En prenant exemple sur le centre israélien de Beer-Sheva, le gouvernement songe à créer un campus pour rassembler les cadors français de la cybersécurité, qu’il s’agisse des industriels (comme Orange Cyberdefense, Atos, Thales ou Capgemini), des startups, du monde universitaire, de la recherche, ainsi que certaines agences et ministères.
En avril dernier, c’est une équipe française qui a remporté l’édition 2019 de Locked Shields, le prestigieux exercice international de cyberdéfense en situation réelle à Tallinn (Estonie). Cinq jours durant, 60 experts civils et militaires de l’Agence nationale de la sécurité des systèmes d’information (Anssi) et du ministère des Armées ont déjoué tout un éventail de cyberattaques. La France a in fine décroché la première place, devant la République Tchèque et la Pologne. Florence Parly, la ministre des Armées, s’en est félicitée : « Nous avons en France une expertise indéniable dans le domaine cyber, et surtout des personnels de talent », a-t-elle affirmé dans un communiqué de l’Anssi.
Le problème, c’est que les talents français, aussi compétents et bien formés soient-ils, ont une fâcheuse tendance à se faire la malle aux États-Unis, écrasant poids lourd en matière de cybersécurité. Michel Van Den Berghe, le patron d’Orange Cyberdefense, le pôle dédié à la cybersécurité de l’opérateur historique, déplore ce phénomène. « Nous avons une très belle expertise en cyber, elle est rare, et nous perdons nos talents dont beaucoup partent en Californie », regrette-t-il. Le gouvernement en a bien conscience, et cherche, par tous les moyens, à enrayer cette fuite des cerveaux. L’enjeu est des plus importants à l’heure où les cybermenaces sont de plus en plus grandes, et les cyberattaques, qui émanent parfois des États, de plus en plus dévastatrices.
Les récentes attaques informatiques contre des grandes entreprises ou des organismes d’État interrogent sur le niveau de sécurité de ces plateformes. Playstation, le ministère des Affaires étrangères, Uber ou la Nasa plus récemment. Les récents exemples de piratages sont légion, qu’ils concernent des organismes d’État ou les plus grandes entreprises mondiales. Cette multitude d’attaques interroge sur le niveau de protection de ces adresses web ultra-fréquentées. Julie Gommes, experte en cybersécurité se penche sur la question.
The risk that hostile intelligence services will use LinkedIn as a recruitment tool has been widely reported. One such report, by Mika Aaltola at the Finnish Institute of International Affairs published in June 2019, focused on Chinese activity on LinkedIn. The phenomenon, however, is neither confined to Chinese intelligence operations nor limited to that particular social media platform. All intelligence agencies use similar exploits, as illustrated by the Iranian-linked hack of Deloitte in which a LinkedIn connection was used to gain an employee’s trust. Even so, the number of reported cases attributed to the Chinese — including those of former intelligence officers such as Kevin Mallory and corporate espionage cases such as one involving an engineer at GE Aviation — suggest their intelligence services are among the most active and aggressive users of LinkedIn as a recruitment tool.
…
And this makes mitigating the threat critical, whether on LinkedIn or any other social media platform.
L’incertitude, comme ce terme le sous-entend, définit un événement incertain ou imprévisible. Elle peut aussi être interprétée au sens d’instabilité ou de mouvant, c’est-à-dire ayant une proportion à la variabilité.
Le risque, ou danger plus ou moins prévisible, exprime une conséquence survenant en référence à des actions personnelles ou à des effets externes à notre pouvoir de précaution, voire à une combinaison de ces deux facteurs : interne et externe.
Incertitude et risque sont de ce fait des notions liées entre elles.
Comme nous le savons, il n’existe pas de risque « zéro ». Même si toutes les précautions sont prises, un infime phénomène peut survenir et remettre en cause notre protection préventive ou gêner l’immédiateté de notre réaction et l’accomplissement de la bonne correction ou de la bonne réaction.
Un degré plus ou moins conséquent d’indécision, d’indétermination, de perplexité ou d’irrésolution participe à cet écart entre survenance des faits et réactions effectives.
Réfléchissons à combien d’organisations, de collectivités ou d’entreprises, ont été prises en défaut, soit qu’elles aient ignoré les risques, soit qu’elles en aient sous-estimé la probabilité et la portée.
En revanche, la détermination du degré d’incertitude d’occurrence des nouveaux risques, et de la prévention de leur survenance, tel que le risque de catastrophe naturelle, le risque sanitaire, le risque de fraude, le risque d’informations mensongères ou le risque social sont beaucoup moins aisés à appréhender. Nous évoluons dans un univers complexe et nous ne disposons pas forcément d’exemples et de données historiques permettant d’affiner notre analyse.
« Aussi ne saurions-nous trop engager l’homme mûr, trop confiant en lui-même, à veiller toujours, car le péril est insidieux et les risques sont grands. » Charles Burlureaux, la Lutte pour la santé, Projet Gutenberg
« D’autant que la complexité des facteurs qui entrent en ligne de compte et les éléments d’incertitude sont plus nombreux qu’avant. » Jean-Jacques Bourque et François Lelord, l’Âme de l’organisation, Québec Amérique
Selon les périodes, les variables du couple incertitude / risque ont évolué de façon concomitante, mais pas forcément de manière égale. D’un contexte de proximité, nous sommes passés à un environnement départemental, puis régional et national, pour arriver à une semi-mondialisation. À l’heure actuelle, nous sommes en totale mondialisation par l’ouverture de chacun au monde et par la survenance des pays émergents.
De ce fait, les degrés d’incertitudes et de risques sont de plus en plus élevés en fonction des zones géographiques d’intervention, mais aussi en raison d’une concurrence accrue venant de l’extérieur.
D’où la nécessité d’aller d’une gestion courante des risques vers une intelligence des risques ou, pour certains, vers l’ERM (Entreprise Risk Management).
Notons qu’appliquer une méthodologie de gestion / de management des risques (comme, par exemple l’utilisation de la norme ISO 31000) sans la présence d’une culture d’entreprise, et au sein de celle-ci, sans l’implantation d’une culture du risque, fera que l’entité ne sera pas entièrement protégée.
Lorsque l’incertitude est la seule certitude, la « boîte à outils du management du risque » de l’IEC et de l’ISO aide les organisations à anticiper les menaces qui pourraient nuire à leur succès. Les menaces récurrentes auxquelles sont confrontées les entreprises sont nombreuses : paysages politiques imprévisibles, évolution rapide des technologies et aléas de la concurrence, pour ne citer que quelques exemples. L’IEC et l’ISO ont conjointement élaboré une boîte à outils de normes de management du risque pour aider les entreprises à se préparer et à réagir à de telles menaces et à récupérer plus efficacement dans leur foulée. Une des normes de cette boîte à outils, axée sur les techniques d’appréciation du risque, a été récemment révisée.
Prévue au plus tard le 31 décembre 2019, la transposition française de la directive 2018/822, dite « DAC 6 », du 25 mai 2018 marquera le début de nouvelles obligations déclaratives au sein de l’UE à des fins de lutte contre l’évasion et la fraude fiscale. Afin de fournir aux autorités fiscales les éléments nécessaires à l’identification des pratiques dommageables responsables de l’érosion de leurs revenus, la directive s’articule autour de deux leviers : l’introduction d’un mécanisme de déclaration des dispositifs transfrontières ainsi que l’échange automatique et obligatoire des informations collectées entre les autorités fiscales des pays membres, renforçant l’efficacité de la Norme Commune de Déclaration (Common Reporting Standard ou CRS).
En baisse durant l’année 2018, les attaques DDoS font leur grand retour en 2019, tant en nombre qu’en puissance, si l’on en croit une nouvelle étude de Kaspersky Lab. Les attaques DDoS, ou attaques par déni de service en français, consistent à submerger de requêtes un service pour le rendre indisponible. Cela s’opère la plupart du temps en saturant la bande passante du serveur et/ou en épuisant les ressources du système pour rendre non opérationnelle l’infrastructure. Les attaques DDoS reviennent en force en 2019 Kaspersky Lab, société spécialisée dans la sécurité informatique, analyse fréquemment les attaques sur le web. Selon une étude, il semblerait que les attaques DDoS soient de plus en plus fréquentes depuis le début de l’année. En augmentation de 84% sur le premier trimestre 2019 par rapport au premier trimestre 2018. Plus précisément, les attaques les plus longues, de plus d’une heure, auraient littéralement explosé, doublant en nombre, pour une durée moyenne en augmentation de près de 500%.
Contrairement à ce que laissent penser les films et séries de ces dernières années, il ne suffit pas de taper rapidement sur son clavier et de froncer les sourcils pour pirater des mots de passe. Petit passage en revue des méthodes les plus utilisées par les hackers pour voler vos mots de passe.
Si vous lisez ces lignes, il est fort probable que vos identifiants numériques ont été compromis au moins une fois. Pas plus tard qu’en janvier 2019, le gestionnaire du site Have I Been Pwned découvrait l’existence de Collection #1, un fichier agglomérant pas moins de 700 millions d’adresses email compromises dans des fuites précédentes. Comment des mots de passe se retrouvent-ils ainsi dans la nature ? C’est ce que nous allons vous expliquer dans cet article.
Un peu d’ingénierie sociale « La plus grande faille d’un système informatique se trouve entre le clavier et la chaise de bureau », dit l’adage. Parmi les techniques les plus simples et les plus efficaces de vol de mots de passe, on retrouve ainsi celles qui impliquent de tromper ou manipuler l’utilisateur. Le célèbre hameçonnage (ou phishing) consiste à créer un faux site Internet prenant l’apparence d’un service légitime, et à inciter l’utilisateur à s’y connecter. Son mot de passe en clair peut alors être volé en toute tranquillité.
Une étude de Duff & Phelps fait aussi ressortir un besoin criant d’harmonisation entre juridictions
Les scandales Danske Bank ou Swedbank le montrent, les banques ont encore du chemin à faire pour se montrer irréprochables en matière de lutte antiblanchiment et contre le financement du terrorisme (LCB/FT). Les intéressées sont les premières à le reconnaître, selon une étude mondiale publiée par Duff & Phelps le 29 mai. Des 183 décideurs de la finance (DG, directeur financier…) interrogés par le cabinet, 30% estiment qu’au moins l’un des éléments de leur dispositif de lutte contre le blanchiment de capitaux est peu ou pas efficace. Ces éléments sont, entre autres, l’évaluation du risque de blanchiment, la collecte et l’analyse de données, la production et le suivi de rapports en cas de suspicion d’activité frauduleuse, et l’audit interne. Ce dernier constitue d’ailleurs la partie du programme de lutte contre l’argent sale dans laquelle les banques s’estiment vraiment mal outillées : 15% des répondants jugent leur audit interne du risque LCB/FT peu efficace, et 9% pas du tout. Un comble, vu l’importance de cette fonction pour le dispositif de lutte.
Le ministre de l’Économie et des Finances Bruno Le Maire plaide pour la création d’une agence de supervision européenne afin de renforcer la lutte contre le blanchiment de capitaux en Europe, dans un entretien au Monde publié samedi. «Il reste encore beaucoup à faire dans le domaine de la lutte contre le blanchiment. Une partie de la réponse pourrait être la création d’une véritable agence de supervision européenne», a déclaré le ministre.
La stabilité financière de la zone euro «ne tient pas qu’à la mise en oeuvre des règles budgétaires et fiscales» et passe également par un secteur financier «plus solide et respectant les meilleurs standards de transparence et d’intégrité», a ajouté Bruno Le Maire. Ces propos interviennent quelques jours après la signature d’un accord jeudi entre les gouvernements et les parlementaires de l’Union européenne en vue de doter celle-ci d’un meilleur cadre de surveillance des établissements financiers européens. Cet accord comprend notamment un renforcement des pouvoirs de surveillance de l’Autorité bancaire européenne (ABE) dans le domaine de la lutte contre le blanchiment de capitaux et du financement du terrorisme.
L’autorité bancaire se voit notamment «confier la mission de recueillir des informations auprès des autorités nationales compétentes, d’améliorer la qualité de la surveillance par la mise au point de normes communes, de réaliser des évaluations des risques et de faciliter la coopération avec les pays non membres de l’UE dans le cadre d’affaires transfrontières», a précisé jeudi le Conseil de l’Union européenne dans un communiqué. De fait, le secteur bancaire européen se retrouve depuis plusieurs mois sous le feu des projecteurs après la découverte de plusieurs affaires de blanchiment et de manquements supposés dans la lutte contre la circulation de l’argent sale.