accueil favoris newsletter 
l'information professionnelle des progiciels de gestion intégrés
ACTUALITES RUBRIQUES INTERVIEWS NEWSLETTERS OUTILS INSCRIPTIONS A PROPOS
 
 
DEPECHES    
Salesforce enrichit sa plateforme Sales Cloud
19/09/2018 Quelques jours avant Dreamforce, qui se tiendra à San Francisco du 25 au 28 septembre, l'éditeur a dévoilé de nouvelles fonctionnalités de prospection accélérée, de facturation flexible et d'automatisation intelligente d ...
De nouvelles fonctionnalités pour SAP Analytics Cloud
19/09/2018 L'éditeur vient d'annoncer l'enrichissement de sa solution avec du machine learning pour dévoiler des corrélations entre les données d'une organisation. L'annonce a été faite lors de la Conférence Strata Data, organisée ...
Une majorité d'entreprises échouent à se conformer au RGPD
16/09/2018 Selon une étude de Talend, 70 % des entreprises sondées n'ont pas pu répondre aux demandes d'accès aux données personnelles et de portabilité dans le délai imparti d'un mois à compter de la réception de la demande.
b.workshop intègre Netsuite dans son offre
13/09/2018 La société de conseil en solutions ERP fait d'Oracle Netsuite un axe stratégique de développement et compte accompagner les entreprises qui choisissent d'utiliser l'ERP dans le cloud pour supporter leur croissance et leu ...
Information Builders dévoile la nouvelle plate-forme WebFocus
12/09/2018 L'éditeur lance sa nouvelle plate-forme analytique et de BI, dotée d'une nouvelle interface utilisateur et d'un workflow intuitif pour automatiser et simplifier les tâches complexes.
Cegid fait l'acquisition de Loop
07/09/2018 Dans un contexte général de numérisation de la profession comptable, Loop Software et KPMG ont souhaité se rapprocher de Cegid, acteur leader du marché, afin d'accélérer le développement de Loop et de continuer à innover ...
Les logiciels de paie EBP en conformité pour le PAS
06/09/2018 Le gouvernement vient de confirmer la mise en place du Prélèvement À la Source (PAS) de l'impôt sur le revenu. L'éditeur EBP a anticipé ce changement en adaptant l'ensemble de ses solutions de paie à cette future régleme ...
toutes les dépêches
 
DU COTE DES UTILISATEURS    
Le Grand Port Maritime de Marseille éradique ses spams
12/09/2018 Le Grand Port Maritime de Marseille (GPMM), anciennement connu comme "port autonome de Marseille" (PAM), est un établissement public français qui exerce conjointement des missions de service public administratif, industr ...
S/4 HANA déployé par l'assureur-crédit Coface
27/06/2018 L'assurance-crédit internationale doit respecter de nombreuses réglementations. Pour doter son informatique de la flexibilité et des performances indispensables, Coface fait confiance à SAP pour optimiser sa comptabilité ...
tous les témoignages
 
COMMUNIQUES DE PRESSE    
Kärcher North America Inc. choisit Esker pour automatiser la gestion de ses commandes grâce à sa solution basée sur des technologies d’IA
11/09/2018 Esker, un des principaux éditeurs mondiaux de solutions de dématérialisation des documents en mode Cloud, a été choisi par Kärcher North America, leader dans la fabrication et la commercialisation des ...
Esker emménage dans de nouveaux locaux pour répondre à la croissance de ses effectifs
06/09/2018 Esker, un des principaux éditeurs mondiaux de solutions de dématérialisation des documents en mode Cloud, inaugure ses nouveaux locaux à Lyon / Villeurbanne. D’une surface deux fois plus importante qu ...
Esker poursuit son développement international avec l’ouverture d’une nouvelle filiale à Hong Kong
03/09/2018 Esker, un des principaux éditeurs mondiaux de solutions de dématérialisation des documents en mode Cloud, annonce l’ouverture d’une nouvelle filiale à Hong Kong. Une implantation qui s’inscrit dans la ...
tous les communiqués
 
 
Articles    
Sécurité des données et sécurité des SI
 
21/02/2018 :: Avec le RGPD (Règlement Général sur la Protection des Données) et au vu des récents événements en la matière, la sécurité est LE sujet de préoccupation des DSI. Cependant, il n'y a pas une mais des sécurités. Et leur mise en œuvre passe avant tout par des bonnes pratiques.

2017 aura marqué un tournant dans la cybercriminalité : avec les nombreuses attaques massives que nous avons connues, ransomwares WannaCry et NotPetya en tête, les entreprises ont pris conscience de la gravité de la situation et de la nécessité de prendre des mesures pour se protéger. Selon le rapport de CXP Group "La maturité des entreprises françaises face à la cyber-conformité", publié mi-2017, 80 % des entreprises françaises connaissent leurs obligations règlementaires en matière de cybersécurité. Cependant, selon l'enquête annuelle PAC CxO 3000 de 2017, 41 % des entreprises françaises pensent qu'avoir une informatique fiable et sécurisée est plus difficile d'année en année.

Un autre rapport, récemment publié par McAfee et réalisé par en partenariat avec le Center of Strategic and International Studies ("Economic Impact of Cybercrime – No Slowing Down"), révèle que l'économie du cybercrime coûte annuellement près de 600 milliards de dollars aux entreprises, soit 0,8 % du PIB mondial. En comparaison avec la première étude du genre, qui avait été réalisée en 2014, ce chiffre est en hausse de 26 %. Le rapport attribue cette croissance notamment à la facilité de s'engager dans la cybercriminalité, à l'adoption rapide des nouvelles technologies par les cybercriminels, ainsi qu'à la sophistication financière croissante des plus aguerris d'entre eux. Le ransomware est le vecteur d'attaque enregistrant le taux de croissance le plus rapide : on dénombre plus de 45 000 variantes de Ransomware-as-a-Service (RaaS). Ils représentent 4 000 attaques quotidiennes de ce type, en croissance de 300 % depuis 2015, selon le FBI. Les motivations des cybercriminels sont plus variées et, outre la criminalité pure et dure, peuvent aujourd'hui aussi relever de l'activisme politique ou de l'espionnage. Les impacts sur les entreprises sont nombreux et peuvent concerner le vol ou la perte de données, le blocage ou la perturbation d'une activité on-line mais aussi physique et se soldent toujours par des retombées financières.

Quelques pistes

Si le volet technologique est indispensable pour se protéger, notamment via la sécurisation des terminaux fixes et mobiles, de nombreux autres leviers doivent être actionnés, à commencer par la formation des collaborateurs et la connaissance des méthodes employées par les pirates (cf. encadré). Si la formation n'est certainement pas le remède absolu contre les erreurs humaines, elle demeure indispensable à la maîtrise des technologies de défense.

Le rapport de McAfee cité plus haut fait un certain nombre de recommandations sur la manière de gérer la cybercriminalité, via notamment la mise en œuvre uniforme des mesures de sécurité de base et l'investissement dans les technologies défensives. Il préconise en outre une coopération accrue entre les organismes internationaux d'application des lois, l'amélioration de la collecte de données par les autorités nationales, une plus grande normalisation et coordination des exigences en matière de cybersécurité, ou encore une pression internationale sur les "sanctuaires" publics pour le cybercrime. Toutes choses pas très simples à mettre en œuvre.


Des pistes plus pragmatiques, notamment pour les utilisateurs finaux, passent par des mesures de bon sens comme l'utilisation d'un gestionnaire de mots de passe et, mieux, par un système d'authentification forte, c'est-à-dire en deux étapes : les mots de passe simples offrent en effet un faible niveau de sécurité et ne sont souvent pas utilisés correctement. La meilleure défense est l'authentification multi facteurs. Il faut aussi inciter ses utilisateurs à faire des mises à jour régulières de leurs logiciels et surtout de leurs OS, ainsi que des sauvegardes. Mais de vraies sauvegardes, dont on teste l'efficacité de temps en temps, à l'instar de ce que le RSI (Responsable Sécurité Numérique) est censé faire avec son PRA (Plan de Reprise d'Activité).

La défense contre la cybercriminalité passe aussi par des bonnes pratiques comme de ne pas cliquer à tort et à travers sur n'importe quoi, de ne pas se connecter à des réseaux WiFi non protégés ou encore de ne jamais laisser son ordinateur ouvert en public, ce que l'on constate hélas encore trop souvent en entreprise, lorsque la personne s'absente pour déjeuner ou pour participer à une réunion, par exemple. Et bien sûr ne pas envoyer de paiements en réponse à de simples e-mails et se méfier des offres par trop alléchantes, voire gratuites.

À l'heure de la transformation numérique et de l'agilité constatée des cybercriminels, il convient de s'adapter ses comportements en matière de cyber-sécurité en devenant plus agile, plus réactif et plus adaptable. La prévention de la cybercriminalité concerne l'entreprise dans son ensemble ; les directives ne peuvent venir que du plus haut niveau. Ainsi, Syntec Numérique synthétise la conduite à tenir en édictant six règles d'or à adopter par les directions générales : la première étape consiste à identifier, à quantifier et à prioriser les risques. Puis, elle passe par la nomination d'un RSI, par l'allocation d'un budget de cybersécurité et l'intégration d'un critère de confiance dans les achats IT (comme le label "France Cybersecurity", par exemple). Il faut aussi s'assurer de la prise en compte de la sécurité dans les projets que l'on mène, au travers, si possible, d'un manuel de bonnes pratiques propre à l'entreprise et enfin, contrôler régulièrement la sécurité et exiger des résultats.

Benoît Herr

L'éditeur Malwarebytes liste les 5 techniques les plus fréquemment employées par les cybercriminels pour la propagation de malware et constate que ceux qui déclarent que la plus importante faille de sécurité en matière d'informatique se situe entre le fauteuil et l'écran n'ont pas tout à fait tort...

Les spams malveillants
Qu'ils contiennent des pièces jointes corrompues ou des liens renvoyant vers des sites Web malveillants, les e-mails malveillants sont surement la manière la plus connue de propager des malwares. Récemment, plusieurs vulnérabilités ne nécessitant que peu ou pas du tout d'action de la part du destinataire ont été utilisées par les pirates. Sur simple ouverture, des pièces jointes ou des e-mails eux-mêmes ont pu provoquer des requêtes et télécharger et exécuter automatiquement du code malveillant. C'est notamment le cas du célèbre malware FinSpy. Les pirates ont aussi misé sur des technologies anciennes comme le format d'archivage .ace, pour déjouer la vigilance des systèmes automatisés et les utilitaires de détection de spam. Pour déjouer ces techniques, il est conseillé de n'ouvrir les e-mails et pièces-jointes d'expéditeurs connus en vérifiant non seulement le nom affiché mais également la syntaxe de l'adresse utilisée. Quand bien même les deux ne présenteraient aucun élément suspect, il convient de vérifier le lien à cliquer ou la pièce jointe : ont-ils une syntaxe correcte ? Sont-ils réellement attendus ?

L'exploitation d'EternalBlue
WannaCry et NotPetya utilisent, pour se propager, une fuite provenant de la NSA et exploitée sous le nom d'EternalBlue, qui exploite une vulnérabilité présente au sein de nombreux systèmes d'exploitation Windows. Signalé à Microsoft plusieurs mois avant la première vague d'attaque et malgré le déploiement de correctifs, de nombreuses machines non mises à jour se sont vues infectées. Adylkuzz, un mineur de Bitcoin, utilise lui aussi ce vecteur pour infecter des systèmes et appliquer un patch empêchant tout malware supplémentaire de s'installer par la suite. CoinMiner, une autre famille de mineur, profite également d'EternalBlue pour opérer.

Les attaques par le biais de logiciels corrompus
On installe souvent des logiciels téléchargés et parfois on se retrouve avec une barre d'outils perturbant le fonctionnement du navigateur ou avec des publicités intempestives. Le logiciel de nettoyage et de maintenance Ccleaner a vu l'une de ses versions compromises au cours même de sa construction, ce qui illustre la planification méticuleuse et le haut niveau de sophistication des pirates. Cette mésaventure est également survenue sur des machines Apple avec le logiciel de gravure de DVD HandBrake, puis par les applications Elmedia Player et Folx, distribuées par Eltima Software, tous infectés par Proton. Celui-ci est capable de récupérer des mots de passe, notamment ceux stockés dans les navigateurs.

Les attaques géolocalisées
Les pirates se mettent parfois au marketing : les attaques géociblées visant à perturber, déstabiliser ou compromettre des données sont de plus en plus fréquentes. On constate ainsi l'émergence du ransomware Magniber qui, si la victime n'est pas localisée en Corée du Sud, s'auto-supprime de façon inoffensive. Finfisher sévit quant à lui au Moyen-Orient et, propulsé par le groupe de pirates BlackOasis, cible des organisations et individus liés à la politique de la région, notamment des journalistes, militants ou membres de l'ONU. Enfin, BadRabbit et NotPetya ont été essentiellement actifs en Ukraine dans l'univers du transport pour le premier, et de l'énergie pour le second.

Dans le monde francophone, c'est l'escroquerie au support technique qui a marqué les esprits : de fausses pages affichant des messages d'alerte invitaient les victimes à appeler un numéro. Au bout du fil, des opérateurs parlant un français quasi parfait et capitalisant sur leur crédulité se chargeaient alors de leur faire payer des prestations sans aucun intérêt.

La fraude publicitaire
La fraude publicitaire est problématique pour les annonceurs, qui, à cause de botnets imitant le comportement des visiteurs, voient leurs dépenses gaspillées et les statistiques de visibilité perturbées. Mais c'est l'internaute de base qui risque le plus à cause de campagnes frauduleuses et de malwares conçus pour échapper à la détection. Une de ces campagnes, qui s'est déroulée sur Yahoo, incitait les utilisateurs à télécharger un faux patch pour Firefox. De plus en plus, les pirates utilisent des techniques de phishing dont l'une d'entre-elles consiste à remplacer un texte par de faux caractères. L'internaute se laisse ainsi persuader qu'il lui manque une police pour afficher correctement le contenu. Évidemment, l'installateur de polices proposé est bien souvent un ransomware.

 
RECHERCHE    
 
TRADUCTION
...
 
OUTILS    
Inscription Newsletter    
Deux éditions mensuelles gratuites
Inscription Annuaire    
L'annuaire des pros
Publicité    
20000 visiteurs par mois
 
ANNUAIRE  
Fitnet Manager
EXACT France
MISSLER SOFTWARE
CXP Group
SILOG
INCWO
VARIOPOSITIF
SYXPERIANE
VAISONET
VERYSWING
ATHENEO by Mismo
FITNET MANAGER
VERO Software
SHORTWAYS
tout l'annuaire
 
TRIBUNE LIBRE
Menace : les documents Office peuvent être dangereux
12/09/2018 Mais nous allons néanmoins continuer à les utiliser... : nous utilisons quasiment tous des documents Microsoft Office. Qu'il s'agisse de documents de travail, de reçus électroniques ou du bail d'un nouvel appartement, le ...
4 pratiques pour reprendre le contrôle des indemnités kilométriques
12/09/2018 Les frais kilométriques sont un véritable casse-tête pour les DAF, tributaires des estimations de leurs collaborateurs pour effectuer les remboursements. Ils figurent aujourd'hui parmi les dix premières catégories de dép ...
toutes les tribunes libres
 
 
FOCUS ENTREPRISE    
Salons Solutions
 
24, 25 & 26 septembre 2018 - Paris Porte de Versailles - Pavillon 2.2 EXPOSITION, CONFÉRENCES, ATELIERS ERP, CRM, BI, E-ACHATS, DEMATERIALISATION, ARCHIVAGE EN LIGNE, SDN/INFOTODOC, SERVEURS & APPLICATIONS Les prochains Salons Solutions vont r ...
fiche complète de l'entreprise
 
 
erp-infos.com - copyright groupe solutions 2018 - tous droits réservés
Articles
Un nouveau support d...
ERP et IoT : une att...
Menace : les documen...
4 pratiques pour rep...
Le Grand Port Mariti...
Diversifiées et four...
Existe-t-il des exem...
Dépêches
Salesforce enrichit ...
De nouvelles fonctio...
Une majorité d'entre...
b.workshop intègre N...
Information Builders...
Cegid fait l'acquisi...
Les logiciels de pai...
Communiqués de presse
Kärcher North Americ...
Esker emménage dans ...
Esker poursuit son d...
Esker partenaire de ...
WorkPLAN Solutions, ...
Activité commerciale...
#Futur40 : Forbes Fr...
Evénements
Salons Solutions 201...
Web-Conférence / Dém...
28/11 Aix-en-P: 5 in...
WorkPLan au salon so...
Promotion vente lice...
Application mobile e...
Afterwork - Piloter ...
erp-infos.com
inscription newsletter
inscription annuaire
qui sommes-nous ?
contacts
publicité
tarifs & conditions
mentions légales
Les autres sites Infopro
E-learning-infos
ERP-infos
Intranet-infos
Eachats-infos
Phonethik