Veille juridique. Les données liées à la santé : une sécurité très sensible. La protection des données à caractère personnel représente un enjeu majeur pour les particuliers et les entreprises travaillant dans ce domaine. Mais cette problématique complexe oblige tous les acteurs à renforcer la sécurité des infrastructures et des échanges d’informations.
Car le principal enjeu est d’assurer la mise à disposition des données pour les professionnels de santé tout en garantissant la sécurité et la confidentialité. Comme toutes les entreprises, les établissements hospitaliers et les laboratoires peuvent être en effet touchés par une attaque informatique. Et ces risques devraient être encore plus élevés dans les prochaines années avec la multiplication des objets connectés. Guillaume Poupard, Directeur Général de l’ANSSI (’Agence nationale de la sécurité des systèmes d’information), considère que les attaques sur le système de santé vont se multiplier et pourrait même engendrer des morts ! Philippe Richard. Le télétravail : une faille de plus dans la sécurité des entreprises ? Après les attentats de novembre dernier à Paris, de nombreuses entreprises ont étudié la possibilité de développer le télétravail.
Les contraintes urbaines avec ses embouteillages et les grèves des transports ont joué également en faveur de ce mode de travail. Cette éventualité semble séduire les salariés. Plus de 60 % d’entre eux souhaiteraient faire du télétravail. La même proportion a émis le souhait de pouvoir le faire au moins plusieurs jours par semaine ou de temps en temps, d’après les résultats d’une étude de l’institut Odaxa, publiée en avril 2015. Cette évolution des comportements est facilitée par les multiples solutions permettant de travailler à distance : visioconférence, ordinateur portable, messageries instantanées, calendrier partagé, smartphones, etc.
Revers de la médaille, ces multiples accès au réseau informatique de l’entreprise sont autant de failles de sécurité. Sensibilisation à tous les étages Séparation Par Philippe Richard. Apple ou FBI, vie privée ou sécurité : qui faut-il croire. La bataille entre sécurité et vie privée fait rage, depuis que le FBI et Apple s’écharpent au sujet des données de l’iPhone d’un terroriste.
Dans le cadre de son enquête sur la tuerie de San Bernardino, la police fédérale tente ainsi d’accéder au contenu de l’iPhone de Syed Farook. Seulement, depuis les révélations d’Edward Snowden sur la surveillance de la NSA, Apple est devenu le champion de la protection de la vie privée, et conçoit des OS toujours plus sécurisés. Incapable d’accéder au contenu du smartphone, le FBI demande à l’entreprise de l’aider à entrer dans l’appareil, au moyen d’une "backdoor" (porte dérobée). Un OS très "spécial" L’iPhone en question, un 5c, ne peut être déverrouillé que par un code secret. Pour le trouver, la solution serait de réaliser une attaque par force brute. Le juge, sollicité par le FBI, demande donc à Apple de concevoir un système d’exploitation "spécial", qui permette de désactiver l’effacement des données. "L’équivalent d’une clé maître" Le paiement sans contact et sans… sécurité. La facilité d’usage n’a jamais été compatible avec une sécurité efficace.
Des hackers allemands ont encore confirmé cette règle d’or en pointant du doigt des failles dans deux protocoles utilisés dans les systèmes de paiement par carte outre-Rhin. Sur le papier, le paiement sans contact présente des atouts séduisants : en quelques secondes un client peut payer sa baguette ou son journal en passant sa carte bancaire devant un lecteur ad hoc. Plus besoin de taper son mot de passe.
Les banques incitent les consommateurs à utiliser cette solution reposant sur la technologie NFC (pour Near Field Communication, communication en champ proche) qui ne fonctionne qu’à une faible distance, inférieure à 10 centimètres. Résultat environ 31,5 millions de cartes de paiement sans contact circulent en France. Très peu, certainement. Le premier n’embarque pas de mécanisme d’authentification. La cause ? De son côté, Pierre-Alain Fouque. Par Philippe Richard. Contrôle d'accès : les bases de la sécurité des systèmes d'information, Par Olivier Mélis, Country Manager France chez CyberArk.
Il a récemment été révélé qu'un employé de l'opérateur de télécommunications américain AT&T aurait accédé aux données confidentielles de près de 1 600 clients. L'employé en question n'aurait pas respecté les règles de confidentialité internes mises en place par l'opérateur et obtenu « inopportunément » des données clients, incluant notamment des numéros de sécurité sociale et de permis de conduire. Bien qu'aujourd'hui de nombreuses entreprises soient sensibilisées à l'établissement de politiques de sécurité, il est encore nécessaire de rappeler l'importance de renforcer les contrôles d'accès au système d'information d'une organisation.
Au-delà de la formation du personnel, la mise en place de solutions de surveillance du système d'information permet de prévenir tout accès ou extraction de données inhabituels. Nous avons malheureusement pu constater ces dernières années que les comptes à hauts pouvoirs restent les parents pauvres des politiques de sécurité.