Archives par mot-clé : données personnelles

Les Français, mauvais élèves européens de la protection de leurs données

86 % des Français n’ont aucune idée du nombre d’entreprises qui utilisent, stockent ou accèdent à leurs données personnelles. 38 % des Français n’ont aucune connaissance de la législation destinée à protéger leurs données, contre 24 % des consommateurs allemands, 16 % des Britanniques et 28 % des Espagnols.

Une nouvelle étude* OpenText réalisée auprès de 2000 consommateurs français, met en lumière un manque de connaissance du public quant au traitement de ses données par les entreprises, comparé à ses voisins européens. L’enquête révèle que moins d’un Français sur cinq (17 %) serait prêt à payer plus cher ses achats auprès d’une entreprise qui s’engage à protéger la confidentialité de ses données personnelles. Une proportion bien inférieure à celle de leurs homologues allemands (41 %), britanniques (49 %) ou espagnols (36 %).

Un tiers (33 %) des Français interrogés ne font pas confiance aux entreprises pour préserver la sécurité ou la confidentialité de leurs données personnelles, mais une fois encore, cette proportion est nettement inférieure à celle de leurs voisins : 47 % des Allemands, 45 % des Britanniques, 39 % des Espagnols. De surcroit, près de la moitié (42 %) des Français ne se sont jamais posé la question, contre 34 % des Allemands et des Britanniques, et 33 % des Espagnols.

Maîtriser la protection de la confidentialité des données

La majorité (86 %) des consommateurs français n’ont « aucune idée » du nombre d’entreprises qui utilisent, stockent ou accèdent à leurs données personnelles, telles que leur adresse e-mail, leur numéro de téléphone ou leurs coordonnées bancaires. Un chiffre qui se démarque toujours de celui de leurs voisins : 73 % des Allemands, 80 % des Britanniques, 79 % des Espagnols, qui semblent plus alertes sur le sujet.

Cette proportion coïncide avec le fait que plus d’un tiers (38 %) des Français affirment n’avoir aucune connaissance de la législation destinée à protéger ces données, contre 24 % des consommateurs allemands, 16 % des Britanniques et 28 % des Espagnols. En outre, 32 % des Français ont une bonne connaissance de ces lois, et 30 % en ont une vague idée.

De fait, seuls 23 % des consommateurs français déclarent qu’ils seraient prêts à entrer, de leur propre initiative, en contact avec une entreprise afin de vérifier l’utilisation faite de leurs données personnelles ou la conformité de leur conservation. Leurs voisins Allemands (25 %), Britanniques (32 %) et Espagnols (38 %) sont plus proactifs en la matière. Moins d’un Français sur dix (9 %) a déjà effectué cette démarche au moins une fois, contre 12 % des Allemands, 13 % des Britanniques et 17 % des Espagnols.

« La crise de la Covid-19 a accéléré le rythme de la transformation numérique, les entreprises étant passées au télétravail et au commerce en ligne », commente Benoit Perriquet, VP Worldwide Global Accounts chez OpenText. « Le numérique est désormais au centre de pratiquement toute interaction commerciale, produisant une plus grande quantité de données que les entreprises doivent gérer et protéger. Bien qu’il existe un plus grand degré de complaisance parmi les Français quant à la nécessité de protéger leurs données personnelles par rapport aux consommateurs d’autres pays, la tendance mondiale liée aux attentes accrues des consommateurs en matière de confidentialité de leurs données est claire. Elle met aujourd’hui les entreprises sous pression pour veiller à ce que leurs solutions destinées à préserver cette confidentialité s’adaptent correctement à cette ère qui privilégie le numérique. »

Qui est responsable de protéger la confidentialité des données ?

Une majorité (60 %) des consommateurs français (contre 73 % des Britanniques) estiment savoir comment protéger la confidentialité et la sécurité de leurs propres données dans les applications, les comptes e-mail et sur les réseaux sociaux, qu’il s’agisse de configurer les paramètres relatifs à la vie privée ou de désactiver la géolocalisation. Cependant un sur dix (11 %) pense que la préservation de la confidentialité et la sécurité de leurs données relève de la responsabilité de l’application ou de l’entreprise en question.

Paradoxalement, les Français sont parmi les plus pessimistes quant à l’avenir de la protection de leurs données. En effet, à peine plus d’un Français sur dix (11 %) juge que nous sommes arrivés au stade où chaque entreprise satisfait à ses obligations légales d’assurer la confidentialité des données de ses clients, soit moins qu’en Espagne (17 %) et en Allemagne (13 %). Du reste, près d’un cinquième (19 %) des Français interrogés considèrent que cela ne sera vrai que dans un avenir lointain, voire jamais, contre 26 % des Allemands, 24 % des Britanniques et 18 % des Espagnols.

« Au-delà des amendes encourues, toute entreprise qui ne respecte pas la législation sur la confidentialité des données s’expose au risque de perdre la confiance de ses clients », souligne Benoit Perriquet, VP Worldwide Global Accounts chez OpenText. « Les dirigeants doivent mettre à profit une technologie qui, non seulement offre une visibilité sur leurs pratiques de collecte et de protection des données, mais leur permet aussi de répondre rapidement aux demandes des clients sur la manière dont leurs données personnelles sont traitées, collectées et utilisées. En investissant dans des solutions complètes de gestion de la confidentialité, qui automatisent et intègrent les règles de protection de la vie privée dans une entreprise avec les principes en vigueur dans ce domaine, les entreprises peuvent satisfaire à leurs obligations réglementaires, réduire le risque d’atteinte à leur réputation et conserver la confiance de leurs clients. »

*Méthodologie
Étude réalisée via Google Surveys en avril-mai 2020. À la demande d’OpenText, 12 000 consommateurs ont été interrogés anonymement en Allemagne, en Australie, au Canada, en Espagne, en France, au Royaume-Uni et à Singapour. Le panel français comprenait 2000 participants afin de donner un aperçu du point de vue des consommateurs sur la protection de la confidentialité des données pendant la crise du coronavirus.

Élaborer une stratégie de sécurité des données – pourquoi les acteurs du marché doivent collaborer

D’ici 2025, près de 90 % des données créées dans le monde nécessiteront un certain niveau de sécurité, mais moins de la moitié seront sécurisées.

L’augmentation de l’influence des données sur nos données personnelles, nos vies personnelles et professionnelles au cours des dernières années a été plus rapide que ce que l’on pouvait imaginer. Le rythme du changement devrait se poursuivre : selon le rapport Data Age 2025 d’IDC et de Seagate, d’ici 2025, le volume de données mondial pourrait atteindre 163 zettaoctets et 90 % de ces données nécessiteront un certain niveau de sécurité, mais moins de la moitié seront sécurisées. Face aux cas de violation de données et de cybercriminalité qui font beaucoup parler d’eux dans les médias, les entreprises de différents secteurs, tels que la finance, le transport, la santé et la distribution, reconnaissent le besoin urgent d’investir dans la sécurité des données.

Comme on pouvait s’y attendre, ce regain d’intérêt pour les produits de sécurité des données n’a pas échappé au marché de la sécurité. Celui-ci est à présent sous de nouvelles offres de produits et solutions qui prétendent répondre aux préoccupations des entreprises et aux nouvelles réglementations gouvernementales, telles que le règlement général sur la protection des données (RGPD) de l’Union européenne. Selon un récent rapport de MarketsandMarkets, le marché mondial de la cybersécurité pourrait atteindre 231 milliards de dollars d’ici 2022.

Manque de vision d’ensemble

Bien que l’augmentation des dépenses puisse être une bonne chose pour la sécurité des données, il est à craindre que, dans la course visant à être le premier à commercialiser de nouveaux produits et services, les fournisseurs du secteur de la sécurité n’aient pas de vision d’ensemble. La sécurité est un cercle et non une ligne : il incombe à chaque acteur impliqué dans la gestion et le traitement des données de garantir leur sécurité. Concrètement, cela implique de recentrer l’attention sur les domaines de la protection matérielle et logicielle qui n’ont jamais été au centre des préoccupations ou fait l’objet d’importants investissements de la part des entreprises, la sécurité au niveau des disques étant à cet égard un parfait exemple.

Un problème de silos

Comme pour bon nombre d’autres questions liées aux technologies de l’information, le problème commence par les silos. Aujourd’hui, les données se déplacent fréquemment, ce qui augmente les problèmes de sécurité. Pour le moment, tous ceux impliqués dans la gestion et le traitement des données – des opérateurs de réseaux aux fabricants de matériel en passant par les éditeurs de logiciels Cloud – ont chacun leurs propres techniques pour sécuriser leur petite partie de la chaîne de valeur des informations et vont rarement plus loin.

Cela devient un réel problème à l’heure où l’environnement mondial des données gagne en complexité. Nous assistons à l’essor de l’IdO, des systèmes embarqués, de l’apprentissage automatique et de l’analyse en temps réel, qui peuvent tous être en fonction dans des systèmes complexes tels que les véhicules autonomes et les drones. Plus il y a d’étapes dans le transfert de données, plus il y a de risques d’infiltration de malfaiteurs dans le système.

Pour fournir à leurs clients les environnements les plus fiables, les fournisseurs du secteur de la sécurité devront garder une longueur d’avance sur plusieurs aspects : la manière dont les entreprises mettent en œuvre leurs technologies, quels sont les autres produits utilisés dans la même pile et comment ces différents produits peuvent fonctionner ensemble pour créer une boucle de protection des données des clients.

Données personnelles : sécurité au niveau des disques

Dans un monde où les propriétaires d’informations sont constamment sous les attaques de type WannaCry, il est important de s’assurer que chaque maillon de la chaîne de sécurité est en place et que tous les éléments matériels et logiciels qui gèrent des contenus sensibles disposent de fonctions de sécurité adéquates. Selon un récent rapport Thales Data Threat, les outils de protection des données inactives sont systématiquement considérés comme le meilleur moyen de protéger les données après l’infiltration d’attaquants. Le chiffrement des données inactives fonctionne comme une dernière ligne de défense : si un malfaiteur parvient à violer des couches de sécurité externes en utilisant des informations d’identification piratées ou frauduleuses, le chiffrement au niveau du matériel peut protéger l’entreprise contre le vol de données.

Cependant, malgré les avantages évidents, ce type de chiffrement est en retard sur d’autres domaines, tels que la sécurité des réseaux et des terminaux, en termes d’investissement. Selon le rapport Thales Data Threat mentionné précédemment, en 2016, la sécurité des données inactives figurait au bas de l’échelle de l’augmentation des dépenses : +44 %, contre +62 % pour la sécurité des réseaux et +56 % pour la sécurité des terminaux.

Données personnelles : boucler la boucle

Selon l’étude Cost of Cybercrime d’Accenture, le nombre de violations de données a augmenté de 27,4 % en 2017 par rapport à 2016. Il devient de plus en plus difficile de se protéger contre ce type d’attaques.

Pensons, par exemple, à la multitude d’entreprises qui utilisent des services hébergés dans un Cloud. Compte tenu de l’augmentation des données stockées dans le Cloud, les entreprises doivent se préparer à faire face à des problèmes de sécurité majeurs en cas de défaillance de la technologie du Cloud. Et il y en a de nombreux exemples. De même, le développement rapide de la technologie de la chaîne de blocs (blockchain) et les attaques de logiciels malveillants tels que WannaCry présentent des menaces beaucoup plus graves que celles auxquelles les entreprises s’habituent.

Il n’y a pas de réponse unique à ces différentes menaces, et c’est vraiment le point le plus important. À l’époque où nous vivons, la sécurité dans cette nouvelle ère exige que plusieurs systèmes de défense complexes fonctionnent harmonieusement les uns avec les autres. Ces systèmes, y compris le chiffrement au niveau des disques, doivent communiquer entre eux et former une boucle de sécurité autour des données sensibles. Les acteurs du marché de la sécurité doivent collaborer et être compétitifs pour pouvoir servir efficacement leurs clients. (Par Raghavan Srinivasan, directeur de l’entité Enterprise Data Solutions chez Seagate Technology pour DataSecurityBreach)

Données personnelles : L’Europe et les États-Unis dans des directions opposées

Depuis l’élection de Donald Trump à la tête des États-Unis, la confidentialité des données personnelles est au cœur des préoccupations des deux côtés de l’Atlantique. Et il semble que les États-Unis et l’Union Européenne aient des idées divergentes sur la direction à suivre.

Nous utilisons tous des outils numériques au quotidien. Souvent, sans même nous en rendre compte, nous échangeons nos données personnelles contre la gratuité des services. En effet, l’ensemble de nos activités sur le web et même l’utilisation d’objets connectés génèrent des données que collectent et monétisent de grandes entreprises. Lorsqu’il s’agit de simples recherches sur le Web ou de la visite de sites et réseaux sociaux, il est rare de se soucier des traces que nous laissons. Mais qu’en est-il lorsqu’il est question de dossiers médicaux, juridiques, ou financiers ? Ceux-ci relèvent non seulement de la vie privée mais plus encore, de l’intimité des individus. Le problème est que la frontière entre ce qui est public et ce qui doit rester privé est relativement flou.

Alors les dispositions mises en place favorisent-elles trop souvent les entreprises ? Les citoyens doivent-ils reprendre la main sur l’exploitation de leurs données ? Jusqu’où les entreprises peuvent-elles utiliser nos données ? Autant de question à soulever et que l’on retrouve en Europe comme aux USA. C’est l’UE qui a choisi de légiférer afin de protéger ses citoyens avec l’entrée en vigueur en mai prochain du Règlement Général sur la Protection des Données (RGPD), mais pas seulement. Un autre règlement de l’UE destiné à protéger les données personnelles lors de communications électroniques va s’appliquer.

Ce projet de loi est à l’opposé de l’ordonnance du président américain qui vient supprimer la nouvelle loi de protection des données privées qui devait s’appliquer d’ici la fin de l’année. Promulguée sous le mandat Obama, elle aurait obligé les fournisseurs d’accès à Internet (FAI) à recueillir clairement le consentement des utilisateurs pour partager des données personnelles. Cela concernait les informations telles que la géolocalisation, les informations financières, de santé, sur les enfants, les numéros de sécurité sociale, l’historique de navigation Web, de l’utilisation d’une application et le contenu des communications. En outre, les FAI se seraient vu contraints de permettre à leurs clients de refuser le partage d’informations moins sensibles, comme une adresse électronique par exemple.

Mais les conflits entre les États-Unis et l’UE portant sur la protection des données, ne reposent pas seulement sur cette ordonnance. Les actualités récentes autour de l’immigration ont quelque peu masqué une autre législation qui remet en cause l’avenir du Privacy Shield. Remplaçant de l’accord « Safe Harbor », Privacy Shields a été imaginé avec le RGPD à l’esprit, ce qui signifie que l’application de l’un sans l’autre rend illégal le traitement de données issues d’entreprises européennes par des entreprises américaines… avec par conséquent un impact important sur les services cloud.

Pour le Royaume-Uni, la situation se compliquera aussi en 2019 car, en quittant l’Union Européenne, il quittera également le Privacy Shield.

La protection de la vie privée est donc intrinsèquement liée aux données et les prestataires doivent pouvoir offrir des garanties à leurs clients. Le Privacy Shield par exemple, permet de chiffrer facilement et de déplacer les données et les charges de travail entre les fournisseurs de cloud. Cela donne une assurance face aux incertitudes actuelles qui touchent les entreprises de l’UE et des États-Unis. Dans le même temps, des acteurs comme Microsoft ou Amazon renforcent leurs capacités de stockage de données en Europe, pour faire face aux demandes éventuelles d’entreprises européennes à déplacer leurs données sur le Vieux Continent au cas où les choses resteraient floues ou empireraient.

Les informations personnelles font partie intégrante de l’activité moderne et l’on ne peut pas ignorer ce fait. LE RGPD va être le nouveau point de référence pour leur protection et le conflit entre ceux qui voudront protéger les données privées et les autres souhaitant les exploiter est bien parti pour durer ! (Par Philippe Decherat, Directeur Technique chez Commvault)

Données personnelles : Amende pour le patron de la Bourse du travail lituanienne

Le directeur de la Bourse du travail de Lituanie fait face à une amende après que son entité a laissé fuir des données personnelles directement sur le site de l’institution.

Une amende pour condamner une fuite de données personnelles, voilà ce qui vient de toucher Ligita Valyte, le responsable de la Bourse du travail de Lituanie. Cette entité est une agence exécutive relevant du Ministère de la sécurité sociale et du travail, chargée de fournir des services aux demandeurs d’emploi et aux employeurs sur le marché du travail. Bref, c’est le Pole Emploi lituanien. La CNIL locale, State Data Protection Inspectorate (VDAI), a condamné à 300€ le dirigeant après que le site web de la bourse au travail a laissé fuiter des données sensibles des personnes inscrites. Des milliers de codes personnels, y compris celui du ministre lituanien des affaires sociales, étaient consultables. Une fuite dès plus gênante car le code personnel attribué à chaque lituanien est unique et immuable selon les lois lituaniennes. Comme l’explique l’Inspection nationale de la protection des données, dans le cas où la violation de la protection des données à caractère personnel a été commise par une personne morale, le chef de l’entité ou une autre personne responsable est passible d’une amende de 300 à 1 150 euros, tandis que la violation répétée impose une amende de 1 100 à 3 000 euros. Les médias locaux ont rapporté qu’il y avait des milliers de codes personnels librement accessibles sur le site Web de la Bourse du travail. En France, la première amende imposée par la CNIL a touché la société Hertz France à la suite d’une fuite de données concernant certains de ses clients Français.

Pendant ce temps, trois pirates lituaniens se sont faits arrêter pour avoir volé des données sensibles d’une clinique de chirurgie plastique. Selon le bureau de la police criminelle lituanien, les suspects ont volé la base de données des clients et ont exigé une rançon de la clinique, et des clients. En mai 2017, pur menacer l’entreprise médicale, les pirates ont rendu public plus de 25 000 photos privées, y compris des photos de corps nu, les prénoms, les noms de famille, les photos avant et après une intervention chirurgicale, et plusieurs autres informations personnelles des patients des cliniques lituaniennes de chirurgie plastique du groupe « Grozio Chirurgija« .

Les voyous réclamaient entre 50 et 2000€ par patients impactés par le piratage, et selon les informations collectées. Avant de répartir la rançon, patient par patient, les pirates informatiques avaient tenté d’offrir la totalité de la base de données à la vente pour 300 bitcoins mais la clinique avait refusé de payer. Quelques centaines de personnes ont donné de l’argent pour que leurs données ne soient pas diffusées par les pirates informatiques. De nombreux patients étrangers, dont des Français et des Britanniques ont été concernés par cette escroquerie numérique.

Données personnelles, l’Europe s’active…

La très prochaine Réglementation Générale de l’Union Européenne sur la Protection des Données, prévue pour la fin de l’année, concerne toutes les entreprises disposant de bases de données personnelles. Celles-ci auront 2 ans pour se mettre en conformité avec cette nouvelle réglementation. Des sanctions financières lourdes (jusqu’à 5% du chiffre d’affaires annuel) seront appliquées en cas d’infraction.

Gouverner, c’est prévoir. Cette maxime doit être complétée par l’évidence qu’il faut, pour anticiper les décisions, disposer de l’information. Toutes les entreprises qui utilisent des bases de données personnelles doivent donc aujourd’hui s’intéresser à la future Réglementation Générale de l’Union Européenne sur la Protection des Données qui verra le jour à la fin de l’année. Avec d’autant plus d’attention que des sanctions financières lourdes (jusqu’à 5% du chiffre d’affaires annuel) seront appliquées en cas d’infraction.

Une Réglementation Générale sur la Protection des Données
Soucieuse de renforcer les droits sur la vie privée en ligne, la Commission Européenne a proposé le 25 janvier 2012 une réforme de l’UE 95/46 /CE sur la protection des données, une réglementation déjà vieille de 10 ans. Depuis la mise en œuvre de la directive initiale, les progrès technologiques ont en effet entraîné une modification profonde de la façon de collecter, de rendre accessibles et d’utiliser les données. Une proposition de Réglementation Générale sur la Protection des Données a donc vu le jour. Approuvée par le Parlement Européen en mars dernier, elle est en cours d’adoption par le Conseil de l’Union Européenne et sera effective d’ici la fin de l’année, c’est-à-dire dans un mois, pour entrer en vigueur définitive après une période transitoire de deux ans.

Des conséquences pour tous les résidents de l’Union…
La Réglementation Générale sur la Protection des Données sera applicable si l’entreprise ou le sujet des données – la personne – est installé dans l’Union Européenne. Ce qui est déjà le cas de la Directive actuelle qui soumet les entreprises européennes à des règles beaucoup plus strictes que les entreprises hors UE. Désormais, les entreprises établies en dehors de l’Union Européenne devront obéir aux mêmes normes que les sociétés européennes lorsqu’elles traiteront des données personnelles de résidents de l’UE.

Par donnée personnelle, la Commission Européenne désigne « toute information relative à une personne physique, se rapportant à sa vie privée, professionnelle ou publique. Il s’agit du nom, d’une photo, d’une adresse électronique, de coordonnées bancaires, de messages sur les réseaux sociaux, d’une information médicale ou de l’adresse IP d’un ordinateur. »

Les principales modifications touchent à trois sujets majeurs.
Le droit à effacer des données personnelles
Le droit à l’oubli numérique permettra aux personnes qui veulent maîtriser leur vie en ligne de ne plus avoir de données personnelles stockées, traitées ou accessibles. Tout particulier pourra obtenir qu’elles soient supprimées, à condition qu’aucun motif légitime ne justifie leur maintien.

Chaque utilisateur final aura le droit de transférer des données d’un service à l’autre. D’autre part, les entreprises devront obtenir l’accord des intéressés pour recueillir leurs données personnelles. La non-obtention ou la non-fourniture de ce consentement invalidera le processus. Les entreprises doivent être en mesure de prouver comment les données personnelles sont traitées, recueillies, conservées, accessibles et utilisées. Elles doivent pouvoir produire l’accord explicite qui leur permet de traiter les données en question.

Le Responsable de la protection des données
Les entreprises de plus de 250 salariés seront tenues de nommer un Responsable de la protection des données, dont les coordonnées devront être publiées, pour veiller au respect de la réglementation. En cas de violation des données, il devra informer les organismes de réglementation en fournissant des renseignements détaillés, dans les 72 heures qui suivent la prise de connaissance de l’infraction. Toute action ayant un impact «hostile» devra être notifiée. En conséquence, l’entreprise doit se préparer et prendre les dispositions nécessaires pour fournir les informations détaillées sur les violations de données, aux autorités compétentes, dans le laps de temps autorisé. Ces exigences signifient que l’entreprise doit être capable d’identifier rapidement l’infraction et mesurer l’étendue de la fuite.

Une protection intégrée
Des garanties de protection des données devraient être intégrées dès les premiers développements des produits et des services proposés par les entreprises. Les paramètres par défaut respectant la vie privée devraient devenir la norme, comme par exemple sur les réseaux sociaux.

Des conséquences importantes pour l’entreprise
La Directive en vigueur n’est pas appliquée de la même manière dans tous les pays membres de l’Union Européenne. La nouvelle Réglementation sur la Protection des Données sera, au contraire, mise en œuvre de manière identique dans tous les pays membres. Le fait que ce soit une Réglementation et non une Directive signifie qu’elle sera directement applicable à chaque Etat membre de l’UE.

Le respect de la Réglementation évitera des pénalités financières et d’éventuelles poursuites judiciaires. Des sanctions sont prévues. Etablies en fonction de l’ampleur de la fuite de données, elles peuvent atteindre 2 à 5% du chiffre d’affaires annuel global et aller jusqu’à 100 millions d’euros.

Une grande sévérité pour les entreprises !
Les diverses modifications comme le droit à l’oubli, l’accès facilité pour l’utilisateur à ses propres données, l’accord nécessaire pour pouvoir utiliser ou traiter les données des particuliers, la nomination d’un Responsable à la protection des données, la notification et les informations concernant les flux en cas de violation ainsi que la confidentialité par défaut sont évidemment à inclure dans le plan d’évolution du Système d’Information, et cette nouvelle réglementation, qui a des conséquences importantes sur l’organisation de l’entreprise, doit être mise en place avec attention.
Comment se conformer à cette nouvelle norme ?

La Réglementation Générale sur la Protection des Donnée engendrera des changements au niveau de la collecte, du stockage, de l’accessibilité et de l’utilisation des données. Quant à l’obligation de déclarer toute violation des données, cela nécessite un système actif de surveillance des échanges et des flux de données et un certain nombre de bonnes pratiques.

Un examen approfondi des politiques de sécurité et de protection des données ainsi que des rôles et responsabilités au sein de l’entreprise s’impose. La priorité est un audit pour évaluer les risques et déterminer les actions à entreprendre en fonction des faiblesses propres à l’entreprise sur ce sujet. En second lieu, l’adoption d’une solution de SIEM* est un moyen efficace de contrôler l’accès aux systèmes où sont stockées les données personnelles. Ce type de solution permet aussi de surveiller la sécurité des systèmes et recevoir des alertes quand on y accède. Les logs fournissent en effet une vision complète et exacte de ce qui a été consulté. Il est donc possible d’informer rapidement les organismes de réglementation en cas de violation des données. Il est également possible de configurer des rapports prouvant la conformité à la Réglementation, ce qui aide considérablement les Responsables de la protection des données.

Faire appel à des experts et mettre en place dès 2015 ces nouvelles exigences en matière de sécurité et de conformité s’avère d’ores et déjà une tâche à planifier. On peut bien sûr penser que la mise en œuvre effective de la réglementation étant prévue après une période de deux ans, rien ne presse… Mais l’expérience montre que l’examen d’une structure organisationnelle ainsi que les mises à niveau nécessaires du système prennent du temps. Anticiper est aussi un avantage concurrentiel (voire marketing) pour les entreprises utilisant pour leur métier de gros volumes de données personnelles. (Par Frédéric Saulet, Directeur Régional Europe du Sud de LogPoint.)

* SIEM : Security Information and Event Management – Le principe du security information management est de gérer les événements du système d’information (Wikipédia).

Cyber sécurité et protection des données personnelles : en avant marche !

Deux jambes qui se doivent d’être coordonnées. Telles sont, d’un côté, la « cyber sécurité », et de l’autre la « protection des données personnelles ». Car si la liste des entreprises victimes de cyberattaques continue de s’allonger – Ebay, Orange et Domino’s Pizza ne sont qu’un échantillon des cibles atteintes en 2014 – il est évident que les moyens de lutte à privilégier doivent être aussi efficaces que respectueux, dans leur mise en œuvre, des règles en matière de protection des informations privées. Délicat équilibre.

Les autorités européennes ont déjà fait d’importants progrès en matière de cybercriminalité. Une  directive relative aux attaques contre les systèmes d’information a ainsi été adoptée en 2013, alors que des textes sur la protection du secret d’affaire, ainsi que sur l’identification électronique et les services de confiance pour les transactions électroniques ont été proposés au Parlement européen. Dernier en date : la directive sur la protection des systèmes d’information (NIS) – que la loi de programmation militaire française avait largement anticipée – a été adoptée en mars 2014. Les « opérateurs d’importance vitale » (IOV) se voient notamment imposer quelques obligations en matière de prévention et de notification des « incidents ».

Les solutions qui permettent de répondre de la manière la plus efficace possible à ces nouvelles obligations existent aussi. Certaines permettent ainsi de valider en quelques heures seulement la véracité d’un incident, d’identifier son origine, le chemin emprunté, l’agresseur et d’évaluer son impact… sachant qu’aujourd’hui le délai moyen actuel de découverte et d’identification d’une attaque se compte plutôt en semaines ou en mois ! Enfin, Bruxelles avance aussi sur la question des données personnelles – les discussions sur la directive dédiée devraient ainsi aboutir en 2015.

Reste que la coordination entre les deux jambes pourrait être améliorée. Le fait par exemple qu’il faille encourager le chiffrage des données pour sécuriser les informations personnelles, comme le recommande l’Agence Européenne de Cybersécurité ENISA, est incontestable. Mais les flux chiffrés sont aussi des voies d’accès privilégiées… pour les pirates. Quelles sont alors les conditions que les entreprises et organisations doivent respecter pour utiliser des outils de déchiffrage tout en respectant les impératifs en matière de protection des données personnelles ? A ce jour, aucun texte public – loi, règlement ou simple communication des autorités – ne répond clairement à la question. Rien non plus sur les règles internes à mettre en place pour utiliser des solutions d’enregistrement des données – qui permettent de « rembobiner le film » en cas d’attaque et donc d’identifier rapidement l’agresseur- tout en respectant les impératifs de protection des informations des individus. Résultat : certaines entreprises et organisations hésitent à se protéger…

Clarifier les conditions de mise en œuvre des solutions efficaces en matière de cybersécurité. Telle pourrait être une des priorités des nouvelles instances européennes. Pour faire de plus grands pas.(Par Dominique Loiselet, Directeur Général France Blue Coat)

La sécurité reste le principal frein à la transformation numérique des entreprises en Europe

Selon une enquête réalisée à l’échelle européenne par Quocirca pour CA Technologies, les problématiques liées à la sécurité des données (propriétés intellectuelles, données personnelles et localisation de stockage) restent la principale barrière qui freine l’adoption du Cloud par les entreprises

1.     L’enquête « L’Adoption des Services basés sur le Cloud » révèle qu’une majorité d’entreprises européennes (52%) restent prudentes vis-à-vis du Cloud. Parallèlement, une proportion équivalente (environ 25%) l’adoptent et le rejettent.

2.    Le premier vecteur d’adoption du Cloud reste les économies de coût. Mais désormais, les entreprises cherchent également à améliorer leur efficacité en mettant l’informatique réellement au service des métiers. Le Cloud devient ainsi le levier d’accélération des stratégies de transformation que les entreprises appellent de leurs vœux depuis 30 ans.

3.    La principale barrière freinant l’adoption du Cloud est la sécurité des données. 78% des entreprises réticentes pensent qu’elles ne disposent pas de ressources suffisantes et 65% considèrent qu’elles manquent des compétences nécessaires à la sécurisation de leurs services de Cloud. Mais les entreprises ayant déjà mis en œuvre des programmes de transformation numérique reposant sur le Cloud ont pris en compte dès le départ les problématiques de sécurité.

4.    Pour consulter le rapport complet, « The Adoption of Cloud-Based Services », cliquez ici.

L’adoption des services de Cloud par les entreprises ne cesse d’augmenter. Une récente enquête réalisée par Quocirca pour le compte de CA Technologies révèle que 57% des DSI de grandes entreprises européennes utilisent des services de Cloud dès qu’ils le peuvent ou en complément à leurs propres ressources internes. Selon eux, les services de Cloud accroissent la compétitivité de l’entreprise (la productivité, l’efficacité et la collaboration), le tout pour un coût total de possession inférieur. Près d’une entreprise européenne sur deux est encore réticente à adopter le  Cloud, du fait de préoccupations liées à la sécurité de leurs données 43% des entreprises européennes restent encore réticentes au Cloud. Parmi elles, on en compte 23% qui évitent de recourir au Cloud. 17% évaluent leur intérêt au cas par cas et  3% bloquent systématiquement l’accès au Cloud.

La principale barrière freinant l’adoption du Cloud est la sécurité. Plus de 54% de ces entreprises se déclarent préoccupées par les problématiques de sécurité liées à la propriété intellectuelle (vol de brevets, etc.), 43% par les problématiques de respect de la vie privée (exploitation de données personnelles, etc.) et 39% par le stockage de données confidentielles dans le Cloud (l’actualité relate quotidiennement des cas retentissants de vols et de fuites de données critiques).

Plus des trois quarts (78%) de ces entreprises françaises réticentes au Cloud déclarent manquer de ressources pour sécuriser ces services de Cloud et 65% de compétences adéquates. Ces chiffres laissent entendre que si on les aidait à mettre en œuvre et à sécuriser leurs services de Cloud, la plupart pourrait surmonter la principale barrière qui freine leur adoption.

Parmi les autres barrières mentionnées par les dirigeants informatiques interrogés, les législations sont perçues comme d’importants freins, principalement dans le secteur public, l’industrie et les télécommunications. Ceci soulève deux questions fondamentales :

–      comment innover dans un contexte de régulation intense ?

–      la loi est-elle un obstacle à l’innovation ?

La gestion des identités et des accès pour sécuriser les services de Cloud Les entreprises qui ont adopté le Cloud ont pensé à la sécurité dès le début de leur projet : 93% des entreprises françaises favorables au Cloud disposent d’un système de gestion des identités et des accès, contre seulement 48% des entreprises réticentes. 68% d’entre elles exploitent un modèle SaaS, contre seulement 30% des entreprises réticentes.

« Notre enquête prouve que la gestion des identités et des accès est primordiale pour les entreprises adoptant le Cloud. Les entreprises françaises encore réticentes peuvent surmonter leurs problématiques de sécurité et simplifier leurs processus grâce à des offres SaaS. D’ailleurs l’étude montre que 82% des entreprises favorables au Cloud considèrent que de nombreux services de sécurité – Single Sign On (SSO), gouvernance fédérée des identités et des accès – sont plus efficaces lorsqu’ils sont délivrés via des modèles SaaS ou hybrides », déclare Gaël Kergot, Directeur des Solutions de Sécurité chez CA Technologies.

Outre les gains d’efficacité, de productivité et de satisfaction des clients, les solutions de gestion des identités et des accès en mode SaaS répondent surtout au besoin de réduction de la complexité informatique exprimé par les entreprises européennes dans cette enquête. Qu’elles soient enthousiastes ou réticentes au Cloud, entre 30 et 40% d’entre elles considèrent que la complexité est encore un frein majeur au déploiement de services de Cloud. Ceci est notamment dû au fait qu’elles considèrent manquer des compétences nécessaires pour réussir leurs déploiements.