Endpoint Protector Appliance: Stoppez le vol de donnees sur Windows et Mac

 

Data Privacy Day (La Journée de la Confidentialité des Données)

Data Privacy Day est une initiative de National Cyber Security Alliance commencée en 2008 aux Etats-Unis et au Canada. Maintenant elle est fêtée aussi en Europe et son but est de sensibiliser les utilisateurs de l’Internet, les fans des médias sociaux, les joueurs online, les acheteurs online,… pratiquement tous ceux qui utilisent l’Internet sur l’importance de la confidentialité de leurs informations personnelles.

Nous sommes grands fans de la sécurité des données et nous vous encourageons de faire les suivantes pour au moins un jour ou à partir d’aujourd’hui :

  1. Arrêtez de partager tant d’informations personnelles sur votre compte Facebook, Twitter, Google+, etc. Les hackers peuvent utiliser ces informations et vous pouvez voir un jour que votre identité a été volée, vos mots de passe ne correspondent plus, ou encore pire, votre compte bancaire est vide. Sans mentionner les harceleurs devant votre maison qui, bien sûr, ont investigué où vous êtes en direct sur Facebook…
  2. Changez vos mots de passe et ne supposez pas qu’utiliser le même mot de passe fort pour tous vos comptes en ligne est suffisant. Utilisez des mots de passe alphanumériques, mais pas ‘password1234’
  3. Utilisez une carte spéciale pour les transactions en ligne. Il y a des options telles que les cartes jetables, ou vous pouvez établir une limite hebdomadaire de dépenses avec votre banque.
  4. Chiffrez les données sur les clés USB ou d’autres périphériques de stockage portables. Perdre un support de mémoire si petit où vous gardez des données importantes est vraiment frustrant. Au moins personne pourra lire vos données une fois qu’il trouve votre clé USB.
  5. N’oubliez pas vos dispositifs mobiles : smartphones et tablettes. Ils ont besoin de la même protection que votre laptop ou ordinateur. Ne téléchargez pas des apps soupçonnables et utilisez des logiciels AdBlock pour éviter les pop-up ennuyants qui peuvent aussi contenir de malware.

C’est tout de notre part, mais les gars de National Cyber Security Alliance ont plus de conseils et vous pouvez les trouver sur :

Leur site Web StaySafeOnline.org
Twitter @DataPrivacyDay
Facebook DataPrivacyNCSA

Faille de sécurité chez LinkedIn – 6.5 millions de mots de passe hachés siphonnés sur l’Internet

Le site LinkedIn.com, une plate-forme très connue de business networking a subi une brèche de sécurité qui à exposé les mots de passe hachés de 6.5 millions d’utilisateurs. Dans l’apparence, ces mots de passe ont été publiés sur des sites ‘underground’ très populaires parmi les hackers.

Les officiels de LinkedIn disent qu’ils prennent très au sérieux cette activité criminelle et que leurs ingénieurs travaillent avec le FBI pour trouver les auteurs du vol de données.

Jusqu’au présent, l’investigation a montré que les mots de passe n’ont pas été publiés avec les adresses mail correspondantes, et la majorité d’eux étaient cryptés. LinkedIn a désactivé les mots de passe affectés par la brèche, même si pour l’instant il n’y a pas de preuve que les comptes ont été piratés.

LinkedIn recommande de changer votre mot de passe, même si votre compte n’a pas eu le mot de passe exposé.

Les clés USB – avantages et désavantages

Pourquoi les clés USB sont-elles utiles? Simple. Parce qu’elles occupent très peu d’espace, peuvent stocker une grande quantité d’informations et sont très peu chères.
Et quels sont les désavantages de ce petit dispositif?
D’abord, il peut être perdu très facilement et la grande quantité de données peut arriver au mauvais endroit.
Suite au dernier incident présenté par Data LossDB, les données personnelles de 15.700 personnes ont été siphonnées chez Northern Carolina University, à cause d’un pendrive perdu. En Europe le record est celui de l’autorité fiscale du Royaume-Uni, qui a perdu 25.000.000 de données sensibles.
Pourtant, des solutions pour protéger les données en cas de perte de périphérique portable existent. Quand je dis ça, je pense aux logiciels qui, à l’aide d’un mot de passe, chiffrent les données qui y sont stockées, afin que les personnes non-autorisées ne puissent pas les lire ou les utiliser. Dans les grandes compagnies, ces logiciels chiffrent automatiquement toutes les données transférées vers un support amovible de mémoire.
Pour ceux qui utilisent déjà une telle solution, bravo!
Pour ceux qui ne le font pas, ils doivent en acquérir une pour prévenir les incidents et les pertes d’argent.

Les entreprises doivent encourager l’utilisation des clés USB, mais en toute sécurité

Le développement de la technologie apporte des solutions de réduction des coûts pour les entreprises. Dans cet environnement économique peu stable, une baisse des dépenses liées à l’infrastructure et aux matériels peut signifier des investissements et des emplois sauvés.
La virtualisation nous permet de transformer les supports amovibles de mémoire comme les clés USB dans des PCs qui ont l’avantage d’être très petits et portables. Cela permet d’économiser des montants importants pour les entreprises qui ont des employés mobiles. Mais les petites dimensions d’une telle clé virtualisée la rendent très facile à perdre ou à être volée. C’est pourquoi les entreprises doivent prendre toutes les mesures de sécurité pour protéger les informations qui y sont stockées. Les données doivent être chiffrées à l’aide d’un algorithme puissant et elles doivent être accessibles seulement par mot de passe.
La mobilité représente un avantage compétitif pour une compagnie, mais elle peut se transformer comme un pire cauchemar. Si les données en transit ne sont pas sécurisées et bien protégées, l’entreprise peut subir des fuites d’informations confidentielles, et ça produira des grandes pertes financières qui peuvent la conduire à la faillite.
En conclusion, notre conseil est d’encourager l’utilisation des supports amovibles, car ils sont un vrai catalyseur pour votre productivité, mais de le faire en toute sécurité, en protégeant vos données sensibles.

La perte de données vs. le vol de données

Comment définissons-nous une perte de données? Et un vol de données?

D’abord, il faut préciser que les deux impliquent que nos données (confidentielles ou non) soient accessibles à des personnes qui normalement n’auraient pas le droit de les connaitre.
La perte des données signifie révéler nos données d’une manière accidentelle (par exemple on perd une clé USB qui contient les données personelles des employés de notre entreprise).
Le vol de données signifie révéler nos données d’une manière intentionelle (par exemple un employé copie des données confidentielles de l’entreprise sur sa clé USB et il les vend à la concurrence)

Voyons ce qu’on peut faire pour prévenir ce type de situations désagréables.
Dans le premier exemple, il serait très facile de tout simplement utiliser un logiciel de chiffrement sur toutes les clés USB utilisées en entreprise. De cette façon, même si quelqu’un perd sa clé, son contenu est chiffré et informations non exploitables. C’est une solution adoptée de nos jours par beaucoup d’entreprises : chaque employé reçoit une clé qu’il utilise pour les aspects professionnels. La clé est protégée avec un logiciel de cryptage basé sur un mot de passe connu seulement par l’employé concerné. En cas de perte ou vol de la clé, les informations contenues restent confidentielles.
Dans le second cas, quand la perte est intentionelle, une telle solution de cryptage sera inefficace, car l’employé pourra divulguer aussi le mot de passe pour faire le décryptage des informations.
Cette fois, les mesures à prendre seront plus strictes. Il faudra non seulement chiffrer le contenu de la clé, mais aussi monitorer les transferts de données dans notre réseau d’entreprise, pour voir qui copie quels fichiers. De plus, un filtre sera très utile: quels sont les documents que chaque employé est autorisé à copier. (la liste blanche)
Si l’employé fait connaitre les données qu’il a sorti de l’entreprise, nous saurons qui est le responsable pour le vol de données, car le système de surveillance garde les journaux des transferts.
La conclusion à tirer est que, intentionelle ou non, une perte de données peut produire des grands dommages financiers, c’est pourquoi la protection reste la plus importante!

Le chiffrement de données pour prévenir les fuites en entreprise

Les données d’entreprise sont devenues le capital le plus important pour une affaire. La perte ou le vol de données sensibles signifie la fin du business en cause. Un exemple récent est le disque dur contenant une partie d’une base de données de 76 millions de vétérans de l’Armée des Etats-Unis qui a été envoyé pour réparation en Octobre 2009 avec les données intactes et accessibles. D’autres fuites ont été enregistrées aux Etats-Unis dans des universités, écoles, banques, hopitaux, cliniques médicales, institutions de l’état et même des compagnies de sécurité.
Pour prévenir ces incidents, le plus important et le plus urgent est le chiffrement de l’information sensible sur les postes de travail, les ordinateurs portables et les périphériques amovibles. Si les données sont chiffrées avec un mot de passe, la seule personne qui peut les lire est celle qui connait le mot de passe. Dans cette situation, même si toute autre mesure de sécurité échoue, personne pourra lire les données chiffrées.
Avec les derniers développements des solutions de cryptage et chiffrement, protéger les données sensibles d’entreprise est vraiment facile.

Les 10 recommandations de CNIL pour la sécurité du système informatique

La loi « Informatique et Libertés » impose la sécurisation des données traitées par les détenteurs de fichiers.

Voici les recommandations que la CNIL fait aux Résponsables de Sécurité Informatique pour garrantir que les données ne soient pas mises en danger:

1. Adopter une politique de mot de passe rigoureuse- les postes de travail et les fichiers doivent être protégés avec des mots de passe composés d’au moins 8 caractères, chiffres, lettres et caractères spéciaux, qui doivent être changés très fréquement.

2. Concevoir une procédure de création et de suppression des comptes utilisateurs- les comptes utilisateurs doivent être nominatifs, pas generiques, pour savoir à tout moment qui a efectué des changements dans les fichiers.

3. Sécuriser les postes de travail- renforcer le verouillage automatique en cas d’une période d’absence de l’utilisateur (10 minutes maximum) et le controle des ports USB. (par exemple à travers des logiciels spécialisés en sécurité USB capables d’empecher que les données sensibles soient copiées)

4. Identifier précisément qui peut avoir accès aux fichiers- limiter l’accès au données personnelles qu’à l’employé ayant le droit de les traiter.

5. Veiller à la confidentialité des données vis-à-vis des prestataires- imposer des contrats de confidentialité avec les prestataires de services informatiques, chiffrer les données sensibles auxquelles les prestataires ont accès.

6. Sécuriser le réseau local- assurer la sécurité contre les attaques extérieures à travers des routeurs filtrants (ACL), pare-feu, sonde anti intrusions, etc. Quant à la communication à distance, elle doit se faire par des biais sécurisés.

7. Sécuriser l’accès physique aux locaux- restreindre l’accès aux locaux sensibles (salles hébergeant les serveurs informatiques et les éléments du réseau) par toutes les moyennes possibles: vérification des habilitations, gardiennage, portes fermées à clé, digicode, contrôle d’accès par badge nominatif, etc.

8. Anticiper le risque de perte ou de divulgation des données- garder les données d’entreprise sur des serveurs protégés contre les cas d’erreur ou malveillance d’un salarié ou d’un agent, vol d’un ordinateur portable, panne matérielle, dégât des eaux ou incendie. Les périphériques de stockage mobiles (ordinateurs portables, clé USB, assistants personnels etc.) doivent être particulièrement sécurisés , par chiffrement, au regard de la sensibilité des documents qu’y se trouvent.

9. Anticiper et formaliser une politique de sécurité du système d’information- faire une analyse détailée des menaces qui peuvent surgir et rediger un document contenant des règles et procedures à suivre, qui soit mis à la disposition des employés.

10. Sensibiliser les utilisateurs aux « risques informatiques » et à la loi « informatique et libertés »- la source principale de menaces de sécurité informatique (les utilisateurs) doivent recevoir des formations pour les sensibiliser sur l’utilisation correcte des données qu’ils traitent. La « charte informatique », qui pourra préciser les règles à respecter à cet égard doit être mise à leur disposition.

Vous pouvez trouver cettes recommandations sur le site de CNIL.