Overblog
Suivre ce blog Administration + Créer mon blog
oeilinfo.com

entreprise

Cybersécurité, vers une loi pour les entreprises vitales

8 Août 2013 , Rédigé par Stéphane Publié dans #Sécurité informatique, #Entreprise, #France

Le gouvernement entend imposer des mesures drastiques de sécurité informatique aux entreprises sensibles, notamment celles spécialisées dans les télécoms.

Il y aura donc bien un "choc de sécurité" imposé aux entreprises françaises dites sensibles ou stratégiques. Selon l'Agence nationale de la sécurité des systèmes d'information (Anssi), ce niveau de sécurité est aujourd'hui trop faible au regard des menaces et des nouveaux risques liés notamment à l'intrusion des terminaux mobiles personnels dans les entreprises (le fameux BYOD).

Une situation qui doit être améliorée : c'est un des points centraux du Livre blanc de la défense qui a été remis au président de la République.

Déclaration des attaques

Selon le monde le gouvernement français prépare donc un projet de loi visant les "opérateurs d'importance vitale", soit 1000 entreprises ou institutions sensibles. Les géants des télécoms, de l'énergie, de l'alimentation, des banques ou du transports sont particulièrement concernés.

La loi leur imposera de protéger leurs systèmes d'information de manière drastique et de rendre obligatoire la déclaration de la moindre attaque informatique. C'est 'un changement très important pour ces entreprises.

Il s'agira également de doter ces entreprises de matériels et logiciels labellisés et opérés en France. Un niveau minimal de sécurité sera exigé, par voie règlementaire ou par un système de convention, selon des mesures déjà adoptées aux Etats-Unis ou en Allemagne, expliquent nos confrères.

L'Anssi pourra également effectuer des audits et des contrôles afin de vérifier ces mises en conformité. Reste que cette mission ne pourra être réalisée que si les effectifs de l'agence sont relevés. Ils passeront de 300 personnes aujourd'hui à 500 en 2015.

Source:znet

Cybersécurité, vers une loi pour les entreprises vitales
Lire la suite

Un patron d’une société d’une vingtaine de salariés piraté

10 Mai 2013 , Rédigé par Stéphane Publié dans #Sécurité informatique, #Entreprise

Un patron d’une société d’une vingtaine de salariés piraté

Patron d’une société d’une vingtaine de salariés spécialisée dans la recherche et le développement informatique en Seine-et-Marne, Marc* n’en revient pas. « Il y a trois ans, j’ai été espionné par un de mes salariés. C’est effrayant, je pensais que cela n’arrivait que dans les films! » La taupe, un informaticien qui était dans la société depuis sept ans, avait placé des logiciels espions sur l’ordinateur du PDG, de l’administratif et du bureau d’études…

Comment Marc a-t-il découvert le pot aux roses?

« On a remarqué son comportement bizarre. Il n’arrêtait pas de téléphoner à l’extérieur avec son portable. Il devenait hostile avec tout le monde. Et puis il y a eu une fuite d’informations sur un projet de marché et la création de produits spécifiques. Curieusement, un ancien salarié de la boîte en a eu connaissance alors qu’il n’aurait pas dû. »

Mais le hasard s’en est mêlé. Un jour, à la demande de Marc, les enquêteurs de la DCRI (Direction centrale du renseignement intérieur) sont venus en personne dans sa société. « Le salarié qu’on soupçonnait a aussitôt paniqué! Il effaçait des fichiers, il écrasait les espaces vides plusieurs fois pour qu’ils disparaissent et il téléchargeait par-dessus! Un collègue l’a remarqué et un policier de la DCRI m’a conseillé de couper Internet. Alors le salarié douteux a installé des choses depuis des CD. Il était tout rouge! »

Marc débranche un ordinateur du réseau et le fait analyser par une société de veille informatique. Bingo! « Elle a trouvé un logiciel espion avec les projets de notre bureau d’études, nos coordonnées bancaires, nos comptes, tout ce qu’on tapait sur l’ordi était dedans! » Au final, un seul poste incriminé a été trouvé, mais quatre étaient contaminés. Quid du hackeur? « Faute de preuves tangibles, on n’a pas pu l’incriminer. Par contre, il aurait pu nous poursuivre aux prud’hommes si on l’avait licencié pour espionnage. Et cela nous aurait coûté cher. Alors on a trouvé un accord à l’amiable et il est parti. Avant son départ, il nous a planté tous les serveurs… » enrage encore Marc.

Depuis, la salle informatique est sous clé. « On a sécurisé les mots de passe et les firewalls. On a mis plus de deux mois à tout sécuriser et on a investi environ 10000 € dans des logiciels, le matériel et les formations. Sans compter les 5000 € que m’a demandés une boîte de surveillance qu’on a fait déplacer un jour férié. Ils ont beaucoup de travail apparemment! »

* Le prénom a été changé à sa demande

Source:leparisien

Lire la suite

Communiquer sur la disparition d'un équipement informatique n'est pas une priorité pour les employés européens

21 Avril 2013 , Rédigé par Stéphane Publié dans #Entreprise, #Sécurité informatique

Communiquer sur la disparition d'un équipement informatique n'est pas une priorité pour les employés européens

Seul un employé sur cinq, au sein des petites et moyennes entreprises, informe son service informatique dans l'heure qui suit la perte d'un équipement appartenant à la société. Tel est le constat alarmant qui ressort de l'enquête réalisée par TNS Infratest auprès d'un échantillon de PME européennes pour l'éditeur de logiciels de sécurité Kaspersky Lab. Ce chiffre est encore plus alarmant sachant que la majorité des responsables informatiques sont convaincus qu'un mot de passe suffit à protéger les données sensibles stockées sur les terminaux mobiles.

En cas de vol d'un ordinateur portable, d'une tablette ou d'un smartphone d'entreprise, les malfaiteurs disposent d'au moins plusieurs heures devant eux pour tenter d'accéder à son contenu avant que le service informatique ne puisse prendre des mesures préventives ou réactives. Seuls 21% des responsables informatiques, interrogés sur le laps de temps qui s'écoule avant que leurs employés signalent la perte d'un tel équipement, pensent être informés dans l'heure qui suit. 12% estiment ce délai supérieur à une journée, ce qui laisse le temps à un cybercriminel d'extraire des données sensibles de l'entreprise stockées sur l'appareil (contacts, e-?mails professionnels...), voire d'accéder à des comptes personnels en ligne (sur Twitter ou Facebook, par exemple) et de modifier les mots de passe de l'utilisateur.

Fait préoccupant, l'étude révèle que les employés belges (dont 19% attendent au moins trois ou quatre jours), néerlandais (17%) et allemands (16%) sont les plus lents à signaler la disparition d'un équipement. Leurs homologues portugais et danois sont les plus rapides (30% et 31% d'entre eux, respectivement, effectuent le signalement dans l'heure qui suit).

« Un cybercriminel chevronné n'a besoin que de quelques minutes pour contourner une protection par mot de passe à 4 chiffres telle que celle utilisée sur la plupart des appareils, notamment les smartphones », souligne David Emm, chercheur senior en sécurité chez Kaspersky Lab. «C'est pourquoi, en cas de perte ou de vol de votre mobile, il est essentiel d'en informer votre service informatique le plus vite possible. Celui-ci pourra alors bloquer l'accès de l'appareil au réseau de l'entreprise et, dans le meilleur des cas, en effacer toutes les données. »

A cet égard, il est plutôt alarmant de constater que seulement 39% des responsables informatiques interrogés admettent que, pour la protection des terminaux mobiles, le chiffrement des données constitue une méthode bien plus efficace qu'un simple mot de passe.

« Malheureusement, trop souvent, les utilisateurs n'emploient même pas de mot de passe du tout. Ou, dans le cas contraire, ils ont tendance à se servir d'un simple code PIN de quatre chiffres au lieu d'un mot de passe complexe, c'est-à-dire composé d'au moins douze signes combinant des lettres, des chiffres et des caractères spéciaux », ajoute David Emm. « L'utilisation d'un tel mot de passe fait gagner un temps précieux à l'entreprise après la perte ou le vol d'un appareil : les données professionnelles demeurent en effet protégées jusqu'à ce que l'employé signale la disparition de l'équipement et que le service informatique efface son contenu. »

Bien évidemment, des solutions de sécurité de pointe existent. A commencer par la nouvelle version de Kaspersky Endpoint Security for Business qui permet aux entreprises de crypter et de gérer les données présentes sur leurs terminaux mobiles. En cas de perte ou de vol d'un smartphone, l'administrateur peut effacer d'un simple clic toutes les données sensibles qu'il renferme mais aussi géolocaliser l'appareil.

Source:itrmanager

Lire la suite

Spanghero à vendre, ses 300 salariés menacés !

20 Avril 2013 , Rédigé par Stéphane Publié dans #Entreprise, #France, #Economie

Spanghero à vendre, ses 300 salariés menacés !

Les craintes pour l'avenir de Spanghero et ses 300 emplois se sont concrétisées vendredi: l'entreprise de Castelnaudary (Aude) au coeur du scandale de la viande de cheval est en liquidation avec seulement trois mois d'activité assurée, elle va au-devant d'un plan social et est désormais à vendre.

Le tribunal de commerce de Carcassonne a prononcé vendredi la liquidation judiciaire avec continuité d'activité jusqu'au 19 juillet, et éventuellement encore trois mois supplémentaires.

Il ne s'agit pas d'une liquidation "totale et définitive", a insisté le président de l'entreprise, Barthélemy Aguerre. Mais les lendemains s'annoncent sombres. Lur Berri, coopérative basque et maison mère de Spanghero, a décidé de vendre, et les trois ou six mois à venir serviront à trouver un repreneur, a dit M. Aguerre dans un entretien avec l'AFP.

"On est dans la merde", lâchait une quadragénaire, à l'unisson d'un personnel sonné, à la sortie de l'usine, après une réunion d'information.

Depuis le scandale, "les clients ne commandent pas, on est à 30 ou 50% de commandes (...) et, bien évidemment, cela nous pose un problème de trésorerie important", a expliqué M. Aguerre.

Spanghero perd aujourd'hui 200.000 euros par semaine, a-t-il précisé.

"Nous pensons que la meilleure solution, c'est de mettre cet outil-là sur le marché pour que d'autres opérateurs rassurent le client", a-t-il dit. La procédure de mise en liquidation judiciaire avec poursuite de l'activité a été préférée au redressement parce qu'elle était plus favorable à un rachat, a-t-il assuré.

Interrogé sur les conséquences sociales, M. Aguerre a répondu que la décision d'un plan social appartenait à présent à l'administrateur judiciaire. Mais "il y aura obligatoirement (des retombées) à partir de la semaine prochaine", a-t-il déclaré, sans expliciter son propos.

Quant au sort de l'entreprise dans l'éventualité où aucun repreneur ne se manifesterait, "c'est facile à deviner: si au bout de la période de trois mois, une fois renouvelable, il n'y a personne, il n'y a plus rien", a-t-il admis.

Il a réfuté que la maison mère abandonne Spanghero. Au contraire, elle va "accompagner" la reprise de la société qu'elle a elle-même rachetée en 2009 aux fameux rugbymen. "Lur Berri a fait le nécessaire (...) puisque nous avons racheté cette affaire à Laurent Spanghero en situation de faillite, nous l'avons redressée, nous avions un compte équilibré en 2012" et Lur Berri comptait sur de bons résultats en 2013. Quand le scandale a éclaté...

En février, Spanghero a été ouvertement accusée d'avoir joué un rôle capital dans un scandale d'ampleur européenne: dans son activité de vente de matière première de viande, elle aurait sciemment revendu pour du boeuf de la viande de cheval entrant dans la préparation de plats cuisinés, lui a-t-on reproché. En mars, s'ajoutait la révélation qu'on avait aussi trouvé chez Spanghero 57 tonnes de viande de mouton britannique prohibée.

L'entreprise a toujours protesté de sa bonne foi et dit avoir été victime des intermédiaires de la filière. Depuis février, elle a écarté son directeur de fait et annoncé l'instauration de tests ADN sur sa matière première.

Mais ces mesures n'ont pas suffi pour l'instant à faire revenir une clientèle parmi laquelle figurent des grands de la distribution.

Spanghero fabrique surtout des plats cuisinés et des produits transformés comme des saucisses ou de la charcuterie. Le négoce de matière première qui lui a valu d'être prise dans la tourmente représentait une part minime de son activité.

Mais l'usine continue à tourner au ralenti. Et une enquête judiciaire en cours risque de faire à nouveau parler de Spanghero.

A la sortie de la réunion d'information du personnel, les salariés laissaient transparaître amertume et abattement.

Une femme en larmes lançait: "merci l'Etat". "Y en a qui ont fait bien pire et on ne leur fait rien", a-t-elle ajouté, exprimant un ressentiment très répandu contre l'administration et les médias qui auraient mis en danger 300 emplois en désignant l'entreprise à la vindicte publique et en faisant d'elle la seule responsable du scandale.

"On ne va pas se laisser faire, nous les salariés", lançait une autre. "On va se battre", assurait également Marie Favié, déléguée CFE-CGC. Mais pour elle comme pour José Marson, directeur informatique, il n'y a actuellement de travail que pour 80 personnes et un plan social devrait frapper l'entreprise dès la semaine prochaine.

Source:bousorama

Lire la suite

Le piratage informatique commis par des salariés, le cas EDF - Greenpeace

15 Avril 2013 , Rédigé par Stéphane Publié dans #piratage, #Sécurité informatique, #Entreprise, #Justice

Le piratage informatique commis par des salariés, le cas EDF - Greenpeace
Cette jurisprudence récente vient placer des limites dans la responsabilité de la hiérarchie et de l'entreprise en cas de délits commis par des salariés. Tribune réalisée en collaboration avec Stéphanie Foulgoc, avocate au cabinet Cabinet Feral-Schuhl / Sainte-Marie.

Quel moyen plus efficace pour contrôler l'activité de ses concurrents ou de ses opposants qu'une intrusion, à leur insu, dans leur système informatique, permettant la consultation de documents et d'emails ? Faut-il rappeler que de tels actes sont constitutifs d'une infraction pénale. Le cas EDF / Greenpeace est exceptionnel et mérite que l'on s'y intéresse.

Le tribunal correctionnel de Nanterre avait condamné deux employés du service de sécurité des parcs nucléaires d'EDF à de la prison ferme, et la société à une amende civile. En appel, la Cour de Versailles, par un arrêt du 6 février dernier, a finalement condamné uniquement le chargé de mission, mais relaxé son supérieur hiérarchique et EDF. L'affaire est riche en enseignements, tant sur les moyens mis en oeuvre pour appréhender les actes de piratage informatiques, que sur la responsabilité d'une société pour ce type d'actes commis par des salariés.

Le piratage informatique, une infraction pénale dont la sanction est peu fréquente

L'article 323-1 du Code pénal dispose que « Le fait d'accéder ou de se maintenir, frauduleusement, dans tout ou partie d'un système de traitement automatisé de données est puni de deux ans d'emprisonnement et de 30 000 € d'amende. (...) ». Cette infraction créée par la loi Godfrain de 1988 est connue sous le nom d'intrusion ou maintien dans un STAD.

Mais les condamnations sur ce fondement restent rares en raison des difficultés à constater une telle intrusion, et surtout à en identifier les auteurs, ces derniers étant équipés de programmes performants rendant difficile, voire quasi-impossible, la possibilité de remonter jusqu'à eux.

Pour lutter contre ce phénomène massif, une structure nationale apportant un soutien technique aux enquêteurs en charge des perquisitions informatiques a été mise en place en 2002 : l'office central de lutte contre la criminalité liée aux technologies de l'information et de la communication (OCLCTIC).

Dans ce contexte, sans la négligence d'un hacker, combinée à la persévérance de l'OCLCTIC et à une coopération internationale efficace, l'affaire EDF aurait donc pu rester sous silence ; Greenpeace ne s'étant en effet jamais aperçue d'un quelconque piratage de son système informatique.

Tout a commencé en 2006, lorsque l'agence française de lutte contre le dopage (AFLD) portait plainte à l'OCLCTIC. Suite à l'annonce du dopage du vainqueur du Tour de France, un email remettant en cause la fiabilité des dépistages effectués auprès de ce dernier avait été communiqué à l'Agence Française de Lutte contre le Dopage, email auquel étaient joints des documents internes qui n'avaient jamais été divulgués. L'enquête diligentée permit de constater qu'une personne de l'AFLD avait ouvert la pièce jointe d'un mail infectée d'un logiciel de type « keylogger », permettant d'enregistrer les frappes effectuées sur un clavier, et donc d'obtenir les mots de passe d'utilisateurs à partir desquels il est ensuite possible d'ouvrir des sessions. Les enquêteurs remontèrent jusqu'à l'entraineur du coureur cycliste en Californie - qui s'avéra avoir reçu des documents obtenus par le piratage d'ordinateurs de l'AFLD - et surtout jusqu'à un informaticien installé au Maroc.

Par la suite, sur des ordinateurs perquisitionnés ayant appartenu à ce dernier, les enquêteurs relevèrent la présence de nombreux logiciels destinés au piratage informatique, ainsi que des fichiers relatifs à l'activité de Greenpeace. Le hacker, mis en examen, révèlera par la suite avoir agi sur demande d'un consultant, intervenant lui-même dans le cadre d'une mission de veille stratégique des activités de l'ONG pour le service de sécurité nucléaire d'EDF.

EDF avait dû faire face, à plusieurs reprises, à des intrusions de militants écologistes sur des sites de production nucléaire et disposait donc d'un service dédié à la sécurité de ces sites. Le responsable de ce service assurera tout au long de la procédure n'avoir jamais autorisé, ni été informé du recours à des procédés illicites par le consultant sous-traitant, consultant qui était, dans le cadre de sa mission, en relation avec un chargé de mission d'EDF. Les compétences reconnues de ce dernier en intelligence économique lui permettaient de jouir d'une grande indépendance dans son travail. Or, à l'égard de ce dernier, les preuves étaient nombreuses : aveux d'une rencontre avec le hacker et saisie dans son bureau d'un CD-rom sur lequel étaient stockés des documents de Greenpeace.

Le hacker, le consultant, le chargé de mission sécurité d'EDF, son supérieur hiérarchique et la société EDF furent alors mis en examen.
Dans un jugement du 10 novembre 2011, le Tribunal correctionnel de Nanterre déclarait EDF coupable des délits de recel et de complicité d'accès et maintien frauduleux aggravé dans un STAD et condamnait la société au paiement d'une amende de 1,5 million d'euros. Les deux salariés impliqués, ainsi que le consultant et le hacker, étaient quant à eux condamnés à de la prison ferme et au paiement d'amendes de quelques milliers d'euros.

La Cour d'appel de Versailles a partiellement infirmé ce jugement, ne retenant que la responsabilité du chargé de mission. La Cour a relaxé son supérieur hiérarchique, le responsable de la mission sécurité EDF, au motif que, bien qu'ayant signé le contrat de mission de veille stratégique, il n'était pas apporté la preuve que ce dernier ait donné instruction de recourir à des procédés illégaux, ni eu connaissance de ces agissements. La Cour a également relaxé EDF, en tant que personne morale, retenant que ce responsable de mission relaxé en appel « était la seule personne susceptible d'apparaître comme un organe ou représentant de la société, pouvant, à ce titre, engager la responsabilité pénale de celle-ci » et que le chargé de mission placé sous son autorité hiérarchique et ayant agi sans l'informer entièrement de ses activités et du contenu du CD Rom « ne disposant d'aucune délégation de signature ou de pouvoir, n'a pas agi comme organe ou représentant de son employeur ». La Cour en conclut que « la relaxe des chefs de complicité et recel prononcée à l'égard [du responsable de mission] doit donc profiter à la société EDF ».

Faut-il y voir une irresponsabilité d'une société pour les actes commis par ses salariés ?

Responsabilité de l'employeur pour les actes du salarié

Dès les débuts de la procédure, EDF s'essayait à démontrer que, dans cette affaire de piratage informatique, elle était victime et non pas complice de l'infraction. Sa demande de constitution de partie civile avait toutefois été rejetée, et le Tribunal correctionnel de Nanterre sanctionnait sévèrement la société au motif que les deux salariés mis en cause « dans le cadre de leur mission, ont eu en quelque sorte carte blanche pour mettre en place les moyens d'assurer la sécurité du parc nucléaire dans le contexte sensible de la construction de I'EPR. Ils n'ont évidemment pas agi pour leur compte personnel mais dans l'intérêt exclusif d'EDF qui seule en a tiré bénéfice sous la forme concrète du CD Rom frauduleux détenu dans les locaux d'EDF ».

C'est finalement en appel que les arguments d'EDF finirent par peser : les actes étant ceux d'un salarié, dont l'indépendance et « la confiance dont il bénéficiait ont sans nul doute contribué à la commission de tels faits en "solo" » et, ce dernier n'ayant pas un poste à responsabilité, la Cour juge que ces actes n'engageaient pas la société.

N'est-ce pas là contradictoire de retenir d'une part que sa hiérarchie lui laissait délibérément une grande indépendance dans son travail et lui faisait grandement confiance au vu de ses compétences, mais de juger d'autre part qu'en dépit de cette indépendance, il n'était pas susceptible d'engager la responsabilité pénale de la société ?

Ce salarié, condamné en appel à 6 mois de prison ferme, a annoncé former un pourvoi en cassation de la décision intervenue.

Au plan disciplinaire, l'arrêt du 6 février dernier précise qu'il était convoqué à l'automne 2012 à un entretien préalable à licenciement. Nul doute que ses actes soient constitutifs d'une faute grave. La chambre sociale de la Cour de cassation a déjà validé le licenciement pour faute grave d'un cadre supérieur qui avait soumis à la direction de la société l'employant un rapport visant à mettre en avant les carences de sa hiérarchie, rapport comportant « des informations confidentielles que le salarié s'était procurées, sans informer quiconque de sa démarche, par une intrusion dans des fichiers qui ne lui étaient pas accessibles » (Soc. 1er oct. 2002, n°00-43543).

Enfin, en ce qui concerne la responsabilité civile, l'employeur est en principe responsable à l'égard des tiers du fait de ses préposés, sauf à prouver l'abus de fonction de ces derniers. En l'espèce, bien qu'un tel abus ne soit pas expressément qualifié, la Cour semble le retenir. EDF et son responsable de mission étant relaxés, Greenpeace se voit en effet déboutée des demandes indemnitaires formulées à leur égard. Seuls le hacker, le consultant et le chargé de mission sont condamnés à réparer le préjudice moral et d'image subi par l'association et par son ex-représentant, cible directe des actes de piratage, à hauteur de 15 000 euros seulement. La Cour juge que Greenpeace n'a pas apporté la preuve du préjudice matériel dont elle demandait également réparation.

Source:cio-online

Lire la suite

Cloud, comment faire face à une cyber-attaque

9 Avril 2013 , Rédigé par Stéphane Publié dans #SI Sécurité, #Cloud, #Entreprise

Cloud, comment faire face à une cyber-attaque

Un grand industriel a subi une attaque informatique dans le « cloud ». Décryptage (sous couvert d’anonymat) de ce véritable cas d’école.

Un lundi soir ordinaire

Le système d’information d’un grand industriel – qui souhaite taire son nom – est victime d’un incident de sécurité. Symptôme : de multiples requêtes sont envoyées sur son serveur FTP (« file transfert protocol ») hébergé au sein d’un « cloud » public dédié. C’est l’équipe SIRT (« security incident response team ») de son fournisseur, la société Dimension Data, qui a relevé le comportement anormal sur le réseau. Plusieurs hypothèses sont envisagées. Est-ce un début d’attaque par déni de service (DoS) ? Dans ce cas, l’attaquant submerge le serveur de requêtes afin de le rendre inopérant. Il peut également s’agir d’une attaque par « brute force » : le pirate essaie plusieurs combinaisons de mots de passe dans le but d’infiltrer le système.

Identifier l’attaque

La société Dimension Data, qui s’occupe de plusieurs entreprises du CAC 40, ne sait pas quelles données sont menacées. « Contractuellement, nous n’avons aucun droit de regard », explique Olivier Grosjeanne, responsable du pôle « data center » de Dimension Data. « En cas d’alerte, notre rôle est de faire remonter l’information vers les administrateurs réseaux de notre client. » Un e-mail de notification est donc envoyé et un ticket d’incident est ouvert. En attendant, l’équipe SIRT envisage tous les scénarios possibles. « Si c’est un “brute force”, il faut installer un filtre réseau de manière à ce que le serveur ne soit plus accessible à l’ordinateur de l’attaquant, explique Olivier ­Grosjeanne. En cas de DoS, il faut plutôt augmenter la puissance de nos machines afin d’absorber le flux envoyé par le pirate. »

Répondre vite

L’industriel met du temps à réagir. Son responsable informatique est coincé dans les transports… Au bout d’une heure et demie d’attente, pourtant, l’équipe SIRT reçoit une demande d’information complémentaire. Et renvoie aussitôt les traces de l’incident. « L’heure des tentatives d’intrusion, leur fréquence… mais surtout l’adresse IP de l’attaquant », précise Olivier Grosjeanne. Après analyse, les équipes en sont certaines : c’est un « brute force ». Les filtres réseaux sont déployés, ce qui a pour effet d’expulser le pirate hors du système d’information. Peu de temps après, l’industriel ajoutera des règles pour éviter que l’incident ne se reproduise. Par exemple, la coupure automatique de la connexion lorsque le mot de passe est faux dix fois de suite.

Débriefing

Sans gravité cette fois-ci, l’incident aurait pu être pire. « Lorsque l’entreprise met du temps à réagir, les conséquences peuvent être dramatiques, insiste Olivier Grosjeanne. Si le pirate pénètre le système, il vole les données. Mais il peut également laisser derrière lui un logiciel espion… Ce qui est quasi indétectable ! »

Source:lesechos

Lire la suite

La conférence INSIGHTS 2013 d'ISACA aidera les entreprises à transformer les processus opérationnels et ceux des technologies de l'information

9 Avril 2013 , Rédigé par Stéphane Publié dans #Conférence, #Entreprise, #Informatique

La conférence INSIGHTS 2013 d'ISACA aidera les entreprises à transformer les processus opérationnels et ceux des technologies de l'information

Les décideurs de l'informatique et des entreprises vont se retrouver à Berlin du 10 au 12 juin 2013

Les chefs d'entreprise doivent utiliser l'informatique efficacement pour rester dans la course et les responsables informatiques doivent proposer de nouvelles solutions permettant aux entreprises d'innover et de rester à la pointe du progrès. « Une technologie informatique et des processus opérationnels intelligents : comment leur intégration peut transformer les entreprises », tel sera le thème central de la conférence INSIGHTS 2013 de l'ISACA qui aura lieu du 10 au 12 juin 2013, à l'hôtel Berlin Estrel à Berlin, en Allemagne.

INSIGHTS a été lancé en 2011 comme événement majeur spécialement conçu pour les décideurs de l'informatique et des entreprises. Cette conférence aborde des sujets à un niveau stratégique et se concentre sur l'intégration effective des processus opérationnels et de la technologie au sein des organisations. Le programme consiste en deux jours et demi de sessions donnant à réfléchir, de tables rondes interactives et d'entretiens où se rencontrent dirigeants d'entreprise et responsables IT pour partager des idées et présenter leurs solutions aux défis actuels dans des discussions ouvertes avec le public.

« Cette année, INSIGHTS aura pour thème : « Les Technologies Informatiques+ les des processus opérationnels intelligents = Un avenir intelligent ». Il sera surtout question d'expliciter comment, en associant plus efficacement processus et technologie, on peut optimiser la performance et offrir une valeur adéquate et significative aux entreprises », a déclaré Marc Vael, CISA, CISM, CGEIT, CISSP, vice-président international de l’ ISACA et chef des audits de Smals. « Nous avons constaté que le format de cette conférence est d'une efficacité extrême en offrant auxparticipants des occasions de rencontrer les meilleurs experts, de participer activement à chaque session, débat et conversation, de partager des expériences, decréer des réseaux à haute valeur ajoutée, et de découvrir de nouvelles perspectives réalisables pour eux-mêmes et leurs organisations ».

Le discours d'ouverture d'INSIGHTS 2013 sera prononcé par le Dr Herman Konings, futuriste et fondateur de nXt et Opus X, deux groupes de réflexion sur les tendances et les prévisions. M. Konings expliquera comment le consumérisme et les tendances globles, influencent les différentes générations, le marketing inter-entreprises (B2B) et d'autres parties de l'entreprise. Le discours de clôture sera prononcé par Egidio (Edge) Zarrella, associé-conseil principal KPMG China. Expert en évolution stratégique des affaires et de l'information ainsi qu'en externalisation et délocalisation, M. Zarella aidera les participants à comprendre la complexité et les changements à venir.

Autres sessions à l'ordre du jour d'INSIGHTS : confidentialité et protection des données, « big data » (un problème majeur ou une grande opportunité ?), sécurité des informations — Se tenir au courant des tendances métiers, avenir de l'informatique dématérialisée, cyber sécurité, détection des fraudes à postériori, commerce électronique et santé par Internet. Les débats seront animés par les meilleurs experts des compagnies internationales, dont notamment CA, Cloud Security Alliance, Deutsche Post, DHL, EDPS, Elsevier, ENISA, IBM, INTUG, KPMG, Microsoft, News International Corp., Pfizer, SWIFT, TurkCell, Visa, WalMart, et beaucoup d'autres.

« Berlin est un cadre tout à fait approprié pour cet événement unique, une ville internationale riche en histoire et en culture qui met l'accent sur l'innovation technologique et s'efforce de devenir une ‘ville intelligente’ pour ses citoyens et ses entreprises », a déclaré M. Vael. « À Berlin, les collèges, établissements de recherche, centres technologiques et entreprises commerciales sont étroitement interconnectés, ce qui permet de partager facilement les connaissances et la technologie. Ce succès souligne l'efficacité que constitue la fusion des affaires et de l'informatique pour apporter de la valeur à toutes les parties prenantes ».

Pour plus d'informations sur INSIGHTS 2013 ou pour vous inscrire, veuillez consulter www.isaca.org/insights. Date limite d'inscription à tarif réduit : le 17 avril.

Source:universalpressagency

Lire la suite

Entreprises-recherche, le transfert au cœur de la politique du Geneviève Fioraso

3 Avril 2013 , Rédigé par Stéphane Publié dans #Entreprise, #Politique Française

Entreprises-recherche, le transfert au cœur de la politique du Geneviève Fioraso

Les PME et les ETI sont particulièrement visées par les 15 mesures « pour une nouvelle dynamique de transfert » de la ministre Geneviève Fioraso.

Le transfert (mobilité des chercheurs, partenariats entreprises-recherche publique et diffusion des découvertes dans le tissu économique) de la recherche publique est un des points clefs du projet de loi sur l’enseignement supérieur et la recherche, présenté le 20 mars en Conseil des ministres. La reconnaissance du transfert dans les missions de la recherche publique a été inscrite dans le projet, et fait aussi le sujet d’un livre spécifique joint à la loi. La ministre a présenté fin d’année dernière 15 mesures« pour une nouvelle dynamique de transfert ». Certaines de ces mesures concernant la recherche technologique ont déjà été mises en place, comme le lancement de la plate-forme CEA Tech à Toulouse en janvier. L’objectif de ces plates-formes,programmées aussi à Bordeaux et Nantes, gérées par le CEA, est de diffuser les technologies vers les PME.

100 laboratoires futurs communs entre entreprises privées et laboratoires publics

PME et ETI sont particulièrement visées par les mesures de Geneviève Fioraso. Ainsi,l’ANR a en charge de financer la création de 100 laboratoires communs, LabCom,réunissant des PME ou ETI et des laboratoires publics. L’appel à projets a démarré le 11 mars et se poursuit jusque fin mai. Six laboratoires communs de ce type ont déjà vu le jour à l’Inria depuis 2010. Autre mesure en faveur des petites entreprises, les 34 Instituts Carnot vont se réorganiser en dix filières économiques – automobile, aéronautique, construction, chimie et matériaux, etc. – afin d’améliorer la lisibilité, notamment pour les PME-ETI. Cent cinquante millions d’euros de renforcement de budget sont aussi programmés pour soutenir la recherche technologique des Instituts vers cette même cible.

Structures à simplifier

Au-delà des budgets et des réorientations stratégiques, le projet de loi s’intéresse également au rapprochement humain des acteurs de la recherche et du monde économique. Ainsi, un réseau social au service des chercheurs et des entreprisesdevrait voir le jour d’ici à cet été, en se basant sur des initiatives préexistantes. Autre mesure, les modalités permettant aux chercheurs d’exercer une fonction de conseil auprès des entreprises devraient être simplifiées. La loi prévoit encore d’effectuer un bilan des actuels bénéficiaires du dispositif Cifre (qui permet aux entreprises d’embaucher des doctorants) pour le renforcer en direction des PME-ETI. Enfin, le projet de loi fait plusieurs propositions en faveur d’une simplification des structures intervenant actuellement dans la recherche française.

15 mesures pour une nouvelle dynamique de transfert de la recherche publique, levier de croissance et de compétitivité en images.

Source:lesechos

Entreprises-recherche, le transfert au cœur de la politique du Geneviève Fioraso
Entreprises-recherche, le transfert au cœur de la politique du Geneviève Fioraso
Entreprises-recherche, le transfert au cœur de la politique du Geneviève Fioraso
Entreprises-recherche, le transfert au cœur de la politique du Geneviève Fioraso
Lire la suite

Des outils de reporting et pilotage pour combattre les discriminations et manager les diversités

16 Mars 2013 , Rédigé par Stéphane Publié dans #Entreprise

Des outils de reporting et pilotage pour combattre les discriminations et manager les diversités

LE CERCLE. Bien manager la diversité est créateur de valeur pour l'entreprise. Pour ce faire, les directions générales et directions RH doivent disposer d’outils de reporting et de pilotage qui leur donnent de la visibilité sur les résultats de leur politique Diversités dans toutes les entités et à tous les niveaux de l’entreprise.

A partir de 2004, la lutte contre les discriminations a connu une accélération en France avec la Charte de la diversité. Avec aujourd’hui plus de 3 400 entreprises signataires1, cette charte a fortement contribué à diffuser l’idée que « favoriser le pluralisme et rechercher la diversité au travers des recrutements et de la gestion des carrières est un facteur de progrès social pour l'entreprise ». Cette vision, également portée par de nombreuses associations, a permis aux entreprises de passer de la lutte contre les discriminations, imposée par la loi et vécue comme une contrainte, à la promotion positive de la diversité du capital humain. Nombre d’entreprises et de grands groupes ont intégré cette dimension dans leur politique RSE.

Une nouvelle étape a été franchie en avril 2012 avec le décret d’application de l’article 225 de la loi Grenelle 2 qui étend aux entreprises de plus de 500 salariés2 l’obligation de publier des informations fiables et vérifiables sur leur performance sociale, environnementale et sociétale. Si les entreprises restent libres de choisir les champs RSE sur lesquelles elles veulent agir, celles qui ont pris des engagements dans le domaine de la diversité vont devoir expliquer et démontrer ce qu’elles font dans les domaines du handicap, de l’égalité hommes-femmes, de l’emploi des jeunes et des seniors, de la diversité des origines, etc. Au-delà de l’obligation légale de rendre compte, les entreprises qui veulent réellement faire de la diversité en facteur et un levier de performance doivent se donner les moyens de mesurer et piloter leurs actions dans ce domaine. Pour cela, il faut d’abord tordre le cou à l’idée qu’il serait impossible de mesurer la diversité du capital humain et l’égalité de traitement des salariés au sein de l’entreprise.

MESURER LA DIVERSITE, C’EST TOUT A FAIT POSSIBLE EN FRANCE

En 2011, l’Association Française des Managers de la Diversité (AFMD) a travaillé avec une dizaine d’entreprises sur la mesure des diversités. Ces travaux ont montré qu’il était possible de définir des indicateurs pertinents et ne contrevenant pas aux textes sur les discriminations pour répondre à des questions concrètes : les femmes sont elles aussi bien formées que les hommes ? Quel est l’impact d’un congé de maternité sur leur rémunération et l’évolution de leur carrière ? Y a-t-il un plafond de verre pour les personnes en situation de handicap ou d’origine étrangère ? Le management et l’encadrement incarnent-ils la diversité ?

Toutes les directions RH possèdent des informations sur les types de contrats, la formation, la rémunération. En croisant ces informations avec des critères autorisés d’âge, de sexe, de handicap, on arrive déjà à cartographier la réalité des diversités dans une entreprise. Reste la question épineuse des origines ethniques. Epineuse parce que l’on sait que ce sont des critères majeurs de discrimination consciente ou inconsciente et que la loi française interdit d’établir des statistiques de ce domaine. On peut cependant approcher cette dimension en recueillant dans des enquêtes anonymes la nationalité d’origine d’un des parents des salariés. La CNIL et le Défenseur des droits3 ont confirmé la validité des critères et indicateurs proposés par l’AFMD. Il n’y a donc pas de réel obstacle à la mise en place d’un système objectif de mesure des diversités : les données indispensables existent dans la plupart des Systèmes d’Information RH (SIRH) et rien n’empêche de construire des indicateurs qui ont du sens.

MESURER EST INDISPENSABLE POUR PROGRESSER

Les nouvelles obligations de reporting social sont vécues comme une contrainte supplémentaire par nombre d’entreprises. D’autres au contraire y voient l’occasion de mettre en place un système qui les aidera à progresser, à inscrire leurs actions en faveur des diversités dans la durée et à en faire une composante à part entière de leur performance. Pour cela, il faut d’abord savoir d’où l’on part, a minima sur les critères sur lesquels le régulateur et les observateurs du marché demandent des comptes. Une fois le point zéro établi, on peut mesurer les avancées, comparer les performances, rééquilibrer les efforts en fonction des priorités que l’entreprise se fixe.

Tant qu’on ne demandait pas aux entreprises de démontrer la qualité et la fiabilité de leurs données, une certaine approximation restait possible. C’est d’ailleurs ce que l’on a beaucoup reproché aux rapports Développement Durable et RSE des grandes entreprises. Ce n’était pas délibéré. Simplement, le plus souvent, les entreprises – même les plus engagées sur ces questions – collectaient les données au coup par coup au moment d’élaborer le rapport – une dépense de temps et d’énergie d’autant plus considérable qu’elle se renouvelait chaque année.

AUTOMATISER POUR MIEUX SE CONSACRER A L’ACTION

Faisant ce constat, il a été proposé à L’Oréal de travailler sur la mise en place d’un système, pour d’une part, mesurer, piloter et rendre compte des avancées du Groupe en regard de ses engagements en matière de lutte contre toutes les formes de discrimination et, d’autre part, permettre à chaque pays d’affiner ses plans d’actions en fonction des priorités et des spécificités réglementaires locales. Cette initiative se traduit par un tableau de bord comportant une trentaine d’indicateurs partagés couvrant la parité et l’égalité des rémunérations hommes-femmes, le handicap, l’accès à la formation, la diversification du recrutement, l’intégration des nouveaux arrivants et les évolutions de carrière.
Cett solution a permis de démontrer qu’il est possible, en utilisant les technologies de Business Intelligence souvent déjà en place dans l’entreprise, d’automatiser la production d’indicateurs. Cette solution – totalement reproductible et donc à la portée de toutes les entreprises – simplifie le reporting réglementaire mais surtout permet à l’entreprise de se "benchmarker" et de diffuser l’information en interne pour renforcer l’implication de tous dans la lutte concrète et quotidienne contre les discriminations.

UNE AUTRE VISION DE LA PERFORMANCE

Mesurer, rendre compte, se comparer, ajuster et recommencer. C’est le seul moyen de progresser et de passer de la contrainte réglementaire à une réelle promotion des diversités dans l’entreprise. Ce n’est plus un simple enjeu d’image à faire valoir en quadrichromie dans des brochures sur papier glacé. C’est bien sûr un enjeu de cohésion sociale en interne. Et c’est désormais un enjeu de performance globale de l’entreprise. A ceux qui en douteraient, je ne peux que conseiller de lire l’étude Diversité du capital humain et performance économique de Goodwill Management et IMS-Entreprendre pour la Cité. Une de ses principales conclusions est que la diversité des ressources humaines, dès lors qu’elle est bien managée, crée de la valeur et de la richesse pour l’entreprise. Selon les types d’activité, elle augmente la rentabilité de 5 à 15%4.

Il est évident que les entreprises pourront de moins en moins dissocier performance économique et performance sociale. C’est ce qu’ont compris les employeurs qui, en démontrant leur engagement, ont obtenu le label Diversité de l’Afnor. Ils sont aujourd’hui près de 400. Pour conserver ce label différenciateur, valable 4 ans et réexaminé tous les deux ans, les organisations doivent produire des données indiscutables. La mise en place d’une solution dédiée est – pour ces organisations publiques et privées comme pour toutes les entreprises concernées par les nouvelles obligations de reporting RSE – une étape clé vers un management vraiment intégré de la performance économique ET sociale.

Source:lesechos

Lire la suite