Risque économique et financier: l'affaire SWIFT

Medium_img_5269bis Le 8 juin dernier le site français d'informations L.C.I dans une vidéo consultable sur le site met en cause la société belge SWIFT (Society for Worldwide Interbank Financial Telecommunication)dont l'activité principale est la gestion des transactions financières. Cette entreprise est accusée, depuis la révélation de l'affaire par la presse américaine le 23 juin 2006, de transmettre aux autorités américaines, via son réseau de surveillance, des informations sur  les transactions financières mondiales effectuées par les banques. Le prétexte en est la détection des flux financiers suspects en vue de cerner les éventuels réseaux terroristes. La C.N.I.L française, comme l'ensemble des C.N.I.L européennes, a dénoncé ces pratiques depuis décembre 2006, la dernière fois le 13 juin dernier. Fin 2006, le G29, groupe européen de coordination des autorités de protection des données de l'Union Européenne, "a considéré que SWIFT n’a pas respecté les règles européennes de protection des données  en acceptant de communiquer aux autorités américaines les données bancaires transitant par son réseau". La CIA et le Trésor américain bénéficient en effet d'un accès permanent à toutes ces données.
D'une façon plus globale, la question est de savoir si au nom de la lutte antiterroriste les règles de protection des droits fondamentaux des citoyens et de confidentialité de certaines opérations effectuées par les entreprises,  peuvent être neutralisées voire bafouées?


Risque sécuritaire: sécurité économique et protection du patrimoine de l'entreprise

Lock130207 Au mois de mars dernier, l'Agefi Luxembourg, mensuel d'informations économiques et financières a organisé un séminaire sur la sécurité économique et la protection du patrimoine de l'entreprise. L'occasion de rappeler un certain nombre d'évidences et de règles à appliquer.

  • l'information est un élément moteur de la bonne conduite de l'entreprise: des menaces internes et externes peuvent la fragiliser et porter atteinte à la pérennité de son activité.Une politique de sécurité, conduite grâce à des référentiels de haut niveau comme la norme ISO/IEC 17799:2005 ainsi qu'une véritable politique de management de la sécurité de l'information en appliquant la norme ISO/IEC 27001:2005 par exemple, peuvent l'aider à pallier les vulnérabilités existantes.
  • la sécurité physique des locaux, des matériels et des personnels doit faire l'objet d'audits afin de définir les orientations stratégiques à mettre en place pour diminuer les risques,
  • la fuite de l'information: afin de s'en prémunir il faut définir une politique de la sécurité de l'information en la classant selon des critères de diffusion: restreint, confidentiel, secret,
  • la protection de la propriété intellectuelle s'impose. Les atteintes au patrimoine immatériel de l'entreprise, s'il n'est pas protégé, peuvent coûter très cher,
  • la lutte contre la piraterie et la contrefaçon s'impose en collaboration avec les administrations de l'État compétentes,
  • l'espionnage industriel est aussi une réalité à prendre en compte si l'on ne veut pas voir ses secrets commerciaux pillés par une concurrence sans état d'âme.

Tous ce sujets sont en général maitrisés par les grands groupes industriels mais rarement par des entreprises de taille moindre. Pour se rendre compte de la façon professionnelle dont les anglo-saxons traitent ces différentes menaces il suffit de se rendre sur le site de l'Overseas Security Advisory Council du gouvernement américain.

Chacun des points développés dans cette note y sont traités de façon spécifique et répertoriés dans la colonne de droite de ce blog à la rubrique "protégez vos entreprises".


Le blog qui monte....

Visuel Robert Contrucci, responsable du Guide des Sites pour Managers m'adresse le message ci dessous:
"Nous avons le plaisir de vous informer que votre blog "Risques pays" a été retenu par la "Commission de sélection des sites" de l'AAE IAE (Association des Anciens Elèves de l'IAE de Paris . Université Paris 1 Panthéon-Sorbonne), pour entrer dans la sélection de sites du "Guide des sites pour Managers (AAE IAE de Paris)".
C'est un bel encouragement à poursuivre la rédaction de notes que vous êtes de plus en plus nombreux à lire: merci donc à vous tous, lecteurs fidèles!


Systèmes d'information: la criminalité sur Internet en 2006

Logofdrouge Selon le dernier rapport 2006 du Clusif (Club de la Sécurité de l'Information Français), téléchargeable sur le site,la criminalité sur Internet se professionnalise comme l'analysent les quotidiens français le Monde et la Tribune dans leur édition du vendredi 19 janvier dernier: "2006 marque sans doute un tournant avec la diversification et la professionnalisation de cette activité".
La grande nouveauté est la volonté de cette nouvelle catégorie de malfrats d'agir pour des motifs financiers et non plus pour le simple "fun", ce qui pourrait être le signe de la fin des attaques de masse par virus. Ainsi, selon le Clusif, ont pu être identifiés plusieurs types d'infractions:

    - l'hameçonnage ou "phishing", comme le montre cette grande arnaque par hameçonnage qui a coûté 800.000 € à des utilisateurs de la banque suédoise Nordea en août 2006,
    - le recrutement de particuliers pour blanchir de l'argent, les "mule", qui pourraient être manipulés par la mafia russe,
    - l'usurpation d'identité,
    - le SPIT (Spam over Internet Technology), nouvelle forme de spam via la voix sur IP,
    - la manipulation des cours de bourse ou "stock spam",
    - la commercialisation des vulnérabilités, c'est à dire des failles de logiciels ou de systèmes,
    - l'espionnage économique.
Le coût annuel de de la cybercriminalité pourrait se chiffrer à plusieurs milliards de dollars.


Risque informatique: la cybercriminalité aux Etats Unis vue par le F.B.I

Traitementinfo100x100 Deux études publiées par IBM et le Federal Bureau of Investigation (F.B.I) font état de pertes pour les entreprises américaines de 67 milliards de dollars!

L'enquète a été conduite auprès de 2000 entreprises américaines en 2005, selon le Journal du Net qui fait état de ces rapports. Ce qui est intéressant dans les études menées n'est pas tant le résultat des attaques conduites par les hackers et les moyens utilisés et bien connus que personne ne conteste maintenant,  que les deux faits suivants:

  • 36 pays étrangers se sont rendus coupables d'attaques visant les entreprises américaines et parmi les attaques constatées près de 24% ont été identifiées comme venant de la Chine;
  • pour l'année 2006, l'évolution prévue est que globalement les attaques ne devraient plus utiliser les failles existantes dans les systèmes d'information en raison de la sécurisation croissante des systèmes, mais viser directement l'utilisateur final.

L'article du JDN est téléchargeable directement ci dessous ou à partir du site:

Download si_securite.doc


Criminalité informatique: le rapport 2005 du CLUSIF n'est pas rassurant

Bando2Dans son traditionnel rapport annuel (à télécharger sur le lien suivant ou directement sur le blog ci dessous) le Club de la sécurité des systèmes d'information français (le Clusif) met en évidence pour 2005 les similitudes entre la cybercriminalité et la criminalité organisée traditionnelle. Le département d'Etat américain affirme déjà que le cybercrime rapporte maintenant plus que le commerce de stupéfiants. Nouveauté dans ce rapport annuel: via le Net, le harcèlement, la violence physique ont été constatés l'an passé. Le rapport en donne la preuve.
La lecture du catalogue des événements survenus, dûment répertoriés, sont autant de menaces pesant sur l'utilisateur individuel que sur l'entreprise. Outre les chevaux de Troie, virus, spams, le lecteur fait connaissance avec tout l'arsenal déployé par le délinquant et qui s'appelle robot, rootkit, phishing, PC zombie, botnet, keylogger etc. Mais à présent il faut aussi prendre en compte l'intelligence économique, l'espionnage industriel, l'usurpation d'identité, la fraude financière...
Ce qui est intéressant dans ce rapport c'est non seulement la liste des méfaits constatés mais aussi les preuves apportées à chaque affirmation, le grand nombre de liens qui sont autant de références, les propositions de parades à utiliser et les prévisions pour une année 2006 qui ne sera pas de tout repos!
Download PanoCrim2k5-fr.pdf


Risque sécuritaire: criminalité et mondialisation

Criminalit_dans_le_mondeimg017 Dans le n°702 de son mensuel, la revue économique l'Expansion consacre un dossier spécial à la criminalité intitulé "nouvelles mafias nouveaux business". La carte ci jointe, extraite du document, montre les principales activités criminelles pays par pays. Ce dossier explique de façon claire quels nouveaux "métiers", du grand banditisme à la cybercriminalité, du trafic aux mafias, sont nés ou se sont développés après la chute du mur de Berlin en 1999 et après les attentats du 11 septembre 2001. Des données chiffrées sont exposées. Ainsi selon le Fonds Monétaire International, "les gains provenant d'activités illicites vont  de 500 à  1500 milliards de  dollars par an , soit  2 à 5% du  PIB  mondial." Les auteurs du dossier expliquent, faits et chiffres à l'appui de leur enquète que la criminalité s'est aussi grandement diversifiée avec la mondialisation. En témoignent en particulier l'augmentation de la fraude sur internet et l'utilisation des hautes technologies: fraude en Bourse, escroqueries aux fonds structurels, percée fulgurante de la contrefaçon etc.
Des éléments que vous pouvez retrouver sur le site du mensuel ou sur le document en format pdf ci dessous:
Download l'Expansion_nov2005_n702105c7025cpdf0702exp0702038.pdf


Criminalité informatique: 40% des entreprises impactées

53365664Une étude récente réalisée par le cabinet Amplitude Research auprès de 360 professionnels de la sécurité en entreprise révèle que 4O% des entreprises de plus de 20.000 employés reconnaissent avoir été victimes d'intrusions.
Les résultats "techniques" de cette enquète ainsi que le détail de ses conclusions se trouvent sur le blog de Verbalkint , auquel est emprunté l'image ci contre.


Sécurité des systèmes d'information: état des lieux de la sécurité informatique aux Etats Unis

Le Cabinet Accenture publie les résultats dune étude effectuée auprès de plus de 2500 professionnels de la sécurité informatique aux Etats Unis entre juillet et août 2005. Il apparait dans cette étude que les brèches observées dans les S.I des entreprises trouvent leur origine dans l'utilisation même de ces systèmes par les salariés, ce qui est confirmé par les résultats de toutes les enquètes réalisées sur ce thème. Mais l'information la plus intéressante est que selon Accenture, les entreprises américaines "échouent encore à protéger de manière rigoureuse leurs données clients".
Les autres éléments de l'enquète démontrent que les sociétés américaines rencontrent les mêmes difficultés à se protéger que leurs homologues des autres continents. En raison de l'évolution et de l'augmentation permanente des risques impactant les S.I et de la difficulté à les anticiper et à s'en prémunir.
Ci dessous le résumé du rapport:
Download étude_Accenture.doc


Risque économique et financier: le cas de la sous-traitance dans l'industrie financière

Dans sa publication mensuelle de septembre dernier, l'Agefi Luxembourg met l'accent sur la nécessité de bien évaluer les risques pour une entreprise qui décide d'avoir recours à la sous-traitance dans  l'industrie financière en pratiquant par exemple le recours à l'"offshoring". Des solutions sont ainsi traduites à partir de propositions émises par la Bank for International Settlements, qui peuvent servir de référence.
A partir de l'énoncé des risques encourus (opérationnel, juridique, réputation, de l'environnement politique et social...), neuf principes directeurs sont décrits parmi lesquels la définition d'une stratégie d'opportunité, l'établissement d'un programme de gestion des risques, la mise en place et le maintien d'un plan de secours, la protection des données confidentielles.
Cette analyse peut être consultée en ligne ou directement ci dessous:
Download sous traitance_dans_l'industrie_financière.doc