High-tech

De plus en plus répandus, les QR codes sont des images codifiées contenant des informations qui redirigent l’utilisateur vers un site ou une application. Ils sont principalement utilisés pour éviter la saisie manuelle souvent fastidieuse de liens sur les appareils mobiles par exemple. S’ils sont très pratiques, ces outils technologiques sont également devenus un moyen d’action pour les cybercriminels. En effet, Cybermalveillance.gouv.fr a relevé que les QR codes frauduleux (appelés quishing en anglais) se multiplient sous la forme de fausse contravention envoyée au domicile ou sur les pare-brise de véhicules stationnés, de faux avis de passage de La Poste déposés dans les boîtes aux lettres ou encore de faux QR codes collés sur des parcmètres ou sur des bornes de recharge de véhicules électriques.

Apprendre à identifier des liens frauduleux

Le site Cybermalveillance.gouv.fr tient toutefois à rassurer les utilisateurs : l’utilisation des QR codes frauduleux reste encore relativement mineure puisqu’elle requiert une distribution physique (peu de QR codes sont, en effet, envoyés par mail puisqu’ils nécessitent la lecture par un autre appareil), ce qui limite la diffusion en masse. Mais leur développement est réel et il est indispensable pour les utilisateurs d’apprendre à identifier des liens frauduleux, par exemple lorsqu’ils sont masqués par un QR code qui n’est pas immédiatement lisible. Comme tout lien contenu dans un message, il convient de vérifier d’abord la vraisemblance et de s’abstenir de l’ouvrir au moindre doute.

Pour en savoir plus : www.cybermalveillance.gouv.fr

Le site Cybermalveillance.gouv.fr propose un outil d’assistance en ligne, qui permet aux victimes de répondre à des questions pour obtenir un diagnostic du problème rencontré et de bénéficier de conseils de cybersécurité pour y faire face. 52 formes de cybermalveillances y sont répertoriées. L’analyse de l’utilisation de cet outil permet de dégager les grandes tendances de la cybermalveillance et leur évolution par catégorie de public.

Les fraudes aux virements, en forte hausse

Pour l’année 2023, les demandes d’assistance des entreprises concernent en premier lieu le piratage de compte, en hausse notable (+26 %). Viennent ensuite l’hameçonnage (21 %) et les attaques par rançongiciel (17 %), puis les fraudes aux virements, en forte hausse également (+63 %). Les attaques contre les sites internet des professionnels sont aussi en forte augmentation, avec +61 % de recherches d’assistance pour des attaques en défiguration et +41 % pour des attaques en déni de service.

Cybermalveillance.gouv.fr, Rapport d’activité 2023

Pour apporter un appui adapté aux entreprises qui traitent ou seront amenées à traiter des données à grande échelle ou des données sensibles et qui sont engagées dans une évolution rapide de leurs activités, la CNIL propose une offre d’accompagnement dit « renforcé ». Pendant 6 mois, les lauréats seront aidés pour la mise en œuvre de leurs traitements ou de leurs projets, concernant les obligations à respecter liées à la protection des données, grâce aux équipes de la CNIL qui se déplaceront au sein de l’entreprise. Ils pourront y échanger directement avec les équipes concernées et appréhender les réalités opérationnelles des traitements mis en œuvre ou des projets envisagés.

Un appui juridique et technique

Concrètement, les lauréats bénéficieront d’un appui juridique et technique (réponses à des questions juridiques, formation et assistance à la réalisation d’AIPD, recommandations en matière de cybersécurité, etc.), d’une revue de conformité des traitements mis en œuvre et d’actions de sensibilisation aux enjeux de la protection des données, notamment à destination des salariés et/ou des dirigeants.

Les entreprises qui souhaitent candidater doivent adresser leur dossier avant le 23 juin à accompagnement@cnil.fr.

Pour en savoir plus : www.cnil.fr

Lancée en 2017, la plate-forme « J’alerte l’Arcep » permet aux particuliers, aux entreprises et aux collectivités d’alerter l’Arcep des dysfonctionnements rencontrés dans leurs relations avec les opérateurs fixes, mobiles, internet et postaux. Elle a pour vocation d’inciter les opérateurs à améliorer leurs services et à développer leurs réseaux. Elle offre aussi à l’Arcep la possibilité de suivre en temps réel les difficultés rencontrées par les utilisateurs et d’identifier les dysfonctionnements récurrents ou les pics d’alertes. Depuis sa création, la plate-forme a recueilli presque 255 000 signalements.

Des insatisfactions liées au déploiement de la fibre optique

Pour la seule année 2023, elle a comptabilisé plus de 53 000 alertes, soit une hausse de 18 % par rapport à 2022. La plupart des signalements ont concerné l’internet fixe (43 700 signalements, soit près de 82 % de l’ensemble des signalements reçus), avec majoritairement des insatisfactions liées au déploiement de la fibre optique, largement devant les problèmes de réseaux mobiles. Ces derniers progressent toutefois fortement, notamment à cause des problèmes de fraudes et d’appels indésirables.

À noter : des fiches-conseils adaptées à la situation de la personne qui dépose l’alerte sont proposées en fin de déclaration.

Pour consulter la plate-forme : https://jalerte.arcep.fr/

La 5G, qui se déploie rapidement sur le réseau national des opérateurs, ouvre de nouvelles possibilités aux usages industriels. Pour permettre aux professionnels de s’approprier les innovations et les usages liés à la 5G et de bénéficier de véritables retours d’expérience, l’Arcep leur propose de procéder à des expérimentations via deux guichets, l’un en bande 3,8-4,0 GHz et l’autre en bande 26 GHz. Les professionnels intéressés doivent faire une demande auprès des services de l’Arcep pour obtenir une autorisation.

L’utilisation de fréquences dans un cadre plus souple

Cette autorisation concerne l’utilisation de fréquences dans un cadre plus souple, à titre transitoire et dans la limite de leur disponibilité. Et pour faire un suivi des différentes autorisations accordées, l’Arcep a mis en place une carte interactive, mise à jour au fur et à mesure de la publication des arrêtés d’autorisation indiquant notamment les cas d’usages menés dans le cadre des expérimentations et la localisation de ces expérimentations 5G.

Pour consulter la carte interactive : https://exp5g.arcep.fr/

Les webinaires présentés par des agents de la Commission nationale de l’Informatique et des Libertés (CNIL) durent environ 45 minutes chacun et traitent tous de sujets ou d’actualités en lien avec la protection des données. Pour 2024, les prochains sujets abordés concerneront le transfert de données hors de l’UE (le vendredi 7 juin à 11h) ou encore l’appariement de données avec le Système National Des Données De Santé (le mardi 25 juin à 11h). À l’issue du webinaire, les participants pourront poser des questions et échanger avec les animateurs.

Les webinaires sont accessibles uniquement sur inscription préalable, le nombre de places étant limitées.

Des sujets accessibles en replay

Tous les sujets traités sont ensuite accessibles librement en replay. En 2022, il avait notamment été question de sujets comme : « Les violations de données personnelles : de quoi s’agit-il et comment réagir ? » ; « IA et données personnelles : principes et outils pour la conformité » ; « Recommandation sur les mots de passe : quels sont les principaux changements ? ». Ceux de 2023 concernaient, par exemple, « Le recrutement : de nouveaux outils proposés par la CNIL » ; « Caméras « augmentées » dans les espaces publics : quelle est la position de la CNIL ? » ; « Les fondamentaux de la sécurité des traitements de données personnelles ».

Pour en savoir plus : www.cnil.fr/

Le dispositif Cybermalveillance.gouv.fr, qui recense les menaces auxquelles les entreprises sont confrontées, note une augmentation des interventions en 2023 et relève que celles-ci concernent principalement des actes de piratage de compte (23,5 %), d’hameçonnage (21,2 %) et de rançongiciel (16,6 %). Pour tenter d’endiguer ces attaques, il est indispensable que les entreprises sensibilisent leurs salariés à la cybersécurité. Et pour les accompagner dans cette démarche, Cybermalveillance.gouv.fr met à leur disposition un module de formation gratuit, dénommé SensCyber.

Des connaissances validées par quizz

Pour y accéder, il suffit de créer un compte sur la plate-forme Cybermalveillance.gouv.fr et de démarrer la formation. Celle-ci est composée de 3 modules, dont les connaissances sont validées par des quizz. Le module 1 « Comprendre » porte sur les questions : Quelles menaces aujourd’hui ? Quels risques pour moi et mon organisation ? Que faire si je suis victime d’une attaque ? Le module 2 « Agir » traite des bonnes pratiques et des bons réflexes à adopter au quotidien en matière de numérique. Le module 3 « Transmettre » liste les acteurs publics à contacter en cas de cyberattaque et décrit la manière de sensibiliser les salariés face aux risques cyber.

Pour en savoir plus : www.cybermalveillance.gouv.fr/

L’ANSSI lance un appel à projet auprès des collectivités territoriales et des opérateurs publics de services numériques (OPSN). Les lauréats se verront accorder une subvention dont le montant sera défini au cas par cas mais ne pourra dépasser 70 % du budget total du projet. 4 types de projets sont éligibles : des projets innovants, c’est-à-dire qui créent une nouvelle solution ou un service de cybersécurité indisponible sur le marché ou qui font évoluer une offre pour y intégrer de nouvelles fonctionnalités ; des projets d’initiative locale, qui visent à aider financièrement un lauréat à déployer des produits et/ou des services de cybersécurité au sein d’un territoire ; des projets de déploiement « avancé », qui déploient des solutions de sécurité avancées ; ou encore des projets de déploiement « fondation », pour des bénéficiaires se lançant dans une démarche initiale de sécurisation d’un système d’information.

Pertinence du projet au regard de l’impact sur la sécurité

La collectivité territoriale ou l’OSPN qui souhaite participer doit transmettre son projet de convention de subvention détaillant notamment le projet envisagé et son budget. Le projet doit être adressé par email au délégué de l’ANSSI de la région où l’entité est basée (voir la liste sur le site : https://cyber.gouv.fr/action-territoriale). La candidature sera étudiée par l’ANSSI et transmise à une commission de sélection qui déterminera la pertinence du projet au regard de l’impact sur la sécurité des systèmes d’information du candidat et le développement de l’écosystème de la cybersécurité.

Pour en savoir plus : https://cyber.gouv.fr/

Mettre en œuvre le RGPD (Règlement Général sur la Protection des Données) peut parfois paraître compliqué aux entreprises qui se demandent si elles ont bien fait le nécessaire pour respecter leurs obligations en matière de sécurité des traitements de données personnelles.

Pour les accompagner dans leurs démarches, la CNIL publie un guide composé de fiches, qui rappellent aussi bien les précautions élémentaires qui devraient être mises en œuvre que les mesures destinées à renforcer davantage encore la protection des données.

5 nouvelles fiches

La nouvelle édition répartit les 25 fiches composant le guide en 5 parties afin de faciliter la navigation. 5 nouvelles fiches ont également été ajoutées sur des thématiques d’actualité : l’informatique en nuage (cloud) ; les applications mobiles ; l’intelligence artificielle (IA) ; les interfaces de programmation applicative (API) ; le pilotage de la sécurité des données. Les fiches existantes ont été mises à jour et améliorées pour permettre de suivre l’évolution de la menace et des connaissances.

Pour télécharger le Guide : https://www.cnil.fr/