Archives de catégorie : RGPD

Atteintes à la vie privée

Atteintes à la vie privée : Les consommateurs français craignent un recul de leurs libertés individuelles.

Une étude publiée par The Economist Intelligence Unit (EIU) avec ForgeRock révèle les nombreux risques liés à la collecte et au partage des données personnelles, tels qu’ils sont perçus par les consommateurs du monde entier. Ces derniers demandent plus de transparence et de contrôle, ainsi que des engagements des autorités publiques et des industriels pour protéger leur vie privée.

What the Internet of Things means for consumer privacy (L’Internet des Objets et son impact sur la vie privée des consommateurs) est une étude menée par l’EIU avec Forgerock. Elle sonde les préoccupations et priorités des consommateurs mondiaux vis-à-vis de l’Internet des Objets (IoT). Elle est basée sur un sondage mené auprès de 1 629 personnes dans huit pays (Allemagne, Australie, Chine, Corée du Sud, États-Unis, France, Japon et Royaume-Uni). Les données utilisées ici sont les chiffres français, alignés sur les tendances observées dans les autres pays. (1)

Dans leur majorité, les consommateurs interrogés font part de nombreuses inquiétudes liées à la collecte et à la transmission de leurs données personnelles. Profilage comportemental, vol et usurpation d’identité, etc. : 73% des sondés s’inquiètent de voir ces petites intrusions dans leur vie privée affecter leurs libertés individuelles. 92% déclarent vouloir un contrôle sur les informations transmises dans les collectes automatiques des données, et ils sont 83% à vouloir être informés dans les points de ventes sur les capacités de collecte de l’objet connecté.

L’importance des actions suivantes en matière de protection des données personnelles transmises automatiquement par les objets connectés :
– Permettre aux utilisateurs de contrôler quelles informations sont collectées : 92%
– Informer les utilisateurs lors de la collecte : 90%
– Informer les utilisateurs des mises-à-jour de sécurité : 87%
– Informer les utilisateurs sur les capacités de collecte de l’objet connecté dans les points de vente : 83%

Malgré les efforts menés par les entreprises pour se conformer aux réglementations à venir, les consommateurs souhaitent que les droits relatifs aux données soient inclus dans le Règlement Général de Protection des Données de l’Union Européenne, qui entrera en vigueur en mai 2018. Ils sont 68% à considérer le droit d’effacer leurs données ( le « droit à l’oubli » ) comme prioritaire. Sur cette question, les français se montrent significativement plus sensibles que la moyenne de l’étude qui est de 57%. (2)

Les résultats de l’étude – complétés d’entretiens avec des experts – proposent des stratégies pour aider les entreprises à renforcer la confiance des consommateurs. Parmi celles-ci : la collaboration avec les autorités publiques, et des engagements fermes de la part des industriels pour protéger la vie privée de leurs clients.

Un contrôle rigoureux par les autorités de l’application des standards est essentiel : 89% des sondés demandent des sanctions accrues pour les entreprises qui violeraient les normes de confidentialité.

Ben Goodman, Vice-Président de ForgeRock en charge de la stratégie globale et de l’innovation : « Les consommateurs sont de plus en plus conscients des conséquences de leurs interactions numériques quotidiennes. Les entreprises doivent donc prendre à bras le corps ce sujet si elles veulent conserver la confiance des consommateurs. Cela fait des années que nous bénéficions tous gratuitement des services des plateformes sociales en échange de nos informations personnelles. À la lumière des récentes révélations concernant les politiques de traitement des données de Facebook, il est temps de reconsidérer ce qui relève du piratage et les comportements qui devraient être assimilés comme tels afin de mettre en place les mesures de protection appropriées. Doit-on par exemple considérer comme étant du piratage toute situation où une entreprise utilise la data de ses clients d’une manière inattendue ? Quel est le niveau acceptable de divulgation d’informations personnelles par un individu ? Toutes ces questions doivent faire l’objet d’un débat, d’autant plus que les technologies de l’IoT continuent de remodeler la vie quotidienne à la maison, au travail et les façons dont nous nous déplaçons« .

Nick Caley, Vice-Président de ForgeRock en charge des industries financières et de régulation : « 9 français sur 10 réclament des sanctions accrues pour les entreprises qui violent la vie privée des consommateurs. C’est un signal fort pour toute organisation qui traite et utilise les données de ses clients, et plus particulièrement les sociétés de services financiers. Au fur et à mesure que les entreprises adaptent leurs infrastructures et leurs pratiques pour se conformer à l’Open Banking, à la directive PSD2 ou au RGPD, ils doivent garder à l’esprit que les régulateurs ont fait du consentement la clé de voute de chacune de ces lois. Et à juste titre, l’étude montre clairement que les consommateurs attendent des organisations qu’elles sollicitent et obtiennent le consentement des individus avant de recueillir leurs données personnelles. »

Veronica Lara, rédacteur en chef de l’étude : « Les consommateurs sont inquiets à juste titre, car l’omniprésence de capteurs interconnectés via l’Internet des Objets génère des nouvelles couches de risques qui sont difficiles à appréhender. Le manque de transparence et l’impossibilité pour les consommateurs de contrôler leurs données exacerbent la perception des menaces pesant sur leur vie privée et leur sécurité. Les choses semblent évoluer, cependant, à mesure qu’ils exigent des garanties plus fortes et que le RGPD étend son influence au-delà des frontière de l’UE. »

Domotique : objets connectés sont-ils dangereux ? Test !

Les objets connectés et la domotique sont devenus omniprésents dans notre quotidien, au travail comme à la maison : téléphones, ampoules, enceintes, montres, caméras, voitures, etc. Pourtant, nous devrions nous préoccuper des informations que nous transmettons (mode de vie, habitudes, localisation, photos et vidéos, etc.) et les risques d’un tel partage. À cet effet, ESET reconstitue une maison connectée lors du Mobile World Congress, où différents appareils sont testés afin de mettre en évidence les vulnérabilités liées à ces objets qui nous entourent. Partage de données, virus, informations collectées… Que risque-t-on vraiment en partageant avec ces objets des informations nous concernant ? Nos experts ont testé 12 produits que nous retrouvons habituellement dans une maison connectée.

L’un de ces objets de domotique qui n’a pas été listé ici présentait de nombreuses vulnérabilités importantes. Nous avons averti le fabricant pour qu’il puisse y remédier. Cet appareil est une centrale de commande domotique qui peut gérer les détecteurs de mouvement, les commandes de chauffage, les moteurs de volets roulants, les capteurs d’environnements et les prises intelligentes.

Voici les principales vulnérabilités de cet appareil :

  • Le processus de connexion au réseau local n’est pas entièrement protégé par un système d’authentification. L’option par défaut autorise la connexion automatique, qui contourne le renseignement d’informations d’identification standard telles que l’identifiant et le mot de passe. Le fabricant mentionne ce problème dans une alerte de sécurité et recommande de désactiver cette option par défaut.
  • Comme avec presque tous les systèmes de maison connectée, un service Cloud permet de gérer les appareils connectés depuis un endroit X. Les communications vers le service cloud ne sont pas chiffrées.
  • Le service Cloud des fournisseurs a la possibilité d’établir une connexion VPN (Virtual Private Network – à distance) avec les périphériques distants. Une fois ce tunnel établi, il pourrait être possible de modifier la configuration du réseau distant. Cela pourrait entraîner l’accès au réseau local des utilisateurs sans leur consentement.
  • L’accès au service Cloud nécessite un enregistrement. Si les détails concernant l’utilisateur sont compromis, l’accès VPN au réseau distant peut présenter un risque considérable.

Les autres appareils que nous avons testés et détaillés dans ce rapport permettent de mettre en évidence certaines vulnérabilités qui doivent être prises en compte au moment de l’achat de l’appareil. Par exemple, les caméras D-Link et la connexion TP-Link présentent des problèmes de sécurité. La principale préoccupation de ces caméras est l’absence de chiffrement du flux vidéo, accessible depuis un système d’authentification faible.

La confidentialité de la domotique, un sujet qui nous concerne tous

La radio Internet Soundmaster, qui ne dispose pas entre autres de politique de confidentialité, a alerté nos chercheurs. Les préoccupations les plus importantes concernent les assistants intelligents à commande vocale – en l’occurrence Alexa. Il s’agit d’un service qui sert de conduit à tous les autres appareils et qui stocke ensuite les interactions avec eux. Ni la réputation de l’appareil ni les services d’Amazon ne sont en cause, mais un pirate intelligent qui tente de recueillir des données personnelles pour le vol d’identité pourrait créer une attaque par spear-phishing pour accéder au compte Amazon des victimes.

AMAZON ECHO

Les interactions que vous aurez avec cet appareil permettront d’informer Amazon des produits que vous souhaitez acheter, de ce que vous écoutez, des autres produits connectés que vous avez et ainsi de suite. Cette collecte de données permet de créer un profil qui contient potentiellement des détails très précis sur votre style de vie – le rêve d’un marketeur, et aussi celui d’un cybercriminel. Avec les violations de données fréquentes, tout assistant numérique activé par la voix doit nous préoccuper. Si, par exemple, quelqu’un accède à votre identifiant et votre mot de passe Amazon, il a la possibilité d’écouter vos interactions avec Alexa. Le stockage d’informations stockées constitue un problème de confidentialité.

D-LINK

Les mises à jour de micrologiciels sont au format http et non https (le -s- indique que le protocole est sécurisé), ce qui signifie qu’un pirate pourrait injecter des virus lors d’une mise à jour, car le flux de données n’est pas chiffré. Les caméras incluses dans notre test de maison connectée présentent des faiblesses. La caméra est contrôlée depuis l’application mydlink, qui est chiffrée. Mais si le flux vidéo lui-même est mal protégé, les problèmes de sécurité et de confidentialité se concentrent autour du contenu « capturé ».

NETAMTO

Si vous décidez de partager les données de votre appareil, sachez que votre emplacement est identifié. Jetez un œil ici. Vous comprendrez comment, en sélectionnant l’un des appareils. L’adresse de rue d’un propriétaire de NetAMTO est indiquée.

NOKIA HEALTH

Nous avons tenté d’accéder aux données qui circulent entre l’application Health Mate et le service Cloud affilié. Il était possible de lancer une attaque de type « MitM » entre l’application Android et le Cloud. Ceci signifie que les communications sont interceptées sans que l’utilisateur soit au courant.

Ici, l’attaque à distance n’est pas possible. Cependant, en cas de compromission, les données transmises deviennent lisibles. Ceci dit, pour NOKIA HEALTH, il est peu probable de trouver un scénario où un pirate peut accéder au téléphone, rooter l’appareil, intercepter le téléchargement du firmware, le réécrire, puis appuyer sur un bouton de configuration magique sur les balances réelles et installer le nouveau firmware.

Cependant, lorsque vous associez Nokia Scales à Amazon Echo, vous pouvez poser des questions à Alexa sur les données stockées dans votre compte Health Mate. Sur la page Internet d’Amazon qui détaille l’habileté et l’offre des compétences Nokia, il y a la déclaration suivante : Alexa et Amazon, Inc. ne stockent ni ne conservent vos données Nokia Health, mais les interactions vocales associées à votre compte Amazon peuvent contenir vos données Nokia Health Mate.

Lorsque vous liez Alexa et accordez à Amazon la permission d’accéder à votre compte Nokia Health Mate, vous accordez en réalité à Amazon Alexa l’accès aux données personnelles, y compris le poids, la distance parcourue, le sommeil et les objectifs. Ces informations sont stockées sous forme d’interactions vocales associées à votre compte Amazon.

SONOS

Si, par exemple, vous avez des enceintes dans les chambres de vos enfants, nommer les enceintes en utilisant leurs noms réels peut, par inadvertance, mener à partager des données avec Sonos au sujet des personnes de votre famille.

WOERLEIN

En l’absence de politique de confidentialité, nous devons nous fier à notre enquête pour comprendre la communication entre l’appareil et Internet. Tout d’abord, lors de la configuration de l’appareil pour se connecter au réseau Wi-Fi, le mot de passe n’est pas masqué. Si l’appareil est accessible, par exemple dans un lieu public tel qu’un bureau ou un établissement de vente au détail, les informations d’identification Wi-Fi seront accessibles en cliquant sur les paramètres.

Lors de la sélection d’une station de radio, une instruction est envoyée en clair à mediayou.net, qui semble être un portail d’accès au contenu radio en ligne. Mediayou connaîtra l’adresse IP de la radio qui s’y connecte, la station de radio demandée, ainsi que l’heure et la durée d’écoute.

Aucune politique de confidentialité n’est répertoriée sur le site Internet mediayou.net. Même lors de la création d’un compte sur le site, il n’y avait aucune offre de politique de confidentialité ou de conditions d’utilisation. Faire des recherches sur le domaine mediayou.net pour déterminer qui en est le propriétaire est futile, car les détails du domaine sont cachés derrière un bouclier de confidentialité, ce qui est ironique…

Si vous ne comprenez pas quelles données, le cas échéant, peuvent être collectées et conservées, vous devez envisager le pire : une entreprise pourrait collecter tout ce qu’elle peut et vendre ces données à qui elle veut et quel que soit son choix. À l’heure où les données personnelles ont une valeur et où le vol d’identité est un problème croissant, cette situation est inacceptable.

TP-LINK

Cet appareil présente des vulnérabilités qui incluent un chiffrement facilement réversible entre l’appareil et l’application TP-Link Kasa utilisée pour le contrôler, des problèmes de validation de certificat et des attaques potentielles de type man-in-the-middle.

CONCLUSION

Aucun appareil ou logiciel n’est garanti « totalement sécurisé » ou « sans vulnérabilités potentielles ». Chaque personne qui lit ce rapport aura une vision différente des informations personnelles qu’elle estime pouvoir partager avec une entreprise ou un fournisseur. Il est nécessaire de se renseigner sur le niveau de protection des appareils. Par exemple, est-ce que le fabricant envoie des notifications pour la mise à jour du firmware ? Les assistants personnels vocaux intelligents sont très pratiques. Ils sont également omniscients. Évaluez avec prudence les informations que vous souhaitez partager avec eux.

Les données collectées sur la maison, le style de vie, la santé et même les données de navigation Internet d’une personne ne devraient être autorisées qu’une fois les conséquences prises en compte. Alors que les entreprises découvrent de nouvelles façons de faire du profit avec les données collectées via les objets connectés, soit l’industrie doit s’autoréguler, soit les gouvernements devront renforcer la législation relative à la protection de la vie privée (de la même manière que l’UE a mis en place le RGPD).

Sécurité des documents, une priorité… à maîtriser !

Les enjeux sont tels, qu’il n’est plus une seule organisation qui ne se préoccupe de sécurité. Pour autant, le challenge est grand car non seulement les technologies de l’information et de la communication ont progressé mais surtout, l’interopérabilité est devenue la règle. La complexité est grande et les entreprises doivent déployer de nombreux dispositifs pour résister aux cyber-attaques polymorphes qui ne cessent elles aussi d’évoluer.

Il est clair que les documents et les informations (D&I) des organisations sont au cœur des convoitises des cyber-pirates. Ces derniers savent parfaitement que les points d’entrées sont multiples chez leurs victimes et que notamment, les moyens de capture et d’impression de documents peuvent constituer des prises de choix. En tant que constructeur de tels périphériques, Ricoh sensibilise les clients sur différentes stratégies de résistance et c’est ce que je vais faire ici.

Stratégie d’organisation

Il convient de s’adresser en premier lieu aux employés de votre organisation. Ils constituent les principaux vecteurs de transmission des informations et à ce titre, ils doivent impérativement être sensibilisés et formés aux risques et attitudes à adopter. Chacun doit être en situation d’éviter l’ouverture d’un email malveillant, d’imprimer des documents laissés à la vue de tous dans un bureau ou sur l’imprimante, de classifier les documents avant transmission, de confier ses badges ou codes d’accès à des tiers,… etc.

En second lieu, votre entreprise doit s’assurer d’une prise de conscience collective de la responsabilité portée sur la sécurité des D&I appartenant tant aux services internes qu’à des clients ou prospects. Les fuites d’information provoquent d’importants préjudices aux activités ou à l’image de l’entreprise. Elles peuvent être évitées par une démarche proactive parfaitement décrite par les normes ISO 27000. Celles-ci contribuent à la mise en place d’un système cohérent de gestion de la sécurité de l’information.

En dernier lieu, la société civile et ses organisations publiques doivent faire l’objet d’une écoute attentive. Votre entreprise doit comprendre l’évolution de la loi et des normes relatives à la numérisation des processus métiers. Elle ne doit pas seulement en comprendre les enjeux économiques mais aussi en maîtriser les contraintes de conformité et les risques associés. De la loi Godfrain (No 88-19) du 5 janvier 1988 relative à la fraude informatique à l’application prochaine du Règlement Général sur la Protection des Données (RGPD) en passant par le règlement eIDAS (No 910/2014) du 23 juillet 2014 – ou de la norme Z42-013 de mars 2009 (transposée ISO 14641-1), pour les spécifications des systèmes destinés à préserver les documents stockés, à l’application prochainement possible de la NF Z42-026 sur la copie fidèle qui conduira un jour à la destruction des documents papiers – l’évolution de l’environnement digital n’a de cesse que d’évoluer.

Stratégie technique

Évidemment, si vos employés et votre entreprise sont au fait des normes et des lois de la société, chacun comprendra que les D&I méritent toutes les attentions. Ainsi, les documents doivent être sécurisés par chiffrage, contrôlés dans leur intégrité, signés pour leur authenticité,…etc. Les équipements manipulant les D&I ne sont pas à négliger. Qu’il s’agisse de fermeture des ports, de protection contre les accès non autorisés, du nettoyage des données,… etc. Ils doivent être conçus en gardant à l’esprit qu’ils doivent résister aux risques de sécurité, comme nous le faisons pour nos périphériques de capture et d’impression des documents. Enfin, les logiciels (capture, impression, GED, parc), sont à sélectionner avec soin. Ils sont souvent au cœur des problématiques de sécurité parce que les métiers donnent trop souvent la priorité aux fonctionnalités. Gageons qu’en Mai 2018, la situation changera avec l’application du RGPD. L’entreprise devra être en situation de démontrer qu’elle s’est assurée avoir fait des choix responsables pour faire face aux contraintes de sécurité et protégeant les données privées.

Stratégie d’audit

Quels que soient les dispositifs, quelles que soient les précautions prises, quelles que soient les formations et sensibilisations prodiguées, il faudra contrôler. Pour cela, toutes les actions sont à tracer dans des journaux et des registres. Ceux-ci doivent aussi être considérés comme des documents et être soumis aux mêmes principes de sécurisation. Je ne le dirai jamais assez, la sécurité passe par la surveillance et l’amélioration continue.

Stratégie d’externalisation

La sécurité des D&I est aujourd’hui un tel enjeu, qu’il est de plus en plus délicat d’envisager que l’entreprise seule, puisse maîtriser toutes les subtilités des modalités à respecter. S’il est certain que très peu d’entreprises se constitueront en tiers de confiance pour délivrer la signature électronique, il en ira de même pour l’archivage électronique probant, la lettre recommandée électronique, le courrier numérique sans papier,… etc. Trop de spécialisations et de certifications ne trouveront pas leur retour sur investissement pour une entreprise à elle seule. Il est évident que le recours à l’externalisation est la voie à suivre. C’est pourquoi nous avons fait nos choix de services externalisés pour nos usages et les vôtres. Nous en reparlerons.

La transformation numérique de l’environnement de travail rendue possible par l’évolution du corpus législatif, depuis la loi No 200-230 du 13 mars 2000 portant adaptation du droit de la preuve aux technologies de l’information relative à la signature électronique, a fortement accrue la responsabilité des entreprises dans la maîtrise de la sécurité des documents et informations. Le RGPD à lui seul, constitue un marqueur majeur de cette évolution de la responsabilité. En contrepartie, constructeurs et éditeurs de solutions ont mené et mènent des études et des réalisations visant à empêcher et éliminer les failles de sécurité. Je reviendrai sur ces sujets dans deux prochains articles car mon objectif est de contribuer à la sensibilisation à la maîtrise de la sécurité. (Par Jean-Pierre BLANGER – Directeur Solutions, Services & Innovation de Ricoh France).

RSSI : les cinq meilleures façons de renforcer une architecture de sécurité

Pour les professionnels de l’informatique, RSSI, DSI … la sécurité des réseaux est un enjeu majeur. C’est vrai à la fois pour l’ingénieur de sécurité, le RSSI, le DSI et même le CEO ! La question est : « Que peut-on vraiment faire pour l’améliorer ? » Tout simplement renforcer le déploiement d’équipements de sécurité inline.

RSSI – En matière de conformité réglementaire pour PCI-DSS et HIPAA, le déploiement d’outils de sécurité inline n’est pas indispensable mais s’avère impératif pour une architecture de sécurité par laquelle on tente de maximiser ses défenses. Voici les cinq principales actions que les professionnels de l’IT peuvent mettre en œuvre pour améliorer l’architecture de sécurité en ligne de leur entreprise.

Insérer des switches bypass externes entre le réseau et les outils de sécurité pour améliorer la disponibilité et la fiabilité du réseau.

Les switches bypass sont généralement un bon point de départ pour améliorer la sécurité et la fiabilité d’un réseau. Alors que le déploiement direct d’outils de sécurité en ligne peut créer une défense améliorée, ils peuvent entraîner des échecs ponctuels. Un contournement interne, dans l’outil peut minimiser ce risque. Toutefois, il pourrait créer une autre interruption de de service, si l’appareil devait être retiré par la suite.

Un switch bypass externe a l’avantage de son homologue interne à la différence qu’il élimine les problèmes des déploiements directs d’outils inline en offrant des capacités de basculement automatique et à la demande avec un impact à peine perceptible (millisecondes) sur le réseau. Parce que le switch reste toujours dans le réseau, il peut être placé en mode de contournement à la demande, pour permettre l’ajout, la suppression ou la mise à niveau des dispositifs de sécurité et de surveillance au besoin.

Déployez des passerelles de renseignement sur les menaces à l’entrée/sortie du réseau pour réduire les alertes de sécurité de faux positifs

Les passerelles de renseignement sur les menaces sont une bonne deuxième stratégie parce qu’elles éliminent le trafic depuis et vers de mauvaises adresses IP connues. Même avec les pare-feux, les IPS et un large éventail d’outils de sécurité en place, les entreprises manquent toujours d’indices et souffrent de failles importantes chaque jour. Pourquoi ? Parce que le volume d’alertes générées représente un énorme fardeau de traitement pour l’équipe de sécurité, ainsi que pour l’infrastructure elle-même. Une passerelle de renseignement sur les menaces aide à filtrer automatiquement le trafic entrant dans un réseau qui doit être analysée. Certaines entreprises ont constaté une réduction de 30 % ou plus des fausses alertes IPS en supprimant le mauvais trafic connu, ce qui permet aux équipes de sécurité réseau de se concentrer sur les menaces potentielles restantes.

Décharger le décryptage SSL des dispositifs de sécurité existants (pare-feu, WAF, etc.) vers des network packet brokers (NPB) ou des dispositifs spécialement conçus pour réduire la latence et augmenter l’efficacité des outils de sécurité.

Bien que de nombreux outils de sécurité (pare-feu, WAF, IPS, etc.) incluent la capacité de déchiffrer le trafic afin que les données entrantes puissent être analysées à des fins de sécurité, ils ont également un impact sur les performances du CPU et peuvent ralentir considérablement (jusqu’ à 80 %) la capacité de traitement d’une application de sécurité. Ceci est dû au fait que les processeurs de ces périphériques exécutent d’autres tâches telles que l’analyse des paquets de données pour détecter les menaces de sécurité, telles que les scripts inter-sites (XSS), l’injection SQL, les programmes malveillants cachés et les menaces de sécurité. Le déchiffrement SSL peut représenter un travail considérable qui réduit l’efficacité des outils de sécurité et qui augmente les coûts si l’on veut que les données réseau soient inspectées. En raison de la performance du décryptage des données, de nombreuses équipes de sécurité désactivent cette fonctionnalité et créent ainsi un risque potentiellement grave pour la sécurité. Une solution consiste à utiliser un network packet broker pour effectuer le déchiffrement des données lui-même ou décharger la fonction sur un dispositif de décryptage distinct. Une fois les données décryptées, le NPB peut les transmettre à un ou plusieurs outils de sécurité pour analyse.

Effectuer une chaîne d’outils pour les données suspectes, afin d’en améliorer le processus d’inspection.
Une autre tactique à prendre en considération est enchaînement d’outils en série. Cette méthode améliore l’inspection des données en utilisant des séquences prédéfinies pour leur analyse. Elles sont acheminées vers de multiples outils de sécurité pour des inspections et une résolution supplémentaires. Ceci garantit que les actions se déroulent dans l’ordre approprié et ne sont pas négligées. Les outils de sécurité et de surveillance peuvent être reliés entre eux par le biais d’un approvisionnement logiciel au sein d’un NPB pour contrôler le flux de données à travers les services sélectionnés. Cela permet d’automatiser efficacement le processus d’inspection afin de le rendre plus efficace et de mieux suivre les alertes.

Insérer des NPB pour améliorer la disponibilité des dispositifs de sécurité en utilisant la technologie n+1 ou haute disponibilité.

La cinquième façon de renforcer une architecture de sécurité est d’améliorer la disponibilité des dispositifs en insérant un NPB qui favorise la survie à long terme. Un bon NPB aura deux options.
La première, que l’on nomme n+1, est déployée dans une configuration de partage de charge. C’est la situation où l’on a un dispositif de sécurité complémentaire en cas de défaillance d’un des principaux (IPS, WAF, etc.). Cependant, au lieu d’être en veille et prêt à se déclencher si besoin, l’appareil fonctionne en même temps que les autres et partage la charge normalement. Si un appareil tombe en panne, la charge totale peut alors être traitée par les autres appareils. Une fois que l’outil défectueux est de nouveau en ligne, les outils restants retournent à une configuration de partage de charge.

Bien que cela puisse se faire sans le NBP, il s’agit souvent d’un processus compliqué avec des équilibreurs de charge et d’autres efforts. Un NPB est programmé pour gérer l’équilibrage de charge ainsi que les messages sur la bonne marche d’un outil (quand il a échoué et quand il est disponible), de manière à s’assurer un une architecture « d’auto-guérison » rentable. Une option plus robuste, mais aussi plus coûteuse, consiste à mettre en œuvre une haute disponibilité. C’est une option n+n dans laquelle il y a un ensemble d’équipements complètement redondants. Malgré le coût, ce pourrait être la meilleure option, selon les besoins de l’entreprise.

L’utilisation de ces cinq cas d’utilisation peut considérablement améliorer une architecture de sécurité en ligne, y compris la fiabilité de la solution, ainsi que la capacité à détecter et prévenir/limiter les menaces de sécurité. (Par Keith Bromley, Senior Solutions Marketing Manager chez Ixia)

RGPD loi 490 : une évolution dans la protection des données personnelles mais qui n’est pas encore suffisante

Loi 490 – La mise en place du RGPD (Règlement Général sur la Protection de Données) entrera en vigueur le 25 mai 2018. Tous les pays membres de l’Union Européenne doivent mettre en conformité leurs législations nationales avec ce nouveau règlement européen.

En France, le projet de Loi n°490, relatif à la protection des données personnelles, présenté à l’Assemblé en février 2018, est quant à lui, destiné à compléter en France les dispositions du RGPD.
Le premier objectif de ce projet de Loi est de responsabiliser les entreprises qui doivent se montrer actives dans la protection des données et mettre en œuvre des actions. Celles-ci ne devront plus se contenter de « déclaration » mais tenir un « registre des activités de traitement », effectuer des « analyses d’impact relative à la protection des données » lorsque le traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques ou encore faire appel à un « délégué à la protection des données » qui vient remplacer le CNIL. Le second objectif est de renforcer le droit des personnes en leur accordant des nouveaux droits.

Bien que ce projet de Loi n°490 souligne un besoin réel de changement dans l’encadrement de la protection des données à caractère personnel, il possède encore des zones d’ombres qui risquent de compromettre la mise en application des droits gagnés des utilisateurs, et qui demandent aux Responsables de Traitement de réaliser des concessions.

Qu’est-ce que « l’intérêt légitime » ?

Pour être licite, un traitement de données à caractère personnel doit respecter l’une des six bases légales fixées par le Règlement à savoir l’exécution d’un contrat, l’obligation légale, le consentement, l’intérêt vital, l’intérêt légitime. La notion d’intérêt légitime est subjective et n’a pas la même ampleur pour toutes les entreprises. Pourtant l’intérêt légitime sera l’une des bases juridiques valables pour se passer du consentement de l’utilisateur.

Chaque Responsable de Traitement devra alors posséder la preuve du consentement de la personne faisant l’objet du traitement de données, sauf dans plusieurs cas précis, comme par exemple celui de la poursuite légitime. Comment définit-on alors l’intérêt légitime ?

Les moyens d’exercice de son droit

Comment permettre aux internautes de faire appliquer leurs droits de suppression, d’information ou de limitation ? Quels sont les moyens d’exercice qui garantiront aux usagers de ne pas voir leurs demandes rester sans réponse ? Pourquoi reconnaître des droits s’il n’existe pas de canal d’application permettant de les faire exécuter ?

Il est important que les obligations du Responsable de Traitement soient assorties des modalités d’application adaptées. Egalement, il serait pertinent de voir la « demande par email » considérée, d’autant que l’essentiel des fichiers comportent et portent un email, et d’indiquer des délais suffisamment courts pour que cela soit efficace et que les demandes des internautes soient traitées par les éditeurs du fichier.

Devoir d’information des Responsables de Traitement

Les modalités de mise en oeuvre du devoir d’information des Responsables de Traitement n’ont pas été évoquées de façon précises : l’information doit être compréhensible, accessible, en termes clairs. Que se passe-t-il après avoir rempli ce devoir d’information « one shot » ? Si les responsables de traitement envoyaient une fois par an un email récapitulatif à toutes personnes concernées par le traitement sur leur adresse mail utilisée pour le fichier, cela permettrait aux internautes de se rappeler quelles informations sont fichées, et leur fournirait un point de contact utilisable (adresse d’email utilisée pour l’envoi) pour faire appliquer leurs droits. Naturellement un délai de réaction adapté doit courir dès l’envoi de l’email, au-delà duquel une non-réponse vaudra refus ou manquement et donc permettra à l’intéressé de se tourner vers la CNIL. La CNIL verra alors ses pouvoirs et ses devoirs de gendarme du web renforcés. Aura-t-elle ainsi ses moyens d’action, humains et matériels, ajustés à la hauteur des objectifs qui seront désormais les siens ? Si ce n’est pas, cela aggravera l’impression générale que la CNIL ne peut traiter qu’une infime partie des signalements, bref un gendarme qui n’est pris au sérieux ne peut pas gendarmer !

Durée de conservation des données

Est-il souhaitable qu’un moteur de recherche géant ou une société de remarketing puisse conserver 40 ans d’historique de la vie de quelqu’un ? Comment l’utilisateur sera-t-il informé que ces données aient bien été supprimées, sans contacts spontanés réguliers avec le responsable de traitement ? Cela ne renvoie-t-il pas à la nécessité d’informer régulièrement l’utilisateur ? Pris ensemble, ces éléments imposent aux Responsables de Traitement de fournir aux internautes une adresse email pour faire appliquer leurs droits. La mise à disposition de requêtes automatisées accessibles par URL est certainement la meilleure solution pour toutes les parties : garantie d’action immédiate pour le demandeur, et annulation de l’encombrement service client lié au traitement humain des demandes côté responsable de traitements.

Sécurisation des données

La responsabilité de la sécurisation des données incombe au responsable de traitement comme le vol de données ou le hacking. Le manquement à ses obligations peut entrainer de lourdes sanctions prononcées par la CNIL dont le rôle sera de distribuer des amendes, et pourtant de nombreuses sociétés n’ont encore aujourd’hui aucune gestion de sérieuse de leurs données. De nombreuses sociétés vont à présent se positionner sur l’appel d’air du RGPD et vendre des registres,
des audits à de nombreuses sociétés. Une prestation pour sécuriser a minima leurs bases de données. Comment les entreprises informeront-elles leurs prospects/clients ? Comment pourront-elles gérer leurs demandes, la mise à jour de leurs registres ? Ces flous persistants sont aussi un problème pour la majorité des Responsables de Traitement qui ne sont pas nécessairement des grands moteurs de recherche ou des sociétés de targeting.

Ce texte de Loi est une avancée mais des éléments concrets pour protéger l’identité numérique des personnes manquent encore, comme cadrer les raisons qui permettent de se passer du consentement mieux qu’avec l’intérêt légitime de l’entreprise contre l’attente raisonnable de l’utilisateur ; Donner des vrais moyens pour exercer les droits de l’internaute lorsque l’écueil de l’intérêt légitime sera évité ; Mieux expliciter le devoir d’information des Responsables de Traitement n’est pas explicité ; la durée de la conservation des données… (Ludovic Broyer, fondateur d’iProtego)

Le RGPD : Les 3 erreurs du Règlement Général de Protection des Données

Le RGPD, c’est demain ! La Commission européenne avait parfaitement raison de déclarer dans son évaluation sur le Règlement Général de Protection des Données de l’Union européenne qu’il s’agissait « du changement le plus important dans le règlement sur la confidentialité des données depuis 20 ans ». Toute entreprise doit se conformer au RGPD, mais ne devrait pas perdre de vue l’objectif ultime : permettre et gérer davantage d’interactions et d’activités numériques.

Tout d’abord, le RGPD, le nouveau règlement exige que les entreprises s’engagent à mener des contrôles de conformité systématiques de leur fonctionnement actuel et prévisionnel. En un mot, évaluer les données de l’entreprise ; où sont-elles stockées ; et comment sont-elles utilisées. Compte tenu de l’importance de la réglementation, de sa vaste portée et de ses importantes pénalités potentielles, toute multinationale doit appliquer ce règlement et y parvenir de façon positive.

En observant le marché en collaboration avec des clients, des partenaires, des analystes et des autorités de régulation sur les programmes numériques et le RGPD en lui-même, on constate des bonnes pratiques et des pratiques que l’on peut qualifier de mauvaises. Voici les trois « erreurs du RGPD » : des actions menées sous les auspices du RGPD qui peuvent être directement placées dans le panier des « mauvaises pratiques ».

Erreur n° 1 : Négliger le client

L’objectif ultime du RGPD est de permettre davantage d’activités numériques. Le RGPD confère aux particuliers de l’UE des droits plus forts, appliqués de façon uniforme, qui leur octroient un meilleur contrôle de leurs données et une protection leur vie privée à l’ère numérique. Par définition, le RGPD est une réglementation centrée sur le client. En général, les entreprises qui réussissent dans le secteur numérique ont un regard extrêmement pointu sur leurs clients. Une partie de cette vue perçante est constituée des données numériques qu’elles possèdent de leurs clients, et de leur gestion et leur exploitation.

Le RGPD offre l’occasion d’examiner comment les données des clients, la vie privée et la confiance font partie de l’expérience client globale (segment par segment, marché par marché). En général, les organismes centrés sur le client conduisent déjà de très bonnes pratiques relatives aux données de leurs clients, qui sont gérées par les sections commerciales de l’entreprise. Ces entreprises exploitent leurs données clients avec beaucoup de soin et d’attention, et suivent fort probablement déjà les pratiques exemplaires du RGPD bien avant que la réglementation ne soit appliquée.

Si le RGPD ne reçoit pas l’attention, l’implication et le cautionnement de la direction commerciale, cela peut être un signe que l’entreprise ne comprend pas vraiment le RGPD et ses objectifs. Celles qui sont impliquées dans le projet RGPD devraient s’assurer que le client est au cœur de leur programme et d’obtenir un bon niveau de soutien et de patronage commercial.

Erreur n° 2 : Se concentrer uniquement sur la conformité plutôt que sur la transformation numérique

Certaines mises en œuvre du RGPD sont conçues pour être simplement conformes à la nouvelle réglementation, mais ceci est loin d’être optimal. L’objectif primordial du RGPD est de faciliter et de permettre davantage d’interactions et d’activités numériques au sein du marché unique. À ce titre, il est un peu incongru qu’une entreprise n’aligne pas étroitement son flux de travail RGPD avec ses programmes numériques essentiels. Les entreprises doivent comprendre l’implication complète du RGPD et s’assurer que les parties commerciales de l’entreprise supervisent intégralement ces initiatives, non limité à seulement leurs équipes informatiques pour vérification de conformité.

Il y a un certain nombre d’avantages à harmoniser le RGPD avec les programmes de transformation numérique, compte tenu que l’objectif ultime du RGPD est ciblé sur le marché numérique. Dans cette optique, les objectifs réglementaires et commerciaux peuvent être parfaitement alignés et complémentaires. En outre, les entreprises peuvent utiliser ce haut niveau de contrôle, obtenu grâce au RGPD, comme une occasion pour non seulement conduire le programme RGPD mais permettre un contrôle qualité de pointe, voire une amélioration, du programme numérique de l’entreprise.

Erreur n° 3 : Se concentrer sur les pénalités du RGPD, plutôt que sur les KPI

Un choix de direction consiste à mener des initiatives RGPD en utilisant une logique étroite de conformité et de mise en évidence des sanctions potentiellement importantes : par exemple jusqu’à 20 millions d’Euros, ou 4% du chiffre d’affaires mondial du groupe (si supérieur). Dans cette approche, une entreprise cocherait la case « conformité réglementaire » et exposerait les 20 millions d’euros/4 % du CA en tant que raison d’être dans le document de lancement du projet. Cela conduirait la gestion informatique et le reste de l’entreprise à une définition peu ambitieuse des priorités et des ressources allouées. Cette logique de projet est un signe que ni le client ni l’optimisation de l’exploitation numérique sont au cœur du projet RGPD.

Une étroite conformité avec le RGPD n’ajoutera pas nécessairement un seul euro au résultat financier ; ni l’amélioration de la satisfaction de la clientèle ; ni un impact sur tout autre indicateur de performance critique que l’entreprise pilote en ce qui concerne son activité numérique. Cependant, un programme RGPD bien intégré dans l’entreprise, en gardant en point de mire l’amélioration des opérations et des interactions numériques, pourrait être complémentaire au programme numérique. Avec cet objectif plus large, il peut être comparé à une analyse de rentabilité pour le déploiement des ressources et des investissements. Par exemple, si vous devez déterminer la portée et la nature de vos données client, vous devriez utiliser le RGPD en tant que moyen pour s’assurer que vous soyez à jour et parvenir à une vue à 360° de votre clientèle. Vous assurez ainsi à la fois conformité et connaissance globale du client, créant par conséquence de nouvelles perspicacités ou actions en ce qui concerne la clientèle, et les interactions numériques et les transactions qui en découlent.

Bref, il existe un lien cohérent entre ces 3 échecs : le RGPD est considéré comme un exercice de conformité réglementaire plutôt qu’une partie intégrante des objectifs commerciaux de l’entreprise. Les entreprises se doivent d’être aux normes, mais l’occasion est plus ambitieuse et le RGPD peut être une aubaine pour la transformation numérique de l’entreprise. Ne gaspillez pas votre effort RGPD seulement sur la conformité. (Par Perry Krug, Principal Architect, Couchbase).

A noter que vous pouvez retrouver, dans le podcast Securite.fr, un numéro spécial dédié au RGPD.

Protection des informations numériques, enjeu majeur de l’innovation

Les données sont devenues l’actif le plus précieux des entreprises. Mais est-il le mieux gardé ? L’exposition des entreprises aux cybermenaces ne cesse de croître avec la mobilité des collaborateurs, le partage des données, le développement du Cloud computing, l’internet des objets et l’intégration de nouvelles entités. La protection des informations numériques représente pour les entreprises un enjeu économique fondamental et paradoxalement, assez souvent indûment négligé.

La protection des informations numériques à l’aube du RGPD. L’innovation contemporaine est intimement liée aux données. A l’ère du digital elles constituent le nouvel actif stratégique des entreprises, dont la compétitivité dépend aujourd’hui de leur capacité à contextualiser et analyser les masses accumulées de données. Chaque jour des milliers, voire des millions de nouveaux devices se connectent au grand « Internet of Everything » pour collecter et échanger des données. Le marché se tourne vers des outils analytiques avancés pour les valoriser. Ces nombreuses sources de collecte et d’accès aux données sont autant de points de fragilité pour les malfaiteurs voulant s’attaquer aux systèmes d’information et de production. Si ces devices ne sont pas protégés, si sont compromises la disponibilité, la confidentialité et l’intégrité des informations stockées, traitées ou transmises, l’avantage concurrentiel qu’elles offrent risque de se transformer en pertes et la force devient une menace.

Le ROI en cybersécurité : qu’est-ce que vous êtes prêts à perdre ?

Dans la sécurité numérique, les cyberattaques sont le risque le plus connu. En France, onze incidents de cybersécurité seraient comptabilisés chaque jour en milieu professionnel. Une récente étude estime les pertes financières à 1,5 million d’euros pour chaque incident en moyenne.

Dans le monde, le nombre de cyberattaques aurait augmenté en 2016 de 21% par rapport à l’année précédente, et cumulées, elles auraient coûté à l’économie mondiale 280 milliards de dollars, selon International Business Report (IBR) publié par le cabinet Grant Thornton. Mais le plus grand risque, et donc la plus grande crainte, ne se résume pas aux pertes financières. Par exemple, au Canada, 31,6 % des organisations sondées ont jugé que la principale conséquence d’une cyberattaque serait le temps passé à traiter ses effets, suivi d’atteinte à la réputation (29,2 %) et perte de clients (10,2 %). La perte directe de revenus n’a été citée que par 9,8 % d’interrogés. Malgré cela, 52% des organisations n’ont aucune couverture en cas d’attaque.

Selon moi, trop souvent encore les entreprises font appel aux experts « après la bataille ». Bien sûr, nous sommes capables de gérer la crise, mais la prévention reste la meilleure réponse aux cyberattaques. Il est temps d’accepter que le ROI de la cybersécurité ne se calcule pas en chiffre d’affaires généré, mais plutôt en efforts nécessaires à traiter les dommages potentiels. Il convient à toute entreprise, qu’elle soit un grand groupe ou une PME, de mettre en place une véritable stratégie de sécurité, pour diminuer son exposition au risque et accompagner son développement.

Protection des informations numériques : pour une véritable politique de sécurité numérique

La première étape consiste à faire appel à des experts pour évaluer les facteurs de risque et les points faibles en matière de cybersécurité.

Ces éléments serviront à définir une véritable politique de sécurité qui ne devra plus concerner la seule stratégie IT, mais être intégrée aux stratégies de tous les métiers par une conduite de changement. Effectivement, les facettes de la cybersécurité sont d’autant plus nombreuses, que le sujet est transverse et concerne tous les métiers de l’entreprise : la sécurisation de l’écosystème digital de l’entreprise et de ses outils collaboratifs, la gestion des identités et des accès, la prévention des pertes de données, etc.

Le cyberpiratage et les cyberattaques ne sont pas les seules menaces pour la sécurité numérique, mais les plus médiatisées : d’expérience, 35% des incidents de sécurité seraient causés en interne par des collaborateurs mal informés.

Ainsi, la protection des informations va bien au-delà de la sécurité : pour protéger tous les terminaux et points d’accès, il n’est plus question de se satisfaire d’un antivirus, aussi puissant soit-il. Avant de se pencher sur des solutions technologiques, il est vital de comprendre son actuel niveau de maturité, définir le niveau de sécurité visé et se faire accompagner pour instaurer une gouvernance, définir des responsabilités, revoir les règles et les procédures, et, finalement, envisager l’outillage nécessaire.

L’adoption de nouvelles technologies d’information continue d’aller beaucoup plus vite que la sécurité. Au nom de la productivité et de la performance, les entreprises ont parfois mis de côté les mesures de protection. En se posant en bouclier protégeant les données, la cybersécurité s’affirme en garant de l’innovation et de la vitalité de l’entreprise. (Par David Adde, Directeur du pôle Sécurité chez Avanade.)

Violations de données : 700 millions d’attaques contrecarrées en 2017

Suite aux violations de données à grande échelle, des pics massifs d’attaques ont été observés avant qu’elles ne soient révélées publiquement. Le rapport Cybercrime ThreatMetrix parle d’un record de 700 millions d’attaques contrecarrées par des entreprises numériques en 2017.

Les violations de données ont été très nombreuses en 2017, Data Security Breach a pu vous annoncer plusieurs. L’Entreprise de l’Identité Numérique ThreatMetrix vient de révèler que 2017 a été une année record en termes de lutte contre la cybercriminalité. Basé sur l’étude des cyberattaques dans le monde entier, analysant 100 millions de transactions par jour, le Cybercrime Report 2017 : A Year in Review de ThreatMetrix confirme une augmentation de 100 % du nombre d’attaques au cours des deux dernières années. La bonne nouvelle est que, pour contrecarrer ces menaces, les entreprises investissent dans des stratégies innovantes et « digital first » pour protéger les consommateurs, qui doivent faire face à des failles résultant de violations de données à grande échelle.

Argent facile ?

Les fraudeurs ne cherchent plus à se faire de l’argent rapidement avec les cartes de crédit volées, ils préfèrent se concentrer sur des attaques plus ambitieuses qui rapportent des bénéfices à long terme, en exploitant des ensembles de données d’identité volées. Cette tendance est prouvée par un taux d’attaque très élevé sur les créations de comptes, l’activité la plus vulnérable. Plus d’un nouveau compte en ligne sur neuf ouvert en 2017 était en effet frauduleux.

Les résultats révèlent également une activité des bots sans précédent, pouvant représenter jusqu’à 90 % du trafic sur certains sites de vente en ligne quand une attaque atteint son pic. Même les consommateurs qui n’en sont pas directement victimes en font les frais. Ils expérimentent dès lors une vérification d’identité plus longue, car les entreprises tentent de discerner les activités légales de celles qui sont frauduleuses, tout comme les vraies identités des fausses.

violations de données : les consommateurs immédiatement visés suite aux failles majeures

En 2017, les niveaux de cyberattaques ont atteint des sommets encore jamais enregistrés auparavant.  Ces pics, lorsqu’ils sont agrégés entre des milliers d’organisations, indiquent des violations de données majeures. Souvent même bien avant qu’elles ne fassent la Une des journaux.

Chaque organisation peut être la cible d’une faille de sécurité importante. Cela met alors à l’épreuve la responsabilité des systèmes de protection. Et cela au travers de l’ensemble des sites web et applications.

« Alors que les attaques s’intensifient, le besoin d’investir dans des solutions technologiques avancées augmente pour protéger les consommateurs ainsi que les individus dont les données personnelles et bancaires ont été piratées, déclare Pascal Podvin, Senior Vice-President Field Operations, chez ThreatMetrix. Analyser les transactions en se basant sur l’identité numérique réelle est la façon la plus efficace de différencier instantanément les utilisateurs légitimes des cybercriminels. Nous laissons une trace de notre identité partout, et en cartographiant les associations en constante évolution entre les personnes, leurs appareils, leurs comptes, leur localisation et leur adresse, au travers des organisations avec lesquelles elles interagissent, le comportement dit « de confiance » d’un individu devient évident. »

violations de données : la relation entre le comportement des consommateurs et l’évolution de la cybercriminalité

Les tendances de comportement chez les consommateurs ont influencé les modèles d’attaque. Models de plus en plus sophistiqués. Certains résultats du Rapport 2017 sur le Cybercrime de ThreatMetrix le démontrent.

  • Le volume des transactions mobiles a augmenté de près de 83 %. Les consommateurs adoptant un comportement « multi-appareils ». Un nombre de transactions plus important que sur ordinateur pour la première fois en 2017.
  • Les attaques avec prise de contrôle ont connu une hausse de 170 %. Toutes les 10 secondes.
  • 83 millions de tentatives de création de comptes frauduleux ont été enregistrées entre 2015 et 2017. Les pirates informatiques créent des identités complètes. Ils ouvrent de nouveaux comptes en volant l’ensemble des données d’identité. A partir de failles et sur le Dark Web.

Les paiements frauduleux ont augmenté de 100 % au cours des deux dernières années

  • Les paiements frauduleux ont augmenté de 100 % au cours des deux dernières années. Les hackers utilisent des cartes de crédit volées. Ils piratent le compte bancaire d’une victime, pour transférer de l’argent vers un nouveau bénéficiaire.
  • Les secteurs émergents, plus particulièrement les sites de covoiturage et de vente de cartes cadeau. Ils sont particulièrement vulnérables à la fraude. Les cybercriminels utilisent de nouvelles plateformes pour faire des affaires.
  • Les hackers sont de plus en plus rusés. L’étude confirme qu’ils multiplient leurs efforts pour être encore plus difficiles à détecter par les individus. Par exemple, les attaques d’ingénierie sociale. Ils persuadent les consommateurs qu’ils ont été victimes d’une escroquerie. Ils les incitent à « sécuriser leur compte » via des mesures qui donnent réellement accès aux fraudeurs.

« Avec le volume et la sophistication des attaques qui augmentent chaque jour, les entreprises doivent être capables de différencier en temps réel les consommateurs des cybercriminels, sans qu’il n’y ait d’impact sur la vitesse des transactions ni de frictions inutiles, poursuit Pascal Podvin. En regardant au-delà des données statistiques, et en explorant les complexités dynamiques liées à la façon dont les utilisateurs effectuent des transactions en ligne, les organisations peuvent continuer de développer leur activité en toute confiance. »

Retrouvez le Rapport 2017 violations de données sur le Cybercrime ThreatMetrix via ce lien.

Un laboratoire de radiologie perd les dossiers médicaux de 9 300 personnes

Laboratoire, perdu, HD ! Que deviennent les données stockées par les professionnels de santé ? Pour le Charles River Medical Associates, sur un disque dur portable perdu. 9.300 dossiers médicaux dans la nature !

Le Charles River Medical Associates est un laboratoire de radiologie américain. Il vient d’avouer (la loi américaine l’impose, NDR) avoir perdu un disque dur contenant 9.387 dossiers médicaux. Des sauvegardes d’informations personnelles et des images radiographiques. Des données de tous ceux qui ont subi une scintigraphie osseuse au depuis 2010. Huit ans d’informations privées, sensibles, sans protection, ni chiffrement.

Le laboratoire a envoyé un courriel, comme va l’imposer le RGPD en France dès le 28 mai 2018, aux patients impactés. Le disque dur « perdu » contient les noms, les dates de naissance, les numéros d’identification des patients et les images de scintigraphie osseuse.

Le groupe de santé a découvert cette disparition en novembre 2017. Il aura attendu trois mois pour alerter les patients ! Le groupe était tenu de signaler cette violation de la vie privée au Département américain de la santé et des services sociaux, ainsi qu’aux médias locaux.

100.000€ d’amende pour Darty à la suite d’une fuite de données via un prestataire

Prestataire de services et fuite de données ! La CNIL condamne à 100.000€ d’amende l’enseigne de magasins spécialisés dans la vente d’électroménager, de matériels informatiques et audiovisuels à la suite de la découverte d’une fuite de données clients via un prestataire de services.

Avez-vous pensé à votre prestataire de services ? La Commission Informatique et des Libertés à, ce 8 janvier 2018, délibéré sur une nouvelle affaire de fuites de données révélée par le  protocole d’alerte du blog ZATAZ. Le lanceur d’alerte avait constaté une fuite de données visant les clients de l’entreprise française de magasins spécialisés Darty. Le courriel envoyé aux clients étant passés par le Service Après-Vente « web » de l’enseigne contenait un url qui pouvait être modifié. Il suffisait de changer le numéro de dossier dans l’adresse web proposé dans le courrier pour accèder aux informations des autres clients. « La brèche concernait le système de gestion des messages envoyés par les clients au Service après-vente » explique ZATAZ. Des milliers de messages étaient accessibles. Plus de 900.000 selon le lanceur d’alerte. Heureusement, aucunes données bancaires. Ils étaient accessibles les adresses mails, les numéros de téléphone, les noms, prénoms. De quoi créer des phishings ciblés ! La Commission Informatique et des Libertés condamné DARTY pour « négligence dans le suivi des actions de son sous-traitant, ce qui a permis l’accessibilité de données à caractère personnel variées et directement identifiantes se rapportant à de nombreux clients« . Le Règlement Général sur la Protection des Données, le RGPD, sera officiellement en action dès le 25 mai 2018. Voilà un signal fort sur le fait que les entreprises. Contrôlez aussi vos partenaires.

Projet de loi relatif à la protection des données personnelles

La garde des Sceaux, ministre de la justice, Nicole Belloubet a présenté aujourd’hui le projet de loi relatif à la protection des données personnelles qui adapte au droit de l’Union européenne la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.

Ce projet de loi est le fruit d’un travail étroit avec le Secrétaire d’État au numérique, Mounir Mahjoubi. Il transpose le nouveau cadre juridique européen (le règlement 2016/679 et la directive 2016/680), qui entrera en vigueur en mai prochain. Il comporte plusieurs avancées majeures.

D’une part, il crée un cadre unifié et protecteur pour les données personnelles des Européens, applicable à l’ensemble des entreprises et de leurs sous-traitants, quelle que soit leur implantation, dès lors que ceux-ci offrent des biens et services à des personnes résidant sur le territoire de l’Union européenne. Il instaure également de nouveaux droits pour les citoyens, en particulier un droit à la portabilité des données personnelles. Ce cadre juridique sécurisé permettra ainsi de renforcer la confiance des citoyens dans l’utilisation qui est faite de leurs données personnelles.

D’autre part, conformément à la volonté du Gouvernement de simplifier les normes et d’éviter la sur transposition des textes européens, ce projet de loi simplifie les règles auxquelles sont soumis les acteurs économiques tout en maintenant un haut niveau de protection pour les citoyens. Il remplace ainsi le système de contrôle a priori, basé sur les régimes de déclaration et d’autorisation préalables, par un système de contrôle a posteriori, fondé sur l’appréciation par le responsable de traitement des risques causés par son traitement. En responsabilisant les acteurs, il consacre également de nouvelles modalités de régulation et d’accompagnement des acteurs, au travers d’outils de droit souple. En contrepartie, les pouvoirs de la CNIL sont renforcés, et les sanctions encourues sont considérablement augmentées et portées jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial consolidé.

La protection des données personnelles

Le Gouvernement a toutefois fait le choix de maintenir certaines formalités préalables pour les traitements des données les plus sensibles, par exemple pour les données biométriques nécessaires à l’identification ou au contrôle de l’identité des personnes, ou ceux utilisant le numéro d’inscription au répertoire national d’identification des personnes physiques.

Les mineurs de moins de 16 ans seront également mieux protégés. Le consentement des titulaires de l’autorité parentale sera nécessaire pour que leurs données personnelles soient traitées par les services de la société de l’information, tels que les réseaux sociaux.

S’agissant des traitements de données à caractère personnel en matière pénale, le projet de loi renforce les droits des personnes en créant un droit à l’information et en prévoyant l’exercice direct de certains droits tels que les droits d’accès, de rectification et d’effacement des données. Il introduit également des règles encadrant les transferts de données à des Etats tiers.

Le Gouvernement a enfin fait le choix de conserver, dans un souci d’intelligibilité, l’architecture de la loi « informatique et libertés ». Les modifications apportées à notre droit par ce projet de loi seront codifiées, par voie d’ordonnance, dans la loi fondatrice de 1978 afin d’offrir un cadre juridique lisible à chaque citoyen et acteur économique.

Plus d’une entreprise française sur cinq ne sera pas en conformité avec la réglementation RGPD en mai 2018

Alors que 78% des entreprises françaises redoutent un vol de données dans l’année à venir, une étude révèle un manque de préparation général à 6 mois de l’entrée en vigueur de la réglementation RGPD.

La société Proofpoint, entreprise spécialisée dans la cybersécurité, indique que les entreprises ne seront pas prêtes pour mai 2018 et la mise en place du Règlement Général sur la Protection des Données (RGPD). Une étude paneuropéenne (Royaume-Uni, France, Allemagne) a analysé le niveau de préparation des entreprises en prévision de l’entrée en vigueur du nouveau règlement. Et il n’est pas bon !

Commanditée par Proofpoint et intitulée « RGPD : entre perception et réalité », cette étude révèle un décalage évident entre perception et réalité en ce qui concerne le niveau de préparation des entreprises par rapport au nouveau règlement RGPD. Alors que 44% des entreprises européennes pensent qu’elles sont déjà en conformité avec la réglementation et que 30% pensent qu’elles le seront au moment de son entrée en vigueur, seules 5% auraient effectivement mis en place toutes les stratégies de gestion de données nécessaires pour garantir cette mise en conformité.

Vol de données : la nouvelle norme

Les cyberattaques sont malheureusement devenues monnaie courante pour les entreprises qui doivent désormais intégrer pleinement les risques associés à leurs stratégies de sécurité pour se protéger. A l’image du piratage d’Equifax exposant les données personnelles de plus de 145 millions de citoyens américains ou du ransomware Wannacry ayant affecté plus de 200,000 ordinateurs dans 150 pays, tout le monde est concerné.

La France, semble particulièrement affectée, avec 61% des entreprises françaises qui déclarent avoir subi un vol de données personnelles durant les deux années écoulées (54% au Royaume Uni et 56% en Allemagne) et 78% d’entre elles qui redoutent un vol de données dans les 12 mois à venir (54% au Royaume-Uni et 46% en Allemagne).

Niveau de préparation RGPD : un décalage évident entre perception et réalité

Si les décideurs IT français semblent mieux préparés que leurs voisins (51% des répondants français pensent que leur organisation est déjà en conformité avec la réglementation RGPD, contre 45% au Royaume-Uni et 35% en Allemagne), l’étude révèle que plus d’une entreprise française sur cinq (22%) ne sera toujours pas en conformité avec la réglementation lors de son entrée en vigueur en mai 2018 (23% au Royaume-Uni et 34% en Allemagne). Un résultat finalement peu surprenant, considérant que seules 5% des entreprises auraient effectivement mis en place toutes les stratégies de gestion de données nécessaires pour garantir cette mise en conformité.

Les décideurs IT semblent pourtant conscients des enjeux, puisque 66% des répondants confient que leur budget a augmenté en prévision de l’entrée en vigueur de RGPD. Plus de sept entreprises sur dix en Europe ont par ailleurs monté des équipes projet dédiées RGPD et plus d’une sur quatre a désigné un responsable de la protection des données. A l’épreuve des faits, et alors que les entreprises avaient deux ans pour se préparer (adoption de la réglementation en avril 2016), seuls 40% des répondants révèlent que leur organisation a rempli un formulaire de mise en conformité RGPD.

Des méthodes de préparation différentes

Le règlement RGPD n’imposant pas de processus standard et uniforme pour se mettre en conformité, l’étude révèle des disparités en ce qui concerne les méthodes de préparation et la mise en œuvre de technologies en ligne avec la réglementation. Par exemple, 58% des décideurs IT français (56% au Royaume-Uni et 47% en Allemagne) confient avoir déjà mis en place des programmes internes de sensibilisation sur la protection des données, 49% ont défini des niveaux d’accès utilisateurs pour les systèmes de traitement des données (44% au Royaume-Uni et 34% en Allemagne), et 44% ont déjà des technologies de cryptage des données en place (46% au Royaume-Uni et 25% en Allemagne).

En outre, seule une entreprise française sur deux (55%) semble avoir déjà identifié quelles données personnelles sont en sa possession et comment elles sont traitées (contre 50% au Royaume-Uni et 42% en Allemagne). Ce résultat semble démontrer que même si certaines entreprises mettent en place des stratégies et reconnaissent l’importance de se mettre en conformité avec la RGPD, un nombre significatif d’organisations courent toujours le risque de ne pas savoir où seront leurs données à l’entrée en vigueur de la réglementation.

Conséquences de la non-conformité

Au vu de la complexité de la réglementation RGPD, de nombreuses entreprises envisageraient de se contenter de limiter leur exposition au risque plutôt que de viser une pleine conformité. Pourtant, cette non-conformité pourrait coûter cher aux entreprises. Les amendes prévues peuvent atteindre jusqu’à quatre pour cent du chiffre d’affaires annuel ou 20 millions d’euros. Au-delà des amendes, la non-conformité représente également un risque important de perte de confiance des clients et de perte de revenus.

Certaines entreprises envisagent déjà les risques associés à la non-conformité, puisque 36% des décideurs IT français (48% au Royaume-Uni et 47% en Allemagne) déclarent que leur entreprise est financièrement préparée à couvrir les amendes. D’autres prévoient plutôt un transfert de risque, avec 22% des répondants français révélant que leur entreprise est couverte par une cyber assurance en cas d’attaque informatique (24% au Royaume-Uni et 27% en Allemagne).

« Un vent d’optimisme semble souffler dans les entreprises puisque qu’il existe un décalage notable entre perception et réalité en matière de préparation à la réglementation RGPD », explique Vincent Merlin, Directeur Marketing EMEA et APJ chez Proofpoint. « A moins de 6 mois de l’entrée en vigueur du nouveau règlement, il devient pourtant urgent d’investir dans des solutions permettant de savoir précisément où sont les données, de mettre en place les contrôle de sécurité nécessaires et de surveiller et réagir à toute tentative de vol de données ».

Cadres, le RGPD pourrait vous coûter votre carrière

Le nouveau règlement sur les données privées, le RGPD, pourrait ralentir la carrière des cadres supérieurs dans le monde entier.

Les cadres supérieurs mettent en danger leur avancement de carrière en raison d’un grand manque de connaissances concernant la nouvelle législation sur la confidentialité des données. C’est ce que révèle une nouvelle étude internationale : si les cadres ne contribuent pas à l’hébergement de leurs données par des chasseurs de tête, ils risquent de manquer des opportunités de carrière cruciales et donc les augmentations de salaire typiques lorsque le Règlement général sur la protection des données (RGPD) sera entré en vigueur, en mai 2018.

Les cadres supérieurs risquent de passer à côté d’opportunités de carrière cruciales

L’étude Conséquences inattendues – Pourquoi le RGPD pourrait ralentir la carrière des cadres supérieurs dans le monde entier, a été réalisée par GatedTalent, un outil de mise en conformité avec le RGPD destiné au secteur du recrutement, auprès de plus de 350 cabinets de recrutement autour du monde. Elle montre que les cadres supérieurs sont généralement contactés par des chasseurs de tête au moins une fois par an, 32 % des répondants s’attendant même à être contactés trois à cinq fois par an. Pour que cela puisse être le cas, les cabinets de recrutement doivent pouvoir stocker les données reçues de cadres et dirigeants – mais le RGDP implique que bon nombre de recruteurs vont devoir changer la façon dont ils opèrent actuellement.

C’est le sentiment qu’exprime le Dr Bernd Prasuhn, de l’entreprise de recrutement Ward Howell, interviewé dans le cadre de la recherche : « Les cadres supérieurs qui espèrent atteindre un poste de direction un jour doivent être sur le radar des entreprises de recrutement des cadres, faute de quoi ils n’y parviendront jamais ».

Un manque considérable de connaissances sur le RGPD

Malgré tout, peu de cabinets de recrutement ayant participé à l’étude estiment que les cadres supérieurs sont conscients de la façon dont le RGPD risque d’affecter leur avancement. Jens Friedrich de l’entreprise de recrutement SpenglerFox, qui a été interrogé dans le cadre de l’étude, ne pense pas que les cadres supérieurs, qui comptent sur les chasseurs de tête pour leur proposer un nouveau poste, soient pleinement conscients de la façon dont le RGPD est susceptible d’affecter leurs options professionnelles, surtout quand on sait qu’un cadre supérieur change généralement de travail tous les 3 ou 4 ans. « Je pense que cela dépendra beaucoup des circonstances personnelles, à savoir s’ils travaillent dans un secteur susceptible d’être fortement affecté, par exemple, ou s’ils ont déjà été informés par une entreprise de recrutement. Cela variera vraisemblablement d’un pays à l’autre mais j’ai le sentiment que la prise de conscience sera minimale chez les cadres supérieurs ».

RGPD : un logiciel pour réaliser son analyse d’impact sur la protection des données (PIA)

Pour accompagner les professionnels dans leurs analyses d’impact sur la protection des données dans le cadre du réglement général sur la protection des données (RGPD), la CNIL met à disposition un logiciel PIA. Adopté en mai 2016, le RGPD entre en application le 25 mai 2018 dans tous les Etats membres de l’Union Européenne.

L’analyse d’impact sur la protection des données (Privacy Impact Assessment, PIA ou DPIA) est un outil important pour la responsabilisation des organismes. Cette bonne pratique fortement recommandée, et obligatoire dans certains cas. Construire des traitements de données respectueux de la vie privée. Démontrer leur conformité au règlement général sur la protection des données (RGPD).

Pour les accompagner dans cette démarche, la CNIL met à disposition un logiciel libre PIA. Cet outil ergonomique déroule l’intégralité de la méthode PIA développée par la CNIL dès 2015. L’application de cette méthode permet d’être conforme aux exigences définies dans les lignes directrices du G29. Le groupe des « CNIL européennes » les a adopté en octobre 2017. Des directions qui permettent aux professionnels de se familiariser à la méthode PIA. Bref, être prêt en mai 2018.

L’outil PIA offre plusieurs fonctionnalités pour mener à bien son PIA. Une base de connaissances contextuelle reposant sur le texte du RGDP. Des guides PIA. Un Guide sécurité publiés par la CNIL.

Lors de l’avancée de l’analyse, la base présente les contenus les plus pertinents ; des outils de visualisation permettant de comprendre en un coup d’œil l’état des risques du traitement étudié. Actuellement présenté dans sa « version beta », des améliorations et enrichissements pourront être apportés au logiciel en fonction des retours utilisateurs.

Publié sous licence libre, vous pouvez développer de nouvelles fonctionnalités répondant à vos besoins spécifiques et les partager par la suite avec la communauté. La CNIL proposera une version finalisée en 2018, avant l’entrée en application du règlement.

RGPD : choisir entre l’anonymisation ou la pseudonymisation des données personnelles

Anonymisation ou pseudonymisation ? Le Règlement Général sur la Protection des Données (RGPD) entrera en vigueur dans quelques mois, le 25 mai 2018. Avec la digitalisation et l’augmentation accrue du nombre de données, cette nouvelle réglementation européenne demande à toute entreprise manipulant des données personnelles et toute information permettant d’identifier une personne, de mettre en place les moyens techniques adéquats pour assurer la sécurité des données des citoyens européens.

Anonymisation ou pseudonymisation ? Deux grandes techniques très distinctes mises en avant dans la réglementation RGPD / RDPG mais qui sont pourtant souvent confondues dans le monde de la sécurité informatique : l’anonymisation des données et la pseudonymisation des données. Pour être conforme à la RGPD, il est important de pouvoir faire la différence, afin de s’assurer d’être bien préparé et de protéger correctement les données des citoyens.

Data anonymization (anonymisation) ou comment anonymiser l’information

La technique de l’anonymisation des données détruit toute possibilité de pouvoir identifier à quel individu appartiennent les données personnelles. Ce processus consiste à modifier le contenu ou la structure des données en question afin de rendre la « ré-identification » des personnes quasi impossible, même après traitement.

Cette méthode, intéressante au départ, reste pourtant difficile à mettre en œuvre dans la mesure où plus le volume de données croît, plus les risques de ré-identification par recoupement sont importants. En effet, des informations totalement anonymisées peuvent conduire à l’identification d’une personne en fonction du comportement relevé dans les informations, comme les habitudes de navigation sur internet, les historiques d’achats en ligne. Par exemple, si une entreprise garde les données de l’employée Sophie, même en les rendant anonymes (plus de nom, prénom, date de naissance et adresse), l’humain ayant des habitudes, il reste tout de même possible de déterminer un comportement spécifique : L’entreprise saura par exemple que Sophie se rend sur le même site d’information tous les matins, consulte ses mails quatre fois par jours et aime visiblement commander tous les jeudis son déjeuner au restaurant au coin de la rue. Au final, même anonymisées, les habitudes de comportement de Sophie permettent de la ré-identifier.

Or, la CNIL rappelle que « pour qu’une solution d’anonymisation soit efficace, elle doit empêcher toutes les parties d’isoler un individu dans un ensemble de données, de relier entre eux deux enregistrements dans un ensemble de données (ou dans deux ensembles de données séparés) et de déduire des informations de cet ensemble de données. »

Pour de nombreuses entreprises donc, l’anonymisation totale des données personnelles reste difficile à mettre en œuvre. Ces dernières se tournent alors vers une autre technique qui apparait comme un bon compromis : la pseudonymisation.

La pseudonymisation ou l’anonymisation des données

La réglementation RGPD introduit un nouveau concept de protection des données à échelle européenne, la pseudonymisation, un « entre deux » qui ne rend pas les données complètement anonymes ni complètement identifiables non plus. La pseudonymisation consiste à séparer les données de leurs propriétaires respectifs pour que tout lien avec une identité ne soit possible sans une information supplémentaire. En résumé, il s’agit d’une technique d’amélioration de la vie privée où les données d’identification directes sont conservées séparément et en toute sécurité à partir des données traitées, afin de garantir la non-attribution. Ainsi, dans le contexte de la pseudonymisation, les données ne sont pas complètement anonymes sans être identifiables pour autant.

L’unique point faible de la pseudonymisation est qu’elle génère une clé d’identification, une pièce maîtresse qui permet d’établir un lien entre les différentes informations des personnes. Pour assurer la sécurité des données, ces clés d’identification doivent être stockées avec un contrôle d’accès performant. En effet, une clé d’identification mal protégée permet à un attaquant de retrouver les informations originales avant que ces dernières ne soient traitées. L’utilisation du chiffrement des données sensibles fait partie des solutions robustes de protection des informations confidentielles en matière de pseudonymisation. Et il est du devoir de l’entreprise de mettre en place les solutions de sécurité adéquates et raisonnables permettant de limiter les risques de vols de ces précieuses clés par des personnes mal attentionnées.

Les entreprises ont le choix entre les techniques d’anonymisation et de pseudonymisation des données personnelles pour être conformes au RGPD. Leur choix dépendra de leurs besoins mais aussi de la nature des informations collectées. Si l’anonymisation est une technique qui peut être difficile à mettre en place, la pseudonymisation permet de simplifier le processus de protection des données personnelles tout en restant conformes à la nouvelle réglementation européenne. (Jan Smets, pre-sales manager chez Gemaltode)

RGPD : la protection des données, mais à quel prix ?

Sur les lèvres de tous les marketeurs depuis maintenant plusieurs mois, le RGPD – Règlement Général sur la Protection des Données – entrera officiellement en vigueur le 25 mai 2018. Bien plus qu’un simple hashtag à la mode, ce règlement va impacter les services marketing de l’ensemble des entreprises en Europe, qui vont devoir faire face à de nouveaux défis de taille.

À la lecture du règlement RGPD, qui tend à homogénéiser autour d’un même texte les pratiques de collecte et de traitement des données des consommateurs au sein de l’Union Européenne, un premier constat s’impose : les changements à prévoir au sein des services marketing concernés ne seront pas révolutionnaires. Il s’agit davantage d’une version plus intégrée, mieux approfondie, de principes et préceptes existants. Avec néanmoins une nouvelle arme fatale : des sanctions sévères en cas d’infraction et une amende maximale portée à 20 millions d’euros ou 4% du CA mondial annuel, le montant le plus important étant retenu. Si l’on transpose l’amende infligée par la CNIL à Facebook, celle-ci passerait de 15 000 euros à 1 milliard : plus du tout la même histoire !

Le consentement, pour mieux collecter

Bien que le principe de consentement du consommateur soit un prérequis évident pour certains, le nouveau règlement exige que les modalités autour de son obtention soient renforcées et clarifiées.

Les entreprises ont, comme auparavant, l’obligation de demander au consommateur l’autorisation de collecter et d’utiliser ses données personnelles afin que leur traitement soit validé. Toutefois, pour obtenir cette autorisation, elles ne peuvent désormais plus pré-cocher les cases prévues à cet effet. De même, elles doivent noter que les autorisations obtenues ne sont plus irrévocables : le consommateur peut demander la suppression de ses données quand il le souhaite et où qu’elles aient été transmises. Il bénéficie également d’un droit d’opposition à l’utilisation de ses données à des fins de marketing direct, et d’un droit d’opposition au profilage selon les informations qu’elles contiennent.

Afin d’encadrer le traitement de ces données, les entreprises devront, par ailleurs, intégrer à leur effectif un Data Protection Officer (DPO) qui sera le garant de sa conformité.

La transparence, pour mieux fidéliser

Si le consommateur décide d’accepter que ses données personnelles soient collectées et utilisées, encore faut-il qu’il sache à quelle fin ! Aussi les organisations devront-elles expliquer clairement et simplement – le règlement met particulièrement l’accent sur ce point – aux institutions comme aux consommateurs l’utilisation qui sera faite des données.

Ce précepte va de paire avec la notion de privacy by design : les marketeurs doivent, dès lors qu’ils établissent une campagne de marketing ou les bases d’un traitement, penser à mettre en œuvre l’ensemble des principes du règlement, mais aussi fournir de la documentation prouvant que ces principes ont bien été pris en compte à chaque étape du projet… par chacune des parties concernées.

La sécurité, pour mieux protéger

Les sous-traitants voient leur responsabilité s’accroître, afin que les normes soient respectées et que la sécurité des données soit assurée. Tous ont l’obligation de communiquer aux consommateurs les failles et le vol éventuel de leurs données.

De même, le RGPD interdit la transmission des données personnelles des citoyens européens hors Union européenne vers les pays[1] où la protection des données est jugée insuffisante par la Commission européenne[2]. Par exemple, les entreprises européennes ne peuvent pas impunément utiliser les services de sociétés américaines. Charge aux marketeurs de s’équiper des outils développés pour leur permettre d’apporter un niveau de protection suffisant : règles internes d’entreprise (BCR), Clauses Contractuelles Types et adhésion aux principes du « Privacy Shield ».

Aujourd’hui seul garant d’un respect des données européennes outre-Atlantique, le Privacy Shield est néanmoins fortement contesté et pourrait, à l’instar de son prédécesseur le Safe Harbor, être finalement abandonné. Dans ce cas, les prestataires « Privacy Shield Compliants » risquent de mettre leurs clients européens dans une position inconfortable face à la CNIL. Si le Privacy Shield est maintenu, les audits de sous-traitants américains requis par le RGPD seront difficilement réalisables, et particulièrement couteux.

Le ciblage, pour mieux toucher

À l’instar des services bancaires et de téléphonie mobile, les entreprises doivent désormais permettre la portabilité et la récupération des données et les transmettre en cas de demande aux instances souhaitées. Mais surtout, le RGPD fait la part belle à l’ennemi antinomique du big data, la data minimization, qui préfère la qualité à la quantité. Plutôt que de collecter le maximum d’informations, afin d’en extraire ensuite une donnée potentiellement intéressante, il s’agit de ne collecter que les informations les plus pertinentes : la data n’est plus big, elle est smart.

En filigrane de ce nouveau règlement, un appel au retour aux sources. Le terme data vient du latin dare : « donner en main propre ». Les consommateurs et les clients, en acceptant de donner « en main propre » leurs données personnelles à une entreprise, expriment la confiance qu’ils lui accordent. Il est donc essentiel, pour ne pas rompre ce lien de confiance, que les consommateurs sachent que l’entreprise fait le nécessaire pour protéger ces données, et qu’elle collabore avec des sous-traitants à même d’en assurer la sécurité.

Entre simple formalisation de pratiques courantes et réel bouleversement des habitudes, la data privacy ‘version 2018’ imposée aux marketeurs n’aura qu’un seul but : protéger les citoyens européens et respecter – enfin – leurs souhaits. (par Marc Désenfant, Directeur général d’ACTITO France)

[1] https://www.cnil.fr/fr/la-protection-des-donnees-dans-le-monde
[2] Sont reconnus « adéquats » l’Islande, le Liechtenstein et la Norvège, ainsi que Andorre, l’Argentine, le Canada, les Iles Féroé, l’Ile de Man, Guernesey, Jersey, Israël, l’Uruguay et la Suisse.

Les entreprises françaises trop sûres d’elles face au RGPD

Règlement européen sur la protection des données (RGPD) : Les entreprises françaises seraient-elles trop confiantes vis à vis de leur conformité réglementaire ?

A moins de 8 mois de l’entrée en vigueur du RGPD, le Règlement Général sur la Protection des Données  le 25 mai 2018, Trend Micro a souhaité vérifier si les entreprises étaient bien préparées. Pour ce faire, l’éditeur a conduit une étude internationale auprès de 1 000 cadres dirigeants à travers une dizaine de pays, dont la France.

Les entreprises françaises : vraiment prêtes ?

98 % des entreprises françaises savent qu’elles doivent se conformer au RGPD et 92 % des cadres dirigeants affirment avoir déjà pris connaissance des dispositions légales s’y rapportant, conscients de l’importance de la règlementation. De même, la moitié d’entre eux connait le montant des pénalités financières en cas de non-conformité, démontrant une certaine avance en comparaison d’autres pays tels que le Royaume-Unis où seuls 27 % des dirigeants sont conscients que leur entreprise encourt une amende équivalente à 4 % du chiffre d’affaires.

Cependant, les entreprises ne semblent ni aussi préparées ni aussi protégées qu’elles le prétendent. En effet, une certaine confusion demeure quant à la nature exacte des données personnelles à protéger. L’étude démontre par exemple que les cadres dirigeants français sont encore nombreux à ignorer que sont considérées comme des données personnelles : la date de naissance d’un client (67 %), les bases de données marketing contenant des mails (33 %), les adresses postales (27 %) ou encore les adresses électroniques (21 %).

La bonne compréhension des principes généraux du RGPD s’accompagne donc d’un certain excès de confiance puisque près de 8 entreprises françaises sur 10 (79 %) affirme pourtant que leurs données sont totalement sécurisées (89 % aux États-Unis). Une majorité d’entre elles (33 %) estime d’ailleurs n’avoir besoin que de 7 à 12 mois pour se mettre en conformité.

Mise en conformité : quelles étapes, quels obstacles ?

Les étapes considérées comme prioritaires par les entreprises françaises pour se conformer à la règlementation sont l’augmentation de la police d’assurance en cas de faille (60 %) et l’embauche d’une tierce personne en charge de la conformité (58 %). Sur ce sujet, on constate une divergence entre les pays : en Allemagne (64 %), aux Etats-Unis (63 %) et au Royaume-Uni (58 %), investir davantage pour sécuriser le SI reste en effet la première priorité.

Trend Micro s’est également attaché à mettre en lumière les principaux freins liés à la mise en conformité. Ainsi parmi les personnes sondées, le manque de processus clairs et d’informations liées à l’appartenance des données (34 %) et les ressources financières nécessaires (32 %) sont perçus comme les principaux obstacles.

Les entreprises françaises : suffisamment transparentes vis-à-vis de leurs clients ?

Selon l’étude, 97 % des entreprises françaises déclarent avoir d’ores et déjà mis en place un processus permettant de prévenir les autorités en charge de l’application du RGPD dans les 72 heures suivant la détection d’une faille de données. Cependant, 27 % admettent ne pas prévenir leurs clients suite à une fuite de données… un point sur lequel d’autres pays font preuve de davantage de transparence, puisque 13% des organisations américaines et 14% des entreprises anglaises déclarent ne pas avertir leurs clients. En France, ce manque de rigueur est largement décrié par les clients qui, à 81 %, demandent plus de transparence sur la protection et l’utilisation de leurs données.

Quant aux conséquences, 43 % des cadres dirigeants estiment qu’une faille de données survenant après l’entrée en vigueur du RGPD aurait un impact négatif sur la fidélité de leurs clients, tandis que 30 % d’entre eux considèrent que l’impact serait davantage d’ordre financier.

L’appartenance des données est quant à elle une question encore relativement floue pour les entreprises françaises. En effet, en cas de fuite de données européennes détenues par un prestataire de services américain, 57 % pensent que la responsabilité revient au propriétaire des données en Europe et 25 % au prestataire de services basé aux Etats-Unis. La tendance varie aux Etats-Unis, 43 % des sondés considérant que la faute incombe au prestataire de services et 42 % au propriétaire des données.

Mise en place du RGPD : mais qui est responsable au sein de l’entreprise ?

En France, 46 % des personnes interrogées tiennent le RSSI pour responsable de la mise en conformité, tandis que cette tâche revient à l’ensemble de l’entreprise aux yeux des entreprises allemandes (40%), anglaises (37 %) et américaines (38 %). « Si cette étude illustre bien la prise de conscience et le chemin parcouru, elle confirme cependant que le processus de mise en conformité ne doit pas être pris à la légère », commente Loïc Guézo, Stratégiste CyberSécurité Europe du Sud, Trend Micro. « En effet, les entreprises se doivent de mettre en place des solutions de protection des données efficaces pour éviter d’exposer leur réputation et ne pas mettre en péril la relation de confiance construite avec leurs clients ».

RGPD : étude sur la préparation et la mise en conformité

A moins de 8 mois de l’entrée en vigueur du Règlement Général sur le Protection des Données (RGPD), F-Secure dévoile les chiffres français de son étude, réalisée avec le panel Toluna, consacrée au niveau de maturité des entreprises européennes, tous secteurs confondus.

L’étude révèle le manque de sensibilisation des professionnels interrogés aux nouvelles exigences qui vont leur être imposées ou encore aux moyens de s’y préparer, puisque seulement 37 % d’entre eux se sentent totalement familiers avec le RGPD et les implications pour l’organisation. Malgré tout, 88,9 % ont confiance sur le fait que leur entreprise soit préparée à la mise en conformité, et 44,7 % estiment être parfaitement conformes à ce jour. Un grand nombre de professionnels se sent donc prêt sans pour autant maîtriser l’ensemble du règlement. Le principal frein étant selon eux le manque de personnel qualifié (21,7%), disposant des compétences clés. Viennent ensuite le manque de budget (20,3%) et le manque de compréhension face aux enjeux et à l’urgence de la situation (14,3 %).
[EtudeRGPD4.PNG]

Le règlement conforte le rôle du Data Protection Officer (DPO), anciennement appelé Correspondant Informatiques et Liberté (CIL), obligatoire pour les organismes publiques et les organismes privés collectant des données dites sensibles ou personnelles à grande échelle. Son rôle sera de veiller au respect de la nouvelle réglementation européenne. Plus de la moitié des entreprises (53,8 % des répondants) identifient un DPO dans leur organisation, ce qui confirme la prise de conscience du sujet.

Sur la question de la responsabilité, le DSI est au centre du jeu : 45,7 % des professionnels interrogés estiment que la mise en conformité doit être assurée par le département IT/Sécurité et ils sont 69,7% à le considérer comme responsable en cas de fuite de données ou d’attaque. Concernant la participation, le département juridique n’est directement concerné que pour 30%, tout comme le département RH (30,3%). La direction générale est quant à elle considérée comme participant à la mise en conformité pour 23,3% des personnes interrogées.

L’étude nous révèle un fait étonnant : alors que les services marketing vont devoir mettre à jour les politiques de confidentialité de leurs sites internet, s’assurer de la bonne gestion du consentement utilisateur mais aussi interroger leurs prestataires de services (marketing automatisé, gestion de la relation client), ils ne sont pas perçus comme des participants impliqués dans la mise en conformité (8%).

Le RGPD implique une vigilance accrue au niveau des cyber attaques et la mise en place d’un plan d’action. L’étude révèle à ce sujet un retour plutôt optimiste de la part des professionnels concernant la capacité de réaction et de réponse des organisations face à ce type d’incident, puisque 78,9 % sont convaincus que leur organisation est capable de détecter une intrusion, et 69,7 % pensent que cette dernière dispose d’un plan de réponse fonctionnel en cas d’intrusion. 46,6% pensent que leur organisation a détecté entre 1 et 5 attaques les 12 derniers mois, un chiffre à mettre en relation au 26,3 % qui pensent n’avoir jamais subi d’attaques.

Le fait est que peu d’organisations ont mis en place des services ou solutions adaptés pour prévenir les fuites de données et répondre en cas d’incidents. Un constat que l’on retrouve à travers l’étude puisque seulement 18,1 % des profils interrogés ont mis en place un outil de gestion des évènements et des informations de sécurité (SIEM), 20,1 % un outil de gestion des vulnérabilités, 22,1 % un outil de gestion des correctifs, et près de 28% un service de réponse à incident.

« Avec la médiatisation d’attaques de grande ampleur telles que WannaCry et le RGPD, dont la date de mise en application se rapproche à grand pas, 2017 marque l’année de la prise de conscience pour les entreprises.», déclare Olivier Quiniou, Head of Corporate Sales, France, UK, Irlande et BeNeLux chez F-Secure. « Qu’il s’agisse d’attaques ciblées ou de masse, ce sont toutes les entreprises et organisations qui sont aujourd’hui concernées. La différence se situe dans la prise de conscience de ces dernières : il y a celles qui savent qu’elles ont été attaquées et celles qui ne le savent pas. C’est le constat dressé par notre étude européenne. 2018 doit être pour les entreprises l’année de l’action ».

Le RGPD : 81% des entreprises ne seront pas en conformité en mai 2018

La course contre la montre a déjà commencé pour le RGPD… Dès le 25 mai 2018, la nouvelle règlementation européenne définie fin 2015 s’appliquera et viendra renforcer la protection des consommateurs au niveau européen. Le non-respect sera puni par des sanctions financières importantes. Elles s’insèrent dans une politique générale de la communauté européenne de définition d’un espace européen. Alors que seulement 19% des entreprises estiment pouvoir être en conformité en mai 2018, le RGPD constitue un enjeu majeur pour tous les acteurs du e-Commerce.

Le nouveau règlement européen s’applique à toute entreprise qui collecte, traite et stocke les données personnelles des ressortissants européens dont l’utilisation peut identifier une personne. Tous les acteurs économiques (entreprises, associations, administrations) doivent dès à présent mettre en œuvre les actions nécessaires pour se conformer aux règles. Le changement majeur réside dans l’obligation pour les entreprises de justifier l’ensemble des traitements de données qu’elles effectuent (récoltées au cours de création de comptes, d’inscriptions à une newsletter, de préférences de navigation…). Par exemple, lorsqu’un client se désabonne d’une newsletter ou change ses coordonnées téléphoniques sur son compte client, il appartiendra à l’entreprise de prouver que le changement a bien été effectué et de fournir le détail du traitement (heures, adresse IP…). Sur demande du particulier et à tout moment ses données pourront être supprimées, modifiées ou restituées. L’objectif est de rendre aux consommateurs la maîtrise de leur identité et de l’usage commercial de ses informations personnelles.

Enfin une protection renforcée pour les e-acheteurs !

Les consommateurs doivent comprendre clairement ce qu’ils acceptent comme traitements sur les sites e-commerce et la portée de leurs consentements. Les techniques modernes de marketing e-Commerce (retargetting, suggestions de produits…) doivent être explicitement acceptées par les particuliers. Ils disposent également d’un accès direct à leurs informations personnelles. En pratique, ils pourront demander la portabilité de leurs informations (données de commandes, listes d’envie…) et obtenir un double consentement pour leurs enfants.

En cas de fuite de données, l’internaute sera informé dans les 72 heures par l’entreprise, la responsabilité pouvant incomber au sous-traitant responsable de la fuite ou à l’hébergeur si ce dernier a été attaqué. Pour s’assurer du respect de ces nouveaux droits, le législateur a rendu possibles les actions collectives via des associations.

TPE/PME – La mise en œuvre du RGPD dans le e-Commerce

D’ici mai 2018 toutes les entreprises devront respecter la nouvelle réglementation. Cette mise en œuvre implique une bonne compréhension à la fois des obligations et des moyens d’y parvenir. Les sites e-Commerce devront assurer le plus haut niveau possible de protection des données. Pour garantir la sécurité des données personnelles de leurs clients les marchands devront déployer tous les moyens techniques et respecter des règles strictes : la mise en œuvre d’un registre de consentements, la conservation des données, la sécurisation des mails transactionnels, le cryptage des mots de passe…. Un délégué à la protection des données (DPO) sera désigné pour assurer la mise en place et le suivi de ces actions.

On passe dans une logique de responsabilisation totale de l’entreprise, une nécessité au regard des plus de 170 000 sites ne seront pas en conformité avec le règlement européen en mai 2018.

Rappelons que chaque jour des milliers d’attaques visent la totalité des acteurs du e-Commerce. La sécurité des données et des infrastructures techniques sont les enjeux majeurs du monde du web. Le nombre total de cyber-attaques a augmenté de 35% en l’espace d’un an. En France nous en avons recensé plus de 15 millions au 1er trimestre 2017 ce qui représente 4,4% des attaques mondiales.

Un cadre contraignant pour les entreprises et des impacts majeurs à court terme

Le baromètre RGPD démontre qu’à ce jour 44% des entreprises considèrent déjà qu’elles ne seront que partiellement conformes. Les sanctions en cas de manquement aux obligations imposées par la règlementation sont financières et indexées sur le chiffre d’affaires de l’entreprise. Elles peuvent atteindre de 10 à 20 millions d’euros ou 2 à 4% du CA, la sanction la plus élevée sera retenue. Un nouveau concept émerge : le « Privacy By design », un gage de qualité et de réassurance pour les entrepreneurs à la recherche d’une sécurisation optimale des données clients. Un site conçu en « Privacy by Design » garantit qu’aucun module n’a été ajouté à la structure du site et que la solution a été élaborée avec la protection des données comme prérequis à chaque étape de la mise en ligne du site.

RGPD : Comment les entreprises réagissent face au cadre réglementaire lié à la protection des données ?

A la lumière des récentes attaques et de l’évolution du paysage réglementaire en matière de protection des données, McAfee publie un nouveau rapport intitulé : ‘Do you know where your data is? Beyond GDPR : Data residency insights from around the world’ qui met en évidence l’approche des entreprises en matière de localisation, de gestion et de protection desdites données.

Comment les entreprises appréhendent-elles, au niveau mondial, la dizaine de réglementations (11) relatives à la sécurité des données, dont fait partie le Règlement Général sur la Protection des Données (RGPD) de l’Union Européenne ? A compter du 25 mai 2018, ce texte renforcera et simplifiera les lois protégeant les données personnelles pour plus de 500 millions d’Européens.

« Aujourd’hui, les entreprises ont pris conscience que des réglementations plus strictes envers la protection des données profitent aussi bien à leurs résultats qu’aux consommateurs. Cependant, plusieurs ont des obstacles à surmonter à court terme pour se conformer à aux prochaines législations en vigueur. C’est notamment le cas pour la réduction du temps nécessaire au signalement d’un vol de données induit par le RGPD, par exemple« , commente Raj Samani, Chief Scientist – McAfee.

Les principaux enseignements du rapport ‘Do you know where your data is? Beyond GDPR : Data residency insights from around the world’ de McAfee portent sur :

La délocalisation du lieu de stockage des données. Près de la moitié (48 %) des entreprises migreront leurs données vers un nouvel emplacement en raison d’un cadre législatif jugé plus contraignant. Pour 70 % des décideurs interrogés, l’implémentation du RGPD permettra à l’Europe de s’affirmer comme un leader en termes de protection des données. Les États-Unis restent toutefois la destination de stockage de données la plus populaire au monde, plébiscitée par près de la moitié des répondants.

En comparaison, la plupart des entreprises sont incertaines de l’endroit où leurs données sont stockées. Seules 47% connaissent, en temps réel, leur emplacement.

Le potentiel commercial offert par la confidentialité. Trois-quarts des décideurs (74 %) estiment que les entreprises qui appliqueront à la lettre ces lois/règlements attireront davantage de nouveaux clients.

Les règlements et les mesures sont un frein à l’acquisition et à l’investissement technologiques. Environ deux tiers des répondants disent que le RGPD (66 %), les politiques américaines (63 %) et le Brexit (63 %) ont déjà ou auront une incidence sur les investissements de leur entreprise en matière d’acquisition technologique. La moitié (51 %) est convaincue que leur société est freinée dans sa modernisation en raison des réglementations externes inhérentes à la protection des données.

L’opinion publique est essentielle à la prise de décision en matière de données. Une grande majorité des entreprises (83 %) prend en compte le sentiment public en matière de confidentialité de la donnée avant de choisir leur emplacement de stockage.

Les entreprises mettent en moyenne 11 jours à signaler une faille de sécurité (vol de données, intrusion, etc.).

Les fournisseurs de services Cloud inspirent confiance. Huit sociétés sur dix prévoient, au moins en partie, de s’appuyer sur leur fournisseur de services Cloud pour les accompagner dans leur mise en conformité en matière de protection des données.

Seulement 2 % des managers comprennent véritablement les lois qui s’appliquent à leur entreprise, bien que la majorité des répondants (54 %) est persuadée que leur Direction a une « compréhension complète » des règles inhérentes à la protection des données.

Le rapport révèle, dans son ensemble, des convictions opposées quant aux réglementations relatives à la protection des données. D’un côté, les événements mondiaux (cyber et généraux) et le renforcement des politiques de protection des données font réfléchir les décideurs au moment d’investir technologiquement. De l’autre, la plupart des entreprises cherchent à stocker ces mêmes données dans les pays ayant les politiques de protection les plus strictes. « De toute évidence, les lois en matière de conformité, aussi contraignantes soient-elles, sont bénéfiques, tant pour les clients que pour la rentabilité d’une entreprise. A l’avenir, une sensibilisation et une compréhension accrues des données devraient conduire à une meilleure utilisation et à une meilleure protection », ajoute Fabien Rech, Directeur Régional McAfee France.

Smart city et données personnelles : quels enjeux de politiques publiques et de vie privée ?

Le LINC (Laboratoire d’innovation numérique de la CNIL) publie son 5ème cahier Innovation et prospective intitulé : « La plateforme d’une ville – Les données personnelles au cœur de la fabrique de la smart city ».

Ce cahier « Smart City » explore les enjeux politiques et sociaux qui émergent autour de la place croissante des données dans la ville, au-delà de la seule conformité à la loi Informatique et Libertés ou au Règlement Général sur la Protection des Données (RGPD). Ce cahier entend également contribuer aux débats et questionnements en cours sur la smart city, à travers un prisme de lecture et un éclairage propres à la CNIL : l’accompagnement de l’innovation couplé à la protection des données et des libertés individuelles en contexte urbain. Il s’adresse à tous les acteurs qui gravitent autour de ces questions, et notamment aux collectivités locales, qui font face à de nouvelles problématiques.

Il souligne les conséquences de la massification des données sur les politiques publiques urbaines et en particulier sur les équilibres dans les rapports public / privé. Il propose de remettre en perspective la ville au prisme de l’économie des plateformes, et des équilibres de force entre acteurs publics, acteurs privés et citoyens. Après une première partie décrivant les limites de l’expression « smart city », la mise en données de la ville numérique est abordée selon trois angles :

Quand les modèles économiques des plateformes transforment la ville : ou comment l’arrivée des grands acteurs du numérique dans les services urbains (Sidewalk CityLab, Waze Connected Citizen de Alphabet/Google, Uber ou Facebook) pose la question des contreparties réelles demandées aux individus et aux acteurs publics pour des services présentés comme gratuits.

La ville liquide : à qui profitent les flux ? : ou comment la promesse de la ville fluide pose la question de la liberté et des droits des individus qui parfois réduits à une somme d’éléments à optimiser et de problèmes à résoudre par la technologie.

Vers un mode « navigation privée » dans l’espace public ? : ou comment les impératifs de sécurité et la généralisation des dispositifs de captation mettent à mal l’anonymat, pourtant constitutif de la ville.

Dans une dernière partie, quatre scénarios prospectifs de régulation permettant d’engager un rééquilibrage privé/public par les données sont explorés. Ils sont mis en perspective pour répondre aux questions suivantes :

Comment organiser un retour vers l’acteur public de données produites par l’entremise des individus dans le cadre de services portés par des acteurs privés ?
Comment permettre à ces acteurs publics de réutiliser ces données à forte valeur ajoutée pour des finalités d’intérêt général, dans le respect des droits des entreprises en question, ainsi que des droits et libertés des personnes concernées ?

Ces quatre scénarios, présentés dans une matrice à quatre entrées comme autant de leviers actionnables, envisagent notamment des configurations privilégiant le recours à :

un « open data privé obligatoire » ;
des « données d’intérêt général augmentées » ;
des solutions de « plateformes d’accès aux données »,
la « portabilité citoyenne » ;

Sans privilégier l’un ou l’autre de ces scénarios, qui ne sont pas exclusifs, il s’agit de présenter l’économie générale de chacun, de souligner leurs potentialités et de mettre en lumière les enjeux qu’ils soulèvent pour la protection des données personnelles des citoyens.

Ce cahier IP est distribué avec son tiré à part, « Voyage au centre de la ville de demain », qui expose trois scénarios à horizon 2026 conçus dans le cadre d’ateliers de design fiction, organisés et animés par LINC en partenariat avec Five by Five (agence d’innovation) et Usbek & Rica (magazine d’exploration du futur).

Fuite de données idiotes pour le Casino Graton Resort

Un certain nombre de données sensibles appartenant aux clients de la société Graton Resort and Casino ont été diffusées par erreur par le groupe de casinos !

On ne connait pas le nombre exacte des clients touchés par la fuite de données sensibles qui vient d’impacter l’entreprise Graton Resort and Casino. Ce professionnel de l’hôtellerie vient d’annoncer une boulette. Un courriel envoyé aux clients contenait les informations personnelles, privées et sensibles des autres clients.

Bref, un service makerting (Internet ou partenaires extérieurs) qui utilise un fichier Excel contenant les informations des clients et qui se retrouve en copié collé en lieu et place de la promotion du moment. Identités, adresses et numéro de sécurité sociale (l’identité administrative, NDR) des clients ont été diffusés. La lettre envoyée par Graton Resort and Casino indique que cette erreur a été détectée le 1er septembre 2017.

La fuite a eu lieu … entre février et août 2017. Ils ne sont même pas capable de connaître la véritable date de diffusion. « Il est important de noter que ce n’était pas une violation de données ou un piratage« , a indique le communiqué de presse. « Ce fut une erreur humaine« .

Fait troublant, le 15 septembre, un bug sur le réseau informatique interne d’un casino du groupe a obligé certains joueurs à rester 4 heures devant leur bandit manchot ou les machines vidéo poker. Le réseau permettant de valider les paiement automatiques était tombé en panne !

A noter que si cette fuite était apparue après le 25 mai 2018, date de la mise en fonction du Nouveau Règlement liée aux données privées des Européens, le casino Américain aurait été dans l’obligation d’alerter les CNIL des pays liés aux clients de la zone Europe impactés.

Les RSSI craignent les failles de sécurité dans le cloud public

Selon une récente étude, les RSSI craignent les failles de sécurité dans le cloud public, mais seule une entreprise sur six chiffre toutes ses données.

Selon une récente étude publiée par la société Bitdefender, neuf professionnels de l’informatique sur dix se disent inquiets de la sécurité dans le cloud public, et près de 20 % d’entre eux n’ont pas déployé de système de sécurité pour les données sensibles stockées hors de l’infrastructure de l’entreprise. La moitié des personnes interrogées admet que la migration vers le cloud a significativement élargi le nombre de points qu’ils ont à défendre, tandis que seule une sur six chiffre les données déjà migrées. Cette enquête a été menée auprès de 1 051 professionnels en informatique de grandes entreprises comptant plus de 1 000 PC et des datacenters ; aux États-Unis, au Royaume-Uni, en France, en Italie, en Suède, au Danemark et en Allemagne.

Parmi les nouvelles exigences, l’obligation de protéger correctement les données, et en cas de violation, l’obligation pour les entreprises d’avoir en place des systèmes de notification conformes aux critères de la RGPD. L’adoption grandissante du cloud hybride – un mélange de services de cloud public et de datacenters privés, déjà en place dans 70 % des entreprises dans le monde – donne naissance à de nouveaux défis en matière de sécurité et oblige les RSSI à adopter diverses technologies pour contrer les exploits de type Zero-day, les menaces persistantes avancées et autres types de cybercrimes dévastateurs.

Qui dit cloud hybride dit problèmes hybrides
Près de 81 % des RSSI estiment que les logiciels de sécurité sont le dispositif de sécurité le plus efficace pour protéger les données stockées dans le cloud public, suivi de près par le chiffrement (mentionné par 77 % des répondants) et les sauvegardes (jugées fiables par près de la moitié des personnes interrogées).

Selon cette enquête, un grand nombre d’entreprises françaises – quatre sur dix – protègent de 31 à 60 % des données stockées dans le cloud public, tandis que seules 17 % d’entre elles chiffrent l’intégralité de celles-ci. Autre sujet d’inquiétude : 19 % des RSSI ne déploient pas de sécurité dans le cloud public, et le même pourcentage ne chiffre pas les données en transit entre leur propre datacenter et les datacenters externes.

Les spécialistes en cybersécurité de Bitdefender recommandent que tous les transferts de données entre le client et le prestataire de services cloud soient chiffrés pour éviter les attaques de type man-in-the-middle susceptibles d’intercepter et de déchiffrer toutes les données transmises. En outre, toutes les données stockées en local ou dans le cloud doivent être chiffrées pour empêcher les cybercriminels de les lire en cas de violation de données ou d’accès non autorisé.

Pour se conformer à la RGPD, les entreprises doivent identifier les données qui relèvent du règlement – « toute information se rapportant à une personne physique identifiée ou identifiable » –, consigner la manière dont ces données sont protégées et définir des plans d’intervention en cas d’incident.

L’enquête montre également que 73 % des responsables informatiques utilisent une solution de sécurité pour endpoint afin de protéger les infrastructures physiques et virtuelles, mais que 24 % ont mis en place d’autres outils. Parmi ceux-ci, 77 % l’ont fait pour protéger des clients sensibles et des données de clients, 70 % citent la conformité aux exigences internes et réglementaires, et 45 % veulent empêcher les interruptions de service suite à une attaque.

Une sécurité sur mesure face aux cyberarmes les plus élaborées
Les spécialistes Bitdefender conseillent fortement aux RSSI d’utiliser une infrastructure de sécurité centralisée, à la fois pour les environnements physiques et virtuels, mais étant capable de s’adapter à l’environnement sur lequel elle est déployée, et ce pour éviter trois inconvénients majeurs :

– L’augmentation des coûts généraux : l’installation d’une solution pour endpoint sur plusieurs machines virtuelles hébergées sur le même serveur impacte les ressources en exécutant en permanence des applications redondantes telles que les agents de sécurité.

– La réduction significative des performances : celle-ci sera inévitable si des outils de sécurité pour environnements virtualisés ne sont pas déployés. En effet ceux-ci utilisent des agents optimisés intégrés à des appliances virtuelles de sécurité sur le ou les serveurs, pour que les fichiers déjà analysés ne soient pas réanalysés à chaque fois qu’un utilisateur en a besoin.

– L’absence de protection lors du démarrage : les environnements virtuels ont souvent à faire face à des cyberarmes plus sophistiquées que celles observées pour les environnements physiques, telles que les menaces persistantes avancées ou les attaques ciblées, qui visent aussi bien les entreprises que les entités gouvernementales (exemple APT-28, et plus récemment Netrepser). En la matière, une sécurité adaptée aux environnements virtuels est de loin la solution la plus efficace pour détecter et combattre ces menaces complexes.

Ce qui est stocké dans le cloud public ne doit pas être rendu public

Les entreprises françaises sauvegardent principalement dans le cloud public des informations relatives à leurs produits (52 %), à leurs clients (44 %) et à leurs finances (45 %) et évitent de sauvegarder hors site ce qu’elles considèrent comme des données plus sensibles, telles que les recherches sur de nouveaux produits ou la concurrence (respectivement 40 % et 32 %) ou ce qui touche à la propriété intellectuelle (17 %). Elles chiffrent donc plus souvent des informations et caractéristiques de produits (36 %), des informations sur leurs clients (29 %), des informations financières (35 %) que leurs sauvegardes (17 %), leurs recherches sur la concurrence (17 %) et les informations relatives à la propriété intellectuelle (12 %).

« Le risque de ne pas être conforme à la RGPD implique non seulement une mauvaise publicité et une atteinte à la réputation des entreprises, comme c’est déjà le cas, mais également des pénalités qui peuvent atteindre 4 % du chiffre d’affaires annuel d’une entreprise », explique Bogdan Botezatu, Analyste senior des e-menaces chez Bitdefender. « 2017 ayant déjà établi de nouveaux records en termes de magnitude des cyberattaques, les comités de direction doivent réaliser que leur entreprise connaitra sans doute, sous peu, une violation de données, car la plupart d’entre elles ne sont pas correctement protégées. »

Lors de la sélection d’une solution de cloud hybride, les spécialistes Bitdefender recommandent aux entreprises d’analyser le type de données qu’elles traitent et d’en évaluer le caractère sensible – aussi bien pour l’entreprise que pour ses clients. Les données critiques, personnelles et privées touchant à la propriété intellectuelle doivent être enregistrées sur site, et n’être accessibles qu’au personnel autorisé.

Les entreprises qui traitent des données sensibles ou confidentielles, ou des données relatives à la propriété intellectuelle, doivent veiller à ce que leur infrastructure de cloud privé reste privée. Aucune personne hors du réseau local ne devrait être en mesure d’accéder à ces données et seul le personnel autorisé doit avoir les accès nécessaires pour les traiter. Le cloud privé doit être complètement isolé de l’Internet public pour empêcher les pirates d’accéder à distance, aux données via des vulnérabilités.

En ce qui concerne les défis à relever, 32 % des RSSI français considèrent le cloud public comme leur principale priorité, un pourcentage quasiment identique au pourcentage de RSSI préoccupés par le cloud privé (34 %). 16% déclarent accorder une même importance aux deux, et 15 % estiment que le cloud hybride est leur principale source d’inquiétude.

La moitié des entreprises interrogées considère le manque de prédictibilité, le manque de visibilité sur les menaces, ainsi que le manque de plateformes de sécurité multi-environnements, comme étant les principaux défis de sécurité en ce qui concerne l’adoption du cloud.

Données personnelles : L’Europe et les États-Unis dans des directions opposées

Depuis l’élection de Donald Trump à la tête des États-Unis, la confidentialité des données personnelles est au cœur des préoccupations des deux côtés de l’Atlantique. Et il semble que les États-Unis et l’Union Européenne aient des idées divergentes sur la direction à suivre.

Nous utilisons tous des outils numériques au quotidien. Souvent, sans même nous en rendre compte, nous échangeons nos données personnelles contre la gratuité des services. En effet, l’ensemble de nos activités sur le web et même l’utilisation d’objets connectés génèrent des données que collectent et monétisent de grandes entreprises. Lorsqu’il s’agit de simples recherches sur le Web ou de la visite de sites et réseaux sociaux, il est rare de se soucier des traces que nous laissons. Mais qu’en est-il lorsqu’il est question de dossiers médicaux, juridiques, ou financiers ? Ceux-ci relèvent non seulement de la vie privée mais plus encore, de l’intimité des individus. Le problème est que la frontière entre ce qui est public et ce qui doit rester privé est relativement flou.

Alors les dispositions mises en place favorisent-elles trop souvent les entreprises ? Les citoyens doivent-ils reprendre la main sur l’exploitation de leurs données ? Jusqu’où les entreprises peuvent-elles utiliser nos données ? Autant de question à soulever et que l’on retrouve en Europe comme aux USA. C’est l’UE qui a choisi de légiférer afin de protéger ses citoyens avec l’entrée en vigueur en mai prochain du Règlement Général sur la Protection des Données (RGPD), mais pas seulement. Un autre règlement de l’UE destiné à protéger les données personnelles lors de communications électroniques va s’appliquer.

Ce projet de loi est à l’opposé de l’ordonnance du président américain qui vient supprimer la nouvelle loi de protection des données privées qui devait s’appliquer d’ici la fin de l’année. Promulguée sous le mandat Obama, elle aurait obligé les fournisseurs d’accès à Internet (FAI) à recueillir clairement le consentement des utilisateurs pour partager des données personnelles. Cela concernait les informations telles que la géolocalisation, les informations financières, de santé, sur les enfants, les numéros de sécurité sociale, l’historique de navigation Web, de l’utilisation d’une application et le contenu des communications. En outre, les FAI se seraient vu contraints de permettre à leurs clients de refuser le partage d’informations moins sensibles, comme une adresse électronique par exemple.

Mais les conflits entre les États-Unis et l’UE portant sur la protection des données, ne reposent pas seulement sur cette ordonnance. Les actualités récentes autour de l’immigration ont quelque peu masqué une autre législation qui remet en cause l’avenir du Privacy Shield. Remplaçant de l’accord « Safe Harbor », Privacy Shields a été imaginé avec le RGPD à l’esprit, ce qui signifie que l’application de l’un sans l’autre rend illégal le traitement de données issues d’entreprises européennes par des entreprises américaines… avec par conséquent un impact important sur les services cloud.

Pour le Royaume-Uni, la situation se compliquera aussi en 2019 car, en quittant l’Union Européenne, il quittera également le Privacy Shield.

La protection de la vie privée est donc intrinsèquement liée aux données et les prestataires doivent pouvoir offrir des garanties à leurs clients. Le Privacy Shield par exemple, permet de chiffrer facilement et de déplacer les données et les charges de travail entre les fournisseurs de cloud. Cela donne une assurance face aux incertitudes actuelles qui touchent les entreprises de l’UE et des États-Unis. Dans le même temps, des acteurs comme Microsoft ou Amazon renforcent leurs capacités de stockage de données en Europe, pour faire face aux demandes éventuelles d’entreprises européennes à déplacer leurs données sur le Vieux Continent au cas où les choses resteraient floues ou empireraient.

Les informations personnelles font partie intégrante de l’activité moderne et l’on ne peut pas ignorer ce fait. LE RGPD va être le nouveau point de référence pour leur protection et le conflit entre ceux qui voudront protéger les données privées et les autres souhaitant les exploiter est bien parti pour durer ! (Par Philippe Decherat, Directeur Technique chez Commvault)

Seconde fuite de données pour Verizon

Découverte d’une nouvelle fuite de données concernant la société Verizon. Encore des données confidentielles et sensibles non protégées.

On prend les mêmes et on recommence pour Verizon et ses données ! Des experts du centre de recherche sur la sécurité de l’entreprise Kromtech/MacKeeper ont découvert une nouvelle fuite de données concernant l’opérateur américain Verizon. Une fois encore, des données confidentielles et sensibles sans protection.

Les données divulguées incluaient 100Mo de journaux de serveurs et d’informations d’identification pour les systèmes internes. Une fois encore, un cloud Amazon AWS S3 protégé avec les pieds ! La sauvegarde mal protégée contenait des informations sur les systèmes internes de Verizon Wireless [Distributed Vision Services].

La découverte date du 20 septembre. Pas de données clients, mais ce n’est pas pour autant rassurant pour les utilisateurs de cette entreprise. Certains documents découverts affichaient des avertissements de type « matériaux confidentiels et exclusifs » [confidential and proprietary materials]. Ils proposaient des informations détaillées sur l’infrastructure interne, y compris les adresses IP du serveur et les hôtes routeurs globaux de Verizon !

Une Cyberattaque, un véritable un coût pour votre business ?

Les nouvelles technologies font désormais partie de notre quotidien, ce qui signifie que la cybersécurité et les risques associés deviennent de plus en plus importants. Cette dépendance accrue de l’informatique rend indispensable la sensibilisation aux impacts financiers d’une cyberattaque au sein d’une entreprise.

Le coût après une cyberattaque, y avez-vous pensé ? Il est relativement facile de calculer la valeur des actifs matériels ou immatériels et des coûts connexes. Mais qu’en est-il des coûts associés aux temps d’arrêt opérationnel ou à d’autres impacts sur l’activité d’une entreprise en cas d’incident en sécurité ? La société iTrust revient sur cette problématique question. On y apprendre que l’étude Ponemon a chiffré le coût moyen d’un incident en cybersécurité dans les entreprises européennes : 3,7 millions euros. En parallèle, le coût par employée d’une fuite de données continue d’augmenter : 201 $ en 2014, 217 $ en 2015 et 221 $ en 2016. Les industries fortement réglementées ont les coûts les plus élevés (402 $ pour l’industrie des soins de santé, par exemple). Ces coûts permettent d’expliquer pourquoi, en 2016, les coûts liés à des violations de données variaient de 4,9 millions de dollars pour moins de 10 000 dossiers compromis à 13,1 millions de dollars pour plus de 50 000 dossiers. D’ici 2019, Panda Labs Juniper Research estime que la cybercriminalité coûtera aux entreprises plus de 2 billions de dollars. Bref, une cyberattaque a un coût sur votre business, à coup sûr !

RADWARE’S HACKERS CHALLENGE 2017

RADWARE’S HACKERS CHALLENGE 2017 : Radware’s et CISCO organisent un ethical hacking challenge. A gagner, entre autres, un voyage tout frais payé à au Black Hat Europe 2017.

Vouloir découvrir la sécurité informatique par le biais d’un concours, voilà une idée qui fait son chemin. Vous avez envie de vous tester à la sécurité informatique, vous avez envie d’accrocher à votre CV un concours d’ethical hacking ? Le RADWARE’S HACKERS CHALLENGE 2017, organisé par Radware’s et CiSCO, est fait pour vous. Il se déroulera le mardi 20 juin 2017 au Karé à Boulogne-Billancourt. Inscription et participation gratuite. Il est même possible de venir en simple spectacteur. ZATAZ.COM propose de découvrir les règles du jeu et le scénario.

Brexit, ou le déclenchement d’un cyber-risque Européen

Cyber-risque : A quelques jours du second tour des présidentielles, et tandis que certains candidats affirment leur volonté de quitter l’Union Européenne à l’instar de nos voisins britanniques, les discussions sur les conséquences d’une telle décision sont animées.

Outre la dimension économique, la mise en application par le Royaume-Uni de l’article 50 du traité de l’Union Européenne selon lequel « tout État membre peut décider, conformément à ses règles constitutionnelles, de se retirer de l’Union » marque un nouveau moment d’incertitude en termes de cybersécurité. Le début des négociations pourrait en effet conduire à une hausse des pratiques malveillantes de la part des hacktivistes ainsi qu’à du phishing politique, ce qui suscite naturellement des inquiétudes autour du partage continu des connaissance de sécurité.

Pour Jean-François Pruvot, Regional Director France, chez CyberArk, alors que trop d’entreprises adoptent la politique de l’autruche concernant les potentielles implications de ce basculement, la collaboration cruciale entre les organisations et les membres de l’UE peut pourtant les aider à garder le contrôle :

« Internet est un vaste exutoire où les utilisateurs partagent leurs frustrations, certains pouvant aller jusqu’à y exercer des actes de vengeance. Les réactions suscitées par le Brexit risquent ainsi de conduire à une augmentation des cyberattaques contre nos voisins britanniques. Selon les derniers chiffres publiés par Gemalto, les attaques hacktivistes ont enregistré une hausse de 31 % en 2016. En effet, les gouvernements, media, infrastructures critiques et tout organisme impliqué de près ou de loin dans le Brexit, qu’ils soient en faveur ou contre lui, sont de potentielles cibles d’attaques et doivent donc rester sur le qui-vive ; il suffit d’un individu aux idées politiques ou idéologiques très fortes pour s’emparer de privilèges et causer d’importants dégâts ! Les entreprises peuvent garder une longueur d’avance sur les pirates informatiques engagés en gérant notamment l’accès aux comptes de réseaux sociaux institutionnels. La protection des accès à privilèges permet également d’empêcher les assaillants d’étendre insidieusement leur empreinte initiale à travers les systèmes.

Cyber-risque

Par ailleurs, l’article 50 reste confus pour un grand nombre d’individus en ce qui concerne ses implications et la manière dont nous – consommateurs et entreprises – devons y répondre. Les cybercriminels s’appuyant sur l’incertitude, le Brexit représente une opportunité en or pour nous effrayer et nous inciter à agir. En effet, le mois suivant les résultats du référendum, des chercheurs de Symantec ont identifié une augmentation de 392 % des emails de spam utilisant le terme « Brexit » dans leur objet pour cibler les individus et organisations. Une nouvelle preuve, s’il en fallait, que les entreprises doivent être diligentes et mettre en place les mesures de sécurité appropriées !

Les tentatives de phishing, de cyber-risque, liées à l’article 50 peuvent en effet assurer le succès d’une attaque ransomware ou permettre à un cybercriminel de s’introduire à l’intérieur des défenses périmétriques puis d’installer une base d’opérations au sein du réseau. Le début des négociations autour de la sortie du Royaume-Uni, devrait donc servir de rappel opportun pour éduquer les employés sur les bonnes pratiques relatives aux emails, comme ne pas ouvrir les pièces jointes émanant d’expéditeurs inconnus, ou encore s’assurer qu’ils possèdent les bons outils de sécurité pour empêcher une tentative de phishing.

C’est pourquoi face aux recrudescences d’attaques, les agences d’intelligence britanniques et internationales doivent impérativement rester soudées pour anticiper et stopper toute cyberactivité hostile pouvant émaner d’autres pays. Le Royaume-Uni, ou tout autre nation souhaitant quitter l’Union, doit donc impérativement veiller à ne pas s’isoler au risque de devenir une cible plus attrayante. L’une des meilleures solutions pour que les entreprises gardent le contrôle reste la collaboration cross-secteurs, encourageant ainsi les dirigeants à partager leurs bonnes pratiques et leurs connaissances pour lutter ensemble contre la cybercriminalité. Quelle qu’en soit la nature, les changements d’une telle ampleur sont une vulnérabilité pour les organisations, et l’adaptation à ces paysages à risques doit donc faire partie intégrante de leurs plans. Une problématique qui ne touche finalement pas seulement le Royaume-Uni ou les pays qui envisagent également un « exit » ! A bon entendeur. » (Par Jean-François Pruvot, Regional Director France, chez CyberArk)

Développement des risques numériques et assurance

Des offres assurance lancées afin de préserver les TPE et PME des conséquences des risques numériques.

Risques numériques – Generali Protection Numérique est une nouvelle offre proposant assistance, réparation et indemnisation aux TPE et PME exposées aux conséquences des cyber-risques. En cas d’incident numérique, l’entreprise couverte bénéficie des services coordonnés de Generali, d’Europ Assistance et d’ENGIE Ineo afin de rétablir son activité. Interlocuteur principal de l’entreprise, Europ Assistance prend en charge le dossier et accompagne le client tout au long de la gestion du sinistre. La réparation et la sécurisation du système informatique attaqué sont confiées à ENGIE Ineo, Generali indemnisant les conséquences matérielles du dommage (équipements, perte d’exploitation, …) ainsi que la responsabilité civile.

Le risque numérique, une menace encore trop sous-estimée par les TPE-PME

41% des TPE et PME touchées par un cyber-incident connaissent une baisse ou interruption de leur activité, révèle une récente enquête IFOP-Generali. Les petites entreprises sont d’autant plus exposées aux cyber-risques qu’ils résultent d’actes informatiques malveillants, c’est-à-dire d’attaques, dont le risque est augmenté par l’imprudence humaine. Pourtant, seule une entreprise sur trois se dit consciente d’être exposée aux risques numériques. « La majorité de petites entreprises ne pensent pas être concernées, déclarent exercer une activité non ciblée, être dans une structure trop petite et bénéficier de protections fiables », explique Régis Lemarchand, membre du comité exécutif de Generali en charge du marché des entreprises. « Pourtant, l’analyse de la fréquence de leurs sauvegardes et les moyens de protection mis en place révèlent un niveau de protection limité. » Les petites et moyennes entreprises représentent d’ailleurs 77% des victimes d’attaques numériques en France.

Des conséquences lourdes pour les données et l’activité des entreprises

Du ransomware à l’espionnage informatique, du vol de données à l’installation insoupçonnée d’un logiciel malveillant, les incidents numériques sont à l’origine de nombreuses complications non seulement pour les entreprises touchées, mais aussi pour les partenaires, fournisseurs ou clients. « Les conséquences sont graves et multiples, pouvant aller jusqu’à l’arrêt prolongé de l’activité, voire même la disparition de l’entreprise. Frais d’expertise informatique et de reconstitution des données découlent fréquemment de ces incidents. Une atteinte à la réputation de l’entreprise peut aussi générer une perte de confiance des clients, très dommageable pour l’entreprise victime », explique Laurent Saint-Yves, responsable Cyber-sécurité d’ENGIE Ineo.

Generali Protection Numérique anticipe par ailleurs un besoin futur des TPE et PME, concernées par le nouveau cadre juridique européen qui entrera en application le 24 mai 2018. Renforçant l’obligation de notification, le règlement général sur la protection des données (RGPD) contraint les entreprises à informer dans un délai de 72 heures les autorités et les personnes physiques dont les données personnelles ont fait l’objet d’une violation. En cas de non-respect, les sanctions financières peuvent aller jusqu’à 4% du chiffre d’affaires annuel de l’entreprise ou 20 millions d’euros. Pourtant seules 17% des entreprises interrogées par l’IFOP et Generali déclarent avoir connaissance du RGPD.

Cette assurance prend en charge les dommages et pertes subis, notamment les frais d’expertise et de remédiation, les coûts liés à la reconstitution des données et aux notifications règlementaires mais aussi les pertes d’exploitation et les frais supplémentaires engendrés par l’incident. Les conséquences pécuniaires de la responsabilité civile sont également couvertes, en inclusion de l’offre. Generali Protection Numérique inclut des services dédiés à la résolution des incidents, complétés d’une sécurité financière adaptée à la taille de l’entreprise (TPE-PME).

Au sein de l’offre Generali Protection Numérique, ENGIE Ineo assure l’expertise technique liée à l’incident numérique. « Nos collaborateurs ont développé un savoir-faire reconnu dans les solutions liées à la transition énergétique et numérique », souligne Jean-Louis Marcucci, Directeur général adjoint d’ENGIE Ineo. Les experts d’ENGIE Ineo établissent un diagnostic pour qualifier la nature de l’incident et vérifier le caractère cyber de l’attaque. Puis ils procèdent à l’investigation et collectent les preuves de l’attaque. Ils assurent enfin les prestations liées notamment à la restauration et la reconstitution des données. Les experts mobilisés sont en mesure de collaborer avec les équipes dédiées à l’informatique au sein des entreprises. La garantie temps d’intervention (GTI) pour prendre en charge techniquement le dossier est d’une heure. L’intervention des experts d’ENGIE Ineo permet donc de réduire fortement les conséquences d’un risque numérique avéré et assurer la reprise de l’activité dans les meilleures conditions.

Alors qu’on constate que deux à trois attaques ciblées en moyenne par mois et par entreprise atteignent leur objectif  , le Groupe Saretec, acteur de la prévention et de la gestion des risques, dévoile son offre dédiée au risque cyber. Développée en partenariat avec Exaprobe, expert intégrateur en cyber sécurité, l’offre compte trois volets permettant de couvrir l’intégralité du risque cyber, du pentesting à la réponse à incident en passant par l’évaluation des pertes, la recherche de responsabilités et la formation des équipes.

Une offre modulable en trois temps chez Saretec

« Tout est parti d’un constat pourtant simple : le cyber risque est aujourd’hui géré de façon contractuelle, sans réelle implication des DSI concernées et sans souplesse. Or, nous sommes convaincus que sa complexité nécessite d’être adressée par une approche holistique de type service« , résume Alain Guède, DSI du Groupe Saretec. L’assureur a élaboré une offre en trois briques : avant, pendant et après l’incident Cyber et s’articule en cinq packs : Check, Crise, Réparation, Responsabilité et Sérénité.

AVANT (auditer, prévenir) : un audit du niveau de protection engagé afin de faire correspondre les termes du contrat à la nature et à l’importance des risques encourus.
PENDANT (stopper et expertiser) : l’élaboration d’un plan de réponse à incident pour circonscrire l’attaque dans les délais les plus brefs, en identifiant l’origine, et réparer l’incident.
APRES (réparer et capitaliser) : l’évaluation des dommages (financiers, de notoriété, pertes d’informations, …), la communication de crise, la détermination de la chaîne de responsabilité (juridique et assurantielle) et le retour d’expérience pour réajuster les moyens de prévention.

Lancée pour les PME, les ETI et les grandes entreprises, cette cyber réponse promet aux assurances de maximiser leurs gains dans la mesure où le travail de sécurisation du SI est garanti à la source et limite par conséquent le montant du dédommagement.

RSSI, un métier qui bouge

La place et la perception de la sécurité du numérique sont en pleine évolution dans les entreprises. La transformation numérique est désormais stratégique pour elles. La conscience des cyber-risques, longtemps négligés par les dirigeants, augmente avec la nécessité de se mettre en conformité avec une réglementation sévère. Bien au-delà du Service Informatique, les cyber-menaces sont désormais des risques économiques, mais aussi d’image pour l’entreprise, touchant la Direction générale, la Direction financière et le marketing. Une vision globale qui fait bouger la fonction de Responsable de la Sécurité des Systèmes d’Information.

Le RSSI conserve bien sûr son rôle technique. Mais il est désormais au cœur d’un dispositif qui l’oblige à « communiquer » avec les métiers, à expliquer les mesures de sécurité adoptées et leurs contraintes. Il doit convaincre la Direction générale, de la nécessité d’investir dans certaines technologies. Le RSSI devient un partenaire et un conseiller pour chaque métier : la sécurité est l’affaire de tous.

La sécurité change de niveau

La culture numérique est inscrite dans la pratique quotidienne des générations des années 2010. La distinction entre les outils de la vie privée et ceux de la vie professionnelle s’estompe. Le RSSI doit adapter son action, devenir plus réactif et plus agile. L’écosystème des solutions de sécurité s’élargit, et avec lui le champ du métier. La mutation est plus qu’amorcée, elle est déjà inscrite, par exemple, dans la pratique des métiers marchands connectés. Le RSSI est devant d’énormes volumes de données complexes dont l’intégrité doit être conservée face aux cyber-attaques. Pour répondre à cette accélération des volumes et à cette complexité, il a besoin de disposer de capacités d’analyses de plus en plus performantes pour traiter et analyser ce que l’on nomme le Big Data. Les outils ont eux-mêmes évolué, intégrant des fonctionnalités plus riches et une souplesse toujours plus grande. Ses responsabilités ont donc très largement augmenté, tout en se diversifiant. Cette expertise très ouverte fait qu’il doit manier des outils qui élargissent son champ d’action tout en lui permettant de se concentrer sur son métier de garant de la sécurité.

Rssi : Des outils qui répondent à l’exigence

Les solutions à sa disposition doivent donc être très performantes tout en restant faciles à utiliser et simples à maintenir. Le SIEM (security information and event management) est l’unique moyen automatisé pour un RSSI de traiter les données des logs générés par le réseau et les outils de sécurité. Tout produit connecté générant des logs, ceux-ci sont collectés, corrélés et analysés pour détecter et bloquer les mouvements suspects ou les attaques et alerter sur les dysfonctionnements. Désormais, les solutions de SIEM agissent en agrégeant les informations internes et externes issues des bases de données de Threat intelligence ou de réputation.

Une plateforme de gestion des informations et des événements de sécurité doit être très flexible pour collecter, analyser et surveiller toutes les données, qu’elles viennent du réseau, des applications, des bases de données, des infrastructures, qu’elles concernent des actifs sensibles, des systèmes industriels ou des systèmes de sécurité.

Rssi : Faire sienne la réglementation

Des obligations comme le Règlement Général sur la Protection des Données ou la Loi de Programmation Militaire imposent en France de mettre en place une solution permettant à l’entreprise de respecter ces règlements, sous peine de pénalités financières. Le RSSI doit anticiper ces obligations, intégrant ainsi dans sa démarche la responsabilité de l’entreprise. Il a besoin de s’appuyer sur des expertises et des solutions qui s’adaptent facilement pour rester en phase avec ses besoins – anticipation des demandes de conformité, défense transparente contre la cybercriminalité et la fraude et optimisation des opérations IT… La tâche n’est pas mince pour relever ce challenge permanent de l’évolution des compétences, des connaissances et des risques. (par Frédéric Saulet, Directeur Régional Europe du Sud de LogPoint)