Résilience du Controle Interne

~ « Venir ensemble est un commencement; rester ensemble est un progrès; travailler ensemble est un succès. (Henry Ford) »

Résilience du Controle Interne

Archives de Tag: programme

En passant

Outil de déchiffrement du rançongiciel (ransomware) PyLocky versions 1 et 2

13 jeudi Juin 2019

Posted by Belin Olivier Consultant (B.O.C.) in Actualités, Actualités, Audit Interne, Conformité, Conformité, Cyberactivité, Formation (KM), Gestion des risques, Gestion des risques, Les référentiels, Protection données, Repère, Risques

≈ Poster un commentaire

Étiquettes

accès, ANSSI, déchiffrement, documentation, email, Europe, investigation, message électronique, messages, outil, particulier, Plateforme, professionnel, programme, PyLocky, rançongiciel, ransomware, utilisation, utilitaire

Le ministère de l’Intérieur met à disposition du public sur la plateforme Cybermalveillance.gouv.fr, dont il est membre fondateur, un outil gratuit de déchiffrement du rançongiciel PyLocky.
PyLocky est un programme malveillant (appelé communément « virus ») de la catégorie des rançongiciels (ou ransomware en anglais). Il rend inaccessible les fichiers de la victime en les chiffrant et lui réclame une rançon en échange de la clef qui pourrait permettre d’en recouvrer l’accès.
PyLocky se propage généralement par message électronique (email) et se déclenche à l’ouverture d’une pièce jointe ou d’un lien piégés.
PyLocky est très actif en Europe et on compte de nombreuses victimes en France tant dans un cadre professionnel (entreprises, collectivités, associations, professions libérales) que particuliers.
Cet outil est le fruit de la collaboration des services du ministère de l’Intérieur, en particulier de la Brigade d’enquêtes sur les fraudes aux technologies de l’information (BEFTI) de la Direction régionale de la police judiciaire de Paris qui a pu récolter dans le cadre de ses investigations des éléments techniques en association avec des chercheurs en sécurité bénévoles. Ces éléments ont permis au Service des technologies et des systèmes d’information de la sécurité intérieure ST(SI)², rattaché à la Gendarmerie nationale, de réaliser ce programme.

Lire la suite →

Partager :

  • Tweet
  • Email
  • Imprimer
  • Plus
  • Pocket

WordPress:

J'aime chargement…

En passant

Derrière le piratage de CCleaner, l’ombre d’un groupe de cyberespionnage

17 dimanche Déc 2017

Posted by Belin Olivier Consultant (B.O.C.) in Cyberactivité, Gestion des risques

≈ Poster un commentaire

Étiquettes

CCleaner, chercheur, cible, cyberattaque, entreprises, espionnage, groupe, informatique, intelectuel, logiciel, malveillance, opération, PC, programme, propriété, saisie, Samsung, serveur, télécommunication, technologie

hacker-1881694_1280

L’introduction d’un programme malveillant dans le logiciel CCleaner, utilisé par 130 millions de personnes à travers le monde pour nettoyer leurs PC, aurait eu pour objectif de viser de grands groupes technologiques.

Un programme informatique censé nettoyer les ordinateurs de leurs fichiers inutiles se retrouve infiltré par un logiciel malveillant. L’histoire aurait pu être cocasse mais la compromission de CCleaner, utilisé par 130 millions de personnes à travers le monde, prend une tournure inattendue. L’opération aurait eu pour objectif de récupérer des informations auprès de grands groupes emblématiques tels que Samsung, Google ou encore Sony.

Récupéré par les autorités, le serveur de commande de la cyberattaque a permis à Talos, un groupe de chercheurs de Cisco, d’identifier vingt cibles d’ampleur. Parmi elles, des machines appartenant à HTC, Samsung, Intel, Microsoft ainsi que d’importantes entreprises de télécommunications au Royaume-Uni. Leurs résultats laissent entendre un fort intérêt du (ou des) responsable(s) de cette cyberattaque pour la «propriété intellectuelle de valeur». La liste inclut des domaines ciblés sur les quatre jours ayant précédé la saisie du serveur. Rien n’exclut donc que d’autres groupes aient été visés. Le magazine Wired y voit le signe d’un potentiel espionnage de l’industrie technologique américaine. http://www.lefigaro.fr/secteur/high-tech/2017/09/21/32001-20170921ARTFIG00289-derriere-le-piratage-de-ccleaner-l-ombre-d-un-groupe-de-cyberespionnage.php

Partager :

  • Tweet
  • Email
  • Imprimer
  • Plus
  • Pocket

WordPress:

J'aime chargement…

En passant

Les superviseurs bancaires commencent à s’intéresser au cyberrisque

26 samedi Août 2017

Posted by Belin Olivier Consultant (B.O.C.) in Actualités, Actualités, Conformité, Contrôle Interne, Gestion des risques, Les référentiels, R&D, Réglementations, Risques

≈ 2 Commentaires

Étiquettes

attaque, banque, BCE, conformité, cyberattaque, cyberincident, cyberrisque, déclaration, documentation, enregistrement, Europe, finance, identification, information, informatique, institution, juridique, menace, programme, protection, règlementation, résistance, signalement, spécificités, superviseur, supervision, tests, vulnérabilité

Account

Auditer – Contrôler – Vérifier

Pour l’heure, seules quelques juridictions ont pris des initiatives spécifiques en matière de réglementation et de supervision.

Avec des banques particulièrement vulnérables aux attaques informatiques, le cyberrisque est aujourd’hui un sujet de préoccupation croissant pour leurs superviseurs. Pour l’heure, « seules quelques juridictions ont pris des initiatives spécifiques de réglementation et de supervision », observe dans un récent rapport le Financial Stability Institute, qui cite, entre autres, Hong Kong, Singapour ou le Royaume-Uni.

Les opinions diffèrent quant à la nécessité de réglementer, constate-t-il : si certains estiment qu’une réglementation spécifique n’est pas envisageable, étant donné la nature évolutive de ce risque, d’autres la jugent nécessaire face au caractère unique du cyberrisque et la menace grandissante qu’il représente. Parmi les juridictions qui ont fait le choix de réglementations spécifiques, « le point de départ usuel est d’obliger les banques à disposer d’un programme ou d’une politique de sécurité informatique documentés. On attend des banques qu’elles identifient les informations essentielles qui doivent être protégées », précise le Financial Stability Institute.

Lire la suite →

Partager :

  • Tweet
  • Email
  • Imprimer
  • Plus
  • Pocket

WordPress:

J'aime chargement…

Meet cybersecurity

02 dimanche Juil 2017

Posted by Belin Olivier Consultant (B.O.C.) in Conformité, Contrôle Interne, Cyberactivité, Gestion des risques, Points de vue et Perspectives, Protection des données, R&D

≈ 4 Commentaires

Étiquettes

activités, ANSSI, assurance, audit interne, banques, CIL, collaborateurs, contrôle, contrôle interne, culture, cybercriminalité, cyberdéfense, cybersécurité, DPO, efficacité, efficience, entreprises, ETI, finance, gestion, gouvernance, image, informations, informatique, management, marque, PME, programme, protection, règlementation, réputation, risk-management, Risques, RSSI, stratégie

entrepreneur-2411763_1280.jpg

Votre service d’audit interne est performant et efficient, mais ses interventions sont seulement périodiques.

Votre direction du contrôle interne, ou le dispositif mis en place par votre gouvernance (contrôle permanent), est opérant en termes de réduction des risques.

Votre risk-manager et ses collaborateurs ont prévu des stratégies de gestion des risques efficaces  et ils ont réfléchi à tous les scénarios possibles, même les moins envisageables, en termes de protection contre les cyber-risques.

Vos assureurs vous ont fait souscrire des contrats d’assurance adéquats et en rapport avec votre activité et votre organisation.

Votre gestion des risques, en termes opérationnels, inclue la participation effective et active de la direction des services informatiques et, si vous disposez des fonctions RSSI, CIL, futur DPO…, leur participation est réelle dans ce contexte.

Vos collaborateurs sont sensibilisés à ces types de risque, que ce soit par les soins du risk-management ou/et par la fonction Conformité.

Vous avez adopté la culture anglo-saxonne (management par la concertation, rapidité des décisions) ou la culture française (management basé sur la confrontation, de longues discussions au sens de débats animés, voire passionnés, entre des personnes qui peuvent rester campées sur leurs positions personnelles...). Merci de ne pas prendre ce denier point au sens strict et comme une vérité absolue.

Vous avez choisi une culture du secret, ou une culture de la discrétion, et si vous ne l’avez pas retenue, vos différents niveaux de management peuvent la pratiquer. Bien que nous soyons entrés dans une ère de transparence (de manière réglementaire ou/et de la volonté d’afficher une image de marque la plus représentative et la plus claire de votre organisation, afin de présenter la meilleure réputation possible), la réalité n’est pas forcément en total corrélation avec les intentions.

Un des facteurs énoncés, mais plutôt une combinaison de chacun d’eux, risquent de contrecarrer votre programme de gestion des cyber-risques. Comment y remédier ou plutôt comment avoir l’assurance d’une protection adéquate à votre activité?

La réponse est : faisons appel à un tiers indépendant et neutre, par exemple l’ANSSI, qui réalisera d’une part, un audit complet et détaillé de votre programme de protection et, d’autre part, elle a la possibilité de réaliser un benchmarking, en toute confidentialité, par rapport à des organisations identiques à la votre.

Comme nous avons créé le principe du tiers de confiance en termes de validation de signatures électroniques, l’appel à l’ANSSI, en tant que tiers indépendant et neutre, permettra de répondre à ces nouveaux risques sous trois angles complémentaires :

  1. Mener des actions collectives contre les cyber-risques.
  2. Créer, en toute confidentialité, une base de connaissances mutualisée auprès des organisations adhérentes.
  3. Etablir des sensibilisations et des formations, de différents niveaux, basées sur des faits évidents et objectifs.

As global cyberattacks become more common, organizations are fine tuning, or even implementing, a cybersecurity risk management program — and there is no better way to validate your cybersecurity risk management program than with an independent validation.

The American Institute of CPAs (AICPA) recently released the new Cybersecurity Risk Program examination, responding to a changing marketplace where cybersecurity is top of mind for many accountants, and helping organizations looking for an independent evaluation of their cybersecurity risk program.

This new examination is part of the AICPA’s redefined SOC reports. SOC reports previously stood for Service Organization Controls; now the term stands for System and Organization Controls. SOC for Cybersecurity has been added to the SOC 1, SOC 2, and SOC 3 suite of SOC reports.

Lire la suite →

Partager :

  • Tweet
  • Email
  • Imprimer
  • Plus
  • Pocket

WordPress:

J'aime chargement…

Keep Your (Compliance) Eye on the Road

19 mercredi Avr 2017

Posted by Belin Olivier Consultant (B.O.C.) in Conformité, Points de vue et Perspectives, R&D

≈ 3 Commentaires

Étiquettes

approche, CCO, coûts, conformité, conformité réglementaire, efficacité, employés, gestion, leadership, management, objectifs, organisation, outils, programme, résilience, Risques, sous-traitance, stratégie, tâches

law-419057_1280

Lorsque vous conduisez votre voiture, votre moto, votre scooter, ou que vous soyez en vélo, vous devez être constamment attentif à ce qui se passe devant vous et autour de vous. Vous ne devez pas vous laisser distraire par des éléments secondaires, ou non prioritaires, qui mettraient votre vie en danger.

Le principe de base est de se focaliser en premier lieu sur ce que vous pouvez maîtriser et non agir tout de suite dans un esprit de globalisation d’une organisation. La précipitation est souvent source d’un manque d’efficacité en termes de gestion des risques.

Comme un CCO, vous devrez utiliser les outils que vous avez à portée de main. Si vous n’avez pas assez d’évaluation ou de budget (et qui le fait), utilisez ce que vous pouvez le plus efficacement. Vous pouvez même être en mesure de sous-traiter les tâches de conformité plus banales aux sociétés qui fournissent ces services à un coût très réduit par rapport au coût d’un employé. Le plus souvent, vous êtes seulement limité par votre imagination.

Synthétiquement, vous devez avoir :

  1. une approche du leadership.
  2. une stratégie vous permettant d’être gagnant et non en échec au final.
  3. une exécution, dans vos actions, en conformité avec la stratégie que vous avez définie, afin de conserver son efficacité.

En conclusion, il est important d’avoir une vision stratégique pour votre programme de conformité http://fcpacompliancereport.com/2017/01/11304/# Lire la suite →

Partager :

  • Tweet
  • Email
  • Imprimer
  • Plus
  • Pocket

WordPress:

J'aime chargement…

En passant

Comprendre la menace portée par le facteur humain grâce à la gestion des identités

18 dimanche Sep 2016

Posted by Belin Olivier Consultant (B.O.C.) in Conformité, Contrôle Interne, Cyberactivité, Gestion des risques, Points de vue et Perspectives, Protection des données, R&D

≈ 4 Commentaires

Étiquettes

accès, analyse comportementale, applications, attaque, écosystème, chiffrement des données, cloud, dommages, données, dossiers, e-mails, entreprise, exposition, facteur humain, fichiers, globalité, granularité, hameçonnage, IAM, identité, informations, infrastructure, menace, personnel, perte, piratage, pirate, programme, protection des données, psychologie, Risques, solution de gestion, SQL, transactions, web

personal-943877_1280

Vous êtes-vous déjà demandé qui avait accès à quoi parmi vos différents systèmes et applications ? Les actualités semblent annoncer des violations de données avec une telle régularité que ce phénomène est fatalement devenu une préoccupation commune.

Lire la suite →

Partager :

  • Tweet
  • Email
  • Imprimer
  • Plus
  • Pocket

WordPress:

J'aime chargement…

Souscrire

  • Articles (RSS)
  • Commentaires (RSS)

Archives

  • août 2019
  • juillet 2019
  • juin 2019
  • mai 2019
  • avril 2019
  • mars 2019
  • février 2019
  • janvier 2019
  • décembre 2018
  • novembre 2018
  • octobre 2018
  • septembre 2018
  • août 2018
  • juillet 2018
  • juin 2018
  • avril 2018
  • mars 2018
  • février 2018
  • janvier 2018
  • décembre 2017
  • octobre 2017
  • septembre 2017
  • août 2017
  • juillet 2017
  • juin 2017
  • mai 2017
  • avril 2017
  • mars 2017
  • janvier 2017
  • décembre 2016
  • novembre 2016
  • octobre 2016
  • septembre 2016
  • août 2016
  • juillet 2016
  • juin 2016
  • mai 2016
  • avril 2016
  • mars 2016
  • février 2016
  • janvier 2016
  • décembre 2015
  • novembre 2015
  • octobre 2015

Catégories

  • A propos
  • Audit Interne
    • Actualités
    • Ethique
    • Référentiels de risques
    • Repère
    • Secteur Public
  • Confidentiel…qui ne l'est plus
  • Conformité
    • Actualités
    • Ethique
      • Best Practices
    • Fraude
    • Lutte contre le blanchiment des capitaux et le financement du terrorisme
    • Plan de Continuité de l'Activité (PCA)
    • Protection des données
    • R&D
  • Contrôle Interne
    • Actualités
    • R&D
    • Secteur public
  • Formation (KM)
    • Actualités
    • Conférences intéressantes
    • Contrôle Interne
    • Gestion des risques
    • Protection données
    • R&D
    • Sécurité
    • Terminologie
  • Gestion des risques
    • Actualités
    • Continuité de l'activité (PCA)
    • Cyberactivité
    • Public
    • R&D
    • Risques Opérationnels
  • Intelligence artificielle
  • Les référentiels
    • Audit Interne
    • Conformité
    • Contrôle Interne
    • ISO
    • Réglementations
    • Risques
  • Mes communications
  • Mes curations
    • Mes magazines professionnels personnels
  • Non classé
  • Points de vue et Perspectives

Méta

  • Inscription
  • Connexion

L’auteur

Belin Olivier Consultant (B.O.C.)

Belin Olivier Consultant (B.O.C.)

COSO, COSO II et COSO III, Contrôle Interne, AMF 2007-2008, Fraude, PCA, Conformité, AFCDP, Intelligence Economique, KM, Ingénierie de formation, Web2.0 http://www.belin-olivier.branded.me http://fr.linkedin.com/in/olivierbelin Paris Vous souhaitez échanger sur des sujets de ce blog, ou me rencontrer, n’hésitez pas à me contacter.

Liens Personnels

  • Mon Portfolio professionnel

Services Vérifiés

Afficher le Profil Complet →

Entrez votre adresse mail pour suivre ce blog et être notifié(e) par email des nouvelles publications.

Rejoignez 2 023 autres abonnés

Mots-clés

analyse ANSSI assurance attaque audit audit interne banque banques blanchiment de capitaux CIL CNIL compliance conformité conformité réglementaire contrôle contrôle interne contrôle permanent corruption cyber-attaque cyberattaque cybersécurité Data dispositif données données personnelles DPO DSI entreprise entreprises Ethique ETI Europe finance formation France fraude gestion Gestion des risques gouvernance hacker information informations informatique Internet juridique loi management normes numérique organisation outils PME processus procédures protection protection des données protection des informations prévention Public ransomware RGPD risk-management risque Risques règlementation règles sensibilisation stratégie système système d'information sécurité sécurité informatique technologie technology transparence
Follow Résilience du Controle Interne on WordPress.com

Propulsé par WordPress.com.

Annuler
loading Annuler
L'article n'a pas été envoyé - Vérifiez vos adresses email !
La vérification e-mail a échoué, veuillez réessayer
Impossible de partager les articles de votre blog par email.
Confidentialité & Cookies : Ce site utilise des cookies. En continuant à utiliser ce site, vous acceptez leur utilisation.
Pour en savoir davantage, y compris comment contrôler les cookies, voir : Politique relative aux cookies
%d blogueurs aiment cette page :