Archives par auteur : Nicolas BONNEFOUS

Données personnelles : compte à rebours pour se préparer au RGPD

Qu’est-ce que le RGPD?

En Mai 2018, le Règlement Général sur la Protection des Données (RGPD) entrera en vigueur dans toute l’Union Européenne. Ce nouveau règlement a pour but d’uniformiser ce qui a été fait jusqu’à aujourd’hui en termes de protections des données personnelles, mais également d’élargir la définition de « données personnelles », et d’augmenter les sanctions pour les entreprises ne respectant pas le règlement.

Les sanctions, pouvant aller jusqu’à 4% du Chiffre d’Affaire global pour un montant maximal allant jusqu’à 20 millions, devraient suffire à convaincre les entreprises de respecter le RGPD. De plus, les entreprises européennes ne seront pas les seules à être sanctionnés, car le règlement s’appliquera à toutes les entreprises traitant des données personnelles de citoyens européens.

L’article 4(1) du RGPD définit comme données personnelles les données « tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou un ou plusieurs éléments spécifiques propres à l’identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale de la personne ». Une des nouveautés dans cette définition : la catégorie « identifiant en ligne » comprend les adresses IPs ou les cookies de navigation des utilisateurs, des informations qui n’étaient pas considérées comme personnelles jusque là. Les entreprises utilisant des données personnelles auront également besoin d’un consentement « libre, spécifique, éclairé et univoque » (Art.4.11) de leurs utilisateurs. Ce qui veut dire que les entreprises devront expliquer en détails l’utilisation qui sera faite de leurs données personnelles.

Quelles conséquences pour les entreprises?

Ce nouveau règlement devrait avoir un impact positif sur les consommateurs digitaux. La confiance étant un critère déterminant pour les personnes achetant sur des plateformes e-commerce ou utilisant des services en ligne, savoir qu’un site internet respecte le RGPD ne pourra que rassurer les utilisateurs. C’est par conséquent toute l’industrie du Web qui devrait bénéficier d’une meilleure image. Les entreprises pourront également décider de communiquer sur le fait qu’elles respectent le RGPD, tout en expliquant à leurs clients ce que cela signifie. Les entreprises pro-actives sur les questions de cyber-sécurité pourront ainsi valoriser leurs efforts et en faire un avantage compétitif. En effet, le RGPD rend obligatoire pour les entreprises ayant subi des fuites de données le fait de notifier l’incident à tous leurs utilisateurs dans les 72 heures. Au delà de la menace pour la réputation de l’entreprise, ceci représente une réelle opportunité d’élever son niveau de sécurité face à des cyberattaques.

gpdr-grpd-security-website

Et pour les utilisateurs?

Le RGPD va donner aux individus un plus grand contrôle sur leurs données personnelles. En pratique, ils auront la possibilité de demander à consulter, modifier et même détruire leurs données personnelles. A cela s’ajoute le fait que les citoyens européens n’auront pas à se soucier de la provenance d’une entreprise avant d’utiliser ses services digitaux. Le règlement européen ne s’applique pas uniquement aux entreprises européennes, mais s’étend à toutes celles qui traitent des données personnelles de citoyens européens. Il s’agit également d’une bonne nouvelle pour les entreprises qui n’auront pas à craindre la concurrence déloyale venant de pays basés hors de l’UE.

Lire la suite

Comment gérer la sécurité de son site de ecommerce

Digitalisation, E-commerce & Sécurité.

La digitalisation des entreprises, une coquille vide ou une réelle opportunité pour les entreprises ? D’après un rapport de la Commission Européenne, 62% des français achètent sur internet, mais seulement 16% des entreprises françaises ont une activité de vente en ligne (1). Cela souligne bien la réelle opportunité que représente le « digital » pour les entreprises françaises. Que ce soit à travers un site vitrine, une plateforme de e-commerce, ou du marketing local, chaque position est bonne à prendre et constitue un avantage comparatif sur des concurrents qui n’osent pas sauter le pas de la digitalisation.

Agences de marketing digital, freelances spécialisés en e-commerce, CMS, l’offre pour assister à la création de site web ne manque pas. La concurrence sur ce marché est féroce et l’argument prix est souvent un déterminant majeur pour les PME souhaitant lancer un site e-commerce. Et si le site réalisé est souvent fidèle aux attentes du client en termes de visuel et de fonctionnalités, il ne faut pas s’arrêter là pour autant, car les risques de piratage d’un site web sont élevés (y compris pour les « petits » sites).

Quelle place pour la sécurité ?

Pour les entreprises décidant de se faire accompagner par des professionnels du web, il va être nécessaire de bien se préparer au chantier que représente la construction d’un site internet digne de ce nom. A savoir se mettre d’accord sur le budget que vous êtes prêt à investir. Ce dernier sera conditionné par la « taille » désirée du site internet, ses fonctionnalités, son design, sa maintenance (comprendre : mises à jour du site internet) mais il devra également prendre en compte l’aspect cybersécurité. Ce dernier aspect est souvent ignoré afin de pouvoir proposer des prix plus abordables, mais il représente pourtant un enjeu majeur.

ecommerce hack

Il faut bien comprendre qu’un développeur web, aussi talentueux soit-il, n’est pas nécessairement expert en sécurité web. Il s’agit bien là de deux métiers distincts faisant appel à des compétences bien différentes. Il est important de comprendre cette distinction pour pouvoir questionner son prestataire sur cette problématique. Quelles garanties peut-il apporter ? A-t-il notamment prévu de conduire des tests de sécurité ? Qui aura la responsabilité en cas de piratage ? L’enjeu est bien là, et si rien n’est contractualisé, ou mentionné dans un cahier des charges, il y a de fortes chances pour que le client ne puisse rien faire valoir comme droit et qu’il doive assumer seul les conséquences d’un piratage.

Lire la suite

Pentest vs. Bug bounty : Que choisir pour des tests de sécurité ?

Un pentest (ou test d’intrusion) permet de mettre à l’épreuve la sécurité d’une plateforme en faisant conduire des tests par une entreprise spécialisée en cybersécurité. Les plateformes de bug bounties, apparues aux Etats-Unis il y a quelques années puis à présent en Europe, permettent de faire conduire des tests de sécurité par des hackers indépendants qui s’inscrivent sur une plateforme en ligne. Quelles sont les différences entre ces 2 types d’approches ? Laquelle choisir pour tester son niveau de vulnérabilité ?

Pentest vs Bug Bounty : quelle différence?

Faire conduire un pentest revient à opter pour une approche structurée : la recherche systématique de vulnérabilités avec une méthodologie bien établie permet de couvrir tous les pans du système exposé. L’audit a un début et une fin, avec des dates planifiées. Il peut ensuite être renouvelé sur une base régulière. La société cliente a un interlocuteur avec lequel échanger, sur les failles, les corrections à mettre en place, et les risques spécifiques liés à son activité.
Exposer une application web sur un site de bug bounty revient à autoriser les chasseurs de bugs à être récompensés pour leurs exploits. Cela permet d’ouvrir la recherche de failles à un nombre potentiellement important de personnes intéressées par la démarche. Ces personnes conduisent des recherches quand elles en ont l’envie et le temps, et déclarent leurs trouvailles au fur et à mesure, par l’intermédiaire d’une plateforme en ligne.

pentest-vs-bug-bounty

Les avantages du pentest

Pour conduire un pentest, il faut établir un contrat avec une société spécialisée en cybersécurité. Le prestataire a des obligations, et se porte garant du travail effectué par son équipe : que ce soit sur le niveau de qualité ainsi que sur la confidentialité et la responsabilité en cas d’incident. La réputation de l’entreprise, et même son existence sur le marché, est en jeu.
Le client est informé des dates de tests, des IPs utilisées par les attaquants, des différentes phases de l’audit. Il peut demander des restrictions, ou au contraire un focus spécifique sur certains pans de son application web. Il est donc rassurant de faire appel à une société experte en pentest. Si l’on recherche un accompagnement personnalisé, adapté au contexte de l’entreprise, c’est un service efficace.

Lire la suite

Sécurité digitale : (self-)knowledge is power !

Damien, administrateur système de la société Sihtmark, démarre sa semaine sur les chapeaux de roue. Des serveurs de sa société ont été attaqués durant le weekend et semblent avoir été totalement corrompus. Plus d’accès possible, certains services internes de la société sont paralysés.
Après plusieurs jours d’investigation et de réinstallation, la première conclusion est là : les assaillants s’en sont pris à une version de développement d’un intranet, oubliée depuis les premières versions développées, et exposée par erreur sur Internet. Des informations d’utilisateurs potentiellement valides sur cet intranet ont probablement été compilées à partir de données récoltées sur le web.
Deuxième conclusion : Sihtmark a perdu le contrôle et surtout la connaissance de ce qu’elle expose sur Internet.

Des questions sans réponse complète

Après un tel incident, Damien se pose des questions pourtant simples, mais pour lesquelles les réponses sont incomplètes, ponctuées de “je crois”, “normalement”, “un peu”, “ça devrait être”…
Quels sont les domaines web enregistrés par l’entreprise ? Qui les a achetés, configurés, maintenus ?
Quel est l’historique de tel site web ? Pourquoi l’intranet a été exposé sur Internet ?
Et, si les assaillants ont pu se connecter à l’intranet et y trouver des vulnérabilités, celles-même qui ont amené à la corruption totale des serveurs, comment et où ont-ils trouvé les informations pour y parvenir ?
Des informations confidentielles seraient-elles dispersées sur Internet ?

Iceberg illustration

Un ménage s’impose.
Et surtout, un besoin de faire le tour complet de ce qu’est l’empreinte digitale de Sihtmark. Damien a trouvé une solution pour cela : un audit de reconnaissance.

Un audit pour des sociétés ayant un minimum d’historique

Une startup créée il y a 3 mois n’aura à priori que peu d’intérêt à aller vers ce type d’audit. En effet, plus une société est récente, moins son empreinte digitale sera élevée et moins son historique technique sera profond.

Lire la suite