Archives par mot-clé : europe

Cloud, Entreprise

Législation européenne sur le cloud : Un changement favorable aux fournisseurs américains

Dans un revirement surprenant, il semble que l’Europe n’exige finalement pas que les fournisseurs de cloud soient exemptés des lois non européennes. Cette évolution est une bonne nouvelle pour les entreprises américaines cherchant à offrir plus facilement leurs services aux gouvernements.

Bien que la loi n’ait pas encore été finalisée, la dernière version, selon Reuters, ne précise plus que les règles de cybersécurité pour les contrats cloud doivent éviter les lois non européennes.

Cela marque un changement par rapport à une version précédente, qui exigeait que les entreprises américaines souhaitant fournir des services cloud à l’Europe ou à ses États membres établissent une coentreprise avec une entité européenne. Dans le cadre de cette collaboration, les données des clients européens devaient être stockées et traitées au sein de l’Union.

Ces principes ont été vivement critiqués, non seulement par les fournisseurs de cloud, mais aussi par les banques, les chambres de compensation, les assureurs et les start-ups, qui préféraient des exigences techniques à des règles politiques et de souveraineté générales.

Ce changement représente une évolution positive pour les fournisseurs de cloud américains. Précédemment soumises à la législation américaine, ces entreprises pouvaient, dans des cas exceptionnels, être contraintes de coopérer avec les enquêtes américaines. De plus, elles n’étaient peut-être pas autorisées à divulguer de telles informations à leurs clients européens.

Selon Reuters, la version adaptée est actuellement examinée par les états membres. La version finale devrait suivre ultérieurement.

Chiffrement, cryptage, Cybersécurité

Lutte contre la pédopornagraphie : lettre ouverte de scientifique pour protéger l’anonymat

Des parlementaires européens proposent une alternative à la loi contre la pédopornographie, qui aurait contraint les entreprises du secteur technologique à surveiller massivement les contenus des utilisateurs. Cette nouvelle mouture vise à protéger les enfants sans violer la vie privée des citoyens et à maintenir l’intégrité du chiffrement.

Pendant des mois, la Commission européenne a travaillé sur une régulation visant à freiner la propagation de la pédopornographie. Cette initiative, qui aurait obligé les plateformes technologiques à inspecter systématiquement les appareils des utilisateurs pour du contenu inapproprié via des logiciels basés sur l’IA, a suscité de nombreuses controverses.

Elle aurait aussi signifié la fin du chiffrement. Permettre le scannage de fichiers, machines, correspondances, obligerait de ne pas chiffrer, et sécuriser, les documents pour être lus par l’IA.

Ce projet a soulevé des inquiétudes quant à sa conformité avec les lois européennes sur la vie privée. De plus, des questions ont émergé sur la précision du logiciel de détection : une grand-mère pourrait-elle être faussement identifiée en envoyant une simple photo de son petit-fils à la piscine ? En juillet 2023, environ 150 scientifiques ont exprimé leurs préoccupations concernant les implications de cette proposition sur la vie privée et la sécurité en ligne.

Suite à ces critiques, un groupe de parlementaires a introduit une alternative. Elle demande aux entreprises technologiques et plateformes en ligne d’adopter des mesures proactives, comme la vérification de l’âge des utilisateurs. Les comptes des mineurs sur des plateformes telles qu’Instagram ou YouTube seraient privés par défaut, empêchant ainsi les contacts non désirés. Sont-ils au courant que cela existe déjà ? En France, par exemple, la loi instaure une majorité numérique à 15 ans. Avant, les enfants ne peuvent pas s’inscrire sur les réseaux. La loi oblige les plateformes à mettre des solutions techniques de contrôle. Instagram interdit les inscriptions de personnes de moins de 13 ans. TikTok indique aussi 13 ans [14 ans au Quebec]. Selon le blog du modérateur, le top 3 des réseaux sociaux les plus utilisés par la Gen Z (11 / 14 ans) : Instagram : 90 % (+6 % par rapport à 2022), Snapchat : 80 % (+4 %), TikTok : 63 % (+53 % par rapport à 2020).

Contrairement à la proposition initiale, cette version ne mandate le scan des contenus que dans des circonstances spécifiques, basées sur des preuves fournies par les autorités policières. De plus, les scans ne seraient réalisés que sur des plateformes sans chiffrement, éliminant ainsi la nécessité de créer des « backdoors ».

Cette proposition révisée devrait être examinée par le Conseil de l’Europe et la Commission européenne avant un vote final. – Avec DataNews.

Entreprise

Législations sur les marchés numériques (DMA) et services numériques (DSA) arrivent en Europe

La réglementation appelée Digital Services Act (DSA) a été mise en place pour réguler les activités en ligne, en particulier pour les grandes entreprises. La Commission européenne a sélectionné dix-neuf entreprises avec un minimum de 45 millions d’utilisateurs actifs par mois, incluant dix-sept grandes plateformes en ligne, dont TikTok et deux moteurs de recherche, Bing et Google Search.

La DSA aura un impact sur de nombreuses entreprises telles que Amazon, Apple, Google, TikTok, Twitter et Wikipedia, ainsi que AliExpress, Booking.com, Facebook, Instagram, LinkedIn, Pinterest, Snapchat, YouTube et Zalando. Les services tels que Google Play, Google Maps et Google Shopping chez Google seront également concernés.

L’objectif principal de la DSA est de mieux protéger les internautes, en particulier les mineurs, contre les contenus préjudiciables, la publicité trompeuse et les violations de la vie privée. Les entreprises qui publient du contenu pornographique impliquant des enfants, des contenus subversifs et haineux, ou des fausses informations seront plus facilement ciblées et sanctionnées grâce à une surveillance renforcée. Les dix-neuf grandes entreprises devront également offrir plus de choix et de meilleures informations à leurs utilisateurs.

La DSA représente une évolution importante dans le paysage de la réglementation en ligne. Elle vise à répondre aux nombreux défis posés par la prolifération de contenus préjudiciables ainsi que les pratiques publicitaires et de protection de la vie privée souvent abusives des entreprises du numérique. La DSA va permettre de mieux protéger les droits et la sécurité des internautes en leur offrant des moyens plus efficaces pour signaler et faire retirer les contenus illicites et nuisibles.

Gare à l’amende !

Les plates-formes qui ne respectent pas cette réglementation pourront se voir infliger des amendes allant jusqu’à 6 % de leur chiffre d’affaires mondial, selon les propos de Thierry Breton, eurocommissaire au Marché intérieur. Cette menace vise à inciter les entreprises à se conformer aux règles et à assumer leur responsabilité sociale.

Cependant, l’application de la DSA représentera un défi pour les entreprises du numérique, qui devront s’adapter aux nouvelles règles et aux nouvelles exigences. Pour cela, elles devront engager des moyens importants pour renforcer leurs capacités de surveillance, de signalement et de retrait de contenus illicites, ainsi que pour offrir à leurs utilisateurs des moyens de contrôle plus importants sur leurs données personnelles et leurs choix publicitaires.

En fin de compte, la réglementation DSA est un effort pour mieux protéger les utilisateurs en ligne et pour rendre les grandes plateformes en ligne plus responsables de leurs actions. Bien que cela puisse entraîner une certaine restriction de la liberté d’expression en ligne, il est important que les autorités cherchent à garantir que les entreprises respectent les lois et les normes éthiques en matière de protection des utilisateurs. La réglementation DSA pourrait donc marquer un tournant important dans la réglementation de l’espace en ligne, en offrant une meilleure protection aux utilisateurs et en augmentant la responsabilité des entreprises.

DMA et DSA

En juillet 2022, le Parlement européen a approuvé à une large majorité la nouvelle législation sur les marchés numériques (DMA) et la législation sur les services numériques (DSA), visant à renforcer le contrôle sur les grandes entreprises technologiques. Les entreprises qui ne respectent pas ces règles pourraient se voir imposer des amendes pouvant atteindre 10% de leur chiffre d’affaires annuel mondial pour une violation de la DMA et 6% pour une violation de la DSA.

La législation sur les marchés numériques (DMA) et la législation sur les services numériques (DSA) visent à renforcer le contrôle sur les grandes entreprises technologiques. La DMA donne à la commissaire européenne plus de pouvoir pour intervenir en cas d’abus commis par de grandes entreprises comme Google, Meta, Amazon ou Apple, afin d’empêcher ces dernières de favoriser leurs propres applications et services sur leurs plateformes. La DSA oblige les entreprises à davantage de transparence et de responsabilité pour la sécurité en ligne et la suppression des contenus illégaux. Les entreprises qui dérogent à ces règles se verront imposer des amendes pouvant atteindre 10 % de leur chiffre d’affaires annuel mondial pour une violation de la DMA, et 6 % pour une violation de la DSA.

La DSA régule ce qui peut être publié sur internet et vise notamment à lutter contre la désinformation. Elle interdit également les publicités ciblant les enfants ainsi que celles basées sur des données sensibles telles que la religion, l’origine ethnique ou les opinions politiques.

En outre, cette directive interdit les « dark patterns », qui sont des stratégies trompeuses utilisées par les entreprises pour inciter les clients à prendre une décision spécifique. Par exemple, Amazon avait utilisé un « dark pattern » pour rendre la résiliation d’un abonnement Amazon Prime plus difficile pour les utilisateurs.

 

Cybersécurité, loi

Executive Order on Enhancing Safeguards for United States Signals Intelligence Activities

Les Etats-Unis et l’Union européenne bientôt au diapason concernant le transfert des données personnelles ?

Le décret signé le 7 octobre dernier par le président américain, Joe Biden, concernant le transfert des données personnelles permet de renforcer les mesures garantissant la confidentialité et la protection des libertés civiles et des données personnelles de résidents européens transférées vers les États-Unis (Executive Order on Enhancing Safeguards for United States Signals Intelligence Activities).

Pour mémoire, le dispositif du Privacy Shield avait été invalidé en 2020 par la justice européenne (CJUE 16 juillet 2020 arrêt dit « Schrems II »), qui avait jugé que les atteintes portées à la vie privée des personnes dont les données personnelles sont traitées par les entreprises et opérateurs soumis à la législation américaine étaient disproportionnées au regard des exigences de la Charte des Droits Fondamentaux de l’Union européenne.

Il s’agissait ni plus ni moins de restaurer la confiance entre l’Union européenne et les Etats-Unis concernant leurs flux transfrontaliers de données personnelles. Ce décret devrait permettre à la Commission européenne d’initier la procédure menant à une décision d’adéquation, dont l’objectif à terme serait de reconnaître l’adéquation de la législation américaine avec les exigences de législation européenne en matière de protection des données personnelles. (Réactions de Corinne Khayat et Anne-Marie Pecoraro, Avocate associée au cabinet UGGC).

Cyber-attaque, Leak

Les cyberattaques subies par l’Europe émanent majoritairement de l’intérieur de l’Europe

Les données de Threat intelligence indiquent que les attaques subies par l’Europe émanent davantage de l’intérieur de ses frontières que de toute autre partie du monde. Les Pays-Bas ont lancé 1,5 fois plus d’attaques contre des systèmes en Europe que les États-Unis et la Chine réunis

D’après une nouvelle analyse de F5 Labs, les cyberattaques qui frappent l’Europe émanent davantage de l’intérieur de ses frontières géographiques que de toute autre région du monde. Ce constat s’appuie sur une étude du trafic d’attaque à destination des adresses IP européennes entre le 1er décembre 2018 et le 1er mars 2019, de même que sur une comparaison avec les tendances observées aux États-Unis, au Canada et en Australie.

Principaux pays à l’origine des attaques

Les systèmes déployés en Europe sont ciblés par des adresses IP du monde entier. En examinant une carte mondiale, le F5 Labs a découvert que les pays originaires des attaques en Europe étaient analogues à ceux visant l’Australie et le Canada, mais différents de ceux s’attaquant aux États-Unis (qui subissent beaucoup moins d’attaques en provenance d’adresses IP européennes que l’Europe). Les Pays-Bas se classent en tête des 10 premiers pays à l’origine des attaques, devant les États-Unis, la Chine, la Russie, la France, l’Iran, le Vietnam, le Canada, l’Inde et l’Indonésie. Les Pays-Bas ont lancé 1,5 fois plus d’attaques contre des systèmes européens que les États-Unis et la Chine réunis, et six fois plus que l’Indonésie.

Principaux réseaux (ASN) et FAI à l’origine des attaques

Le réseau néerlandais de HostPalace Web Solution (ASN 133229) est celui qui a lancé le plus grand nombre d’attaques, suivi par le Français Online SAS (ASN 12876). Vient ensuite NForce Entertainment (ASN 43350), lui aussi néerlandais. Ces trois entreprises sont des hébergeurs Web dont les réseaux apparaissent régulièrement dans les listes F5 Labs des principaux réseaux d’acteurs malveillants5.

72 % des ASN1 d’attaque répertoriés appartiennent à des fournisseurs d’accès Internet. 28 % à des hébergeurs Web. Dans le cadre de son analyse, F5 Labs a également identifié les 50 premières adresses IP qui s’attaquent à l’Europe2. Aussi les entreprises sont-elles désormais exhortées à vérifier leurs logs réseau afin de détecter les connexions émanant de ces adresses IP. De la même manière, les propriétaires de réseaux doivent enquêter sur les éventuelles violations imputables à ces adresses IP.

Principaux ports ciblés

L’examen des principaux ports ciblés a permis à F5 Labs d’établir le type de systèmes dans la ligne de mire des attaquants. En Europe, le port 5060 est celui qui a subi le plus d’attaques. Il est utilisé par le service SIP (Session Initiation Protocol) pour la connectivité VoIP (Voice over IP) aux téléphones et aux systèmes de vidéoconférence. L’analyse du trafic d’attaque visant une destination spécifique lors d’événements mondiaux majeurs, tels que les récents sommets entre Donald Trump et Kim Jung Un ou encore Vladimir Poutine, montre que ce port est systématiquement pris pour cible. Le port 445, dédié à Microsoft Server Message Block (SMB), est le deuxième le plus attaqué, devant le port 2222, couramment utilisé en tant que port Secure Shell (SSH) non standard.

Bien se protéger

Au vu des recherches il est recommandé aux entreprises de procéder à des analyses de vulnérabilité externes constantes afin d’identifier les systèmes exposés publiquement et de déterminer sur quels ports.

Il convient de bloquer les ports les plus sujets aux attaques sur tous les systèmes exposés publiquement (par exemple le port Microsoft Samba 445, ou les ports SQL 3306 et 1433) ou de mettre en place des mesures de gestion des vulnérabilités. Les applications Web qui reçoivent du trafic sur le port 80 doivent en outre être protégées au moyen d’un pare-feu pour applications Web (WAF), être continuellement analysées pour détecter les éventuelles vulnérabilités et se voir appliquer en priorité des mesures de gestion des vulnérabilités, notamment, sans s’y limiter, la correction des bugs et l’installation de correctifs.

Un grand nombre d’attaques par force brute sur les ports prenant en charge des services d’accès tels que SSH. C’est pourquoi toutes les pages de connexion publiques doivent disposer de mécanismes de protection adéquats contre ce type d’attaques.

Les logs !

Les administrateurs réseau et les ingénieurs en sécurité doivent passer en revue les logs réseau afin d’identifier toutes les connexions vers les principales adresses IP à l’origine d’attaques. Dès lors qu’une entreprise subit des attaques émanant d’une de ces adresses IP, elle doit porter plainte pour violation auprès des FAI et des propriétaires des ASN de manière à ce qu’ils procèdent à la mise hors service de ces systèmes d’attaque.

Sara Boddy, directrice de la division Threat Research chez F5 Labs explique : « Concernant le blocage des adresses IP, l’établissement de longues listes de blocage peut se révéler difficile, tout comme le blocage d’adresses IP de FAI offrant des services Internet à des abonnés susceptibles de figurer parmi ses clients. Dans ces cas de figure, un appareil IoT infecté à l’insu de son propriétaire sera probablement utilisé comme système d’attaque et ne sera sans doute jamais désinfecté. Bloquer l’intégralité du trafic d’ASN ou de FAI peut poser problème pour la même raison. Le blocage de tout leur réseau empêcherait des clients d’engager des relations commerciales avec son entreprise. Sauf s’il s’agit d’un FAI desservant un pays dans lequel son entreprise n’exerce pas d’activités. Dans ce cas, le blocage géolocalisé au niveau d’un pays peut être un moyen efficace de filtrer un grand volume de trafic d’attaque et d’épargner à son système un traitement inutile. Il est par conséquent préférable de bloquer le trafic en fonction du schéma d’attaque sur ses pare-feu réseau et WAF.« 

Communiqué de presse, Cybersécurité, Securite informatique

La cyber criminalité constitue une préoccupation majeure pour un Français sur deux

Europ Assistance dévoile les conclusions de l’édition 2019 de son baromètre des cyber risques. L’étude, conduite en partenariat avec LEXIS, porte sur la perception des Européens et Américains à l’égard des risques liés à l’utilisation d’internet.

Près d’1 Français sur 4 connait une victime d’attaque ciblant des données confidentielles ou sensibles – de surcroît, 78% des Français considèrent une potentielle attaque contre leurs données personnelles comme un événement « hautement stressant ». Ainsi, la prise de conscience concernant les cyber risques se généralise. Quelles sont les principales inquiétudes des français face à la cybercriminalité ? 60% des sondés se disent très préoccupés par les paiements et achats en ligne, tandis qu’un sur deux s’inquiète pour la sécurité de leurs enfants et craigne une usurpation d’identité.

Des stratégies de protection en décalage avec les préoccupations en matière de cybercrimes

Un tiers des Français (32%) déclare modifier fréquemment leurs identifiants, mots de passe et certificats numériques. Plus alarmant, si la majorité d’entre eux révèle disposer d’une solution antivirus ou antimalware sur leur ordinateur, moins de la moitié déclare utiliser un service similaire sur leur smartphone ou sur leur tablette. Cette statistique est particulièrement inquiétante dans la mesure où désormais, plus de la moitié du trafic web mondial s’effectue sur ces supports.

Par ailleurs, la moitié (48%) des répondants français disent ne pas savoir comment gérer une éventuelle compromission de leurs données personnelles. Cela explique pourquoi un nombre similaire de Français (47%) déclarent ne pas avoir un sentiment de contrôle sur les informations en ligne les concernant. Ce sentiment accentué par le fait que 51% des Français pensent que les entreprises et les institutions n’en font pas assez pour protéger leurs informations personnelles.

Méthodologie : l’édition 2019 du baromètre cyber d’Europ Assistance et de LEXIS a été réalisée dans 9 pays à savoir les États-Unis, l’Italie, la France, l’Espagne, l’Autriche, la Hongrie, la Suisse, la République Tchèque et la Roumanie. Dans chaque pays, 800 consommateurs âgés de 25 à 75 ans ont répondu à un questionnaire en ligne de 15 minutes. L’enquête, conduite entre novembre et décembre 2018, porte sur quatre sujets clefs : les activités en ligne et les stratégies de protection personnelle, les inquiétudes concernant les activités Web et numériques, l’évaluation d’un service de protection contre les cyber risques, et l’intention d’achat d’un tel service.

Base de données, Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données, RGPD, Securite informatique

Données personnelles : L’Europe et les États-Unis dans des directions opposées

Depuis l’élection de Donald Trump à la tête des États-Unis, la confidentialité des données personnelles est au cœur des préoccupations des deux côtés de l’Atlantique. Et il semble que les États-Unis et l’Union Européenne aient des idées divergentes sur la direction à suivre.

Nous utilisons tous des outils numériques au quotidien. Souvent, sans même nous en rendre compte, nous échangeons nos données personnelles contre la gratuité des services. En effet, l’ensemble de nos activités sur le web et même l’utilisation d’objets connectés génèrent des données que collectent et monétisent de grandes entreprises. Lorsqu’il s’agit de simples recherches sur le Web ou de la visite de sites et réseaux sociaux, il est rare de se soucier des traces que nous laissons. Mais qu’en est-il lorsqu’il est question de dossiers médicaux, juridiques, ou financiers ? Ceux-ci relèvent non seulement de la vie privée mais plus encore, de l’intimité des individus. Le problème est que la frontière entre ce qui est public et ce qui doit rester privé est relativement flou.

Alors les dispositions mises en place favorisent-elles trop souvent les entreprises ? Les citoyens doivent-ils reprendre la main sur l’exploitation de leurs données ? Jusqu’où les entreprises peuvent-elles utiliser nos données ? Autant de question à soulever et que l’on retrouve en Europe comme aux USA. C’est l’UE qui a choisi de légiférer afin de protéger ses citoyens avec l’entrée en vigueur en mai prochain du Règlement Général sur la Protection des Données (RGPD), mais pas seulement. Un autre règlement de l’UE destiné à protéger les données personnelles lors de communications électroniques va s’appliquer.

Ce projet de loi est à l’opposé de l’ordonnance du président américain qui vient supprimer la nouvelle loi de protection des données privées qui devait s’appliquer d’ici la fin de l’année. Promulguée sous le mandat Obama, elle aurait obligé les fournisseurs d’accès à Internet (FAI) à recueillir clairement le consentement des utilisateurs pour partager des données personnelles. Cela concernait les informations telles que la géolocalisation, les informations financières, de santé, sur les enfants, les numéros de sécurité sociale, l’historique de navigation Web, de l’utilisation d’une application et le contenu des communications. En outre, les FAI se seraient vu contraints de permettre à leurs clients de refuser le partage d’informations moins sensibles, comme une adresse électronique par exemple.

Mais les conflits entre les États-Unis et l’UE portant sur la protection des données, ne reposent pas seulement sur cette ordonnance. Les actualités récentes autour de l’immigration ont quelque peu masqué une autre législation qui remet en cause l’avenir du Privacy Shield. Remplaçant de l’accord « Safe Harbor », Privacy Shields a été imaginé avec le RGPD à l’esprit, ce qui signifie que l’application de l’un sans l’autre rend illégal le traitement de données issues d’entreprises européennes par des entreprises américaines… avec par conséquent un impact important sur les services cloud.

Pour le Royaume-Uni, la situation se compliquera aussi en 2019 car, en quittant l’Union Européenne, il quittera également le Privacy Shield.

La protection de la vie privée est donc intrinsèquement liée aux données et les prestataires doivent pouvoir offrir des garanties à leurs clients. Le Privacy Shield par exemple, permet de chiffrer facilement et de déplacer les données et les charges de travail entre les fournisseurs de cloud. Cela donne une assurance face aux incertitudes actuelles qui touchent les entreprises de l’UE et des États-Unis. Dans le même temps, des acteurs comme Microsoft ou Amazon renforcent leurs capacités de stockage de données en Europe, pour faire face aux demandes éventuelles d’entreprises européennes à déplacer leurs données sur le Vieux Continent au cas où les choses resteraient floues ou empireraient.

Les informations personnelles font partie intégrante de l’activité moderne et l’on ne peut pas ignorer ce fait. LE RGPD va être le nouveau point de référence pour leur protection et le conflit entre ceux qui voudront protéger les données privées et les autres souhaitant les exploiter est bien parti pour durer ! (Par Philippe Decherat, Directeur Technique chez Commvault)

Base de données, Cybersécurité, Entreprise, Fuite de données, Justice, loi, Sauvegarde

Retour sur le RGPD, le Règlement Général de l’Union Européenne sur la Protection des Données

Le Règlement Général de l’Union Européenne sur la Protection des Données (RGPD) impose aux entreprises d’effectuer un suivi de toutes les occurrences des données à caractère personnel des clients au sein de leur organisation, d’obtenir le consentement des clients concernant l’utilisation de leurs informations personnelles (y compris le « droit à l’oubli ») et de documenter l’efficacité de cette gouvernance des données pour les auditeurs.

Deux tiers (68 %) des entreprises, selon Compuware, risquent de ne pas être en conformité avec le RGPD, en raison d’une augmentation de la collecte des données, de la complexité informatique grandissante, de la multiplicité des applications, de l’externalisation et de la mobilité. Ce risque tient aussi aux politiques laxistes concernant le masquage des données et l’obtention d’une autorisation explicite des clients en matière de données. Les entreprises européennes comme américaines doivent, par conséquent, adopter une série de bonnes pratiques, notamment un masquage plus rigoureux des données de test et de meilleurs pratiques concernant le consentement des clients, afin d’éviter des sanctions financières et une altération possible de leur image de marque résultant d’une non-conformité.

Le RGPD de l’Union européenne a été adopté en avril 2016, afin d’unifier des obligations auparavant réparties à travers différentes juridictions européennes concernant l’utilisation, la gestion et la suppression des informations personnellement identifiables (IPI) des clients par les entreprises. Toutes les entreprises dans l’UE, aux États-Unis et ailleurs, qui collectent des IPI relatives à des citoyens de l’UE, ont jusqu’en mai 2018 pour se conformer à ces dispositions. Tout non-respect du RGPD expose les entreprises à des amendes pouvant atteindre 20 millions € ou 4 % du chiffre d’affaires mondial.

RGPD et les données de test : une vulnérabilité critique

L’étude montre aussi deux vulnérabilités critiques, prépondérantes et interdépendantes en rapport avec le respect du RGPD par les entreprises : les données de test et le consentement des clients.

Les données de test constituent une vulnérabilité critique et omniprésente en matière de conformité, car elles constituent une des méthodes les plus courantes pour répliquer et transférer des IPI des clients dans l’entreprise. Des jeux de données de test sont régulièrement nécessaires à mesure que les développeurs créent des applications ou améliorent les applications existantes, et ce travail/produit des développeurs doit être testé en permanence en termes d’assurance qualité fonctionnelle et non fonctionnelle. Si les données de test ne sont pas masquées et « anonymisées » correctement, tout nouveau jeu de données de test devient un problème de conformité potentiel dans l’avenir. Pourtant, malheureusement, 43 % des répondants admettent ou ont un doute sur le fait qu’ils font courir un risque aux IPI des clients en ne garantissant pas l’anonymisation systématique de leurs données avant leur utilisation pour des tests. Votre entreprise utilise-t-elle l’anonymisation ou d’autres techniques pour dépersonnaliser les données des clients avant de les utiliser dans des environnements de tests ? L’absence de masquage des données de test crée en fait plusieurs vulnérabilités de conformité, notamment :

  • L’impossibilité de localiser chaque occurrence d’information personnelle des clients.
  • L’incapacité à supprimer chaque occurrence d’information personnelle des clients.
  • L’impossibilité de respecter les exigences de documentation pour les auditeurs concernant ces deux obligations.
  • L’absence de masquage des données clients avant leur partage avec des sous-traitants, qu’il s’agisse de développeurs ou testeurs, présente un risque supplémentaire pour les entreprises car elles sont à la merci des pratiques de sécurité et de conformité du sous-traitant.
Chiffrement, cryptage, Cybersécurité, IOT

Cybersécurité : L’Europe annonce 450 millions pour le privé

Pourquoi est-il indispensable de renouveler les fondements de la sécurité informatique qui datent de plus de 20 ans ?

Fondements de la sécurité informatique – Devenue un enjeu essentiel, la sécurité informatique est plus que jamais au cœur des préoccupations de l’Union Européenne. La Commission Européenne a récemment annoncé qu’elle allait investir 450 millions d’euros pour la sécurité informatique dans le cadre d’un partenariat avec le secteur privé. Les sociétés de ce secteur devraient d’ailleurs tripler ce montant dans les prochaines années, pour arriver à 1,8 milliard d’euros d’investissement. « Il est encourageant que l’UE investisse davantage dans la cybersécurité et en fasse l’une de ses priorités. En raison du Brexit, les universités et les entreprises françaises pourraient d’ailleurs bénéficier de plus d’investissements. » commente Kevin Bocek, VP Threat Intelligence and Security Strategy chez Venafi.

Sécurisation des identités en ligne

Cependant, on ne sait pas encore si ces financements seront investis là où c’est nécessaire. La « sécurisation des identités en ligne » est l’un des principaux domaines sur lesquels le partenariat public/privé se focalisera. Au-delà de ça, je pense qu’il ne faut pas se contenter de sécuriser l’identité des individus, mais aussi celle des machines, des logiciels, des appareils connectés et des fondations d’Internet elles-mêmes. Les logiciels sont déjà plus nombreux que la population humaine, et la capacité à différencier le ‘bien’ du ‘mal’, les amis des ennemis, n’en devient que d’autant plus importante en ce qui concerne les machines, les logiciels et les appareils connectés. Nous devons cesser d’appliquer notre pensée anthropomorphique, mais apprendre à réfléchir comme ceux qui font peser des menaces sur notre mode de vie et notre économie au 21e siècle.

Fondements de la sécurité informatique

Fondamentalement, la façon dont nous sécurisons les logiciels, l’IoT et l’Internet en soi n’a pas changé depuis plus de 20 ans. Que l’on se connecte à une messagerie électronique ou au code de programmation d’un Airbus A380, les méthodes de connexion entre individus, la confiance placée dans les applications et le mode de fonctionnement de l’économie mondiale reposent sur la sécurité offerte par les certificats numériques et les clés de cryptage. Cela va bien au-delà de l’authentification des personnes : c’est le système qui authentifie les systèmes et les logiciels, permettant ainsi aux machines de savoir qu’elles suivent les bons ordres – tout cela est beaucoup plus préoccupant que la sécurisation des identités individuelles. Parce qu’ils définissent ce qui est digne ou indigne de confiance, les clés et les certificats peuvent être utilisés comme une cyber-arme. Ils ont déjà été employés avec succès dans les attaques cinétiques, ce qui prouve qu’il est indispensable de voir plus loin que la sécurisation de l’identité des individus.

« Si le grand public n’est pas encore informé sur les dangers liés aux clés et aux certificats, confirme Kevin Bocek, ceux-ci sont parfaitement connus de la NSA, du GCHQ et d’un groupe émergent de cyber-adversaires, de la Chine aux terroristes. Les criminels et les terroristes se mettent à utiliser ces clés et ces certificats contre nous, et nous courrons actuellement le risque de voir les terroristes pirater certaines parties de l’Internet, ou plus inquiétant encore, de s’en servir pour prendre le contrôle d’actifs physiques, qu’il s’agisse de voitures, d’avions ou de centrales nucléaires, voire de la multitude d’appareils connectés qui exercent de plus en plus de contrôle sur nos foyers« .

Dans certains cas, les terroristes se sont en fait inspirés des actions de nos propres gouvernements. Prenez simplement l’exemple de Stuxnet, un malware développé par les gouvernements américain et israélien pour neutraliser le programme nucléaire iranien ; un certificat volé a permis à ce logiciel malveillant d’être considéré comme entièrement digne de confiance par les équipements iraniens. Et aujourd’hui, quand le FBI veut prendre le contrôle d’un appareil, il utilise la clé de cryptage d’Apple pour neutraliser les défenses de l’iPhone. C’est la cyber-arme du 21e siècle : elle frappe en trafiquant l’identité des logiciels et des appareils. Voilà ce sur quoi nous devons concentrer nos efforts, et pas seulement sur les individus.

Il faut maintenant réfléchir à ce qui pourrait arriver si les réseaux de nos gouvernements ou de nos entreprises, voire même de cette nouvelle ère de l’IoT, étaient piratés, pris en otage, ou pire encore : détruits. Dans le meilleur des cas, cela déclenchera le chaos. Dans le pire, cela coûtera des vies humaines. Les fondations de la sécurité d’Internet ont plus de 20 ans. Il faut absolument que les gouvernements et les entreprises cherchent à les renforcer, à les doter d’un système immunitaire capable de nous protéger, de faire la différence entre ce qui est bien et ce qui est mal, entre ami et ennemi, et prendre immédiatement les mesures qui s’imposent pour résoudre ces problèmes.

Cloud, Cybersécurité, Entreprise, Mise à jour

Votre système d’information est-il protégé des dangers du cloud ?

Plan de la sécurité – Blue Coat Systems, Inc. fournisseur de solutions avancées de sécurité du Web pour les entreprises et administrations publiques, a présenté les premiers résultats d’une enquête en ligne menée auprès de 3 130 salariés d’entreprises d’une variété de secteurs en Europe. Cette enquête réalisée par YouGov offre une vision détaillée de la façon dont ceux-ci utilisent actuellement des applications cloud telles que Dropbox, Box, Office 365, Slack, LinkedIn, Facebook et Gmail sur le plan de la sécurité.

plan de la sécurité – Les professionnels européens d’aujourd’hui exposent leur entreprise à des risques de fuite et d’utilisation abusive de données sensibles. Ces risques atteignent désormais des proportions alarmantes pour les organisations. Ainsi, les résultats de l’enquête indiquent que 53 % des personnes interrogées utilisent des applications cloud au travail. Et c’est en France que celles-ci sont le plus populaires avec 64 % des répondants, soit plus qu’au Royaume-Uni (49 %) ou en Allemagne (47 %).

Les entreprises s’appuient de plus en plus sur ces technologies ; pourtant, il est fréquent que les applications cloud utilisées n’aient pas été validées par les services informatiques. C’est ainsi que des données professionnelles sensibles se retrouvent exposées à un risque d’utilisation inappropriée par des employés les partageant ou les stockant (volontairement ou non) ailleurs que sur des applications protégées d’entreprise. L’enquête met en évidence les principaux risques que le cloud représente pour les organisations, notamment celui de se retrouver avec des données échappant à leur contrôle (« shadow data »). En voici les principaux enseignements :

L’utilisation d’applications cloud au travail motivée par une quête de productivité
Le partage de données se fait principalement à des fins collaboratives : 23 % des personnes interrogées utilisent des applications cloud pour transmettre des informations à leurs collègues. En outre, 17 % des répondants se servant d’applications cloud pour travailler à distance et 10 % de ceux en utilisant en déplacement à l’étranger affirment agir dans un souci de productivité. La génération Y fait par ailleurs figure de pionnier en matière de partage de données sur de telles applications : 30 % des 18-24 ans et 25 % des 25-34 ans partagent des informations avec leurs collègues, contre 18 % des 45-54 ans et 21 % des 55 ans et plus.

Les fonctions les plus critiques présentent les risques les plus sérieux pour la sécurité des informations
Les spécialistes de la gestion des systèmes d’information (76 %), des RH (69 %) et des finances (59 %) sont ceux qui utilisent le plus ces applications cloud au travail. Ils exposent ainsi les données d’entreprise les plus sensibles et précieuses aux risques d’une sécurité moins élevée.

Les données clients et de marketing sont les plus vulnérables
Les applications cloud servent régulièrement à échanger des bases de données et du contenu. Les registres de ventes et les bases de données clients, deux éléments ciblés par la future réglementation GDPR (General Data Protection Regulation), sont donc particulièrement exposés. En effet, parmi les individus partageant des informations professionnelles confidentielles à l’aide de telles applications, 29 % partagent des données de marketing ; viennent ensuite les données clients (23 %), informatiques (20 %) et financières (17 %).

Les employés vont même jusqu’à enfreindre la loi
De nombreuses utilisateurs d’applications cloud admettent le faire à des fins non autorisées, comme pour récupérer des données de leur ancienne société, pour dénoncer leur entreprise, voire pour assurer leur protection personnelle. Bien qu’il soit illégal de dérober des données appartenant à une entreprise avant d’en rejoindre une nouvelle, 7 % des répondants admettent se servir d’applications cloud pour se livrer à cette pratique. La dénonciation d’actes répréhensibles commis par une entreprise n’est, elle, pas illégale, et est la motivation derrière 8 % de l’utilisation du cloud pour conserver des données.

C’est dans le domaine des RH que cette pratique est la plus fréquente avec 17 % des professionnels du domaine. Enfin, le souci d’assurer sa propre protection (en récupérant des données d’entreprise afin de protéger des informations personnelles) motive 14 % de l’utilisation d’applications cloud au bureau. Les spécialistes de la gestion des RH (21 %), des systèmes d’information (18 %) et financière (17 %) sont ceux qui en utilisent le plus dans ce contexte. Compte tenu de la sensibilité des données gérées par ces types de professionnels, cette pratique présente donc un risque sérieux pour les entreprises.

L’âge, un facteur majeur dans l’utilisation du cloud
Plus les employés sont jeunes, plus ils utilisent d’applications cloud : 63 % des 18-24 ans s’en servent au travail, contre 59 % des 25-34 ans, 55 % des 35-44 ans, 48 % des 45-54 ans et 47 % des 55 ans et plus. Généralement plus à l’aise avec les nouvelles technologies, les jeunes peuvent en revanche se montrer moins respectueux des mesures de sécurité.

« Cette enquête met en lumière les comportements des employés utilisant des applications cloud au bureau, ainsi que les risques auxquels ils exposent leurs employeurs en adoptant de tels comportements », déclare à DataSecurityBreach.fr le Dr Hugh Thompson, directeur technique et vice-président sénior de Blue Coat Systems, Inc. « Il est important de noter que les équipes gérant les données les plus critiques (soit les professionnels de la gestion financière, des systèmes d’information et des RH) sont les plus adeptes de ces applications. Les données sensibles placées sous leur responsabilité sont souvent les cibles privilégiées des pirates. La chasse aux shadow data, ou données « fantômes » car échappant au contrôle des équipes informatiques, restent clairement un défi de taille pour les organisations. Celles-ci doivent adopter une approche proactive afin d’éviter le partage de données sur des applications non approuvées, et pour s’assurer que les employés accèdent aux informations conformément aux paramètres d’utilisation établis pour éviter tout danger. »

N.B. Tous les chiffres, sauf mention contraire, sont fournis par YouGov Plc. Taille totale de l’échantillon : 6 044 adultes, dont 3 130 individus actifs. Le travail sur le terrain a été réalisé du 6 au 12 mai 2016. L’enquête a été réalisée en ligne. Les chiffres ont été pondérés et sont représentatifs de tous les adultes britanniques, français et allemands (âgés de 18 ans et plus).