Archives de catégorie : Justice

Délit d’usurpation d’identité numérique et liberté d’expression

Le cabinet LAZARÈGUE AVOCATS spécialisé dans la cybercriminalité et le droit de la presse a obtenu une décision importante en matière de liberté d’expression.

Selon Maître Lazarègue : « La rédaction confuse du délit d’usurpation d’identité numérique prévu dans le code pénal pouvait laisser entendre que le seul fait de « faire usage d’une ou plusieurs données de toute nature permettant d’identifier un individu en vue de troubler sa tranquillité ou celle d’autrui, ou de porter atteinte à son honneur ou à sa considération pouvait faire l’objet d’une condamnation d’un an d’emprisonnement et de 15 000 € d’amende ».

De nombreuses entreprises tentaient ainsi d’échapper aux contraintes de la loi sur la liberté de la presse (notamment à son délai de prescription limité à trois mois) en invoquant le délit d’usurpation d’identité numérique pour étouffer toute expression publique critique à leur égard.

Dans un jugement du 18 avril 2019, la 17e chambre du Tribunal de Grande Instance de Paris spécialisée dans les questions de presse et internet a réaffirmé son attachement à la liberté d’expression et la primauté de la loi sur la liberté de la presse en matière d’expression publique.

La 17e chambre a ainsi jugé que la loi pénale est d’interprétation stricte et l’interprétation de l’article 226-4-1 du code pénal au regard des travaux préparatoires de cette loi permet de restreindre le champ de l’infraction à celui d’une usurpation d’identité ou à une utilisation des données de toute nature permettant d’identifier quelqu’un dans le but de se faire passer pour cette personne, telle étant la volonté du législateur. »

Vulnerability Disclosure : Une loi Européenne en préparation pour protéger les lanceurs d’alerte ?

Vulnerability Disclosure – Le podcast spécial FIC 2019 « La french connexion » a interviewé un chercheur du CNRS, Afonso Ferreira, qui confirme que l’Europe se penchera bientôt sur une loi dédiée aux lanceurs d’alerte.

C’est dans le podcast La French Connexion, sous le micro de Damien Bancal et Nicolas-Loïc Fortin, qu’Afonso Ferreira chercheur au CNRS, enseignant à l’école informatique de Toulouse est venu expliquer son rapport écrit pour le CEPS Task Force. Un scientifique qui a déjà participé à l’élaboration du RGPD, le Règlement Général de la Protection des Données.

Baptisé « Software Vulnerability Disclosure in Europe Technology, Policies and Legal Challenges » l’étude revient sur l’importance des lanceurs d’alerte en informatique.

D’abord, comment la loi doit protéger ces cybercitoyens lanceur d’alerte ?

Ensuite, pourquoi protéger ceux qui tentent d’alerter d’une faille, d’une fuite…

Pour conclure, le rapport est à télécharger ici.

Le baron de la drogue El Chapo utilisait son propre réseau de communication chiffré

Joaquin Guzman, plus connu sous le pseudonyme d’El Chapo, l’un des plus important baron de la drogue utilisait un réseau de communication chiffré spécialement créé pour lui. Le FBI va réussir à le mettre sur écoute avec l’aide de son administrateur.

En informatique, la première faille reste l’humain. Le baron de la drogue mexicain Joaquin Guzman, alias El Chapo, aujourd’hui dans les mains des autorités américaines, en a fait les frais.

Pour converser avec ses clients et fournisseurs, El Chapo utilisait un réseau de communication privé et chiffré spécialement créé à son intention. Bilan,les autorités ne pouvaient n’y le suivre, ni l’écouter.

Un système de sécurité mis en place par un informaticien qui apparaît dans les documents du FBI sous le nom de Cristian Rodriguez, très certainement un pseudonyme.

Cristian se retrouve chez El Chapo. Son travail pour un autre baron de la drogue, le colombien Jorge Cifuentes, attire Guzman. De la VoIP interne sécurisée.

Seulement, le FBI a réussi à convaincre Rodriguez à collaborer.

Infiltration du FBI

Dans un premier temps, février 2010. L’agent du FBI se fait passer pour un dealer Russe. Il souhaite acquérir son système de chiffrement. Quelques semaines plus tard, le FBI « propose » de collaborer. L’histoire n’indique pas la proposition : argent, risque de prison, finir dans un bloc de béton …

Bilan, Rodriguez va migrer son serveur de communication au Pays-Bas. Préalablement installé au Canada, le serveur se retrouve aux Pays-Bas. Un pays choisi pour être plus souple avec les demandes de la justice américaine.

Finalité, l’agence fédérale a pu mettre sur écoute ce système chiffré. 1 500 appels téléphoniques sur écoute avec l’aide du service cybercrime (Team High Tech Crime) néerlandais.

L’existence de ce stratagème – et de plusieurs appels téléphoniques – a été révélée pour la première fois mardi 8 janvier 2019 lorsque Stephen Marston, un agent du FBI qui a aidé à diriger l’opération, a comparu en tant que témoin lors du procès de Guzmán.

Marston a déclaré aux jurés que l’étape cruciale de l’enquête consistait à recruter Rodriguez. Il fallait qu’il collabore avec les autorités américaines.

Les voix ont pu être comparées et authentifiées à partir, entre autre, d’une interview donnée par El Chapo à l’acteur Sean Penn pour le journal Rolling Stone.

El Chapo est locataire d’une prison fédérale américaine depuis 2016.

Amendes pour UBER après une fuite de données

La société Américaine UBER écope de plusieurs amendes après la fuite de données personnelles dont avaient été victimes plusieurs millions d’utilisateurs.

UBER, la société de taxi urbain vient d’écoper de plusieurs amendes infligées par la Grande-Bretagne et les Pays-Bas. Deux amendes à la suite de la fuite de données personnelles que la société américaine avait tentée de cacher. Cette fuite date de 2016. 57 millions d’utilisateurs impactés dans le monde.

Aux Pays-Bas, 174.000 clients et chauffeurs. En Grande-Bretagne, 2,7 millions de clients et plus de 80 000 chauffeurs.

En France, tout comme en Belgique, plusieurs dizaines de milliers d’utilisateurs avaient été touchés. Au RU, une amende de 434 000 euros. D’autres pays Européens pourraient suivre et infliger une amende à UBER. Aux USA, la société de transport a déjà déboursé plus de 150 millions de dollars pour stopper des class actions à son encontre. Pour rappel, l’américain avait payé le pirate derrière cette fuite d’informations personnelles 100 000 dollars.

RGPD : la CNIL précise les compétences du DPO

Le RGPD est entré en vigueur depuis plus de 5 mois et le ratio du nombre d’entreprises en conformité serait encore faible (inférieur à 25%) en France, si l’on en croit différentes études récentes et non-officielles. On sait en revanche que la CNIL, garante de la protection des données des citoyens français, a reçu 13 000 déclarations de DPO, soit seulement 16% des 80 000 estimées nécessaires. Le Délégué à la Protection des Données est pourtant considéré par la CNIL comme la clé de voûte de la conformité au règlement européen.

Pour mémoire, le RGPD est la nouvelle réglementation mise en place le 25 mai 2018 par l’Union Européenne pour contraindre toutes les organisations à garantir leur contrôle sur la collecte, le stockage et l’utilisation des données à caractère personnel des ressortissants européens. Les conséquences peuvent être très lourdes pour les entreprises, avec des amendes pouvant atteindre 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial. Sans compter bien sûr le risque sur la réputation de la société, sa perte de clientèle, les frais de procédures en cas de plaintes, etc.

RGPD et DPO : quelles sont les obligations de l’entreprise ?

Pour être en mesure de tenir leurs engagements, les entreprises doivent donc se doter d’un DPO, dont les missions sont stratégiques : conseils organisationnels, techniques et juridiques sur la bonne sécurité des données, relations avec la CNIL et les autres DPO, gestion des demandes d’exercice des droits, du respect des règles (Accountability) et des risques encourus.

D’après la CNIL, dans le cadre de la mise en application du RGPD, l’entreprise a l’obligation de :
Choisir son DPO en fonction de son expertise.
Veiller à ce que son expert reçoive la formation et les moyens matériels, financiers et intellectuels nécessaires pour mener à bien sa mission.
Veiller à ce que son DPO exerce ses activités sans conflit d’intérêts, en toute indépendance, qu’il puisse rendre compte de son action au plus haut niveau de l’entreprise.

Le choix du DPO doit être pris en fonction de ses compétences, mais aussi de son expérience de la protection des données, selon l’exposition aux risques identifiés de l’entreprise (classement risques EBIOS) :
Exposition basse : un minimum de 2 ans d’expérience peut être suffisant.
Exposition très haute : un minimum de 5 à 15 ans d’expérience peut s’avérer nécessaire.

Si l’on considère la pénurie actuelle de DPO et le caractère récent du métier, ces exigences d’expérience peuvent apparaître compliquées à remplir par tous.

Compétences et savoir-faire du DPO

Pour répondre aux nombreux questionnements des entreprises, la CNIL a publié au Journal Officiel le 11 octobre un référentiel listant les 17 critères cumulatifs auxquels un DPO doit pouvoir répondre pour être certifié par un organisme certificateur. Une démarche d’autant plus attendue que les profils ont été jugés très hétérogènes parmi les 13 000 DPO déclarés à la CNIL. Les compétences et savoir-faire que les DPO doivent satisfaire peuvent être regroupés en trois catégories, organisationnelle, juridique et technique :

Les savoirs organisationnels : le DPO conseille l’entreprise dans l’élaboration de procédures et politiques, ce qui induit des connaissances en gouvernance des entreprises. Par ailleurs, il est en mesure de mener un audit de conformité et de proposer des mesures de réduction ou gestion des risques, de les évaluer et d’en surveiller la mise en œuvre.

Les savoirs techniques et informatiques : le DPO doit mettre en œuvre les principes de minimisation ou d’exactitude, d’efficacité et d’intégrité des données et pouvoir exécuter les demandes de modification et d’effacement de données, ce qui impacte les systèmes et solutions de l’entreprise. Le DPO doit être ainsi force de conseils et de recommandations pour la mise en œuvre du « Privacy by Design » dans l’entreprise.

Les savoirs juridiques

Le DPO est un expert en protection juridique et règlementaire des données à caractère personnel. Outre le RGPD, il peut conseiller l’entreprise en cas de conflit de lois. Il participe à l’élaboration des contrats avec les partenaires, peut négocier avec le DPO du partenaire les clauses de protection de données personnelles. Il a également un rôle essentiel à jouer en matière de contentieux : il est l’interlocuteur de la CNIL et il instruit les plaintes des personnes concernées.

Avec ce référentiel de certification, l’entreprise dispose donc désormais d’éléments pour vérifier l’adéquation des savoirs en place en interne. Et force est de constater que le DPO doit faire figure de super-héros multi-compétences aux expertises transverses dans de nombreux domaines. Par ailleurs, il s’avère dans la pratique que la seule connaissance du texte de loi est insuffisante pour être en mesure de répondre à ces exigences.

La nécessaire montée en expertise du DPO

L’entreprise qui constate ne pas être en capacité à répondre aux critères du référentiel se trouve dans une position potentiellement à risque. Si elle dispose déjà d’un DPO en place, déclaré à la CNIL ou pas encore, il s’agit de mesurer l’écart d’expertise à combler et de l’accompagner en mettant à sa disposition les moyens matériels, financiers et intellectuels pour lui permettre d’atteindre les objectifs.

Selon l’exposition aux risques identifiées par l’entreprise, elle peut faire le choix d’une montée en expertise dans les catégories prioritaires pour elle. Par exemple, si l’organisation a une part importante de son activité en gestion par des prestataires externes. Elle devra les auditer régulièrement et réviser sa politique contractuelle. Le DPO, très attendu sur les aspects juridiques et audits. Il pourra alors avoir besoin d’un soutien sur des points précis tels que : auditer un traitement ou une conformité, mener un DPIA et gérer les risques, élaborer une procédure…

Le référentiel de la CNIL fixe le plancher des connaissances au suivi d’une formation de 35h sur le RGPD, afin d’en avoir une vision synthétique. Cela pourra s’avérer insuffisant tant la plupart des missions du DPO requiert des expertises fines dans des domaines très divers.

En prenant en compte l’isolement du DPO dans ses fonctions du fait de leur nature, et que la collaboration ou l’émulation avec des profils plus seniors dans l’entreprise est donc rarement possible, il n’est effectivement pas simple d’organiser un accompagnement dans sa montée en compétence. La CNIL encourage donc les DPO à s’organiser en groupes de travail réunis par secteurs d’activité, territoires ou même pour les indépendants à mutualiser leurs fonctions pour plusieurs entreprises. Cette approche ne produira néanmoins des résultats qu’à moyen terme et remplacera difficilement un transfert de savoir-faire par des DPO seniors.

Le choix de l’externalisation

Si l’entreprise ne dispose pas encore de DPO, ou si l’écart d’expertise à combler est trop important, l’externalisation totale ou partielle des fonctions de DPO peut être une option viable. Pour une entreprise de petite ou moyenne taille qui ne souhaite pas disposer d’un DPO en interne, avoir recours à des services extérieurs mutualisés est une des possibilités les plus pertinentes. Mais une externalisation partielle présente aussi l’avantage d’accompagner le DPO interne dans une partie de ses activités, avec un partage des pratiques professionnelles à l’aune des contraintes de l’entreprise. Une approche qui gagnera en efficacité si elle envisage un plan global de formation du DPO. (Par Patricia Chemali-Noël, Expert en Protection des Données chez Umanis)

La Maison Blanche autorise les cyber offensives pour dissuader des adversaires étrangers

Operations cyber offensives – Les États-Unis assouplissent les règles liées à la cyberguerre face aux inquiétudes suscitées par l’ingérence électorale lors des prochaines élections américaines de mi-mandat.

John Bolton, conseiller à la sécurité nationale, a déclaré jeudi que la Maison-Blanche qu’il avait autorisé des « cyber-operations offensives – cyber offensives » contre des adversaires américains, conformément à une nouvelle politique visant à alléger les règles d’utilisation des armes numériques. « Nos mains ne sont pas liées comme elles l’étaient dans l’administration Obama« , a déclaré Bolton lors d’un point de presse qui dévoilait une nouvelle stratégie cybernétique nationale. Il n’a pas précisé la nature des opérations offensives, ni leur importance.

L’administration Trump se concentre sur les tentatives des gouvernements étrangers qui auraient envie de cibler les réseaux américains et potentiellement interférer dans les élections de novembre. Bref, la NSA va-t-elle s’attaquer aux Trolls et autres Haters qui sévissent sur jeuxvideo.com et autres espaces comme 4 chan ?

En général, la directive du président – appelée mémorandum présidentiel sur la sécurité nationale 13, ou NSPM 13 – permet un engagement militaire sans un long processus d’approbation. La stratégie de Trump se base sur celles mises en avant par les précédentes administrations et intègre des initiatives déjà en cours, telles que l’utilisation d’une approche de «gestion des risques» pour identifier les vulnérabilités dans les réseaux critiques.

Cyber offensives

Globalement, ils reflètent presque directement le plan d’action national de cybersécurité de l’administration Obama publié en 2016. Pour rappel, Bolton a annulé le poste de coordinateur de la cybersécurité de la Maison Blanche ! La Maison-Blanche et le Pentagone ont lancé une nouvelle cyber-stratégie qui se concentre sur la Chine et la Russie en tant que principaux adversaires stratégiques de l’Oncle Sam.

L’US Cyber Command se chargeait déjà des actions « défensives » en charge de défendre la nation contre les attaques tout en opérant en dehors des frontières américaines. Mais maintenant, ces activités défensives se dérouleront dans un contexte d’une compétition économique et politique entre grandes puissances.

Contrats juridiques sécurisés par la blockchain

Rocket Lawyer, leader mondial des services juridiques en ligne, s’est associé à ConsenSys, leader mondial de la technologie « Blockchain » Ethereum, et la start-up OpenLaw (Groupe ConsenSys) afin d’accélérer l’implémentation de son service « Rocket Wallet »* qui permet l’exécution de contrats sécurisés par la blockchain.

Blockchain – Rocket Lawyer est l’une des plates-formes en ligne de contrats juridiques qui connaît la croissance la plus rapide au monde. Rocket Lawyer est à l’origine de l’utilisation croissante de contrats juridiques dans le cloud par des millions de personnes et d’entreprises. Ainsi, chaque année, des millions de documents juridiques sont créés, signés ou stockés, mais des éléments clés du processus, notamment ceux liés à l’exécution des contrats et au règlement des litiges, restent à optimiser.

Fonctionnant avec la blockchain Ethereum et s’appuyant sur le protocole OpenLaw, Rocket Lawyer va déployer des transactions plus intelligentes gérées par un réseau plutôt que par une autorité centrale. De cette manière, Rocket Lawyer aspire à limiter le partage d’informations personnelles et à renforcer la sécurité et la confidentialité des données.

« La collaboration entre ConsenSys, OpenLaw et Rocket Lawyer nous permettra de travailler ensemble au développement de contrats juridiques intelligents« , a déclaré Joe Lubin, fondateur de ConsenSys et co-fondateur d’Ethereum. “Nous sommes impatients de rationaliser la mise en œuvre des contrats de manière à réduire les frictions et à créer des accords juridiques basés sur la blockchain, ce qui est un développement important pour l’écosystème Ethereum”.

Après avoir développé la manière la plus simple de créer et de signer des documents juridiques, Rocket Lawyer rendra la signature des contrats et la résolution des litiges, sûrs et abordables, en devenant la première société de la legaltech à intégrer la technologie de la blockchain dans les transactions juridiques quotidiennes à grande échelle.

« Rocket Wallet » (dépôt de brevet en cours) est d’ores et déjà disponible en version bêta aux États-Unis. Le lancement officiel est quant à lui prévu au premier semestre 2019.

Dixons Carphone : Plusieurs millions de données compromises

Dixons Carphone : Une importante entreprise du Royaume-Uni face à une violation de données personnelles. Des infos financières de millions de clients compromises.

La société ciblée Dixons Carphone a reconnu la violation et a déclaré que les pirates avaient eu accès à 1,2 million de données personnelles et 5,9 millions de cartes de paiement à partir des systèmes de traitement de ses magasins Currys PC World et Dixons Travel. Dans un communiqué de presse [voir ci-dessus, NDR], le PDG de Dixons Carphone, Alex Baldock, a déclaré : « Nous sommes extrêmement déçus de tout ce bouleversement que cela pourrait vous causer. La protection des données doit être au cœur de nos activités« .

La société a également révélé que sur 5,9 millions de cartes de paiement, 5,8 millions de cartes sont protégées par des combinaisons de puce et de numéro d’identification, mais que 105 000 cartes basées en dehors de l’Union européenne ne sont pas protégées.

De plus, les 1,2 million d’enregistrements compromis contenaient des données personnelles de clients, notamment des noms, des adresses électroniques et des adresses. Cependant, l’entreprise affirme n’avoir aucune preuve que cette information a quitté ses systèmes ou a entraîné une fraude à ce stade.

Dixons Carphone est une importante société de distribution et de services de télécommunication et d’électricité avec des magasins dans toute l’Europe, notamment au Royaume-Uni, en Irlande, au Danemark, en Suède, en Norvège, en Finlande, en Grèce et en Espagne.

On ne sait pas comment la violation de données a eu lieu et qui est derrière elle depuis que les enquêtes sont en cours. Cependant, ce n’est pas la première fois que Dixons Carphone subit une violation de données aussi massive. En 2015, des pirates avait pu accéder aux données personnelles et bancaires de millions de clients de Carphone Warehouse lors d’une cyberattaque.

La Russie demande à Apple de supprimer Telegram dans l’App Store

La guerre entre l’application Telegram et le gouvernement Russie touche Apple. Apple sommé de retirer l’outil de communication chiffrée de son Apple Store.

L’application de messagerie sécurisée Telegram a été interdite en Russie en avril 2018, mais jusqu’à présent, elle est toujours disponible dans sa version russe sur l’App Store d’Apple. Le gouvernement Poutine vient de demander à APPLE de retirer de sa boutique Telegram.

Effacer la possibilité de le télécharger, mais aussi l’empêcher d’envoyer des notifications push aux utilisateurs locaux. Les autorités indiquent à Apple lui laisser un mois pour se conformer avant d’imposer une sanction plus radicale. Pour rappel, Telegram refuse de fournir aux autorités Russes les clés de déchiffrement. Une/des « master key » qui pourrai(en)t permettre au FSB, les services de renseignement Russes, de surveiller les messages diffusés via Telegram. Dans sa mission de blocage des actions terroristes, via Telegram et autres outils d’anonymisation, la Russie a bloqué 50 services VPN afin de restreindre davantage l’accès à Telegram.

Mais malgré ces efforts, la majorité des utilisateurs en Russie accèdent toujours à l’application, indique Roskomnadzor. Seulement 15 à 30% des opérations de Telegram perturbées jusqu’à présent. Bilan, la Russie se tourne vers Apple pour obtenir de l’aide. Roskomnadzor, piraté il y a quelques jours, annonce que Google est en pourparlers pour interdire l’application sTelegram sur Google Play. Alors qu’Apple a exprimé son soutien pour le chiffrement et la sécurisation des données, la société américaine a également fait des concessions aux demandes locales. En Chine, par exemple, Apple a retiré les applications VPN de son magasin.

En attendant, cela veut-il dire que Telegram possède des clés de déchiffrement permettant de lire les messages transitant par ses services ?

Son système de stockage iCloud a été déplacé vers Guizhou-Cloud Big Data Industry Development Co., Ltd. (GCBD), une entreprise locale liée au gouvernement.

RGPD cas d’école banque

RGPD cas d’école banque – La banque du Commonwealth a perdu les antécédents financiers personnels de 12 millions de clients, et a choisi de ne pas révéler la violation aux consommateurs !

RGPD cas d’école banque – L’une des plus grandes violations de la vie privée des services financiers vient de toucher l’Australie et plus précisément la banque du Commonwealth. Cette dernière a perdu les antécédents financiers personnels de 12 millions de clients, et a choisi de ne pas révéler la violation aux consommateurs ! Des informations courant de 2004 à 2014. Le fautif, un sous-traitant qui a perdu plusieurs lecteurs de bandes contenant les informations financières.

Une « perte » qui a eu lieu en 2016.

Angus Sullivan, responsable des services bancaires de la Commonwealth Bank, a déclaré à BuzzFeed News que sa société « prenait la protection des données des clients très au sérieux et les incidents de ce type ne sont pas acceptables.« 

Les relevés bancaires perdus contiennent des renseignements personnels potentiellement sensibles et peuvent brosser un portrait détaillé des affaires financières et personnelles d’une personne. Ils pourraient être détournés par des pirates ou exploités par des sociétés commerciales qui pourraient utiliser les données à des fins illégitimes ou contraires à l’éthique. Pas de mot de passe et autres code PIN dans les bandes perdues.

BuzzFeed News a appris que la violation s’est produite en 2016, lorsque le sous-traitant de la banque, Fuji Xerox, mettait hors service un centre de stockage de données où certaines données de clients de la Banque Commonwealth étaient stockées. Le 25 mai 2018 en France, il faudra alerter la CNIL, les clients… et en cas de faute avérée, risquer une amende pouvant atteindre 4% de son chiffre d’affaire.

RGPD cas d’école santé

RGPD cas d’école – Une infirmière consulte des données de santé sans autorisation. L’hôpital obligé d’alerter plusieurs centaines de patients.

RGPD cas d’école – L’Office régional de la santé de Winnipeg (canada) indique son obligation d’alerter des centaines de patients après qu’une infirmière ait accédé de façon inappropriée à des renseignements médicaux personnels. L’autorité indique dans un communiqué de presse que l’infirmière, qui avait accès au système d’information du service des urgences, a fouillé de façon inappropriée alors qu’elle travaillait à l’extérieur de service d’urgence de l’hôpital de Grace.

Un cas que pourraient vivre des centaines d’hôpitaux Français à partir du 25 mai 2018. « L’accès à notre système d’information sur les urgences est vital pour les infirmières et les employés du service des urgences afin qu’ils puissent avoir accès à des renseignements sur la prestation des soins à n’importe quel moment de leur quart de travail, déclare l’ORSW. La seule fois où l’information peut être utilisée à l’extérieur du service des urgences, cependant, est pour les transferts de patients – ce qui n’a pas eu lieu dans ce cas. » 1 756 patients sont concernés par cette consultation non autorisée. Le 25 mai 2018 en France, il faudra alerter la CNIL, les patients.

Données personnelles : le RGPD et les collectivité territoriales

Données personnelles : la commission des lois du Sénat reste ferme sur la défense des libertés publiques et des collectivités territoriales et s’inquiète pour l’équilibre de nos institution.

Après l’échec de la commission mixte paritaire et une nouvelle lecture à l’Assemblée nationale, la commission des lois du Sénat s’est réunie pour examiner à son tour, en nouvelle lecture, le projet de loi relatif à la protection des données personnelles qui doit mettre la loi Informatique et libertés en conformité avec un règlement et une directive de l’Union européenne.

Lors de cette discussion, tous les intervenants ont déploré l’attitude du groupe majoritaire de l’Assemblée nationale qui, malgré les efforts des présidents et des rapporteurs des commissions des lois des deux chambres, a refusé tout compromis avec le Sénat. Ils y ont vu un signe préoccupant dans la perspective de la révision constitutionnelle annoncée.

Le président Philippe BAS (Les Républicains – Manche) a exprimé sa surprise qu’aucun terrain d’entente n’ait pu être trouvé entre les deux assemblées sur un texte urgent d’adaptation du droit interne au droit européen, dont les principales orientations sont consensuelles et pour lequel le législateur national ne dispose que d’une marge de manœuvre limitée. « Alors que l’avant-projet de loi constitutionnelle soumis par le Gouvernement au Conseil d’État comporte des dispositions qui affaiblissent le Parlement et portent atteinte à la séparation des pouvoirs, la méconnaissance par la majorité présidentielle du fonctionnement normal du bicamérisme a de quoi inquiéter. »

Sur le fond, le rapporteur Sophie JOISSAINS (Union Centriste – Bouches-du-Rhône) a rappelé que le Sénat, fidèle à son rôle traditionnel de chambre des libertés, s’était attaché en première lecture à rééquilibrer le projet de loi afin de renforcer les garanties pour les droits et libertés des citoyens. Le Sénat a notamment prévu de rétablir l’autorisation préalable des traitements de données pénales et de ne pas étendre inconsidérément leur usage, d’encourager le recours au chiffrement des données personnelles, de maintenir le droit à la portabilité des données non personnelles, de s’assurer que les utilisateurs de terminaux électroniques aient le choix d’y installer des applications respectueuses de la vie privée, et d’encadrer plus strictement l’usage des algorithmes par l’administration pour prendre des décisions individuelles, tout en renforçant les garanties de transparence en la matière, par exemple pour les inscriptions à l’université (« Parcoursup »).

« Comment admettre que les lycéens qui seront sélectionnés par les universités sur la base d’un algorithme ne puissent en connaître les paramètres ? N’y a-t-il pas là une contradiction flagrante avec les promesses de transparence réitérées par le Président de la République lors de son discours du 28 mars au Collège de France ? » s’est interrogée Sophie JOISSAINS.

Le rapporteur a également rappelé que le Sénat avait souhaité prendre en compte les difficultés spécifiques rencontrées par les collectivités territoriales, en prévoyant des mesures adaptées. «  Une collectivité n’est pas une start-up ! » a insisté Sophie JOISSAINS. « Les collectivités territoriales sont soumises à des sujétions tout à fait particulières, qui sont le corollaire de leurs missions de service public et de leurs prérogatives de puissance publique. Si elles mettent en œuvre des traitements de données personnelles, ce n’est pas pour en tirer profit, mais parce qu’elles y sont obligées par la loi ou pour rendre un meilleur service à nos concitoyens ! »

La commission des lois, tout en acceptant en signe de bonne volonté certaines modifications apportées au projet de loi par l’Assemblée nationale, a estimé nécessaire de rester ferme sur les principes défendus en première lecture. Elle a donc rétabli les principales dispositions alors adoptées par le Sénat.

Le projet de loi doit être examiné par le Sénat en séance publique les jeudi 19 et vendredi 20 avril 2018.

Pour un cyberespace plus sûr

Pour un cyberespace plus sûr : Microsoft signe un accord mondial aux côtés d’une trentaine d’entreprises internationales pour une meilleure protection des citoyens

Au cœur de notre société, le cyberespace fait désormais partie de notre quotidien. Protéger de tout risque potentiel la confidentialité et l’intégrité de nos données, les services et objets connectés, l’accès et l’utilisation des réseaux… constitue une priorité, et cela, quel que soit le secteur concerné. C’est en ce sens que 30 des plus importants acteurs de l’IT et de la Sécurité, dont Microsoft, ont signé un Cybersecurity Tech Accord à l’occasion de la conférence RSA qui se déroule actuellement à San Francisco. Cet accord a pour objectif de renforcer la cybersécurité à travers le monde afin de protéger les organisations, entreprises et particuliers contre les attaques malveillantes quelle qu’en soit l’origine. Parmi les signataires de ce texte figurent les principaux acteurs du secteur, qu’ils soient experts en cybersécurité comme Cisco, Symantec, CA Technologies, FireEye, F-Secure, TrendMicro, ou acteurs majeurs des technologies tels que Facebook, HP, Microsoft, Nokia, Oracle ou encore SAP.

Les principaux engagements de cet accord

Assurer la protection de toutes les organisations et de tous les individus

Qu’il s’agisse d’un individu, d’une organisation ou d’un état, les signataires s’engagent à les protéger de la même manière dans le monde entier, et ce, quelles que soient la nature et l’origine de la menace.

Renforcer la sécurité et la protection des utilisateurs et des clients face aux cyberattaques criminelles et gouvernementales

Aucune des entreprises engagées n’apportera son soutien à un état qui souhaiterait lancer une cyberattaque contre un autre état, une entreprise ou un individu. De même, elles lutteront contre le détournement et la falsification de leurs services et solutions à des fins malveillantes.

Proposer aux utilisateurs, clients et développeurs des outils et des solutions fiables

Chacun des signataires s’engage à accroitre la protection des développeurs comme des utilisateurs de leurs services contre toute attaque. Une collaboration active pour le déploiement de nouvelles pratiques et de nouvelles fonctionnalités au profit d’une sécurisation renforcée est également prévue.

Agir conjointement en faveur d’une cybersécurité renforcée

Les signataires s’engagent à collaborer plus étroitement avec l’ensemble des parties prenantes pour coordonner la publication de failles, partager les menaces, lutter contre les codes malveillants introduits dans le cyberespace… tout en améliorant la collaboration sur un plan technique.

Cet accord reste ouvert aux partenaires de confiance qui souhaiteraient s’engager en faveur de ces principes et contribuer à renforcer la sécurité du cyberespace.

La signature de ce Cybersecurity Tech Accord s’inscrit dans le cadre des engagements de Microsoft en matière de cybersécurité prônant une coopération renforcée entre les États et les acteurs privés de l’IT. Cette accord fait également écho aux déclarations de Brad Smith, Président et Directeur juridique de Microsoft, qui appelait les États, en février dernier, à créer une convention de Genève du numérique destinée à inciter les gouvernements à adopter les normes internationales nécessaires à la protection des citoyens dans le cyberespace.

Données personnelles : les députés ignorent les sénateurs !

Protection des données personnelles : Les députés de la majorité veulent passer en force et ignorer les apports du Sénat au prix de reculs pour les libertés publiques et les collectivités territoriales.

Protection des données personnelles – Au lendemain de l’échec de la commission mixte paritaire chargée d’examiner le projet renforçant l’efficacité de l’administration pour une relation de confiance avec le public, la commission mixte paritaire (CMP) qui s’est réunie le vendredi 6 avril 2018, à l’Assemblée nationale, pour examiner le projet de loi relatif à la protection des données personnelles n’est pas parvenue, elle non plus, à un accord. Pour rappel, ce projet de loi vise à mettre la loi Informatique et libertés en conformité avec le règlement général sur la protection des données personnelles, qui entrera en vigueur le 25 mai 2018, et avec la directive sectorielle spécifique aux traitements en matière policière et judiciaire, qui doit être transposée avant le 6 mai 2018.

Pour le président de la commission des lois du Sénat, Philippe Bas (Les Républicains – Manche), « ce résultat décevant est entièrement imputable à l’attitude des députés du groupe majoritaire à l’Assemblée nationale qui étaient fermés d’emblée à tout compromis et ont rejeté en bloc les apports du Sénat en faveur des libertés publiques et des collectivités territoriales ».

Pour renforcer la protection des droits et libertés des citoyens, le Sénat avait notamment prévu d’encadrer beaucoup plus strictement l’usage des algorithmes par l’administration pour prendre des décisions individuelles, et de renforcer les garanties de transparence en la matière, par exemple pour les inscriptions dans l’enseignement supérieur (« Parcoursup »).

« Est-il normal que l’administration puisse aussi bien établir une feuille d’impôt qu’interdire une réunion publique ou expulser un étranger sur le seul fondement d’un algorithme, sans examen individualisé ? Est-il légitime que les lycéens sélectionnés par les universités au moyen de traitements automatisés ne puissent savoir quels paramètres leur ont été appliqués ? » s’est interrogée le rapporteur Sophie Joissains (Union Centriste – Bouches-du-Rhône).

Sur ce point, le président Bas a ajouté : « Pourquoi les étudiants n’auraient-ils pas le droit d’accéder aux informations nécessaires pour comprendre les raisons d’un refus d’inscription dans une université de leur choix ? ». Il a déploré que « le manque de respect pour les apports du Sénat se double d’une certaine incohérence : dans leurs discours, les députés du groupe majoritaire à l’Assemblée nationale et le Président de la République lui-même ne cessent d’appeler à l’encadrement et à la transparence des algorithmes. Dans les faits, ils s’apprêtent à voter la suppression de tous les garde-fous ! »

Le Sénat, fidèle à sa vocation particulière d’assemblée protectrice des libertés

  • rétablir l’autorisation préalable des traitements de données portant sur les infractions, condamnations et mesures de sûreté, et préciser les conditions d’extension de la liste des personnes autorisées à mettre en œuvre ces fichiers ;
  • maintenir à 16 ans, conformément au droit commun européen, l’âge minimal à partir duquel un mineur peut consentir seul au traitement de ses données personnelles;
  • encourager le recours aux technologies de chiffrement des données pour assurer leur sécurité ;
  • conserver le droit général à la portabilité des données, personnelles comme non personnelles, pour permettre de faire véritablement jouer la concurrence entre services en ligne ;
  • s’assurer que les utilisateurs de terminaux électroniques aient le choix d’y installer des applications respectueuses de la vie privée.

Quant aux collectivités territoriales, le président Bas a déploré que « l’État leur impose une nouvelle fois de nouvelles obligations sans leur en donner les moyens, et sous la menace de sanctions très lourdes ! »

« N’oublions pas qu’elles sont responsables de nombreux traitements sur lesquels elles n’ont pas prise, car ils découlent d’obligations légales ou de compétences transférées (fichier d’état civil, fichier des cantines scolaires, fichiers d’aide sociale, listes électorales, fiscalité locale, cadastre…) », a ajouté le rapporteur Sophie Joissains.

Pour mieux accompagner les petites structures, TPE-PME et collectivités territoriales, dans la mise en œuvre de leurs nouvelles obligations, le Sénat avait prévu :

  • dégager de nouveaux moyens financiers, en « fléchant» le produit des amendes et astreintes prononcées par la Commission nationale de l’informatique et des libertés (CNIL) à leur intention, et en créant une dotation communale et intercommunale pour la protection des données personnelles ;
  • faciliter la mutualisation des services numériques entre collectivités ;
  • réduire l’aléa financier pesant sur ces dernières en supprimant la faculté pour la CNIL de leur imposer des amendes administratives et en reportant de deux ans l’entrée en vigueur de l’action de groupe en réparation en matière de données personnelles ;
  • d’encourager la diffusion d’informations et l’édiction de normes de droit souple par la CNIL adaptées aux besoins et aux moyens des collectivités comme des TPE-PME.

Après une nouvelle lecture devant chaque chambre (l’examen est prévu en séance à l’Assemblée nationale le jeudi 12 avril, et au Sénat le jeudi 19 avril), le Gouvernement pourra demander à l’Assemblée nationale de statuer sur ce texte en lecture définitive (« dernier mot »).

La promulgation du texte pourra alors intervenir après, le cas échéant, l’examen des éventuels recours déposés devant le Conseil constitutionnel.

Le Centre pour la Cybersécurité Belge ne voit pas de menaces pirates venues d’Asie

Il y a quelques jours, le CCB, le Centre pour la Cybersécurité en Belgique, Un ANSSI Royal, a présenté les risques cybers visant le pays. Russie et Chine ne sont pas montrés du doigt.

Voilà qui change ! Les pirates informatiques de la Russie et de la Chine ne sont pas montrés du doigt par le Centre pour la Cybersécurité Belge (CCB). Alors que les Américains et le Royaume-Unis, repris en force par la presse mondiale, affichent la Chine et la Russie comme les premiers « gêneurs »  numériques du monde, le CCB affiche un calme olympien face à ces ennemis 2.0. « Il n’y a actuellement aucun danger concret en provenance de Chine » souligne le CCB lors de sa dernière conférence de presse en date. « Il n’existe pas suffisamment de preuves concrètes susceptibles de causer du souci à la Belgique » confirme Miguel De Bruycker, directeur du CCB.

En ce qui concerne la Russie, le directeur du CCB a été des plus clair dans les colonnes de Le Vif :  « Il y a une grande différence entre une attaque d’un groupe de pirates ordinaire et la cybercriminalité organisée à partir d’un pays« .

Le CCB, à l’image de l’Agence Nationale de Sécurité des Systèmes d’Information (ANSSI) va lancer son propre système d’alerte. D’ici la fin 2018, les entreprises dites d’importance vitale (OIV) recevront alertes et avertissements plus « poussés » via le « Early Warning System » Belge.

En 2017, deux tiers des entreprises belges auraient été  victimes de la cybercriminalité selon l’entité royale.

Votre patron peut ouvrir vos fichiers personnels et privés

La cours européenne des droits de l’homme indique qu’un dirigeant d’entreprise peut ouvrir les fichiers personnels de ses salariés, sur un poste professionnel, si les documents ne sont pas identifiés de manière précise comme « privé ».

Vous pensiez qu’un dossier personnel, sur le poste informatique prêté par votre employeur, suffisait à protéger le contenu du document ? Vous pensiez qu’indiquer « données personnelles » permettait de ne pas autoriser la lecture du mail par le patron ? La cours européenne des droits de l’homme confirme, dans un arrêt du 22 février 2018, qu’un « employeur peut consulter les fichiers d’un salarié, en son absence, s’ils ne sont pas identifiés comme étant privés. » Comme l’indique Legalis qui diffuse le rendu du jugement, le salarié avait inscrit dans le dit dossier les mots « données personnelles ». Pas suffisant pour la CEDL. Pour la petite histoire, il s’agit d’une affaire concernant un ancien employé de la SNCF. Son employeur, lors de son absence, avait ouvert ses fichiers, dont un personnel. A l’intérieur : 1 562 images pornographiques et une fausse attestation pour un logement ! Les fichiers en question n’ont pas été dûment identifiés comme « privé » en référence à la charte d’utilisation.

Vous ne fermez pas votre session Facebook ? Les messages deviennent publics

Voilà qui devrait vous faire réfléchir à deux fois quand vous laissez la session de votre compte Facebook ouvert. En cas d’oublie, les messages deviennent publics.

La justice Française vient de trancher. Une salariée d’une entreprise Toulousaine avait laissé la session de son compte Facebook ouvert. Son employeur, durant l’absence de cette dernière, avait eu accès au compte de l’employée via un ordinateur de l’entreprise. La session de la dame n’avait pas été coupée.

Bilan, le patron a pu lire des messages insultants diffusées sur le Facebook de la salariée.

Comme l’indique Legalis, pour sa défense, l’auteure des messages avait invoqué le caractère privé de ses communications.

La cour d’appel de Tooulouse a estimé que « les propos tenus par Mme X. sur son compte Facebook, affichés sur l’écran de l’ordinateur de l’entreprise et visibles de toutes les personnes présentes dans le magasin, avaient perdu leur caractère privé ».

Lurk, le pirate russe derrière Wannacry

Retour sur le ransomware Wannacry. Un pirate Russe a avoué être derrière cette attaque, lui et son groupe Lurk.

Les chantages informatiques pullulent sur la toile. Mission clairement énoncée par les pirates et leurs outils malveillants, gagner un maximum d’argent et un minimum de temps. Il y a quelques semaines, un pirate Russe, fraichement arrêté, a avoué être l’auteur du rançonnage 2.0 du mois de juin 2017.

Konstantin Kozlovsky, le pirate en question, a expliqué, que lui et son groupe, Lurk Team, était l’auteur de Wannacry.

L’information n’étonne pas vraiment. On sait que les pirates Russes sont avides d’argent. L’homme a été arrêté dans la banlieue d’Ekaterinbourg. Kozlovsky avait déjà expliqué au mois d’aôut 2017, être le pirate derrière l’attaque informatique ayant visé le parti politique Démocrate américain. Une cyberattaque pour le compte du FSB, le service de renseignement Russe.

Lors d’une interview à la télévision locale (Dozhd), le pirate a confirmé avoir reconnu des bouts de code d’un autre logiciel pirate créé par son Crew, Lurk. D’ici là que les services de renseignement Russe se sont servis des 0day et autres exploits du groupe Lurk après l’arrestation de Kozlovsky, il n’y a qu’un pas. Le pirate a indiqué que les attaques à l’encontre d’entreprises Russes, telles que Rosneft et GazProm n’étaient rien d’autres… que des tests pour valider le code malveillant.

Kozlovsky rajoute une couche en expliquant que les tests ont été lancées depuis les machines de la société Samolet. « Le virus a été testé sur des ordinateurs de la société Samolet Development. Une société spécialisée dans les logements sociaux, à Moscou ». Dans les « buts » avoués, Lurk avait pour projet de pirater le réseau informatique de Novolipetsk Steel et de tenter d’arrêter ses hauts fourneaux. Voilà qui démontre que personne n’est capable de connaitre un assaillant avant de lui avoir mis la main dessus.

La Corée du Nord n’est pas coupable !

Pour rappel, l’Oncle Sam indiquait par communiqué de presse, en février 2017, avoir les preuves du créateur de Wannacry : la Corée du Nord. Une information qui leur avait été fournie par Kaspersky Lab et Symantec. Les sociétés de sécurité informatique soupçonnaient le groupe Nord Coréen Lazarus d’être derriére le ransomware. « Cette vaste attaque a coûté des milliards et la Corée du Nord en est directement responsable« , écrivait alors le conseiller à la sécurité intérieure de Donald Trump, Tom Bossert. Des propos tenus dans le Wall Street Journal.

Le gang Lurk était connu dans l’écosystème cybercriminel pour avoir développé le kit exploit Angler. Une enquête conjointe menée par la police russe et le laboratoire de Kaspersky avait permis d’identifier les personnes à l’origine du malware Lurk. Les membres de Lurk ont ??été arrêtés par les forces de l’ordre russes à l’été 2016. Selon les autorités, Lurk a pu voler 45 millions de dollars US aux institutions financières locales. A noter qu’un agent du FSB, Dmitri Dokouchaïev, un employé du Centre de Sécurité de l’Information du FSB, serait le donneur d’ordre. Il a depuis été arrêté dans une affaire de haute trahison.

Pendant ce temps, un ancien fonctionnaire du FSB, le lieutenant-général Vladimir Skorik, a intégré la 15e entreprises mondiales de technologie de pointe, SAP CIS. Cette entreprise est spécialisée dans la création de logiciels d’entreprise. le lieutenant-général Vladimir Skorik était le directeur du Centre de Sécurité de l’information du service de renseignement Russe jusqu’en 2009.

100.000€ d’amende pour Darty à la suite d’une fuite de données via un prestataire

Prestataire de services et fuite de données ! La CNIL condamne à 100.000€ d’amende l’enseigne de magasins spécialisés dans la vente d’électroménager, de matériels informatiques et audiovisuels à la suite de la découverte d’une fuite de données clients via un prestataire de services.

Avez-vous pensé à votre prestataire de services ? La Commission Informatique et des Libertés à, ce 8 janvier 2018, délibéré sur une nouvelle affaire de fuites de données révélée par le  protocole d’alerte du blog ZATAZ. Le lanceur d’alerte avait constaté une fuite de données visant les clients de l’entreprise française de magasins spécialisés Darty. Le courriel envoyé aux clients étant passés par le Service Après-Vente « web » de l’enseigne contenait un url qui pouvait être modifié. Il suffisait de changer le numéro de dossier dans l’adresse web proposé dans le courrier pour accèder aux informations des autres clients. « La brèche concernait le système de gestion des messages envoyés par les clients au Service après-vente » explique ZATAZ. Des milliers de messages étaient accessibles. Plus de 900.000 selon le lanceur d’alerte. Heureusement, aucunes données bancaires. Ils étaient accessibles les adresses mails, les numéros de téléphone, les noms, prénoms. De quoi créer des phishings ciblés ! La Commission Informatique et des Libertés condamné DARTY pour « négligence dans le suivi des actions de son sous-traitant, ce qui a permis l’accessibilité de données à caractère personnel variées et directement identifiantes se rapportant à de nombreux clients« . Le Règlement Général sur la Protection des Données, le RGPD, sera officiellement en action dès le 25 mai 2018. Voilà un signal fort sur le fait que les entreprises. Contrôlez aussi vos partenaires.

Jugement de la FTC : Lenovo doit demander l’accord de ses clients pour les espionner

La Federal Trade Commission, la FTC, a donné son accord final à un règlement avec Lenovo Inc. Le constructeur d’ordinateurs avait été accusé de modifier les navigateurs. Des logiciels installés dans ses machines afin d’engranger les bénéficies des publicités qui s’y affichaient.

Dans sa plainte, la Federal Trade Commission ( FTC – Commission fédérale du commerce ) a déclaré qu’à partir d’août 2014, Lenovo a commencé à vendre aux États-Unis des ordinateurs portables grand public équipés d’un logiciel de publicité préinstallé. Appelé VisualDiscovery, cet outil interférait avec la façon dont le navigateur interagissait avec les sites Web. Il affichait de la publicité au profit de Lenovo. A cela s’est ajoutait de graves failles de sécurité. Dans le cadre du règlement avec la FTC, Lenovo à interdiction de modifier les fonctionnalités des logiciels préchargés sur ses ordinateurs portables.

Il est interdit à la marque d’injecter de la publicité dans les sessions de navigation Internet des consommateurs. Ensuite, interdit aussi de transmettre des informations sensibles des consommateurs à des tiers. Si la société préinstallé ce type de logiciel, la FTC exige que l’entreprise obtienne le consentement des consommateurs avant que le logiciel puisse fonctionner sur leurs ordinateurs portables. En outre, la société est tenue de mettre en œuvre un programme complet de sécurité. Sécurisation pour la plupart des logiciels grand public préchargés sur ses portables. Et cela durant les 20 prochaines années ! Enfin, ce programme de sécurité fera également l’objet d’audits par des tiers.

Pour conclure, VisualDiscovery est un adware développé par la société américaine Superfish, Inc. VisualDiscovery diffuse des annonces sous forme de pop-up dès qu’un internaute passait sa souris sur une image d’un produit vendu dans une boutique numérique.

Cadres, le RGPD pourrait vous coûter votre carrière

Le nouveau règlement sur les données privées, le RGPD, pourrait ralentir la carrière des cadres supérieurs dans le monde entier.

Les cadres supérieurs mettent en danger leur avancement de carrière en raison d’un grand manque de connaissances concernant la nouvelle législation sur la confidentialité des données. C’est ce que révèle une nouvelle étude internationale : si les cadres ne contribuent pas à l’hébergement de leurs données par des chasseurs de tête, ils risquent de manquer des opportunités de carrière cruciales et donc les augmentations de salaire typiques lorsque le Règlement général sur la protection des données (RGPD) sera entré en vigueur, en mai 2018.

Les cadres supérieurs risquent de passer à côté d’opportunités de carrière cruciales

L’étude Conséquences inattendues – Pourquoi le RGPD pourrait ralentir la carrière des cadres supérieurs dans le monde entier, a été réalisée par GatedTalent, un outil de mise en conformité avec le RGPD destiné au secteur du recrutement, auprès de plus de 350 cabinets de recrutement autour du monde. Elle montre que les cadres supérieurs sont généralement contactés par des chasseurs de tête au moins une fois par an, 32 % des répondants s’attendant même à être contactés trois à cinq fois par an. Pour que cela puisse être le cas, les cabinets de recrutement doivent pouvoir stocker les données reçues de cadres et dirigeants – mais le RGDP implique que bon nombre de recruteurs vont devoir changer la façon dont ils opèrent actuellement.

C’est le sentiment qu’exprime le Dr Bernd Prasuhn, de l’entreprise de recrutement Ward Howell, interviewé dans le cadre de la recherche : « Les cadres supérieurs qui espèrent atteindre un poste de direction un jour doivent être sur le radar des entreprises de recrutement des cadres, faute de quoi ils n’y parviendront jamais ».

Un manque considérable de connaissances sur le RGPD

Malgré tout, peu de cabinets de recrutement ayant participé à l’étude estiment que les cadres supérieurs sont conscients de la façon dont le RGPD risque d’affecter leur avancement. Jens Friedrich de l’entreprise de recrutement SpenglerFox, qui a été interrogé dans le cadre de l’étude, ne pense pas que les cadres supérieurs, qui comptent sur les chasseurs de tête pour leur proposer un nouveau poste, soient pleinement conscients de la façon dont le RGPD est susceptible d’affecter leurs options professionnelles, surtout quand on sait qu’un cadre supérieur change généralement de travail tous les 3 ou 4 ans. « Je pense que cela dépendra beaucoup des circonstances personnelles, à savoir s’ils travaillent dans un secteur susceptible d’être fortement affecté, par exemple, ou s’ils ont déjà été informés par une entreprise de recrutement. Cela variera vraisemblablement d’un pays à l’autre mais j’ai le sentiment que la prise de conscience sera minimale chez les cadres supérieurs ».

La sécurité des objets connectés dans une motion aux Pays-Bas

Les Pays-Bas viennent d’adopter une motion imposant aux fabricants d’ objets connectés (IoT) des tests de sécurité informatique.

Voilà une loi traitant de la sécurité des objets connectés qui fait tendre l’oreille. Les Pays-Bas viennent de valider une motion qui impose des tests de piratage à l’encontre des objets connectés vendu dans le pays. Bref, l’Internet of Things (IoT) pris au sérieux et d’une maniérè sécuritaire. C’est l’idée du sénateur Maarten Hijink qui demande au gouvernement et aux entreprises d’organiser des « pentests », des tests de sécurité, afin de tester les appareils connectés. Il y a quelques mois, la Chambre des députés avait réclamé au gouvernement d’agir sur ce même thème, la sécurité des objets connectés. Dans cette nouvelle motion, l’état est inviter à des actions proactives, comme le « hack éthique » dont la mission est d’améliorer la sécurité des objets, donc des utilisateurs.

RGPD : un logiciel pour réaliser son analyse d’impact sur la protection des données (PIA)

Pour accompagner les professionnels dans leurs analyses d’impact sur la protection des données dans le cadre du réglement général sur la protection des données (RGPD), la CNIL met à disposition un logiciel PIA. Adopté en mai 2016, le RGPD entre en application le 25 mai 2018 dans tous les Etats membres de l’Union Européenne.

L’analyse d’impact sur la protection des données (Privacy Impact Assessment, PIA ou DPIA) est un outil important pour la responsabilisation des organismes. Cette bonne pratique fortement recommandée, et obligatoire dans certains cas. Construire des traitements de données respectueux de la vie privée. Démontrer leur conformité au règlement général sur la protection des données (RGPD).

Pour les accompagner dans cette démarche, la CNIL met à disposition un logiciel libre PIA. Cet outil ergonomique déroule l’intégralité de la méthode PIA développée par la CNIL dès 2015. L’application de cette méthode permet d’être conforme aux exigences définies dans les lignes directrices du G29. Le groupe des « CNIL européennes » les a adopté en octobre 2017. Des directions qui permettent aux professionnels de se familiariser à la méthode PIA. Bref, être prêt en mai 2018.

L’outil PIA offre plusieurs fonctionnalités pour mener à bien son PIA. Une base de connaissances contextuelle reposant sur le texte du RGDP. Des guides PIA. Un Guide sécurité publiés par la CNIL.

Lors de l’avancée de l’analyse, la base présente les contenus les plus pertinents ; des outils de visualisation permettant de comprendre en un coup d’œil l’état des risques du traitement étudié. Actuellement présenté dans sa « version beta », des améliorations et enrichissements pourront être apportés au logiciel en fonction des retours utilisateurs.

Publié sous licence libre, vous pouvez développer de nouvelles fonctionnalités répondant à vos besoins spécifiques et les partager par la suite avec la communauté. La CNIL proposera une version finalisée en 2018, avant l’entrée en application du règlement.

Assurance : Euler Hermes lance EH Fraud Reflex

La première assurance fraude globale et 100% digitale des petites entreprises.

Face à un risque de fraude croissant et protéiforme, Euler Hermes affirme à nouveau sa volonté d’accompagner les entreprises dans la prévention des risques et la protection de leur trésorerie. Le leader européen de l’assurance fraude lance une nouvelle solution complète et totalement dématérialisée à destination des petites entreprises[1], EH Fraud Reflex.

Entre persistance de la fraude par usurpation d’identité et explosion du nombre de cyber attaques, le risque de fraude se diversifie, s’intensifie, et évolue vers plus de sophistication. D’après l’étude menée en 2017 par Euler Hermes et la DFCG[2], 8 entreprises sur 10 ont été victimes d’au moins une tentative de fraude l’an passé, et 1 entreprise sur 5 a subi au moins une fraude avérée sur la même période.

« Les petites entreprises semblent les plus exposées au risque de fraude, car leur budget alloué à la protection des données et au renforcement des process est limité. De plus, la moindre perte peut s’avérer désastreuse pour leur trésorerie. Selon notre enquête, 10% des sociétés attaquées l’an passé auraient subi une perte supérieure à 100 000 €. Un montant conséquent qui mettrait en danger la viabilité de beaucoup de petites entreprises », analyse Sébastien Hager, Expert fraude chez Euler Hermes France.

Efficacité, simplicité et personnalisation

Afin d’aider les petites entreprises à protéger leur activité, Euler Hermes propose une nouvelle solution d’assurance fraude globale et 100% digitale. EH Fraud Reflex les protège contre la cyberfraude, la fraude externe et la fraude interne, avec une couverture des pertes directes et de certains frais consécutifs (atteinte au système de téléphonie, décryptage du ransomware, restauration et/ou décontamination des données). La couverture, la franchise et la durée sont personnalisées selon le profil de l’entreprise et modulables.

Le parcours de souscription, entièrement dématérialisé, s’effectue sur une plateforme internet dédiée : de la qualification du besoin à la définition des paramètres du contrat, avec une possibilité de signature électronique une fois les options et le tarif sélectionnés, EH Fraud Reflex propose une expérience digitale optimisée, intuitive et rapide. De plus, l’outil allie à la fois prévention et protection : plusieurs questions sont posées à l’entreprise afin de l’aider à identifier ses mesures de prévention face au risque de fraude, et à définir précisément son besoin de couverture.

« Finalement, EH Fraud Reflex pourrait se résumer en trois mots : efficacité, puisqu’elle protège contre tous les types de fraude à moindre coût (à partir de 75€ HT par mois) ; simplicité, puisqu’on peut y souscrire en ligne, en quelques clics et sans audit préalable ; personnalisation, puisqu’elle s’adapte aux besoins de l’entreprise », résume Sébastien Hager.

De nouveaux risques qui nécessitent de nouvelles défenses

Pour Eric Lenoir, Président du Comité Exécutif d’Euler Hermes France, la dématérialisation de l’assurance répond parfaitement à l’évolution des attentes des petites entreprises. « Le progrès technologique permet aux pirates de se réinventer en permanence, d’où l’apparition récurrente de nouveaux risques pesant sur la trésorerie et la rentabilité des petites entreprises. Dans ce contexte, ces dernières recherchent avant tout de la flexibilité, de la simplicité et de l’immédiateté dans les outils qu’elles utilisent pour se défendre. L’assurance 100% digitale réunit l’ensemble de ces critères, et EH Fraud Reflex relève de cette philosophie. La commercialisation de cette nouvelle solution d’assurance fraude est une étape supplémentaire dans notre accélération digitale, et appelle à d’autres innovations dans la façon de protéger les actifs des sociétés. C’est un virage primordial pour accompagner au mieux les petites entreprises dans leur prévention, leur protection et leur développement. »

[1] Entreprises dont le chiffre d’affaires est inférieur à 10 millions d’euros
[2] Enquête menée en avril 2017 auprès de 200 entreprises. Toutes les tailles d’entreprises et tous les secteurs sont représentés

RGPD : choisir entre l’anonymisation ou la pseudonymisation des données personnelles

Anonymisation ou pseudonymisation ? Le Règlement Général sur la Protection des Données (RGPD) entrera en vigueur dans quelques mois, le 25 mai 2018. Avec la digitalisation et l’augmentation accrue du nombre de données, cette nouvelle réglementation européenne demande à toute entreprise manipulant des données personnelles et toute information permettant d’identifier une personne, de mettre en place les moyens techniques adéquats pour assurer la sécurité des données des citoyens européens.

Anonymisation ou pseudonymisation ? Deux grandes techniques très distinctes mises en avant dans la réglementation RGPD / RDPG mais qui sont pourtant souvent confondues dans le monde de la sécurité informatique : l’anonymisation des données et la pseudonymisation des données. Pour être conforme à la RGPD, il est important de pouvoir faire la différence, afin de s’assurer d’être bien préparé et de protéger correctement les données des citoyens.

Data anonymization (anonymisation) ou comment anonymiser l’information

La technique de l’anonymisation des données détruit toute possibilité de pouvoir identifier à quel individu appartiennent les données personnelles. Ce processus consiste à modifier le contenu ou la structure des données en question afin de rendre la « ré-identification » des personnes quasi impossible, même après traitement.

Cette méthode, intéressante au départ, reste pourtant difficile à mettre en œuvre dans la mesure où plus le volume de données croît, plus les risques de ré-identification par recoupement sont importants. En effet, des informations totalement anonymisées peuvent conduire à l’identification d’une personne en fonction du comportement relevé dans les informations, comme les habitudes de navigation sur internet, les historiques d’achats en ligne. Par exemple, si une entreprise garde les données de l’employée Sophie, même en les rendant anonymes (plus de nom, prénom, date de naissance et adresse), l’humain ayant des habitudes, il reste tout de même possible de déterminer un comportement spécifique : L’entreprise saura par exemple que Sophie se rend sur le même site d’information tous les matins, consulte ses mails quatre fois par jours et aime visiblement commander tous les jeudis son déjeuner au restaurant au coin de la rue. Au final, même anonymisées, les habitudes de comportement de Sophie permettent de la ré-identifier.

Or, la CNIL rappelle que « pour qu’une solution d’anonymisation soit efficace, elle doit empêcher toutes les parties d’isoler un individu dans un ensemble de données, de relier entre eux deux enregistrements dans un ensemble de données (ou dans deux ensembles de données séparés) et de déduire des informations de cet ensemble de données. »

Pour de nombreuses entreprises donc, l’anonymisation totale des données personnelles reste difficile à mettre en œuvre. Ces dernières se tournent alors vers une autre technique qui apparait comme un bon compromis : la pseudonymisation.

La pseudonymisation ou l’anonymisation des données

La réglementation RGPD introduit un nouveau concept de protection des données à échelle européenne, la pseudonymisation, un « entre deux » qui ne rend pas les données complètement anonymes ni complètement identifiables non plus. La pseudonymisation consiste à séparer les données de leurs propriétaires respectifs pour que tout lien avec une identité ne soit possible sans une information supplémentaire. En résumé, il s’agit d’une technique d’amélioration de la vie privée où les données d’identification directes sont conservées séparément et en toute sécurité à partir des données traitées, afin de garantir la non-attribution. Ainsi, dans le contexte de la pseudonymisation, les données ne sont pas complètement anonymes sans être identifiables pour autant.

L’unique point faible de la pseudonymisation est qu’elle génère une clé d’identification, une pièce maîtresse qui permet d’établir un lien entre les différentes informations des personnes. Pour assurer la sécurité des données, ces clés d’identification doivent être stockées avec un contrôle d’accès performant. En effet, une clé d’identification mal protégée permet à un attaquant de retrouver les informations originales avant que ces dernières ne soient traitées. L’utilisation du chiffrement des données sensibles fait partie des solutions robustes de protection des informations confidentielles en matière de pseudonymisation. Et il est du devoir de l’entreprise de mettre en place les solutions de sécurité adéquates et raisonnables permettant de limiter les risques de vols de ces précieuses clés par des personnes mal attentionnées.

Les entreprises ont le choix entre les techniques d’anonymisation et de pseudonymisation des données personnelles pour être conformes au RGPD. Leur choix dépendra de leurs besoins mais aussi de la nature des informations collectées. Si l’anonymisation est une technique qui peut être difficile à mettre en place, la pseudonymisation permet de simplifier le processus de protection des données personnelles tout en restant conformes à la nouvelle réglementation européenne. (Jan Smets, pre-sales manager chez Gemaltode)

Le cabinet d’avocats Desmarais en direct dans le Dark Web

Dark Web, deux mots qui font fantasmer… et renvoient souvent aux hackers, crackers et autres pirates informatiques. Un espace qui pourtant n’est pas à négliger. Le cabinet d’avocats Desmarais vient d’y implanter un espace numérique.

Ce Dark Web, appelé officiellement « Internet Clandestin » par la Commission d’Enrichissement de la Langue Française n’est pas une zone de non droit pour Pierre Desmarais du Cabinet Desmarais Avocats. « Le Dark Web est d’abord et avant tout un espace chiffré permettant des échanges et des connexions sécurisées et plus anonymes. Comme sur tout espace public, le droit y a pleinement sa place ».

De l’autre côté du miroir

En amont de l’ouverture du Hackfest de Québec et à l’occasion du lancement de son nouveau site Internet (www.desmarais-avocats.fr), le Cabinet, spécialisé notamment en droit de l’innovation, des données et du numérique, a décidé de se présenter également sur TOR (The Onion Router) via l’adresse pxpalw3plncz4umm.onion (Uniquement via TOR).

« Aujourd’hui, c’est une simple transposition de note site classique. Demain, nous irons plus loin. En effet, les utilisateurs du Dark Web, de TOR, se posent de nombreuses questions sur l’usage crypté / anonymisé permis pour cet espace. C’est pourquoi nous allons rapidement leurs proposer une FAQ sur les points principaux » précise Mr Pierre Desmarais.

De plus, et pour aller encore plus loin, le cabinet Desmarais Avocats envisage déjà de réaliser des webinars dédiés sur TOR. Pour construire ceux-ci et préparer la FAQ, chaque internaute présent sur le Dark Web et s’interrogeant sur une question juridique liée à son usage est invité à transmettre celle-ci via le formulaire de contact présent sur le site.

Dark Web, un nouvel espace de sécurité pour les usagers et les entreprises

À l’heure où la sécurisation des données, leur anonymisation sont au centre de tous les débats, aussi bien dans le monde de la santé, du e-commerce, de la banque-assurance ou de l’information, le Dark Web est de plus en plus porteur de solutions.

OpenBazzar est un exemple révélateur de cette évolution, de ces nouveaux usages issus du Dark Web. Non seulement cette plateforme de e-commerce permet de limiter le prix de biens vendus (absence de commission, chaque utilisateur ou entreprise étant sa propre plateforme de e-commerce) mais elle permet également de rester maître de ses données personnelles, de ses habitudes d’achat qui ne sont transmises à personne.

« Les technologies blockchain, dont on parle de plus en plus et dont les usages commencent à émerger pour sécuriser des transactions financières, des échanges de données…, sont nées du Dark Web » indique Mr Pierre Desmarais avant de poursuivre « Il est nécessaire de s’immerger dans cet espace si l’on souhaite accompagner au mieux les usages. Cela fait partie de l’ADN du cabinet ».

Les entreprises françaises trop sûres d’elles face au RGPD

Règlement européen sur la protection des données (RGPD) : Les entreprises françaises seraient-elles trop confiantes vis à vis de leur conformité réglementaire ?

A moins de 8 mois de l’entrée en vigueur du RGPD, le Règlement Général sur la Protection des Données  le 25 mai 2018, Trend Micro a souhaité vérifier si les entreprises étaient bien préparées. Pour ce faire, l’éditeur a conduit une étude internationale auprès de 1 000 cadres dirigeants à travers une dizaine de pays, dont la France.

Les entreprises françaises : vraiment prêtes ?

98 % des entreprises françaises savent qu’elles doivent se conformer au RGPD et 92 % des cadres dirigeants affirment avoir déjà pris connaissance des dispositions légales s’y rapportant, conscients de l’importance de la règlementation. De même, la moitié d’entre eux connait le montant des pénalités financières en cas de non-conformité, démontrant une certaine avance en comparaison d’autres pays tels que le Royaume-Unis où seuls 27 % des dirigeants sont conscients que leur entreprise encourt une amende équivalente à 4 % du chiffre d’affaires.

Cependant, les entreprises ne semblent ni aussi préparées ni aussi protégées qu’elles le prétendent. En effet, une certaine confusion demeure quant à la nature exacte des données personnelles à protéger. L’étude démontre par exemple que les cadres dirigeants français sont encore nombreux à ignorer que sont considérées comme des données personnelles : la date de naissance d’un client (67 %), les bases de données marketing contenant des mails (33 %), les adresses postales (27 %) ou encore les adresses électroniques (21 %).

La bonne compréhension des principes généraux du RGPD s’accompagne donc d’un certain excès de confiance puisque près de 8 entreprises françaises sur 10 (79 %) affirme pourtant que leurs données sont totalement sécurisées (89 % aux États-Unis). Une majorité d’entre elles (33 %) estime d’ailleurs n’avoir besoin que de 7 à 12 mois pour se mettre en conformité.

Mise en conformité : quelles étapes, quels obstacles ?

Les étapes considérées comme prioritaires par les entreprises françaises pour se conformer à la règlementation sont l’augmentation de la police d’assurance en cas de faille (60 %) et l’embauche d’une tierce personne en charge de la conformité (58 %). Sur ce sujet, on constate une divergence entre les pays : en Allemagne (64 %), aux Etats-Unis (63 %) et au Royaume-Uni (58 %), investir davantage pour sécuriser le SI reste en effet la première priorité.

Trend Micro s’est également attaché à mettre en lumière les principaux freins liés à la mise en conformité. Ainsi parmi les personnes sondées, le manque de processus clairs et d’informations liées à l’appartenance des données (34 %) et les ressources financières nécessaires (32 %) sont perçus comme les principaux obstacles.

Les entreprises françaises : suffisamment transparentes vis-à-vis de leurs clients ?

Selon l’étude, 97 % des entreprises françaises déclarent avoir d’ores et déjà mis en place un processus permettant de prévenir les autorités en charge de l’application du RGPD dans les 72 heures suivant la détection d’une faille de données. Cependant, 27 % admettent ne pas prévenir leurs clients suite à une fuite de données… un point sur lequel d’autres pays font preuve de davantage de transparence, puisque 13% des organisations américaines et 14% des entreprises anglaises déclarent ne pas avertir leurs clients. En France, ce manque de rigueur est largement décrié par les clients qui, à 81 %, demandent plus de transparence sur la protection et l’utilisation de leurs données.

Quant aux conséquences, 43 % des cadres dirigeants estiment qu’une faille de données survenant après l’entrée en vigueur du RGPD aurait un impact négatif sur la fidélité de leurs clients, tandis que 30 % d’entre eux considèrent que l’impact serait davantage d’ordre financier.

L’appartenance des données est quant à elle une question encore relativement floue pour les entreprises françaises. En effet, en cas de fuite de données européennes détenues par un prestataire de services américain, 57 % pensent que la responsabilité revient au propriétaire des données en Europe et 25 % au prestataire de services basé aux Etats-Unis. La tendance varie aux Etats-Unis, 43 % des sondés considérant que la faute incombe au prestataire de services et 42 % au propriétaire des données.

Mise en place du RGPD : mais qui est responsable au sein de l’entreprise ?

En France, 46 % des personnes interrogées tiennent le RSSI pour responsable de la mise en conformité, tandis que cette tâche revient à l’ensemble de l’entreprise aux yeux des entreprises allemandes (40%), anglaises (37 %) et américaines (38 %). « Si cette étude illustre bien la prise de conscience et le chemin parcouru, elle confirme cependant que le processus de mise en conformité ne doit pas être pris à la légère », commente Loïc Guézo, Stratégiste CyberSécurité Europe du Sud, Trend Micro. « En effet, les entreprises se doivent de mettre en place des solutions de protection des données efficaces pour éviter d’exposer leur réputation et ne pas mettre en péril la relation de confiance construite avec leurs clients ».

RGPD : étude sur la préparation et la mise en conformité

A moins de 8 mois de l’entrée en vigueur du Règlement Général sur le Protection des Données (RGPD), F-Secure dévoile les chiffres français de son étude, réalisée avec le panel Toluna, consacrée au niveau de maturité des entreprises européennes, tous secteurs confondus.

L’étude révèle le manque de sensibilisation des professionnels interrogés aux nouvelles exigences qui vont leur être imposées ou encore aux moyens de s’y préparer, puisque seulement 37 % d’entre eux se sentent totalement familiers avec le RGPD et les implications pour l’organisation. Malgré tout, 88,9 % ont confiance sur le fait que leur entreprise soit préparée à la mise en conformité, et 44,7 % estiment être parfaitement conformes à ce jour. Un grand nombre de professionnels se sent donc prêt sans pour autant maîtriser l’ensemble du règlement. Le principal frein étant selon eux le manque de personnel qualifié (21,7%), disposant des compétences clés. Viennent ensuite le manque de budget (20,3%) et le manque de compréhension face aux enjeux et à l’urgence de la situation (14,3 %).
[EtudeRGPD4.PNG]

Le règlement conforte le rôle du Data Protection Officer (DPO), anciennement appelé Correspondant Informatiques et Liberté (CIL), obligatoire pour les organismes publiques et les organismes privés collectant des données dites sensibles ou personnelles à grande échelle. Son rôle sera de veiller au respect de la nouvelle réglementation européenne. Plus de la moitié des entreprises (53,8 % des répondants) identifient un DPO dans leur organisation, ce qui confirme la prise de conscience du sujet.

Sur la question de la responsabilité, le DSI est au centre du jeu : 45,7 % des professionnels interrogés estiment que la mise en conformité doit être assurée par le département IT/Sécurité et ils sont 69,7% à le considérer comme responsable en cas de fuite de données ou d’attaque. Concernant la participation, le département juridique n’est directement concerné que pour 30%, tout comme le département RH (30,3%). La direction générale est quant à elle considérée comme participant à la mise en conformité pour 23,3% des personnes interrogées.

L’étude nous révèle un fait étonnant : alors que les services marketing vont devoir mettre à jour les politiques de confidentialité de leurs sites internet, s’assurer de la bonne gestion du consentement utilisateur mais aussi interroger leurs prestataires de services (marketing automatisé, gestion de la relation client), ils ne sont pas perçus comme des participants impliqués dans la mise en conformité (8%).

Le RGPD implique une vigilance accrue au niveau des cyber attaques et la mise en place d’un plan d’action. L’étude révèle à ce sujet un retour plutôt optimiste de la part des professionnels concernant la capacité de réaction et de réponse des organisations face à ce type d’incident, puisque 78,9 % sont convaincus que leur organisation est capable de détecter une intrusion, et 69,7 % pensent que cette dernière dispose d’un plan de réponse fonctionnel en cas d’intrusion. 46,6% pensent que leur organisation a détecté entre 1 et 5 attaques les 12 derniers mois, un chiffre à mettre en relation au 26,3 % qui pensent n’avoir jamais subi d’attaques.

Le fait est que peu d’organisations ont mis en place des services ou solutions adaptés pour prévenir les fuites de données et répondre en cas d’incidents. Un constat que l’on retrouve à travers l’étude puisque seulement 18,1 % des profils interrogés ont mis en place un outil de gestion des évènements et des informations de sécurité (SIEM), 20,1 % un outil de gestion des vulnérabilités, 22,1 % un outil de gestion des correctifs, et près de 28% un service de réponse à incident.

« Avec la médiatisation d’attaques de grande ampleur telles que WannaCry et le RGPD, dont la date de mise en application se rapproche à grand pas, 2017 marque l’année de la prise de conscience pour les entreprises.», déclare Olivier Quiniou, Head of Corporate Sales, France, UK, Irlande et BeNeLux chez F-Secure. « Qu’il s’agisse d’attaques ciblées ou de masse, ce sont toutes les entreprises et organisations qui sont aujourd’hui concernées. La différence se situe dans la prise de conscience de ces dernières : il y a celles qui savent qu’elles ont été attaquées et celles qui ne le savent pas. C’est le constat dressé par notre étude européenne. 2018 doit être pour les entreprises l’année de l’action ».

RGPD : Comment les entreprises réagissent face au cadre réglementaire lié à la protection des données ?

A la lumière des récentes attaques et de l’évolution du paysage réglementaire en matière de protection des données, McAfee publie un nouveau rapport intitulé : ‘Do you know where your data is? Beyond GDPR : Data residency insights from around the world’ qui met en évidence l’approche des entreprises en matière de localisation, de gestion et de protection desdites données.

Comment les entreprises appréhendent-elles, au niveau mondial, la dizaine de réglementations (11) relatives à la sécurité des données, dont fait partie le Règlement Général sur la Protection des Données (RGPD) de l’Union Européenne ? A compter du 25 mai 2018, ce texte renforcera et simplifiera les lois protégeant les données personnelles pour plus de 500 millions d’Européens.

« Aujourd’hui, les entreprises ont pris conscience que des réglementations plus strictes envers la protection des données profitent aussi bien à leurs résultats qu’aux consommateurs. Cependant, plusieurs ont des obstacles à surmonter à court terme pour se conformer à aux prochaines législations en vigueur. C’est notamment le cas pour la réduction du temps nécessaire au signalement d’un vol de données induit par le RGPD, par exemple« , commente Raj Samani, Chief Scientist – McAfee.

Les principaux enseignements du rapport ‘Do you know where your data is? Beyond GDPR : Data residency insights from around the world’ de McAfee portent sur :

La délocalisation du lieu de stockage des données. Près de la moitié (48 %) des entreprises migreront leurs données vers un nouvel emplacement en raison d’un cadre législatif jugé plus contraignant. Pour 70 % des décideurs interrogés, l’implémentation du RGPD permettra à l’Europe de s’affirmer comme un leader en termes de protection des données. Les États-Unis restent toutefois la destination de stockage de données la plus populaire au monde, plébiscitée par près de la moitié des répondants.

En comparaison, la plupart des entreprises sont incertaines de l’endroit où leurs données sont stockées. Seules 47% connaissent, en temps réel, leur emplacement.

Le potentiel commercial offert par la confidentialité. Trois-quarts des décideurs (74 %) estiment que les entreprises qui appliqueront à la lettre ces lois/règlements attireront davantage de nouveaux clients.

Les règlements et les mesures sont un frein à l’acquisition et à l’investissement technologiques. Environ deux tiers des répondants disent que le RGPD (66 %), les politiques américaines (63 %) et le Brexit (63 %) ont déjà ou auront une incidence sur les investissements de leur entreprise en matière d’acquisition technologique. La moitié (51 %) est convaincue que leur société est freinée dans sa modernisation en raison des réglementations externes inhérentes à la protection des données.

L’opinion publique est essentielle à la prise de décision en matière de données. Une grande majorité des entreprises (83 %) prend en compte le sentiment public en matière de confidentialité de la donnée avant de choisir leur emplacement de stockage.

Les entreprises mettent en moyenne 11 jours à signaler une faille de sécurité (vol de données, intrusion, etc.).

Les fournisseurs de services Cloud inspirent confiance. Huit sociétés sur dix prévoient, au moins en partie, de s’appuyer sur leur fournisseur de services Cloud pour les accompagner dans leur mise en conformité en matière de protection des données.

Seulement 2 % des managers comprennent véritablement les lois qui s’appliquent à leur entreprise, bien que la majorité des répondants (54 %) est persuadée que leur Direction a une « compréhension complète » des règles inhérentes à la protection des données.

Le rapport révèle, dans son ensemble, des convictions opposées quant aux réglementations relatives à la protection des données. D’un côté, les événements mondiaux (cyber et généraux) et le renforcement des politiques de protection des données font réfléchir les décideurs au moment d’investir technologiquement. De l’autre, la plupart des entreprises cherchent à stocker ces mêmes données dans les pays ayant les politiques de protection les plus strictes. « De toute évidence, les lois en matière de conformité, aussi contraignantes soient-elles, sont bénéfiques, tant pour les clients que pour la rentabilité d’une entreprise. A l’avenir, une sensibilisation et une compréhension accrues des données devraient conduire à une meilleure utilisation et à une meilleure protection », ajoute Fabien Rech, Directeur Régional McAfee France.

Les RSSI craignent les failles de sécurité dans le cloud public

Selon une récente étude, les RSSI craignent les failles de sécurité dans le cloud public, mais seule une entreprise sur six chiffre toutes ses données.

Selon une récente étude publiée par la société Bitdefender, neuf professionnels de l’informatique sur dix se disent inquiets de la sécurité dans le cloud public, et près de 20 % d’entre eux n’ont pas déployé de système de sécurité pour les données sensibles stockées hors de l’infrastructure de l’entreprise. La moitié des personnes interrogées admet que la migration vers le cloud a significativement élargi le nombre de points qu’ils ont à défendre, tandis que seule une sur six chiffre les données déjà migrées. Cette enquête a été menée auprès de 1 051 professionnels en informatique de grandes entreprises comptant plus de 1 000 PC et des datacenters ; aux États-Unis, au Royaume-Uni, en France, en Italie, en Suède, au Danemark et en Allemagne.

Parmi les nouvelles exigences, l’obligation de protéger correctement les données, et en cas de violation, l’obligation pour les entreprises d’avoir en place des systèmes de notification conformes aux critères de la RGPD. L’adoption grandissante du cloud hybride – un mélange de services de cloud public et de datacenters privés, déjà en place dans 70 % des entreprises dans le monde – donne naissance à de nouveaux défis en matière de sécurité et oblige les RSSI à adopter diverses technologies pour contrer les exploits de type Zero-day, les menaces persistantes avancées et autres types de cybercrimes dévastateurs.

Qui dit cloud hybride dit problèmes hybrides
Près de 81 % des RSSI estiment que les logiciels de sécurité sont le dispositif de sécurité le plus efficace pour protéger les données stockées dans le cloud public, suivi de près par le chiffrement (mentionné par 77 % des répondants) et les sauvegardes (jugées fiables par près de la moitié des personnes interrogées).

Selon cette enquête, un grand nombre d’entreprises françaises – quatre sur dix – protègent de 31 à 60 % des données stockées dans le cloud public, tandis que seules 17 % d’entre elles chiffrent l’intégralité de celles-ci. Autre sujet d’inquiétude : 19 % des RSSI ne déploient pas de sécurité dans le cloud public, et le même pourcentage ne chiffre pas les données en transit entre leur propre datacenter et les datacenters externes.

Les spécialistes en cybersécurité de Bitdefender recommandent que tous les transferts de données entre le client et le prestataire de services cloud soient chiffrés pour éviter les attaques de type man-in-the-middle susceptibles d’intercepter et de déchiffrer toutes les données transmises. En outre, toutes les données stockées en local ou dans le cloud doivent être chiffrées pour empêcher les cybercriminels de les lire en cas de violation de données ou d’accès non autorisé.

Pour se conformer à la RGPD, les entreprises doivent identifier les données qui relèvent du règlement – « toute information se rapportant à une personne physique identifiée ou identifiable » –, consigner la manière dont ces données sont protégées et définir des plans d’intervention en cas d’incident.

L’enquête montre également que 73 % des responsables informatiques utilisent une solution de sécurité pour endpoint afin de protéger les infrastructures physiques et virtuelles, mais que 24 % ont mis en place d’autres outils. Parmi ceux-ci, 77 % l’ont fait pour protéger des clients sensibles et des données de clients, 70 % citent la conformité aux exigences internes et réglementaires, et 45 % veulent empêcher les interruptions de service suite à une attaque.

Une sécurité sur mesure face aux cyberarmes les plus élaborées
Les spécialistes Bitdefender conseillent fortement aux RSSI d’utiliser une infrastructure de sécurité centralisée, à la fois pour les environnements physiques et virtuels, mais étant capable de s’adapter à l’environnement sur lequel elle est déployée, et ce pour éviter trois inconvénients majeurs :

– L’augmentation des coûts généraux : l’installation d’une solution pour endpoint sur plusieurs machines virtuelles hébergées sur le même serveur impacte les ressources en exécutant en permanence des applications redondantes telles que les agents de sécurité.

– La réduction significative des performances : celle-ci sera inévitable si des outils de sécurité pour environnements virtualisés ne sont pas déployés. En effet ceux-ci utilisent des agents optimisés intégrés à des appliances virtuelles de sécurité sur le ou les serveurs, pour que les fichiers déjà analysés ne soient pas réanalysés à chaque fois qu’un utilisateur en a besoin.

– L’absence de protection lors du démarrage : les environnements virtuels ont souvent à faire face à des cyberarmes plus sophistiquées que celles observées pour les environnements physiques, telles que les menaces persistantes avancées ou les attaques ciblées, qui visent aussi bien les entreprises que les entités gouvernementales (exemple APT-28, et plus récemment Netrepser). En la matière, une sécurité adaptée aux environnements virtuels est de loin la solution la plus efficace pour détecter et combattre ces menaces complexes.

Ce qui est stocké dans le cloud public ne doit pas être rendu public

Les entreprises françaises sauvegardent principalement dans le cloud public des informations relatives à leurs produits (52 %), à leurs clients (44 %) et à leurs finances (45 %) et évitent de sauvegarder hors site ce qu’elles considèrent comme des données plus sensibles, telles que les recherches sur de nouveaux produits ou la concurrence (respectivement 40 % et 32 %) ou ce qui touche à la propriété intellectuelle (17 %). Elles chiffrent donc plus souvent des informations et caractéristiques de produits (36 %), des informations sur leurs clients (29 %), des informations financières (35 %) que leurs sauvegardes (17 %), leurs recherches sur la concurrence (17 %) et les informations relatives à la propriété intellectuelle (12 %).

« Le risque de ne pas être conforme à la RGPD implique non seulement une mauvaise publicité et une atteinte à la réputation des entreprises, comme c’est déjà le cas, mais également des pénalités qui peuvent atteindre 4 % du chiffre d’affaires annuel d’une entreprise », explique Bogdan Botezatu, Analyste senior des e-menaces chez Bitdefender. « 2017 ayant déjà établi de nouveaux records en termes de magnitude des cyberattaques, les comités de direction doivent réaliser que leur entreprise connaitra sans doute, sous peu, une violation de données, car la plupart d’entre elles ne sont pas correctement protégées. »

Lors de la sélection d’une solution de cloud hybride, les spécialistes Bitdefender recommandent aux entreprises d’analyser le type de données qu’elles traitent et d’en évaluer le caractère sensible – aussi bien pour l’entreprise que pour ses clients. Les données critiques, personnelles et privées touchant à la propriété intellectuelle doivent être enregistrées sur site, et n’être accessibles qu’au personnel autorisé.

Les entreprises qui traitent des données sensibles ou confidentielles, ou des données relatives à la propriété intellectuelle, doivent veiller à ce que leur infrastructure de cloud privé reste privée. Aucune personne hors du réseau local ne devrait être en mesure d’accéder à ces données et seul le personnel autorisé doit avoir les accès nécessaires pour les traiter. Le cloud privé doit être complètement isolé de l’Internet public pour empêcher les pirates d’accéder à distance, aux données via des vulnérabilités.

En ce qui concerne les défis à relever, 32 % des RSSI français considèrent le cloud public comme leur principale priorité, un pourcentage quasiment identique au pourcentage de RSSI préoccupés par le cloud privé (34 %). 16% déclarent accorder une même importance aux deux, et 15 % estiment que le cloud hybride est leur principale source d’inquiétude.

La moitié des entreprises interrogées considère le manque de prédictibilité, le manque de visibilité sur les menaces, ainsi que le manque de plateformes de sécurité multi-environnements, comme étant les principaux défis de sécurité en ce qui concerne l’adoption du cloud.