accueil favoris newsletter 
l'information professionnelle des progiciels de gestion intégrés
ACTUALITES RUBRIQUES INTERVIEWS NEWSLETTERS OUTILS INSCRIPTIONS A PROPOS
 
 
DEPECHES    
SAP se paye Qualtrics
13/11/2018 Les deux entreprises ont conclu un accord définitif aux termes duquel SAP rachète le pionnier de l'expérience client pour 8 milliards de dollars, ce qui place ce rachat dans le quarteron de tête des opérations de croissa ...
Infor noue un partenariat mondial avec ADP
12/11/2018 L'intégration d'ADP à Infor HCM a pour objectif d'améliorer l'agilité et la bonne gouvernance des comptes internationaux.
Les enseignements d'une enquête sur l'agent public augmenté
12/11/2018 À l'occasion du 1er GovTech Summit européen, événement réunissant les leaders européens et acteurs de l'économie numérique autour d'un objectif de réfléchir ensemble à la manière dont les nouvelles technologie ...
Blackline signe un accord de distribution directe avec SAP
12/11/2018 Aux termes de cet accord, les solutions d'optimisation des processus comptables et financiers de Blackline seront intégrées à l'offre SAP Solution Extensions.
Identifier à la volée les données sensibles interdites par le RGPD
07/11/2018 L'éditeur de solutions de CRM et de Data Analytics Coheris propose aux TPE un outil permettant de mettre en évidence, lors de la saisie de commentaires, les données sensibles interdites par le RGPD.
Premier observatoire de la notoriété et de l'image de l'Intelligence Artificielle (IA) en France
07/11/2018 À l'occasion de Microsoft experiences18, qui se déroule les 6 et 7 novembre au Palais des Congrès de Paris, le collectif de réflexion et d'actions Impact AI, lancé à l'initiative de Microsoft en mars dernier et constitué ...
Sage intègre PayPal
06/11/2018 Sage annonce son partenariat avec le fournisseur mondial de solutions de paiement PayPal, qui devient une possibilité de paiement en ligne intégrée dans les solutions Sage50cloud Ciel et Sage Business Cloud Gestion & Fin ...
toutes les dépêches
 
DU COTE DES UTILISATEURS    
La Redoute se dote d'une solution EDI
05/11/2018 Dans le cadre sa stratégie de croissance, La Redoute a fait le choix de la solution EDI de Comarch afin d'acquérir une meilleure traçabilité des commandes LDF (Livraison Directe Fournisseur). Cette solution permet à l'en ...
Allopneus.com équipe sa nouvelle plateforme logistique d'un WMS
24/10/2018 Couplée à un système d'automatisation du colisage, du filmage et de l'acheminement des commandes vers les quais d'expédition, la solution de gestion d'entrepôt Reflex WMS de Hardis Group a permis de gagner en efficacité ...
tous les témoignages
 
COMMUNIQUES DE PRESSE    
EDF ENR amorce la transformation digitale de son Service Comptabilité en dématérialisant ses factures fournisseurs avec Esker
12/11/2018 Esker, un des principaux éditeurs mondiaux de solutions de dématérialisation des documents, a été sollicité par EDF ENR, filiale d’EDF Renouvelables, dédiée à la pose de panneaux solaires et leader du ...
TPE: gestion de stock évolutive sur votre mobile avec Tracerplus
30/10/2018 Partant d’une demande basique récurrente sur les gestions de stock pas chères et évolutives pour TPE, nous avons réalisé une application mobile code barre de gestion des stocks par entrées et sorties ...
WorkPLAN Solutions 2019 R1 se transforme et répond aux besoins de l’industrie du futur aux Salons Solutions de Lyon 2018.
29/10/2018 WorkPLAN, logiciel de Gestion de Projet, continue sa migration vers le déploiement d’outils toujours plus performants en lien direct avec les logiciels de son Groupe Vero Software. WorkPLAN ...
tous les communiqués
 
 
Articles    
Sécurité des données et sécurité des SI
 
21/02/2018 :: Avec le RGPD (Règlement Général sur la Protection des Données) et au vu des récents événements en la matière, la sécurité est LE sujet de préoccupation des DSI. Cependant, il n'y a pas une mais des sécurités. Et leur mise en œuvre passe avant tout par des bonnes pratiques.

2017 aura marqué un tournant dans la cybercriminalité : avec les nombreuses attaques massives que nous avons connues, ransomwares WannaCry et NotPetya en tête, les entreprises ont pris conscience de la gravité de la situation et de la nécessité de prendre des mesures pour se protéger. Selon le rapport de CXP Group "La maturité des entreprises françaises face à la cyber-conformité", publié mi-2017, 80 % des entreprises françaises connaissent leurs obligations règlementaires en matière de cybersécurité. Cependant, selon l'enquête annuelle PAC CxO 3000 de 2017, 41 % des entreprises françaises pensent qu'avoir une informatique fiable et sécurisée est plus difficile d'année en année.

Un autre rapport, récemment publié par McAfee et réalisé par en partenariat avec le Center of Strategic and International Studies ("Economic Impact of Cybercrime – No Slowing Down"), révèle que l'économie du cybercrime coûte annuellement près de 600 milliards de dollars aux entreprises, soit 0,8 % du PIB mondial. En comparaison avec la première étude du genre, qui avait été réalisée en 2014, ce chiffre est en hausse de 26 %. Le rapport attribue cette croissance notamment à la facilité de s'engager dans la cybercriminalité, à l'adoption rapide des nouvelles technologies par les cybercriminels, ainsi qu'à la sophistication financière croissante des plus aguerris d'entre eux. Le ransomware est le vecteur d'attaque enregistrant le taux de croissance le plus rapide : on dénombre plus de 45 000 variantes de Ransomware-as-a-Service (RaaS). Ils représentent 4 000 attaques quotidiennes de ce type, en croissance de 300 % depuis 2015, selon le FBI. Les motivations des cybercriminels sont plus variées et, outre la criminalité pure et dure, peuvent aujourd'hui aussi relever de l'activisme politique ou de l'espionnage. Les impacts sur les entreprises sont nombreux et peuvent concerner le vol ou la perte de données, le blocage ou la perturbation d'une activité on-line mais aussi physique et se soldent toujours par des retombées financières.

Quelques pistes

Si le volet technologique est indispensable pour se protéger, notamment via la sécurisation des terminaux fixes et mobiles, de nombreux autres leviers doivent être actionnés, à commencer par la formation des collaborateurs et la connaissance des méthodes employées par les pirates (cf. encadré). Si la formation n'est certainement pas le remède absolu contre les erreurs humaines, elle demeure indispensable à la maîtrise des technologies de défense.

Le rapport de McAfee cité plus haut fait un certain nombre de recommandations sur la manière de gérer la cybercriminalité, via notamment la mise en œuvre uniforme des mesures de sécurité de base et l'investissement dans les technologies défensives. Il préconise en outre une coopération accrue entre les organismes internationaux d'application des lois, l'amélioration de la collecte de données par les autorités nationales, une plus grande normalisation et coordination des exigences en matière de cybersécurité, ou encore une pression internationale sur les "sanctuaires" publics pour le cybercrime. Toutes choses pas très simples à mettre en œuvre.


Des pistes plus pragmatiques, notamment pour les utilisateurs finaux, passent par des mesures de bon sens comme l'utilisation d'un gestionnaire de mots de passe et, mieux, par un système d'authentification forte, c'est-à-dire en deux étapes : les mots de passe simples offrent en effet un faible niveau de sécurité et ne sont souvent pas utilisés correctement. La meilleure défense est l'authentification multi facteurs. Il faut aussi inciter ses utilisateurs à faire des mises à jour régulières de leurs logiciels et surtout de leurs OS, ainsi que des sauvegardes. Mais de vraies sauvegardes, dont on teste l'efficacité de temps en temps, à l'instar de ce que le RSI (Responsable Sécurité Numérique) est censé faire avec son PRA (Plan de Reprise d'Activité).

La défense contre la cybercriminalité passe aussi par des bonnes pratiques comme de ne pas cliquer à tort et à travers sur n'importe quoi, de ne pas se connecter à des réseaux WiFi non protégés ou encore de ne jamais laisser son ordinateur ouvert en public, ce que l'on constate hélas encore trop souvent en entreprise, lorsque la personne s'absente pour déjeuner ou pour participer à une réunion, par exemple. Et bien sûr ne pas envoyer de paiements en réponse à de simples e-mails et se méfier des offres par trop alléchantes, voire gratuites.

À l'heure de la transformation numérique et de l'agilité constatée des cybercriminels, il convient de s'adapter ses comportements en matière de cyber-sécurité en devenant plus agile, plus réactif et plus adaptable. La prévention de la cybercriminalité concerne l'entreprise dans son ensemble ; les directives ne peuvent venir que du plus haut niveau. Ainsi, Syntec Numérique synthétise la conduite à tenir en édictant six règles d'or à adopter par les directions générales : la première étape consiste à identifier, à quantifier et à prioriser les risques. Puis, elle passe par la nomination d'un RSI, par l'allocation d'un budget de cybersécurité et l'intégration d'un critère de confiance dans les achats IT (comme le label "France Cybersecurity", par exemple). Il faut aussi s'assurer de la prise en compte de la sécurité dans les projets que l'on mène, au travers, si possible, d'un manuel de bonnes pratiques propre à l'entreprise et enfin, contrôler régulièrement la sécurité et exiger des résultats.

Benoît Herr

L'éditeur Malwarebytes liste les 5 techniques les plus fréquemment employées par les cybercriminels pour la propagation de malware et constate que ceux qui déclarent que la plus importante faille de sécurité en matière d'informatique se situe entre le fauteuil et l'écran n'ont pas tout à fait tort...

Les spams malveillants
Qu'ils contiennent des pièces jointes corrompues ou des liens renvoyant vers des sites Web malveillants, les e-mails malveillants sont surement la manière la plus connue de propager des malwares. Récemment, plusieurs vulnérabilités ne nécessitant que peu ou pas du tout d'action de la part du destinataire ont été utilisées par les pirates. Sur simple ouverture, des pièces jointes ou des e-mails eux-mêmes ont pu provoquer des requêtes et télécharger et exécuter automatiquement du code malveillant. C'est notamment le cas du célèbre malware FinSpy. Les pirates ont aussi misé sur des technologies anciennes comme le format d'archivage .ace, pour déjouer la vigilance des systèmes automatisés et les utilitaires de détection de spam. Pour déjouer ces techniques, il est conseillé de n'ouvrir les e-mails et pièces-jointes d'expéditeurs connus en vérifiant non seulement le nom affiché mais également la syntaxe de l'adresse utilisée. Quand bien même les deux ne présenteraient aucun élément suspect, il convient de vérifier le lien à cliquer ou la pièce jointe : ont-ils une syntaxe correcte ? Sont-ils réellement attendus ?

L'exploitation d'EternalBlue
WannaCry et NotPetya utilisent, pour se propager, une fuite provenant de la NSA et exploitée sous le nom d'EternalBlue, qui exploite une vulnérabilité présente au sein de nombreux systèmes d'exploitation Windows. Signalé à Microsoft plusieurs mois avant la première vague d'attaque et malgré le déploiement de correctifs, de nombreuses machines non mises à jour se sont vues infectées. Adylkuzz, un mineur de Bitcoin, utilise lui aussi ce vecteur pour infecter des systèmes et appliquer un patch empêchant tout malware supplémentaire de s'installer par la suite. CoinMiner, une autre famille de mineur, profite également d'EternalBlue pour opérer.

Les attaques par le biais de logiciels corrompus
On installe souvent des logiciels téléchargés et parfois on se retrouve avec une barre d'outils perturbant le fonctionnement du navigateur ou avec des publicités intempestives. Le logiciel de nettoyage et de maintenance Ccleaner a vu l'une de ses versions compromises au cours même de sa construction, ce qui illustre la planification méticuleuse et le haut niveau de sophistication des pirates. Cette mésaventure est également survenue sur des machines Apple avec le logiciel de gravure de DVD HandBrake, puis par les applications Elmedia Player et Folx, distribuées par Eltima Software, tous infectés par Proton. Celui-ci est capable de récupérer des mots de passe, notamment ceux stockés dans les navigateurs.

Les attaques géolocalisées
Les pirates se mettent parfois au marketing : les attaques géociblées visant à perturber, déstabiliser ou compromettre des données sont de plus en plus fréquentes. On constate ainsi l'émergence du ransomware Magniber qui, si la victime n'est pas localisée en Corée du Sud, s'auto-supprime de façon inoffensive. Finfisher sévit quant à lui au Moyen-Orient et, propulsé par le groupe de pirates BlackOasis, cible des organisations et individus liés à la politique de la région, notamment des journalistes, militants ou membres de l'ONU. Enfin, BadRabbit et NotPetya ont été essentiellement actifs en Ukraine dans l'univers du transport pour le premier, et de l'énergie pour le second.

Dans le monde francophone, c'est l'escroquerie au support technique qui a marqué les esprits : de fausses pages affichant des messages d'alerte invitaient les victimes à appeler un numéro. Au bout du fil, des opérateurs parlant un français quasi parfait et capitalisant sur leur crédulité se chargeaient alors de leur faire payer des prestations sans aucun intérêt.

La fraude publicitaire
La fraude publicitaire est problématique pour les annonceurs, qui, à cause de botnets imitant le comportement des visiteurs, voient leurs dépenses gaspillées et les statistiques de visibilité perturbées. Mais c'est l'internaute de base qui risque le plus à cause de campagnes frauduleuses et de malwares conçus pour échapper à la détection. Une de ces campagnes, qui s'est déroulée sur Yahoo, incitait les utilisateurs à télécharger un faux patch pour Firefox. De plus en plus, les pirates utilisent des techniques de phishing dont l'une d'entre-elles consiste à remplacer un texte par de faux caractères. L'internaute se laisse ainsi persuader qu'il lui manque une police pour afficher correctement le contenu. Évidemment, l'installateur de polices proposé est bien souvent un ransomware.

 
RECHERCHE    
 
TRADUCTION
...
 
OUTILS    
Inscription Newsletter    
Deux éditions mensuelles gratuites
Inscription Annuaire    
L'annuaire des pros
Publicité    
20000 visiteurs par mois
 
ANNUAIRE  
E-LEARNING Lyon
Fitnet Manager
EXACT France
MISSLER SOFTWARE
CXP Group
SILOG
INCWO
VARIOPOSITIF
SYXPERIANE
VAISONET
VERYSWING
ATHENEO by Mismo
FITNET MANAGER
VERO Software
tout l'annuaire
 
TRIBUNE LIBRE
RGPD : la CNIL précise les compétences du DPO
06/11/2018 La liste est longue et le nombre de profils insuffisant.
Bien gérer son entreprise à l'ère de l'industrie 4.0
06/11/2018 Difficile de croire que les principales inventions manufacturières d'il y a 200 ans aient été conçues à partir d'un processus aussi rudimentaire que la vapeur. Ces dix dernières années, la gestion d'entreprise et la fabr ...
toutes les tribunes libres
 
 
FOCUS ENTREPRISE    
Salons Solutions
 
1er, 2 & 3 octobre 2019 - Paris Porte de Versailles - Pavillon 2.2 EXPOSITION, CONFÉRENCES, ATELIERS ERP, CRM, BI, E-ACHATS, DEMATERIALISATION, ARCHIVAGE EN LIGNE, SDN/INFOTODOC, SERVEURS & APPLICATIONS Les prochains Salons Solutions vont regr ...
fiche complète de l'entreprise
 
 
erp-infos.com - copyright groupe solutions 2018 - tous droits réservés
Articles
L'ère du Data Centri...
Gartner promeut de n...
RGPD : la CNIL préci...
Bien gérer son entre...
SAP.iO Foundry, l'ac...
La Redoute se dote d...
Top 250 des éditeurs...
Dépêches
SAP se paye Qualtric...
Infor noue un parten...
Les enseignements d'...
Blackline signe un a...
Identifier à la volé...
Premier observatoire...
Sage intègre PayPal...
Communiqués de presse
EDF ENR amorce la tr...
Cerapedics choisit l...
TPE: gestion de stoc...
WorkPLAN Solutions 2...
...
Convention USF : Esk...
Esker et Rimilia sig...
Evénements
Salons Solutions 201...
Web-Conférence / Dém...
28/11 Aix-en-P: 5 in...
WorkPLan au salon so...
Promotion vente lice...
Application mobile e...
Afterwork - Piloter ...
erp-infos.com
inscription newsletter
inscription annuaire
qui sommes-nous ?
contacts
publicité
tarifs & conditions
mentions légales
Les autres sites Infopro
E-learning-infos
ERP-infos
Intranet-infos
Eachats-infos
Phonethik