News

Comment se préparer pour la réglementation GDPR ?

Comment se préparer pour la réglementation GDPR ? Séminaire sécurité La nouvelle réglementation Européenne pour la protection des données est entrée en vigueur il y a plus d’un an et les entreprises concernées doivent se mettre en conformité avant fin Mai 2018. S’agissant d’une réglementation européenne, la Suisse pourrait ne pas se sentir concernée… Et bien ce serait une “grave” erreur ! A moins d’être une entreprise Suisse n’offrant des services qu’aux helvètes et ne traitant aucune donnée à caractère personnel d’individus membres de l’Union Européenne, vous êtes concernés. Et cela risque in fine d’être la grande majorité des entreprises (PME ou grands groupes) de la Confédération. De plus, la Suisse fait partie de cet espace économique et l’harmonisation des règles sera certainement une priorité pour la confédération lors de la révision de la LPD (Loi sur la Protection des Données), et pour les cantons dans le cadre de leur législation locale. Donc autant se préparer. Mais avant tout, qu’est ce que cela implique exactement ? Venez le découvrir lors de notre séminaire dédié à la thématique GDPR.   AGENDA   08h30-09h00 – Café d’accueil / enregistrement   09h00-09h45 – Principaux aspects et exigences de la réglementation GDPR. Nicolas Vernaz – PwC – Director, Data Protection and Regulatory Compliance  ...

Alliance stratégique – GDPR – Directive FINMA – Protection des données

Nous avons le plaisir de vous annoncer un partenariat stratégique avec l’étude Sebastien Fanti, spécialisée dans le droit des nouvelles technologies, celui-ci étant également élu comme préposé à la protection des données et à la transparence du canton du Valais. Ce partenariat permettra d’offrir dans toute l’Europe des services pluridisciplinaires en matière de réglementation européenne de protection des données et autres directives FINMA. La protection de vos données mérite une intervention mixte et coordonnée laquelle est susceptible d’être couronnée par une certification. Pour toute information vous pouvez contacter: christian.berclaz@e-xpertsolutions.com et sebastien.fanti@sebastienfanti.ch.                             Lire aussi – GDPR : Anonymisation ou Pseudonymisation...

GDPR : Anonymisation ou Pseudonymisation ?

Le GDPR remplace la directive Européenne sur la protection des données et entrera en force à partir du 25 mai 2018. Toute entreprise manipulant des données personnelles de citoyens Européens doit se conformer à la directive. Bien que de nombreuses entreprises aient déjà adopté des procédures permettant d’assurer la vie privée des citoyens Européens, le GDPR érige de nouvelles obligations. Toute information relative à une personne identifiée ou identifiable est soumis à cette régulation. Cependant, cette dernière ne s’applique pas pour les informations ne permettant pas d’identifier une personne. Attention, le GDPR ne traite pas explicitement des moyens techniques à mettre en oeuvre pour assurer “l’anonymisation” des informations mais demande à ce que des moyens “raisonnables” soient mis en place. Anonymiser l’information   L’anonymisation des informations est un processus qui transforme les données personnelles de telle sorte que ces dernières ne puissent pas être ré-identifiées après traitement. Ce procédé doit être irréversible, on ne doit pas pouvoir désanonymiser des informations. Dans le cas général, une information complètement anonymisée ne rentre plus dans le périmètre du GDPR sauf si l’entreprise garde une copie non anonymisée de l’information ou un index permettant d’associer une information anonymisée avec une personne identifiable ou identifiée. De plus, des...

Alerte ransomware : Nouvelle infection massive Petya, PetrWrap, NotPetya

Après avoir tant bien que mal lutté contre les familles de ransomware Wannacrypt, le monde se retrouve de nouveau ébranlé avec un virus exploitant les outils de la NSA pour se propager et infecter les machines.   On dit qu’apprendre l’histoire est très important et permet de ne pas reproduire les erreurs du passé. Malheureusement, soit nous avons loupé une partie de l’histoire, soit nous n’en avons rien tiré de bon ! Back to the Future… Il y a maintenant quelques semaines, un ransomware du nom de Wannacry a fait parler de lui puisqu’il a infecté des centaines de milliers de machines sur Internet. Ce dernier se propage en exploitant des failles de sécurité sur le protocole SMBv1 sur Windows via l’outil EternalBlue appartenant à la NSA. Le virus découvert aujourd’hui semble se propager via les mêmes mécanismes que Wannacry et, fait intéressant, touche toujours plus de machines sur Internet. On peut supposer qu’il s’agit soit d’une infection réalisée il y a plusieurs semaines ou mois et se réveillant seulement maintenant, soit qu’il existe toujours autant de systèmes parfois critiques non patchés accessibles sur Internet. Pour rappel, un système infecté par EternalBlue reste vulnérable malgré l’application de patch de sécurité ou l’activation de produits de sécurité tant que le système d’exploitation n’est pas rebooté. Ce que l’on sait de...

Automatisez la découverte des certificats SSL/TLS

SSLCert fournit une solution innovante pour automatiser la découverte et l’alerting sur les certificats SSL/TLS à travers le réseau d’entreprise. Cette solution est disponible on-premise ou en mode SaaS et est actuellement gratuite pour les clients e-Xpert Solutions.   Découverte automatique et inventaire Découvrez les certificats connus et inconnus qui sont installés sur vos applications, serveurs, équipements réseau et autres assets. SSLCert maintien un inventaire des certificats découverts pour une meilleure gestion au quotidien.   Vue complète des certificats SSLCert fourni les informations concernant les certificats, la chaine de certification et contrôle que le certificat est valide et conforme. De plus, la solution offre la possibilité de s’intégrer avec le service Qualys SSL Labs pour vérifier le grade de la connexion SSL/TLS du service publié.   Alerting et Reporting de l’expiration des certificats SSLCert intègre un moteur permettant de définir des règles sur le monitoring des certificats. L’utilisateur peut configurer des notifications en cas d’expiration ou pour les certificats proches de l’expiration permettant aux administrateurs de réagir proactivement pour renouveler les certificats identifiés. Lire aussi – SSLCert Release notes: June (anglais) – SSLCert: Un nouveau service pour monitorer les certificats SSL Information Téléphone :...

Intégrer une authentification Multi-Factor basée sur Google Authenticator

e-Xpert Solutions est régulièrement sollicité pour implémenter des solutions de protection des applications web pour ses clients. Dans la phase de protection des accès, nous sommes souvent amenés à mettre en œuvre des mécanismes d’authentification forte et ainsi augmenter le niveau de sécurité des accès aux applications web. Dans cet article, nous présentons comment intégrer dans la solution F5 un mécanisme Multi facteur basé sur Google Authenticator. Nos solutions supportent nativement de nombreux types d’authentifications fortes comme l’utilisation de certificats numériques, l’intégration de solution supportant le protocole RADIUS ou directement les tokens RSA SecurID. Le panel de solutions disponible pour l’entreprise est très large et, bien que présentant des niveaux de sécurité différents, les mécanismes suivants peuvent être mis en place : les OTP par emails, les OTP par SMS, les tokens physique, les tokens software (applications mobiles), Les cartes à puces, La biométrie, La notification PUSH sur les devices mobiles. La majorité des solutions reposent sur des serveurs tiers que l’entreprise doit installer sur des machines virtuelles ou physique séparées : Passerelle SMS, Serveur de messagerie, Serveur d’authentification, Autorité de certification. La solution basée sur Google Authenticator présente une particularité intéressante comparée aux autres solutions, elle ne...