Attaques de systèmes d’information : Menaces et solutions

PARTAGER

Facebook
Email
WhatsApp

Les PME et ETI intègrent de mieux en mieux la nécessité absolue de se protéger efficacement contre les attaques de systèmes d’information. En effet, les vols de données, de temps de calcul, les attaques par déni de services ou encore le cryptojacking se répandent de manière inquiétante. Alors quelles solutions ? Essayons d’y répondre.

Par Franck Boccara

Ces attaques de systèmes d’information ont toujours des motivations financières et ce n’est pas nouveau, cependant nous faisons face ces derniers temps à de nouvelles menaces telles que le cryptojacking (ou vol de la puissance de calcul). celui-ci est né du succès des monnaies électroniques et notamment du Bitcoin, qui nécessitent une importante puissance de calcul distribuée pour le « minage », c’est à dire le procédé de sécurisation des transactions de la monnaie. Cette attaque consiste, insidieusement, à pirater de nombreux ordinateurs et à les utiliser pour créer des Bitcoins, ce qui reste difficile à détecter puisque ce processus de minage se réalise en arrière-plan sans mobiliser l’ensemble des ressources.

Autre nouvauté, les objets connectés (ou IoT) augmentent considérablement le périmètre à protéger car cette mise en réseau ou connexion d’objets ouvrent la porte aux attaques par Déni de service (ou DDOS) et les opérateurs de services Cloud en SaaS et IaaS utilisés par de plus en plus d’entreprises de toutes tailles. Mais il faut toutefois préciser que l’écrasante majorité des failles de sécurité Cloud sont à imputer à l’entreprise elle-même plutôt qu’aux prestataires de services, notamment, du fait de la gestion des mots de passe. Les attaques de mai et juin 2017 via les virus Petya et Wanacry ont alerté sur le besoin d’appliquer les mises à jour proposées par Microsoft et de corriger les failles de sécurité.

Des menaces qui évoluent avec la technologie

Les outils numériques que les entreprises utilisent dans leur fonctionnement quotidiens et qui ont de nombreux aspects positifs ont aussi malheureusement une face plus sombre. Par exemple, l’externalisation des données clients et de l’entreprise via le Cloud exposent à d’éventuelles failles de ces fournisseurs de services. De plus, certains dangers viennent aussi de l’énorme utilisation de smartphones et tablettes, à l’insu du service informatique, dans lesquels peuvent être téléchargées des applications non-conformes qui peuvent parfois contenir des malwares et ouvrir de nouvelles failles qui permettront le vol de données. Force est de constater que ces menaces, une fois ciblées, ont déjà évolué….

Les PME et ETI, qui n’ont pas les moyens des grands comptes pour installer des solutions efficaces en interne, vont faire appel de manière croissante à des MSSP (fournisseurs de sécurité managées)  pour s’assurer de nombreuses prestations comme la détection d’intrusion ou la fourniture de services de gestion des correctifs.

Promouvoir la culture de la sécurité

Il est tout à fait évident qu’aucun outil de protection ne peut être efficace contre les attaques de systèmes d’information sans que la direction instaure une réelle culture de la sécurité auprès de tous les collaborateurs et à tous les échelons de l’entreprise. Un plan de reprise de l’activité doit être impérativement mis en place pour faire face à une éventuelle attaque qui aurait abouti, c’est à dire de procéder régulièrement à des sauvegardes de données, de prévoir des procédures de retour à la situation antérieure à l’attaque et de dresser une liste des personnes et organismes à contacter.

D’ailleurs, depuis le 25 mai 2018, date à laquelle le RGPD (Règlement général sur la protection des données) est devenu obligatoire, de nombreuses entreprise qui traitent des données personnelles en ont profité pour réaliser un véritable audit sur la gestion des données personnelles et leur exposition aux risques.

Pour les PME et ETI, mettre en place une politique de sécurité efficace représente un véritable défi car elles se focalisent avant tout sur leurs impératifs opérationnels et sur la satisfaction de leurs clients, ce qui relègue souvent la protection contre les attaques de systèmes d’information au second plan. Cependant, la prise de conscience est bien réelle et des efforts constants sont réalisés.

Les 6 recommandations de CPME et de l’ANSSI 

La CPME et l’ANSSI (Agence Nationale de la sécurité des Systèmes d’Information) donnent aux entreprises ces 6 conseils de base de prévention contre les attaques de systèmes d’information :

•  La création et l’administration d’un mot de passe. Créer des mots de passe complexes et les gérer (règles de communication, d’enregistrement dans les navigateurs, etc.).
•  La mise en œuvre d’une politique de sauvegarde pour protéger les données de l’entreprise en cas de virus ou encore d’une prise d’otage par un rançongiciel.
•  La sécurisation des réseaux Wi-Fi de l’entreprise. D’une manière générale, le filaire reste plus sécurisé que le Wi-Fi.
•  Les précautions d’usage relatives aux tablettes et aux smartphones : ne pas pré-enregistrer les mots de passe, effectuer des sauvegardes régulières, ne télécharger que des applications de confiance.
•  Ne pas ouvrir de pièce jointe venant de destinataires inconnus ! Vérifier l’adresse des liens figurant dans le corps d’un mail – vérification dans la barre de navigation.
•  La sensibilisation des salariés pour qu’ils comprennent que la cyberattaque est l’affaire de tous

L’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI)  met à la disposition un portail d’information cybermalveillance.gouv.fr qui conseille les entreprises victimes et propose un numéro d’appel anonyme et gratuit : 0800 200 000.

PARTAGER

Facebook
Twitter
LinkedIn
Email
LinkedIn
WhatsApp
PLUS D'ARTICLES
À l’ère de l’expérience client et de l’IA, les entreprises ont besoin d’améliorer leur stratégie de communication auprès de leurs candidats. Et si tout commençait par une base de données candidats de qualité pour créer la différence avec vos concurrents ? Découvrez dans cet article les points essentiels à connaître sur ce précieux outil qui vous permettra de mettre en place une stratégie de recrutement efficace. Par Céline Cherqui – Fondatrice de OneWay
Une base de données candidats, c’est quoi exactement ?
Par définition, la base de données est un outil comportant un ensemble d’informations organisé de manière à être facilement accessible, géré et mis à jour. Cet outil est utilisé comme méthode de stockage, de gestion et de récupération des informations. Une base de données candidats rassemble donc toutes les informations recueillies lors des différents échanges effectués entre les candidats et l’entreprise.
Ok, mais pour quoi faire ?
Céline Cherqui – Fondatrice de OneWay
L’objectif de la base de données candidats est de faciliter votre relation avec eux et de vous aider à adapter vos messages ou les opportunités de postes à leur proposer en fonction de leurs envies. L’idée est de retracer tous vos échanges pour être sûr qu’au moment où votre candidat sera prêt à vous rejoindre, vous pourrez lui offrir ce dont il a besoin. En effet, en sachant exactement ce que recherche vos candidats, vous serez en mesure de proposer le bon poste, au bon moment et à la bonne personne. Cet outil permet donc une personnalisation et bien évidemment une meilleure satisfaction candidat.
Quelles données sont à recueillir ?
La collecte de vos données doit être organisée et structurée pour une efficacité optimale. Les renseignements que vous allez recueillir doivent être uniquement ceux dont vous avez réellement besoin pour comprendre et connaitre vos candidats afin de bâtir votre stratégie de recrutement et de communication. Cela signifie que les informations demandées à vos candidats ne doivent avoir pour finalité que l’évaluation de ses savoir-faire et de ses savoir-être. Il est en revanche interdit de demander à un candidat des informations relevant de sa vie privée qui n’ont pas de lien direct et nécessaire avec l’évaluation de ses aptitudes professionnelles. Pour être exploitable, votre base de données doit être conforme à la législation. A défaut, elle sera inutilisable et donc dépourvue de toute valeur. Les informations ainsi recueillies et collectées dans votre base de données ne peuvent être consultées que par les personnes intervenant dans le processus de recrutement. Les piles de CV sur les bureaux, accessibles à tous, sont donc à proscrire. Offrir à vos candidats la maîtrise de leurs données personnelles constitue un gage de qualité et de confiance, notamment s’ils comprennent que vous respectez leurs choix, que vous comprenez leurs besoins et ne les sollicitez que lorsqu’ils le désirent.
Et les candidats dans tout ça, quels sont leurs droits ? 
Lorsqu’un candidat est retenu et devient un collaborateur, ses données sont conservées le temps de sa présence dans l’entreprise. A son départ, certaines informations peuvent être conservées à titre d’archivage. Lorsqu’un candidat n’est pas retenu, le recruteur doit l’informer que son dossier sera conservé pendant 2 ans, sauf s’il en demande expressément la destruction. Si le candidat ne demande pas la destruction de son dossier, les données sont automatiquement détruites 2 ans après le dernier contact. Une conservation plus longue est possible, mais uniquement avec l’accord exprès du candidat. Bon à savoir : Tout candidat au recrutement peut, sur simple demande non motivée, accéder à ses données et être informé de la manière dont celles-ci sont traitées, au titre de son droit à l’information.   Il bénéficie également :
  • d’un droit de rectification : il peut demander au recruteur de mettre à jour ses données,
  • d’un droit à l’oubli : il peut demander au recruteur de supprimer ses données,
  • et d’un droit à la limitation du traitement : il peut demander au recruteur de suspendre le traitement de ses données.
Vous l’aurez compris, une base de données bien construite est indispensable pour communiquer avec vos candidats, créer une relation de confiance et les accompagner vers un épanouissement professionnel. 📞 Si cet article vous a donné des idées pour construire ou optimiser votre base de données candidats mais que tout reste encore un peu flou, … Pas de panique, je vous accompagne pas à pas sur toutes les problématiques recrutement que vous pourrez rencontrer. Céline Cherqui – Directrice Recrutement – OneWay

La Rentrée Carmignac 2023 a eu lieu le jeudi 21 septembre et nous souhaitons vous partager la présentation de l’évènement, ainsi que les messages clés à retenir. Nous vous invitons également à visionner le replay de la conférence pour (re)découvrir nos vues macroéconomiques, nos stratégies d’investissement et nos convictions.

Bilan et stratégie

  • Maxime Carmignac, Directeur Général Carmignac UK
  • Kevin Thozet, Portfolio Advisor & Membre du Comité d’Investissement
 

Notre scénario macroéconomique

  • Raphael Gallardo, Chef Économiste
  • Frédéric Leroux, Responsable Équipe Cross Asset, Gérant

Notre stratégie d’investissement

  • Jacques Hirsch, Gérant
  • Guillaume Rigeade, Co-Responsable Équipe Obligataire, Gérant
  • David Older, Responsable Équipe Actions, Gérant

Table ronde « Investir au-delà du mur des inquiétudes »

  • Marie-Anne Allier, Gérante
  • Pierre Verlé, Responsable Équipe Crédit, co-Responsable Équipe Obligataire, Gérant
  • Mark Denham, Responsable Actions Européennes, Gérant

Échanges avec Édouard Carmignac

Édouard Carmignac, Président, CIO

Intervenant(s)

Communication publicitaire. Veuillez vous référer au KID/prospectus avant de prendre toute décision finale d’investissement.​ Ce document est destiné à des clients professionnels.

Le présent document ne peut être reproduit en tout ou partie, sans autorisation préalable de la Société de gestion. Il ne constitue ni une offre de souscription ni un conseil en investissement. Ce document n’est pas destiné à fournir, et ne devrait pas être utilisé pour des conseils comptables, juridiques ou fiscaux. Il vous est fourni uniquement à titre d’information et ne peut être utilisé par vous comme base pour évaluer les avantages d’un investissement dans des titres ou participations décrits dans ce document ni à aucune autre fin. Les informations contenues dans ce document peuvent être partielles et sont susceptibles d’être modifiées sans préavis. Elles se rapportent à la situation à la date de rédaction et proviennent de sources internes et externes considérées comme fiables par Carmignac, ne sont pas nécessairement exhaustives et ne sont pas garanties quant à leur exactitude. À ce titre, aucune garantie d’exactitude ou de fiabilité n’est donnée et aucune responsabilité découlant de quelque autre façon pour des erreurs et omissions (y compris la responsabilité envers toute personne pour cause de négligence) n’est acceptée par Carmignac, ses dirigeants, employés ou agents.​

Les performances passées ne préjugent pas des performances futures. Elles sont nettes de frais (hors éventuels frais d’entrée appliqués par le distributeur).​Le rendement peut évoluer à la hausse comme à la baisse en raison des fluctuations des devises, pour les actions qui ne sont pas couvertes contre le risque de change.​

La référence à certaines valeurs ou instruments financiers est donnée à titre d’illustration pour mettre en avant certaines valeurs présentes ou qui ont été présentes dans les portefeuilles des Fonds de la gamme Carmignac. Elle n’a pas pour objectif de promouvoir l’investissement en direct dans ces instruments, et ne constitue pas un conseil en investissement. La Société de Gestion n’est pas soumise à l’interdiction d’effectuer des transactions sur ces instruments avant la diffusion de la communication. Les portefeuilles des Fonds Carmignac sont susceptibles de modification à tout moment.​

La référence à un classement ou à un prix ne préjuge pas des classements ou des prix futurs de ces OPC ou de la société de gestion.​La durée minimum de placement recommandée équivaut à une durée minimale et ne constitue pas une recommandation de vente à la fin de ladite période.​

​Morningstar Rating™ : © Morningstar, Inc. Tous droits réservés. Les informations du présent document : -appartiennent à Morningstar et / ou ses fournisseurs de contenu ; ne peuvent être reproduites ou diffusées ; ne sont assorties d’aucune garantie de fiabilité, d’exhaustivité ou de pertinence. Ni Morningstar ni ses fournisseurs de contenu ne sont responsables des préjudices ou des pertes découlant de l’utilisation desdites informations.​

L’accès au Fonds peut faire l’objet de restriction à l’égard de certaines personnes ou de certains pays. Le présent document ne s’adresse pas aux personnes relevant d’une quelconque juridiction où (en raison de la nationalité ou du domicile de la personne ou pour toute autre raison) ce document ou sa mise à disposition est interdit(e). Les personnes auxquelles s’appliquent de telles restrictions ne doivent pas accéder à ce document. La fiscalité dépend de la situation de chaque personne. Les fonds ne sont pas enregistrés à des fins de distribution en Asie, au Japon, en Amérique du Nord et ne sont pas non plus enregistrés en Amérique du Sud. Les Fonds Carmignac sont immatriculés à Singapour sous la forme d’un fonds de placement de droit étranger réservé aux seuls clients professionnels. Les Fonds ne font l’objet d’aucune immatriculation en vertu du US Securities Act de 1933. Le fonds ne peut être proposé ou vendu, directement ou indirectement, au bénéfice ou pour le compte d’une « US person » au sens de la réglementation S américaine et du FATCA.

La décision d’investir dans le(s) fonds promu(s) devrait tenir compte de toutes ses caractéristiques et de tous ses objectifs, tels que décrits dans son prospectus. Les risques et frais relatifs aux Fonds sont décrits dans le KID (Document d’informations clés). Le KID doit être tenu à disposition du souscripteur préalablement à la souscription. Le souscripteur doit prendre connaissance du KID. Les investisseurs peuvent perdre tout ou partie de leur capital, attendu que les Fonds n’offrent pas de garantie de capital. Tout investissement dans les Fonds comporte un risque de perte de capital.

Carmignac Portfolio désigne les compartiments de la SICAV Carmignac Portfolio, société d’investissement de droit luxembourgeois conforme à la directive OPCVM.​ Les Fonds sont des fonds communs de placement de droit français conformes à la directive OPCVM ou AIFM.​ La société de gestion peut décider à tout moment de cesser la commercialisation dans votre pays.

Aujourd’hui, de plus en plus d’entreprises décident de s’engager dans une démarche RSE et souhaitent se faire labelliser. Pour cela, il est primordial de bien choisir parmi les nombreux labels RSE qui ont vu le jour avec l’augmentation de la demande. Club4RSE est un think tank qui oeuvre pour sensibiliser à la démarche RSE et accompagner des porteurs de projets à fort impact sociétal. C’est précisément dans cette optique qu’il a co-construit avec les parties prenantes le Label HOSMONY (Hosmose avec la nature, Harmonie entre les hommes). Gills Robert, Président du Club4RSE et initiateur de cette belle dynamique, nous présente le label HOSMONY et partage avec nous sa vision très claire sur le modèle à adopter pour s’orienter vers une performance durable. Pascal Castanet, Président de l’ordre des experts-comptables d’Occitanie, nous explique pourquoi il a choisi HOSMONY pour se labelliser et comment les experts-comptables peuvent en faire profiter leurs clients.
INSCRIVEZ-VOUS À NOTRE NEWSLETTER
AUX DERNIÈRES NOUVELLES

Le respect de votre vie privée est notre priorité

L’accès au site implique l’utilisation de cookies mais celle-ci est subordonnée à votre consentement.