Archives par mot-clé : fuites de données

Quand les fuites de données affectent les enfants

Généralement quand on parle de fuite de données, on oublie le plus souvent de parler de certaines personnes qui sont les plus vulnérables.

Il s’agit bien sûr des enfants. Lorsque tes données sont en libre circulation sur Internet ou vendu sur un forum deux cybercriminels, il est certain que les enfants en plus des adultes sont à cette situation. En particulier lorsqu’il s’agit par exemple de données de santé.

Cet article va aussi vous intéresser : Facebook aurait été victime d’une fuite de données ?

Parlons des données de santé. Si pendant longtemps ces informations personnelles n’ont pas été suffisamment au centre des inquiétudes en matière de sécurité informatique des données numériques, la récente explosion des attaques informatiques en particulier celle qui cible les établissements de santé depuis l’année dernière a littéralement changé la donne. Depuis le début de cette année, il a eu énormément de fuite de ce genre de données. Mais qu’appelle-t-on données de santé exactement ? Selon la Commission Nationale de l’Informatique et des libertés, autorité administrative indépendante chargée de veiller au respect du règlement Européen pour la protection des données personnelles, les données de santé sont : « considérées comme des données sensibles et qui sont, lorsqu’elles sont détenues par les établissements et professionnels de santé, protégées par le secret médical ». Ces informations sont capitales et sensibles et sont généralement couvertes par le secret professionnel. À ce sujet, la direction de l’information légale et administrative précise que ces données sont couvertes par le secret quand bien même cette personne est sous tutelle au curatelle « les informations médicales de la personne protégée ne sont pas accessibles aux tiers » note l’autorité administrative. « Nul besoin de compétences particulières : ces données sont accessibles à n’importe qui, en saisissant simplement le nom et prénom des résidents dans un moteur de recherche. ».

Pourtant, malgré toute cette sensibilité autour des données de santé, il n’est malheureusement pas rare d’en trouver en libre accès sur internet.

Récemment, Le foyer Accous a subi une fuite d’informations de ce genre. Les données de santé détenues par les résidents de foyers destinés aux adultes handicapés on était accessible sur Internet pendant plusieurs mois. La base de données continue et plusieurs informations personnelles que ce soit le nom ou encore le problème de santé dont souffrait ces derniers. Le problème tout se base de données était facilement accessible depuis Google car indexée sans aucun mot de passe pour les protéger. Si depuis un moment c’est accès a été supprimée par le foyer, il n’en demeure pas moins que jusqu’à très récemment, il y avait certaines informations toujours disponibles en cache. « Ils ont fermé l’accès mais comme les moteurs de recherche sont passés par la page, les informations sont toujours disponibles, car le moteur a récupéré l’intégralité de la page. Ils devraient demander à Google d’effacer les pages. Il faut désindexer », explique Corinne Hénin, une experte en sécurité informatique.

La raison de cette fuite de données est expliquée par les responsables de l’association en charge du foyer, l’Adapei64 : « Une mise en place progressive des outils de l’Adapei des Pyrénées-Atlantiques, et notamment du logiciel associatif de gestion des projets individuels, NEO PI V2, a alors été planifiée. Dans l’attente de cette mise en place, l’établissement a élaboré son propre outil afin d’améliorer le partage d’information et donc la qualité de l’accompagnement par les professionnels », décrit la déléguée à la protection des données. « Nous avons découvert en 2020 des problématiques de données accessibles, mais, avec la pandémie, nos actions ont pris du retard pour les corriger », ajoute alors le directeur de l’Adapei64. Ces fuites ont d’autant plus contrarié l’équipe qu’elle avait justement mis en place des campagnes d’information sur la confidentialité des données de patients auprès des directeurs d’établissements, des administrateurs, des personnes accompagnées…  A l’aune de notre enquête, l’équipe a pu constater que « la notion de ‘’cache’’ n’avait pas été prise en compte par l’établissement », avait reconnu la directrice de la protection des données

La commission nationale de l’Informatique et des libertés précise que : « dans le cas de personnes en situation de handicap ou de mineurs, il n’existe pas de « circonstances aggravantes » pour les hébergeurs de données. »  Car « En France, on considère qu’un mineur peut donner son consentement lui-même aux traitements de ses données à partir de 15 ans. En dessous, il faut le consentement conjoint de l’enfant et du titulaire de l’autorité parentale ».

Dans une dynamique de toujours renforcer la sécurisation autour des enfants, l’éducation nationale déclarait à cet effet :  « le développement d’une culture de la protection des données à caractère personnel dans ses dimensions juridiques, techniques et éthiques au sein de l’institution scolaire est primordiale et constitue une priorité », dans cette optique, « 11 000 responsables de traitements répartis sur le territoire qu’il est nécessaire de sensibiliser afin de protéger les données de plus de 12 millions d’élèves et apprentis. Il semble que les cas cités soient donc passés au travers de « l’acquisition et concepts de base » de la cybersécurité, longtemps promus par des « séances de formations aux futurs chefs d’établissement, des webinaires à destination des enseignants » et « actions de sensibilisation dans les établissements ».

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Fuites de données médicales : vérifier si l’on est concerné par la fuite massive de données de santé

La semaine dernière, l’actualité portait sur la fuite de données médicales à caractère sensible de près de 500 000 personnes en France.

Ces données étaient sur le Dark web. Au début elles étayent commercialisé et pour quelle raison que ce soit, elles sont dorénavant gratuites. Face à une telle situation, une entreprise spécialisée, a décidé de mettre en ligne un moyen qui permet de vérifier si les données en circulation contiennent certaines qui nous concernent.

Cet article va aussi vous intéresser : Données médicales : Plusieurs centaines de patients Français voient leur donner données sur le Dark Web

La société qui propose cet outil est basé dans la ville française de Rennes. Elle se dénomme Accéis.

Donc si vous doutez de faire partir des personnes dont les données sont en circulation, vous pouvez alors vérifier. Il vous suffit tout simplement d’accéder au site fuitededonneesdesante.acceis.fr, de composer votre numéro de sécurité sociale dans le champ unique de recherche qui vous sera présenté. Vous pourrez alors vérifier si vous êtes belle et bien parmi ceux dont les données sont en libre circulation.

Pour plus de précisions, l’entreprise de sécurité qui a mis en place le système précise que le serveur : « ne contient pas les informations personnelles, ni les données de santé relatives à la fuite de données. Seuls des condensats cryptographiques (SHA-256) sont utilisés, permettant de confirmer/infirmer la présence d’une identité dans la fuite de données. ».

Il faudrait que les personnes qui pourront être concernées par la fuite sachent qu’une enquête est belle et bien en cours pour déterminer non seulement l’ampleur de la fuite mais aussi les responsables.

D’une part la vigilance est de mise. Car, ces informations peuvent bien servir pour initier des campagnes d’usurpation d’identité, ou encore des tentative d’extorsion ou de chantage. C’est d’ailleurs comme ça que fonctionnent les pirates informatiques.

« On a déjà eu le cas par le passé pour une clinique médico-psychologique dont les enregistrements de séance avaient été récupérés par un hackeur, qui avait fait pression sur les patients en menaçant de divulguer le contenu des échanges, et de réclamer une rançon pour ne pas le faire », raconte Yves Duchesne, spécialiste de la sécurité informatique.

Dans ce contexte un tel cas de figure est fort probable. C’est d’ailleurs pour cette raison que le spécialiste conseille fortement, aux personnes qui pourraient être dans ce genre de conditions, de former le plus tôt possible les autorités soit à la gendarmerie ou la plate-forme pour la cybermalveillance : https://www.cybermalveillance.gouv.fr/. Selon Yves Duchesne, quelle que soit la cause d’un incident informatique, on est sûr que tout provient de la même souche : « les hôpitaux, comme les laboratoires, n’ont pas forcément un expert en cybersécurité dans leurs rangs. Un labo n’a pas la capacité de dire si le logiciel qui lui permet de gérer les données médicales est sécurisé ou pas. Il se fie aussi à ce qu’on lui vend. ». Il conclura en notant une réalité bien alarmante : « La sécurité informatique du secteur de la santé, cible de multiples attaques ces derniers temps, « car les données médicales se vendent bien », est ainsi en construction depuis plusieurs années, avec une prise en compte de l’importance de se protéger. »

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Avez-vous une bonne maîtrise des accès aux données sensibles de votre entreprise ?

Les données numériques sont au cœur de tous les échanges pratiqués au niveau informatique.

Elles ont de l’importance pour l’entreprise qui la génère ou qui la traite. Elles sont constamment partagées, générées et utilisées pour diverses raisons et à travers plusieurs types d’outils informatiques. En cas de fuite de données, cela mettrait dans une situation inconfortable l’entreprise concernée. On parlera alors de la sécurité des personnes concernées par ces données et bien sûr des amandes que les autorités imposeront à la société victime. C’est pour cette raison, que toutes les entreprises doivent mettre en place tous les moyens nécessaires pour s’assurer que ces informations ne sont pas vulnérables à une attaque informatique.

L’erreur que commet beaucoup d’entreprises et sûrement de se croire à l’abri des incidents informatiques. Elle ne consacre à pas vraiment de ressources et moyens pour minimiser les risques internes au détriment des risques externes.

Ce dernier point est à prendre avec beaucoup de pincettes. En effet avec le télétravail qui s’annonce de nouveau en masse, chaque employé devrait avoir des accès aux données des entreprises pour lesquelles ils travaillent. Et cela ne sera pas sans risque. C’est pour cette raison qu’il n’est pas nécessaire qu’un employé ait accès à toutes les données disponibles sur le système informatique de l’entreprise, surtout si la fonction ne nécessite pas l’accès à ces données. Malheureusement les entreprises dans le grand ensemble ne respectent pas cette réserve. Lorsque la responsable le système d’information ne sont pas en mesure de déterminer quel employé a accès à quel type d’information avec précision, se pose automatiquement une question de sécurité d’accès.

« La gouvernance identitaire d’aujourd’hui a pris des années d’avance sur ce qu’elle était. Ce n’est plus « seulement » quelque chose que les entreprises utilisent pour certifier l’accès et pour rester en conformité. C’est une question d’habilitation et donc une question de sécurité. L’identité est devenue le fondement de la sécurité de l’entreprise numérique d’aujourd’hui. Elle peut être à la fois votre ailier informatique et l’accélérateur de votre activité. Sans elle, vous êtes en quelque sorte à l’âge de pierre. Avec elle, vous pouvez ouvrir de nouvelles voies en toute confiance. Qu’allez-vous faire aujourd’hui pour répondre à la question « qui a accès à quoi ? » sans être dubitatif ? ». Explique : Herve Liotaud, Vice-Président Europe de l’Ouest chez SailPoint.

La question de l’accès sécurisé aux données les entreprises est devenue plus compliquée avec le confinement qui s’est annoncé de nouveau. Les pirates informatiques sont de ce fait à l’affût. La moindre erreur de la part des responsables IT peut occasionner beaucoup plus de dégâts que cela en a l’air. La vigilance est donc de mise et il faudra faire très attention avec la collaboration à distance. Les équipements qui devront être utilisés doivent homologués et équipés de sorte à créer un couloir numérique vrai sûr. Les collaborateurs doivent être formés aux bonnes pratiques numériques pour s’assurer qu’ils ne commettent pas d’erreur lors de leurs différents choix.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Les entreprises face aux différentes fuites de données : comment s’organisent t’elles ?

Aujourd’hui il est clair que la cybersécurité est plus qu’un simple concept.

C’est devenue un challenge. Les entreprises augmentent leur investissement dans ce secteur et les ressources qui sont déployées chaque année sont de plus en plus énorme. Et cela se comprend car, de l’autre côté les attaques informatiques, les violations de données ainsi que les techniques de rançonnages ce sont aussi démultipliées depuis maintenant ces 5 dernières années.

Cet article va aussi vous intéresser : Protéger son entreprise des fuites de données

C’est pour cette raison, que le Ponemon Institute, pour un courtier de données (data broker) irlandais dénommé Experian a posé cette question à plusieurs dirigeants d’entreprises et responsables de la sécurité informatique : « Votre entreprise est-elle prête à affronter une fuite de données d’ampleur ? ». Sur 1106 professionnels de la sécurité informatique interrogés au cours de l’année 2019, 57 pourcents ont assuré l’efficacité de la stratégie de réponse en cas de violation de données. Un taux qui serait en hausse selon notre institut de 8 pourcents par an.

Cependant, il faut me dire que 68 % de ces mêmes professionnels ont confirmé que les ressources allouées dorénavant à la sécurité informatique surtout aux travaux de détection de programmes malveillants était en pleine hausse dans leur entreprise. Et même plusieurs mesures d’accompagnement serait prises.

En outre, environ 73 % des personnes interrogées dans le secteur de la sécurité informatique ont affirmé procéder à une révision de manière régulière de leurs différents processus et de conditions d’accès aux informations jugées confidentielles. De ce côté aussi il a été observé une hausse de 3 % par an. 69 % ont noté qu’ils avaient pour procédure officielle de vérifier les antécédents de leurs prestataires et de nouveaux collaborateurs.

Selon Le Ponemon Institute «…56% (+4 points) disent intégrer la réponse aux violations de données dans leurs plans de continuité des activités. Et 54% déclarent une capacité « élevée », voire « très élevée » pour se conformer au Règlement général sur la protection des données (RGPD), contre 36% en 2018. Enfin, 26% (+7 points), se sont abonnés à un service de surveillance du dark web… ».

Malgré tout ceci, il n’en demeure pas moins que les entreprises qui sont exposées, le sont encore plus. En effet durant l’année 2019, 63 % responsable de la sécurité informatique dans le cadre de l’enquête ont reconnu avoir été victime au moins une fois d’une data breach (violation de données). Durant cette année plus de 1000 dossiers ont été touchés par c’était si dans informatique ce qui relève d’ailleurs d’un record. De plus, les attaques aux logiciels de rançonnage ont touché effectivement près de 36 % des entreprises, selon une confirmation des experts.

Et pour cela 68 pourcents ont reconnu dans le but de récupérer leur système intact. Le montant moyen des rançons exigées par les pirates informatiques s’évalue à 6128 dollars.

Face à ce qu’on appelle de spear phishing, une méthode de piratage informatique qui consiste à cibler un système informatique et à le bombarder de courrier électronique frauduleux, dans le but de le corrompre, 23 % seulement des responsables de la sécurité ont affirmé être en mesure de le contrer. C’est qui dénote d’une baisse assez substantielle car en 2018, il y en avait 38 pourcents.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Protéger son entreprise des fuites de données

La protection des données pour les entreprises commence à prendre depuis maintenant un certain moment une importance plus que vitale.

Les institutions européennes ont instauré des mesures de sanctions pour toutes entreprises qui seront victimes d’une fuite de données pouvant mettre en péril les informations personnelles de toute personne utilisant leurs services. Par ailleurs « La protection des données passe par un contrôle de l’accès, l’utilisation de solutions de DLP, une veille active et une sensibilisation des utilisateurs assure. » signifiait Gamliel Bellahsen, journaliste IT.

Cet article va aussi vous intéresser : Les smartphones sont le maillon faible de la sécurité dans les réseaux d’entreprises

Tout ce qui pourrait être appréhendé aujourd’hui comme étant une négligence de la part des entreprises au niveau de la gestion des données personnelles est sanctionné plus ou moins sévèrement, sous le couvert légal du sacro-saint Règlement Général de la Protection des Données (RGPD). De la sorte peu importe la taille de l’entreprise qu’elle soit petite grande moyenne, une obligation est de mise. Protéger les données personnelles.

Les sanctions en cas de fuite de données personnelles peuvent s’élever jusqu’à 20 millions. De la sorte, il est exigé à toute entreprise de signaler toute forme de fuite de données. Amende à valeur dissuasive car elle oblige maintenant toutes entreprises à embrasser la conformité des règles et des pratiques, tout en améliorant le traitement des données personnelles à la lisière des exigences éthiques et légales.

Concernant les mesures de protection contre les fuites de données, la première démarche va consister tout d’abord à déterminer les raisons qui pourrait expliquer les fuites. De la sorte il sera facile maintenant de s’en prémunir. D’un autre côté, il ne faut pas se leurrer. Peu importe la mesure de sécurité qui sera mise en place, la fuite des données sont toujours et restera toujours possible.

En outre, il faut penser à améliorer le contrôle des accès aux données critiques. En effet tout le monde ne doit pas avoir accès à tous types de données de n’importe quelle manière. Il faudra une organisation très méthodique déterminant les niveaux d’accréditation et les droits de consultation ainsi que de traitement des données eu égard aux objectifs. De ce point de vue, il faudra déterminer comment ces données sont stockées et de quelle manière il convient de les protéger alors. Dans l’éventualité où ces données échappent quand même au contrôle et fuitent, il faudrait être en mesure d’évaluer le plus efficacement possible les conséquences qui pourraient que cela peut faire peser sur l’entreprise.

En prenant séparément la gestion du contrôle des accès, il faudrait se poser plusieurs questions :

1- Qui peut accéder aux données ? 

2- Quand peut-on accéder aux données ?

3- A quel type de données ?

4- D’où peut-on y accéder ?

Les critères du qui, quand, quoi, et où sont essentielles pour dresser une première mécanique de sécurité autour de vos données.

Après la sécurisation de l’accès aux données, il faut envisager bien sûr un mode authentification à facteurs multiples. Si le critère du « qui » est essentiel parmi les critères d’accès, il n’en demeure pas moins que le « comment ? » doit aussi intervenir à ce niveau. De la sorte, vous aurez une seconde couche de sécurité qui ne fera que vous assurez. Et cela est primordial

En troisième position, il vous faudra penser à mettre en place la solution de DLP, le « Data Loss Prevention » qui vous permettra d’être tenu informé en cas de fuite de données, et vous permettra alors d’appliquer une stratégie allant du contrôle des courriels aux autres types de données à caractère sensible. Par ailleurs, vous devrez aussi penser à chiffrer vos données. En cas de vol, vous êtes sûr que le contenu ne pourra pas être exploité à mauvais escient.

Enfin, vous devrez mettre en place un système de veille technologique de sensibilisation et de formation de votre personnel. En effet, cela vous permettra d’abord d’être informé en temps réel de toutes les nouvelles méthodes qui seront mises sur pied pour dérober vos données personnelles car les cas sont légions. Ensuite cela vous permettra de souvent apporter certaines informations à votre personnel qui est pour la plupart la principale cause des fuites que vous subissez. L’informer et le former permet aussi de réduire le risque qu’il (le personnel) participe et inconsciemment à rendre vulnérable votre système d’informations. Les experts conseillent aussi des exercices pratiques mettant en scène de faux cas de fuites de données pour évaluer la réactivité du personnel ainsi que pour déterminer les failles qui pourrait être comblées avant qu’elles ne soient exploitées par des cybercriminels.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage