Lybero https://www.lybero.net Vos données en sécurité Mon, 17 Feb 2020 14:37:22 +0000 fr-FR hourly 1 https://wordpress.org/?v=5.3.2 https://www.lybero.net/wp-content/uploads/2019/08/cropped-favicon-32x32.png Lybero https://www.lybero.net 32 32 Baromètre de la cybersécurité des entreprises en France https://www.lybero.net/barometre-de-la-cybersecurite-des-entreprises-en-france/ https://www.lybero.net/barometre-de-la-cybersecurite-des-entreprises-en-france/#respond Mon, 17 Feb 2020 13:51:53 +0000 https://www.lybero.net/?p=2588 Focus sur le baromètre de la Cybersécurité des entreprises : Le CESIN a dévoilé en janvier son étude réalisée avec Opinion Way sur la cybersécurité des entreprises. Chez Lybero.net, nous nous sommes bien sûr penchés dessus et y avons relevé quelques informations clés sur : Les rapports des entreprises aux cyber attaques Le cloud et les […]

L’article Baromètre de la cybersécurité des entreprises en France est apparu en premier sur Lybero.

]]>
Focus sur le baromètre de la Cybersécurité des entreprises :

Le CESIN a dévoilé en janvier son étude réalisée avec Opinion Way sur la cybersécurité des entreprises.

Chez Lybero.net, nous nous sommes bien sûr penchés dessus et y avons relevé quelques informations clés sur :

  • Les rapports des entreprises aux cyber attaques
  • Le cloud et les inquiétudes liées à sa sécurité
  • Les enjeux humains

Découvrez notre focus infographie ci-dessous :

baromètre de la cybersécurité des entreprises en france par lybero.net

L’article Baromètre de la cybersécurité des entreprises en France est apparu en premier sur Lybero.

]]>
https://www.lybero.net/barometre-de-la-cybersecurite-des-entreprises-en-france/feed/ 0
Baromètre des fuites de données par Lybero.net https://www.lybero.net/barometre-des-fuites-de-donnees-par-lybero-net/ https://www.lybero.net/barometre-des-fuites-de-donnees-par-lybero-net/#respond Thu, 06 Feb 2020 09:53:03 +0000 https://www.lybero.net/?p=2575 Les fuites de données ne vous sont sûrement pas inconnues. Peut-être vous ou votre organisation en avez déjà été victime ? De nos jours, les vols et fuites de données sont devenus monnaie courante. Vous en entendez parler quotidiennement à la télévision, sur les réseaux sociaux, dans les journaux… Un problème croissant qui nous concerne […]

L’article Baromètre des fuites de données par Lybero.net est apparu en premier sur Lybero.

]]>
Les fuites de données ne vous sont sûrement pas inconnues. Peut-être vous ou votre organisation en avez déjà été victime ?

De nos jours, les vols et fuites de données sont devenus monnaie courante. Vous en entendez parler quotidiennement à la télévision, sur les réseaux sociaux, dans les journaux…

Un problème croissant qui nous concerne tous que l’on soit un particulier, une TPE ou encore une grande multinationale.

Microsoft en a d’ailleurs fait les frais en décembre dernier avec la mise à disposition sur le web de plus de 250 millions de dossiers de leur service client.

Cela dit, il convient de relativiser cette fuite de données. En effet si les données ont bel et bien été exposées sur le web, celles-ci avaient été anonymisées par Microsoft ; les clients concernés par cette fuite n’ont donc pas de cheveux blancs à se faire !

Le seul point critique dans cette affaire serait la fuite d’une partie des adresses emails comme le souligne le magazine en ligne bigdata.fr

« Cependant, certaines des données censées être supprimées n’ont pas été détectées et sont restées visibles. En guise d’exemple, l’entreprise américaine cite les adresses email auxquelles un espace a été ajouté par erreur. De telles adresses n’ont pas été reconnues comme données sensibles par les outils automatiques, et n’ont donc pas été supprimées. »

source : https://www.lebigdata.fr/microsoft-fuite-250-millions-donnees

Ces adresses pourraient être réutilisées par des hackers se faisant passer pour Microsoft en vous demandant des informations confidentielles, de paiement ou essayer de prendre le contrôle de votre ordinateur.  Vous pourriez vous laisser berner par une demande contenant des informations précises et exactes sur des échanges que vous auriez eu avec le service client de Microsoft.

Notre première recommandation à l’égard des personnes concernées sera de faire attention aux emails qu’elles recevraient de la part de Microsoft :

  • Assurez-vous bien qu’il s’agisse de Microsoft.
  • Faites attention à ce que le lien de l’URL de redirection ne soit pas frauduleux en vous redirigeant vers une page ressemblant trait pour trait à celle de Microsoft mais qui n’en est pas une !
  • Si vous souhaitez vous rassurer et vérifier si votre email a été compromis, n’hésitez à faire un tour sur haveibeenpwned.com

Microsoft n’a pour l’instant décelé aucune tentative d’utilisation de ces données à des fins frauduleuses, il convient donc de relativiser cette fuite et de se poser la question sur la relative gravité des fuites de données.

Nous vous proposons à cet effet un baromètre made in Lybero.net sur la fuite de données :

Barometre-des-fuites-de-donnees de lybero.net

Vous l’aurez compris la gravité d’une fuite de données va dépendre du type d’information concernées et de l’état de ces informations.

Si nous prenons en compte les données de niveau baromètre rouge de paiement, financières ou de santé, celles-ci sont considérées comme particulièrement sensibles. L’usage frauduleux de ces données peut vous causer à vous ou à votre organisation des préjudices particulièrement important et vous coûter très cher.  Il apparaît donc nécessaire d’être vigilant et de mettre en place en plan d’action rapidement dans ce genre de situation.

En ce qui concernent les données de contact (email, adresse …), ce type de fuite est à relativiser. En effet contrairement aux données sensibles, le fait d’avoir accès à ces données ne vous compromet pas immédiatement. Ces informations sont certes personnelles mais en générale publiques. Il vous faudra être vigilant sur l’utilisation qui sera faite de ces données et apprendre à analyser les emails reçus ou les tentatives de contact frauduleux.  Cela démontre aussi à quel point il est primordial de former ses salariés aux cyber risques et ainsi leur apprendre à reconnaître toutes tentatives d’intrusion dans les systèmes d’information ou de phishing.  La gravité de la fuite de données n’est pas tant dans la fuite elle-même mais surtout dans l’utilisation et l’action humaine qui en découle.

Enfin le premier niveau de notre baromètre concernerait des fuites de données anonymisées et chiffrées. Anonymiser et chiffrer des données est le moyen de plus sûr de protéger des données sensibles et stratégiques. Si les données ne sont pas lisibles, elles n’auront donc plus aucune valeur et n’auront plus d’intérêt aux yeux des hackers.  Vos secrets seront donc bien gardés !

Dans le cas de Microsoft, les données qui ont été mises à disposition en clair sur le web avaient majoritairement fait l’objet d’un traitement d’anonymisation au préalable ce qui limite par conséquent leur utilisation malhonnête.

Les solutions Lybero.net utilisent l’art de la cryptographie en associant le chiffrement symétrique AES 256 au chiffrement asymétrique ElGamal 2048 à différents niveaux. Nous assurons de cette manière un chiffrement des données garantissant le plus haut niveau de sécurité.

Vous comprenez donc maintenant l’importance de protéger vos données en amont afin de les rendre illisibles. Chiffrer vos données en utilisant la cryptographie est donc une des meilleures décisions que vous puissiez prendre ; encore faut-il les chiffrer correctement !

 Et si vous doutez encore des pouvoirs de la cryptographie nous vous invitons à lire notre article ici

 En conclusion

  • Oui les fuites et vols de données sont devenus réguliers
  • Oui même les plus grosses organisations et les entreprises du secteur informatique peuvent être touchées
  • Mais non toutes ne sont pas l’affaire du siècle !

Nous vous recommandons tout de même d’être vigilant sur la fuite de données de contact comme les adresses emails qui peuvent engendrer des attaques de phishing de grande ampleur. Ce type d’attaque peut rapidement bloquer votre activité et mettre en péril votre organisation. La simple ouverture d’une pièce jointe peut donner l’accès à votre réseau et infecter l’ensemble de votre système d’information.

 

Nos sources: 

Cyberguerre par numérama: 250 milllions de données de Microsoft ont fuité : quelles conséquences ?

Lebigdata: Microsoft a oublié de sécuriser une base de 250 millions de données

Communiqué de Microsoft

L’article Baromètre des fuites de données par Lybero.net est apparu en premier sur Lybero.

]]>
https://www.lybero.net/barometre-des-fuites-de-donnees-par-lybero-net/feed/ 0
Chiffrer vos données à l’échelle de l’univers ! https://www.lybero.net/chiffrer-vos-donnees-a-lechelle-de-lunivers/ https://www.lybero.net/chiffrer-vos-donnees-a-lechelle-de-lunivers/#respond Wed, 15 Jan 2020 17:02:48 +0000 https://www.lybero.net/?p=2333 L’univers dans une toute petite clé de chiffrement !  A vouloir la plus grande, la plus longue, la cryptographie verse aussi dans cette règle stupide qui semble gouverner les hommes. Mais on en oublie qu’on parle ici d’exposants ! Quitte à nous renvoyer en cours de math au collège, une clé de chiffrement AES-256 n’est […]

L’article Chiffrer vos données à l’échelle de l’univers ! est apparu en premier sur Lybero.

]]>
L’univers dans une toute petite clé de chiffrement ! 

A vouloir la plus grande, la plus longue, la cryptographie verse aussi dans cette règle stupide qui semble gouverner les hommes. Mais on en oublie qu’on parle ici d’exposants ! Quitte à nous renvoyer en cours de math au collège, une clé de chiffrement AES-256 n’est pas 2 fois plus longue qu’une clé de chiffrement AES-128. Car 2^256 (2 exposant 256), c’est juste 2x2x2x2… 256 fois ! Et c’est tellement grand qu’il est difficile de l’appréhender.

Et pourtant 2^256 ce n’est que 32 octets… Une toute petite clé qui chiffre mes données. OK. Imaginez que vous vouliez tester toutes les clés de ces 32 octets pour la trouver MA clé …

Vous utiliseriez un core I42 (qui n’existe pas encore) qui déchiffre 7000 Mo/s en AES 256. Si on a juste besoin des 10 premiers octets d’un fichier pour trouver si c’est le bon, vous pouvez considérer que votre PC teste 734003200 clés par seconde.

Mais vous ne feriez pas les choses à moitié : Vous utiliseriez les 1 milliards de PC de l’humanité. Coup de chance, ils viennent tous d’être upgradés en I42… Ce qui fait 734003200 * 1 000 000 000 de clés testées par seconde.

Allez, puisque nous sommes fous, nous savons bien que les GAFA ont sur la lune des datacenters contenant 10 fois l’humanité en puissance de calcul. Et ils vous les prêtent ! Ça nous fait (734003200 x 1 000 000 000) x 11 clés de testées par seconde.

Pour ma toute petite clé de chiffrement AES-256 bits, il vous faut donc 1,434129111×10^58 secondes pour les tester toutes. Ça fait quand même 4,53516846×10^58 années. L’âge de l’univers étant de 14 000 000 000 d’années, il faudra 3,239406043×10^48 fois l’âge de l’univers…

Vous comprendrez assez aisément que mes données n’auront plus aucun intérêt d’ici là.

Alors oui : La cryptographie est sûre. C’est même ce qu’il y a de plus sûr pour sécuriser vos données en ce monde. Aucun mur en béton ne résistera aussi longtemps.

Vous aurez donc compris comment mettre vos données en sécurité ? Par la cryptographie !

PS: Les puristes trouverons sans doute des erreurs de calculs. Mais l’ordre de grandeur ne changera pas. Et ceux qui croient à leur chance en imaginant tomber sur ma clé de chiffrement avant de les tester toutes, je leur propose de jouer aux loteries… Ils auront infiniment plus de chance de gagner le gros lot chaque jour que de déchiffrer mes données.

Et le quantique dans tout ça ? Dans les algorithmes symétriques, ils n’iront que 2 fois plus vite (*). Cela me laisse largement le temps de reprendre un café : j’ai l’univers dans mes 32 octets.

(*source:https://fr.wikipedia.org/wiki/Cryptographie_post-quantique#Algorithmes_quantiques_et_cryptographie )

L’article Chiffrer vos données à l’échelle de l’univers ! est apparu en premier sur Lybero.

]]>
https://www.lybero.net/chiffrer-vos-donnees-a-lechelle-de-lunivers/feed/ 0
Chiffrement et windows – quelques expériences avec GPG https://www.lybero.net/chiffrement-et-windows-quelques-experiences-avec-gpg/ https://www.lybero.net/chiffrement-et-windows-quelques-experiences-avec-gpg/#respond Tue, 27 Aug 2019 13:03:17 +0000 https://lybero.washaweb.com/?p=153 PROTÉGEONS NOS FICHIERS AVEC GPG SOUS WINDOWS Simple à utiliser, simple à déployer, simple à gérer, possible à contrôler sont nos devises chez Lybero.net pour nos produits. Nous nous concentrons sur la protection de l’échange des données, et non pas sur la protection des données sur les postes. Cela n’empêche pas qu’il faille protéger les […]

L’article Chiffrement et windows – quelques expériences avec GPG est apparu en premier sur Lybero.

]]>
PROTÉGEONS NOS FICHIERS AVEC GPG SOUS WINDOWS

Simple à utiliser, simple à déployer, simple à gérer, possible à contrôler sont nos devises chez Lybero.net pour nos produits. Nous nous concentrons sur la protection de l’échange des données, et non pas sur la protection des données sur les postes.

Cela n’empêche pas qu’il faille protéger les postes par chiffrement. On peut citer 2 niveaux distincts, visant à protéger des informations dans des contextes différents. Le niveau de base est le chiffrement des partitions. Les systèmes d’exploitation proposent cette option depuis longtemps, et il est recommandé de l’utiliser. Cependant, quand votre poste fonctionne, si un attaquant arrive à avoir un accès, il peut récupérer les données qui sont déchiffrées pendant ce temps. Le fait de chiffrer individuellement les fichiers permet d’éviter cela.

Si l’on réfléchit dans les termes du Règlement Général de Protection des Données, l’article 25 (Protection des données dès la conception et protection des données par défaut) indique que “…, ces mesures garantissent que, par défaut, les données à caractère personnel ne sont pas rendues accessibles à un nombre indéterminé de personnes physiques sans l’intervention de la personne physique concernée.”

En terme technique, cela ne peut avoir d’autre signification que : toute donnée à caractère personnel, tout fichier contenant des informations à caractère personnel doivent être chiffrés avec un ou des responsables associés ayant la capacité d’y donner accès de manière volontaire. En particulier, les administrateurs systèmes ne doivent pas avoir accès aux informations personnelles, y compris via les sauvegardes.

La seule manière de faire cela est le chiffrement des fichiers. Il y a plusieurs manières de faire, mais commençons par utiliser un outil universel de chiffrement gpg.

Chiffrement individuel de fichiers sous linux

Je travaille depuis plus de 20 ans sur un poste sous linux. En 2008, j’ai commencé à me préoccuper réellement des problèmes de sécurité. Pour des raisons de diversité du système d’exploitation, les postes linux sont moins susceptibles d’être victime de virus, cependant, un attaquant décidé peut toujours cibler un poste. Ce qui me préoccupait surtout était la multiplicité des mots de passe que j’avais à gérer. Je cherchais un moyen simple de pouvoir les stocker, de manière chiffrée. J’ai donc créé 2 alias (des commandes disponibles via la ligne de commande) pe et pv : pe c’est password edition et pv c’est password view.

Je savais qu’il y avait des programmes tout fait, mais j’aime contrôler avec des solutions simples. Ces alias sont les suivants :


alias pv='pushd ~/Documents/password;make view;reset;popd'
alias pe='pushd ~/Documents/password;make edit;reset;popd'

pushd permet de changer de répertoire en mémorisant le chemin où l’on était à l’origine. popd permet de revenir à ce répertoire initial. Entre les 2, je lance les programmes via make.

Et le Makefile correspondant :


# example Makefile for viewing/editing an encrypted file
GPGID = <mon.adresse@mondomaine.com>
FILEPLAIN = index.txt.clear
FILECRYPT = index.txt

GPG = gpg
RM = /bin/rm -i
VI = vim

edit:
@umask 0077;\
$(GPG) –output $(FILEPLAIN) –decrypt $(FILECRYPT)
# No backup in vim !!!
@$(VI) -c « set nobk » $(FILEPLAIN)
@umask 0077;\
mv $(FILECRYPT) `date +%F-%R`-$(FILECRYPT)
$(GPG) –output $(FILECRYPT) –encrypt –recipient « $(GPGID) » $(FILEPLAIN)
@$(RM) $(FILEPLAIN)

view:
@umask 0077; $(GPG) –decrypt $(FILECRYPT) | less

Quand je tape pv, une fenêtre me demande la passe-phrase de protection de ma clé gpg pour mon.adresse@mondomaine.com, puis je vois mon fichier complet dans lequel je peux faire une recherche via les commandes vim habituelles. C’est clairement une solution de geek. Mais c’est très pratique. Un nouveau mot de passe : pe, aller au bout du fichier, ajouter le mot de passe, sauvegarder, sortir. Et le fichier précédent est sauvegardé avec la date. L’utilisation de pv c’est : pv, recherche, copié collé, et hop. J’utilise vim, mais chacun peut utiliser l’éditeur de son choix.

J’ai part la suite découvert keepassX et maintenant j’utilise les 2 solutions.

À partir de là, il m’est apparu nécessaire d’avoir des commandes de chiffrement / déchiffrement pour mes fichiers avec ma clé pgp. Donc maintenant, j’ai une commande crypt et une commande decrypt (d’accord, c’est en anglais). “crypt nom_de_fichier”, chiffre le fichier en nom_de_fichier.crypto et “decrypt nom_de_fichier.crypto” déchiffre le fichier pour moi-même.

Autant ces solutions me paraissent pratiques pour quelqu’un qui n’a pas peur de la ligne de commande sous linux, autant elles sont totalement impraticable pour un utilisateur sous windows.

Chiffrement des données sous windows

Donc j’ai cherché un équivalent sous windows. Ce que je voulais, c’était avoir juste 2 commandes, une pour chiffrer et une autre pour déchiffrer dans le menu associé à chaque fichier dans l’explorateur de fichiers de windows. Si vous installez gpg4win [https://www.gpg4win.org/], vous avez une commande “Signer et chiffrer” qui ouvre une interface graphique vous permettant de signer et / ou chiffrer pour l’utilisateur par défaut ou quelqu’un d’autre. C’est bien, mais à mon avis, il y a une fenêtre avec des choix en trop. Le déchiffrement est lui très bien, vous faites un clique droit sur un fichier .pgp et le fichier est déchiffré. Inconvénient, le fichier .pgp reste en plus du fichier déchiffré.

C’est presque parfait, mais je voulais quelque chose d’encore plus simple. Juste clique-droit Chiffrer et pour les fichiers .pgp clique-droit déchiffrer, entrer la passe-phrase et c’est tout. Et bien, après quelques (ok, beaucoup) essais, cela marche.

Pour avoir une action sur un clique-droit dans l’explorateur de fichiers, il suffit d’ajouter via l’éditeur de registre regedit des entrées. Vous trouverez de nombreux tutoriaux sur comment éditer les entrées de registre. Donc j’ai ajouté 2 éléments dans le registre windows :

  • HKEY_CLASSES_ROOT -> * -> shell -> Crypt for me
  • HKEY_CLASSES_ROOT -> * -> shell -> Decrypt for me

Dans “Crypt for me”, j’ai créé une sous-entrée command, avec comme clé (par défaut) : cmd /c gpg –output “%1.gpg” –encrypt –recipient “mon.adresse@mondomaine.com” “%1” && del “%1”

Cette commande demande un peu d’explication. cmd démarre un “terminal” command.com, /c indique qu’après l’exécution de la commande suivante, le “terminal” se referme. On trouve ensuite la commande gpg. Le %1 est remplacé par le nom du fichier sur lequel on a fait un clique-droit. On indique que l’on veut chiffrer pour soit même. C’est à la création de la clé que vous indiquez le mail et la personne associée. Il y a un outil graphique de gestion des clés sous windows appelé Kleopatra, vous pouvez générer une nouvelle bi-clé en choisissant l’algorithme de chiffrement / signature. Ensuite, vous avez la liste des différentes clés disponibles. Donc j’indique que je souhaite chiffrer le fichier en ajoutant l’extension .gpg après. && indique qu’il y a une commande qui sera exécutée ensuite et qui est de supprimer le fichier original. Cette commande est exécutée uniquement si la commande précédente s’est exécutée sans erreur.

Il est possible d’utiliser le fichier crypt_for_me.reg ci-dessous pour créer directement la commande dans regedit.


Windows Registry Editor Version 5.00
[HKEY_CLASSES_ROOT\*\shell\Crypt for me]
[HKEY_CLASSES_ROOT\*\shell\Crypt for me\command]
@="cmd /c gpg --output \"%1.gpg\" --encrypt --recipient \"<mon.adresse@mondomaine.com>\" \"%1\" && del \"%1\""

Et pour Decrypt for me, de même, une sous-entrée command, avec comme clé (par défaut) : cmd /c gpg –use-embedded-filename “%1” && del “%1”


Windows Registry Editor Version 5.00
[HKEY_CLASSES_ROOT\*\shell\Decrypt for me]
[HKEY_CLASSES_ROOT\*\shell\Decrypt for me\command]
@="cmd /c gpg --use-embedded-filename \"%1\" && del \"%1\""

Voilà, vous avez maintenant une solution de chiffrement pour vos fichiers sous windows et vous permettant simplement de respecter le RGPD. Mon objet n’est pas ensuite d’expliquer comment ensuite passer à l’échelle d’une entreprise, mais nous y reviendrons en expliquant comment gérer les clés à l’échelle de l’organisation.

L’article Chiffrement et windows – quelques expériences avec GPG est apparu en premier sur Lybero.

]]>
https://www.lybero.net/chiffrement-et-windows-quelques-experiences-avec-gpg/feed/ 0
LePlateauLUX – un laboratoire de codéveloppement de Société Générale avec les startups https://www.lybero.net/leplateaulux-laboratoire-de-codeveloppement-societe-generale-startups/ https://www.lybero.net/leplateaulux-laboratoire-de-codeveloppement-societe-generale-startups/#respond Mon, 20 May 2019 12:51:30 +0000 https://lybero.washaweb.com/?p=151 LA COCONCEPTION ET UNE BANQUE Lybero.net fait partie de la première promotion du #LePlateauLUX. Mais qu’est-ce ? J’ai demandé à Laurent Marochini, le responsable du #LePlateauLUX de Société Générale de m’en dire plus. AL – Lybero.net : Comment faut-il dire #LePlateauLUX ? LM – SGBT : On dit le plateau lux, mais on écrit #LePlateauLUX […]

L’article LePlateauLUX – un laboratoire de codéveloppement de Société Générale avec les startups est apparu en premier sur Lybero.

]]>
LA COCONCEPTION ET UNE BANQUE

Lybero.net fait partie de la première promotion du #LePlateauLUX. Mais qu’est-ce ? J’ai demandé à Laurent Marochini, le responsable du #LePlateauLUX de Société Générale de m’en dire plus.

AL – Lybero.net : Comment faut-il dire #LePlateauLUX ?

LM – SGBT : On dit le plateau lux, mais on écrit #LePlateauLUX avec LUX en exposant.

AL – Lybero.net : Qu’est-ce que c’est que #LePlateauLUX ?

LM – SGBT : C’est un lab d’innovation de la Société Générale Bank and Trust (SGBT), la filiale Luxembourgeoise du groupe Société Générale, dont la finalité est d’héberger des startups en lien avec nos challenges business.

AL – Lybero.net : Quels sont ces challenges business ?

LM – SGBT : Cela dépend des métiers de la banque. On peut parler de solution permettant d’automatiser, des solutions de sécurisation, mais aussi des solutions permettant d’obtenir un avantage compétitif : par exemple l’intelligence artificielle pour mieux exploiter nos data.

AL – Lybero.net : L’idée du #LePlateauLUX est venu d’où ?

LM – SGBT : Il y a 3 ans, un programme Culture&Conduct a été créé, on demande aux gens des solutions pour améliorer le quotidien.

Dans ce contexte, l’idée d’un centre d’innovation a émergé.

Avec l’appui de notre direction, nous nous sommes mis au travail.

Nous avons constitué une équipe en intégrant les différents métiers (Business, communication, achat, services généraux pour créer le lieu).

AL – Lybero.net : Et la coordination avec #LePlateau à Paris ?

LM – SGBT : Au cours de ces 6 – 9 premiers mois, il fallait trouver un nom. Très logiquement, nous nous sommes arretés sur #LePlateauLUX compte tenu de notre ancrage au Groupe, et notamment centre d’innovation à Paris qui s’appelle #LePlateau. Nous avions l’ambition de renforcer le réseau mondial de centre d’innovation du Groupe et le nom nous permet de démontrer le lien à ce réseau et d’asseoir une visibilité interne.

AL – Lybero.net : Qui sont les gens du PlateauLUX ?

LM – SGBT : Il y a 3 personnes très présentes, mais c’est pour tout le personnel de la Société Générale. Tout le monde peut venir.

Amandine Guerrier est l’animatrice du lieu. Elle veille au bon fonctionnement du centre (communiquer, rencontrer les startups, animer, coordonner l’usage du lieu).

Philippe Pasquali le Chief Digital Officer de SGBT est le sponsor délégué de la direction. Il est là pour challenger d’un point de vue digital et métier les différentes solutions.

Et Laurent Marochini, moi-même, responsable du centre d’innovation. Mon rôle vise à accélérer la transformation digitale, développer le niveau de compétence technologique des collaborateurs, améliorer l’image de marque du Groupe et être présent dans l’écosystème.

Mais c’est le lab de tout le monde, et un grand nombre de personnes nous aide : la communication, l’équipe transformation, les achats, le service juridique et les opérations. Beaucoup de personnes viennent nous voir.

AL – Lybero.net : Il y a des sujets prioritaires ?

LM – SGBT : Tout ce qui contribue à nos objectifs. Mais on fait le focus sur tout ce qui peut apporter un maximum de valeur : IA, cybersécurité, … Mais s’il y a un gros enjeu business, on mettra la solution en valeur dans le centre d’innovation.

AL – Lybero.net : Est-ce que tu peux nous parler de la première promotion ?

LM – SGBT : 3 startups ont été hébergées :

Tale of data : ils éditent une application de préparation et d’exploration des données permettant de préparer l’usage manuel, de faire des rapprochements, et surtout l’usage automatisé des données dans des applications de big data ou d’apprentissage. Leur outil a un grand nombre d’usage. Par exemple, dans une base avec des millions d’enregistrement, il permet de normaliser toutes les données (par exemple les adresses ou les numéros de téléphone), de trouver rapidement les doublons quasi identiques …

Myrtea Metrics : Myrtea Metrics propose des outils pour automatiser des tâches complexes dans des processus complexes mais répétitifs. Par exemple, lors d’une réunion de suivi de projet, le chef de projet sait que régulièrement il doit envoyer des mails de relance pour obtenir les indicateurs nécessaires. L’outil va automatiquement proposer le mail au chef de projet, ou un ensemble de mails, que le chef de projet peut choisir. En plus, l’outil apprend, il affine les propositions d’action au fure et à mesure de l’utilisation.

Lybero.net : continuer de parcourir ce site pour savoir qui nous sommes ;=).

Ce sont 3 startups de qualité. Il faut réussir à encore mieux embarquer les métiers. On a été efficace dans la sélection, on doit être encore plus efficace sur la transformation. On y travaille avec toutes les parties prenantes (IT, achat, business, …). Il faut aussi prévoir les budgets en amont et anticiper les problèmes d’intégration. On apprend tous les jours. On apprend en terme humain, de process, de technologie.

AL – Lybero.net : Et le travail avec Lybero.net ?

LM – SGBT : L’équipe est persuadée de l’intérêt de la solution. Les équipes Risc, Banque Privée, Private Equity ont été impliquées et ont compris l’intérêt de l’outil. Maintenant, il faut faire le saut. Nous avons été capables d’expliquer finement les besoins des différents métiers pour que toutes les contraintes (fonctionnelles et de sécurité) soient intégrées dans l’outil. Nous nous sommes très bien entendus.

Gilles Dumont (Myrtea Metrics), Amandine Guerrier (SG), Stéphane Hugot (Myrtea Metrics), Thierry Elkaim (Tale of Data), Philippe Pasquali (SG), Jean-Christophe Bouramoue (Tale of Data), devant Arnaud Laprévote (Lybero.net)

#LePlateauLUX

Laurent Marochini et Amandine Guerrier de la Société Générale

L’article LePlateauLUX – un laboratoire de codéveloppement de Société Générale avec les startups est apparu en premier sur Lybero.

]]>
https://www.lybero.net/leplateaulux-laboratoire-de-codeveloppement-societe-generale-startups/feed/ 0
Pourquoi faut-il chiffrer les informations ? https://www.lybero.net/pourquoi-faut-il-chiffrer-les-informations/ https://www.lybero.net/pourquoi-faut-il-chiffrer-les-informations/#respond Fri, 15 Mar 2019 13:47:34 +0000 https://lybero.washaweb.com/?p=149 RAISONS TECHNIQUES, STRATÉGIQUES, SOCIALES, LÉGALES Lybero.net est un spécialiste du chiffrement de l’information sur le web. Mais après tout, pourquoi est-il nécessaire de chiffrer ? Le système d’exploitation d’un ordinateur et les applications offrent des méthodes d’isolation permettant d’empêcher l’accès aux informations des personnes qui n’y ont pas droits. Qu’est-ce que le chiffrement apporte de […]

L’article Pourquoi faut-il chiffrer les informations ? est apparu en premier sur Lybero.

]]>
RAISONS TECHNIQUES, STRATÉGIQUES, SOCIALES, LÉGALES

Lybero.net est un spécialiste du chiffrement de l’information sur le web. Mais après tout, pourquoi est-il nécessaire de chiffrer ? Le système d’exploitation d’un ordinateur et les applications offrent des méthodes d’isolation permettant d’empêcher l’accès aux informations des personnes qui n’y ont pas droits. Qu’est-ce que le chiffrement apporte de plus ?

La première raison est technique. L’isolation fournie par le système d’exploitation, les applications ou les bases de données est fondamentalement illusoire. Si vous suivez l’actualité technique, vous entendez parler régulièrement de faille informatique, dans les programmes, dans les systèmes d’exploitation, dans les protocoles ou dans le matériel.

Ces failles sont ténues, il suffit de très peu de choses pour avoir une faille. Pour illustrer cela, considérons le bogue qui a conduit à la destruction de la première fusée Arianne 5. L’article wikipedia détaille ce bogue. Pour résumé, une variable représentant une accélération était codée sur 8 bits alors qu’elle aurait du être codée sur 9 bits. 1 seul bit a conduit à la destruction de la fusée au bout de 37 secondes.

Ce type d’instabilité du code est à la fois très habituelle (c’est la définition d’une bogue) et en même temps très surprenant, intellectuellement. Nous sommes trompés par notre intuition physique, de telles instabilités sont rares (même si elles existent) dans notre monde sensoriel.

Non seulement le logiciel est sensible à d’infinitésimale erreur, mais le matériel numérique aussi. L’attaque Spectre et maintenant toute la famille d’attaques associées sont liées à l’architecture des processeurs.

Il faut donc réussir à protéger les données informatiques malgré le logiciel et malgré le matériel. C’est à dire, utiliser autre chose. Cet autre chose ce sont les mathématiques, et les mathématiques pour la protection des données c’est la cryptographie.

L’article Pourquoi faut-il chiffrer les informations ? est apparu en premier sur Lybero.

]]>
https://www.lybero.net/pourquoi-faut-il-chiffrer-les-informations/feed/ 0
#PANOCRIM 2018 – La banque – Des attaques plus astucieuses https://www.lybero.net/panocrim-2018-la-banque-des-attaques-plus-astucieuses/ https://www.lybero.net/panocrim-2018-la-banque-des-attaques-plus-astucieuses/#respond Tue, 15 Jan 2019 13:40:14 +0000 https://lybero.washaweb.com/?p=147 UNE PRÉSENTATION À NE PAS RATER Chaque année le Clusif ( https://clusif.fr ), le club français de la sécurité des systèmes d’information, offre une présentation générale de l’état de la cybersécurité sur l’année précédente. Cette année le programme était très dense et intéressant. 14 présentations de très bon niveau que vous pouvez retrouver sur la […]

L’article #PANOCRIM 2018 – La banque – Des attaques plus astucieuses est apparu en premier sur Lybero.

]]>
UNE PRÉSENTATION À NE PAS RATER

Chaque année le Clusif ( https://clusif.fr ), le club français de la sécurité des systèmes d’information, offre une présentation générale de l’état de la cybersécurité sur l’année précédente. Cette année le programme était très dense et intéressant. 14 présentations de très bon niveau que vous pouvez retrouver sur la page Panorama de la Cybercriminalité du CLUSIF.

La présentation sur les attaques qu’ont affrontées les banques en 2018 de Gérôme Billois du cabinet Wavestone a particulièrement retenu mon attention. Vous pouvez la voir ici.

3 attaques différentes ont été détaillées. Ce sont les attaques “Darkvihnya Attack”, “Bank of Chile” et “Cosmos Bank”.

Dans le cas de “Darkvihnya Attack”, ce qui a été fait est la connexion de plusieurs appareils malveillants directement sur le réseau des banques. Une fois les appareils connectés, ils sont utilisés pour exploirer le réseau de la banque puis pour pouvoir accéder depuis l’extérieur à l’infrastructure IT. Des malware sont ensuite utilisés pour faire des virements sur des comptes tiers. C’est donc d’abord un accès physique qui permet ensuite l’accès à l’IT. Cette attaque a concerné 8 banques d’Europe de l’Est.

Contrer ce type d’attaque est possible : un réseau bien configuré et une détection d’équipements inhabituels permettent de détecter l’attaque tôt. Encore faut-il les équipes suffisantes, un matériel et des logiciels adaptés. Le fait que ces attaques aient été faites dans des banques différentes géographiquement proches indique un problème de manque de culture de cybersécurité localisé.

La seconde attaque est celle de “Bank of Chile”. La méthode est très différente, les attaquants ont réussi à infecter des machines avec un code malveillant. Ce code détruisait les machines. Les équipes informatiques se sont concentrées sur la gestion de la crise. Pendant ce temps là, les pirates opéraient des virements électroniques swift. Une stratégie de diversion typique. Je vois très peu de moyens de lutter contre une telle attaque. La seule solution est d’avoir une équipe dédiée à la gestion de crise mais qui soit détachée totalement des équipes opérationnelles de surveillance.

La dernière attaque est celle de “Cosmos Bank” une banque indienne. L’infrastructure interne de la banque a été infectée avec des malware. Il a été possible d’installer un serveur qui dialoguait avec les distributeurs de billets en lieu et place de l’infrastructure normale. Lorsque les distributeurs demandaient s’il était possible de retirer de l’argent, la réponse était toujours oui. En 2 jours plus de 10 millions d’€ ont été retirés dans de nombreux pays avec des cartes clonées.

Toutes ces attaques sont très sophistiquées, nécessitant non pas un pirate mais des équipes entières de personnes, qui ont le temps et la possibilité d’étudier des systèmes bancaires, ou de se renseigner dessus. On a du mal à imaginer des petites organisations de hackers réussissant à faire cela, ce sont des moyens beaucoup plus importants qui sont mis en jeu.

Le fait qu’après plusieurs années, il est possible d’identifier ces organisations et les personnes y travaillant était mis en exergue dans la présentation “Géopolitique et attribution” de Loïc GUÉZO de Trend Micro France. Tout espoir n’est donc pas perdu.

L’article #PANOCRIM 2018 – La banque – Des attaques plus astucieuses est apparu en premier sur Lybero.

]]>
https://www.lybero.net/panocrim-2018-la-banque-des-attaques-plus-astucieuses/feed/ 0
La mission de Lybero.net https://www.lybero.net/la-mission-de-lybero-net/ https://www.lybero.net/la-mission-de-lybero-net/#respond Thu, 16 Aug 2018 12:20:53 +0000 https://lybero.washaweb.com/?p=145 DONNER LA SÉCURITÉ DES DONNÉES À TOUTES LES ORGANISATIONS DANS LA PLUS GRANDE SIMPLICITÉ La cybersécurité est un souci toujours plus important pour les organisations. Avec des actifs qui se numérisent à la vitesse V, il devient de plus en plus tentant et rentable pour des pirates de tenter d’attaquer les entreprises ou les particuliers. […]

L’article La mission de Lybero.net est apparu en premier sur Lybero.

]]>
DONNER LA SÉCURITÉ DES DONNÉES À TOUTES LES ORGANISATIONS DANS LA PLUS GRANDE SIMPLICITÉ

La cybersécurité est un souci toujours plus important pour les organisations. Avec des actifs qui se numérisent à la vitesse V, il devient de plus en plus tentant et rentable pour des pirates de tenter d’attaquer les entreprises ou les particuliers. La menace est autant interne qu’externe.

L’on entend trop souvent des entreprises rencontrant des difficultés considérables après des cyberattaques. Lisez l’article suivant sur NotPetya : The untold Story of Notpetya. Il ne va pas vous rassurer. Quand la survie numérique d’une entreprise multinationale tient dans un serveur non connecté au réseau au Ghana pour cause de panne électrique, on peut avoir peur. C’est un cas particulièrement spectaculaire, mais à plus petite échelle, il est courant d’entendre parler d’une entreprise victime de fuite de données ou d’un malware et qui rencontre ensuite des difficultés économiques importantes : un dégât numérique peut être la pichenette qui fait basculer une entreprise fragile.

Les technologies et les algorithmes de protection et d’identification des données par le chiffrement existent : l’algorithme de chiffrement RSA a été décrit en 1977, l’échange de clés Diffie-Hellman en 1976, l’algorithme de chiffrement ECDSA date de 1992, AES date de 2000, … et ces technologies sont utilisées tous les jours grâce à l’https, au paiement par carte à puce, au déchiffrement de partitions chiffrées, et à différentes applications de messagerie sur téléphone portable.

Cependant, dans le même temps, les échanges de fichiers confidentiels restent un casse-tête y compris entre de grandes organisations, au sein même des services de l’état, entre un médecin et son patient, entre un comptable ou un avocat et ses clients. Et qui protège de manière individuelle des fichiers sur son ordinateur ? Ces manques ne sont pas malheureusment si insignifiants que cela. Les attaques de ransomware massives récentes ont été possibles en proposant l’ouverture d’une facture d’une entreprise connue (Free par exemple ou un autre fournisseur). Ces mails avaient l’aspect parfait de l’authenticité, mais en fait, ils ne provenaient pas de Free.

Bref, nous avons de nombreux moyens technologiques de protection des données, mais les organisations les utilisent peu. Notre mission chez Lybero.net est d’apporter la sécurité aux organisations le plus simplement du monde. La meilleure sécurité et la simplicité d’usage, de déploiement, de gestion et de contrôle sont nos promesses. Vous nous direz si nous tenons nos promesses.

Arnaud Laprévote, le 16 octobre 2018

L’article La mission de Lybero.net est apparu en premier sur Lybero.

]]>
https://www.lybero.net/la-mission-de-lybero-net/feed/ 0