Étiquettes
ANSSI, applications, élaboration, cartographie, connexion, DSI, gouvernance, guide, informatique, infrastructure, maîtrise, métier, numérique, OIV, organisme d'importance vitale, outil, Risques, SI, système d'information
29 samedi Déc 2018
Étiquettes
ANSSI, applications, élaboration, cartographie, connexion, DSI, gouvernance, guide, informatique, infrastructure, maîtrise, métier, numérique, OIV, organisme d'importance vitale, outil, Risques, SI, système d'information
29 samedi Déc 2018
Étiquettes
analyse comportementale, antivirus, attaque, conformité, conseil d'administration, cyberattaque, cyberrisque, cybersécurité, DSI, entreprise, fichiers, firewall, gestion, gouvernance, grand groupe, grandes entreprises, guide, machine learning, menaces, PME, profil, protection, ransomware, recrutement, Risques, RSSI, sécurité, sensibilisation, solutions, stratégie, surveillance, TPE, vulnérabilités
Nous sommes en présence d’une situation très contrastée en la matière.
En ce qui concerne les entreprises du CAC 40 et assimilées, nous pourrions penser que la cybersécurité est l’objet d’une stratégie globale déclinée en sous-éléments jusqu’à la plus petite unité leur appartenant.
Et que tout nouveau projet inclut dès sa conception des mesures attachées à la cybersécurité, pour lui-même, mais aussi pour toutes les interférences qu’il implique avec tous les autres éléments de l’organisation.
Ce qui ne semble pas être le cas selon le billet ci-après.
C’est ce qui ressort d’une étude publiée ce mardi (24/07/2018) par le cabinet Wavestone, consacrée au degré de maturité des entreprises du CAC 40 quant à la prévention des cyber-risques.
Les entreprises du CAC 40 ont pris conscience de l’importance de la cybersécurité au sein de l’entreprise. Pour autant, la grande majorité des investissements effectués ne reflètent pas de stratégie globale. Et la cybersécurité est encore oubliée lors du lancement de nouvelles innovations
Peut mieux faire. Si les entreprises du CAC 40 ont bien identifié le sujet de la cybersécurité, rares sont celles qui se saisissent du sujet à bras le corps. C’est ce qui ressort d’une étude publiée ce mardi par le cabinet Wavestone, consacrée au degré de maturité des entreprises du CAC 40 quant à la prévention des cyber-risques (voir méthodologie en bas de l’article). La bonne nouvelle ? 100% des rapports d’activité des entreprises du CAC 40 font mention des enjeux de sécurité des systèmes d’information, contre 95% en 2017 et seulement 73% en 2010.
« Il y a une vraie progression dans la prise de conscience », commente Gérôme Billois, expert cybersécurité au sein du cabinet d’études Wavestone. « En revanche, lorsque l’on regarde comment le sujet est traité, le bilan est mitigé. »
…
Source : La Tribune https://www.latribune.fr/technos-medias/cybersecurite-les-entreprises-du-cac-40-sont-a-la-traine-785823.html
Le « mois européen de la cybersécurité » a eu lieu en octobre 2018.
Cette initiative des pouvoirs publics vise à sensibiliser aux risques informatiques et aux bonnes pratiques à adopter pour y faire face.
Le billet ci-après nous démontre que malgré tous les efforts réalisés la partie ne semble pas gagner.
…
Malheureusement, les consignes en matière de sauvegardes préventives ou de politiques de sécurité ne sont pas toujours respectées. Il existe pourtant un certain nombre de « bonnes pratiques » à adopter.
…
Source : Franceinfo https://www.francetvinfo.fr/replay-radio/nouveau-monde/nouveau-monde-cybersecurite-quelles-menaces-comment-y-faire-face_2943349.html
Cet état de fait est confirmé par une étude PwC citée ci-après :
Seules un tiers des entreprises françaises considèrent la cybersécurité comme un enjeu prioritaire et deux sur dix seulement estiment être tout à fait capables de gérer une cyberattaque, selon une étude du cabinet PwC.
La perception du risque augmente avec la taille de l’entreprise, 27% des sociétés de moins de 100 salariés la jugeant prioritaire contre 56% de celles qui emploient au moins 500 personnes, selon cette étude réalisée à la fin de l’été par Ipsos pour PwC auprès de 600 cadres dirigeants.
« Tant que les entreprises n’ont pas été durement touchées, elles sont plutôt dans la sous-estimation voire le déni du risque. Conséquences : la dynamique des entreprises est curative au lieu d’être préventive », constate Rami Feghali, associé chez PwC, cité dans l’étude.
La facture de la cybercriminalité ne cesse pourtant d’augmenter : selon un rapport publié en février par le Center for Strategic and International Studies (CSIS) en partenariat avec McAfee, l’impact total sur les économies mondiales approche 600 milliards de dollars contre quelque 445 milliards en 2014.
…
Source : Sciences et Avenir https://www.sciencesetavenir.fr/high-tech/les-entreprises-dans-le-deni-face-au-risque-de-cyberattaques-selon-une-etude-pwc_128113
Vaste sujet pour certains, car la cybersécurité est considérée comme une problématique très technique et très pointue.
Il convient d’adapter nos investissements à la stratégie de protection que nous souhaitons. Non pas à un instant donné, mais dans le cadre d’un processus d’amélioration continue.
N’oublions pas que la technologie est un maillon de notre protection, mais qu’avant tout c’est l’humain qui est concerné. Recruter des experts ou des spécialistes de la sécurité informatique ou de la cybersécurité, sans omettre de tenir compte de notre RSSI s’il est présent, n’est pas suffisant et n’élimine pas tous les risques.
Nous devons inclure chaque collaborateur de notre organisation. En premier lieu, au travers de sensibilisations continues. En second lieu, par la diffusion d’une véritable culture du risque au travers de toute l’organisation.
Comment pratiquer ou, du moins, comment commencer?
Ne cherchons pas tout de suite la complexité et démarrons sur des mesures simples et adaptées à notre organisation, à notre stratégie et, surtout, en fonction de notre culture d’entreprise (à ne pas confondre avec la culture du risque évoquée précédemment qui est différente).
Le billet ci-après l’évoque clairement et précisément.
Pour faire face à cela, une politique de cybersécurité intelligente est indispensable. Si certaines bonnes pratiques doivent être respectées par les salariés et les équipes informatiques (mots de passe sécurisés, logiciels mis à jour, applications validées par la DSI en amont, etc.), les outils de protection sont également essentiels pour combattre des attaques toujours plus sophistiquées… mais encore faut-il qu’ils correspondent aux besoins de chacun : à chaque entreprise sa solution sur-mesure pour une protection optimale.
TPE et au delà : on mise sur le basique
…
PME : quelles problématiques, quelles solutions ?
…
Et pour les grandes entreprises ?
…
Source : MSN https://a.msn.com/r/2/BBOs7mr?m=fr-fr&referrerID=InAppShare
A consulter également :
Cybersécurité : les plus grandes menaces et vulnérabilités de 2019
Accès à privilèges : l’angle mort de la cybersécurité
Cybersécurité : le ransomware, n°1 des attaques en France
Les Défis Cyber : question de stratégie
La cybersécurité israélienne est la meilleure du monde
Les administrateurs face aux défis de la conformité, Conseil d’administration / surveillance
Retour sur la conférence CIO Sécurité de l’entreprise étendue — Cybercriminalité
Le guide complet de la cybersécurité pour les petites et moyennes entreprises – 2018
Cybersécurité : recruter des profils techniques pour sensibiliser les employés est une erreur
Pour les RSSI, les solutions de cybersécurité ne sont pas satisfaisantes
IMPLANTER UNE VERITABLE CULTURE DU RISQUE AU SEIN DES ENTITES !
16 vendredi Nov 2018
Étiquettes
activités, administration, amélioration continue, compétences, conformité, coopération, cyberattaque, cyberguerre, cybersécurité, décision, DSI, entreprises, formation, gestion, haute technologie, industrie, interconnexions, intrusion, Israel, normes, outils, réseaux, redondances, risque, sécurité, société, solutions, start-up, système, technologie, Unité 8200
En 2015, les risques de la cyberguerre avaient poussé le chef d’état-major Gadi Eizenkot à unifier toutes les branches cyber de l’armée pour consolider la défense du pays. L’armée a donc développé une nouvelle formation interne spéciale pour renforcer les compétences des jeunes. Cette division englobe tous les services opérationnels relatifs à la guerre cybernétique, y compris la défense, l’intrusion dans les systèmes étrangers et la collecte de renseignements. Les services sont à la disposition de toutes les divisions de l’armée pour tout ce qui concerne la cyber intelligence, la cyberdéfense et les cyberattaques.
Mais l’armée n’est pas la seule bénéficiaire de ces techniques puisqu’en profitent de nombreuses sociétés dans le monde et plusieurs administrations fragiles. En Israël, l’armée est certes toujours à la pointe de la haute technologie mais les applications passent très vite entre les mains civiles.En toute discrétion
Les activités cyber étaient réparties dans plusieurs unités militaires: la Direction des services informatiques et la légendaire Unité 8200 qui gère la collecte de renseignements, tandis que le Shin Bet (sécurité intérieure) et le Mossad (renseignements extérieurs) avaient leurs propres capacités cyber. En regroupant toutes les activités cyber, Tsahal voulait d’abord gagner en efficacité et éviter les redondances susceptibles de ralentir les recherches. Un général a été mis à la tête de la nouvelle branche cyber pour attester de l’importance de la question. Le Cabinet de sécurité du gouvernement, qui gère les questions relatives à la sécurité et aux options de guerre, dispose donc d’un outil de décision pour les éventuelles opérations du futur.…
Source : MSN.com – Section Actualités https://a.msn.com/r/2/BBPtWRM?m=fr-fr&referrerID=InAppShare
A consulter également :
Les trois pays qui refusent de signer l’appel mondial pour lutter contre les cyberattaques
Cybercriminalité : la lutte s’internationalise
Cybersécurité : gare à l’illusion de sécurité !
La cybersécurité face aux changements de paradigme — Cybercriminalité
Rencontres IHEDN du 20 mai 2017 – Guerre pas net — Cybercriminalité
Décryptage : les risques liés à la sécurité informatique en entreprise
23 mardi Oct 2018
Étiquettes
AFCDP, audit interne, automatisation, catégorie, chaîne logistique, CNIL, communication, conformité, contrôle interne, cyberrisque, cybersécurité, données, DPO, DSI, entreprises, environnement durable, gouvernance, IFACI, informatique, infrastructure, logiciels, logistique, numérique, ouverture, protection des données, réputation, RGPD, risque, risques environnementaux, risques sociaux, RSE, RSSI, technologie, type
Les zones et les types de risques ont-ils changés ? Oui et non.
Mais qui dit « ouverture » et « communication » interactives avec le monde extérieur entraîne un élargissement des zones et des types de risques, mais implique aussi, en raison des progrès rapides de la technologie, l’existence d’un « spectre » bien plus élargi.
Vous pouvez penser que les principales attaques concernent le monde de la finance, ce qui, à première vue, vous paraîtrait le plus rentable pour les pirates.
Et bien sachez qu’en 2017, l’utilisation de virus pour infiltrer les logiciels de gestion de la chaîne logistique des entreprises avait déjà augmenté de 200%.
Attention! Se focaliser sur les cyberrisques, c’est bien; mais il faut au préalable revoir l’infrastructure informatique de votre entité, afin de mettre en place une protection efficace et efficiente.
Outre la cybersécurité, il faut également prendre en compte la protection des données (application du RGPD) et l’environnement durable en termes de risques sociaux (RSE).
Enfin, n’omettons pas le risque de réputation, qui peut avoir une répercussion considérable à différents niveaux pour toute entité.
DANGERS – Une enquête menée auprès des professionnels de l’audit interne montre que la cybersécurité et la protection des données seront de gros risques pour les entreprises européennes l’an prochain.
A l’heure du tout numérique et de la mondialisation, les problématiques et les préoccupations des entreprises changent. Et certaines, inexistantes il y a 10 ans, deviennent maintenant des sujets majeurs. Une étude « Risk in focus », menée par l’IFACI (Institut français de l’audit et du contrôle internes) auprès des professionnels de l’audit travaillant dans des organisations de toute l’Europe, dresse ainsi la liste des principaux risques auxquels les entreprises des secteurs privé et public devraient être confrontées en 2019.
…
A consulter également :
IMPLANTER UNE VERITABLE CULTURE DU RISQUE AU SEIN DES ENTITES !
A conversation about risk with a CEO — Norman Marks on Governance, Risk Management, and Audit
Be the Future of Internal Auditing
06 lundi Août 2018
Posted Audit Interne, Cyberactivité, Gestion des risques, Repère
inÉtiquettes
bonnes pratiques, CIO, code, collaboration, conférence, cybersécurité, droits, DSI, entreprise, entreprise étendue, faille, flux, fondement, pratiques, qualité, RGPD, RSSI, sécurité, SI
A l’occasion de sa conférence « Assurer la sécurité de l’entreprise étendue », notre confrère CIO a réuni en plateau le RSSI de Groupama, le CISO de Transdev ou encore le DSI et RSSI de l’Académie de Versailles. Une matinée réalisée en partenariat avec Axway, Box, CA Technologies, Forcepoint, Hub One et Orange Business Services / Huawei.
Les grandes lignes évoquées :
via Retour sur la conférence CIO Sécurité de l’entreprise étendue — Cybercriminalité
A consulter également :
Conférence l’Art de la guerre digitale à l’Ecole de Guerre Economique par Caroline Faillet
Cybersécurité : gare à l’illusion de sécurité !
Cybersécurité : l’hygiène de base continue de faire défaut
03 mardi Juil 2018
Étiquettes
DSI, expérience, humain, IA, informatique, Intelligence artificielle, LAB-FT, logiciels, machine learning, management, numérique, risque, sécurité informatique
Comme pour la Lutte Anti-Blanchiment-Financement du terrorisme (LAB-FT), la gestion des risques, le management du contrôle interne… les outils/applications existants ou futurs demeurent des outils. Ils ne sont conçus que pour faciliter les analyses. Mais il faut absolument que des analystes, donc l’humain, examinent les données et puissent catégoriser les attaques subies par l’entreprise.
Les menaces numériques ne cessent d’augmenter. Pour les contrer, les entreprises s’appuient sur des logiciels. Mais ces derniers ne sont pas tous parfaits ! D’où une perte de temps et d’énergie. L’IA pourrait leur venir en aide.
Source : Pierre Thouverez dans Informatique et Numérique https://www.techniques-ingenieur.fr/actualite/articles/intelligence-artificielle-securite-51370/ via News Suite bit.ly/newssuiteapp
A consulter également :
IMPLANTER UNE VERITABLE CULTURE DU RISQUE AU SEIN DES ENTITES !
Audit : faut-il craindre l’intelligence artificielle ?Audit : faut-il craindre l’intelligence artificielle ?
01 dimanche Avr 2018
Étiquettes
agence, agence de notation, assurance, éditeur, cyberassurance, cybersécurité, direction, direction générale, DSI, faille, informatique, notation, risque, RSSI, sécurité, sécurité informatique, solution, système d'information
Pour contenter les directions générales, certains acteurs visent la simplicité à outrance pour essayer de répondre vite et bien à leurs exigences d’efficacité. En réalité, ils le font de manière biaisée. Deux exemples récents me viennent à l’esprit pour illustrer ce propos : les agences de notation en cybersécurité et les offres des constructeurs, en particulier celles liées aux cyberassurances.
La note en trompe-l’oeil
Dans le premier cas, les acteurs de ce marché évaluent le niveau de sécurité et donnent une note, souvent en comparant au reste du secteur. Cela paraît presque magique ! Dans les faits, elles n’évaluent qu’une partie infime du système d’information, en particulier les sites Internet et la messagerie externe. Si cette note est bien réelle, elle est souvent volatile et trompeuse.Des équipements en apparence sécurisés
Le deuxième cas a eu une déclinaison très récente. Le secteur de la sécurité est trop habitué à recevoir des messages plus ou moins « trompeurs » des éditeurs. Qui n’a pas lu le fameux « achetez ma solution, vous serez conforme au règlement européen RGPD » ou « le cloud, c’est sécurisé, il n’y a rien à faire » ? …
Les Échos : Cybersécurité : gare à l’illusion de sécurité ! https://business.lesechos.fr/directions-numeriques/technologie/cybersecurite/0301303627888-cybersecurite-gare-a-l-illusion-de-securite-318999.php
A consulter également :
L’idée de labélisation et de certification fait son chemin en Europe
La cybersécurité face aux changements de paradigme — Cybercriminalité
Rencontres IHEDN du 20 mai 2017 – Guerre pas net — Cybercriminalité
[Gestion des risques] Assurance des cyber-risques: quelle couverture adopter?
La cybersécurité doit devenir l’affaire de tous
Cybersécurité : l’hygiène de base continue de faire défaut
Décryptage : les risques liés à la sécurité informatique en entreprise
28 dimanche Jan 2018
Étiquettes
code d'éthique, données, DSI, Equifax, Ethique, gouvernance, personnalité, piratage, protection des données, RSSI
Cette entreprise a soit disant repéré l’attaque à la fin du mois de juillet 2017 et aurait attendu plus d’un mois avant d’alerter ses clients.
Cette attitude est dommageable.
Mais ce qui est encore plus regrettable, si les faits constatés concomitamment sont avérés (des personnalités de l’entité ont été soupçonnées de délit d’initiés, pour avoir revendu des actions peu avant que le piratage ne soit annoncé publiquement), c’est l’absence d’éthique au sein d’une société de surveillance du crédit.
Deux cadres hauts placés de l’agence américaine de crédit Equifax ont démissionné, a annoncé cette dernière vendredi 15 septembre, huit jours après la révélation d’un gigantesque piratage informatique portant sur les données personnelles de plus de 140 millions d’Américains.
« Le directeur des systèmes d’information et le directeur en charge de la sécurité démissionnent« , a indiqué Equifax dans un communiqué. « L’enquête interne d’Equifax sur cet événement est toujours en cours et l’entreprise continue à travailler étroitement avec le FBI« , la police fédérale, poursuit l’entreprise.
Source : Solutions Numériques http://www.solutions-numeriques.com/le-dsi-et-le-rssi-dequifax-demissionnent-apres-le-mega-piratage/?utm_source=Sociallymap&utm_medium=Sociallymap&utm_campaign=Sociallymap
A consulter également :
Augmentation du nombre de PDG congédiés pour des manquements à l’éthique
Le dispositif d’alerte : montée en puissance de l’alerte éthique et professionnelle
L’éthique des leaders financiers en question. Etat des lieux et surprise ?
36 % des directeurs financiers excuseraient des pratiques non-éthiques
12 mardi Déc 2017
Étiquettes
CNIL, données, DPO, DSI, Gestion des risques, guide, précaution, prévention, RGPD, Risques, système d'information, traitement
La gestion des risques permet de déterminer les précautions à prendre « au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données…» (article 34 de la loi du 6 janvier 1978 modifiée, dite loi « informatique et libertés »). Le règlement européen 2016/679 du 27 avril 2016 (dit « règlement général sur la protection des données » ou RGPD) précise que la protection des données personnelles nécessite de prendre des « mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque » (article 32).
Une telle approche permet en effet une prise de décision objective et la détermination de mesures strictement nécessaires et adaptées au contexte. Il est cependant parfois difficile, lorsque l’on est pas familier de ces méthodes, de mettre en œuvre une telle démarche et de s’assurer que le minimum a bien été mis en oeuvre.
Pour vous aider dans votre mise en conformité, ce guide rappelle ces précautions élèmentaires qui devraient être mises en œuvre de façon systématique.
Dans l’idéal, ce guide sera utilisé dans le cadre d’une gestion des risques, même minimale, constituée des deux étapes suivantes :
https://www.cnil.fr/fr/securite-introduction?utm_medium=social&utm_source=twitter
A consulter également :
Protection des données – Des règles plus adaptées pour les petites entreprises
12 mardi Déc 2017
Étiquettes
agilité, applications, budgets, cloud, coopération, développement, données, DSI, efficacité, efficience, entreprises, gouvernance, informatique, méthode, métiers, opérationnel, outils, partenariat, Plateforme, processus, sécurité, solutions, système d'information, technologie, Think Design
La DSI et les métiers, un partenariat inévitable
La DSI doit se transformer en répondant à de nouvelles attentes. Une excellente occasion de se transformer en promoteur afin d’assumer un rôle de prospection sur les nouvelles solutions et les plateformes métiers. En quelques mots : devenir un acteur du changement. Pour ce faire, la DSI doit se convertir et se former, s’acculturer au digital, au cloud et aux démarches agiles. La rupture passera nécessairement par l’explosion des silos existants dans son organisation intrinsèque, la mise en place et l’animation de communautés, de centres d’expertises et de centres d’excellence. Les méthodes de “Think Design”, de refonte de l’expérience utilisateur, de l’expérience client ou du parcours client ne doivent plus avoir aucun secret pour elle. http://www.lemondeinformatique.fr/actualites/lire-les-dsi-ecarteles-entre-technologies-et-metier-69608.html via News Suite bit.ly/newssuiteapp
A consulter également :
GDPR : Il faut siffler la fin de la récrée, il est temps que le DSI reprenne son autorité !
Lanceurs d’alerte : des conséquences floues pour les DSI
Innovation technologique et protection des SI : une opportunité à saisir pour les DSI ?