Actualités

Retrouvez toutes les informations sur Kiwi Backup et ses solutions de sauvegarde en ligne et serveurs de sauvegarde !

Meltdown et spectre : quels impacts

Webinar – Spectre et Meltdown : quels impacts ?

Dans notre série de webinars sur la sécurité informatique, nous commençons l’année avec le thème « Spectre et Meltdown : quels impacts pour mes clients et mon activité ? »

Spectre et Meltdown : quels impacts pour mes clients et mon activité ?

le Mardi 30 janvier de 14h15 à 15h

Spectre et Meltdown : quels impacts

Ce webinar s’adresse à tous les VAR, spécialistes de la distribution informatique, éditeurs de logiciels, hébergeurs, DSI, responsables réseaux, responsables informatiques,…

Nous vous proposons un webinar résolument pratique : 45 minutes pour comprendre ce qui se cache derrière Spectre et Meltdown et savoir comment faire face.

Spectre et Meltdown : quels impacts pour mes clients et mon activité ?

  • Que sont Spectre et Meltdown ?
  • Quels impacts potentiels sur mon parc machine et mes applicatifs ?
  • Quels sont les patchs et corrections disponibles ?

En savoir plus sur les solutions Kiwi Backup

Voir sur Webikeo.fr

 

Meltdown et Spectre : les nouvelles failles de sécurité de votre machine

Meltdown (« effondrement ») et Spectre viennent d’être dévoilées au grand public par Jann Horn, chercheur dans l’équipe du Google Projet Zéros et sont deux failles de sécurité. Ces failles concernent l’ensemble des ordinateurs Windows, Mac et Linux contenant des processeurs de la marque Intel, AMD et ARM mais aussi vos tablettes et smartphones. 

Meltdown et Spectre

Qu’est ce que Meltdown et Spectre ? 

Intel, AMD et ARM pour augmenter les performances de leurs processeurs autorisent des codes à s’exécuter de façon prédictive ce qui permet aux processeurs de prendre des données dans un code voisin censé être confidentiel. Pour empêcher cela, la seule possibilité est de brider les processeurs pour désactiver ces optimisations. Les failles Meltdown et Spectre bien que similaires ont chacune des particularités :

  • Meltdown : la faille concerne les processeurs de la marque Intel et agit en lisant la mémoire du noyau (le kernel). Ainsi, Meltdown fait fondre la protection entre le kernel et les applications.
  • Spectre : cette faille concerne l’ensemble des processeurs et notamment ceux de la marque AMD et ARM. Spectre casse l’isolation entre les applications. D’après les chercheurs, Spectre nécessiterait ainsi davantage d’habileté en cybercriminalité que Meltdown.

Les conséquences sont nombreuses. Les informations qui devraient être inaccessibles depuis le système d’exploitation et qui ne sont pas chiffrés peuvent maintenant être piratées par un logiciel ou un script malveillant. Un script en JavaScript exécuté par un navigateur peut suffire à exploiter cette faille et accéder aux données, ce qui la rend d’autant plus dangereuse.

 

Comment protéger votre machine ? 

Spectre concerne l’ensemble des processeurs ARM et AMD. La faille de sécurité Meltdown concerne l’ensemble des processeurs Intel. Ainsi, c’est pratiquement l’ensemble des ordinateurs tournant sous Windows, Mac et Linux qui sont concernés. 

Les éditeurs des différents systèmes d’exploitation ont mis en place des patchs correctifs qui permettent de combler partiellement ces problèmes de sécurité et protéger votre ordinateur.  Ces patchs ne concernent que Meltdown, Spectre ayant des racines plus profondes.

  • Sur windows : Vous pouvez dès à présent par le biais d’une mise à jour protéger votre ordinateur. Les versions 7, 8 et 10 ont un patch. (Pour mettre votre ordinateur à jour, cliquez ici)
  • Sur mac : Mac propose une première version correctrices  : La version 10.3.2 de High Sierra. La version 10.3.3 qui arrivera très prochainement apportera encore d’autres protections (Pour mettre votre mac à jour, cliquez ici)
  • Sur Linux : les différentes distributions possèdent déjà un patch. Il vous suffit simplement de les mettre à jour. (Vous trouverez ici un guide pour installer cette mise à jour)

Les patchs disponibles ralentissent cependant votre machine et les logiciels professionnels de 5 à 30 % selon les derniers tests effectués. Compte tenu des risques possibles si les correctifs ne sont pas appliqués, il s’agit d’un moindre mal. Intel affirme travailler sur d’autres fix pour réduire cet impact.

Notre logiciel Kiwi Backup est-il sécurisé ? 

Les données sauvegardées avec Kiwi Backup sont hébergées chez OVH. L’entreprise travaille activement pour sécuriser au maximum ses serveurs. Octave Klaba (fondateur d’OVH) communique l’info suivante :  « Nous avons déjà protégé certains services, via le déploiement des correctifs disponibles à ce jour. Pour d’autres services la sécurisation est en cours ou à venir. »

Nos serveurs sont isolés et leurs accès sont restreints à nos équipes avec une identification forte. Ainsi, aucune donnée entrante n’est exécutée. Chaque machine est protégée par un firewall et est mise à jour à chaque sortie de patch. Vous pouvez sauvegarder vos données en toute tranquillité !

Et après ?

Les mises à jour des systèmes d’exploitation ne combleront pas les failles à 100 %. En effet, Spectre en particulier ne pourra être complètement colmaté qu’après un cycle de renouvellement hardware.  Spectre et Meltdown n’ont pas fini de faire parler d’eux !

Pour plus d’informations sur les deux failles, vous pouvez consulter le site créé par Jann Horn et son équipe : https://spectreattack.com

Tout savoir sur le RGPD

RGPD

Définition et but du RGPD 

Le RGPD (Règlement Général sur la Protection des Données) ou GDPR (General Data Protection Regulation) en anglais a pour but d’harmoniser la gestion des données dans l’ensemble des pays de l’Union européenne.

Selon la CNIL, « une donnée à caractère personnel est une information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement ». Les données les plus courantes sont : les informations bancaires, carte de fidélité, caméra, historique web, données des salariés et des candidats ou encore fichier clients et prospects.

Son objectif est de donner aux citoyens d’avantage de contrôle et de visibilité sur leurs données privées notamment pour savoir quels sont les données collectées, leur but et leur durée de conservation. Le principal enjeu pour les entreprises est donc de savoir où sont ces données et comment pouvoir les transmettre aux personnes concernées. Cela suppose donc qu’une entreprise doit à tout moment savoir :

  • De quelles données elle dispose
  • Leurs localisations
  • L’objectif de leurs collectes
  • Les modes de gestion, stockage, transfert et d’effacement des données

Qui sont concernés ?

Le RGPD concerne tous les acteurs économiques et sociaux proposant des biens ou des services sur le marché de l’Union européenne dès lors que leurs activités traitent des données personnelles sur les résidents de l’Union européenne. Ainsi, sont donc concernées les entreprises, les associations, les organismes publics, les sous-traitants et de nombreuses entreprises hors Union européenne.

Ces acteurs doivent se mettent en conformité avant le 25 mai 2018 sous peine de sanctions. En effet, les autorités peuvent prononcer d’importantes amendes administratives : selon la catégorie de l’infraction, de 10 à 20 millions d’euros ou de 2 à 4 % du chiffre d’affaires annuel mondial.

Principes fondamentaux du RGPD :

Plusieurs principes sont à respecter afin de se mettre en accord avant le 25 mai 2018. Ils sont au nombre de sept :

  • L’accountability désigne l’obligation pour les entreprises de mettre en œuvre des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données.
  • L’obligation de respecter les principes de protection dès la conception (appelée Privacy by design) et de protection des données par défaut (appelée Privacy by Default).
  • Le RGPD demande aux entreprises de réaliser une étude d’impact sur la protection des données personnelles avant la mise en œuvre de nouveaux traitements de données qui pourraient potentiellement présenter des risques d’atteintes aux droits et aux libertés individuelles. Une étude doit aussi être faite dans le but de diminuer l’impact des dommages potentiels à la protection des données personnelles.
  • L’obligation d’information de l’autorité et des personnes des failles de sécurité sur des données personnelles et cela dans les 72 heures maximum après la découverte.
  • Le droit à la portabilité qui permet aux utilisateurs ayant fourni des données à une entreprise de pouvoir les recevoir dans un format permettant leurs transmissibilités à une autre entreprise.
  • Le droit à l’effacement des données personnelles à la demande des utilisateurs.
  • La nomination d’un délégué à la protection des données : DPO
    Sa désignation est obligatoire dans des cas spécifiques et ses missions sont nombreuses.

Le délégué à la protection des données (DPO) :

La désignation d’un DPO est obligatoire dans trois cas spécifiques :

  • Lorsque le traitement est effectué par une autorité publique ou un organisme public.
  • Quand les activités de base du responsable de traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leur finalité, exigent un suivi régulier et systématique à grande échelle des personnes concernées.
  • Lorsque les activités de base du responsable du traitement ou du sous-traitant, consistent en un traitement à grande échelle de données dites « sensibles » (données de santé, données biométriques, opinions politiques ou encore convictions religieuses).

Le délégué à la protection des données ne pourra pas occuper un autre poste dans l’organisation qui conduirait à déterminer les finalités et les moyens de traitement des données à caractère personnel.

Ces missions sont nombreuses et vont permettre la réussite d’une bonne conformité avec la RGPD. Ils sont aux nombres de quatre :

  • Informer et conseiller le responsable de traitement ou le sous-traitant, ainsi que leurs employés.
  • Contrôler le respect du règlement et du droit national en matière de protection des données.
  • Conseiller l’organisme sur la réalisation d’une analyse d’impact relative à la protection des données et d’en vérifier l’exécution.
  • Coopérer avec l’autorité de contrôle et être le point de contact de celle-ci.

Se préparer en 6 étapes :

La CNIL a défini six étapes pour se mettre en conformité avec la RGPD.

  • Désigner un pilote : L’entreprise devra désigner un délégué à la protection des données. Il exercera une mission d’information, de conseil et de contrôle en interne.
  • Cartographier : Il faudra ensuite recenser de façon précise vos traitements de données personnelles. L’élaboration d’un registre de traitements permettra à l’entreprise de faire le point.
  • Prioriser : L’entreprise va devoir identifier les actions à mener pour se conformer aux obligations actuelles et à venir. Il faut ainsi prioriser ces actions en fonction des risques sur les droits et les libertés des personnes concernées.
  • Gérer les risques : Une analyse d’impact doit être menée lorsque des traitements de données personnelles sont susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes concernées.
  • Organiser : L’entreprise va déterminer des processus internes pour garantir la prise en compte de la protection des données à tout moment. Il faut prendre en compte l’ensemble des événements qui peuvent survenir au cours de la vie d’un traitement (faille de sécurité, gestion de la remontée d’informations, gestion des réclamations et demandes des personnes concernées).
  • Documenter : Pour prouver la conformité au règlement en cas de contrôle, l’entreprise doit constituer et regrouper la documentation nécessaire.
    Les actions et documents réalisés à chaque étape doivent être réexaminés et actualisés régulièrement pour assurer une protection des données en continu.

Pour plus d’informations, voici le guide complet proposé par la CNIL : https://www.cnil.fr/fr/principes-cles/reglement-europeen-se-preparer-en-6-etapes

En conclusion :

Il ne faut pas oublier que le RGPD n’est pas un projet avec une date de début et de fin. La mise en conformité est un processus qui devra vivre avec l’entreprise mais également prendre en compte les jurisprudences qui seront fixées.

Pour plus d’informations sur le RGPD, vous trouverez ici son texte intégral : https://www.cnil.fr/fr/reglement-europeen-protection-donnees/

RGPD

Replay webinar sauvegarde de données de santé

Vous n’avez pas pu assister à la web conférence sur la présentation de Kiwi Santé du mardi 14 novembre ? 

Retrouvez le replay webinar sauvegarde de données de santé en ligne sur notre chaîne Webikeo et n’hésitez pas à revenir vers nous pour toute question sur notre solution Kiwi Santé !

Replay webinar sauvegarde de données de santé

Replay webinar sauvegarde de données de santé

Principales thématiques abordées dans notre Webinar Bêta Kiwi Santé :
Interface client

  • Généralitéss sur la solution
  • Paramétrage des sauvegardes
  • Restauration

Interface d’administration

  • Tableau de bord
  • Création des espaces de sauvegarde
  • Outils de suivi des sauvegardes
  • Intégration des API dans vos logiciels métiers

Webinar Bêta Kiwi SantéSujet présenté par Sébastien Heitzmann, gérant et directeur technique de Kiwi Backup

 

Et pour retrouver toutes nos webconférences, n’hésitez pas à consulter notre chaîne sur Webikeo : Sécurité de données by Kiwi Backup