Veille Cyber N157 – 26 novembre 2017

ImageVeilleLG

CyberStratégie – CyberDéfense – CyberSécurité

Lettre Cyber 157

Alors, quoi de neuf dans l’actualité cyber de la semaine du 20 au 26 novembre 2017 …

… je n’aurais pas voulu évoquer le vol des données personnelles de 56 millions de clients et de 600 000 chauffeurs dont la Société Uber a été victime … l’année dernier pour l’avouer seulement cette semaine, mais il réunit la plupart des manquements graves à l’origine des cyberattaques qu’on ne peut pas le laisse passer tant ce sont des cas d’école ; Et, Uber a tout fait pour figurer désormais en bonne place dans ce « palmarès » …

… erreurs, négligences humaines et vulnérabilités de solutions informatiques se sont conjuguées encore une fois pour rendre l’attaque possible et … aisément « faisable ». Une solution cloud, des données sensibles non chiffrées, protégées par une identification hébergée sur une plateforme de partage GitHub et, le tour est joué. Et ça ne s’arrête pas là …

.. la volonté de dissimuler la violation de données en particulier aux personnes victimes de ce vol de données personnelles et aux autorités intéressées avec, cerise sur le gâteau, le versement d’une rançon aux attaquants contre la promesse qu’ils détruiraient les informations volées, et c’est ainsi que … les dirigeants de Uber ont créé une affaire exemplaire de ce qu’il ne faut pas faire, une affaire dont les entreprises doivent tirer toutes les leçons, particulièrement dans la perspective de l’arrivée du règlement européen sur la protection des données personnelles (RGPD) fin mai 2018, « qu’il ne faut pas voir comme un couperet en 2018 », contrairement à ce que laissent entendre nombre d’articles et d’analyses sur le sujet

En effet, le règlement prévoit notamment l’obligation de notifier ce type d’incident, les violations de données à caractère personnel, à une autorité réglementairement compétente, en France, la CNIL, bien sûr, sous peine de se voir appliquer une sanction pouvant atteindre 10 millions d’€ ou 2 % du chiffre d’affaires annuel mondial.

Mais, ce n’est pas pour autant, il faut le souligner, que le RGPD est un instrument « pour punir les entreprise » comme certains le considèrent.

Il doit seulement permettre de dissuader des organisations comme Uber de se soustraire à leurs responsabilités en matière de sécurité et de confidentialité des informations. Il satisfait une démarche d’intérêt public tout en préservant, parfois malgré elle (?), les entreprises des risques attachés à ce type d’attaques, coûts financiers, altération d’image, perte de confiance …

La Société Uber a juré, mais un peu tard, qu’on ne l’y prendra plus. Souhaitons que ce ne soit pas une fable et, avant tout, que cette affaire participe à la réflexion des dirigeants d’entreprises sur leurs responsabilités dans le domaine ; elle vient s’ajouter aux cyberattaques majeures récentes qui ont marqué ces derniers mois et que l’on n’a pas manqué déjà d’évoquer dans la lettre.

Bien sûr, vous trouverez dans celle de cette semaine des articles sur le sujet, mais aussi, comme chaque semaine, beaucoup plus …

faits, études, chroniques et opinions, référentiels, séquences audio, séquences vidéo … selon vos centres d’intérêt, personnels ou professionnels, je vous laisse découvrir l’actualité de la semaine, dans ces domaines essentiels que sont désormais … la CyberStratégie, la Cyberdéfense et la CyberSécurité … sans prétention à l’exhaustivité, bien évidemment.

 

Une bonne semaine à vous.

Sans oublier que je reste à l’écoute de vos commentaires et de vos observations guillet.lionel@gmail.com.

Je rappelle que la lettre est découpée en séquences sur la semaine avec reprise des rubriques utilisées pour chaque séquence. Sans être sûr d’y parvenir, le but est de classer quelque peu l’information si dense et si fournie qui nous est proposée.

Ce qui a retenu mon attention dans l’actualité de cette semaine

21 novembre 2017. Wiko : Allo, la Chine ? Passez-moi Alibaba – Des cyber-prédictions 2018 – Un rapport d’évaluations au sein de l’UE de la prévention et de la lutte contre la cybercriminalité …

A(ré)couter – A (re)voir

Informations

En management de la sécurité de l’Information

RGPD / GDPR. Le règlement européen sur la protection des données

Les problématiques des (r)évolutions numériques en cours

Des nouvelles du CyberFront

Matière à réflexions

Études, enquêtes et référentiels

Séminaires – Conférences – journées …

23 novembre 2017. Un logiciel d’analyse d’impact sur la vie privée (PIA) de la CNIL – Uber a des fuites – Cybersécurité et transport aérien …

A(ré)couter – A (re)voir

Informations

En management de la sécurité de l’Information

RGPD / GDPR. Le règlement européen sur la protection des données

Les problématiques des (r)évolutions numériques en cours

Des nouvelles du CyberFront

Matière à réflexions

Études, enquêtes et référentiels

Séminaires – Conférences – journées …

26 novembre 2017. Alerte « Mise en conformité RGPD » de la CNIL – Piratage d’Uber, les questions – Transposition de la directive NIS, projet de loi en ligne …

A(ré)couter – A (re)voir

Informations

En management de la sécurité de l’Information

RGPD / GDPR. Le règlement européen sur la protection des données

Les problématiques des (r)évolutions numériques en cours

Des nouvelles du CyberFront

Matière à réflexions

Études, enquêtes et référentiels

Séminaires – Conférences – journées …

À votre disposition pour recueillir vos observations, suggestions et commentaires sur cette information guillet.lionel@gmail.com

2 commentaires sur “Veille Cyber N157 – 26 novembre 2017

Votre commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l’aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google

Vous commentez à l’aide de votre compte Google. Déconnexion /  Changer )

Image Twitter

Vous commentez à l’aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l’aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s