Nos services

jeudi 18 octobre 2018

BIMI : un sceau sur vos e-mails!

“Brand Indicators for Message Identification” (BIMI) est un nouveau standard qui facilitera l'identification de l'émetteur d’un e-mail.

BIMI coordonne les éditeurs de messageries électroniques et les propriétaires de noms de domaine pour permettre à ces derniers d'afficher leurs logos directement au niveau de la boite e-mail de leurs clients, c’est-à-dire, à côté du nom de l’émetteur :





Ce standard n’est ouvert qu’aux noms de domaine protégés par le protocole d'authentification des e-mails DMARC (configurés en mode « quarantaine » or « rejet »). Par conséquent, non seulement le consommateur identifiera plus rapidement l'émetteur d’un e-mail grâce au logo mais sera également assuré grâce à DMARC de l'authenticité de cet e-mail.

Pour les marques, l'implémentation de BIMI sera une opportunité de protéger leurs identités par e-mail (lutte contre le « phishing ») et d'accroître la portée et la visibilité de leurs logos. Ces logos n'étant intégrés qu’aux e-mails authentifiés par DMARC, la confiance des consommateurs dans leurs marques sera également renforcée.

Les équipes marketing pourront se servir de BIMI pour afficher différents logos en fonction de la période de l’année ou même du type de message. Des communications personnalisées permettant de mieux capter l’attention des personnes ciblées lors de la réception d'un e-mail.

Ce standard est toujours en phase de test chez les grands fournisseurs de boites e-mails (Google, Microsoft, Yahoo etc.…). Plusieurs de ces fournisseurs affichent déjà des logos pour un nombre restreint de sociétés participantes aux tests (LinkedIn, Air Canada, Bank of America…).

BIMI devrait être disponible au public dans le courant de l'année 2019. Les sociétés qui envoient beaucoup d’e-mails, avec de multiples noms de domaine et systèmes d‘envoi, ne devraient donc pas trop attendre pour implémenter DMARC.

Pour en savoir plus sur comment implémenter DMARC et BIMI rendez-vous à ce lien

Des questions concernant cet article ?

N’hésitez pas à laisser un commentaire pour en faire profiter tout le monde.

Vous pouvez aussi nous joindre à ce courriel : info@oppidumsecurity.com

Ou nous parler via notre site internet :

https://oppidumsecurity.com/

vendredi 28 septembre 2018

Clause antiphishing dans les contrats

Les organisations sont de plus en plus touchées par les attaques de phishing.

Si bien que certaines ont décidé de se protéger contractuellement de leurs propres clients et partenaires: Si ces derniers ne protègent pas leurs communications e-mail alors ils seront tenus responsables légalement des conséquences liées à une attaque par e-mail réussie.


Extrait d’un contrat immobilier :




Que faire pour protéger ses communications e-mail et éviter les représailles légales ?


Ces articles vous apporteront des pistes d’améliorations :


Stopper les attaques par usurpation d’adresses e-mail avec DMARC :

http://blog.oppidumsecurity.com/2016/04/securite-des-emails-comment-les-hackers.html


Filtrer les pièces jointes dangeureuses :

http://blog.oppidumsecurity.com/2016/12/securisations-des-courriels-les-pieces.html


Filtrer les liens malicieux contenus dans les e-mails :

http://blog.oppidumsecurity.com/2016/05/faire-face-aux-attaques-ciblees-les.html


Des questions concernant cet article ?

N’hésitez pas à laisser un commentaire pour en faire profiter tout le monde.

Vous pouvez aussi nous joindre à ce courriel : info@oppidumsecurity.com

Ou nous parler via notre site internet : https://oppidumsecurity.com/

lundi 10 septembre 2018

Suffit-il de sécuriser votre entreprise avec un firewall / pare-feu ?


Le terme « firewall » ou « pare-feu » en français est très connu du grand public. Abusant de cette notoriété les départements marketing des compagnies de sécurité ont réussi à « implanter » dans l’esprit de certains décideurs l’idée qu’une organisation protégée par un firewall était de facto « sécurisée ».

Cependant, la seule utilisation d’un firewall pour sécuriser votre organisation peut vous procurer un faux sentiment de sécurité. En effet, un firewall n’est qu’un outil parmi d’autres pour sécuriser votre organisation.

A quoi sert un firewall ?

Un firewall a pour tâche d’autoriser ou de refuser des connexions vers des systèmes et applications en fonction de l’origine de la personne qui tente de s’y connecter.

Par exemple, votre firewall peut être installé entre internet, votre serveur web et sa base de données. Le firewall sera généralement configuré pour autoriser les connexions internet vers votre serveur web mais rejettera toute connexion directe à votre base de données depuis internet.

Or, un firewall à lui seul ne pourra reconnaitre un utilisateur légitime souhaitant consulter votre site internet d’un pirate tentant de l’attaquer. Le seul but d’un firewall est d’autoriser ou de refuser des communications entre deux zones réseaux et donc de limiter les services (ex: base de données) qui peuvent être exposés aux pirates informatiques sur internet.




Certes, certains firewalls sont capables d’analyser le contenu des communications réseaux entre deux systèmes afin d’y détecter des attaques, mais ces mécanismes de détection ne sont pas toujours fiables. Leurs capacités de détection sont généralement bonnes face aux attaques opportunistes qui visent des milliers d’organisations mais sont souvent facilement contournables par des pirates informatiques moyens décidant d’attaquer une organisation en particulier.

Enfin, un firewall à lui seul n’est pratiquement d’aucune utilité pour combattre les scénarios d’attaques qui visent vos utilisateurs et qui menacent réellement votre entreprise comme les attaques de phishing (70% des attaques réussies en 2017 contre des gouvernements ont été initiées par un e-mail. Rapport Verizon DBIR 2018) et les virus informatiques.



En effet, la plupart des firewalls ne sont jamais configurés pour interdire les communications internet initiées par les utilisateurs eux mêmes depuis leurs navigateurs internet (si ces communications étaient interdites, vos utilisateurs ne pourraient pas consulter internet). De ce fait un firewall n'empêchera pas un utilisateur de visiter des sites dangereux pouvant infecter son ordinateur. Il n’empêchera pas non plus un "Virus/Trojan" de contacter les serveurs de contrôle à distance appartenant aux pirates informatiques.

D’autres solutions de sécurité sont spécialement conçues pour détecter et stopper ces vecteurs d’attaques : les « antispams » et les « antivirus ».

Il est important de conclure cet article en rappelant qu’aucune solution de sécurité à elle seule ne pourra protéger votre organisation des risques « Cyber » actuels. La protection d’une organisation passe par une compréhension profonde de ses activités, de ses systèmes et par la définition et la mise en place d’une stratégie de cybersécurité adaptée.

Cette stratégie devra à minima intégrer les composantes suivantes :

  • Gestion des accès 
  • Gestion des vulnérabilités 
  • Gestion des incidents 
Des questions concernant cet article ?

N’hésitez pas à laisser un commentaire pour en faire profiter tout le monde.

Vous pouvez aussi nous joindre à ce courriel : info@oppidumsecurity.com

Ou visiter notre site internet :

https://oppidumsecurity.com/

jeudi 23 août 2018

RGPD : que faire concrètement?

Le 25 mai 2018 est entré en vigueur un nouveau règlement visant à mieux protéger les données à caractère personnel des personnes vivant dans l’union européenne : Le Règlement européen sur le traitement des données personnelles (RGPD).

Rappelons que selon la Loi Informatiques et Libertés (LIL), une donnée à caractère personnel est définie comme « toute information relative à une personne physique identifiée ou pouvant être identifiée, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres ».

Le RGPD a un impact direct sur la manière dont les organisations collectent, traitent et sauvegardent les données à caractère personnel au sein de leurs systèmes d’information.

En effet, des mesures techniques et organisationnelles appropriées doivent être mises en place pour offrir le plus haut niveau possible de protection aux données personnelles. C’est ce qu’on appelle le principe de “privacy by design” qui est l’une des notions centrales du RGPD.

Nous vous présentons dans cet article une méthodologie qui vous permettra d’intégrer le principe RGPD du “privacy by design” au sein de vos systèmes d’information afin de les rendre conforme « RGPD ».

Méthodologie pour rendre conforme « RGPD » vos systèmes d’information

1- Créer un registre des traitements :

Le RGPD demande la tenue d’un registre des traitements de données personnelles :

https://www.cnil.fr/sites/default/files/atoms/files/registre_rgpd_basique.pdf

Ce registre sert à documenter les activités pour lesquelles vous traitez des données personnelles.

Pour chaque activité vous y décrirez la nature de l’activité (ex : Gestion des prospects), l’objectif poursuivi lors du traitement des données personnelles (ex : Organisation des campagnes marketing), le type de personnes dont vous collectez ou utilisez les données (ex : clients, abonnés à une lettre d’information, etc.) et la manière dont vous recevez leurs accords pour le traitement de leurs données personnelles, la nature des données personnelles collectées (ex : Etat-civil, situation familiale, etc.), la durée de conservation des données (ex : 1 an), les personnes pouvant accéder à ces données (ex : vendeurs, service marketing, direction informatique, etc.) et enfin les mesures de sécurité mises en place pour protéger les données personnelles (antivirus, surveillance des incidents, etc.)

A ce stade, si vous identifiez que des données personnelles sont conservées sans objectif particulier ou sans accord des personnes concernées alors il faudra les détruire. En effet, tout traitement de données personnelles doit vous aider à poursuivre un objectif identifié et approuvé par les personnes dont vous traitez les données personnelles.

La tenue de ce registre est obligatoire car il permet de faciliter le travail d’un inspecteur en cas de contrôle de la bonne application du RGPD au sein de votre organisation.

2- Réaliser un «data privacy impact assessment» :

Une fois la liste des activités documentées dans le registre, il faudra vous assurer que ces activités s'accompagnent de mesures de sécurité permettant de maintenir un haut niveau de protection de ces données.

Pour ce faire, le RGPD demande aux organisations traitant des données à caractère personnel de réaliser un «data privacy impact assessment» (DPIA). Réalisée par les responsables de traitements, cette évaluation a pour but de recenser les risques engendrés par le traitement de données afin de déterminer les moyens adéquats pour les réduire.

Le DPIA peut se décomposer en trois étapes :

a- Pour commencer, il vous faut cartographier les données personnelles tout au long de leur cycle de vie : saisie, traitement, stockage, destruction. A chaque stade de leur cycle de vie vous devez être en mesure de savoir où sont situés ces données personnelles dans vos systèmes d’information et qui peut les consulter.

b- Ensuite, il vous faudra réaliser une analyse de risque afin d’identifier les risques pouvant impacter la confidentialité de ces données. Cela passe par une analyse des risques organisationnels et des risques de cybersécurité.

c- Enfin, connaissant les risques encourus par ces données personnelles, il vous faudra définir les moyens à mettre en place pour garantir un haut niveau de protection de ces données.

Vous l’aurez compris réaliser un «data privacy impact assessment» (DPIA) nécessite une bonne compréhension du cycle de vie de vos données. Pour que les risques Cyber ne soient pas négligés, n'étant pas toujours bien compris par les organisations, cette évaluation requiert l’intervention de professionnels de la sécurité informatique.

3- Protéger ses données personnelles :

Chaque registre de traitement se termine par l’obligation pour la personne morale de décrire les mesures de sécurité 

organisationnelles et techniques qui ont été mises en place pour préserver la confidentialité des données. Les responsables de traitement doivent y décrire les dispositifs de contrôle instaurés pour protéger les données personnelles.

Le registre de traitement proposé par la CNIL aborde ces 6 grandes catégories de contrôles :

- Contrôle d'accès des utilisateurs (exemples de contrôles possibles : Document décrivant la liste des personnes habilitées à consulter des données et leurs droits dans les systèmes, Revue périodique des accès, Authentification à double facteurs pour accéder aux données critiques, Changement des mots de passe périodique, Analyse des connexions anormales, etc.)

- Mesures de traçabilité (exemples de contrôles possibles : Chaque consultation et copie de donnée est enregistré, Analyse périodique des accès anormaux, etc.)

- Mesures de protection des logiciels (exemples de contrôles possibles : antivirus, mises à jour et correctifs de sécurité, tests de sécurité, etc.)

- Sauvegarde des données (exemples de contrôles possibles : les sauvegardes sont entreposées dans un centre sécurisé, les sauvegardes sont détruites au bout de 1 an, etc.)

- Chiffrement des données (exemples de contrôles possibles : Chiffrement des disques durs, des fichiers, des communications de données personnelles, etc.)

- Contrôle des sous-traitants (exemple de contrôle possible : Revue périodique du niveau de sécurité des sous-traitants, etc.)

La sélection des contrôles à mettre en place doit être en accord avec l’analyse de risque réalisée lors du «data privacy impact assessment» (DPIA).

Vous l’aurez compris, pour être une réussite, la mise en conformité de vos systèmes d’information avec le RGPD est un travail pluridisciplinaire qui doit être entrepris en collaboration avec vos équipes d’affaire, vos informaticiens et un expert en cybersécurité.

Nous espérons que cet article vous sera utile et nous tenons à votre disposition pour répondre à toutes les questions que vous vous posez concernant la protection de vos données personnelles.

Des questions concernant cet article ?

N’hésitez pas à laisser un commentaire pour en faire profiter tout le monde.

Vous pouvez aussi nous joindre à ce courriel : info@oppidumsecurity.com

Ou nous parler via notre site internet :

https://oppidumsecurity.com/

mardi 21 août 2018

Paiements par carte de crédit et standard PCI-DSS : Que faire concrètement?

Si votre organisation accepte des paiements par carte de crédit, réceptionne, traite ou conserve des informations de cartes de crédit alors elle doit respecter le standard PCI-DSS qui encadre la sécurité des paiements par carte de crédit. 

Pour une entreprise traitant moins de 6 millions de transactions par carte de crédit, la mise en conformité avec le standard PCI-DSS peut se faire en 4 étapes :

1- La première étape consiste à réaliser une cartographie des personnes, applications et systèmes ayant un contact avec des informations de cartes de crédit.

2- La seconde étape consiste à sélectionner le questionnaires d’auto-évaluation « SAQ » qui correspond à votre manière de travailler avec les informations de cartes de crédit :




La liste des SAQ est disponible ici : https://www.pcisecuritystandards.org/document_library?category=saqs#results

Il est conseillé de se faire assister lors de la sélection d’un SAQ et de valider ce choix avec l’organisme qui gère vos paiements par carte de crédit (banques, fournisseurs de solutions de paiement).

3- La troisième étape, sera de mettre votre organisation en conformité avec le standard PCI-DSS. Pour ce faire, les personnes, applications et systèmes cartographiés à l’étape 1, ainsi que les systèmes pouvant communiquer avec ces applications/systèmes, devront respecter les contrôles dictés dans le formulaire d’auto-évaluation PCI-DSS « SAQ » sélectionné à l’étape 2. A ce stade, l’intervention d’un professionnel est vivement conseillée afin de réduire le champ d’application du standard PCI-DSS. Sans quoi l’organisation entière risque de devoir se conformer aux contrôles dictés par le standard. Ce qui peut être inutilement long et coûteux.

4- La dernière étape sera la complétion du formulaire SAQ d’auto-évaluation et sa soumission aux établissements bancaires et clients qui vous demanderont ce rapport. 

Pour aller plus loin :

Le site du standard PCI DSS :

https://www.pcisecuritystandards.org

Liste des questionnaires d’auto-évaluation (SAQ) : https://www.pcisecuritystandards.org/document_library?category=saqs#results

Framework vous permettant de bien « scoper » les systèmes/applications/utilisateurs qui devront respecter le standard PCI-DSS :
https://www.isaca.org/Groups/Professional-English/pci-compliance/GroupDocuments/OpenPCIScopingToolkit.pdf

Des questions concernant cet article ?

N’hésitez pas à laisser un commentaire pour en faire profiter tout le monde.

Vous pouvez aussi nous joindre à ce courriel : info@oppidumsecurity.com

Ou nous parler via notre site internet :

https://oppidumsecurity.com/