| Newsletter Jun.2008 |
 |
 |
 |
|
Nouveaux adhérents.Le Comité Directeur souhaite la bienvenue aux nouveaux Adhérents qui ont manifesté leur intention de participer à la vie associative: 1. Panfilo MARCELLI- ex OASI Servizi 2. Claudio FARAGUTI - Intesa San Paolo - Direction Sécurité, Staff Governance Programme Congrès NationalNous sommes en train d’élaborer le programme du Cinquième congrès national qui, comme nous avons déjà eu l’occasion de le signaler, se tiendra à Castel Gandolfo, à l’Hôtel Villa degli Angeli vendredi 26 et samedi 27 septembre 2008. Le congrès se déroulera sur deux demi-journées, au cours desquelles d’importantes personnalités de tous les secteurs interviendront sur des problèmes d’actualité ayant trait à la sécurité et plus précisément:VENDREDI 26 septembre 200815h.30 – 19h.00 Business Continuity Management comme connaissance et gestion des risques, ainsi que gestion de la continuité.Une conscience des risques qui se traduit par la capacité de prévenir et de réagir face aux risques qui peuvent avoir des effets négatifs, ou la capacité de mettre en place de nouvelles procédures qui peuvent influencer positivement le business, tels que:• L’amélioration de l’opérativité quotidienne et la réduction du risque opérationnel à l’aide de la Business Continuity, grâce à la prévention et de la réactivité, ayant pour résultat de mitiger / minimiser les risques, limiter les dégâts;• La dématérialisation conçue comme augmentation des niveaux de sécurité et de l’économie de ces mêmes procédures;• L’atteinte à la vie privée ou le vol d’identité comme élément de perte économique et de réputation pour les Banques en particulier (mais pas seulement), par manque de sensibilisation et de responsabilisation de la clientèle.La question qui vient immédiatement à l’esprit est la suivante: Comment l’amélioration de l’opérativité –tenant compte du facteur humain -, la mise en place de nouvelles procédures et un rapport différent avec la clientèle peuvent-ils contribuer à la réduction des risques? SAMEDI 27 septembre 20089h.00 – 11h.30 Dans notre société moderne, le “risque” prend la place de ce qui était autrefois attribué au hasard (ou au destin) et, comme l’affirmait Bernoully, le risque est la base de la probabilité et détermine les décisions. Cette définition permet de distinguer le risque de l’incertitude dans laquelle les probabilités ne sont pas connues. Le risque opérationnel est un risque pur, qui est pris, involontairement, par toutes les organisations quelles qu’elles soient, indépendamment du fait que les activités soient effectuées de manière adéquate ou non. Il n’est pas possible d’éviter de prendre un risque opérationnel ; par contre, ce que toute organisation doit faire, c’est d’apprendre à le repérer et à le gérer. Pour cela, il est nécessaire de comprendre la nature du risque opérationnel qui, suivant la logique proposée par le Comité de Bâle, peut être ramené à quatre différents types de causes: ressources humaines: pertes dérivant de comportements du personnel tels que: erreurs, fraudes, non-respect de règles et / ou de procédures internes, problèmes d’incompétence ou négligence; procédures: mauvais fonctionnement de procédures internes à cause, par exemple, d’erreurs de comptabilisation, d’enregistrement ou de documentation ou, cas très fréquent, de lacunes dans le système des contrôles;facteurs exogènes: relatifs d’ordinaire à des menaces d’ordre environnemental, des actes criminels commis par des personnes externes, des événements politiques ou militaires, des modifications du contexte législatif et fiscal;technologie: tout ce qui est lié à l’Ict. Il nous vient immédiatement à l’esprit les questions suivantes: La Business Continuity semble-t-elle être une approche en mesure d’identifier, de prévenir et de gérer les risques des entreprises? Quelle valeur peut conférer à l’image d’une Entreprise une éventuelle certification sur la base des Standards internationaux?Les personnes suivantes ont confirmé qu’elles participeraient au Congrès en qualité d’intervenants:1. Prof. Francesco PIZZETTI, Garant de la Vie privée; 2. Luisa FRANCHINA, Protection Civile; 3. Domenico VULPIANI, Chef de la Police des Communications 4. Paolo LANDI, Secrétaire Général ADICONSUM; 5. Paolo CAMPOBASSO, CISO Unicredit Group. 6. Massimiliano MAGI SPINETTI, ABI, Vice-Président ABILab; 7. Giovanni OLDANI, IBM Italia Business Continuity & Resiliency Serv. Cons. 8. Anna RYOLO e Romain DEFLINE, BNP Paribas; 9. Luigi DI MARCO, ex- Président AIDP et de Federmanagement, auteur de "Il grande libro della LETTERATURA per Manager", Gouverneur de La Compagnia dei Magi; La liste des intervenants n’est pas encore complète car certains doivent encore donner confirmation Comité ScientifiqueLors du CINQUIÈME Congrès annuel de Castel Gandolfo, et plus précisément durant la journée de samedi 27 septembre, de 11h.30 à 12h.30, aura lieu la présentation officielle du Comité Scientifique de l’ANSSAIF, composé des personnalités suivantes:• Michele CRUDELE, Directeur du Centre ELIS • Luigi DI MARCO, ex-Président AIDP et de Federmanagement • Alessandro NERI, Professeur Université de Roma III • Piero SANDULLI, Professeur Université La Sapienza de Rome • Antonio TAROLA, ex-Dirigeant Banque d'Italie • Carlo TRESOLDI, Président SIA-SSB SpA Le Comité fournira des informations et des propositions relatives aux futures activités d’ANSSAIF. Ce Comité a de multiples compétences, entre autres celle de « (…) collaborer à l’activité de l’ANSAIFF dans le but de développer une véritable éthique de la sécurité, afin de coopérer à la mise en place de règles qui garantissent un authentique progrès qui ne soit pas asphyxié par des normes inefficaces ; » et celle de « (…) soumettre chaque année à l’attention du Comité Directeur trois noms, de personnes ou d’organismes (…) ».Lors de la réunion du 18 juillet, le Comité Scientifique a proposé pour la première fois de récompenser tous ceux qui se sont prodigués dans le secteur privé ou public dans un but social ou éthique.A cet effet ont été signalés à l’attention du Comité Directeur – qui a donné son accord – les noms suivants:• DON ILARIO ROLLE: Fondateur et Président Association Davide ONLUS pour la tutelle des droits des mineurs en ligne. Nommé par le Ministère des Communications comme Membre du Comité Internet@minori;• DOMENICO VULPIANI Dirigeant Supérieur de la Police d’Etat et Directeur du Service Police Postale et des Communications; • GIANCARLO VANNUCCINI Dirigeant Responsable de la Direction Systèmes du Groupe Monte dei Paschi di Siena. A l’occasion de la soirée de gala du vendredi 26 septembre, une éminente personnalité leur remettra une plaque de mérite avec les motivations.Auteur: A. Caricato Bluetooth dangereux pour la Vie Privée?Le bluetooh, une technologie qui permet de synchroniser les données d’un appareil avec celles d’un autre appareil et de les transmettre peut porter atteinte à la vie privée.Cette découverte résulte d’une recherche (dénommée Cityware) effectuée par l’Université anglaise de Bath pour étudier et comprendre comment les personnes se déplacent en ville.Il y a trois ans, les chercheurs ont installé dans les rues de la ville des scanners, parvenant à recueillir des informations grâce aux mobiles, ordinateurs et autres appareils portables: quatre récepteurs Bluetooth ont été placés dans le centre-ville: après quatre mois de relevés ont été recueillis 10.000 signaux de téléphones dotés de la technologie en question. De fait, les chercheurs ont réussi à reconstruire les rencontres des personnes dans les magasins et autres lieux de rencontre. De la petite ville de Bath, la recherche s’est ensuite élargie à l’échelle mondiale, avec l’installation de scanners dans les villes de San Diego, Hong Kong, Singapour, Toronto et Berlin. Les informations recueillies ont été stockées dans la banque de données centrale située à Bath, qui a ainsi localisé plus de 250.000 possesseurs d’appareils munis de technologie Bluetooth. PREMIERS RÉSULTATS DE LA RECHERCHE: Il a été vivement conseillé à tous les utilisateurs de Bluetooth de le désactiver ou d’insérer le mot de passe, car en cas contraire, ils courent le risque (qui est en réalité une certitude) de voir des informations réservées finir entre les mains de personnes malintentionnées ou utilisées par l’industrie de l’advertising, qui pourrait les exploiter pour faire des campagnes publicitaires encore plus ciblées que celles qui sont actuellement en cours sur le marché. Pour de plus amples informations, consulter le site de l'Université. Auteur: A. Caricato Banques peu sûres en ligne?Des chercheurs de l’Université du Michigan ont entrepris une recherche en 2006 dans le but d’analyser les sites web de 214 banques. Cette recherche a été effectuée presque par hasard, sur l’initiative du Prof. Atul Prakash (du département d’Electrical Engineering et Computer Science), en collaboration avec des étudiants en doctorat de l’université), à la suite d’une mauvaise expérience que Prakash avait faite avec l’home banking de sa banque.Les résultats de la recherche ont été déconcertants et ont permis de conclure que les sites web pour l’home banking sont beaucoup moins sûrs que prévu, étant donné que de nombreuses failles et des erreurs de programmation potentiellement dangereuses pour la vie privée et la protection des données des clients ont été découvertes : malheureusement, ces mauvais fonctionnements ne peuvent souvent pas être résolus à l’aide d’un simple patch, mais seulement avec une reprogrammation complète des sites.Dans 75% des sites web, on relève en effet la présence d’au moins une faille qui peut sérieusement compromettre la sécurité des utilisateurs lorsqu’ils se livrent aux plus courantes opérations de home banking, par exemple consulter leur propre compte courant ou effectuer ou encaisser un virement.L’un des problèmes qui est apparu le plus fréquemment dans la recherche concerne la non-utilisation des technologies pour crypter les données lors des phases de login. Les certificats SSL (Secure Sockets Layer) ne sont pas utilisés dans les pages de login par 47% des sites web des banques, une lacune qui pourrait permettre à une personne malintentionnée de s’emparer facilement des données relatives à l’accès des utilisateurs et d’avoir ainsi un contrôle absolu sur le compte courant online. La non-utilisation de certificats SSL est dangereuse non seulement dans les pages pour effectuer le login et les opérations de home banking, mais aussi dans les sections des sites consacrées à l’assistance aux clients. En outre, presque toutes les institutions bancaires offrent à leurs clients un service d’assistance par téléphone ou par courriel pour fournir des informations, des services supplémentaires et des détails de différents types sur les opportunités offertes par la gestion online de leur compte. Dans 55% des cas, les données pour pouvoir bénéficier de ces fonctionnalités sont généralement contenues dans des pages non protégées et particulièrement vulnérables. La recherche a aussi mis en évidence le fait que 30% des sites web analysés renvoient à d’autres domaines pour effectuer le login et accéder au compte. Une telle pratique inciterait les utilisateurs à sous-évaluer les risques dérivant d’un détournement frauduleux de la part des pirates informatiques (phishing), généralement utilisé pour proposer un site en tous points semblables à l’original, mais conçu uniquement pour soustraire les données des clients de la banque. Pour résoudre le problème, les établissements de crédit devraient héberger les services de home banking sur les mêmes servers qui hébergent leurs sites institutionnels, habituant ainsi les utilisateurs à rester dans le même domaine, sans courir le risque de dangereux détournements. Pour finir, la recherche a montré comment les politiques mises en place par les banques pour la gestion des données d’accès sont dans 28% des cas extrêmement insuffisantes en ce qui concerne la sécurité en raison du manque de règles suffisamment rigides. Ce manque de règles incite souvent les utilisateurs à élaborer des mots de passe et ID extrêmement simples dont ils peuvent facilement se souvenir, mais qui sont aussi davantage exposés aux problèmes de sécurité. Dans ce cas-là également, une plus grande attention de la part des banques pour des détails aussi importants pourrait anéantir le risque de mauvaises surprises, désagréables et coûteuses pour leurs clients.Par bonheur, dans les Établissements de Crédit Italiens, le problème de la sécurité online n’est pas sous-évalué…..OU BIEN …SI ????
|
