Le but est de remplacer les lois concernant la protection des données personnelles des différents pays membres de l’Europe par une seule.

Plus précisément :

La parution au Journal Officiel de l’Union européenne date du 4 Mai 2016

Article 99 Entrée en vigueur et application

• 1. Le présent règlement entre en vigueur le vingtième jour suivant celui de sa publication au Journal officiel de l’Union européenne. (Donc le 24 Mai 2016)
• 2. Il est applicable à partir du 25 mai 2018.
  Le présent règlement est obligatoire dans tous ses éléments et directement applicable dans tout État membre.

En résumé, et en très simplifié, le RGPD vous oblige à :

Article 32 : de protéger vos données personnelles (Informations concernant vos prospects, vos clients, vos fournisseurs, vos salariés, vos patients, ….) de façon physique et logique (ce qui était déjà le cas, Article 34 des lois informatiques & Libertés).

Mais aussi, et je vous laisse lire le texte pour de plus amples renseignements:

• L’obligation de collecter les données personnelles de façon honnête et claire et de pouvoir le démontrer,
• La protection des enfants,
• Le droit à l’oubli ,au portage des informations, et à leur consultation
• Encadrement du profilage

En cas de manquement (liste non exhaustive)

Pour votre ordinateur

• perte ou vol
• crypto virus ou virus tout court qui va récupérer vos données

Mais aussi la tablette et le smartphone

• perte
• vol
• application qui collecte à votre insu vos contacts et les envois sur le web

Mais aussi perte ou vol des média mobiles

• CD, DVD
• Clé USB
• Disque dur externe
  Mais aussi les emails
  • Erreur de pièce jointe ou de destinataire
  • L’utilisation de comptes « non propriétaire » ( du genre @gmail.com, @yahoo.com, @laposte.net, …. bref, tout ce qui n’est pas @ma-societe.com). Car si votre compte se fait pirater, le pirate aura accès à vos contacts email et pourra se faire passer pour vous. Et allez démontrer que vous êtres le propriétaire légitime du compte à Google, Microsoft, …

En effet, une personne mal intentionnée pourra faire de l’usurpation d’identité à partir des informations suivantes :

-prénom, nom, adresse postale, courriel, numéro de téléphone
-Eventuellement pour un salarié : n° de Sécurité Sociale, compte bancaire.

Vous devrez :

-Article 33 : Prévenir la CNIL sous 72 heures

-Article 34 : Prévenir les personnes concernées (si vous avez perdus vos données, ce ne sera pas simple si vous n’avez pas prévu de sauvegarde par exemple)

Et vos sous-traitants, qu’ils soient Européens ou non devront respecter le RGPD
(Comptabilité externalisée, Application métier hébergée,…) :

Article 3 Champ d’application territorial

• 1.Le présent règlement s’applique au traitement des données à caractère personnel effectué dans le cadre des activités d’un établissement d’un responsable du traitement ou d’un sous-traitant sur le territoire de l’Union, que le traitement ait lieu ou non dans l’Union.
• 2. Le présent règlement s’applique au traitement des données à caractère personnel relatives à des personnes concernées qui se trouvent sur le territoire de l’Union par un responsable du traitement ou un sous-traitant qui n’est pas établi dans l’Union, lorsque les activités de traitement sont liées:
• a) à l’offre de biens ou de services à ces personnes concernées dans l’Union, qu’un paiement soit exigé ou non desdites personnes; ou
• b) au suivi du comportement de ces personnes, dans la mesure où il s’agit d’un comportement qui a lieu au sein de l’Union.

Article 28 Sous-traitant

1. Lorsqu’un traitement doit être effectué pour le compte d’un responsable du traitement, celui-ci fait uniquement appel à des sous-traitants qui présentent des garanties suffisantes quant à la mise en oeuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée.

Les sanctions

–Article 82 et 83 Une sanction allant jusqu’à 4% de votre chiffre d’affaire mondial ou 20 000 000€  pourra être appliquée

Et le point de vue de la CNIL ne sera pas le même entre un ordinateur qui n’est pas entretenu et un autre qui sera à jour au niveau Windows, des produits tiers et de son antivirus.

En effet, selon les articles 83-1,83-2, 83-2-d et 83-5

Article 83 Conditions générales pour imposer des amendes administratives

• 1. Chaque autorité de contrôle veille à ce que les amendes administratives imposées en vertu du présent article pour des violations du présent règlement visées aux paragraphes 4, 5 et 6 soient, dans chaque cas, effectives, proportionnées et dissuasives.
• 2. Selon les caractéristiques propres à chaque cas, les amendes administratives sont imposées en complément ou à la place des mesures visées à l’article 58, paragraphe 2, points a) à h), et j). Pour décider s’il y a lieu d’imposer une amende administrative et pour décider du montant de l’amende administrative, il est dûment tenu compte, dans chaque cas d’espèce, des éléments suivants:
• d) le degré de responsabilité du responsable du traitement ou du sous-traitant, compte tenu des mesures techniques et organisationnelles qu’ils ont mises en oeuvre en vertu des articles 25 et 32;
• 5. Les violations des dispositions suivantes font l’objet, conformément au paragraphe 2, d’amendes administratives pouvant s’élever jusqu’à 20 000 000 EUR ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu:

De même, la sauvegarde de vos données est imposée par :

Article 32 Sécurité du traitement

• 1.Compte tenu de l’état des connaissances, des coûts de mise en oeuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en oeuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins:
• b) des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement;
• c) des moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique;

Mes suggestions

Mettez en place des solutions efficaces dès maintenant !!!!

Je mets à votre disposition mon expérience en sécurité informatique : Certification CISSP afin de vous aider dans le choix de solutions de:

• Supervision du PC et mise à jour des correctifs Microsoft
• La gestion des mises à jour des produits tiers (Acrobat Reader, java, flash,…)
• Un antivirus qui peut se gérer de façon centralisée
• Sauvegarde de vos données en local et/ou dans le cloud sur des serveurs hébergés en France
• Partage de données dans le cloud sur des serveurs hébergés en France
• Un anti spam / antivirus au niveau de votre messagerie
• Des solutions de chiffrement

En effet, si vous pouvez démontrer que vos données ne sont pas exploitable (disque dur ou clé USB chiffrées par exemple) vous n’aurez pas à prévenir l’utilisateur final (en cas de vol de votre PC ou clé USB par exemple), ce qui pour l’image de la société est un plus.

Article 34 Communication à la personne concernée d’une violation de données à caractère personnel

• 3. La communication à la personne concernée visée au paragraphe 1 n’est pas nécessaire si l’une ou l’autre des conditions suivantes est remplie:
• a) le responsable du traitement a mis en oeuvre les mesures de protection techniques et organisationnelles appropriées et ces mesures ont été appliquées aux données à caractère personnel affectées par ladite violation, en particulier les mesures qui rendent les données à caractère personnel incompréhensibles pour toute personne qui n’est pas autorisée à y avoir accès, telles que le chiffrement;

RSSI à la demande peut vous aider sur la majorité de ces points.

Voici la liste des 12 questions.

Les explications fournies sont volontairement simplifiées.
Il ne s’agit pas ici de faire des discutions métaphysiques et philosophiques sur la sécurité informatique, mais de vous donner des informations qui seront vraies à 90% pour que vous puissiez comprendre pourquoi c’est important pour vous.

NO1 – Connaissez-vous bien votre parc informatique ?
NO2 – Effectuez-vous des sauvegardes régulières ?
NO3 – Appliquez-vous régulièrement les mises à jour ?
NO4 – Utilisez-vous un antivirus ?
NO5 – Avez-vous implémenté une politique d’usage de mots de passe robustes ?
NO6 – Avez-vous activé un pare-feu ? En connaissez-vous les règles de filtrage ?
NO7 – Comment sécurisez-vous votre messagerie ?
NO8 – Comment séparez-vous vos usages informatiques ?
NO9 – Comment maîtrisez-vous le risque numérique lors des missions et des déplacements professionnels ?
NO10 – Comment vous informez-vous ? Comment sensibilisez- vous vos collaborateurs?
NO11 – Avez-vous fait évaluer la couverture de votre police d’assurance au risque cyber ?
NO12 – Savez-vous comment réagir en cas de cyberattaque?

On me demande souvent quelles sont les différences entre les ransomwares et les cryptovirus.

Un Ransomware est un logiciel qui vous rançonne, à ne pas confondre avec les cryptovirus qui eux chiffrent vos données.

Alors oui, généralement les cryptovirus sont des ransomware.

Mais l’inverse n’est pas vrai.

Ainsi les fameux courriels où l’on vous menace de rendre public, à moins de payer une certaine somme, le fait que vous avez été pris en flagrant délits de masturbation, piratage, téléchargement illégal, etc est un ransomware, mais vos données ne sont pas chiffrées pour autant. C’est juste une arnaque pour vous intimider.
A part supprimer le courriel en question et rire un bon coup, il n’y a rien à faire.

Le mode opératoire des cryptovirus est simple:

Le virus va chiffrer tous les fichiers (word, excel, photo, ….) auquel il pourra accéder afin que vous ne puissiez plus les utiliser.
Une variante chiffre et bloque l’ordinateur intégralement.

Toute tentative d’accès se soldera par un message qui vous dira quelque chose du genre:
« Tes fichiers sont chiffrés par une clé de 2048 bits, si tu veux les récupérer, il faudra payer. »
Certains virus font monter les tarifs: plus vous tardez à payer, plus les prix montent.

Le fait de mettre vos fichiers sur le cloud (Dropbox, Google drive, OneDrive,….) ne vous protégera pas:
Si vous voyez vos fichiers dans l’explorateur de fichiers, alors le virus les voit aussi et donc les chiffrera.

Les solutions pour limiter l’impact.

• Le fait d’avoir un ordinateur à jour avec une bonne suite de sécurité limitera le risque.
  En effet, généralement les cryptovirus exploitent une faille sur votre ordinateur (système d’exploitation ou application non à jour)
• Utiliser un logiciel qui effectue des sauvegardes dans le Cloud.
  En effet, seul le logiciel de sauvegarde ayant accès à cet espace, le virus n’y aura pas accès et donc ne pourra rien faire.
• Une sauvegarde locale pourra être contaminée.
  Donc, il vaut mieux envisager d’avoir 2 disques durs externes (un de coté non branché sur l’ordinateur et un actif) que vous inversez chaque semaine et que vous branchez avant chaque sauvegarde et que vous débranchez une fois la sauvegarde finie.
  Cette dernière solution est plus pour les particuliers ou les solo-entrepreneurs.

La double punition

Pour se prémunir des sociétés qui refusent de payer, car ayant des sauvegardes, les pirates ont trouvé des parades:
Ils vont vous menacer de diffuser vos données sur internet et l’entreprise risque de tomber sous le coup du RGPD pour ne pas avoir protégé les données nominatives en sa possession.
En échange de ce paiement, le pirate promet de supprimer sa copie des données.
Bien évidement, rien ne garantie que le pirate respectera sa parole.

La triple punition

On continue dans l’extorsion : Ils vont vous menacer de faire chanter vos clients en les menaçants de rendre publique les informations que vous aviez sur eux.

Mais comment ai-je été contaminé ?

Les deux façons les plus classiques sont:

• Vous avez cliqué sur un lien reçu dans un courriel
• La compromission du SI

J’ai été contaminé, que puis-je faire ?

Concernant la remise en état de l’ordinateur

Il faudra partir d’une sauvegarde non contaminé, ce qui implique de savoir quand la contamination a eu lieu.

Certains malware pouvant se manifester 1 ou 2 mois après la contamination, cela pourra être compliqué si vous n’avez pas de solution permettant d’analyser les sauvegardes.

De plus, certains malware modifient soit le secteur d’amorçage du disque dur (MBR), soit la mémoire qui gère l’ordinateur (BIOS/UEFI). Dans ce cas, il faudra repartitionner le disque dur (ou le remplacer), soit changer d’ordinateur.

D’ailleurs, la première question à se poser est: Quoi que je fasse sur cet ordinateur, aurais-je encore confiance pour l’utiliser ? Si la réponse est non, il faudra en acheter un neuf, le mettre à jour, réinstaller les programmes et redescendre les données à partir d’une sauvegarde.

Concernant les données,

Il n’y a plus grand chose à faire, le pirate les a en sa possession et il en fera ce qu’il veut, que vous payez ou non.

Parmi les fonctions du RSSI, il y a entre autre :

• Conseiller l’entreprise sur les bonnes pratiques en matière de sécurité
• S’occupe de la formation et de la sensibilisation des utilisateurs de l’entreprise
• S’assurer que la sécurité est bien présente dans les projets
• S’occuper des audits et des pentests
• S’occuper de la continuité d’activité (PCA/PRA) et des documents de gestion de crises.
• Il rédige la charte informatique, la PSSI ainsi que les les procédures et s’assure que le corpus documentaire est à jour.

En fonction de la taille de votre entreprise, vous n’aurez surement pas besoin de tout cela.

On distingue les Firewalls matériels et logiciels.

Les Firewalls matériels

• Sont installés dans votre box ou sont entre votre accès internet et votre réseau.
• Sont géré par des techniciens qui connaissent ce genre de matériels.
• Limitent les attaques venant d’Internet.
• Travaillent seuls dans leurs coin.
• Ne connaissent pas vos logiciels.
• Ne se mettent pas à jour facilement.
• Ne protègeront pas vos autre PC si vous avez un PC infecté (si vous avez deux PC ou plus).

Les Firewalls logiciels

• Sont installés sur vos ordinateurs si vous avez une suite de sécurité et non pas un antivirus (Une suite de sécurité comprends un antivirus, un firewall, un antispam, un antifishing,…).
• Sont accessibles aisément par l’utilisateur, même si une bonne compréhension du système reste fortement recommandée.
• Limitent les attaques venant d’Internet et protègent au niveau du PC.
  Donc si vous avez plusieurs ordinateurs chez vous, il en faudra un par PC.
• Travaillent en collaboration avec votre antivirus, antiphishing, antispam, … de votre suite de sécurité.
• Connaissent les logiciels qui sont sur votre ordinateur.
• Se mettent à jour facilement, en même temps que votre suite de sécurité.
• Protègeront vos autres PC si vous avez un PC infecté (si vous avez deux PC ou plus).

Il faut la voir comme un standard téléphonique.

Dans une entreprise, vous avez un standard téléphonique, avec une charmante standardiste.
Lorsque vous, employé de la société, vous voulez appeler un collègue, vous faites, par exemple le 3812.
Lorsque vous voulez appeler l’extérieur, vous faites le zéro pour sortir suivi du numéro de votre correspondant, par exemple, le 00689542485

Mais si quelqu’un veut vous appeler, il faut :

• Qu’il appelle le numéro de téléphone unique de l’entreprise
• Que la standardiste décroche, lui demande à qui il veut parler
• Que la standardiste transfert l’appel

Une box, c’est pareil.

Vous avez

• Un coté qui va sur la prise téléphonique (ou la prise fibre) et qui correspond au numéro de téléphone de l’entreprise
• Un côté où vous avez vos PC branchés par un câble ou en wifi, ce sont les postes de téléphone des employés
• La box, c’est la standardiste, en moins charmante.

Si vous voulez

• Accéder aux données d’un serveur ou d’un PC à partir de votre ordinateur, vous l’appelez en direct.
• Aller sur Internet, vous y allez, sans même faire le zéro pour sortir et la box vous répond en affichant les pages.

Si un méchant pirate veut atteindre votre PC, il contacte la box qui lui demande: qui voulez-vous joindre?
Et comme on n’a pas dit à la box comment on fait pour joindre votre PC, le pirate est bloqué.
Bien sûr cela n’est pas suffisant pour vous protéger et ne bloquera pas les attaques qui concernent les pages internet infectées, les courriels avec des pièces jointes vérolées, le fait que le logiciel de la box ait une faille de sécurité, …

Une box à, entre autre, un rôle de firewall matériel.
Afin d’être mieux protégé, il est recommandé d’avoir un firewall logiciel sur son ordinateur.

Il y a deux définitions pour un virus.

La puriste : On distingue le virus, le vers, l’adware, le malware, le nana…ware…
La monsieur tout le monde : On met tous ces casses pieds dans le même sac et on les appels des virus, même si le terme de malware serait plus adapté.

On en restera sur cette dernière, pour cet article.

Comment fonctionne un anti-virus.

Un antivirus est constituée de deux parties:
Le programme, qui se met à jour de temps à autre, et change de millésime tous les ans (2021, 2022, ….)
Les définitions qui se mettent à jour toute les heures ou tous les jours au pire.

Il a deux modes d’analyses
Le disque dur est analysé entièrement à la demande, à faire de temps à autre, et qui maintenant se fait pendant les phase de repos de votre ordinateur.
Temps réel: tous les fichier utilisés sont systématiquement analysé

Que dois-je acheter ?

Je vous conseils de prendre quelque chose d’estampillé « Internet Security ».
En effet, tout ce qui est « Antivirus » ne protège pas assez.

Certains geeks vous dirons qu’un antivirus gratuit suffit.
Si vous avez les compétences techniques pour pallier aux insuffisances en installant en complément un anti spam, un pare-feu, un antispyware, …. faites-le.
Sinon, une bonne suite de sécurité vous protégera.

Vérifiez que votre logiciel de protection sait travailler avec votre navigateur, sinon il faudra changer soit le navigateur, soit la suite de sécurité.

Et puis comparez le prix d’une suite de sécurité pour un an avec celui d’une heure pour un dépannage en cas de virus. (Je n’ai jamais dit que le problème se réglerait en seulement une heure…..).

Lorsque vous achetez un antivirus, vous achetez deux choses:
La mise à jour des signatures qui permettent à l’antivirus de connaitre les nouveaux virus (ce que tout le monde fait).
Le droit de passer à la nouvelle version (de la version 2021 à la 2022) gratuitement. Si vous n’utilisez pas la version 2022 de votre antivirus, pensez à le faire !!!