Récap'IT : NIS 2, on fait le point

Revenir à la page
Newsletter
Mélanie Lebrun
30/4/2024

Bonjour 🌷,

Je vous retrouve pour l'édition d'avril du Récap'IT.

Cette édition est très juridique, je vous ai donc mis des touches de légèreté pour la rendre digeste !

📅 Au programme aujourd’hui :

  • La directive NIS 2
  • France Travail, ce n'est pas du bon boulot
  • L'avenir de Tiktok
  • SREN, la loi qui va [trop] loin
  • La rubrique pêle-mêle
  • Les cyberattaques du mois
  • L'actu chez Youzer

👉 Go !!

Avant de commencer, je vous invite à nous suivre 👉

­

🏙️ La directive NIS 2

NIS 2 : cette directive européenne qui doit sortir dans 6 mois 😨

Pas de panique, j'ai fait un travail d'enquête pour mieux l'appréhender.

1️. La date de transposition de la directive européenne dans le droit français (17 octobre) ne signifie pas que c'est la date de mise en conformité pour les entreprises.

→ C'est la date à laquelle on connaîtra toutes les lignes de la loi, les grandes (qu'on connaît déjà pas mal) et les petites qui sont encore en discussion.

2️. Oui, il y aura des sanctions et c'est ce qui fait paniquer tout le monde mais, comme le dit Morten Løkkegaard membre au Parlement européen : "Si nous n'avons pas d'amendes, de sanctions, les gens ne se conformeront pas, c'est la réalité des choses."



3️. Les règles sont plus strictes et le cadre plus délimité que pour NIS 1

4️. Davantage d'entreprises sont concernées, on passe de 15 000 opérateurs régulés à 100 000 entités. On parle d'entités essentielles et importantes.

5️. Lors d'un incident cyber, il y a 3 grandes étapes à respecter dans la déclaration :

  • notifier l'incident
  • 72h après faire une mise à jour en apportant plus d'information
  • 1 mois après les 72h, réaliser un rapport détaillé.

Si nécessaire, réaliser des rapports intermédiaires.

👉🏼 De mon point de vue, les grands changements qui peuvent être vraiment intéressants :
▪️ La direction sera impliquée dans NIS 2, elle devra se former aux enjeux cyber et elle sera engagée en cas de non respect de la loi.

Si les services informatiques se sentent souvent seuls et peu écoutés dans leurs besoins de sécuriser les systèmes, cela peut être un vrai game changer.

▪️ Les pénalités vont devenir plus chères que le paiement des rançons (calcul qui est actuellement réalisé...). Les entreprises auront donc plus d'intérêt à nettoyer leur SI, à opter pour des règles de bonnes conduites que de jouer au cyber-loto du hacking.

Vous voulez creuser le sujet ? J'ai écrit un article super loooong 😁

Point sur la directive NIS2

Recevez le meilleur des actus IT du mois.
Évolution du marché, tendances IT, les cyberattaques en France ... un condensé de l'actualité

Recevoir l'actu IT

🫣 France Travail, ce n'est pas du bon boulot !

France Travail a été victime d'une cyberattaque de grande ampleur avec un vol de données des personnes enregistrées sur les 20 dernières années soit environ 43 millions de comptes (cette année, j'ai donc eu le bonheur de recevoir un mail de la mutuelle pour me dire que mes données avaient été piratées et de France Travail, Youpi !).

Les syndicats de la CGT ont publié une lettre révélant des informations un peu limite...

Lors d'une analyse des risques réalisée pour l'intégration de Cap emploi en 2022, des failles graves avaient été détectées : "un attaquant usurpe l'identité d'un agent Cap Emploi et accède aux données du SI Pôle emploi via la machine virtuelle". Le rapport préconisait alors de "renforcer l'authentification à la machine virtuelle avec un deuxième facteur d'authentification (2FA) conformément aux exigences de l'ANSSI", celui-ci n'a jamais été mis en place.

Suite à l'attaque, le MFA a été mis en place en 1 à 2 semaines.

Le rapport révélait aussi de lourdes failles sur le principe du moindre privilège qui n'avait pas été appliqué. Les salariés de Cap Emploi avaient tous (?) des accès non restreints ! Ce problème se retrouve aussi avec les prestataires qui travaillent pour la DSI avec des droits identiques aux internes.

La CGT met aussi en lumière des accès illimités au SI pour les salariés externes.

Source : X

Cyberattaque sur France Travail

­

🤳🏼 Tiktok la suite

La dernière fois, je vous expliquais qu'il y avait une guerre entre les États-Unis et la Chine pour avoir Tiktok.

Les arguments de surface de la part des USA sont : la Chine (pays ennemis) collecte les données de millions d'américains et nous, les députés, devons les défendre !

Les arguments réels de la part des USA : no way ! Il y a une quantité phénoménale de données qu'on pourrait collecter et qui nous échappe !

En plus, rappelons-le, la loi FISA donne la possibilité au FBI de consulter n'importe quelles données sans avoir à avertir quiconque.

Les USA demandent donc à ByteDance de vendre Tiktok à un entrepreneur d'un pays allié des USA. 😈 voilà mais bon qui mis à part un entrepreneur américain peut se payer Tiktok ? Un comité proche de Donald Trump s'est déjà dit intéressé.

MAIS pour tout cela, il fallait faire voter cette demande par le congrès.

C'est chose faite avec la plus grande fourberie. Le 20 avril, un grand plan d'aide contenant : un volet pour l'Ukraine, pour Israël et pour Taïwan a été voté. Devenez ce qui était aussi inclus dedans ? L'obligation de la vente de Tiktok !!

Et en Europe comme se porte Tiktok ?

Eh bien l'application s'est illustrée avec Tiktok Lite qui récompense les utilisateurs selon des actions qu'ils doivent réaliser chaque jour.

Les utilisateurs gagnent des pièces virtuelles qui sont ensuite échangées contre des petits cadeaux, le principe même de la gamification et donc de l'addiction (en plus de passer des heures derrière les écrans).

Tiktok a suspendu son système de récompenses suite à une plainte de l'UE.

« Là, nous sommes vraiment sur un mélange entre le pire de ce qui peut exister sur des jeux premium, et le pire ce qui peut exister en termes de plateformes sociales qui capturent l’attention des jeunes. C’est le pire du pire », conclut David-Julien Rahmil journaliste pour l'ADN.


Source : Challenge

Le Siècle Digital

Le gouvernement américain veut Tiktok

­

👀 SREN : la loi qui va [trop] loin

SREN, vous voyez de quoi on parle ? Non pas du renne de la Reine des neiges ❄️ mais bien du projet de loi visant à sécuriser et réguler le numérique.

Le texte est ambitieux mais un peu extrême…

Il vise à réguler entre autres :
👉🏼 Les propos haineux ou insultants en ligne
👉🏼 Le contrôle d'âge pour les contenus pour adultes

Le hic est, si l'objectif est noble, les moyens pour y arriver sont très complexes.

Si on contrôle l'âge des utilisateurs, cela signifie qu'on connaît leur identité et que l'on traque leur activité.

Cela va complètement à l’encontre du RGPD.

Autre point de friction, le contenu pornographique qui est particulièrement ciblé dans cette loi n’est pas cantonné uniquement à certains sites mais sur la majorité des réseaux sociaux.

Aujourd’hui la situation est compliquée pour le projet de loi car :
🔹 il n’y a pas de solution concrète pour être respectueux du RGPD,
🔹 si on scrute la navigation des utilisateurs, on peut connaître leurs orientations sexuelles, politiques, syndicales ou religieuses, qui sont des données extrêmement sensibles,
🔹 cette loi va à l'encontre des lois européennes DSA et la directive e-commerce des plateformes.

Lorsqu'un État membre veut modifier son accès au numérique, il doit notifier son futur texte à la commission européenne. Or, celle-ci a émis un avis circonstancié, ce qui signifie que la France doit revoir sa copie car elle enfreint les lois européennes.

Aujourd’hui, internet n’est pas une zone de non droit, les propos injurieux, racistes ou discriminants sont punis par la loi.

Marc Rees, journaliste au média l’informé dit : “Avant d'aller voir le futur, respectons le présent”

L'Assemblée nationale a voté en faveur du projet de loi mais la Commission européenne promet des sanctions lourdes si le texte était adopté tel quel.

👉🏼 En résumé, la loi SREN n’est pas prête d’aboutir dans les conditions actuelles.

Source : Le Siècle Digital

SREN la loi sur la sécurisation du numérique

Vous souhaitez recevoir notre livre blanc sur la gestion des identités et des accès ?

Nous n'avons pas pu confirmer votre demande.
Votre demande de livre blanc est bien prise en compte.

Pêle-mêle

  • Microsoft multiplie les failles et les brèches et malgré la gronde qui monte, l'entreprise ne fait face à aucune conséquence pour sa gestion quelque peu douteuse de la sécurité. Le gouvernement américain continue d'acheter et d'utiliser ses services et outils.
    « La dépendance du gouvernement américain à Microsoft pose une grave menace pour la sécurité nationale des États-Unis », déclare le sénateur américain Ron Wyden. « Le gouvernement est effectivement coincé avec les produits de l'entreprise, malgré de multiples violations graves des systèmes gouvernementaux américains par des pirates étrangers dues à la négligence de l'entreprise. »
    Le gouvernement est dépendant de Microsoft, ce qui lui enlève le levier nécessaire pour repousser les pratiques de l'entreprise.
  • Le mode 'incognito' ou 'privé' de Google, pas si incognito que ça... Google continuait à traquer quantité de données sur les utilisateurs à l'aide de cookies et d'applications et transmettait les données à Alphabet. Un process est en cours et Google a accepté de détruire des milliards d'enregistrements. "Le résultat est que Google collectera moins de données des sessions de navigation privée des utilisateurs, et que Google gagnera moins d'argent avec ces données" déclarent les avocats. Vous l'aurez compris, le mode privé n'a rien de privé.
  • Teleperformance, une entreprise française leader dans la gestion de la relation client, vient de faire une grosse chute en bourse suite à l'annonce de l'entreprise Klarna qui lance un assistant IA pour le service client. 2.3 millions de conversations ont été réalisées, ce qui équivaut à 700 employés à temps plein. Cet assistant est disponible 24h/24, 7j/7 et parle 35 langues. Vous parlerez donc bientôt à un robot même quand vous demanderez de parler à un conseiller !
Une IA décroche le téléphone

­

☠️ Les cyberattaques du mois

Ce mois-ci, cette rubrique sera exclusivement française tellement nous avons eu à faire. Bien sûr, le reste du monde n'est pas épargné.

Intersport : a subi une cyberattaque se faisant extraire 52.2 GB de données

Le PSG : a été victime d'une violation de données sur sa billetterie en ligne.

Saint-Nazaire et Saint-Nazaire agglomération : une cyberattaque d'envergure a mis à plat tous les services informatiques, perturbant grandement le fonctionnement de la ville et de l'agglo. Les spécialistes expliquent qu'il faut deux heures pour comprendre ce qu'il se passe, deux semaines pour analyser comment cela s'est passé et par où les pirates se sont introduits dans le système et, enfin, deux ans pour trouver un niveau de service informatique équivalent à celui qui a été détruit.


Mairie d'Albi : les services de la ville sont inaccessibles durant plusieurs jours, l'ANSSI a été appelé en renfort.

Mairie de Gravelines : une cyberattaque entraine la déconnexion de tous les serveurs et une restriction d'accès à internet pour les services municipaux.

Académie lyonnaise : des données des élèves, des parents d'élèves et des professeurs sont en vente. 40 000 utilisateurs auraient été collectés.

Sunlux Group : 160GB de données exfiltrées. Le groupe français fait partie d'un lot de 4 victimes du groupe de hackers 'Apos' avec une entreprise Indienne et deux brésiliennes.

Le Slip Français : a été victime d'une cyberattaque entraînant un vol de certaines données personnelles sans compromettre les mots de passe et les données bancaires.

L'hôpital de Cannes : a été la cible d'une cyberattaque en fin de mois, devinez qui fait son grand retour ? Lockbit... Oui, il n'était pas mort.

­

Y Quoi de neuf chez Youzer ?

Zoom sur les packages et les tables de correspondance.

🔸 Les packages sont un élément essentiel de Youzer car cela permet de transformer les informations administratives d'un utilisateur en informations techniques.

L'objectif des packages est de créer différents comptes avec les bonnes informations et pour cela, vous paramétrez un package que vous appliquerez pour un groupe d'utilisateur.

🔸 Les tables de correspondances aident à affiner et à décliner les packages.

Elles sont un référentiel pour récupérer des informations d'une base de données.

À partir d'un référentiel, on peut réaliser des calculs dynamiques sur des packages, une sélection dans une liste déroulante, etc.

👉🏼 Les tables de correspondance avec les packages :

Cela permet de transformer des valeurs qui sont issues du SIRH en faisant appel à une table de correspondance pour récupérer les informations et les envoyer, par exemple, pour la création d'un compte AD.

➡️️ Un package = un groupe d'applications paramétrées

➡️ ️Une table de correspondance = des spécificités qui s'appliquent sur un package en fonction de critères pour chaque utilisateur.

Envie de voir comment automatiser la création et la suspension de vos comptes utilisateurs avec les packages et les tables de correspondances ?

RDV ici !

Merci de m'avoir lu jusqu'ici !

Un retour, envie de discuter d'un projet ?

Je suis là pour ça 👋.

Vous trouvez la newsletter top ??  Inscrivez-vous ici 👇

Je m'inscris au Récap'IT

Image humoristique qui montre la réaction des administrateurs lorsqu'il faut faire une revue des comptes
Linkedin Melanie Lebrun

Tous les mois je vous envoie mes découvertes, mes analyses sur l'actu IT.
Je fais beaucoup de veille et je partage tout ça !

Je suis Mélanie et je suis responsable marketing de Youzer.

À propos de moi ? J'ai une soif d'apprendre inétanchable ! Je préfère 100 fois lire un livre que voir un film. Je suis une fan d'HP 🧙🏼.
Je fais du running et du roller sport collectif (cherchez pas, c'est dangereux).