Accueil

L'Association des professionnels de la finance au service des entreprises de Rhône-Alpes

Accès membres

Contact

LinkedIn

Identificationx

Devenir membre

Actualités / Agenda

La Vigie - Veille et détection régionale des nouveaux risques

  • Newsletter n°1

    PUBLIÉ LE 27.03.2015

     

     

     

     

     


    ___Newsletter n°1 - Mars 2015
    __
     
    Au sommaire... 
     
    La Vigie... QUESACO ?
     
    Gérer les nouveaux risques, bien sûr… encore faut-il être alertés de leur existence !
     
    Cette news est là pour ça :
    - vous sensibiliser sur des thématiques qui vous concernent ;
    - vous apporter des conseils et des bonnes pratiques ;
    - faire appel à vos contributions dans une dynamique collective.

    Une initiative lancée par des organisations régionales, au service des entreprises. 
     
    Signaler un nouveau risque

    Dominique TakizawaÉdito
    Les risques émergents : être vigilants ensemble

     
    Toute activité s’appuie sur une prise de risques choisis ou perçus par le chef d’entreprise même s’il n’a pas mis en place une démarche structurée de gestion des risques. LPFT associe des acteurs de la place et des entreprises pour sensibiliser et accompagner les dirigeants pour une maîtrise des risques partagée par toute l’entreprise.
    Toutefois, les démarches "classiques" ne permettent pas toujours de prendre en compte les risques émergents. Les solutions pour y répondre doivent souvent être créées au cas par cas, et parfois dans l’urgence. De ce constat est née l’idée de construire un réseau d’alerte et d’information sur ces nouveaux risques : cette 1° news en marque la fondation, en complément de la conférence organisée fin janvier sur le thème des cyber risques.

    L’équipe créée autour de Gaëlle Larcheveque, animatrice du projet "Vigie des risques", compte sur vous tous pour faire de cette initiative un succès commun : merci de diffuser largement cette news.

    A chacun d’être VIGILANT, d’être ACTEUR pour faire remonter des expériences et des conseils pour éviter que les mêmes causes nuisent à d’autres.

    Nous sommes à votre écoute !

    Dominique Takizawa, leader du cycle gestion du risque de LPFT

    Ne passez pas à côté de l'actu !

     

    Depuis le début de l’année 2015, le Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques (CERT) a signalé une recrudescence de messages électroniques malveillants incitant l'utilisateur à installer un rançongiciel (ou ransomware) sur son poste.
    Ce type de programme rend inaccessible les fichiers de l’utilisateur (ex : "Mes documents", "Mes images") mais également peut atteindre les partages réseaux ouverts à l’utilisateur, ce qui peut être encore plus dommageable.
    Les fichiers atteints par ces rançongiciels sont chiffrés ce qui signifie que l’utilisateur ne peut accéder à ces fichiers qu’en échange d’une rançon pour obtenir la clé de déchiffrement ; ceci sous forme de chantage.
    Ce type d’infection est souvent contenu dans un courriel frauduleux imitant la réception d’un fax ou incitant l’utilisateur à ouvrir une pièce jointe, un fichier zip par exemple.
    Le versement de la rançon à l'attaquant ne garantit ni le déchiffrement des fichiers ni la sécurité des moyens de paiement utilisés. Il peut notamment entraîner l'installation de maliciels supplémentaires sur le poste utilisé.
     
    Le CERT rappelle ainsi quelques gestes de prudence :
    • les pièces jointes insérées dans des emails provenant d’émetteurs inconnus ou accompagnant des emails avec des fautes d’orthographe doivent éveiller l’utilisateur afin de ne pas les ouvrir,
    • sauvegarder ses données sur un serveur de fichiers,
    • se connecter par un VPN (tunnel sécurisé) si possible,
    • la mise à jour des bases de signatures d'anti-virus et de passerelles de messagerie ;
     
    Si vous êtes victime, quelques premières actions :
    • isoler au plus vite le poste compromis du réseau,
    • identifier le message malveillant et rechercher d'éventuelles copies envoyées à d'autres destinataires afin de les supprimer,
    • bloquer sur le serveur l'accès aux domaines ou URLs identifiés dans le message malveillant,
    • reformater le poste et réinstaller un système sain ;
     
    Vous trouverez toutes les informations détaillées ici 
     
    Le chef d’entreprise, victime…
    mais aussi responsable pénalement
    Le constat est largement partagé le chef d’entreprise sera la principale victime en cas d’attaque de ses systèmes d’information. Mais ce n'est pas tout : les victimes collatérales ou le législateur peuvent aussi intervenir pour le mettre en cause ! En effet, une attaque pourra avoir des effets sur l’activité des clients, sur la diffusion de données personnelles ou encore sur la réputation de l’entreprise.
    Comment se prémunir ? Au chef d’entreprise de s’assurer de la mise en place de systèmes de protection efficaces et actualisés contre la menace :
    • en se conformant en premier lieu à la loi Informatique et libertés,
    • sans oublier les déclarations essentielles à la CNIL,
    • et en mettant en place un Correspondant Informatique et Libertés (CIL) ou une personne responsable du traitement des données..
    Le chef d'entreprise est généralement considéré comme le responsable du traitement des données personnelles, car c'est lui qui détermine la politique de gestion des traitements des données. Sa responsabilité pénale sera donc engagée en cas d'infraction à la loi Informatique et Libertés commise par l'un de ses salariés, dans l'hypothèse, par exemple, où il n'aurait pas pris les mesures de sécurité suffisantes pour éviter la perte de données personnelles. Il est donc essentiel que le chef d’entreprise s’entoure des compétences dans ce domaine ou fasse appel à des organismes (publics ou privés) spécialisés.
    Le cyber-risque existe d’abord en interne, comment s’en prémunir ?
    Durant la dernière décennie, tout a été mis en œuvre techniquement pour protéger l’entreprise de la menace externe. Pare-feu, anti-virus et autres produits de sécurité protègent des attaques extérieures, mais ces systèmes sont très peu efficaces vis-à-vis de la menace interne, celle qui provient des collaborateurs malveillants, indisciplinés ou tout simplement peu sensibilisés. Meilleure parade contre cette menace interne... une politique de sécurité adoptée et sponsorisée par la Direction Générale :
    • Basée d’une part sur une analyse des risques informatiques pouvant sérieusement impacter la vie d’une entreprise,
    • et d’autre part sur la classification des données critiques composant le système informationnel,
    • cette politique doit se décliner auprès des collaborateurs via une charte de bon usage des outils informatiques. Un document qui ne doit pas être technique afin d’être compréhensible des utilisateurs du système d’information et parfaitement adapté à l’environnement des collaborateurs.
    • Impératif : l’accompagner d’une forte sensibilisation aux enjeux et aux menaces liés au contexte de l’entreprise.
    On réduit alors l'exposition aux vulnérabilités en associant ses collaborateurs à la démarche globale de sécurité, renforçant ainsi la détection, la mitigation et le traitement du risque informatique en interne.
    Liens utiles pour aller plus loin...
     
    Retrouvez d'autres fiches pratiques sur le thème de la sécurité informatique sur le site de l'ENE.
    Share
    Tweet
    Forward
     

    Cette newsletter a été rédigée par : Denis Chatain - Directeur du service Information & Accompagnement, ENE ; Gaëlle Larcheveque - Directeur Contrôle interne et audit, April ; Xavier Mary - Directeur du Management des Risques, Aéroports de Lyon ; Yves Raisin - Responsable de la Protection des Données à Caractère Personnel, BioMérieux


    PARTENAIRES 
    logo AMRAE logo APRIL logo CGPME Logo ENE
     
    logo FFSA logo LPFT logo MEDEF