Prestataire de la Trésorerie des Etats-Unis reconnait avoir volé le code source d’un logiciel bancaire
Un prestataire de la Trésorerie des Etats-Unis qui travaillait dans la Reserve Fédérale de New York a été accusé d’avoir volé le code source d’un logiciel qui trace les transferts bancaires. Le développement de ce logiciel a couté environ 10 millions de dollars et il fournit des situations des comptes aux agences fédérales.
L’accusé s’appelle Bo Zhang et il est citoyen chinois. Le vol a été découvert quand il a averti un de ses collègues sur la perte d’un disque dur externe qui contenait le code. Il avait copié le code sur son PC chez soi et aussi sur son ordinateur portable. Il a reconnu le vol lors d’une investigation fédérale. Zhang a dit qu’il l’avait fait « pour s’assurer que le code était disponible au cas où il perdait son emploi ».
La bonne nouvelle est qu’il n’a pas de données compromises.
La mauvaise nouvelle est que le vol de données sur des dispositifs portables continue et que les institutions/entreprises ne prennent pas des mesures pour bloquer l’utilisation des périphériques portables inconnus.
On espère qu’avec un tel exemple, les responsables vont comprendre que les politiques de sécurité des données sont d’une importance majeure pour les entreprises de toute taille.
Les employés, une source fréquente d’incidents de fraude dans les entreprises
Les fraudes des employés ont coûté les compagnies moyennes environ 5% de leurs revenus en 2009, le vol des sources des entreprises représentant jusqu’à 90% des incidents.
Les employés semblent être tentés par l’accès privilégié aux données et commettre des fraudes. Selon un rapport publié par l’Association des Examinateurs Certifiés des Fraudes (ACFE) ce type de fraude est le plus dommageable, causant une perte de plus de 4 millions de dollars.
‘Ils ont un niveau d’accès élevé, qui leur donne des meilleures opportunités de commettre des fraudes.’ dit Ben Knieff, directeur de marketing pour les produits de fraude chez Actimize.
Pour prévenir ce genre de fraudes il y a quelques pas proactifs que les compagnies peuvent prendre:
Limiter l’accès aux données critiques – comme les données sont difficile à contenir, les compagnies doivent maintenir les employés sous une surveillance continue; l’accès aux données critiques doit être limité à un nombre d’employés autorisés.
Selon Shane Sims, directeur de pratique judiciaire chez PricewaterhouseCoopers, même si les compagnies ne peuvent pas contrôler avec succès le mouvement des données à l’intérieur de leurs réseaux, savoir quels employés accèdent aux données les plus importantes peut être suffisant pour prévenir les fraudes potentielles les plus significatives.
Utiliser l’avantage d’être à l’intérieur – quand il s’agit de fraude, les employés ont l’avantage de connaître le réseau et les politiques d’entreprise; néanmoins, les compagnies peuvent également collecter une grande quantité d’informations qui ne serait pas disponible hors du réseau, dans les cas d’auteurs externes.
Ecouter les employés – en formant leurs employés les compagnies peuvent beneficier du fait qu’ils détéctent le comportement malicieux d’autres employés.
Selon un rapport d’ACFE, 40% des cas de fraude sont signalés par un tiers, pendant que la moitié de ces indices sont transmises par un employé. Selon le même rapport, 43% des auteurs vivent dessus de leurs moyens et plus de 30% ont des problèmes financiers.
Un voleur bien-intentionné
Le mois passé, un cas de vol bien drôle s’est passé en Suède. Un profésseur de l’Université Umeå a constaté le vol du laptop de son sac à dos. Rien d’inhabituel jusqu’ici, pourvu le fait qu’un laptop est volé chaque 53 secondes. Ce qui est rare est le fait qu’une semaine après avoir volé le laptop du profésseur, le voleur a retourné une clé USB qui contenait toutes les données qui se trouvaient sur l’ordinateur portable. Ça a été une grande surprise et joie pour le profésseur, car sur son laptop se trouvait le travail de toute sa vie qu’il avait jamais sauvegardé.
On dirait qu’il existent encore des voleurs bien-intentionnés. Qu’en pensez vous?
Un laptop volé met en danger les données personnelles de 10.000 étudiants
L’Université de Connecticut a rapporté le vol d’un laptop qui contenait les informations personnelles et les numéros de sécurité sociale de 10.200 étudiants qui avaient candidé pour participer au campus régional entre 2004 et 2010. Les représentants officiels disent que personne n’a pas essayé de se connecter aux systèmes informatiques de l’Université jusqu’ici.
L’Université regrette l’incident et offre à payer pour la surveillance des comptes affectés pour les prochaines deux années. La police universitaire a démarré une enquete pour trouver le coupable.
Plus d’informations sur: http://www.hartfordbusiness.com/news14462.html
La manière la plus utilisée pour voler des informations confidentielles? Imprimer sur papier!
Selon l’institut Ponemon, quand un employé quitte son entreprise et qu’il veut copier quelques données sensibles, il les imprime sur papier.
C’est peut-être la méthode la plus simple, et à la fois très efficace, parce que la personne qui a imprimé les données ne peut pas être tracée.
Dans ce cas, qu’est-ce que les compagnies peuvent faire pour se protéger contre le vol d’informations?
C’est très simple, elles doivent se munir d’une solution logicielle dédiée qui puisse contrôler les fichiers que les employés sont autorisés à imprimer. Ce type de logiciels est particulièrement désigné pour protéger les données sensibles contre les employés qui n’ont pas le droit de les exploiter. Ils lisent le contenu d’un fichier et si ce contenu se trouve sur la liste blanche, l’employé peut l’imprimer. Sinon, l’opération est bloquée et la personne compétente (l’administrateur du système) est avertie sur le fait que l’utilisateur précis a essayé d’imprimer le fichier confidentiel.
De cette façon, la compagnie peut identifier la personne coupable et peut prendre les mesures adéquates.
Cette solution est la plus simple, la moins coûteuse à implémenter, et la plus efficace, car l’employé peut utiliser l’imprimante (et on est conscient qu’il en a besoin pour faire son travail) mais seulement pour les documents qui ne sont pas confidentiels.
La perte de données vs. le vol de données
Comment définissons-nous une perte de données? Et un vol de données?
D’abord, il faut préciser que les deux impliquent que nos données (confidentielles ou non) soient accessibles à des personnes qui normalement n’auraient pas le droit de les connaitre.
La perte des données signifie révéler nos données d’une manière accidentelle (par exemple on perd une clé USB qui contient les données personelles des employés de notre entreprise).
Le vol de données signifie révéler nos données d’une manière intentionelle (par exemple un employé copie des données confidentielles de l’entreprise sur sa clé USB et il les vend à la concurrence)
Voyons ce qu’on peut faire pour prévenir ce type de situations désagréables.
Dans le premier exemple, il serait très facile de tout simplement utiliser un logiciel de chiffrement sur toutes les clés USB utilisées en entreprise. De cette façon, même si quelqu’un perd sa clé, son contenu est chiffré et informations non exploitables. C’est une solution adoptée de nos jours par beaucoup d’entreprises : chaque employé reçoit une clé qu’il utilise pour les aspects professionnels. La clé est protégée avec un logiciel de cryptage basé sur un mot de passe connu seulement par l’employé concerné. En cas de perte ou vol de la clé, les informations contenues restent confidentielles.
Dans le second cas, quand la perte est intentionelle, une telle solution de cryptage sera inefficace, car l’employé pourra divulguer aussi le mot de passe pour faire le décryptage des informations.
Cette fois, les mesures à prendre seront plus strictes. Il faudra non seulement chiffrer le contenu de la clé, mais aussi monitorer les transferts de données dans notre réseau d’entreprise, pour voir qui copie quels fichiers. De plus, un filtre sera très utile: quels sont les documents que chaque employé est autorisé à copier. (la liste blanche)
Si l’employé fait connaitre les données qu’il a sorti de l’entreprise, nous saurons qui est le responsable pour le vol de données, car le système de surveillance garde les journaux des transferts.
La conclusion à tirer est que, intentionelle ou non, une perte de données peut produire des grands dommages financiers, c’est pourquoi la protection reste la plus importante!
Un ancien client de LGT Liechtenstein dédommagé de 7.3 millions d’euro pour un vol de données
La banque princière du Liechtenstein doit payer à un ancien client 7.3 millions d’euros de dédommagement pour ne pas l’avoir informé d’un vol de données découvert en février 2008, quand un employé de la LGT avait volé des données sensibles.
Veuillez lire plus d’informations sur ce vol de données et ses conséquences.
Prenons le contrôle sur les données qui quittent l’entreprise!
Les Directeurs de Sécurité Informatique sont en combat continu pour êmpecher les fuites et les vols de données. Ils ont la tâche de garder les informations confidentielles en toute sécurité, mais en même temps de maintenir la mobilité qui est devenue indispensable. On ajoute à tout ça les conditions financières d’aujourd’hui et on a le tableau entier.
Comment le faire sans perdre la tête?
Le plus simple est de laisser les logiciels spécialisés faire leur magie. Tout d’abord, il faut implanter un logiciel qui puisse vous donner le contrôle sur les données qui quittent l’entreprise. Ça se fait à travers une fonctionnalité de type liste blanche des fichiers ( whitelist ), c’est-à-dire un filtre pour permettre que certains fichiers soit copiés sur des périphériques USB et que tout autre soit interdit.
De cette manière, on perd soucis! Les seuls fichiers qui peuvent etre copiés sont ceux que nous avons autorisés. Les autres restent en tout sécurité dans le réseau interne de l’entreprise.
La mobilité dans l’environnement business d’aujourd’hui
De nos jours, la mobilité est devenue une coordonée essentielle pour tous les professionels. Il faut avoir tout le temps à notre disposition des offres, des documentations, des contracts, des présentations. Pour cela nous utilisons les dispositifs portables, d’habitude de clés USB parce qu’ils sont petits et pratiques.
Mais sont-ils sùrs? Qu’est-ce qu’il se passe si on pert notre clé? Toutes nos données arrivent à la main de n’importe qui, et ils peuvent faire n’importe quoi avec elles!
Qu’est-ce qu’on peut faire pour nous proteger?
D’abord il faut implanter un logiciel qui puisse bloquer les dispositifs qui ne sont pas autorisés à se connecter sur notre ordinateur. Ensuite il faut crypter toutes les données sur notre dispositif portable afin que nos informations ne puissent etre lues que par nous. De cette manière, le risque de vol ou fuite des données est minimum et par la suite, nous n’aurons pas des pertes financières de ce cote-là.
Maintenant il est très simple et très peu cher de se proteger!
Contrôlez les fichiers qui quittent l’entreprise
Chaque jour il devient plus difficile pour les Directeurs Informatiques de prendre un contrôle actif sur les données qui entrent ou quittent l’entreprise. Les employés emportent des informations personnelles sur des clés USB ou sortent des informations proffessionelles de l’entreprise sur les mêmes clés.
Un Directeur Informatique responsable, qui veut émpecher les fuites de données implante un logiciel pour ne pas permettre aux employés de copier des informations confidentielles. En même temps, la mobilité est devenue une coordonée essentielle pour les environnements business d’aujourd’hui, donc il veut donner la possibilité pour certains employés d’utiliser les données de l’entreprise.
Pour arreter les fuites de données et maintenir la mobilité, les specialistes disent que la meilleure solution est de mettre en œuvre un logiciel qui permet la definition d’une liste blanche des fichiers, pour etre sûrs que les seules informations qui quittent la compagnie sont autorisées de le faire.
En faisant ça, on reduit le risque de vol et fuite de données.
