Sécurité et confidentialité

Sécurité et confidentialité Mise à jour le 1er janvier 2012

Sécurité et confidentialité • Sécurité des transactions bancaires • Deux grandes préoccupations du milieu bancaire • Usurpation d’identité; • Blanchiment de fonds. • Usurpation d’identité • Assumer et utiliser l’identité d’une autre personne • Dans le but de soutirer des fonds ou crédits. • Blanchiment de fonds • Processus consistant à dissimuler la source de l'argent ou des biens tirés d'activités criminelles. • Compromet l'intégrité des institutions et des systèmes financiers légitimes; • Procure au crime organisé les fonds nécessaires pour entreprendre d'autres activités criminelles. Source: http://www.cba.ca/fr/ViewDocument.asp?fl=4&sl=268&tl=276&docid=690 Mise à jour le 1er janvier 2012

Sécurité et confidentialité • Sécurité des transactions bancaires • Différentes façons d’usurper l’identité d’une autre personne • Hameçonnage (phishing) • Terme général qui définit la création et l'utilisation, par des criminels, de courriels et de sites Web d'apparence officielle « représentant » des entreprises, des établissements financiers et des organismes gouvernementaux légitimes. • Selon l’APWG (Anti-PhishingWorking Group) – au mois d’août 2006: • 26 150 signalements; • 10 091 sites Web différents d’hameçonnage à travers le monde; • 148 marques d’entreprises différentes ont été « détournées »; • 92, 6% de l’ensemble des attaques perpétrés contre le secteur financier. Source: Rapport sur l’hameçonnage, Ministère de la Sécurité publique et de la Protection civile du Canada Mise à jour le 1er janvier 2007

Sécurité et confidentialité • Sécurité des transactions bancaires • Différentes façons d’usurper l’identité d’une autre personne • Hameçonnage (phishing) Source: http://www.webrealite.com/forum/d-alerte-hameconnage-desjardins_19840.html Mise à jour le 1er janvier 2012

Sécurité et confidentialité • Sécurité des transactions bancaires • Différentes façons d’usurper l’identité d’une autre personne • Escroqueries par téléphone • Fraudeurs se font passer pour des fonctionnaires, des enquêteurs ou des employés de compagnies, pour soutirer des renseignements personnels • Selon PhoneBusters pour l’année 2006: • Au Québec, il y a eu 2040 victimes et des pertes 4,674,504.44$; • En Ontario, il y a eu 3353 victimes et des pertes de 7,584,188.86$ ; • Au Cananda, 7778 victimes et des pertes de 16,283,776.91$. Source: http://www.phonebusters.com/francais/statistics_E06.html Mise à jour le 1er janvier 2012

Sécurité et confidentialité • Sécurité des transactions bancaires • Différentes façons d’usurper l’identité d’une autre personne • Interception électronique • Fraudeurs peuvent placer des appareils d’écoute entre un terminal de validation de cartes de crédit et le réseau de communications pour capter les numéros de carte de crédit et les mots de passe Mise à jour le 1er janvier 2012

Sécurité et confidentialité • Sécurité des transactions bancaires • Différentes façons d’usurper l’identité d’une autre personne • Piratage informatique (hacking) – spyware, malware • Fouille de poubelle (!) Mise à jour le 1er janvier 2012

Sécurité et confidentialité • Sécurité des transactions bancaires • Technologies pour contrer le vol de renseignement • Anti-hameçonnage • Filtres ajoutés aux fureteurs d’internet • Utilise les techniques ou une combinaison des techniques: • Signalement des usagers; • Vérification manuelle; • Heuristique basée sur la proximité des noms de sites; • Heuristique basée sur le lieu géographique des sites; • Heuristique basée sur l’historique des sites déjà visités par l’utilisateur; • Liste blanche des sites acceptables; • Liste noire des sites suspects. Source: Carnegie Mellon University, http://www.cylab.cmu.edu/default.aspx?id=2255 Mise à jour le 1er janvier 2012

Sécurité et confidentialité • Sécurité des transactions bancaires • Technologies pour contrer le vol d’identité • Anti-hameçonnage • Filtres ajoutés aux fureteurs d’internet • Utilise les techniques ou une combinaison des techniques: • Signalement des usagers; • Vérification manuelle; • Heuristique basée sur la proximité des noms de sites; • Heuristique basée sur le lieu géographique des sites; • Heuristique basée sur l’historique des sites déjà visités par l’utilisateur; • Liste blanche des sites acceptables; • Liste noire des sites suspects. Source: Carnegie Mellon University, http://www.cylab.cmu.edu/default.aspx?id=2255 Mise à jour le 1er janvier 2012

Sécurité et confidentialité • Sécurité des transactions bancaires • Technologies pour contrer le vol d’identité • Identification biométrique • Basée sur l’unicité des traits physiques; • Il s’agit du traitement statistique des variations de ces traits physiques. • Traits physiques exploités • Empreintes digitales; • Empreintes palmaires • Signal vocal; • Disposition faciale; • Rétine , l’iris, écriture; • Géométrie des mains. Mise à jour le 1er janvier 2012

Sécurité et confidentialité • Sécurité des transactions bancaires • Technologies pour contrer le vol d’identité • Principe de l’identification biométrique Source: http://fr.wikipedia.org/wiki/Biom%C3%A9trie Mise à jour le 1er janvier 2012

Sécurité et confidentialité • Sécurité des transactions bancaires • Technologies pour contrer le vol d’identité • Empreintes digitales • Capture: Numérisateur optique • Capteur de luminosité par CCD (Charge Coupled Device) semblable à celui des caméras numériques; • Empreinte capturée est une image inversée: couleurs foncées représentent des crêtes alors les couleurs pâles représentent les vallées; • Numérisateur vérifie l’obscurité de l’image obtenue – rejet de l’image si elle est trop foncée ou trop pâle; • Numérisateur vérifie la définition de l’image obtenue – une bonne définition est obtenue s’il y a alternance de couleurs foncées et de couleurs pâles. Il existe également un autre méthoide courante de capture: Numérisateur par capacité Source: http://computer.howstuffworks.com/fingerprint-scanner.htm Mise à jour le 1er janvier 2012

Sécurité et confidentialité • Sécurité des transactions bancaires • Technologies pour contrer le vol d’identité • Empreintes digitales • Traitement: Identification des minuties • Bifurcation, île, noyau, delta, lac, fin de ligne, etc.; • Mesurer la position relative de ces minuties sur le doigt; Source: http://perso.orange.fr/fingerchip/biometrics/types/fingerprint_algo.htm Mise à jour le 1er janvier 2012

Sécurité et confidentialité • Sécurité des transactions bancaires • Technologies pour contrer le vol d’identité • Empreintes digitales • Fichier de signature: Aucune image n’est stockée pour fin de comparaison • Positions et directions des minuties; • Distances entre les minuties; • Nombre de lignes entre minuties d’une région donnée; • Etc. • Transformation de ces informations à l’aide d’une fonction de hachage unidirectionnelle cryptographique • Résultat: Empreinte digitale  nombre numérique • Enregistrer le nombre + identité de la personne dans une base de données Source: http://perso.orange.fr/fingerchip/biometrics/types/fingerprint_algo.htm Mise à jour le 1er janvier 2012

Sécurité et confidentialité • Sécurité des transactions bancaires • Technologies pour contrer le vol d’identité • Empreintes digitales • Comparaison: Fouille dans une base de données • On estime à 6x10-8 la probabilité que 12 minuties parmi 36 correspondent, mais de nombreuses estimations existent... ; • Empreinte digitale est représentée par un nombre généré à l’aide d’une fonction de hachage + identité de la personne; • Il suffit de trouver, dans la base de données, la valeur recherchée pour obtenir l’identité de la personne. Source: http://perso.orange.fr/fingerchip/biometrics/types/fingerprint_algo.htm Mise à jour le 1er janvier 2012

Sécurité et confidentialité • Sécurité des transactions bancaires • Technologies pour contrer le vol d’identité • Anti-Spyware, -malware • Spyware et malware • Utilise un ensemble de techniques pour soutirer du renseignement personnel des internautes – enregistrement des séquences de touches du clavier (keystroke logging), fréquence des sites visités (tracking), des mots de passe, etc; • Nous excluons ici les adware qui vous proposent de la publicité non sollicitée; • Techniques anti-spyware, anti-malware • Détection et élimination basée sur le balayage de la signature ou caractéristiques du spyware et malware; • Blocage au de la transmission des données. L’ingénierie inverse « reverse engineering » est nécessaire pour découvrir la signature et les caractéristiques. Ce travail est parfois manuel car certains spyware et malware contiennent du code de programmation d’auto-défense (anti-reverse engineering). Mise à jour le 1er janvier 2012

Sécurité et confidentialité • Sécurité des transactions bancaires • Technologies pour contrer le vol d’identité • Anti-Spyware, -malware • Techniques anti-spyware, anti-malware • Contrôle par liste d’accès au noyau du système d’exploitation; • Noyau (kernel) est un ensemble de routines de base permettant lw système d’exploitation (ex: Windows, Linux, Mac, etc.) d’offrir les services de haut niveau aux applications; • Les spyware et les malware désirent soutirer de l’information personnelle des utilisateurs, l’idée est de maintenir une liste d’accès gérée par le système d’exploitation lui-même; • L’accès à ces données est accordé par le système avec l’autorisation des utilisateurs. Source: Chow, Hui, Chow, Hui, A generic anti-spyware solution by access control list at kernel level Mise à jour le 1er janvier 2012

Sécurité et confidentialité • Sécurité des transactions bancaires • Technologies pour contrer le vol d’identité • Fouille poubelle • Poubelle physique • Solution: déchiquetage • On retrouve souvent notre nom, notre adresse, notre téléphone, notre compte client dans des documents jetés; • Parfois, même notre NAS, numéro de carte de crédit! Source: Chow, Hui, Chow, Hui, A generic anti-spyware solution by access control list at kernel level Mise à jour le 1er janvier 2012

Sécurité et confidentialité • Sécurité des transactions bancaires • Technologies pour contrer le vol d’identité • Fouille poubelle • Poubelle informatique • Solution: déchiquetage par logiciels • Fichiers déplacés dans la poubelle n’est pas réellement effacés; • Même lorsque effacés, les fichiers demeurent enregistrés sur le disque; • Même effacés depuis longtemps, la probabilité que des parties du fichiers demeurent sur le disque est grande! • Même le soi-disant “formatage” du disque n’élimine pas nécessairement les fichiers sur le disque!! • Il existe un standard pour l’élimination des fichiers informatique – DoD 5220.22-M de la défense nationale américaine. http://en.wikipedia.org/wiki/Data_erasure Mise à jour le 1er janvier 2007

Sécurité et confidentialité • Sécurité des transactions bancaires • Technologies pour contrer le vol d’identité • Fouille poubelle • Poubelle informatique • Recommandations contenues dans DoD 5220.22-M de la défense nationale américaine: • Écrire par dessus chaque caractère du fichier à effacer par un caractère, ensuite le complément de ce caractère (en terme de bits), ensuite par un nombre pseudo-aléatoire; • Le NSA (National Security Agency des É.U.) recommande au moins 7 répétitions de ces opérations par fichier à effacer. Source: http://www.dtic.mil/whs/directives/corres/html/522022m.htm Mise à jour le 1er janvier 2012

Sécurité et confidentialité • Sécurité des transactions bancaires • Blanchiment de fonds • Techniques: • Le placement de fonds, qui consiste à introduire les produits de la criminalité dans le système financier; • La dispersion de fonds, qui consiste à convertir les produits de la criminalité en une autre forme et à créer un enchevêtrement d'opérations financières; • Par exemple, l l'achat et la vente d'actions, de biens et de propriétés; • L'intégration, qui consiste à réintroduire les bénéfices d'origine criminelle dans l'économie afin de donner aux fonds une apparence légitime. Source: http://www.fintrac.gc.ca/fintrac-canafe/definitions/money_f.asp Mise à jour le 1er janvier 2012

Sécurité et confidentialité • Sécurité des transactions bancaires • Blanchiment de fonds • Pourquoi faut-il contrer le blanchiment de fonds? • Le blanchiment de fonds est un moyen pour les criminels de soutenir leurs activités illégales; • Instabilise les institutions bancaires et par extension l’économie du pays; • Ces avoirs sont le fruit de la criminalité et donc non légitime; • Ce n’est pas l’accumulation par la création de richesse. • Le blanchiment de fonds mène souvent à la corruption. Source: http://www.fintrac.gc.ca/fintrac-canafe/definitions/money_f.asp Mise à jour le 1er janvier 2012

Sécurité et confidentialité • Sécurité des transactions bancaires • Blanchiment de fonds • Lutte contre le blanchiment de fonds • CANAFE (Centre d’analyse des opérations et déclarations financières du Canada) • De concert avec la Banque du Canada, le ministère des finances, l’association canadienne de paiement et l’association des banquiers canadiens: • Identifier les biens appartenant à des groupes terroristes; • Analyser des opérations d’importance en espèces; • Analyser les transferts de fonds (télévirement); • Analyser les mouvements transfrontaliers des effets. Source: http://www.fintrac.gc.ca/intro_f.asp Mise à jour le 1er janvier 2012

Sécurité et confidentialité • Sécurité des transactions bancaires • Blanchiment de fonds • Exemples • Kenneth W. Salomon Investment Fund soupçonné de blanchir ~ milliard dollars (http://lapresseaffaires.cyberpresse.ca/economie/200901/06/01-681054-qui-se-cache-derrierekennethfund.php) • HellsAngels fraudent en Bourse (http://lapresseaffaires.cyberpresse.ca/economie/200901/06/01-676657-les-hells-fraudent-aussi-en-bourse.php) • Ex-avocat accusé d’avoir blanchi des millions de dollars (http://fr.canoe.ca/infos/societe/archives/2008/07/20080708-053301.html) • Regard sur le blanchiment d’argent (http://www.canafe.gc.ca/publications/watch-regard/2011-06-fra.asp) Mise à jour le 1er janvier 2012

Sécurité et confidentialité • Sécurité des transactions bancaires • Blanchiment de fonds • Lutte contre le blanchiment de fonds • CANAFE communique les résultats d’analyse aux organismes opérant dans le système de justice; • Au Canada, la principale loi pour contrer le blanchiment de fonds est: Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes (http://lois.justice.gc.ca/fr/P-24.501/index.html) • Il communique également ces résultats aux organismes chargés d'assurer l'application des lois et aux services de renseignements canadiens. Source: http://www.fintrac.gc.ca/intro_f.asp Mise à jour le 1er janvier 2012

Sécurité et confidentialité • Confidentialité des renseignements personnels • Loi sur la protection des renseignements personnels et les documents électroniques du Canada • Les organisations du secteur privé • Porte en fait sur de saines pratiques de gestion des renseignements personnels • Les entreprisesvisées par cetteloifédérale: • le transport inter-provincial ou international par voie terrestre ou par eau; • les aéroports, les aéronefs ou les lignes de transport aérien, les télécommunications; • les stations de radiodiffusion et de télédiffusion; • les banques, les centrales nucléaires; • les entreprises de forage en mer. • Etc. Source: http://www.privcom.gc.ca/information/guide_f.asp#002 Mise à jour le 1er janvier 2012

Sécurité et confidentialité • Confidentialité des renseignements personnels • Loi sur la protection des renseignements personnels et les documents électroniques du Canada • Définition • Renseignement personnel: désigne un renseignement sur un particulier identifiable, enregistré sous quelque forme que se soit. • Un particulier est identifiable aux fins de la présente loi si des renseignements • a) comprennent son nom, • b) rendent évidente son identité, ou • c) ne comprennent pas son nom ou ne rendent pas évidente son identité mais sont susceptibles dans les circonstances d’être adjoints à d’autres renseignements qui comprennent son nom ou rendent son identité évidente. Source: http://www.gnb.ca/acts/lois/p-19-1.htm Mise à jour le 1er janvier 2007

Sécurité et confidentialité • Confidentialité des renseignements personnels • Loi sur la protection des renseignements personnels et les documents électroniques du Canada • Cette loi ne régit pas: • La collecte, l'utilisation ou la communication de renseignements personnels par des institutions fédérales auxquelles s'applique la Loi sur la protection des renseignements personnels. • Les gouvernements provinciaux et territoriaux et leurs mandataires; • Le nom, le titre, l'adresse ou le numéro de téléphone au travail d'un employé; • La collecte, l'utilisation ou la communication de renseignements personnels par une personne à des fins strictement personnelles; Source: http://www.privcom.gc.ca/information/guide_f.asp#002 Mise à jour le 1er janvier 2007

Sécurité et confidentialité • Confidentialité des renseignements personnels • Loi sur la protection des renseignements personnels et les documents électroniques du Canada • Cette loi ne régit pas: • La collecte, l'utilisation et la communication de renseignements personnels par une organisation à des fins strictement journalistiques, artistiques ou littéraires; • Les renseignements d'employé(e)s — à l'exception du secteur assujetti à la réglementation fédérale. Source: http://www.privcom.gc.ca/information/guide_f.asp#002 Mise à jour le 1er janvier 2012

Sécurité et confidentialité • Confidentialité des renseignements personnels • Loi sur la protection des renseignements personnels et les documents électroniques du Canada • Les entreprises doivent respecter les 10 principes suivantes: • la responsabilité • la détermination des fins de la collecte des renseignements • le consentement • la limitation de la collecte • la limitation de l'utilisation, de la communication et de la conservation • l'exactitude • les mesures de sécurité • la transparence • l'accès aux renseignements personnels • la possibilité de porter plainte Source: http://www.privcom.gc.ca/information/guide_f.asp#002 Mise à jour le 1er janvier 2007

Sécurité et confidentialité • Confidentialité des renseignements personnels • Loi sur la protection des renseignements personnels et les documents électroniques du Canada • Le commissaire à la protection de la vie privée continuera d’assurer la surveillance de l’application de cette loi. • C’est un haut fonctionnaire du Parlement; • Relève directement de la Chambre des Commune et du Sénat; • reçoit des plaintes et enquête sur les allégations • Exemples de plainte: • Un repas pris au restaurant est payé au moyen d’une carte de crédit. Le nom, le numéro de carte de crédit et la date d’expiration de la carte apparaissent sur le reçu; • Un locataire s’est plaint que le concierge de son immeuble d’habitation ait divulgué aux autres locataires que son chèque pour le loyer était sans provision. Source: http://www.privcom.gc.ca/index_f.asp Mise à jour le 1er janvier 2007

Sécurité et confidentialité • Confidentialité des renseignements personnels • Loi sur la protection des renseignements personnels et les documents électroniques du Canada • Exemples de plainte: • La plaignante a eu l’occasion de consulter une conseillère par l’entremise du programme d’aide aux employés de son travail. Elle s’est plainte que l’entreprise de counselling ait divulgué à son employeur, entre autres, des renseignements de nature délicate la concernant et que ces renseignements étaient inexacts; • Un membre d’une association sans but lucratif a dû montrer, en plus de sa carte de membre, une deuxième carte d’identité, lorsqu’il a voulu se procurer des biens et des services auprès de l’association. Source: http://www.privcom.gc.ca/index_f.asp Mise à jour le 1er janvier 2007

Sécurité et confidentialité • Confidentialité des renseignements personnels • Application de ces 10 principes chez BMO • Responsabilité • Tous les employés de BMO sont tenus à protéger les renseignements personnels de leurs clients; • Il existe un chef de la confidentialité; • Collecte des renseignements personnels • Pour contrer les fraudes; • Pour réaliser les opérations bancaires; • Pour évaluation de votre crédit. • Consentement • Demande d’autorisation obligatoire pour transmission des renseignements personnels; Source: http://www4.bmo.com/francais/ Mise à jour le 1er janvier 2007

Sécurité et confidentialité • Confidentialité des renseignements personnels • Application de ces 10 principes chez BMO • Consentement • Possibilité de mettre fin au consentement. • Limitation de la collecte • Renseignements usuels + • NAS, état financier et état de santé. • Limitation de l’utilisation, de la communication et de la conservation • Pas de vente de renseignements personnels; • Ne reçoit pas de renseignements personnels d’une autre entreprise sans preuve de consentement; • Exception: vente d’entreprise de BMO. Source: http://www4.bmo.com/francais/ Mise à jour le 1er janvier 2007

Sécurité et confidentialité • Confidentialité des renseignements personnels • Application de ces 10 principes chez BMO • Exactitude • S’engage à maintenir l’exactitude des renseignements personnels; • Possibilité de correction auprès de BMO; • Possibilité de porter plainte auprès de BMO. • Mesures de sécurité • Assure la sécurité matérielle, électronique et organisationnelle des renseignements personnelle; • Mot de passe et chiffrement; • Entente avec les institutions qui sont en relation avec BMO. Source: http://www4.bmo.com/francais/ Mise à jour le 1er janvier 2007

Sécurité et confidentialité • Confidentialité des renseignements personnels • Application de ces 10 principes chez BMO • Transparence • Publication du code de confidentialité; • Disponible au grand public. • Accès aux renseignements personnels • Droit aux clients de vérifier ses propres renseignements personnels; • Possibilité de porter plainte à l’égard du non-respect des principes • Affichage du nom de la personne et de son adresse d’affaire qui reçoit les plaintes. Source: http://www4.bmo.com/francais/ Mise à jour le 1er janvier 2007

Sécurité et confidentialité

Sécurité et confidentialité

Presentation Transcript

8 Janvier 2008 Michaut Dorothée Thuillier Claire

GENERALITES SUR L’APPROCHE COGNITIVO-COMPORTEMENTALE DE LA DOULEUR CHRONIQUE

Commissaire aux comptes et expert-comptable judiciaire

É LECTRO C ARDIO G RAMME (ECGs)

Mise sous Assurance Qualité du Circuit du Médicament

Réunion éditeurs 13 mars 2012 14h00 – 16h30

New York, passionnément !… OMBRES ET LUMIÈRES SUR MANHATTAN du 27 janvier au 3 février 2012 1ère partie Photographies et

français 2

Janvier 1960 Les Barricades

Projet « Ma démarche FSE »

REUNION D’INFORMATION SUR L’ORIENTATION Mardi 7 Février 2012

La vie d’Abraham

Janvier 2014

Conférence de Territoire des Yvelines 11 octobre 2012

26.02.2012

La vie de Moïse

1er jour à XI’AN l e 22 mai 2011

1 er janvier 1960

5KNA Productions 2012

Présentation du SI

26.02.2012

SOINS INFIRMIERS EN DERMATOLOGIE