Risques cyber : des actions pour assurer les entreprises

La Direction générale du Trésor publie un rapport contenant un plan d’actions pour développer l’assurance du risque cyber et répondre aux défis croissants qui menacent la santé économique des entreprises.

La transformation digitale et la crise sanitaire ont augmenté la dépendance des entreprises au numérique avec pour corollaire une multiplication des cyberattaques que ce soit en volume, en fréquence ou en complexité. Selon la direction générale du Trésor, 54 % des entreprises françaises ont, en effet, fait l’objet d’une cyberattaque en 2021, un chiffre en constante augmentation ces dernières années. Mais si les risques cyber sont en hausse, peu d’entreprises sont assurées face à cette menace. Ils ne représentent, en effet, que près de 3 % des cotisations en assurance dommage des professionnels.

Clarifier le cadre juridique de l’assurance

Pour développer les solutions assurantielles, le rapport du Trésor propose des actions concrètes et crédibles autour de 4 axes : clarifier le cadre juridique de l’assurance du risque cyber (clarification des clauses de contrats, amélioration de l’information des assurés…) ; favoriser une meilleure mesure du risque cyber (création d’un observatoire de la menace cyber, transmission d’informations entre assureurs…) ; améliorer le partage de risque entre assurés, assureurs et réassureurs (promotion de solutions innovantes dans l’assurance, développement de solutions d’auto-assurance) ; accroître les efforts de sensibilisation des entreprises au risque cyber (formation des professionnels de l’assurance, définition de référentiels de sécurité partagés…).Pour consulter le rapport de la direction générale du Trésor : www.tresor.economie.gouv.fr

Article publié le 20 septembre 2022 – © Les Echos Publishing 2022

L’intelligence artificielle pour développer l’entreprise

Alors que l’intelligence artificielle se développe de plus en plus au sein des entreprises, une fiche pratique réalisée par le ministère de l’Économie explique quel levier elle peut représenter pour la croissance de l’entreprise et présente les soutiens publics accessibles.

L’intelligence artificielle (IA) est un logiciel informatique capable de « réagir » comme des humains en reproduisant les mécanismes de la pensée humaine. Pour y parvenir, elle utilise le machine learning et le deep learning. Pour mieux comprendre ces notions, le site du ministère de l’Économie détaille dans une fiche ce que l’IA peut apporter aux entreprises. Elle explique notamment que l’intelligence artificielle peut être appliquée à de nombreuses missions, comme rendre certaines tâches plus simples et efficientes, ou encore améliorer l’efficacité des process et diminuer leurs coûts.

Soutien à l’acquisition d’IA

Pour accompagner les entreprises qui veulent doper leur croissance et leur compétitivité avec l’IA, Bpifrance a mis en place un programme spécifique « Diagnostic data intelligence artificielle ». Il s’adresse aux PME et ETI de tous secteurs industriels, immatriculées en France, dont l’effectif est inférieur à 2 000 personnes et non filiale d’un groupe de plus de 2 000 personnes. Ce programme peut prendre en charge sous conditions jusqu’à 50 % de la prestation réalisée par un expert conseil en Data IA. Un second programme, nommé « IA Booster », soutient l’acquisition d’IA pour les TPE et PME à travers une phase d’audit pour définir les besoins, l’installation d’une solution d’intelligence artificielle et l’accompagnement des équipes dans son déploiement.Pour consulter la fiche : https://www.economie.gouv.fr/entreprises/intelligence-artificielle

Article publié le 13 septembre 2022 – © Les Echos Publishing 2022

Plus de la moitié de la population mondiale utilise les réseaux sociaux en 2022

Pas moins de 59 % de la population mondiale utilise les réseaux sociaux. Un tiers les utilise pour s’informer et un quart à des fins professionnelles.

Alors que la Terre comptait 7,98 milliards d’habitants en juillet 2022, il y avait, selon le rapport Digital 2022 publié par Hootsuite et l’agence We Are Social, 5,03 milliards utilisateurs d’internet à cette même période, dont 4,70 milliards utilisateurs de médias sociaux. Un chiffre qui a augmenté de 227 millions au cours de l’année écoulée, soit une hausse de plus de 5 % en un an. Ce qui équivaut désormais à 59 % de la population totale du monde qui utilise les réseaux sociaux, dont 45,7 % de femmes et 54,3 % d’hommes. Toujours selon le rapport, les internautes y passent en moyenne 2h29 par jour.

Utiliser les réseaux sociaux pour s’informer

Le rapport nous apprend également que les réseaux sociaux sont utilisés pour différents objectifs. 47,6 % s’en servent pour rester en contact avec leur famille ou leurs amis, 34,8 % utilisent ce canal pour s’informer, 22,5 % pour un besoin professionnel. Un internaute utilise en moyenne 7,5 réseaux sociaux, dont Facebook, la plate-forme la plus utilisée pour s’informer (44 % des utilisateurs), YouTube (30 %) et WhatsApp (22 %). À noter : le nombre de personnes déclarant se servir de TikTok pour les informations a presque doublé depuis l’année dernière, passant de 4 % à 7 %. Impossible aujourd’hui pour une entreprise de faire l’impasse sur ce canal de diffusion de l’information !Pour consulter l’étude : https://www.hootsuite.com/resources/digital-trends-q2-update

Article publié le 05 septembre 2022 – © Les Echos Publishing 2022

Résiliation anticipée d’un abonnement internet ou téléphonique : du nouveau !

Les frais de résiliation anticipée d’un contrat de téléphonie ou d’internet conclu à compter du 1er janvier 2023 seront limités voire supprimés

La récente loi en faveur du pouvoir d’achat prévoit une réduction des frais qui sont demandés par les opérateurs aux consommateurs en cas de résiliation anticipée d’un contrat d’accès à internet ou de téléphonie. Rappelons que lorsqu’ils sont engagés sur une durée de plus de 12 mois, les consommateurs ont la possibilité de résilier le contrat de manière anticipée à compter de la fin du 12e mois. Or jusqu’à maintenant, des frais de résiliation, qui pouvaient aller jusqu’à 25 % des mensualités restant dues pour la période du contrat qui n’était pas exécutée, étaient souvent facturés au consommateur qui faisait usage de cette faculté.

Bonne nouvelle pour les consommateurs : pour les contrats conclus à compter du 1er janvier 2023, aucun frais ne pourra être réclamé en cas de résiliation anticipée intervenant au bout d’un. Des frais de résiliation anticipée pourront toutefois continuer à être facturés pour les contrats qui permettent aux consommateurs de bénéficier de la vente d’un équipement subventionné (par exemple, un téléphone portable vendu à moindre coût lors de la souscription d’un abonnement à un service de téléphonie mobile). Mais pour les contrats conclus à compter du 1er janvier 2023, ils seront plafonnés à 20 % du montant des mensualités restant dues, au lieu de 25 % actuellement.

À noter : aucun frais de résiliation anticipée ne pourra être réclamé à un consommateur qui fera l’objet d’une procédure de surendettement.

Art. 15, loi n° 2022-1158 du 16 août 2022, JO du 17

Article publié le 01 septembre 2022 – © Les Echos Publishing 2022

Mots de passe : quelle politique mettre en place ?

Adopter une politique de gestion sérieuse des mots de passe est indispensable pour assurer la sécurité des données de l’entreprise.

En raison de sa simplicité et de son faible coût, le mot de passe reste la technique d’identification la plus utilisée par les entreprises, notamment les plus petites. Or, ce système, s’il n’est pas administré avec rigueur offre un faible niveau de sécurité. Selon une étude de Verizon, 81 % des notifications de violations de données mondiales enregistrées en 2021 étaient liées à des problèmes de mots de passe. Une bonne occasion de rappeler quelques principes à respecter pour créer et administrer des mots de passe solides dans l’entreprise.

Concevoir des mots de passe complexes

Pour l’Agence nationale de la sécurité des systèmes d’information (Anssi), un bon mot de passe doit être composé de 10 à 12 caractères de type différent (lettres, chiffres, caractères spéciaux, majuscules, minuscules). Bien entendu, pour être impossible à deviner, la chaîne de signes ainsi formée ne doit pas avoir de lien avec la vie privée de son utilisateur (date de naissance, noms des enfants…) et ne doit pas être présente dans un dictionnaire (autrement dit, elle ne doit avoir aucun sens).Afin de parvenir à créer un tel mot de passe et à s’en souvenir, l’Anssi préconise deux méthodes. La méthode phonétique « J’ai acheté 5 CD’s pour cent euros cet après-midi » : ght5CDs%€7am, et la méthode des premières lettres : « Les 12 salopards et César et Rosalie sont mes deux films préférés » : L12seCeRsmdfp. La Cnil propose sur son site un générateur de mot de passe basé sur la technique de la première lettre.

Bannir les mots de passe uniques

Même si c’est pratique et plus simple, il est dangereux d’utiliser le même mot de passe pour administrer plusieurs comptes. S’il venait à être découvert, toutes les applications qu’il permet d’ouvrir seraient alors compromises. A minima, l’Anssi conseille de choisir un mot de passe spécifique au moins pour les services les plus sensibles (messagerie professionnelle, accès aux réseaux de l’entreprise, services bancaires en ligne…). Quant aux systèmes de mémorisation des mots de passe présents notamment sur les navigateurs Internet, l’agence en déconseille l’usage qu’elle considère encore peu sécurisé. Bien entendu, le recours au célèbre « Post-it » pense-bête collé sur le bureau ou le coin de l’écran de l’ordinateur est à proscrire.

Changer régulièrement de mot de passe

Aussi fort soit-il, un mot de passe n’est jamais incassable. Dès lors, il convient de le changer régulièrement pour éviter qu’un hacker qui serait parvenu à le découvrir sans que personne s’en aperçoive continue à accéder au réseau de l’entreprise ou à certaines de ses applications. Il faut ici trouver un compromis entre le confort des utilisateurs et la nécessaire sécurité de l’entreprise. En fonction du caractère sensible des accès, la durée de validité d’un mot de passe pourra ainsi varier de 3 mois à 1 an.

Instaurer des règles communes

La gestion des mots de passe ne doit pas peser sur les seuls collaborateurs, mais doit s’inscrire dans une politique de sécurité globale. Ainsi, les règles de choix des mots de passe (longueur du mot de passe, type de signes utilisables pour le composer…) comme leur durée de vie doivent être les mêmes pour tout le monde. Pour être acceptée et suivie et ne pas être considérée comme des contraintes inutiles et chronophages, la mise en place de ces règles doit s’accompagner de plan de formation et de communication. L’idée est ici de permettre à chacun de mesurer les enjeux de la sécurité informatique en termes de risque. Cette phase est essentielle pour que la sécurité devienne une véritable culture partagée par l’ensemble des collaborateurs. Idéalement, des réunions d’information pourront être organisées pour sensibiliser l’ensemble des collaborateurs sur l’intérêt d’assurer la sécurité des données de l’entreprise, mais également afin de partager les expériences de chacun et ainsi élaborer des solutions à la fois efficaces et consensuelles.

Effectuer un suivi

La sécurité des systèmes informatiques doit être administrée de manière centralisée comme tous les autres sujets à fort enjeu de l’entreprise. Les personnes qui en assument la charge, outre de définir les règles de création et de gestion des mots de passe, devront aussi veiller à leur application (mise en place de systèmes automatiques imposant le changement des mots de passe après un certain délai, vérification de la confidentialité des mots de passe, désactivation des mots de passe des anciens salariés…).

S’appuyer sur les gestionnaires de mots de passe

Un gestionnaire de mots de passe est un logiciel administrant une base de données sécurisée. Il a pour principale mission de stocker vos identifiants et tous les mots de passe associés et de vous permettre de vous connecter automatiquement sur chacun des sites sécurisés auxquels vous êtes abonné. Ces programmes peuvent être présents sur l’espace mémoire d’un ordinateur, d’un smartphone ou d’une tablette, mais également en ligne (cloud), ce qui présente l’avantage d’en permettre l’accès à partir de n’importe quelle machine. Les utiliser permet de n’avoir plus qu’un mot de passe à retenir : celui qui permet d’accéder au gestionnaire de mot de passe. Ces outils peuvent s’intégrer dans la politique de gestion des mots de passe de l’entreprise. Mais dans ce cas, il revient aux personnes en charge de ce dossier de sélectionner l’outil qui devra être utilisé par l’entreprise dans le cadre d’un abonnement global, sans quoi chaque collaborateur risque de faire son propre choix. Les outils les plus connus sont Dashlane, LastPass, Passky, LockPass ou encore KeePass.

Article publié le 01 septembre 2022 – © Les Echos Publishing 2022

Google Meet évolue à nouveau

Plusieurs améliorations sont proposées avec les dernières mises à jour de la célèbre application de visioconférence Google Meet. Le géant américain a par ailleurs indiqué qu’il limitait les appels vidéo de groupe à 60 minutes sur les comptes gratuits.

Proposée gratuitement en version premium à tous les utilisateurs il y a deux ans au début du confinement, Google Meet avait à cette occasion supprimé la durée maximale d’une heure habituellement appliquée aux réunions de groupe. À partir de septembre, ces mesures temporaires vont disparaître. Les réunions à trois participants ou plus seront de nouveau soumises à la limite d’une heure. Et pour organiser des réunions de groupe de plus d’une heure, il faudra passer au forfait Google One supérieur, qui inclut des fonctionnalités de visioconférence avancées avec Google Workspace premium.

Une fonctionnalité pratique : le « push-to-talk »

D’autres nouveautés vont faire leur apparition. C’est le cas par exemple de la fonction « push-to-talk », qui permet à l’utilisateur d’activer rapidement son micro pour prendre la parole en maintenant uniquement la barre d’espace enfoncée, puis de la relâcher pour réactiver le mode muet. Un problème va également être réglé : celui de l’affichage de l’arrière-plan sur certains ordinateurs manquant de puissance pour extraire les informations de profondeur d’une webcam. La nouvelle version de Google Meet devrait entraîner jusqu’à 30 % d’économies d’utilisation du processeur. Enfin, elle va améliorer ses effets de profondeur dans les arrière-plans pour une meilleure expérience utilisateur.

Article publié le 01 septembre 2022 – © Les Echos Publishing 2022

Apple : des Passkeys pour remplacer les mots de passe

Pour éviter à ses utilisateurs de d’utiliser des mots de passe pas toujours fiables, Apple devrait proposer des Passkeys, sortes de clés numériques uniques qui remplaceraient à terme les actuelles chaînes de caractères à mémoriser.

Parce que les mots de passe sont de plus en plus souvent piratés, surtout s’ils ne sont pas complexes et donc difficiles à mémoriser pour les utilisateurs, plusieurs géants du secteur informatiques, dont Google et Microsoft, cherchent des solutions alternatives, par exemple basées sur des fonctionnalités d’authentification biométrique. C’est le cas également d’Apple qui a fait de la sécurité l’un de ses arguments de vente et qui travaille sur des Passkeys, des clés numériques uniques faciles à utiliser et sécurisées.

Des clés numériques stockées sur l’ordinateur

Contrairement aux mots de passe, stockés sur des serveurs qui sont souvent la cible de cyber attaques, les Passkeys seraient enregistrées en local sur l’ordinateur et ne pourraient donc être piratées lors d’attaques de serveurs. Basées sur la technologie de cryptographie à clé publique, elles fonctionneraient avec Touch ID ou Face ID pour la vérification biométrique, et iCloud Keychain pour la synchronisation entre les supports Apple (iPhone, iPad, Mac, Apple TV) avec un chiffrement de bout en bout. Pour le moment Apple n’a donné aucune indication sur le calendrier de déploiement de cette nouvelle technologie. Mais une chose est certaine : elle devrait sonner la fin des mots de passe !

Article publié le 25 août 2022 – © Les Echos Publishing 2022

Fraudes et escroqueries : un nouveau guide de prévention

Alors que la pandémie de Covid a accéléré le recours des entreprises et des citoyens aux outils numériques notamment via le télétravail, entrainant une recrudescence des fraudes et escroqueries en ligne, l’État publie un guide pratique de prévention.

Pour faire face à la recrudescence des fraudes et escroqueries en ligne, une task-force nationale de lutte contre les arnaques s’est créée en avril 2020, associant notamment les services de l’État et des autorités de contrôle comme l’AMF, la Cnil ou la Banque de France. Mobilisée dans des actions répressives, la task-force œuvre également dans la prévention pour alerter les particuliers et les entreprises. Dans ce contexte, elle publie un nouveau guide de prévention contre les arnaques.

Pour les consommateurs et les entreprises

Ce guide s’adresse aux consommateurs (de tous âges et de toutes catégories socio-professionnelles) comme aux entreprises. Il aborde tout type d’arnaques : des escroqueries à l’encaissement de chèques aux faux ordres de virements, les arnaques aux achats en ligne en passant par les arnaques au compte personnel de formation (CPF), les usurpations d’identité de professionnels, ou encore les faux sites administratifs collectant illicitement des données personnelles ou des coordonnées bancaires. Pour chaque type d’arnaques, le guide propose une fiche d’identification ainsi que des conseils pratiques de prévention et une liste d’actions à mener lorsque l’on en est victime.

Pour télécharger le guide : www.economie.gouv.fr/files/files/2022/Guide-TF-actualise-1907.pdf

Article publié le 18 août 2022 – © Les Echos Publishing 2022

Big Data & AI Paris, pour tout savoir sur l’intelligence artificielle

Les 26 et 27 septembre prochain, à Paris et en ligne, les acteurs de la filière du data et de l’intelligence artificielle vont dévoiler les dernières solutions sur le marché et se rencontrer pour apporter des réponses concrètes aux problématiques métiers.

De plus en plus d’entreprises sont en recherche d’information sur les aspects stratégiques, business ou encore techniques du big data et de l’intelligence artificielle (IA), devenus incontournables. Pour répondre à ce besoin, Big Data & AI Paris réunit pendant deux jours plus de 250 entreprises exposantes et 15 000 participants à travers quelque 350 conférences et ateliers sur des thèmes riches et variés. Objectif : permettre aux professionnels de rester en avance sur le sujet en bénéficiant de la meilleure information possible.

Des retours d’expérience sur des projets IA

Les participants auront ainsi accès à 3 parcours de conférences complémentaires (stratégie, retours d’expérience, technique), 6 salles d’ateliers et des sessions techs pour trouver des réponses aux problématiques métiers et échanger avec les exposants sur les dernières technologies. À suivre : le programme de 60 retours d’expérience d’entreprises qui ont mené à bien des projets big data et IA dans des secteurs variés (banque, retail, énergie..) et qui donneront les conseils à suivre et les écueils à éviter.

Pour en savoir plus : https://bigdataparis.com/

Article publié le 02 août 2022 – © Les Echos Publishing 2022

Attention aux pièces jointes HTML malveillantes

Spécialiste des solutions de sécurité, Barracuda a étudié les données relatives aux millions de pièces jointes passées par ses systèmes au cours du mois de juin. Résultats : les pièces jointes HTML sont les plus utilisées à des fins malveillantes !

Alors que les cyberattaquants multiplient leurs actions et rivalisent d’imagination pour piéger leurs victimes, le groupe Barracuda s’est penché spécifiquement sur les pièces jointes insérées dans les mails pour connaître leur nocivité. Premier constat : 21 % de toutes les pièces jointes HTML analysées étaient malveillantes. Ce type de pièces jointes est souvent utilisé dans les courriers électroniques, notamment dans les rapports générés par le système et qui incluent des liens URL vers le rapport proprement dit. Les attaquants insèrent des pièces jointes HTML frauduleuses dans des e-mails déguisés en rapports hebdomadaires, ce qui incite les utilisateurs à cliquer sur des liens de phishing (hameçonnage).

Des attaques difficiles à détecter

Une fois ouvert, le fichier HTML redirige en effet l’utilisateur vers une machine tierce qui lui demande de saisir ses informations d’identification pour accéder à ses données ou télécharger un fichier pouvant contenir un logiciel malveillant. Ces attaques sont difficiles à détecter car elles n’incluent pas elles-mêmes des logiciels malveillants et utilisent de multiples redirections. En principe, les systèmes de protection des messageries analysent les pièces jointes HTML et peuvent les bloquer. Mais pour limiter les risques, les utilisateurs doivent se méfier des pièces jointes HTML provenant de sources qu’ils n’ont jamais vues auparavant.

Article publié le 02 août 2022 – © Les Echos Publishing 2022