« Si vous avez été victime ici, il y a de fortes chances que vous soyez également victime ailleurs. Vérifiez vos comptes bancaires, vos réseaux sociaux, vos systèmes de commerce électronique, car les assaillants les utiliseront partout où ils le peuvent et ils utilisent des systèmes assez sophistiqués », souligne Ali Ghorbani, directeur de l’Institut canadien de la cybersécurité à l’Université du Nouveau-Brunswick.

Ces contribuables devraient « avoir très peur s’ils ont un autre compte avec le même mot de passe », ajoute-t-il.

L’ARC a déclaré avoir été victime de deux problèmes de sécurité distincts le 15 août dernier. Et au début de la semaine dernière, une troisième cyberattaque a obligé l’organisme à suspendre ses services en ligne quelques heures.

L’ancienne commissaire à la protection de la vie privée de l’Ontario, Ann Cavoukian, estime que le risque pour les propriétaires des comptes touchés ne devrait pas être minimisé.

« Si vos informations ont été exposées, elles sont entre les mains de pirates informatiques qui pourraient les utiliser à diverses fins non intentionnelles dont vous pourriez ne pas être au courant. C’est l’ARC, ce sont vos données financières et ce sont des informations très sensibles », souligne-t-elle.

À la suite de cette fuite de données, l’agence gouvernementale a envoyé des lettres à tous ceux dont le compte avait été piraté. Mais le temps que ces lettres arrivent, les informations de ces contribuables pourraient être utilisées pour attaquer d’autres comptes appartenant à ces personnes, ayant la même combinaison de courriel et de mot de passe, prévient Ali Ghorbani.

« Si j’étais une de ces personnes, je changerais tous mes mots de passe sur tous mes comptes. Et cette fois, je m’assurerais que ces mots de passe soient uniques et différents les uns des autres », commente-t-il.

L’article Les victimes de la cyberattaque de l’ARC, vulnérables est apparu en premier sur Finance et Investissement.

Suis-je contre toutes ces nouvelles technologies ? La réponse est « non », bien au contraire.

Mais comme souvent il est important de prendre le temps de se questionner sur « l’arbre qui cache la forêt » (amazonienne puissance 10).

Mon point est le suivant : lorsqu’une nouvelle technologie ou un nouveau concept technologique est médiatisé (je ne parle pas de « voir le jour », car l’architecture infonuagique démocratisée aujourd’hui existe dans la théorie depuis les années 70), la technologie en question devient LA nouvelle révolution dont il discuter, financer et implanter.

De plus en plus, je fais le constat d’une absence de sens critique et du réflexe de se poser ces questions : est-ce nécessaire ? La valeur ajoutée est-elle réelle ? Sommes-nous matures pour la capitaliser ? Comment en sortir en cas de problème ? En fait, des réflexes associés à une bonne gestion de risque.

Ces technologies sont intégrées aux organisations, car elles font vendre ! « Ça fait moderne, innovant, à la fine pointe ! » : je lève virtuellement les yeux au ciel.

Nos processus d’affaires doivent-ils tous subir une cure de relooking à la mode des dernières technologies pour être nécessairement plus efficaces ?

Suis-je contre le progrès, sûrement pas. Par contre oui, je suis contre l’effet de mode. Mon analogie : Facebook(TM) est, soi-disant, une évolution sociétale. Soit. Mais 100 % de la société n’a pas forcément accepté que cette évolution s’effectue dans un intérêt purement privé et que ses utilisateurs en sont le produit. Sinon, Mr Zuckerberg ne serait pas allé témoigner devant le Congrès américain. Dans ce cas précis, ce n’est pas un progrès, mais un effet de mode innovant ayant pour but de biaiser la cible.

Mon analogie ne s’arrête pas là. Le risque majeur de tous ces « buzz words », c’est également la complexité des technologies qu’ils cachent, à s’autoréguler. Comprenez bien : l’intelligence artificielle, malgré les trois lois de la robotique d’Asimov, a d’ores et déjà des vulnérabilités intrinsèques conceptuelles connues qui, mal comprises, peuvent avoir des répercutions quasi-exponentielles, voire potentiellement définitives, sur l’existence de la personne (physique ou morale) qui en fait l’utilisation. L’intelligence artificielle, c’est très sympa, mais encore trop immature car le processus de prise de décision de celle-ci peut être aisément floué ou biaisé.

Ce n’est pas grave me direz-vous, nous allons corriger… Oui ! C’est ce que nous faisons toujours.

Mais mon point tient au fait que notre processus d’adoption et d’implication de ces nouvelles technologies est maintenant beaucoup trop immédiat, systématique, global, massif et intrusif pour que notre travail de maturation trouve son chemin. Après tout, nous sommes restés humains. Nous allons, certes, plus vite qu’avant, mais pas assez vite pour rattraper notre propre courbe d’adhésion et d’intégration de ces « buzz words ».

Je vous parlais d’autorégulation, qu’est-ce que cela veut dire ?

C’est justement le point de rencontre entre la courbe de maturation (essais-erreurs-corrections = cycle de Deming simplifié) et la courbe générale d’intégration à nos processus critiques (conduite automobile, transactions bancaires, échanges contractuels, identification personnelle, suivi de santé, collaboration et communication sociétale, maintien de la confidentialité, de la privauté, notamment).

Habituellement, je vous donne des solutions simples et claires. Ici, malheureusement, je ne peux qu’appuyer sur l’importance de garder son sang-froid, son sens critique et un certain besoin de rationalisation / pérennisation / conservatisme.

Quand la machine s’emballe et que tout le monde fonce tête baissé, prenons le temps de bien comprendre et d’observer la complexité de ces technologies car, oui, elles sont toutes très complexes,  innovantes et résolument prometteuses. Agissons « en bons p/mères de famille » en nous demandant « si un jour ces technologies ne nous conviennent plus, pourrons-nous cesser facilement de les utiliser ? Qu’est-ce que cela impliquerait ? »

Ne devrions-nous pas attendre d’avoir une réponse claire à ces deux questions essentielles avant de les intégrer profondément à nos cycles de vie ?

L’article Pourquoi il ne faut pas succomber à la folie du « buzz word » technologique 4.0 est apparu en premier sur Finance et Investissement.

Revenir à la base !

Le risque d’être non conforme existe depuis la création des lois. Par exemple, à l’époque de Moïse, si les gens ne se conformaient pas aux 10 commandements (le Décalogue), ils risquaient les «foudres» théistes ou de ne pas accéder au paradis une fois notre dernière heure venue, tout dépend (ou pas) des croyances de chacun. Il en est de même pour la GDPR, la Norme de sécurité de l’industrie des cartes de paiment (PCI) ou la Health Insurance Portability and Accountability Act (HIPAA), il est possible de prendre le risque d’être non conforme.

Il n’y a que quatre manières de gérer ce type de risque : l’accepter et risquer la sanction, le mitiger/réduire et investir temps ou argent pour implanter un contrôle, le transférer et prendre une assurance par exemple (dans le cas de la règlementation, il est rare qu’un assureur accepte de vous assurer contre le non-respect de la loi ou sinon la prime sera salée) et enfin l’annuler.

Oui, il est possible d’annuler un risque. Dans le cas du risque d’être non conforme, l’annulation est la meilleure solution, ou du moins la plus efficace et la moins coûteuse à long terme.

Annuler un risque

Un risque est une perte potentielle d’une qualité (disponibilité, confidentialité, intégrité, flexibilité, mobilité…etc.) d’un actif, liée à l’impact dû à l’exposition (via une défaillance, par exemple) de cet actif à un agent de menace. En clair, dans le cas d’un incendie résidentiel : l’actif c’est la maison et son contenu, la menace c’est l’huile sur le feu, l’exposition (la défaillance) est l’absence de surveillance de cette casserole d’huile par un adulte responsable. Donc, l’annulation s’opère par la suppression de l’actif : la maison par exemple. Si vous n’avez pas de maison, vous n’avez ainsi aucune exposition à la menace et à son impact potentiel.

Je vois que vous commencez à comprendre où je vous emmène et j’entends déjà certains d’entre vous me dire que cette solution n’est tout simplement pas applicable car trop extrême. Eh bien, prenez le temps de réfléchir à cette option, parce qu’elle est viable.

La majorité des écosystèmes de données ayant obligé les entreprises à la conformité sont souvent des données non-capitalisables et inutiles du processus d’affaires réel. Nous n’avons juste pas appris à ne pas les collecter.

En effet, la dématérialisation de l’information, la facilité et l’augmentation des espaces de stockage informatique nous ont créé des travers de «boulimie d’information».

Nous collectons trop d’informations.

Par exemple, est-ce que les banques ont besoin de votre numéro d’assurance sociale ? La réponse est non, pourquoi le demandent-elles ? Par boulimie d’informations. Cette information n’est pas réellement capitalisable et sa collecte ne présente qu’un risque de perte ou de vol supplémentaire de cette information précieuse.

Selon l’étude annuelle du Ponemon Institute, une donnée au Canada vaut plus de 250$ en cas de perte ou vol, chaque information collectée sur un individu s’additionnant.

Plus votre dossier d’informations sur un même individu grossi (client, partenaire ou employé), plus le coût global du dit dossier augmente.

Ainsi, si vous collectez 20 types d’informations différentes identifiables sur un même individu, ce dossier vous coûtera plus de 5000$ en cas de perte ou vol. Combien avez d’employés ou de clients ?

Donc, moins vous collectez de données inutiles, moins vous devez vous conformer à des règles contraignantes, et moins lourde sera la facture quand la brèche arrivera. Le règlement GDPR donne aux citoyens européens le droit de réclamer à toute entreprise le consentement «explicite» et «positif», le droit à l’effacement, le droit de recevoir les données à caractères personnelles les concernant qu’ils ont fournies, le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, et le droit d’être notifiés, dès que possible, en cas de violations graves de données. PCI est la règlementation du consortium VISA, MASTERCARD, DISCOVER, JCB et AMEX pour la protection des données de cartes de paiement et HIPAA s’applique aux citoyens américains dans le cadre de la protection de leurs données de santé et d’assurance.

Rappelez-vous que noter une information règlementée sur un morceau de papier est une collecte d’information à part entière.

La solution est de débuter l’analyse de votre processus de collecte d’information afin de le rationaliser. Si vous n’avez pas besoin d’une information, ne la collectez pas. Ne tentez pas de gérer les cas d’exceptions ou les «On en aura besoin si ça arrive…», car cela vous poussera à collecter de l’information potentiellement règlementée et inutile pour votre processus d’affaires. Vous devez avoir un Mind Chart ou une architecture des informations règlementées de tiers (qui ne vous appartiennent pas) dont vous disposez et que vous avez à protéger. Diminuez votre responsabilité légale et de sécurité en limitant le volume de la collecte d’information et en rationnalisant son traitement. Ce faisant, vous limiterez également l’intérêt des cybercriminels à votre égard.

L’article Protection des données : une solution de sécurité efficace à un surplus de réglementation est apparu en premier sur Finance et Investissement.

Passons à l’étape suivante

Alors, comment faire pour compliquer un peu plus la vie aux « gangsters » ? Sachez que lorsque vous créez un compte sur Internet, vous pouvez créer des « détecteurs » de compromission de vos identités.

Plusieurs méthodes s’offrent à vous.

• Vous pouvez créer un alias de votre courriel principal et ajouter à la fin les 3 ou 4 premières lettres du service pour lequel vous utilisez le courriel : par exemple, pierre.simard.ama@moncourriel.com pour Amazon ou encore pierre.simard.fac@moncourriel.com pour Facebook. Ainsi, si l’une de vos identités fait l’objet d’une brèche, vous pourrez supprimer l’alias en question, qui fera sûrement l’objet de beaucoup de pourriels. Changer alors votre mot de passe sur le service Internet ou le site web sur lequel vous avez utilisé votre alias. Vous pourrez aussi suggérer à vos amis et famille qui utilisent ce même service web de faire attention à leur propre identité.

• Vous pouvez utiliser les champs secondaires d’adresse postale pour y ajouter du marquage, par exemple : 11 rue de la ville, Appt. 1 – #ama (pour Amazon par exemple). Ainsi, si vos données postales ont été volées, il vous sera ainsi possible de connaître la provenance du vol ou de la vente sauvage de vos données personnelles. Les publicités marquées de ce petit ajout afflueront, et si vous êtes rigoureux sur la méthodologie, la preuve de la provenance de la compromission sera quasi-irréfutable.

Vous pouvez appliquer ces mêmes méthodes à vos données corporatives. Ainsi, vous pouvez créer de la fausse donnée pour identifier les sources ou les biais de fuites d’information. Les différents relais de recherches créés sur le Darkweb me permettent de générer un engouement pour ces fausses informations et me permettent de créer du « bruit » inutile dans le modus operandi des cybercriminels.

En conclusion

Le but n’est pas d’identifier ou de confondre ces criminels, mais de mieux comprendre les risques de propagation de vos données sensibles. Les criminels s’intéressent aux identités en premier lieu. Donner une fausse identité ou une identité marquée à un criminel qui cherche l’anonymat revient à lui fournir un masque de clown pour se dissimuler.

L’article Marquer ses données comme des billets de banque pour débusquer la cybercriminalité est apparu en premier sur Finance et Investissement.

Les cybercriminels ont une nouvelle marotte : utiliser votre ordinateur pour miner des cryptomonnaies à leur place.

Vous, tout seul, n’êtes pas très rentable. Mais vous tous, internautes de tous les jours allant voir les sites sensationnalistes entre midi et deux heures, ou le soir pour penser à autre chose et/ou procrastiner un peu, c’est beaucoup plus intéressant en termes de volumétrie. Imaginez : des milliers d’ordinateurs minant en simultané, comme un seul homme, victimes aveugles de la cupidité d’un jeune pirate à la solde d’une organisation cybercriminelle sans foi, ni loi.

Ridicule ? Et pourtant, c’est la vérité.

Le cryptojacking est un nouveau type de cybermenace impactant des sites web mal protégés, sur lesquels un petit malware invisible et apparemment totalement inoffensif œuvre à transformer la machine de l’internaute en petit mineur à la solde de quelqu’un d’autre que son propriétaire légitime.

En effet, ces petits scripts sont implantés, en toute impunité, par les pirates sur ces sites vulnérables. L’internaute connecté sur le site ne remarque pas que son ordinateur chauffe, que les ventilateurs de sa machine s’excitent comme si elle était aux prises avec les plus difficiles calculs qu’il lui ait été donnés de faire. Et pour cause, c’est exactement, ce qu’elle fait. Elle calcule comme jamais pour tenter de « dé-hasher » les prochains blocs de « blockchain » d’une cryptomonnaie.

« Ce n’est pas très grave ! » me direz-vous, et bien en réalité si, car il y a un abus multiple dans cette histoire « sans gravité ». D’abord, votre machine est utilisée contre votre gré pour alimenter et enrichir une organisation criminelle, vous rendant alors complice involontaire de ses futurs méfaits. Ensuite, votre machine s’use plus vite : faire fonctionner un processeur à plein régime est aussi dommageable pour un ordinateur qu’un moteur en surrégime sur un véhicule. Ça n’est « vraiment pas conseillé ». Enfin, le site web sur lequel est implanté ce petit script envahissant a été piraté et a subi une forme d’altération, de cyberattaque.

Alors comment savoir ?

Comment détecter que votre site ou le site sur lequel vous êtes en train de naviguer n’est pas, malgré lui, en train d’usurper les ressources technologiques de milliers d’ordinateurs au profit d’une organisation de cybermalfaiteurs ? Vous pouvez, par exemple, vous rendre sur le site Whoismining et vérifier si le site en question est dans la liste.

Est-ce répandu ?

Oui, le site de Tesla a fait les frais de ce type de script. Le grand Youtube a lui-même été victime de ce genre d’arnaque, via des scripts « habilement planqués » dans des annonces ou des pubs affichées et hors du contrôle réel du célèbre site de vidéos en ligne.

Cependant, il est tout à fait possible et légitime de miner en toute légalité, en avertissant vos internautes et même, pourquoi pas, en les faisant bénéficier des profits réalisés.

Dans ce cas, si vous décidez d’implanter un script sur votre propre site, vous installerez probablement Coinhive ou l’équivalent. Mais attention, je désapprouve formellement ce type de pratique et je vous suggère fortement de ne pas emprunter ces chemins. Les pièges sont nombreux, le parcours non fléché et la régulation est inexistante. À vos risques et périls.

Si vous souhaitez limiter les risques de cryptojacking, favorisez un navigateur Internet plus léger et sécuritaire. En ce début d’année 2018, j’aurais tendance à vous suggérer Opera. Malheureusement, ce conseil pourrait s’avérer moins recommandable le mois prochain car des menaces naissent tous les jours et les pirates ne manquent pas de créativité pour trouver de nouvelles failles.

Pour votre sécurité, il existe des bloqueurs comme uBlock ou Adblock Plus qui aideront à limiter les abus sur vos machines.

Restez à l’écoute.

L’article Le cryptojacking : faire de l’argent c’est bien, le faire faire par les autres, c’est mieux… est apparu en premier sur Finance et Investissement.

Donc, nous sommes loin de mes sujets habituels. Toutefois, l’engouement et la demande pour les cryptomonnaies a été tel que je me dois de traiter le sujet et répondre à vos questions.

Les cryptomonnaies, incluant le Bitcoin, reposent toutes en majeure partie sur le principe du blockchain. C’est une architecture de chiffrement de transaction où chaque action effectuée entre deux parties représente une transaction. Chaque transaction fait partie d’un grand livre détenu par la communauté, ce qui permet d’authentifier et de reconnaître l’existence de chacune d’elles. Conceptuellement, cela paraît compliqué, mais en réalité il faut vous représenter un secret géant qui ne cesse de grandir au fil du temps. Chaque personne qui échange de l’information, « multiplie » son propre secret, celui de la transaction, auprès de tous les autres du grand livre. Rendant le secret toujours plus complexe et sécuritaire, car chiffrement, de chiffrement, de chiffrement, de chiffrement…etc.

De même, quand quelqu’un « mine » de la cryptomonnaie, il tente de découvrir à l’avance un secret futur d’une transaction qui n’a pas encore existé. S’il trouve ce secret, il le garde, se l’attribut et en se l’attribuant, cela crée une nouvelle transaction venue de nulle part, mais qui sécurise encore davantage le principe global. Ainsi, les tentatives de piratages ou de déchiffrement sauvages du secret, ou de la sécurité des transactions, deviennent des acteurs de la sécurité globale. C’est une récompense. Vous comprenez que le « minage » de cryptomonnaie rapporte de l’argent, mais devient chaque minute toujours plus complexe. Quand vous creusez un trou, la profondeur a un effet de complexité exponentiel d’effort requis : il faut creuser plus large, plus fort et plus vite pour garder le même rythme d’avancée. C’est un peu le même principe.

Est-ce que c’est rentable : Oui, mais cela dépend de votre manière de miner, du type de cryptomonnaie que vous minez, et surtout de la demande. Or, la demande explose. Alors, de plus en plus de gens et d’organisations se posent la question, et la réponse est donc OUI. Une cryptomonnaie peut disparaître, mais pas toutes en même temps. Il ne faut pas mettre ses œufs dans le même panier, c’est tout. En l’occurrence dans le même portefeuille de cryptomonnaies (le « crypto-wallet »).

Il est possible de se faire voler son portefeuille et son argent. Il est appert en effet que la monnaie n’est pas réellement traçable (autant que le « cash » à la grandeur d’un pays). Si votre portefeuille n’est pas bien sécurisé, alors vous pouvez vous le faire voler. Ce sont des données (littéralement votre cryptomonnaie) qui doivent rester uniques. Si elles sont dupliquées par un tiers, vous aurez perdu leur valeur et ne pourrez pas en faire la réclamation à aucune instance.

Si ces données ne sont pas stockées dans un portefeuille sécurisé, que votre ordinateur accédant à ces données n’est pas lui-même sécurisé, vous comprenez que vos données, donc votre cryptoargent, sera volé. J’ai déjà évoqué dans des articles précédents, les bases permettant de protéger vos machines et vos téléphones. Plus que jamais, en 2018, exigez la double authentification ou authentification à multiples facteurs, c’est-à-dire : mot de passe et autre élément de secret (par un autre moyen que votre simple mémoire) ou de changeant. Vous avez des données importantes sur le web, vous devez penser chiffrement (HTTPS), obligations contractuelles de votre fournisseur de garantir la disponibilité, intégrité et confidentialité de vos données.

L’article Cryptomonnaies : tout le monde en parle, tout le monde en veut, mais quels sont les risques ? est apparu en premier sur Finance et Investissement.

Sans forcément entrer dans les détails de ces cyberfraudes, je vais aujourd’hui écrire sur leurs impacts et sur les recommandations à observer au plus vite dans votre vie professionnelle et même personnelle.

Au travers des enquêtes, j’ai eu une prise de conscience. Les entreprises victimes de ces cyberfraudes et cyberattaques, outre la perte financière directe en dollars liée à la fraude menée par le cybercriminel, ont littéralement subi un choc. Un choc comparable à celui ressenti lors du premier cambriolage, à une crise de confiance lors d’un détournement de fonds, ou à un remaniement totalement inattendu dans la haute direction. Ces états de choc ne sont malheureusement pas quantifiables, bien qu’ils bouleversent directement la culture et les motivations individuelles de l’organisation.

Ces enquêtes m’ont aussi permis de comprendre que la cyber-assurance est un passage quasi obligé de toute activité professionnelle qui intègre l’Internet et l’informatique dans son modèle d’affaires.

Toutes ces victimes se sont posé la fameuse question du «pourquoi moi ?». La réponse est simple : chaque personne morale ou physique a une «digital persona» évaluée et définie comme plus ou moins vulnérable par les cybercriminels. C’est le cas si vous ou votre entreprise avez répondu facilement et bien volontiers à quelques sondages marketing ou à des questions sur votre fonction hiérarchique ou celle de vos collègues, ou si votre organisation a quelques identités compromises publiées sur le dark Web et qu’un scan rapide de découverte de votre site web ou de votre infrastructure TI a révélé plusieurs vulnérabilités. Alors, le cybercriminel conclura que vous êtes une cible de choix plus rentable (effort vs réussite de la cyberattaque) que votre voisin.

Ainsi, votre profil holistique de victime créé par les cyber-fraudeurs et les cybercriminels découle directement de vos comportements, pratiques et habitudes de navigation professionnels et parfois même personnels, ou de ceux de vos collègues.

Vous comprendrez que passer de l’état de cible à celui de victime est souvent lié au facteur humain et à votre capacité de réagir à «ce qui vous semble louche». Dans les enquêtes que j’ai menées, bien du dommage et de la perte financière auraient pu être évités si l’individu ciblé avait posé des questions. Cette conclusion s’applique également aux employés de la banque qui étaient la ligne ultime de défense. Bref, un bon antivirus ou antimalware ne vous protègent pas d’un excès de confiance, ils peuvent même l’aggraver. Mes clients victimes de cyberextorsion me disent parfois qu’ils n’accepteront jamais les revendications des criminels, alors que d’autres affirment que payer sera toujours plus facile. La réponse n’est pas noire ou blanche. Elle est bien grise : il faut négocier, il peut y avoir une stratégie de cyberintelligence, mais pour la définir, il faut simuler.

Vous comprenez que l’impact des cyberattaques est bien souvent humain, car elles ciblent le «nerf de notre guerre». Si vous commencez à croire qu’il vous faut agir, alors définissez une approche holistique : suis-je personnellement à risque ? Vérifiez l’état de votre identité par BreachAlarm ou Have i been pwned. Puis considérez ne pas utiliser le même mot de passe partout. Séparez le plus possible votre écosystème de données personnelles de celui de vos données professionnelles. Par exemple, s’envoyer du travail à son courriel personnel est vraiment une habitude à bannir pour des raisons contractuelles, légales et de sécurité.

En conclusion, il faut être prêt. Cela veut dire : s’ouvrir un portefeuille de cryptomonnaie à l’avance pour pouvoir réagir vite au besoin ; poser des questions et rester vigilant ; toujours obliger son interlocuteur à être recontacté à son courriel officiel ou au numéro de téléphone officiel de son organisation ; simuler des cas de cybercrises ; imaginer que des données de ses clients ont été dérobées et mettre au point un scénario de réponse.

Même si le mot «cyber» implique la technologie, l’élément différenciateur, c’est vous, vos collègues et votre vigilance.

ARTICLE TIRÉ DE LA ZONE EXPERTS

Chaque semaine sur Finance-Investissement.com

* premier directeur, services-conseils cybersécurité chez Richter

L’article Cyberfraudes et cyberattaques : les impacts sur les organisations est apparu en premier sur Finance et Investissement.

Ces enquêtes m’ont aussi permis de comprendre que la cyber-assurance est un passage quasi obligé de toute activité professionnelle qui intègre l’Internet et l’informatique dans son modèle d’affaires.

Toutes ces victimes se sont posé la fameuse question du «pourquoi moi ?». La réponse est simple : chaque personne morale ou physique a une «digital persona» évaluée et définie comme plus ou moins vulnérable par les cybercriminels. C’est le cas si vous ou votre entreprise avez répondu facilement et bien volontiers à quelques sondages marketing ou à des questions sur votre fonction hiérarchique ou celle de vos collègues, ou si votre organisation a quelques identités compromises publiées sur le dark Web et qu’un scan rapide de découverte de votre site web ou de votre infrastructure TI a révélé plusieurs vulnérabilités. Alors, le cybercriminel conclura que vous êtes une cible de choix plus rentable (effort vs réussite de la cyberattaque) que votre voisin.

Ainsi, votre profil holistique de victime créé par les cyber-fraudeurs et les cybercriminels découle directement de vos comportements, pratiques et habitudes de navigation professionnels et parfois même personnels, ou de ceux de vos collègues.

Vous comprendrez que passer de l’état de cible à celui de victime est souvent lié au facteur humain et à votre capacité de réagir à «ce qui vous semble louche». Dans les enquêtes que j’ai menées, bien du dommage et de la perte financière auraient pu être évités si l’individu ciblé avait posé des questions. Cette conclusion s’applique également aux employés de la banque qui étaient la ligne ultime de défense. Bref, un bon antivirus ou antimalware ne vous protègent pas d’un excès de confiance, ils peuvent même l’aggraver. Mes clients victimes de cyberextorsion me disent parfois qu’ils n’accepteront jamais les revendications des criminels, alors que d’autres affirment que payer sera toujours plus facile. La réponse n’est pas noire ou blanche. Elle est bien grise : il faut négocier, il peut y avoir une stratégie de cyberintelligence, mais pour la définir, il faut simuler.

Vous comprenez que l’impact des cyberattaques est bien souvent humain, car elles ciblent le «nerf de notre guerre». Si vous commencez à croire qu’il vous faut agir, alors définissez une approche holistique : suis-je personnellement à risque ? Vérifiez l’état de votre identité par BreachAlarm ou Have i been pwned. Puis considérez ne pas utiliser le même mot de passe partout. Séparez le plus possible votre écosystème de données personnelles de celui de vos données professionnelles. Par exemple, s’envoyer du travail à son courriel personnel est vraiment une habitude à bannir pour des raisons contractuelles, légales et de sécurité.

En conclusion, il faut être prêt. Cela veut dire : s’ouvrir un portefeuille de cryptomonnaie à l’avance pour pouvoir réagir vite au besoin ; poser des questions et rester vigilant ; toujours obliger son interlocuteur à être recontacté à son courriel officiel ou au numéro de téléphone officiel de son organisation ; simuler des cas de cybercrises ; imaginer que des données de ses clients ont été dérobées et mettre au point un scénario de réponse.

Même si le mot «cyber» implique la technologie, l’élément différenciateur, c’est vous, vos collègues et votre vigilance.

L’article Cyberfraudes et cyberattaques : les impacts sur les organisations est apparu en premier sur Finance et Investissement.

Qu’est-ce que cela veut dire ? Dans mes précédents articles, je vous parlais de l’Eldorado qu’étaient nos données privées pour les cybercriminels.

En effet, l’anonymat n’existant pas réellement sur Internet, il est plus simple pour un criminel d’usurper l’identité numérique d’une personne lambda pour effectuer des actions illégitimes. Ainsi, les données de santé et les données financières sont celles qui sont les plus ciblées, mises à la vente sur le Darkweb et les plus prisées par ces cybermalfaiteurs.

Il me semble important de rappeler que ce n’est pas la taille d’une entreprise qui détermine sa valeur, mais bien les données qu’elle contient : les données des employés, des clients, des partenaires, les données bancaires, de facturation, de paie, etc. On est bien loin de l’ancienne compréhension que seules les entreprises qui stockent ou gèrent des données de cartes de crédit ou de la propriété intellectuelle secrète sont visées. Toute entreprise est une cible intéressante.

Ainsi, une entreprise disposant d’une équipe informatique, voire d’une équipe de cybersécurité, sera moins intéressante à attaquer qu’une fintech qui, certes est technologiquement avancée, mais n’a pas forcément les moyens d’appliquer les meilleures pratiques de sécurité. Ces mêmes fintechs se serviront de leurs clients, prospects ou partenaires d’affaires pour tester leur prototype de nouveau portail, d’application web ou mobile en créant des projets « pilotes » sur des données réelles et confidentielles. Une véritable aubaine pour ces pirates qui peuvent s’attaquer à des données financières, bancaires ou patrimoniales sans se soucier des protections et surveillances de cybersécurité maintenant devenues monnaie courante au sein de banques. Il s’agit des mêmes types de données, mais plus accessibles, et plus simples à aller chercher.

Ces mêmes fintechs ne sont pour l’instant pas trop inquiétées par les régulateurs d’un point de vue risques et obligations opérationnelles liées à leurs actif technologique. Les courtiers non plus d’ailleurs. Cela s’explique par le peu de moyens disponibles pour forcer la régulation et vérifier la conformité de ces organisations, souvent jugées trop complexes.

Pourtant en 2017, il est simple de se protéger correctement à l’aide de produits de sécurité « open source ». Il est possible de faire son « due care » et « due diligence » de cybersécurité, sans entrer dans des investissements de temps et de ressources inconsidérés. L’hygiène de sécurité est faisable pour tous, depuis les courtiers indépendants jusqu’aux fintechs, en passant par nous-mêmes en tant qu’individus. C’est une question de volonté.

Nous pouvons tous mettre en place ces outils de surveillance, de protection et de suivi de cybersécurité en 2017. Je ne dis pas que ces outils « open source » présentent toutes les mêmes fonctionnalités et la même efficacité que des outils commerciaux. Toutefois, leur utilisation initiale couvrira le 80/20 de vos besoins. En plus d’être le suivi de bonnes pratiques initiales organisationnelles, ces initiatives pourraient présenter un avantage concurrentiel certain.

L’article Les « fintechs » sont des cyber-cibles assez faciles est apparu en premier sur Finance et Investissement.

Au travers des enquêtes, j’ai eu une prise de conscience. Les entreprises victimes de ces cyberfraudes et cyberattaques, outre la perte financière directe en dollars liée à la fraude menée par le cybercriminel, ont littéralement subi un choc. Un choc comparable à celui ressenti lors du premier cambriolage, à une crise de confiance lors d’un détournement de fonds, ou à un remaniement exécutif totalement inattendu. Ces états de choc ne sont malheureusement pas quantifiables, bien qu’ils affectent directement la culture et les motivations individuelles de l’organisation.

Ces enquêtes m’ont aussi permis de comprendre que la cyberassurance est, en 2017, un passage quasi obligé de toute activité professionnelle qui intègre l’Internet et de l’informatique dans son modèle d’affaires.

Toutes ces victimes se sont posées la fameuse question du « pourquoi moi ». La réponse est simple : chaque personne morale ou physique a une « digital persona » évaluée et définie comme plus ou moins vulnérable par les cybercriminels. C’est le cas si vous ou votre entreprise avez répondu facilement et bien volontiers à quelques sondages marketing, ou à des questions sur votre fonction hiérarchique ou celle de vos collègues, ou que votre organisation a quelques identités compromises publiées sur le Darkweb et que lors d’un scan rapide de découverte de votre site web ou de votre infrastructure TI, plusieurs vulnérabilités ont été identifiées. Alors le cybercriminel conclura que vous êtes une cible de choix plus rentable (effort vs réussite de la cyberattaque) que votre voisin.

Vous comprenez donc que votre profil holistique de victime créé par les cyberfraudeurs et les cybercriminels découle directement de vos comportements, pratiques et habitudes de navigation professionnels et parfois même personnels, ou de ceux de vos collègues.

Vous comprendrez que passez de l’état de cible à celui de victime est souvent lié au facteur humain et à votre capacité d’interpeler « ce qui vous semble louche ». Dans les enquêtes que j’ai menées, bien du dommage et de la perte financière auraient pu être évités si l’individu ciblé avait posé des questions. Cette conclusion s’applique également aux employés de la banque qui étaient la dernière ligne ultime de défense. Bref, un bon antivirus ou anti-malware ne vous protège pas d’un excès de confiance, voire même ils l’aggravent. Mes clients victimes de cyberextorsion me disent parfois qu’ils n’accepteront jamais les revendications des criminels, alors que d’autres me disent que payer sera toujours plus facile. La réponse n’est pas noire ou blanche. Elle est bien grise : il faut négocier, il peut y avoir une stratégie de cyberintelligence, mais pour l’identifier il faut simuler.

Vous comprenez que l’impact des cyberattaques est bien souvent humain, car elles ciblent le « nerf de notre guerre ». Si vous commencez à croire qu’il vous faut agir, alors définissez une approche holistique : suis-je personnellement à risque ? Vérifiez l’état de votre identité via BreachAlarm ou Haveibeenpwned. Puis, considérez de ne pas utiliser le même mot de passe partout. Séparez le plus possible votre écosystème de données personnelles de celui qui est professionnel. Par exemple, s’envoyer du travail sur votre courriel personnel est vraiment une habitude à bannir pour des raisons contractuelles, légales et de sécurité.

En conclusion, il faut être prêt. Cela veut dire : s’ouvrir un portefeuille de cryptomonnaie à l’avance pour pouvoir réagir vite au besoin. Poser des questions et rester vigilant. Toujours obliger votre interlocuteur à être recontacté sur le courriel officiel ou sur le numéro de téléphone officiel de son organisation. Simuler des cas de cybercrises. Imaginer que des données de vos clients ont été dérobées, et identifier un scénario de réponse. Vous comprenez que même si le mot « cyber » implique la technologie, l’élément différenciateur, c’est vous, vos collègues et votre vigilance.

L’article Cyberfraudes et cyberattaques : les impacts sur les organisations est apparu en premier sur Finance et Investissement.