Endpoint Protector Appliance: Stoppez le vol de donnees sur Windows et Mac

 

Pas une autre clé USB perdue?!

Nouvelles victimes, la même vieille histoire….Une clé USB sans protection contenant des informations personnelles des citoyens canadiens est disparue d’un bureau de Ressources Humaines et Développements des Compétences de Gatineau, Quebec.

Le disque gardait les noms, les numéros d’assurance sociale, les dates de naissance et les bilans bancaires de 583000 étudiants qui avaient emprunté de l’argent entre 2000 et 2006.

L’investigation interne sur l’affaire a commencé deux mois après la découverte de la perte de la clé (5 novembre) et une notification a été envoyée aux victimes le vendredi passé.

Alors la question reste : Pouvons-nous apprendre des erreurs des autres ? Spécialement maintenant que les logiciels de Contrôle des Périphériques, Prévention des Pertes de Données et cryptage USB existent depuis des âges et sont pratiquement disponibles pour tout le monde.

Les vols d’ordinateurs portables ne cessent pas, les organisations n’apprennent pas la leçon

On a écrit beaucoup sur les pertes/vols de matériel (laptops, clés USB, disques durs, etc.) et on avait pensé que les organisations allaient apprendre la leçon et chiffrer les données sensibles stockées sur des tels supports. Apparemment, les choses ne sont pas comme ça et deux incidents récents viennent à le démontrer.

Un étudiant résident chez Vancouver Coastal Health a perdu un laptop et une clé USB (il est très probable que ces matériels ont été volés) à l’Aeroport de Toronto. Les informations y contenues étaient protégées par mot de passe mais n’étaient pas chiffrées.

Un officiel de Vancouver Coastal Health dit que l’incident est ‘malheureux’ et que ‘C’est la manière dont les médecins et les autres professionnels médicaux font leur travail. Ils ont besoin d’utiliser ces dispositifs.’ Il reconnaît que beaucoup des personnes utilisent des ordinateurs portables et que l’agence a quelques problèmes à maîtriser les technologies mobiles.

Un autre incident qui a eu lieu dans le Royaume-Uni implique le vol d’un laptop contenant les informations personnelles de 100 jeunes qui ont participé dans des programmes d’inclusion. Ce laptop se trouvait dans la maison d’un prestataire de l’organisation Newcastle Youth Offending Team. Le ICO (Information Commissioner’s Office) a disposé une amende à cette organisation pour ne pas avoir chiffré les données. Selon Sally-Anne Poole, ‘le chiffrement est une procédure de base et un moyen très peu cher d’assurer la sécurité de l’information.’ Elle souligne le fait que les organisations qui travaillent avec des prestataires doivent s’assurer que les derniers s’alignent à leurs procédures de sécurité.

fr-banner.png

Il est si simple et peu cher à tracer l’utilisation des périphériques de stockage portables et à chiffrer les données y stockées, qu’on se demande vraiment pourquoi les organisations ne le font pas?

Espérons qu’au moins les contraintes légales obligeront les organisations qui traitent des données privées à implémenter des solutions et processus pour garder les informations en toute sécurité.

Chiffrement des données avec EasyLock

Les personnes qui suivent ce blog ont surement vu le nombre croissant d’articles sur les pertes/vols de périphériques portables (clés USB, CD, disques durs externes) qui contenaient des données confidentielles. Ces incidents de sécurité sont majoritairement causés par des employés négligeants mais aussi par ceux qui volent intentionnellement les données sensibles pour les utiliser das des buts frauduleux. Les conséquences de de ces actions peuvent être très graves. Même si les pertes financières sont récupérées avec le temps, la tache laissée sur le nom de la compagnie ne pourra être effacée peut-être jamais. J’espère qu’au moins les lecteurs fidèles soient conscients de ces dangers et du mode simple de prévenir ces incidents désagréables: le chiffrement des données.

Grâce à la multitude de solutions qui existent aujourd’hui, le chiffrement des données sur les périphériques portables ne doit pas être un problème pour personne.

CoSoSys a lancé la semaine dernière la deuxième version de son logiciel de cryptage de données, EasyLock. Le logiciel utilise un chiffrement AES 256 bit pour la protection des données confidentielles. En comparaison avec la première version, EasyLock 2 est 30% pous rapide et peut être utilisé sur Windows, Mac et Linux. De plus, EasyLock est disponible en français.

Protégez les données sensibles en quelques clics!

Téléchargez EasyLock et essayez-le gratuitement pour 30 jours!

£2.275.000-la plus grande amende pour une perte de données

La compagnie d’assurances Zurich UK a été condamnée par la FSA (Financial Services Authority – L’authorité des Services Financiers) à payer une amende de £2.275.000 pour la perte des détails personnels de 46.000 clients.

Les données perdues contenaient des informations sur l’identité des assurés, mais aussi des détails sur les comptes bancaires, les cartes de crédit, les biens assurés et les mesures de sécurité. Elles se trouvaient sur un disque de sauvegarde non-chiffré qui a été perdu par Zurich Insurance Company South Africa Limited, une compagnie sous contrat avec Zurich UK pour traiter les données des clients.
Le disque a été perdu en août 2008, mais Zurich UK n’a été informée sur cet incident qu’une année plus tard.
FSA a pris la décision d’appliquer cette amende à cause du fait que Zurich UK n’a pas pris les mesures nécessaires pour assurer les systèmes et les contrôles efficaces pour gérer les risques liés à la sécurité des données des clients durant le processus d’outsourcing et pour prévenir la situation dans laquelle les informations perdues pouvaient être utilisées pour des infractions financières.
Un officiel de FSA attire l’attention des entreprises qui activent dans le domaine financier d’analyser les détails de cet incident et d’apprendre des erreurs faites par Zurich UK.
De tels événements peuvent se produire n’importe quand, si long que les compagnies qui traitent des données personnelles et confidentielles ne prennent pas les mesures de sécurité qui s’imposent pour prévenir la perte, le vol ou la fuite d’informations. Une première mesure à prendre dans ces situations est le cryptage de toutes les informations stockées sur des supports externes de mémoire. Ce qui suit sont les politiques de sécurité avancées comme le contrôle d’accès aux données et le contrôle des supports externes de stockage.
banner-sky.jpg Les entreprises ont la responsabilité de protéger les données des clients, un aspect qui est devenu très important aujourd’hui, quand on est exposé à bien des dangers comme le vol d’identité ou la fraude bancaire. La faute des mesures de sécurité affecte non seulement les clients, mais aussi la compagnie, parce que la confiance du publique se diminue après des tels incidents et l’image de marque est endommagée.

Le chiffrement de données pour prévenir les fuites en entreprise

Les données d’entreprise sont devenues le capital le plus important pour une affaire. La perte ou le vol de données sensibles signifie la fin du business en cause. Un exemple récent est le disque dur contenant une partie d’une base de données de 76 millions de vétérans de l’Armée des Etats-Unis qui a été envoyé pour réparation en Octobre 2009 avec les données intactes et accessibles. D’autres fuites ont été enregistrées aux Etats-Unis dans des universités, écoles, banques, hopitaux, cliniques médicales, institutions de l’état et même des compagnies de sécurité.
Pour prévenir ces incidents, le plus important et le plus urgent est le chiffrement de l’information sensible sur les postes de travail, les ordinateurs portables et les périphériques amovibles. Si les données sont chiffrées avec un mot de passe, la seule personne qui peut les lire est celle qui connait le mot de passe. Dans cette situation, même si toute autre mesure de sécurité échoue, personne pourra lire les données chiffrées.
Avec les derniers développements des solutions de cryptage et chiffrement, protéger les données sensibles d’entreprise est vraiment facile.

La sécurisation des données en entreprise en 2010

Une étude sur la sécurité informatique ménée auprès de 224 Responsables de Sécurité en entreprise révèle le fait que seulement 27% d’entre eux utilisent le chiffrement pour protéger leurs données et leurs postes clients, tandis que 9% utilisent le chiffrement pour sécuriser les périphériques de stockage amovibles (clés USB, disques durs externes).
Pour les 12 mois suivants, les entreprises envisagent d’acheter:
-47% – une solution pour sécuriser les postes clients (Endpoint)
-24% – une solution pour le chiffrement du disque
-22% – une solution pour contrôler l’accès au réseau
-13% – une solution pour chiffrer les périphériques
Le fait que presque la moitié des entreprises vont ou souhaitent déployer une solution de sécurisation pour les postes clients démontre qu’elles se sont apperçues des menaces et ont pris l’approche proactive pour s’en mettre à l’abri. Il faut quand même prendre conscience que les supports de stockage amovibles sont une possible source de fuites, et donc faire plus d’attention en chiffrant le contenu des clés USB et gérer leur accès au réseau.

Les 10 recommandations de CNIL pour la sécurité du système informatique

La loi « Informatique et Libertés » impose la sécurisation des données traitées par les détenteurs de fichiers.

Voici les recommandations que la CNIL fait aux Résponsables de Sécurité Informatique pour garrantir que les données ne soient pas mises en danger:

1. Adopter une politique de mot de passe rigoureuse- les postes de travail et les fichiers doivent être protégés avec des mots de passe composés d’au moins 8 caractères, chiffres, lettres et caractères spéciaux, qui doivent être changés très fréquement.

2. Concevoir une procédure de création et de suppression des comptes utilisateurs- les comptes utilisateurs doivent être nominatifs, pas generiques, pour savoir à tout moment qui a efectué des changements dans les fichiers.

3. Sécuriser les postes de travail- renforcer le verouillage automatique en cas d’une période d’absence de l’utilisateur (10 minutes maximum) et le controle des ports USB. (par exemple à travers des logiciels spécialisés en sécurité USB capables d’empecher que les données sensibles soient copiées)

4. Identifier précisément qui peut avoir accès aux fichiers- limiter l’accès au données personnelles qu’à l’employé ayant le droit de les traiter.

5. Veiller à la confidentialité des données vis-à-vis des prestataires- imposer des contrats de confidentialité avec les prestataires de services informatiques, chiffrer les données sensibles auxquelles les prestataires ont accès.

6. Sécuriser le réseau local- assurer la sécurité contre les attaques extérieures à travers des routeurs filtrants (ACL), pare-feu, sonde anti intrusions, etc. Quant à la communication à distance, elle doit se faire par des biais sécurisés.

7. Sécuriser l’accès physique aux locaux- restreindre l’accès aux locaux sensibles (salles hébergeant les serveurs informatiques et les éléments du réseau) par toutes les moyennes possibles: vérification des habilitations, gardiennage, portes fermées à clé, digicode, contrôle d’accès par badge nominatif, etc.

8. Anticiper le risque de perte ou de divulgation des données- garder les données d’entreprise sur des serveurs protégés contre les cas d’erreur ou malveillance d’un salarié ou d’un agent, vol d’un ordinateur portable, panne matérielle, dégât des eaux ou incendie. Les périphériques de stockage mobiles (ordinateurs portables, clé USB, assistants personnels etc.) doivent être particulièrement sécurisés , par chiffrement, au regard de la sensibilité des documents qu’y se trouvent.

9. Anticiper et formaliser une politique de sécurité du système d’information- faire une analyse détailée des menaces qui peuvent surgir et rediger un document contenant des règles et procedures à suivre, qui soit mis à la disposition des employés.

10. Sensibiliser les utilisateurs aux « risques informatiques » et à la loi « informatique et libertés »- la source principale de menaces de sécurité informatique (les utilisateurs) doivent recevoir des formations pour les sensibiliser sur l’utilisation correcte des données qu’ils traitent. La « charte informatique », qui pourra préciser les règles à respecter à cet égard doit être mise à leur disposition.

Vous pouvez trouver cettes recommandations sur le site de CNIL.