont pas exemptées de ce règlement. Si votre entreprise a déjà recueilli des données auprès de résidents de l’UE dans le passé, les responsables du traitement doivent obtenir leur consentement pour l’utilisation actuelle de ces données. [1]

Un autre aspect important du GDPR est que son agence de réglementation teste activement la sécurité. Dans le cadre de ce processus, elle mesure également la façon dont les entreprises réagissent aux attaques. Comme le souligne Amir Belkhelladi, associé, Risk Advisory, chez Deloitte Canada, les conseils d’administration des sociétés sont maintenant directement responsables devant l’organisme de réglementation de GDPR. Les conseils doivent comprendre comment les données sont collectées, utilisées, sauvegardées et supprimées. Ils doivent également s’assurer que la direction suit ces nouveaux règlements. [2]

Des Sanctions à travers des amendes.

Avant le GDPR, les entreprises se faisaient surtout du souci quant à l’impact sur la réputation d’une atteinte à la cybersécurité. Aujourd’hui, en plus des dommages coûteux causés aux marques, les failles de sécurité ont de graves conséquences financières. Les entreprises qui ne protègent pas suffisamment les données peuvent se voir infliger des amendes allant jusqu’à 20 millions d’euros, soit 4 % de leur chiffre d’affaires annuel global, le montant le plus élevé étant retenu. Les entreprises n’ont que 72 heures pour signaler un incident, et elles sont tenues d’aviser les clients « sans délai indu » après avoir pris connaissance d’un incident.

Les entreprises qui ne fournissent pas de biens ou de services aux résidents de l’UE ne sont pas tenues de se conformer au GDPR. Mais le protocole GDPR s’applique également aux résidents de l’UE résidant à l’étranger et aux entreprises qui engagent des tiers ayant des liens avec des pays de l’UE. Pour ceux qui continuent à faire des affaires en Europe, la protection de la vie privée par la conception deviendra leur nouveau mot d’ordre. Les organisations doivent s’assurer que leurs systèmes répondent à ces normes strictes. Certaines petites organisations décideront-elles qu’elles ne peuvent plus faire affaire avec des citoyens de l’UE ? Presque certainement. Mais pour chaque entreprise opérant en Europe, la mise en conformité devrait être obligatoire. Et comme GDPR est l’ensemble le plus rigoureux de règlements sur la protection de la vie privée jamais adoptée, les entreprises qui sont en conformité peuvent être assurées qu’elles sont en conformité à l’échelle mondiale.

Par Nicholas Sawarna, Sr. Spécialiste en Content Marketing, chez Echoworx


[1] CLX Forum, Chapter 12, “General Data Protection Regulation (GDPR)”

[2] CLX Forum, Chapter 3, “Coaching Your Board and Leadership Peers on Cybersecurity Issues”

17 Oct 2018
trust is the new currency in banking

Comment la « confiance » est-elle devenue la nouvelle devise dans le secteur bancaire ?

Un récent sondage d’Echoworx révèle que près de la moitié des clients envoient des renseignements personnels par courriel et font confiance à la sécurité d’un courriel en 30 secondes ou moins. Mais cette confiance est-elle garantie ?  Lorsqu’on les interroge, seulement 40 % des entreprises qui disposent de moyens de cryptage utilisent largement cette technologie pour protéger les données sensibles – un tiers des e-mails qui devraient être cryptés étant envoyés sur des réseaux non sécurisés. Ce qui est plus préoccupant, c’est que la plupart des atteintes à la protection des données ne sont pas détectées et que 61 % des employés admettent avoir envoyé des renseignements confidentiels par courriel non crypté.

La confiance est primordiale

Mark Carney, Gouverneur de la Banque d’Angleterre, affirme que le fait de préserver la confiance du public est la fonction principale des banques centrales. En outre, le « passé, le présent et l’avenir » des institutions financières sont tributaires de la confiance du public.

Et pour pouvoir inspirer de la confiance, selon une récente étude de Javelin, une banque doit être fiable dans la manière dont elle protège les données sensibles des clients. Cette fiabilité se traduit par la façon dont les données personnelles sont sauvegardées, les mesures proactives mises en place pour empêcher tout accès non désiré à leurs comptes et les formules d’indemnisation en place en cas de perte ou de fraude.

Quelles seront les répercussions du GDPR ?

Avec l’adoption récente du GDPR (RGPD) dans l’UE, les institutions sont désormais tenues de rendre publique toute infraction dans les 72 heures. Cela aura presque certainement une incidence sur la perception des consommateurs à l’égard des banques et de leurs mesures de sécurité, d’autant plus que la perception du public est en contradiction avec la réalité à cet égard : un établissement sur quatre a été piraté, mais seulement 3 % des clients pensaient que leur propre établissement avait subi ce sort. Parlant de la nature éphémère de la confiance, Mark Carney a déclaré : « La confiance arrive à pied, mais part en Ferrari. » Dans le sillage du GDPR, un plus grand nombre d’institutions risquent de comprendre cela.

Les données des clients : un atout et une responsabilité

La confiance dans les institutions financières incite davantage de clients à partager leurs données. 60 % des clients sont prêts à échanger des données personnelles en échange de certains avantages – par exemple, des tarifs réduits sur un produit financier. Les millénaires sont le groupe qui est le plus disposé à partager leurs données ; ils sont aussi le groupe qui est le plus au courant de leurs données et de la façon dont les banques les recueillent. Les baby-boomers et les personnes âgées ont un niveau de confiance élevé, mais cela ne se traduit pas par une disposition à partager leurs données.

Les institutions financières savent que 65 % des clients choisissent leur institution financière en fonction de la confidentialité et de la sécurité. Par conséquent, plus de la moitié des clients ont confiance en leur institution financière principale.

Mais dans quelle mesure la confiance peut-elle subsister en cas d’atteinte à la protection des données ? 86 % des clients ont indiqué qu’ils changeraient d’institution financière en cas d’atteinte à la protection des données, et ceux qui privilégiaient la confidentialité et la sécurité seraient bien placés pour conquérir une partie de cette clientèle.

En réalité, il est évident que de nombreux clients trouveraient que changer de prestataire est un inconvénient. Mais même si ces clients ne s’en vont pas, ils limitent quand même leurs activités : 35 % des clients ont déclaré qu’ils allaient réduire le nombre de transactions qu’ils effectuent, 28 % redistribueraient certains actifs à un autre fournisseur et 28 % seraient prudents quant aux investissements supplémentaires qu’ils feraient dans leur institution. Dans tous ces cas de figure, la banque aurait un impact financier.

Les banques peuvent tout de même instaurer la confiance envers le numérique

Il existe de nombreuses façons pour les banques d’instaurer la confiance des clients à l’égard du numérique, ce qui se traduira par un engagement et une fidélisation accrus des clients. En voici quelques-unes des plus importantes :

  1. Mettre l’accent sur le client. Les banques devraient se focaliser sur les services numériques dont les clients ont besoin et qui sont dans leur meilleur intérêt. Cette vision axée sur le client devrait se manifester à tous les niveaux de l’institution.
  2. Éliminer les sources de frictions. Supprimez les erreurs et simplifiez les services numériques. S’efforcer de comprendre pourquoi les clients ont des difficultés : cela permettra d’obtenir une solution durable.
  3. Communications sécurisées à travers le marquage. Les clients ne doivent jamais être induits en erreur par les communications numériques, que ce soit au niveau des paiements ou des relevés électroniques. Les courriels malveillants imitent vos communications authentiques dans le but de tromper vos clients. Toute communication sécurisée nécessite un marquage (branding) adéquat et des options en matière de langue.
  4. Protéger les clients. Mettre en place des stratégies pour protéger les données et protéger la vie privée des clients. Se défendre activement contre les menaces à la cybersécurité à l’aide de mesures proactives – comme le cryptage.

La confiance attire les clients et les encourage à rester. La confiance permet aux banques d’accéder à l’information qui leur permet d’améliorer leurs services. La confiance est la devise que les clients apprécient par-dessus tout. Il n’y a pas de doute : les institutions qui privilégient la confiance, qui la placent au cœur de leur façon de faire des affaires, prospéreront, même dans un contexte difficile où les menaces sont en constante évolution.

Par Derek Christiansen, responsable de l’engagement, Echoworx

———

[1] https://www.bloomberg.com/news/articles/2018-05-25/boe-s-carney-says-central-banking-comes-down-to-trust-in-money

[2] https://www.javelinstrategy.com/sites/default/files/18-4003J-FM-2018%20Trust%20in%20Banking%20Awards%20Whitepaper.pdf

[3] https://www.javelinstrategy.com/sites/default/files/18-4003J-FM-2018%20Trust%20in%20Banking%20Awards%20Whitepaper.pdf