RĂ©cap'IT : NIS 2, on fait le point

Revenir Ă  la page
Newsletter
MĂ©lanie Lebrun
30/4/2024

Bonjour đŸŒ·,

‍

Je vous retrouve pour l'Ă©dition d'avril du RĂ©cap'IT.

Cette édition est trÚs juridique, je vous ai donc mis des touches de légÚreté pour la rendre digeste !

📅 Au programme aujourd’hui :

‍

  • La directive NIS 2
  • France Travail, ce n'est pas du bon boulot
  • L'avenir de Tiktok
  • SREN, la loi qui va [trop] loin
  • La rubrique pĂȘle-mĂȘle
  • Les cyberattaques du mois
  • L'actu chez Youzer

‍

👉 Go !!

Avant de commencer, je vous invite Ă  nous suivre đŸ‘‰ïž

­

‍

đŸ™ïž La directive NIS 2

NIS 2 : cette directive europĂ©enne qui doit sortir dans 6 mois 😹

Pas de panique, j'ai fait un travail d'enquĂȘte pour mieux l'apprĂ©hender.

1. La date de transposition de la directive europĂ©enne dans le droit français (17 octobre) ne signifie pas que c'est la date de mise en conformitĂ© pour les entreprises.

→ C'est la date Ă  laquelle on connaĂźtra toutes les lignes de la loi, les grandes (qu'on connaĂźt dĂ©jĂ  pas mal) et les petites qui sont encore en discussion.

2. Oui, il y aura des sanctions et c'est ce qui fait paniquer tout le monde mais, comme le dit Morten LĂžkkegaard membre au Parlement europĂ©en : "Si nous n'avons pas d'amendes, de sanctions, les gens ne se conformeront pas, c'est la rĂ©alitĂ© des choses."



3. Les rĂšgles sont plus strictes et le cadre plus dĂ©limitĂ© que pour NIS 1

4. Davantage d'entreprises sont concernĂ©es, on passe de 15 000 opĂ©rateurs rĂ©gulĂ©s Ă  100 000 entitĂ©s. On parle d'entitĂ©s essentielles et importantes.

5. Lors d'un incident cyber, il y a 3 grandes Ă©tapes Ă  respecter dans la dĂ©claration :

  • notifier l'incident
  • 72h aprĂšs faire une mise Ă  jour en apportant plus d'information
  • 1 mois aprĂšs les 72h, rĂ©aliser un rapport dĂ©taillĂ©.

‍

Si nécessaire, réaliser des rapports intermédiaires.

đŸ‘‰đŸŒ De mon point de vue, les grands changements qui peuvent ĂȘtre vraiment intĂ©ressants :
â–Ș La direction sera impliquĂ©e dans NIS 2, elle devra se former aux enjeux cyber et elle sera engagĂ©e en cas de non respect de la loi.

Si les services informatiques se sentent souvent seuls et peu Ă©coutĂ©s dans leurs besoins de sĂ©curiser les systĂšmes, cela peut ĂȘtre un vrai game changer.

â–Ș Les pĂ©nalitĂ©s vont devenir plus chĂšres que le paiement des rançons (calcul qui est actuellement rĂ©alisĂ©...). Les entreprises auront donc plus d'intĂ©rĂȘt Ă  nettoyer leur SI, Ă  opter pour des rĂšgles de bonnes conduites que de jouer au cyber-loto du hacking.

Vous voulez creuser le sujet ? J'ai Ă©crit un article super loooong 😁

‍

Point sur la directive NIS2

‍

Recevez le meilleur des actus IT du mois.
Évolution du marchĂ©, tendances IT, les cyberattaques en France ... un condensĂ© de l'actualitĂ©

Recevoir l'actu IT

đŸ«Ł France Travail, ce n'est pas du bon boulot !

France Travail a été victime d'une cyberattaque de grande ampleur avec un vol de données des personnes enregistrées sur les 20 derniÚres années soit environ 43 millions de comptes (cette année, j'ai donc eu le bonheur de recevoir un mail de la mutuelle pour me dire que mes données avaient été piratées et de France Travail, Youpi !).

‍

Les syndicats de la CGT ont publié une lettre révélant des informations un peu limite...

‍

Lors d'une analyse des risques réalisée pour l'intégration de Cap emploi en 2022, des failles graves avaient été détectées : "un attaquant usurpe l'identité d'un agent Cap Emploi et accÚde aux données du SI PÎle emploi via la machine virtuelle". Le rapport préconisait alors de "renforcer l'authentification à la machine virtuelle avec un deuxiÚme facteur d'authentification (2FA) conformément aux exigences de l'ANSSI", celui-ci n'a jamais été mis en place.

‍

Suite à l'attaque, le MFA a été mis en place en 1 à 2 semaines.

Le rapport révélait aussi de lourdes failles sur le principe du moindre privilÚge qui n'avait pas été appliqué. Les salariés de Cap Emploi avaient tous (?) des accÚs non restreints ! Ce problÚme se retrouve aussi avec les prestataires qui travaillent pour la DSI avec des droits identiques aux internes.

‍

La CGT met aussi en lumiÚre des accÚs illimités au SI pour les salariés externes.

‍

Source : X

Cyberattaque sur France Travail

­

‍

đŸ€łđŸŒ Tiktok la suite

La derniùre fois, je vous expliquais qu'il y avait une guerre entre les États-Unis et la Chine pour avoir Tiktok.

Les arguments de surface de la part des USA sont : la Chine (pays ennemis) collecte les données de millions d'américains et nous, les députés, devons les défendre !

‍

Les arguments réels de la part des USA : no way ! Il y a une quantité phénoménale de données qu'on pourrait collecter et qui nous échappe !

En plus, rappelons-le, la loi FISA donne la possibilité au FBI de consulter n'importe quelles données sans avoir à avertir quiconque.

Les USA demandent donc Ă  ByteDance de vendre Tiktok Ă  un entrepreneur d'un pays alliĂ© des USA. 😈 voilĂ  mais bon qui mis Ă  part un entrepreneur amĂ©ricain peut se payer Tiktok ? Un comitĂ© proche de Donald Trump s'est dĂ©jĂ  dit intĂ©ressĂ©.

‍

MAIS pour tout cela, il fallait faire voter cette demande par le congrĂšs.

‍

C'est chose faite avec la plus grande fourberie. Le 20 avril, un grand plan d'aide contenant : un volet pour l'Ukraine, pour Israël et pour Taïwan a été voté. Devenez ce qui était aussi inclus dedans ? L'obligation de la vente de Tiktok !!

Et en Europe comme se porte Tiktok ?

Eh bien l'application s'est illustrée avec Tiktok Lite qui récompense les utilisateurs selon des actions qu'ils doivent réaliser chaque jour.

‍

Les utilisateurs gagnent des piĂšces virtuelles qui sont ensuite Ă©changĂ©es contre des petits cadeaux, le principe mĂȘme de la gamification et donc de l'addiction (en plus de passer des heures derriĂšre les Ă©crans).

‍

Tiktok a suspendu son systÚme de récompenses suite à une plainte de l'UE.

« LĂ , nous sommes vraiment sur un mĂ©lange entre le pire de ce qui peut exister sur des jeux premium, et le pire ce qui peut exister en termes de plateformes sociales qui capturent l’attention des jeunes. C’est le pire du pire », conclut David-Julien Rahmil journaliste pour l'ADN.


Source : Challenge

Le SiĂšcle Digital

Le gouvernement américain veut Tiktok

­

‍

👀 SREN : la loi qui va [trop] loin

SREN, vous voyez de quoi on parle ? Non pas du renne de la Reine des neiges ❄ mais bien du projet de loi visant Ă  sĂ©curiser et rĂ©guler le numĂ©rique.

Le texte est ambitieux mais un peu extrĂȘme


Il vise à réguler entre autres :
đŸ‘‰đŸŒ Les propos haineux ou insultants en ligne
đŸ‘‰đŸŒ Le contrĂŽle d'Ăąge pour les contenus pour adultes

Le hic est, si l'objectif est noble, les moyens pour y arriver sont trĂšs complexes.

Si on contrÎle l'ùge des utilisateurs, cela signifie qu'on connaßt leur identité et que l'on traque leur activité.

Cela va complùtement à l’encontre du RGPD.

Autre point de friction, le contenu pornographique qui est particuliĂšrement ciblĂ© dans cette loi n’est pas cantonnĂ© uniquement Ă  certains sites mais sur la majoritĂ© des rĂ©seaux sociaux.

Aujourd’hui la situation est compliquĂ©e pour le projet de loi car :
đŸ”č il n’y a pas de solution concrĂšte pour ĂȘtre respectueux du RGPD,
đŸ”č si on scrute la navigation des utilisateurs, on peut connaĂźtre leurs orientations sexuelles, politiques, syndicales ou religieuses, qui sont des donnĂ©es extrĂȘmement sensibles,
đŸ”č cette loi va Ă  l'encontre des lois europĂ©ennes DSA et la directive e-commerce des plateformes.

Lorsqu'un État membre veut modifier son accĂšs au numĂ©rique, il doit notifier son futur texte Ă  la commission europĂ©enne. Or, celle-ci a Ă©mis un avis circonstanciĂ©, ce qui signifie que la France doit revoir sa copie car elle enfreint les lois europĂ©ennes.

Aujourd’hui, internet n’est pas une zone de non droit, les propos injurieux, racistes ou discriminants sont punis par la loi.

Marc Rees, journaliste au mĂ©dia l’informĂ© dit : “Avant d'aller voir le futur, respectons le prĂ©sent”

L'Assemblée nationale a voté en faveur du projet de loi mais la Commission européenne promet des sanctions lourdes si le texte était adopté tel quel.

đŸ‘‰đŸŒ En rĂ©sumĂ©, la loi SREN n’est pas prĂȘte d’aboutir dans les conditions actuelles.

‍

Source : Le SiĂšcle Digital

‍

SREN la loi sur la sécurisation du numérique

Vous souhaitez recevoir notre livre blanc sur la gestion des identités et des accÚs ?

Nous n'avons pas pu confirmer votre demande.
Votre demande de livre blanc est bien prise en compte.

PĂȘle-mĂȘle

  • Microsoft multiplie les failles et les brĂšches et malgrĂ© la gronde qui monte, l'entreprise ne fait face Ă  aucune consĂ©quence pour sa gestion quelque peu douteuse de la sĂ©curitĂ©. Le gouvernement amĂ©ricain continue d'acheter et d'utiliser ses services et outils.
    « La dĂ©pendance du gouvernement amĂ©ricain Ă  Microsoft pose une grave menace pour la sĂ©curitĂ© nationale des États-Unis », dĂ©clare le sĂ©nateur amĂ©ricain Ron Wyden. « Le gouvernement est effectivement coincĂ© avec les produits de l'entreprise, malgrĂ© de multiples violations graves des systĂšmes gouvernementaux amĂ©ricains par des pirates Ă©trangers dues Ă  la nĂ©gligence de l'entreprise. »
    Le gouvernement est dépendant de Microsoft, ce qui lui enlÚve le levier nécessaire pour repousser les pratiques de l'entreprise.
  • Le mode 'incognito' ou 'privĂ©' de Google, pas si incognito que ça... Google continuait Ă  traquer quantitĂ© de donnĂ©es sur les utilisateurs Ă  l'aide de cookies et d'applications et transmettait les donnĂ©es Ă  Alphabet. Un process est en cours et Google a acceptĂ© de dĂ©truire des milliards d'enregistrements. "Le rĂ©sultat est que Google collectera moins de donnĂ©es des sessions de navigation privĂ©e des utilisateurs, et que Google gagnera moins d'argent avec ces donnĂ©es" dĂ©clarent les avocats. Vous l'aurez compris, le mode privĂ© n'a rien de privĂ©.
  • Teleperformance, une entreprise française leader dans la gestion de la relation client, vient de faire une grosse chute en bourse suite Ă  l'annonce de l'entreprise Klarna qui lance un assistant IA pour le service client. 2.3 millions de conversations ont Ă©tĂ© rĂ©alisĂ©es, ce qui Ă©quivaut Ă  700 employĂ©s Ă  temps plein. Cet assistant est disponible 24h/24, 7j/7 et parle 35 langues. Vous parlerez donc bientĂŽt Ă  un robot mĂȘme quand vous demanderez de parler Ă  un conseiller !
Une IA décroche le téléphone

­

‍

‍

☠ Les cyberattaques du mois

Ce mois-ci, cette rubrique sera exclusivement française tellement nous avons eu à faire. Bien sûr, le reste du monde n'est pas épargné.

‍

Intersport : a subi une cyberattaque se faisant extraire 52.2 GB de données

Le PSG : a été victime d'une violation de données sur sa billetterie en ligne.

‍

Saint-Nazaire et Saint-Nazaire agglomĂ©ration : une cyberattaque d'envergure a mis Ă  plat tous les services informatiques, perturbant grandement le fonctionnement de la ville et de l'agglo. Les spĂ©cialistes expliquent qu'il faut deux heures pour comprendre ce qu'il se passe, deux semaines pour analyser comment cela s'est passĂ© et par oĂč les pirates se sont introduits dans le systĂšme et, enfin, deux ans pour trouver un niveau de service informatique Ă©quivalent Ă  celui qui a Ă©tĂ© dĂ©truit.


Mairie d'Albi : les services de la ville sont inaccessibles durant plusieurs jours, l'ANSSI a été appelé en renfort.

‍

Mairie de Gravelines : une cyberattaque entraine la déconnexion de tous les serveurs et une restriction d'accÚs à internet pour les services municipaux.

Académie lyonnaise : des données des élÚves, des parents d'élÚves et des professeurs sont en vente. 40 000 utilisateurs auraient été collectés.

‍

Sunlux Group : 160GB de données exfiltrées. Le groupe français fait partie d'un lot de 4 victimes du groupe de hackers 'Apos' avec une entreprise Indienne et deux brésiliennes.

Le Slip Français : a été victime d'une cyberattaque entraßnant un vol de certaines données personnelles sans compromettre les mots de passe et les données bancaires.

‍

L'hÎpital de Cannes : a été la cible d'une cyberattaque en fin de mois, devinez qui fait son grand retour ? Lockbit... Oui, il n'était pas mort.

­

‍

Y Quoi de neuf chez Youzer ?

Zoom sur les packages et les tables de correspondance.

‍

🔾 Les packages sont un Ă©lĂ©ment essentiel de Youzer car cela permet de transformer les informations administratives d'un utilisateur en informations techniques.

L'objectif des packages est de créer différents comptes avec les bonnes informations et pour cela, vous paramétrez un package que vous appliquerez pour un groupe d'utilisateur.

‍

🔾 Les tables de correspondances aident Ă  affiner et Ă  dĂ©cliner les packages.

Elles sont un référentiel pour récupérer des informations d'une base de données.

À partir d'un rĂ©fĂ©rentiel, on peut rĂ©aliser des calculs dynamiques sur des packages, une sĂ©lection dans une liste dĂ©roulante, etc.

‍

đŸ‘‰đŸŒ Les tables de correspondance avec les packages :

Cela permet de transformer des valeurs qui sont issues du SIRH en faisant appel à une table de correspondance pour récupérer les informations et les envoyer, par exemple, pour la création d'un compte AD.

‍

âžĄïžïž Un package = un groupe d'applications paramĂ©trĂ©es

âžĄïž Une table de correspondance = des spĂ©cificitĂ©s qui s'appliquent sur un package en fonction de critĂšres pour chaque utilisateur.

‍

Envie de voir comment automatiser la création et la suspension de vos comptes utilisateurs avec les packages et les tables de correspondances ?

RDV ici !

‍

‍

‍

Merci de m'avoir lu jusqu'ici !

Un retour, envie de discuter d'un projet ?

Je suis là pour ça 👋.

‍

Vous trouvez la newsletter top ??  Inscrivez-vous ici 👇

Je m'inscris au RĂ©cap'IT

‍

Image humoristique qui montre la réaction des administrateurs lorsqu'il faut faire une revue des comptes
Linkedin Melanie Lebrun

Tous les mois je vous envoie mes découvertes, mes analyses sur l'actu IT.
Je fais beaucoup de veille et je partage tout ça !

Je suis MĂ©lanie et je suis responsable marketing de Youzer.

À propos de moi ? J'ai une soif d'apprendre inĂ©tanchable ! Je prĂ©fĂšre 100 fois lire un livre que voir un film. Je suis une fan d'HP đŸ§™đŸŒ.
Je fais du running et du roller sport collectif (cherchez pas, c'est dangereux).

Fermer

Hey ! Vous connaissez la chanson :) Nous utilisons des cookies d'analyse de donnĂ©es anonymes. En “Acceptant tous les cookies”, vous nous aidez Ă  comprendre les pages vues (anonymes). En savoir plus sur notre politique de confidentialitĂ©.
PréférencesRefuserAccepter