CNIL Biométrie sur les lieux de travail – règlement type

2-3 minutes

« La biométrie est souvent présentée comme une alternative ergonomique et efficace à l’usage de mots de passe trop nombreux et trop longs à retenir. En effet, les données biométriques permettent à tout moment l’identification de la personne concernée sur la base d’une réalité biologique qui lui est propre, permanente dans le temps et dont elle ne peut s’affranchir. Pour autant, et précisément pour ces raisons, leur traitement génère des risques importants pour les droits et les libertés des personnes, dans l’hypothèse où ces données seraient compromises.

Le règlement européen sur la protection des données (RGPD) a consacré le caractère particulier des données biométriques en les qualifiant de « sensibles », au même titre que les données concernant la santé, les opinions politiques ou les convictions religieuses. Le traitement de ces données sensibles est en principe interdit, sauf certains cas limitativement énumérés.

Pour adapter le droit national à cette évolution des règles européennes, le législateur français a modifié la loi Informatique et Libertés. Les nouvelles dispositions prévoient que des dispositifs de contrôle d’accès biométriques peuvent être mis en place par des employeurs à condition d’être conformes à un règlement type élaboré par la CNIL.

Le règlement type « biométrie sur les lieux de travail » constitue le premier acte juridique de ce type élaboré par la Commission. Sa rédaction définitive a été précédée d’une consultation publique. Une trentaine de retours ont été adressés à la CNIL à cette occasion, et ont fait l’objet d’un examen attentif.

Ce cadre de référence s’inscrit dans la continuité des positions antérieures de la CNIL en matière de biométrie sur les lieux de travail. Il précise aux organismes comment encadrer leurs traitements de données biométriques et revêt un caractère contraignant. Les organismes qui mettent en œuvre ces traitements sont donc tenus de respecter les indications données dans le règlement type. »

https://www.cnil.fr/fr/biometrie-sur-les-lieux-de-travail-publication-dun-reglement-type

Le cadre RGPD de la CNIL pour le professionnel

https://www.cnil.fr/professionnel

Pour éduquer à l’information, être un « digital native » ne suffit pas

ShutterStock

TheConversation

Maître de conférences HDR, Université de Bordeaux

« Si les nouveaux profs ont une pratique courante du numérique, il ne sont pas si partants qu’on l’imagine pour guider leurs élèves dans les méandres du web. »

« L’enjeu est bien celui d’apprendre à déconstruire et à décrypter l’information tout en évitant la seule réaction affective et sporadique aux évènements. Aucune formule magique n’est à notre disposition, aucun acteur plus légitime ou plus efficace que les autres, aucune ressource suffisante, la responsabilité est collective et culturelle. »

http://theconversation.com/pour-eduquer-a-linformation-etre-un-digital-native-ne-suffit-pas-111240

SSI EXP – Une cyberattaque dévastatrice chez Norks Hydro

Image copyright Getty Images

Une cyberattaque cible une infrastructure critique, le producteur d’aluminium Norks Hydro

Undernews

Tribune Kaspersky Lab

« L’un des plus grands producteurs d’aluminium en Europe, le norvégien Norsk Hydro, a subi ce dimanche une cyberattaque de grande ampleur, probablement l’œuvre du ransomware LockerGoga, déjà derrière l’attaque d’Altran de janvier dernier.

De nombreuses usines sont passées en mode manuel tandis que le site et les applications internes de l’entreprise sont tombés. »

« Le malware LockerGoga qui aurait prétendument chiffré les fichiers de Norsk Hydro est une famille relativement nouvelle de ransomware par cheval de Troie, que nous détectons comme étant Trojan-Ransom.Win32.Crypren.

Cette attaque est très préoccupante et prouve une fois de plus que le monde n’est pas prêt pour les cyberattaques contre des infrastructures critiques, alors que les attaquants sont clairement capables de lancer des attaques sur ces organisations.

Nous avons assisté à des attaques contre des réseaux électriques, des raffineries de pétrole, des aciéries, des établissements financiers, des ports maritimes et des hôpitaux, lors desquels les organisations ont détecté des attaques et les ont reconnues.

Cependant, de nombreuses entreprises n’en font pas autant, et l’absence de rapports sur ces attaques entrave l’évaluation des risques et la réaction à la menace. Le niveau de cyber-risque associé à la connectivité croissante dans le secteur des industriel critique est mal compris.

Les recherches menées par Kaspersky Lab ont montré que 61 % des personnes interrogées considèrent que la mise en œuvre de l’IoT dans leurs systèmes ICS / OT constitue seulement un problème mineur en matière de cybersécurité, voire aucun. »

https://www.undernews.fr/hacking-hacktivisme/une-cyberattaque-cible-le-producteur-daluminium-norks-hydro.html

Usine numérique, robotique, informatique industrielle, IoT et cybersécurité

Pour les acteurs du Génie Electrique et de l’Informatique Industriel, un éclairage sur la formation vous est proposé dans la rubrique consacrée à la cybersécurité dans le n°92 de la revue GESI (cf. gesi.iut.fr )

Le monde informatique

Norsk Hydro frappé par une cyberattaque massive

crédit Norks Hydro

https://www.lemondeinformatique.fr/actualites/lireamp-norsk-hydro-frappe-par-une-cyberattaque-massive-74699.html

BBC Cybernews BBC.com

Huge aluminium plants hit by cyber-attack

Rory Cellan-Jones Technology correspondent

« One of the world’s biggest aluminium producers has switched to manual operations at some smelting plants following a « severe » ransomware attack.

Hydro, which employs more than 35,000 people in 40 countries, says the attack began on Monday night and is ongoing.

Some of the company’s factories have been forced to halt production though other facilities, including its power plants, are functioning normally.

The firm’s website is down but updates are being posted to Facebook.

US factories were among those affected, as were smelting plants in Norway.

Notices have been posted at the entrances to some of Hydro’s offices telling employees not to log in to their computers.

Staff worldwide are instead using mobile phones and tablets to access their emails, according to Hydro’s chief financial officer Eivind Kallevik.

At some factories, workers are using printed order lists while they remain unable to retrieve order data from their computers.

Norwegian security authorities said they were investigating the possibility that the cyber-attack was caused by a relatively new form of ransomware known as LockerGoga. However, they added it was not yet clear that this was the case.

A spokesman for Hydro also told the BBC that he could not yet confirm who was behind the attack. »

https://www.bbc.com/news/technology-47624207

SSI Etat – Recrudescence d’activités malveillantes russes en amont des élections de 2019

Recrudescence d’activités malveillantes de groupes russes ciblant plusieurs gouvernements européens en amont des élections à venir en 2019

https://www.undernews.fr/hacking-hacktivisme/recrudescence-dactivites-malveillantes-de-groupes-russes-ciblant-plusieurs-gouvernements-europeens-en-amont-des-elections-a-venir-en-2019.html

SSI IoT – Mirai, le retour

Mirai, le botnet de l’IoT revient et cible encore plus d’objets connectés

UnderNews

« Le chercheur en sécurité de Kasperky Lab, Victor Chebyshev explique et commente (en anglais) les causes, l’analyse, et les prévisions quant à cette situation préoccupante :

« La découverte d’une nouvelle variante du botnet Mirai, capable de cibler un plus grand nombre d’appareils connectés, en particulier dans les entreprises, a des implications importantes pour les administrateurs système des entreprises industrielles, car nous pourrions voir le même scénario se répéter encore et encore, avec vagues de nouvelles variantes et attaques. Il y a plusieurs raisons à cela. Tout d’abord, le code source du malware Mirai a été divulgué il y a un moment et peut maintenant être exploité par tout fraudeur possédant des compétences en programmation. Deuxièmement, le code est assez flexible et universel. Vous pouvez donc construire des botnets de toute complexité et pour n’importe quel but, adaptables à toute architecture matérielle. Dernier point, mais non le moindre: le code peut fonctionner conjointement avec des exploits de vulnérabilité, offrant ainsi un plus large éventail de méthodes permettant de casser la protection d’un périphérique.

Ce dernier point est le plus dangereux, car nous voyons de plus en plus d’attaques utilisant de nouveaux exploits. Ils peuvent toucher un appareil plus rapidement et plus efficacement que les mots de passe traditionnels, ce qui accélère le taux d’infection et d’expansion du botnet. Les dernières nouvelles suggèrent que les acteurs de la menace développent activement le malware Mirai. Cela signifie que la recherche de nouvelles vulnérabilités à intégrer dans la charge utile des logiciels malveillants ou à télécharger de manière dynamique devrait se poursuivre à l’avenir. La situation est exacerbée par le fait que le code de Mirai est mis à jour constamment pour éviter toute détection par des solutions de sécurité. Par conséquent, nous nous attendons à voir de nouvelles vagues d’infections Mirai se répandre parmi les nouveaux appareils IoT, les appareils qui ne sont pas corrigés à temps ou ceux qui ne sont pas protégés par une solution de sécurité », a déclaré Victor Chebyshev, expert en sécurité chez Kaspersky Lab. »

https://www.undernews.fr/malwares-virus-antivirus/mirai-le-botnet-de-liot-revient-et-cible-encore-plus-dobjets-connectes.html

REC – Les députés adoptent le Règlement Européen sur la Cybersécurité

©AP images/PE-UE

europarl.europa.eu

Les députés adoptent le règlement européen sur la cybersécurité | Actualité | Parlement européen
4-5 minutes

« Le PE a adopté le dispositif de certification en matière de sécurité pour les produits, processus et services, tout en exprimant son inquiétude face à la menace technologique chinoise.

Mardi, les députés ont adopté le règlement européen sur la cybersécurité par 586 voix pour, 44 contre et 36 abstentions. Ce texte crée le premier dispositif européen de certification en matière de cybersécurité afin de garantir que les produits, les processus et les services vendus dans les pays de l’UE soient conformes aux normes de cybersécurité.

Le Parlement a également adopté une résolution appelant à une action au niveau de l’UE concernant les menaces en termes de sécurité liées à la présence technologique croissante de la Chine dans l’UE.

Les députés ont exprimé leur vive inquiétude face aux récentes allégations selon lesquelles des équipements 5G pourraient avoir intégré des portes dérobées permettant aux autorités et aux fabricants chinois d’accéder sans autorisation aux données et aux télécommunications à caractère personnel dans l’UE.

La législation chinoise en matière de sécurité présente une menace pour l’UE

Les députés craignent également que les fournisseurs d’équipements de pays tiers ne présentent un risque pour la sécurité de l’UE en raison des lois de leur pays d’origine qui obligent toutes les entreprises à coopérer avec l’État pour protéger une définition très large de la sécurité nationale, même en dehors de leur propre pays. Les lois chinoises sur la sécurité de l’État ont en particulier déclenché des réactions dans divers pays, allant d’évaluations de sécurité à des interdictions catégoriques.

Les députés demandent à la Commission et aux États membres de fournir des orientations sur la manière de lutter contre les cybermenaces et les vulnérabilités lors de l’acquisition d’équipements 5G, par exemple en diversifiant les équipements auprès de différents fournisseurs, en introduisant des processus d’acquisition en plusieurs phases et en mettant en place une stratégie pour réduire la dépendance de l’Europe vis-à-vis des technologies étrangères de cybersécurité.

Ils exhortent également la Commission à charger l’Agence de l’UE pour la cybersécurité, l’ENISA, d’élaborer un système de certification garantissant que le déploiement de la 5G dans l’UE respecte les normes de sécurité les plus strictes.

Permettre la certification des dispositifs connectés

Le règlement européen sur la cybersécurité, qui a déjà fait l’objet d’un accord informel avec les États membres, souligne l’importance de la certification des infrastructures critiques, notamment les réseaux énergétiques, l’eau, l’approvisionnement en énergie et les systèmes bancaires, en plus des produits, processus et services.

Le règlement européen sur la cybersécurité prévoit également un mandat permanent et davantage de ressources pour l’Agence européenne de cybersécurité, l’ENISA.

Citation

Après le vote, la rapporteure Angelika Niebler (PPE, DE) a déclaré: ‘‘Ce succès permettra à l’UE de faire face aux risques de sécurité dans le monde numérique pour les années à venir. Cette législation est une pierre angulaire pour que l’Europe devienne un acteur mondial en matière de cybersécurité. Les consommateurs ainsi que l’industrie doivent pouvoir faire confiance aux solutions informatiques.’’

Prochaines étapes

Le Conseil doit désormais approuver formellement le règlement, qui entrera en vigueur 20 jours après sa publication.

La résolution sur la présence informatique chinoise dans l’UE sera transmise à la Commission et aux États membres. »

http://www.europarl.europa.eu/news/fr/press-room/20190307IPR30694/les-deputes-adoptent-le-reglement-europeen-sur-la-cybersecurite