Résilience du Controle Interne

~ « Venir ensemble est un commencement; rester ensemble est un progrès; travailler ensemble est un succès. (Henry Ford) »

Résilience du Controle Interne

Archives de Tag: domaine

Cyberattaque : qu’est-ce que le « spoofing » ?

01 lundi Avr 2019

Posted by Belin Olivier Consultant (B.O.C.) in Audit Interne, Conformité, Cyberactivité, Gestion des risques, Protection des données, Repère

≈ Poster un commentaire

Étiquettes

accès, arnaque, cible, cyberattaque, détection, domaine, e-mail, entreprise, hacker, hacking, identifiant, identité, lien, mails, marque, messagerie, phishing, risque, site web, spoofing, URL, usurpation, utilisateurs, website

hacking-1734225_1280

Le spoofing désigne le fait de monter un canular à des fins malveillantes basé sur l’usurpation d’identité, principalement via email. Il s’agit d’une menace qui s’est particulièrement aggravée ces dernières années. La technique est très au point et très difficile à détecter… et pour les entreprises elles peuvent engendrer de très graves conséquences. Explications.

Qu’est-ce que l’usurpation d’adresses email ?
L’usurpation d’adresses email est une forme de piratage visant à tromper le destinataire d’un email en lui faisant croire que l’expéditeur est une marque connue ou l’une de ses connaissances. Il s’agit, par exemple, d’une composante classique des tentatives de spear phishing, cette technique visant à cibler une personne bien précise, à l’inverse d’un phishing classique qui cible plus largement des groupes de personnes voire un grand nombre d’utilisateurs au hasard. Prenons l’exemple suivant : la victime de l’arnaque reçoit un email de support@apple.com l’invitant à confirmer le mot de passe de son compte iTunes. L’email semble authentique, la marque est connue de la victime et la demande semble raisonnable… la victime clique sur le lien et fournit son identifiant et son mot de passe. Le piège se referme, un hacker vient de réussir à se faire passer pour Apple afin de subtiliser ses identifiants !
Que s’est-il passé exactement ? Pour comprendre cette attaque, il faut connaître la différence entre apple.com et appIe.com… Parce qu’il y en a bien une ! L’un est apple.com, le site Web de la véritable entreprise, tandis que l’autre est appIe.com, mais avec un « i » majuscule à la place du « l » minuscule de « apple ». Ce nom de domaine n’appartient donc pas à Apple. C’est une URL mise en place par un hacker. Pour un humain, il est littéralement impossible de s’en apercevoir.

Lire la suite →

Partager :

  • Tweet
  • Email
  • Imprimer
  • Plus
  • Pocket

WordPress:

J'aime chargement…

Cybersécurité : recruter des profils techniques pour sensibiliser les employés est une erreur

31 samedi Mar 2018

Posted by Belin Olivier Consultant (B.O.C.) in Cyberactivité, Formation (KM), Gestion des risques, Points de vue et Perspectives, Protection données, Sécurité

≈ 3 Commentaires

Étiquettes

attitude, audit interne, évaluation, cas pratique, connaissance, conscientiser, cours, cybersécurité, domaine, employés, formateur, formation, frein au changement, homogène, management, méthodologie, participant, Public, questionnaire, ressources humaines, RH, salariés, sécurité, sécurité informatique, sensibilisation, session

security-2337429_1280

Ce n’est pas une généralité, mais souvent un bon technicien , ou un spécialiste dans sa discipline ou dans son domaine, ne sont pas forcément de bons formateurs, en particulier en termes de sensibilisation.

Le public à sensibiliser (ou à conscientiser) n’est pas constitué de collaborateurs homogènes et ils ne disposent pas d’un même niveau de compétences ou de connaissances en système d’information. D’autant plus, que certains employés (au sens large du terme) le vivront comme une contrainte ou un supplément « d’activité » non prévue initialement dans la composante de leur poste et présenteront un « frein au changement » d’attitudes en estimant qu’il existe des spécialistes dont c’est leur rôle.

Enfin, il ne faut pas négliger les faits suivants que ce soit en termes de sensibilisation ou de formation :

  1.  L’intervenant, outre le fait de posséder un certain charisme, doit proposer une présentation attrayante (l’utilisation de Powerpoint n’est pas nécessairement la meilleure solution).
  2. La présentation ne doit pas être trop courte, ni trop longue, mais adaptée à l’ensemble des participants à la session.
  3. La pratique de mini-cours théoriques, en alternance de cas pratiques exécutés par les participants, sont nécessaires dans certains contextes et types d’intervention.
  4. La nécessité d’un retour vis-à-vis du management de proximité et des ressources humaines, à l’aide d’un questionnaire synthétique, permet d’obtenir une évaluation par les participants de la formation ou de la sensibilisation réalisée.
  5. La vérification par le management de proximité, mais également par l’audit interne, de la bonne compréhension et de la réelle mise en pratique de l’acquis dans le travail opérationnel des collaborateurs sensibilisés ou formés.
  6. L’utilité, en fonction des besoins, d’effectuer des piqûres de rappel, mais aussi  des sensibilisations et des formations progressives en raison des nouveaux risques encourus et d’incidents survenus (exemples basés sur des cas concrets) au sein ou en relation avec des parties prenantes de l’entreprise.

Les professionnels des Ressources Humaines s’appuient couramment sur des spécialistes de la sécurité pour sensibiliser les employés à la sécurité. Trop techniques et peu adaptés à cette fonction, ceux-ci rencontrent souvent des difficultés pour fédérer les employés et assurer pleinement leur rôle.
Souvent, les employés ne sont toujours pas conscients de l’impact que leurs actions peuvent avoir sur la sécurité de l’information au sein de leur organisation. Le récent rapport Threat Landscape 2017 de SANS montre que les menaces les plus importantes ciblent généralement des individus précis, mais souligne également que les employés jouent un rôle clé dans la détection et la prévention des menaces. Il est d’ailleurs encourageant de constater que de plus en plus d’organisations reconnaissent que la sensibilisation à la sécurité contribue à mettre en place un « pare-feu humain » solide et investissent dans une stratégie de sensibilisation à la sécurité.
Ainsi, de plus en plus d’organisations investissent désormais dans la gestion du risque humain, notamment en recrutant ce que beaucoup appellent un Security Awareness Officer, un Security Communications Officer ou un poste lié à la formation ou à la culture en matière de sécurité. http://www.economiematin.fr/news-rh-entreprises-cybersecurite-sensibilisation-salaries

 

A consulter également :

Les superviseurs bancaires commencent à s’intéresser au cyberrisque

Comment fédérer les énergies des fonctions de contrôle en entreprise dans une approche à forte valeur ajoutée?

Positioning risk management to succeed — Norman Marks on Governance, Risk Management, and Audit

L’humain, le maillon faible de la sécurité des entreprises

Partager :

  • Tweet
  • Email
  • Imprimer
  • Plus
  • Pocket

WordPress:

J'aime chargement…

Cybersurveillance : Risques et opportunités

18 jeudi Mai 2017

Posted by Belin Olivier Consultant (B.O.C.) in Cyberactivité, Gestion des risques, Points de vue et Perspectives, R&D, Risques Opérationnels

≈ Poster un commentaire

Étiquettes

cadre, cohérence, conformité réglementaire, cyberdéfense, cybersurveillance, dispositif, domaine, droit, entreprises, Etat, Ethique, finalité, homogène, identification, informations, légalité, LPM, menaces, national, normes, numérique, OIV, oportunités, organisation, principles, privacy, privée, proportionnalité, Public, RGPD, Risques, RSE, sécurité, SIIV, stratégie, SWOT, technicité, territoire, traitement, urgence, vie privée

cyber-security-2296269_1280

Suite aux résultats de ma veille professionnelle, et à la prise de connaissance du billet cité, j’ai estimé qu’il serait très intéressant de vous en faire part.

Nous ne pouvons plus faire l’économie d’une cybersurveillance, ou nous contenter d’une simple conformité réglementaire, au sein des entreprises que ce soit pour des raisons de coûts, de taille, de culture, d’organisation, de marchés simplement régional ou national ou, éventuellement, d’une gouvernance à l’esprit « ça ne nous arrivera pas, ça n’arrive qu’aux autres ».

En effet, les cyberattaques se multiplient de façon exponentielle, de manière de plus en plus virulente et sophistiquée.

Nous en avons pour preuve deux attaques récentes : Wannacry et Adylkuzz.qui est semble-t-il liée à la première.

Au contenu formulé clairement,  vous pourrez prendre également connaissance de représentations graphiques explicites.

Enfin, j’attire aussi votre attention sur la conclusion ouvrant un nouveau débat. Nous devons bien sur tenir compte des problématiques juridique et d’éthique. Mais en premier lieu, il convient de trouver un juste équilibre entre innovation (opportunités d’actions) et limites non franchissables d’un point de vue réglementaire.

Le cadre légal et réglementaire se durcissant, les entreprises portant des activités critiques, OIV(1) en première ligne, sont désormais enjointes à mettre en place une véritable stratégie de cyberdéfense, se voulant à la fois homogène, cohérente et proportionnée aux risques identifiés. Parmi le panel de mesures organisationnelles et techniques à implémenter conformément aux objectifs fixés, la cybersurveillance, qui constitue l’une des clés de voûte du dispositif de lutte contre la cybercriminalité, est cependant susceptible de se heurter aux restrictions liées à la « privacy », préservation de la vie privée oblige. A l’échelle du territoire national et notamment de l’espace public, le simple dilemme, induit par la dualité « sécurité nationale » versus « libertés individuelles », « état d’urgence » opposé à « Etat de droit », peut devenir cas de conscience, au regard de finalités de traitement susceptibles d’être à géométrie variable.

Lire la suite →

Partager :

  • Tweet
  • Email
  • Imprimer
  • Plus
  • Pocket

WordPress:

J'aime chargement…

En passant

[#Management] L’#Intraprenariat mais qu’est-ce que c’est ? via @cdussapt @Challenges — Sébastien Bourguignon

03 samedi Sep 2016

Posted by Belin Olivier Consultant (B.O.C.) in Actualités, Formation (KM), R&D

≈ Poster un commentaire

Étiquettes

activité, budget, chef, chef de projet, collaborateurs, direction, domaine, gouvernance, initiative, innovation, intraprenariat, lettre de mission, management, mission, organisation, processus, projet, risque, services, société

via [#Management] L’#Intraprenariat mais qu’est-ce que c’est ? via @cdussapt @Challenges — Sébastien Bourguignon

Partager :

  • Tweet
  • Email
  • Imprimer
  • Plus
  • Pocket

WordPress:

J'aime chargement…

En passant

Qu’est ce que l’intelligence artificielle?

23 lundi Mai 2016

Posted by Belin Olivier Consultant (B.O.C.) in Intelligence artificielle

≈ 1 Commentaire

Étiquettes

domaine, intelligence, Intelligence artificielle, MIT, présentation

Historique L’intelligence artificielle est un domaine de l’informatique tentant de créer des ordinateurs qui se comporterait comme des humains. Le terme intelligence artificielle propose par John McCarthy du MIT ( Massachusetts Institute of Technology). Il sera adopté lors de la conférence de Dartmouth de 1956 pour désigner le domaine de recherche. Conférence qui est décrite, encore aujourd’hui, […]

via Qu’est ce que l’intelligence artificielle? — Intelligence Artificielle

Partager :

  • Tweet
  • Email
  • Imprimer
  • Plus
  • Pocket

WordPress:

J'aime chargement…

Souscrire

  • Articles (RSS)
  • Commentaires (RSS)

Archives

  • août 2019
  • juillet 2019
  • juin 2019
  • mai 2019
  • avril 2019
  • mars 2019
  • février 2019
  • janvier 2019
  • décembre 2018
  • novembre 2018
  • octobre 2018
  • septembre 2018
  • août 2018
  • juillet 2018
  • juin 2018
  • avril 2018
  • mars 2018
  • février 2018
  • janvier 2018
  • décembre 2017
  • octobre 2017
  • septembre 2017
  • août 2017
  • juillet 2017
  • juin 2017
  • mai 2017
  • avril 2017
  • mars 2017
  • janvier 2017
  • décembre 2016
  • novembre 2016
  • octobre 2016
  • septembre 2016
  • août 2016
  • juillet 2016
  • juin 2016
  • mai 2016
  • avril 2016
  • mars 2016
  • février 2016
  • janvier 2016
  • décembre 2015
  • novembre 2015
  • octobre 2015

Catégories

  • A propos
  • Audit Interne
    • Actualités
    • Ethique
    • Référentiels de risques
    • Repère
    • Secteur Public
  • Confidentiel…qui ne l'est plus
  • Conformité
    • Actualités
    • Ethique
      • Best Practices
    • Fraude
    • Lutte contre le blanchiment des capitaux et le financement du terrorisme
    • Plan de Continuité de l'Activité (PCA)
    • Protection des données
    • R&D
  • Contrôle Interne
    • Actualités
    • R&D
    • Secteur public
  • Formation (KM)
    • Actualités
    • Conférences intéressantes
    • Contrôle Interne
    • Gestion des risques
    • Protection données
    • R&D
    • Sécurité
    • Terminologie
  • Gestion des risques
    • Actualités
    • Continuité de l'activité (PCA)
    • Cyberactivité
    • Public
    • R&D
    • Risques Opérationnels
  • Intelligence artificielle
  • Les référentiels
    • Audit Interne
    • Conformité
    • Contrôle Interne
    • ISO
    • Réglementations
    • Risques
  • Mes communications
  • Mes curations
    • Mes magazines professionnels personnels
  • Non classé
  • Points de vue et Perspectives

Méta

  • Inscription
  • Connexion

L’auteur

Belin Olivier Consultant (B.O.C.)

Belin Olivier Consultant (B.O.C.)

COSO, COSO II et COSO III, Contrôle Interne, AMF 2007-2008, Fraude, PCA, Conformité, AFCDP, Intelligence Economique, KM, Ingénierie de formation, Web2.0 http://www.belin-olivier.branded.me http://fr.linkedin.com/in/olivierbelin Paris Vous souhaitez échanger sur des sujets de ce blog, ou me rencontrer, n’hésitez pas à me contacter.

Liens Personnels

  • Mon Portfolio professionnel

Services Vérifiés

Afficher le Profil Complet →

Entrez votre adresse mail pour suivre ce blog et être notifié(e) par email des nouvelles publications.

Rejoignez 2 023 autres abonnés

Mots-clés

analyse ANSSI assurance attaque audit audit interne banque banques blanchiment de capitaux CIL CNIL compliance conformité conformité réglementaire contrôle contrôle interne contrôle permanent corruption cyber-attaque cyberattaque cybersécurité Data dispositif données données personnelles DPO DSI entreprise entreprises Ethique ETI Europe finance formation France fraude gestion Gestion des risques gouvernance hacker information informations informatique Internet juridique loi management normes numérique organisation outils PME processus procédures protection protection des données protection des informations prévention Public ransomware RGPD risk-management risque Risques règlementation règles sensibilisation stratégie système système d'information sécurité sécurité informatique technologie technology transparence
Follow Résilience du Controle Interne on WordPress.com

Créez un site Web ou un blog gratuitement sur WordPress.com.

Annuler
loading Annuler
L'article n'a pas été envoyé - Vérifiez vos adresses email !
La vérification e-mail a échoué, veuillez réessayer
Impossible de partager les articles de votre blog par email.
Confidentialité & Cookies : Ce site utilise des cookies. En continuant à utiliser ce site, vous acceptez leur utilisation.
Pour en savoir davantage, y compris comment contrôler les cookies, voir : Politique relative aux cookies
%d blogueurs aiment cette page :