Hacker un hôpital, le casse du siècle?

Étiquettes

attaque, banque, carte vitale, cible, données, données personnelles, France, hacker, hôpital, hospitalisation, informations, informatique, otage, patient, patientèle, prescription, rançon, récupération, santé, service d'urgence, traitement, vol

Voler des données pour les revendre, prendre un hôpital en otage pour exiger une rançon, paralyser les services d’urgence: la santé est une cible lucrative pour les hackers.

Les cybercriminels s’intéressent à vos mots de passe, aux informations présentes sur votre carte bancaire, mais aussi, de manière plus étonnante, à votre carte vitale –les données de santé intéressent même parfois plus que les données bancaires.
Chaque jour, en moyenne quatre hôpitaux français subissent une attaque informatique, selon le site spécialisé TICsanté. Aux États-Unis, on dénombrait quotidiennement 32.000 de ces attaques.
Toutes les informations concernant la santé peuvent être intéressantes: le nombre d’hospitalisations, un traitement prescrit, les pathologies des malades. Et c’est d’autant plus vrai si le hacking se fait à grande échelle, quand les données récupérées concernent l’ensemble de la patientèle d’un hôpital, sur plusieurs années.

…

Lire la suite →

Des milliers de correspondances confidentielles de diplomates européens ont été piratées

Étiquettes

affaires étrangères, câbles, communication, confidentialité, Coreu, correspondance, courrier, cybersécurité, diplomates, diplomatie, données, données personnelles, e-mail, Europe, flux, flux informationnels, hameçonnage, informations sensibles, informatique, NSA, nucléaire, piratage, pirate, pishing, politique, réseau, sécurité, stratégie, sujets, système, téléchargement, thèmes, UE

Les pirates, soupçonnés d’avoir été employés par la Chine, ont eu accès au système pendant au moins trois ans, a révélé le « New York Times ».

Des pirates informatiques ont infiltré pendant au moins trois ans le réseau de communication diplomatique de l’Union européenne (UE) et ont téléchargé des milliers de câbles (des correspondances entre diplomates censées rester confidentielles) échangés entre les ambassades et les représentants des pays de l’UE.
Des courriers dans lesquels ils décrivent et commentent les principaux sujets stratégiques, européens et internationaux de ces dernières années. Une partie de ces câbles reflète ainsi l’inquiétude des Européens face à la politique de Donald Trump, leur difficulté à traiter avec la Russie ou la Chine, ou encore leur crainte de voir l’Iran relancer son programme nucléaire.
Ce piratage massif a été révélé, mardi 18 décembre, par le New York Times, qui a publié des extraits des câbles volés. Le quotidien américain s’est appuyé sur le travail de la société de cybersécurité Area 1, fondée, selon le journal, par trois anciens employés de l’agence de renseignement américaine (NSA).
Area 1 a également averti, dans les jours précédant l’article du New York Times, plusieurs organisations – les Nations unies, l’American Federation of Labor-Congress of Industrial Organizations (AFL-CIO – « Fédération américaine du travail-Congrès des organisations industrielles », en français), divers ministères des affaires étrangères et des finances à travers le monde – qui avaient été victimes de piratages massifs similaires.

Source : Le Monde via SQUID http://go.squidapp.co/n/fmVMCuP  

A consulter également :

Comment des hackers ont réussi à pirater des comptes protégés par double authentification

Cyber-risques : pourquoi et comment les entreprises doivent se protéger

Les hôtels Marriott touchés par un piratage massif, 500 millions de clients concernés

Cybermenace : avis de tempête | Institut Montaigne

Le DSI et le RSSI d’Equifax démissionnent après le méga-piratage | Solutions Numériques

[Gestion des risques] Assurance des cyber-risques: quelle couverture adopter?

Les entreprises craignent de plus en plus les cyber-risques, selon le baromètre Allianz

Piratage et gestion de crise : comment communiquer ?

Investir dans la Cybersécurité, une responsabilité du COMEX

PC personnel vs Cloud : pourquoi un data center protège mieux vos données des malwares

Étiquettes

centre de données, cloud, datacenter, données personnelles, formation, malware, ordinateur, ordinateur de travail, protection, ridques, sauvegarde, sécurité, virus

Grâce à un système hétérogène complexe à malmener, un personnel formé contre les malwares et quotidiennement proactif quant aux mises à jour, les centres de données gardent l’apanage de la protection de vos données personnelles.

Des photos intimes, des vidéos qui nous sont chères, des musiques qui ont bercé certains moments de notre vie… Toutes et tous trimballons sur nos ordinateurs une mine de données personnelles à laquelle nous tenons comme à la prunelle de nos yeux. Pour mieux assurer leur protection contre les virus, certains préfèrent faire entièrement confiance en leur ordinateur personnel, voire à un disque dur externe ou une clé USB. Quand d’autres optent pour une sauvegarde sur un cloud, soit un serveur à distance, dont la sécurité sera assurée par un centre de données. Une option qui s’avère plus sûre à bien des égards, et on vous explique pourquoi.

Lire la suite →

Les hôtels Marriott touchés par un piratage massif, 500 millions de clients concernés

Étiquettes

banque, carte bancaire, CB, cryptologie, données personnelles, données sensibles, fusion-acquisition, groupe, hotel, informations, informatique, logiciels, Marriott, piratage, pirates informatiques, réservation, RGPD, sécurité, violation

Présentation de plusieurs points de vue, à titre de sensibilisation, démontrant que rien n’est simple en matière de protection des données.

Vous participez à une opération de fusion-acquisition ? Assurez-vous que les systèmes et outils informatiques que vous conserverez, que vous utiliserez de manière indépendante ou que vous interfacerez avec vos propres systèmes , n’auront pas, d’une part, fait l’objet de violations et, d’autre part, qu’il est mis en oeuvre toutes les sécurités nécessaires tant vis-à-vis de l’interne que de l’externe. 

The full scope of the failure was not immediately clear. Marriott was trying to determine if the records included duplicates, such as a single person staying multiple times.
The affected hotel brands were operated by Starwood before it was acquired by Marriott in 2016. They include W Hotels, St. Regis, Sheraton, Westin, Element, Aloft, The Luxury Collection, Le Méridien and Four Points. Starwood-branded timeshare properties were also affected. None of the Marriott-branded chains were threatened.

Lire la suite →

Les Défis Cyber : question de stratégie

Étiquettes

aide à la décision, analyse, audit interne, clé USB, CNIL, conformité, contrôle interne, courriel, cryptologie, cyberattaque, cybersécurité, données, données critiques, données personnelles, données sensibles, entreprise, faille, formation, gestion, gouvernance, grand groupe, habilitations, impact, imperméabilité, informatique, innovation, intrusion, liberté, management, mot de passe, numérique, PME, Privacy Impact Assessment, protection, ransomwares, RGPD, Risques, sécurité, sensibilisation, stratégie, technologie, virus

ANALYSE ET GESTION DES RISQUES SONT LES MAÎTRES MOTS!

« Toute atteinte massive aux données à caractère personnel constitue une grande faille pour les entreprises et la confiance collective dans l’économie numérisée », a lancé Gwendal Le Grand, directeur des technologies et de l’innovation de la Cnil, lors des Défis Cyber organisés récemment, à Paris, par Option Finance et ses partenaires.

Cet événement, à destination tant des grands groupes que des PME, a rassemblé plus de 150 professionnels, risks managers, auditeurs, assureurs, investisseurs, spécialistes de la sécurité informatique, avocats et associations, afin de sensibiliser l’entreprise aux risques de cyberattaques.

La cybersécurité est un sujet on ne peut plus business. Au début du mois, la grande firme américaine Google annonçait qu’elle fermait Google+ après la découverte d’une faille de sécurité ayant affecté les données d’au moins 500 000 utilisateurs.
Avec son approche managériale et technique mais aussi financière, la deuxième édition des Défis Cyber, a été ouverte par un intervenant de choix : Gwendal Le Grand, directeur des technologies et de l’innovation de la Commission nationale de l’informatique et des libertés (Cnil).

Analyse d’impact et gestion des risques

…

Source : Clusif via Affiches parisiennes https://www.affiches-parisiennes.com/les-defis-Cyber-question-de-strategie-8403.html

A consulter également :

https://resilienceducontroleinterne.wordpress.com/2018/11/16/la-cybersecurite-israelienne-est-la-meilleure-du-monde/

https://resilienceducontroleinterne.wordpress.com/2018/11/14/les-trois-pays-qui-refusent-de-signer-lappel-mondial-pour-lutter-contre-les-cyberattaques/

https://resilienceducontroleinterne.wordpress.com/2018/08/06/retour-sur-la-Conference-CIO-SECURITE-de-lentreprise-Etendue-CYBERCRIMINALITE/

https://resilienceducontroleinterne.wordpress.com/2018/07/01/le-guide-complet-de-la-cybersecurite-pour-les-petites-et-moyennes-entreprises-2018/

https://resilienceducontroleinterne.wordpress.com/2018/04/01/cybersecurite-gare-a-lillusion-de-securite/

https://resilienceducontroleinterne.wordpress.com/2018/03/31/cybersecurite-recruter-des-profils-techniques-pour-sensibiliser-les-employes-est-une-erreur/

https://resilienceducontroleinterne.wordpress.com/2017/08/04/gestion-des-risques-assurance-des-cyber-risques-quelle-couverture-adopter/

 

Offrir la cybersécurité pour tous ?

Étiquettes

AFCDP, anonymat, avatar, échanges, cession, CNIL, cyberattaque, cybercriminalité, cyberdéfense, données, données personnelles, gratuité, informations, informations personnelles, MySudo, paiement, RGPD, sécurité, utilisateurs, virtualité

Avoir la possibilité de céder ses données personnelles pour accéder gratuitement au service ou le payer en échange de l’anonymat ?

L’application MySudo permet à ses utilisateurs de générer des avatars virtuels, dotés chacun d’un email et d’un numéro de téléphone, pour éviter de céder leurs informations personnelles en ligne.

…

Source : La Tribune San Francisco via MSN Actualités https://a.msn.com/r/2/BBPqJd3?m=fr-fr&referrerID=InAppShare

 

A consulter également :

Les Japonais tentés par l’exploitation commerciale de données personnelles

Le smartphone, maillon faible de la sécurité informatique

Cybercriminalité : la lutte s’internationalise

Cybersécurité : gare à l’illusion de sécurité !

Bruxelles pose les bases d’un marché unique des données

Sur internet, les historiques de navigation ne sont jamais tout à fait anonymes

 

Les Japonais tentés par l’exploitation commerciale de données personnelles

Étiquettes

AFCDP, banque, banque de données, bon d'achat, cession, CNIL, commerce, compensation, conception, détecteur, données, données personnelles, DPO, Ethique, exploitation, finance, informatique, innovation, IoT, Japon, particulier, protection, sécurité, technologie, valeur

Créer une ou des banque(s) de données, au sens envisagé au Japon, est-ce raisonnable ? Apparemment, cette pratique est en vigueur en Chine et aux USA.

Ce qui peut surprendre tout européen, est que cette initiative, non encore concrétisée en pratique, soit proposée par la branche bancaire d’un groupe financier japonais.

Même si toute personne est propriétaire de ses données personnelles, est-il judicieux de se diriger vers une « cession » desdites données en échange d’une compensation (bons d’achat ou autre service d’une valeur équivalente aux données fournies). Comment définir la valeur « financière » des données cédées ?

Cette « cession » permettra à la banque de données, comme toute banque dans des opérations financières traditionnelles, de prêter les données recueillies à d’autres entreprises (compagnie d’assurance, vente en ligne …).

Hormis les problématiques de protection des données personnelles, de la sécurité des systèmes d’information et des outils numériques (y compris IoT) et de protection de la vie privée, cette innovation entraîne un choix et une nouvelle culture sociétale en termes d’éthique.

Une nouvelle forme de commerce de données personnelles pourrait voir le jour au Japon. Le particulier serait considéré comme un fournisseur de données, dont le service serait récompensé.

Des chaussures munies d’un détecteur pour compter le nombre de pas, mesurer le rythme de la marche ou encore l’ampleur des pas : c’est l’une des innovations présentées au Ceatec Japan, salon des technologies informatiques, qui s’est tenu du 16 au 19 octobre dans la banlieue de Tokyo. Cette invention, développée par la branche bancaire d’un groupe financier japonais – Mitsubishi UFJ Trust and Banking – est “une expérimentation dans le cadre d’un projet de ‘banque de données personnelles’”, rapporte l’Asahi Shimbun.
Il s’agit d’une nouvelle conception de l’utilisation commerciale des données personnelles. À l’instar de ce qui existe dans le système bancaire, avec ce nouveau type de produit, le particulier déposerait auprès d’une société des informations à caractère personnel, concernant par exemple ses activités physiques, l’historique de ses déplacements ou encore ses résultats d’examens médicaux.

…

Source : Courrier International – Économie https://www.courrierinternational.com/article/economie-les-japonais-tentes-par-lexploitation-commerciale-de-donnees-personnelles

 

A consulter également :

Personnification et identité auto-souveraine : deux pistes pour sortir de l’ornière du RGPD — Actus à la une

La protection des données dans le monde

Données personnelles : la CNIL met cinq assureurs en demeure

Étiquettes

AFCDP, Agirc-Arrco, assurance, CNIL, contrôle, données, données personnelles, DPO, Humanis, Malakoff-Médéric, marketing, prospection, protection, sécurité

La Commission nationale de l’informatique et des libertés (CNIL) a reproché jeudi à cinq sociétés d’assurance des groupes Humanis et Malakoff-Médéric d’utiliser des données collectées dans le cadre d’une mission d’intérêt général à des fins commerciales.

Les groupes Humanis et Malakoff-Médéric ont été mandatés par les fédérations Agirc-Arrco, qui gèrent les retraites complémentaires du privé, pour réaliser des opérations de gestion, comme le recouvrement des cotisations et le paiement des allocations de retraite.

La CNIL dit avoir constaté lors d’un contrôle que les deux groupes utilisaient les données personnelles mises à disposition pour faire de la prospection commerciale pour leurs produits et services. L’usage a concerné des milliers de personnes.

…

Source : Le Figaro économie  http://www.lefigaro.fr/flash-eco/2018/10/18/97002-20181018FILWWW00167-la-cnil-met-cinq-assureurs-en-demeure.php?utm_source=app&utm_medium=sms&utm_campaign=fr.playsoft.lefigarov3

 

A consulter également :

Les données personnelles en entreprise : Le délégué à la protection des données comme garant de leur sécurité

Vers une certification européenne en matière de protection des données

L’Assemblée nationale a inscrit la « protection » des données personnelles dans la Constitution

L’Assemblée nationale a inscrit la « protection » des données personnelles dans la Constitution

Étiquettes

abus, Assemblée nationale, Constitution, données, données personnelles, entreprises, France, protection, protection des données, utilisation

L’Assemblée nationale vient d’inscrire la protection des données personnelles dans la Constitution française, afin de lutter contre l’utilisation abusive des données personnelles par les entreprises. Un pas en avant supplémentaire pour la France dans la protection de ses citoyens à l’ère du numérique.

https://www.lebigdata.fr/assemblee-nationale-donnees-constitution

 

A consulter également :

RAPPORT D’INFORMATION sur les incidences des nouvelles normes européennes en matière de protection des données personnelles sur la législation française

Loi numérique : les principales mesures du texte final

Les entreprises françaises peinent à se conformer aux dernières règlementations en matière de protection des données

La protection des données dans le monde

 

 

 

RGPD : plus que 60 jours…

Étiquettes

AMRAE, assurance, banque, CNIL, conformité, conformité réglementaire, cybersécurité, données personnelles, DPO, droit, entreprise, Europe, garanties, juridique, livre blanc, management des risques, organisme, projet, protection, protection des données, règlementation, RGPD, risk-management, risque, sécurité, sécurité informatique, système d'information

A deux mois de l’échéance, il n’est plus l’heure de tergiverser. Le 25 mai prochain, les entreprises devront officiellement répondre aux obligations du Règlement général sur la protection des données (RGPD) européen. Un chantier difficile et qui comprend de nombreux pièges. Pour aider les entreprises à se lancer rapidement et efficacement dans leur projet, l’Association pour le management des risques et des assurances de l’entreprise (Amrae) vient de publier un livre blanc de plus de 70 pages, librement accessible (1). « En grande majorité, les organismes traitant des données personnelles n’apportent pas encore de garanties suffisantes quant à l’exécution concrète des droits (droit à l’oubli par exemple), ni l’assurance d’un traitement maîtrisé lorsqu’il s’agit par exemple d’éviter pour une personne le vol de ses informations de santé, de données bancaires ou d’identité, ou la divulgation d’informations compromettant sa notoriété », relèvent en introduction du document François Beaume, administrateur de l’Amrae et président de la Commission Systèmes d’information et Hervé Ysnel, vice-président CGI Business Consulting et responsable des offres cybersécurité et gestion des risques.

Les Échos : RGPD : plus que 60 jours… https://business.lesechos.fr/directions-financieres/comptabilite-et-gestion/gestion-des-risques/0301457494931-rgpd-plus-que-60-jours-319658.php