Archives par mot-clé : confiance

La confiance : plus qu’un simple mot dans le monde de la cybersécurité

La notion de confiance est aujourd’hui au centre de nombreux débats dans le secteur de la cybersécurité. Elle revêt une dimension stratégique qui amène sans cesse de nouvelles questions et les tensions géopolitiques, fortement perceptibles en 2018, ont eu de nouvelles répercussions dans le cyberespace. Les exemples ne manquent pas à ce sujet.

Outre les soupçons sur l’origine étatique de cyberattaques majeures ou l’ouverture d’écoles de cyber-espionnage dans certains pays, l’année 2018 a été marquée par l’annonce d’embargo contre certains fournisseurs pour risque d’espionnage, ou encore de nouvelles suspicions sur la présence de portes dérobées dans des technologies étrangères. Huawei, notamment, en a fait les frais. Ce contexte crée le doute en termes de fiabilité et d’intégrité des produits logiciels, notamment en ce qui concerne les solutions de cybersécurité. En effet, ces dernières sont particulièrement sensibles de par leur fonction de « gardien du temple ». Avoir le contrôle sur les systèmes de protection, c’est obtenir un accès direct aux ressources protégées. C’est pourquoi, le choix des partenaires cybersécurité n’a jamais été aussi crucial pour les entreprises et les institutions.

Sur l’épineuse question des portes dérobées ou de l’affaiblissement des mécanismes de chiffrement, les positions prises par les États diffèrent. La Russie a déjà légiféré pour obliger les éditeurs à fournir aux autorités un moyen d’accéder à des communications chiffrées. Les Etats membres de l’Alliance des Five Eyes* souhaitent également imposer l’introduction de faiblesses dans les logiciels. L’objectif principal et officiel est de pouvoir déchiffrer certains échanges qui pourraient être liés à des activités terroristes et de partager l’information entre les services de renseignement.

Bien entendu, lutter contre le terrorisme est une cause prioritaire. On peut cependant s’interroger sur le bien-fondé de cette volonté de créer des backdoors qui pourraient être un moyen détourné d’accéder aux informations sensibles des entreprises ou des particuliers. Tous les scénarii sont alors envisageables : espionnage étatique, accès à des secrets industriels, atteinte aux libertés individuelles, etc. Autant d’éléments qui ne sont en aucun cas liés à la guerre contre le terroriste et qui pourraient nuire gravement à la protection du patrimoine informationnel des entreprises et des institutions.

Comme évoqué précédemment, ces backdoors ne font pas l’unanimité. L’Europe notamment se positionne très clairement contre leur mise en place et préconise un chiffrement de bout en bout dans les communications afin d’en garantir une totale sécurité. Déjà en 2017, le Vice-Président de la Commission Européenne martelait cette position en mettant en avant la menace induite par l’utilisation de portes dérobées qui peuvent être exploitées par la cybercriminalité. En effet, l’affaiblissement d’un système de protection ou de chiffrement pourrait tout à fait être découvert puis utilisé par des personnes malintentionnées, leur offrant ainsi une voie royale pour réaliser leurs méfaits.

Ce constat montre encore une fois que la notion de confiance numérique va bien au-delà de considérations purement technologiques et fonctionnelles pour intégrer une dimension éminemment géopolitique. L’origine des technologies numériques, et notamment celles qui manipulent ou protègent des données sensibles, est un pilier de cette confiance numérique. Les entreprises doivent prendre en compte cette donnée stratégique dans leur raisonnement avant de confier les clés de la sécurisation de leur système d’information à un fournisseur. En ce sens, un travail de sensibilisation continue est nécessaire auprès des organisations privées et publiques. Les éditeurs européens doivent, de leur côté, être plus transparents sur leurs positions et adopter une posture commune. On peut également se féliciter des travaux en faveur de la confiance numérique entrepris à l’échelle européenne et par différentes agences gouvernementales à l’image de l’ANSSI. La qualification de produits de sécurité portée par l’agence française impose, par exemple, une revue de code source pour s’assurer du niveau de robustesse des fonctions de protection et de l’absence de portes dérobées. Gageons que cette initiative sera reprise plus largement dans le futur cadre de certification européen pour lequel a été récemment mandaté l’ENISA. (Matthieu Bonenfant – CMO Stormshield)

*Alliance qui réunit les services de renseignement des États-Unis, Australie, Nouvelle-Zélande, Royaume-Uni et Canada.

Transparence et la loyauté des plateformes numériques.

Bruno Le Maire, ministre de l’Economie et des Finances, et Mounir Mahjoubi, secrétaire d’État auprès du premier ministre chargé du Numérique renforcent la transparence et la loyauté des plateformes numériques.

A l’heure où les plateformes numériques sont devenues des acteurs déterminants de l’économie et jouent un rôle décisif dans les décisions que prennent les consommateurs, et au lendemain de la proposition portée par le Président de la République auprès de nos partenaires européens à Tallin le 29 septembre dernier de prendre une initiative européenne pour créer de la transparence sur le comportement des plateformes et inciter aux bonnes conduites, Bruno Le Maire et Mounir Mahjoubi ont signé trois décrets (voir ci-dessous), renforçant les obligations de transparence et de loyauté qu’elles doivent respecter.

Pris en application de la loi pour une République Numérique du 7 octobre 2016, ces décrets sont le fruit d’une large concertation au sein du conseil national de la consommation (CNC) ainsi qu’avec les représentants des entreprises des secteurs concernés.

D’ici à la fin de l’année 2017, les plateformes qui valorisent des contenus, des biens ou des services proposés par des tiers, tels que les moteurs de recherche, réseaux sociaux ou comparateurs, préciseront les critères de référencement et de classement qu’elles utilisent. Elles devront par exemple préciser dans quelle mesure le montant de leur rémunération entre en compte dans l’ordre de présentation des contenus.

Protéger les internautes

Alors qu’un internaute sur deux déclare consulter les avis en ligne avant un achat, les sites publiant des avis de consommateurs devront, de plus, préciser s’ils ont été vérifiés et, dans ce cas, de quelle manière cette vérification a été effectuée.

Par ailleurs, les places de marchés et sites d’économie collaborative devront fournir des informations essentielles qui peuvent orienter les choix des consommateurs et qui ne sont pas toujours facilement accessibles à ce jour : la qualité du vendeur (professionnel ou non), le montant des frais de mise en relation facturés par la plateforme, l’existence ou non d’un droit de rétraction, l’existence ou non d’une garantie légale de conformité ou encore les modalités de règlement des litiges.

Enfin , avant la fin de 2018, les plateformes les plus visitées, c’est-à-dire celles dont le nombre de connexions mensuelles est supérieur à 5 millions de visiteurs uniques, appliqueront des bonnes pratiques en matière de clarté, de transparence et de loyauté, qui devront être consultables en ligne.

Transparence et la loyauté des plateformes numériques.

Bruno Le Maire précise que « Les plateformes jouent un rôle majeur dans l’économie numérique, et sont un point d’accès à de nombreux services en ligne pour tous les français. Ces décrets permettront aux consommateurs d’accéder à des informations claires, objectives et transparentes, pour renforcer la confiance en l’information présentée sur ces plateformes. L’objectif est de mieux équilibrer les relations entre plateformes et utilisateurs. »

Pour Mounir Mahjoubi, « ces textes incarnent à la fois la volonté du gouvernement français de mettre en place une meilleure régulation des plateformes, mais visent également à traduire, en termes concrets, la proposition présentée par le Président de la République à nos partenaires européens à Tallin le 29 septembre dernier : développer et porter une initiative européenne pour créer de la transparence sur le comportement des plateformes, car le numérique ne doit pas être régi par la loi du plus fort. La France assume ainsi pleinement l’ambition de faire de l’espace numérique un lieu où les principes d’équité et de loyauté sont respectés. »

Décret n° 2017-1434 du 29 septembre 2017 relatif aux obligations d’information des opérateurs de plateformes numériques https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000035720908&dateTexte=&categorieLien=id

Décret n° 2017-1435 du 29 septembre 2017 relatif à la fixation d’un seuil de connexions à partir duquel les opérateurs de plateformes en ligne élaborent et diffusent des bonnes pratiques pour renforcer la loyauté, la clarté et la transparence des informations transmises aux consommateurs https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000035720925&dateTexte=&categorieLien=id

Décret n° 2017-1436 du 29 septembre 2017 relatif aux obligations d’information relatives aux avis en ligne de consommateurs https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000035720935&dateTexte=&categorieLien=id

Près de la moitié des français n’achèterait pas à une entreprise piratée

78 % des français souhaitent plus de condamnations et des sanctions plus sévères envers les cyber criminels qui volent les données personnelles.

F5 Networks a présenté dernièrement les résultats d’une étude sur les attitudes des français face au piratage. L’étude révèle que les français prennent conscience des problèmes liés au piratage – avec 47 % qui affirment qu’ils n’ouvriraient pas de compte, ne partageraient pas de données ou n’achèteraient pas à une entreprise déjà piratée par le passé (50 % en UK – 51 % en Allemagne).

Même si 49 % des français changent parfois ou à chaque fois leur mot de passe si une entreprise dans laquelle ils possèdent un compte a été piratée, nous sommes encore 17 % à ne jamais changer nos mots de passe après le piratage d’une entreprise dans laquelle nous possédons un compte (8 % en UK – 9 % en Allemagne).

https://twitter.com/zataz/status/783060182205161472

Les motivations des pirates
Selon les français, les pirates sont principalement motivés par le fait de gagner de l’argent grâce au vol de données personnelles (60 %), suivi par la possibilité de souligner des failles dans l’entreprise et les solutions de sécurité (9 %) puis de dérober des secrets d’affaires (8 %). Nous sommes également près de 60 % à penser que les pirates deviennent plus professionnels (72 % en UK – 64 % en Allemagne) et 22 % à penser que les employés ne reçoivent pas des formations appropriées en matière de cybersécurité.

A qui la faute ?
Les français sont partagés : 39 % d’entre eux pensent que la responsabilité doit être attribuée aux solutions de sécurité elles-mêmes, alors que 37 % pensent que l’équipe IT et sécurité est responsable, si l’entreprise est victime d’une cyber attaque. Alors que les britanniques et les allemands sont plus tranchés : ils sont respectivement 52 % et 53 % à penser que la responsabilité doit être attribuée à l’équipe IT et sécurité. 49 % des français estiment également que les entreprises ne prennent pas assez de mesures pour elles-mêmes et leurs clients afin de se protéger contre les cyber criminels, comparativement à 61 % en Angleterre et 46 % en Allemagne. « Les individus pensent de plus en plus qu’il est de la responsabilité des entreprises de mener la lutte contre les cyber criminels et de s’assurer qu’elles protègent les données de leurs clients. Alors que les consommateurs doivent améliorer leur comportement en ligne en pensant à la sécurité, la protection des données reste la responsabilité de l’entreprise », pense Gad Elkin, directeur de la sécurité EMEA chez F5 Networks.

Que faire ?
Lorsque l’on demande aux consommateurs comment les entreprises doivent-elles améliorer leur façon de se protéger contre les hackers, “Investir dans les technologies de sécurité” arrive en première position dans les trois pays (61 %), suivi par “une meilleure éducation des consommateurs sur la menace” et ”partager leurs (les entreprises) connaissances sur la menace” en troisième position.

Et si les français pouvaient tous pirater…
Si l’étude a également permis de révéler que près d’un français sur 5 place les hackers du côté « des bons » (contre seulement 1 britannique sur 10), ils sont 37 % à citer les banques et 22 % le secteur public, parmi leurs victimes – s’ils pouvaient pirater pour une raison ou une autre (voler des données, découvrir des secrets d’affaires ou gagner de l’argent) sans aucune conséquence.

« Les chiffres de l’étude montrent que l’ensemble des consommateurs à travers l’Europe sont disposés à quitter un prestataire pour choisir un concurrent non piraté. La cyber sécurité devient donc un avantage concurrentiel pour les entreprises et non plus seulement un centre de coûts – et celles-ci doivent trouver comment améliorer leurs propres défenses d’une part, et comment éduquer les consommateurs sur les risques informatiques d’autre part. »

Les citoyens européens : à qui confient-ils leurs données ?

Hébergement d’informations professionnelles dans le cloud – Une enquête révèle la méfiance des salariés de l’Union européenne vis-à-vis du stockage ou de l’hébergement d’informations professionnelles dans le cloud. La France est le pays où les applications cloud sont les plus populaires au travail : 64%.

Hébergement d’informations professionnelles dans le cloud – Blue Coat Systems, Inc. fournisseur de solutions avancées de sécurité du Web pour les entreprises et administrations publiques du monde entier, présente les résultats d’une enquête en ligne, sur l’ hébergement d’informations professionnelles dans le cloud menée auprès de 3 130 professionnels d’une variété de secteurs au Royaume-Uni, en France et en Allemagne. À l’aube du référendum de cette semaine sur le Brexit, l’enquête s’est intéressée au niveau de confiance des professionnels vis-à-vis d’États faisant ou non partie de l’Union européenne pour le stockage ou l’hébergement d’informations professionnelles sur des services cloud tels que Gmail, Dropbox et Box. Les résultats indiquent qu’ils préfèrent confier leurs données à leurs voisins européens plutôt qu’à des pays en dehors de l’UE.

Des citoyens du Royaume-Uni, de France et d’Allemagne ont été interrogés quant aux pays auxquels ils font confiance pour stocker ou héberger des informations professionnelles dans le cloud en toute sécurité. Avec le vote sur le « Brexit » prévu cette semaine et avec l’entrée en vigueur le 25 mai 2018 de la réglementation GDPR (General Data Protection Regulations), la question de l’emplacement de stockage/d’hébergement des données est un sujet brûlant pour les organisations au service du demi-milliard de citoyens résidant actuellement dans l’UE.

L’enquête révèle que 46 % des personnes interrogées seraient disposés à confier leurs données professionnelles à un pays de l’UE. Seuls 18 % accorderaient cette confiance à un pays en dehors de l’UE. En outre, plus d’un tiers des répondants (36 %) ne confieraient le stockage ou l’hébergement de leurs données dans le cloud à aucun pays en particulier. Les principaux enseignements de l’enquête :

La France championne de l’usage des applications cloud
Les résultats montrent que 53 % des salariés britanniques, allemands et français utilisent des applications cloud au travail. Et c’est en France que celles-ci sont le plus populaires avec 64 % des répondants, soit plus qu’au Royaume-Uni (49 %) ou en Allemagne (47 %).

L’utilisation du cloud stimulée par la génération Y
L’utilisation du cloud au travail se fait principalement sous l’impulsion de la génération Y : 63 % des 18-24 ans s’en servent au travail, contre 59 % des 25-34 ans, 55 % des 35-44 ans, 48 % des 45-54 ans et 47 % des 55 ans et plus.

Moins de méfiance de la part des jeunes salariés pour l’ hébergement d’informations professionnelles dans le cloud
L’enquête révèle que les salariés les plus jeunes font davantage confiance aux pays de l’Union européenne pour le stockage d’informations dans le cloud, ce qui confirme les résultats d’autres sondages suggérant que les jeunes sont plus enclins à voter pour rester dans l’UE. Les 18-24 ans sont en effet ceux qui font le plus confiance aux États de l’UE (55 %, contre 36 % des individus âgés d’au moins 55 ans). Les employés d’au moins 55 ans se montrent par ailleurs plus méfiants en général : 47 % d’entre eux ne confieraient le stockage de leurs données cloud à aucun pays, contre 24 % des 18-24 ans.

Les Britanniques font davantage confiance aux pays de l’UE
Hébergement d’informations professionnelles dans le cloud – Alors que seuls 22 % des salariés de pays en dehors de l’Union européenne seraient prêts à héberger leurs données dans des pays de l’UE, ce pourcentage est presque deux fois plus important pour les salariés du Royaume-Uni (40 %).

Le pourcentage de Britanniques prêts à faire confiance à un État de l’UE est ainsi plus élevé que celui des citoyens enclins à faire confiance au Royaume-Uni (38 %) pour stocker leurs données dans le cloud.

L’Allemagne représente le pays d’UE préféré de l’ensemble des personnes interrogées avec 26 % de répondants satisfaits du fait que leurs données y résident. S’ensuivent la France avec 21 % des répondants et le Royaume-Uni à 20 %.

De l’autre côté, le pays d’Union européenne suscitant le plus de méfiance est l’Espagne. Seuls 6 % des personnes interrogées sont disposées à y stocker leurs données.

Outre leur propre pays, il apparaît que les répondants britanniques font davantage confiance à l’Allemagne (18 %) et à la Suède (18 %) qu’à n’importe quel autre pays d’Union européenne.

Les Allemands sont les plus méfiants envers les autres pays
Les salariés allemands font davantage confiance à leur pays qu’aux autres (43 %). La Suède apparaît pour eux comme le deuxième le plus sûr (14 % des répondants). En contrepartie, seuls 7 % et 3 % d’entre eux respectivement font confiance au Royaume-Uni et à l’Espagne. Les salariés français préfèrent eux aussi garder leurs données dans leur pays (45 %). Leurs autres choix préférentiels sont l’Allemagne (16 %) et la Suède (14 %).

Une méfiance vis-à-vis des États-Unis
Les résultats de l’enquête révèlent que la majorité des salariés d’Union européenne interrogés ne font pas confiance aux États-Unis pour stocker ou héberger leurs données. Cet élément tend à démontrer que les décisions de la Cour de justice de l’Union européenne invalidant l’accord Safe Harbour bénéficient du soutien des citoyens européens. Seuls 9 % des répondants pourraient stocker ou héberger leurs données aux USA.

Les Britanniques sont plus confiants envers les États-Unis (13 %) que les Français et les Allemands ; ces derniers ne sont que 3 % à ne pas se montrer méfiants envers les clouds américains. En dehors de l’Union européenne, le pays suscitant le plus de méfiance est la Chine (1 % des répondants). L’Afrique du Sud (2 %), la Russie (2 %) et le Brésil (2 %) sont également retenus par une minorité de répondants.

Les cybers attaques ont un impact réel sur la confiance des consommateurs

Une enquête menée par le cabinet d’études VansonBourne à l’initiative de FireEye auprès d’un panel représentatif de 1000 consommateurs français, révèle que les cyber attaques de grande ampleur qui se sont produites en 2015 ont affecté durablement la confiance des consommateurs envers les grandes marques.

Les résultats de l’enquête ont mis en évidence une inquiétude grandissante du public directement liée à la perception d’un manque d’intérêt des directions générales pour la protection des données, plus des trois quarts (77%) des consommateurs déclarant être prêts à stopper leurs achats auprès d’une entreprise si une cyber attaque révélait une négligence de la part des dirigeants sur la protection des données. Cette négligence des dirigeants est d’ailleurs jugée plus grave que si la faille de sécurité est simplement due à une erreur humaine, seules 53% des personnes interrogées évoquant cette raison pour stopper leurs achats.

Les conclusions de l’enquête révèlent également l’impact financier potentiel sur le long terme des vols de données pour les grandes marques, 54% des consommateurs déclarant qu’ils engageraient des poursuites judiciaires contre les entreprises si leurs données personnelles étaient volées ou utilisées à des fins criminelles à la suite d’une cyber attaque. 71% des consommateurs indiquent également qu’ils divulgueront à l’avenir moins d’informations personnelles aux marques avec lesquelles ils sont en relation, ce qui pourrait avoir un impact négatif sur les ventes de beaucoup d’entreprises qui exploitent les donnes de leurs clients pour optimiser leur marketing.

Richard Turner, President EMEA de FireEye, a déclaré : « Les cyber attaques et les vols de données se sont multipliés dans l’actualité au cours de l’année écoulée, et les entreprises françaises n’ont pas toutes été épargnées. Les dirigeants des entreprises concernées ont dû réagir immédiatement pour limiter les pertes financières directes, en offrant des ristournes ou d’autres compensations aux consommateurs ». Mais cette enquête montre que les pertes financières dues à un vol de données s’étendent longtemps après que l’attaque initiale ait eu lieu. Elle met en lumière le « coût caché » des cyber attaques sur les entreprises, avec des consommateurs moins enclins à acheter auprès d’organisations réputées négligentes en matière de sécurité, et de plus en plus tentés d’engager des poursuites contre des fournisseurs si leurs données tombent en de mauvaises mains.

Les conclusions de cette enquête sur la confiance des consommateurs montrent que les perceptions négatives du public pour les marques attaquées peuvent persister longtemps après qu’elles aient quitté l’actualité, et que de plus en plus de consommateurs affectés par les vols de données pointent du doigt les responsables tout en haut de l’échelle. Il y a là des leçons importantes à retenir pour les directions générales, qui commencent à comprendre pourquoi elles doivent jouer un rôle plus actif dans la cyber sécurité. Il est également intéressant de voir dans ces résultats que les consommateurs accordent de plus en plus d’importance à la sécurité des données et gardent cet aspect à l’esprit lors de leurs décisions d’achat. Alors que la sécurité des données a été trop souvent considérée par le passé par les entreprises comme un simple centre de coût, elle représente désormais pour elles une opportunité d’attirer de nouveaux clients qui veulent avoir l’assurance que leurs données seront en sécurité. »

Les principales conclusions de l’enquête sur la confiance des consommateurs

·         Plus de la moitié des consommateurs interrogés (53%) déclarent prendre la sécurité de leurs données personnelles en considération lorsqu’ils achètent des produits et services.

·         71% des consommateurs interrogés divulgueront dans l’avenir moins de données personnelles aux organisations qui leur fournissent des produits et des services, en conséquence des cyber attaques majeures qui ont eu lieu l’année dernière.

·         Près de la moitié (42%) des consommateurs seraient prêts à payer plus un fournisseur de service garantissant une meilleure sécurité des données.

·         54% des consommateurs déclarent qu’ils engageraient des poursuites judiciaires contre leurs fournisseurs de produits et services si leurs données personnelles étaient volées ou utilisées à des fins criminelles à la suite d’une cyber attaque.

·         13% des personnes interrogées déclarent que la sécurité de leurs données personnelles est désormais leur principale préoccupation lorsqu’elles achètent des produits et services.

·         38% des consommateurs déclarent que les cyber attaques de grande ampleur qui se sont produites l’année dernière ont eu un impact négatif sur leur perception de la réputation des entreprises attaquées, tandis que 30% d’entre eux déclarent que ces cyber attaques ont dégradé la réputation de toutes les entreprises auprès desquelles elles font leurs achats.

·         21% des personnes interrogées qui ont eu connaissance des cyber attaques de l’année passée considèrent que la communication des dirigeants des entreprises concernées a été mauvaise ou très mauvaise.

·         L’enquête a également révélé que 93% des personnes interrogées s’attendraient à être informées dans les 24 heures si leur fournisseur de service était victime d’une attaque susceptible de compromettre leurs données. La nouvelle directive européenne GDPR (General Data Protection Regulation) imposant que les autorités soient informées d’un vol de données dans les 72 heures, ceci montre que les consommateurs sont encore plus stricts dans leurs exigences, 68% d’entre eux s’attendant même à être informés immédiatement.