Archives de catégorie : loi

Base de données, Cybersécurité, Emploi, Entreprise, Fuite de données, ID, Identité numérique, Justice, loi, Mise à jour, Particuliers

Obligation de notification en cas de fuite de données

Les entreprises des Pays-Bas vont être obligées de notifier leurs clients en cas de fuite de données dès janvier 2016.

Alors que la France est toujours en attente d’une vraie obligation de protéger les utilisateurs d’Internet face à une fuite de données visant les entreprises hexagonales, les sociétés Néerlandaises vont être obligées d’alerter leurs clients en cas de piratage de leurs bases de données.

Les entreprises néerlandaises vont devoir, dès janvier 2016, alerter la CNIL locale, la DPA, et les personnes ciblées par une fuite de leurs données personnelles en cas de piratage, backup oublié, perte d’un ordinateur… L’absence de notification pourra conduire à des amendes allant jusqu’à 500 000 €.

Toutes les entreprises locales, ou étrangères, ayant des serveurs au Pays-Bas, sont concernées par cette loi. Bilan, si un hébergeur Français, Suisse, Belge, Américain… se fait pirater sur le sol Néerlandais, il aura obligation d’en informer les autorités.

En Europe

Depuis le 25 août 2013, le règlement européen n° 611/2013 met en place une procédure d’information en cas de piratage de données d’un opérateur de services de télécommunications ou d’un fournisseur de services internet permettant à un tiers d’accéder à des données à caractère personnel (nom, adresse ou coordonnées bancaires par exemple).

Cette procédure comprend 3 obligations à la charge du professionnel :

  • La notification des faits auprès de la Commission nationale informatique et libertés (CNIL) dans un délai de 24 heures après leur constatation (avec un document normalisé et identique pour tous les membres de l’Union européenne),
  • La fourniture d’une description des données concernées et des mesures déjà prises ou qui seront prises,
  • Une évaluation de la nécessité d’informer ou non les abonnés, en fonction du type de données ayant fait l’objet d’une violation.
Cybersécurité, Justice, loi

Invalidation du Safe Harbor : comment se préparer au prochain accord ?

En octobre 2015, la Cour européenne de justice a décidé d’annuler l’accord Safe Harbor, conclu il y a 15 ans entre l’Union européenne et les Etats-Unis. Cet accord portait sur un mécanisme simple de transfert de données entre les deux continents. La suppression du Safe Harbor est la conséquence directe de l’audacieux recours juridique déposé par Max Schrems, étudiant en droit autrichien de 28 ans.

Max Schrems est parvenu à s’attaquer à des entreprises du secteur des technologies semblant jusque-là invulnérables, et à enregistrer une victoire au nom des droits des utilisateurs, ce qui lui a valu de nombreux applaudissements, en particulier de la part d’Edward Snowden. Bien que la décision de la cour européenne puisse paraître surprenante, elle s’inscrit dans une tendance récente au renforcement des règles en matière de confidentialité des données.

Les lois américaines dans ce domaine sont moins contraignantes que celles en vigueur dans l’Union européenne. Jusqu’à cette décision, Safe Harbor constituait un compromis entre les procédures de confidentialité américaines et européennes. En vigueur depuis l’an 2000, cet accord a permis aux sociétés américaines de rapatrier les données des citoyens européens aux États-Unis tant qu’elles respectaient le même niveau de confidentialité que les normes européennes en la matière. Ces sociétés ont dû s’engager à respecter sept principes relatifs à l’exploitation des données collectées, mais la décision de la Cour européenne de justice envoie un signal fort selon lequel les droits des utilisateurs à la confidentialité doivent être consacrés par la loi et non pas par une simple auto-certification. Depuis la fin du Safe Harbor, les entreprises des deux côtés de l’Atlantique ont dû réviser leurs procédures de collecte, de stockage, de traitement et de transfert des données personnelles des citoyens européens.

Quel sera l’impact sur les entreprises ?
Les entreprises qui dépendent du libre transfert des données entre l’Union européenne et les États-Unis se retrouveront dans une position difficile. L’analyse des conséquences de cette décision a principalement porté sur sa signification pour les réseaux sociaux américains, mais les sites américains de partage de fichiers dans le cloud, comme Dropbox (et leurs clients utilisateurs de leurs services de stockage), le fournisseur de services cloud, les grands distributeurs internationaux comptant des clients dans l’Union européenne et toutes les entreprises américaines de gestion de ces données personnelles seront concernés.

Les directeurs de la sécurité des systèmes d’information des grandes entreprises doivent désormais s’efforcer de trouver les moyens de respecter ce nouvel arrêt. Il va sans dire que la confidentialité des données des utilisateurs est extrêmement importante et doit constituer un droit fondamental, mais cette décision concerne bien plus d’entreprises que Facebook et Google. Il est plus que probable que cela modifiera les procédures de transfert de données mises en place par les entreprises entre les deux continents. Près de la moitié des échanges de données dans le monde s’effectuant entre l’Europe et les États-Unis, l’invalidation de l’accord Safe Harbor se traduira par des changements radicaux pour les petites et moyennes entreprises.

Bien qu’il ne soit pas encore possible de savoir exactement ce qui remplacera cet accord, il est clair que cela aura des conséquences sur les activités au quotidien. Il deviendra plus difficile de fournir des services et des données entre l’Union européenne et les États-Unis.

Toutes ces préoccupations autour des réglementations relatives à la confidentialité des données ne sont pas nouvelles. Quelles sont les autres règles en vigueur ?
Le principal reproche formulé à l’encontre de l’accord Safe Harbor est qu’il ne respecte pas les exigences de la directive européenne sur la protection des données. L’Union européenne semble avoir de plus en plus tendance à s’opposer à l’approche américaine en matière de confidentialité des données. La décision sur l’accord Safe Harbor, et celle sur le droit à l’oubli, constituent un signal clair que l’attitude « La prospérité maintenant, la confidentialité plus tard » n’est plus de mise en Europe.

Le General Data Protection Regulation (ou GDPR) est acté, la réglementation à proprement parler est toujours en consultation, et il y aurait donc une certaine marge de manœuvre pour y faire figurer des directives claires à l’intention de ces entreprises. Cependant, il serait juste de partir du principe que cela pourrait avoir des répercussions sur la date d’adoption envisagée (actuellement la fin de l’année).

Comment les entreprises se préparent-elles à cette législation ?
Selon un récent sondage réalisé par Ipswitch, les entreprises se préparent aux changements annoncés, mais lentement. Bien que la nouvelle réglementation soit soumise à consultation depuis près de quatre ans, ce sondage mené en septembre 2015 indique qu’un peu moins d’une entreprise française sur cinq ne sait toujours pas si elle est concernée par ces mesures alors que ces mêmes sociétés affirment stocker et traiter des données personnelles. Par ailleurs, 71% d’entre elles estiment qu’elles devront investir dans des technologies de traitement et de stockage de données conformes à ces nouvelles normes.

Que peuvent faire les entreprises pour s’assurer qu’elles sont en conformité avec le GDPR ?
Elles ne doivent pas sous-estimer la charge que représente cette nouvelle législation. Selon leurs pratiques actuelles en matière de transfert de données, la décision relative à l’accord Safe Harbor pourrait nécessiter de profonds changements et impliquer de nombreux services au sein de l’entreprise.

Voici une checklist de cinq points destinée aux services informatiques afin de leur permettre de se mettre en conformité avec les règles de confidentialité.

1/ Des responsabilités clairement délimitées
Face aux exigences croissantes de confidentialité des données auxquelles les entreprises sont confrontées, la nomination d’un Responsable Protection des Données peut être un excellent point de départ. De nombreuses entreprises ont déjà procédé à une telle nomination, et la nouvelle réglementation GDPR en cours d’élaboration devrait inciter de nombreuses autres à leur emboîter le pas. Carsten Casper, analyste du cabinet Gartner, souligne qu’« il est logique que de nombreuses sociétés aient en leur sein un chargé des questions de confidentialité indépendamment de la législation ».

Ce processus de mise en conformité nécessitera le soutien des dirigeants, une collaboration entre les services, la validation d’un budget, des ressources et des investissements technologiques. Quelle que soit la démarche adoptée par les entreprises, elles devront clairement identifier le ou les responsables de ce projet en interne.

2/ Auditez vos pratiques actuelles
Alors que les entreprises bénéficieront d’un certain délai avant d’être obligées de se mettre en conformité, il faut qu’elles commencent immédiatement à auditer leurs pratiques de partage de données, notamment l’utilisation de services américains de partage dans le cloud comme Dropbox, pour pouvoir cerner précisément où elles en sont et être prêtes à agir dès l’officialisation de nouvelles directives. Cet audit doit aussi permettre d’identifier les personnes concernées par ces changements au sein de l’entreprise et le type d’assistance nécessaire.

Il faut s’interroger sur les procédures, les stratégies ou les technologies qu’il est possible de mettre en place aujourd’hui et qui serviront les projets futurs. Une entreprise mature et agile se caractérise par la capacité de ses solutions à répondre aux besoins actuels tout en étant suffisamment souple pour s’adapter aux évolutions futures.

3 / Quels sont vos points les plus vulnérables ?
La possibilité de transférer les données en toute sécurité afin de garantir les processus opérationnels stratégiques est un point important pour les entreprises. Il n’a jamais été aussi important d’être sûr de sa politique en matière de transfert de fichiers. En l’absence de nouvelles lignes directrices concernant le remplacement du système Safe Harbor, il faut partir du principe que son remplaçant sera plus draconien et exigera des preuves.

Dans un monde où le numérique s’impose de plus en plus comme la norme, il est logique du point de vue économique de renforcer ses liens avec les partenaires, les sous-traitants ou les clients. Gérer le transfert et le stockage de tous les fichiers entre les clients, les employés, les partenaires, les systèmes de gestion, etc. peut-être une lourde tâche. La gestion des transferts de fichiers représente l’une de ces technologies facilitant l’accès aux données et la visibilité et la maîtrise complètes par le service informatique.

4 / Diffusez le message
Il ne suffit plus de mettre en place les bonnes mesures de sécurisation des transferts de données, toute entreprise se doit de garantir qu’elle a déployé les bonnes technologies de transfert de fichiers, les bons systèmes de sécurité et processus, une piste d’audit complète et, peut-être plus important encore, qu’elle a formé son personnel.

Les meilleures technologies au monde peuvent être mises en place, mais si les collaborateurs de l’entreprise ne savent pas ce que l’on attend d’eux, l’échec sera de mise. Préparer ses collaborateurs aux nouvelles exigences en matière de protection des données est aussi important que d’apprêter ses technologies.

5 / Paré à agir
Les organismes nationaux de protection des données des différents États membres de l’Union européenne sont en pleine effervescence afin d’analyser, d’intégrer et d’émettre des directives sur les procédures de traitement au quotidien par les entreprises. L’emploi de clauses contractuelles est une question débattue au sein de ces organismes nationaux. Certains experts préconisent l’usage de clauses à titre de solution provisoire en l’absence d’autres directives. Mais tous ne sont pas d’accord, L’autorité de surveillance allemande, argumente que ces clauses ne sauraient remplacer Safe Harbor. Quoiqu’il en soit, l’accent est mis sur l’anticipation de l’avenir pour que la mise en conformité puisse intervenir rapidement en temps opportun.

Si tout cela semble être un obstacle chronophage que les entreprises devront franchir, il convient de rappeler les implications de cet arrêt à propos de l’accord Safe Harbor pour tous en tant que citoyens. C’est une grande victoire pour la confidentialité des données personnelles. Il pourrait aussi se révéler être une grande victoire pour les entreprises. Pour paraphraser un principe de physique, l’innovation a horreur du vide. Le vide créé par Safe Harbor s’avérera être une opportunité d’amélioration dans un contexte où les entreprises cherchent de meilleures solutions pour renforcer le degré de responsabilité vis-à-vis des enjeux du numérique. (Par Michael Hack, vice-président senior des opérations EMEA d’Ipswitch).

Cybersécurité, Justice, loi

L’Europe veut punir le simple fait de fournir un lien vers du contenu protégé

Pour faire payer les moteurs de recherches qui diffusent des liens vers des contenus illicites ou protégés par les droits d’auteurs, l’Union Européenne souhaite sanctionner les liens vers des contrefaçons.

La député européenne Julia Reda, membre du Parti Pirate, vient d’expliquer sur son blog que l’Union Européenne serait en train de se pencher sur un nouveau moyen de faire disparaître de la toile les liens renvoyant vers des contrefaçons de films, mp3, … mais aussi d’articles de presse protégés par le droit d’auteur.

Bref, le moindre lien vers un contenu protégé par le droit d’auteur pourrait être sanctionné par la justice. Cette loi, comme le précise Huse in writting a aussi pour mission de faire payer Google et compagnie dès que les moteurs de recherche indexent des contenus protégés, comme des articles de presse. Imaginez, un blog, qui diffuse automatiquement (ou non) des liens vers des articles. Cette loi Européenne pourrait sanctionner le blogueur. « Cela ouvre la voie à une censure généralisée et sans frontières. » indique AHW.

On va rire quand Google, en réponse, ne référencera plus aucun article de presse. Cette proposition législative doit être présentée au printemps 2016. (Ipkitten)

Chiffrement, Cybersécurité, Espionnae, Facebook, ID, Identité numérique, Justice, loi, Particuliers

Facebook ne doit plus suivre les Belges à la Trace

Un tribunal a donné 48 heures à Facebook pour arrêter le suivi de ses utilisateurs Belges.

La CNIL Belge [Commission de la vie privée belge], par le biais d’un tribunal local, vient de gagner une bataille intéressante face à Facebook. Le portail communautaire doit stopper le suivi des internautes du royaume. Fini le cookie inquisiteurs qui dure 5 ans. Facebook a interjeté l’appel de la décision.

Le tribunal belge a déclaré que le géant américain doit obtenir le consentement des internautes afin de recueillir les données collectées par le cookie. Pour les juges, ce cookie et son contenu sont considérés comme des données personnelles. Facebook risque 250.000 euros d’amende, par jour, si le problème n’est pas corrigé. Facebook a précisé qu’il « utilisait le cookie DATR pendant plus de cinq ans pour garder Facebook sécurisé pour 1,5 milliard de personnes à travers le monde« .

Les plus bidouilleurs garderont un petit sourire aux lèvres en se souvenant d’une méthode du « cookie stealing » permettant de prendre la main sur un compte Facebook en interceptant le précieux document. Il suffisait alors de Wireshark et cookie injector pour devenir Kalif à la place du Kalif. Il fallait, certes, être sur le même réseau que la cible, mais soyons honnête, un détail… que ce détail.

Argent, Arnaque, Cybersécurité, escroquerie, Justice, loi, Particuliers, santé, Social engineering

Escroquerie à la mort

Connaître le décès d’une personne permet à des escrocs d’appeler les familles pour espérer les piéger.

Des escrocs se font passer pour des associations de généalogie afin de soutirer de l’argent aux familles d’un défunt. L’idée est malheureusement terriblement efficace. D’abord, l’escroc collecte les identités des personnes décédées. Il suffit de faire une revue de presse des quotidiens locaux, voir des journaux municipaux, pour trouver les informations de base.

Ensuite, les voleurs font un environnement de la famille. Les escrocs inscrivent toutes les informations qui serviront ensuite à convaincre l’interlocuteur qu’ils contacteront par téléphone. Ils expliquent être mandatés par un avocat, un notaire ou une association de généalogie, comme ces cas révélés en Picardie.

L’excuse des voleurs, le défunt aurait souscris une assurance vie. Bien entendu, si le cas vous touche, ne fournissez AUCUNES informations bancaires. Demandez un numéro de téléphone pour rappeler. Attention ! Les escrocs peuvent vous fournir un 0899 (numéro surtaxés). Refusez aussi !

Cybersécurité, Justice, loi

Faudra-t-il, bientôt, fournir son identité pour posséder un drone ?

Jeudi 29 octobre, le Parlement européen de Strasbourg a adopté un rapport sur les drones qui pose les bases d’une prochaine législation européenne pour encadrer leur utilisation.

Certes la future réglementation européenne aura pour ambition de répondre aux inquiétudes justifiées concernant la sécurité mais tentera aussi de donner à cette filière émergente les moyens de se développer dans un cadre respectueux des citoyens et des espaces aériens. Cette filière des drones est en pleine évolution, et il est du rôle de la Commission européenne de l’appuyer tout en l’encadrant. Il est ainsi prévu qu’un volet législatif européen soit ouvert dans le futur paquet aérien qui sera présenté par la commission en décembre prochain. En effet, il n’y pas moins de 14 législations nationales (plus ou moins contraignantes) parmi les 28 pays de l’Union européenne, et la France fut l’une des premières à légiférer.

Ce rapport entend assurer la traçabilité de l’ensemble des engins, mais aussi des exploitants et propriétaires comme conditions sine qua none à toute utilisation. C’est une bonne chose car l’on a pu voir lors du survol des centrales nucléaires françaises que nous étions incapables d’en retrouver les pilotes. Il faut mettre en place un système d’immatriculation qui permettra d’identifier facilement les drones, et même à distance si possible. Les risques terroristes font craindre une véritable menace sur la sécurité du parc nucléaire français, pouvant provoquer un black-out électrique ou même un accident nucléaire majeur, comme nous avions pu le démontrer dans une lettre au gouvernement français… restée sans réponse.

Il est aussi prévu d’assurer une meilleure navigabilité pour les drones avec un partage de l’espace aérien clair. Il faudra surtout bien distinguer les usages récréatifs et professionnels, et donner des autorisations différentes à leurs utilisateurs.

Les eurodéputées Karima Delli et Michèle Rivasi (écologistes) concluent que « Ce rapport est dans la droite ligne des préoccupations écologistes, et appelle clairement à l’interdiction des survols des zones nucléaires mais aussi des zones chimiques à risque. Nous avons de plus obtenu la garantie d’une protection efficace des données de l’ensemble des citoyens européens afin que la liberté de chacun soit assurée« .

La législation est pourtant claire sur ce sujet. Le survol de zone publique, industrielle est déjà interdite ou faisant face à des règles très précises. Dans une commune, par exemple, seul un arrêté municipal peut autoriser, ou non, le survol d’un drone.

Cybersécurité, Justice, loi

Le Parlement européen a adopté l’accord législatif sur les règles relatives aux communications électroniques

Le nouveau paquet télécom est présenté comme une victoire pour les consommateurs alors que c’est tout simplement l’inverse. Ce paquet représente une réelle menace pour la neutralité du Net, principe fondateur de la liberté d’expression et d’information sur Internet selon le député européen europe écologie Pascal Durand.

Si le Parlement européen s’était initialement prononcé pour inscrire ce principe dans la législation, le compromis final négocié avec le Conseil de l’UE a produit un tout autre résultat. Non seulement la neutralité du Net n’est plus mentionnée, mais pire, l’accord autorise les fournisseurs de services Internet à introduire des « services spéciaux » et à mettre en place une gestion du trafic sur Internet, menaçant de facto la neutralité du Net.

Les pourfendeurs du paquet télécom annoncent par ailleurs la soi-disant « fin des frais d’itinérance ». Pur mensonge. En effet, si les frais d’itinérance seront abolis plus tôt que prévu, des failles et exceptions dans la législation vont permettre aux opérateurs de récupérer leur manque à gagner par d’autres moyens, au détriment des consommateurs. Les autorités nationales auront la responsabilité de vérifier et d’interpréter l’application des règles, ce qui risque de conduire à une myriade d’exceptions nationales. De ce fait, il est très incertain qu’utiliser son téléphone au-delà des frontières nationales après 2017 sera moins coûteux. Par Pascal Durand, Député européen europe ecologie.

Pendant ce temps…
Mardi 27 octobre 2015, le Sénat a adopté en première lecture la proposition de loi, adoptée par l’Assemblée nationale, relative aux mesures de surveillance des communications électroniques internationales. Ce texte fait suite à la décision du Conseil constitutionnel du 23 juillet 2015 par laquelle le Conseil a censuré certaines dispositions de la loi sur le renseignement, qui devaient devenir un chapitre du code de sécurité intérieure relatif aux mesures de surveillance des communications électroniques internationales. Le Conseil constitutionnel ne contestait pas la constitutionnalité de ces dispositions mais avait estimé que le législateur n’avait pas épuisé sa compétence en renvoyant l’édiction de certaines règles encadrant cette technique de recueil de renseignement au soin du pouvoir réglementaire.

Estimant que les dispositions législatives destinées à autoriser et à encadrer la surveillance des communications internationales doivent être votées rapidement, les auteurs de cette proposition de loi proposent un dispositif qui répond aux exigences du Conseil constitutionnel. Le texte vise donc à créer un cadre juridique spécifique pour la surveillance des communications internationales en introduisant un nouveau chapitre dans le code de la sécurité intérieure.

http://www.senat.fr/rap/l15-097/l15-097.html
http://www.senat.fr/rap/a15-100/a15-100.html
http://www.senat.fr/seances/comptes-rendus.html

Argent, Arnaque, Cybersécurité, escroquerie, Justice, loi, Mise à jour, Particuliers, Social engineering

Rencontres en ligne : les arnacœurs contre attaque !

35 % des français ont déjà créé un faux profil et 15 % ont menti sur leur âge : du petit mensonge aux escroqueries sentimentales, comment éviter les pièges ?

Les escroqueries qui fleurissent sur les sites et applications de rencontres sont de plus en plus courantes et les témoignages de victimes se suivent et se ressemblent. Tout internaute doit se montrer vigilant lors de ses activités en ligne et plus particulièrement lors de conversations intimes avec des inconnus. Il est essentiel de ne pas partager ses données personnelles, qu’il s’agisse d’informations bancaires, de coordonnées (adresse e-mail ou postale etc.) ou de détails sur sa vie privée. Alors, comment trouver l’amour en ligne sans se faire avoir ?

Une étude conduite par Avast auprès de plus de 1200 français de tous âges, confirme la nécessité d’appliquer certaines règles dans le cadre d’une rencontre en ligne : alors que plus de 30 % des répondants affirment être déjà tombé amoureux avant même leur première rencontre physique avec leur partenaire, des vérifications préalables s’imposent. S’il n’est probablement pas dramatique de mentir de quelques années sur son âge, la création d’un faux profil – avouée par 20 % des personnes interrogées – pose en revanche plus de questions sur les intentions de certains utilisateurs.

Parmi les informations régulièrement révélées par les membres de ce type de sites/applications, nombreuses sont celles qui permettent à des personnes mal intentionnées de mieux repérer les faiblesses de leurs interlocuteurs. L’enquête d’Avast le confirme : sur l’ensemble du panel, plus d’un tiers des personnes interrogées (34 %) affirment avoir déjà été sollicitées par une personne qui leur réclamait de l’argent lors d’échanges en ligne, et plus de 10 % ont d’ailleurs cédé ! Les arnaqueurs comptent en général sur la naïveté ou la détresse émotionnelle/sentimentale de leurs interlocuteurs pour arriver à leurs fins. Il existe pourtant des méthodes simples et efficaces pour éviter de tomber dans leurs filets.

En effet, il n’est pas compliqué de vérifier l’authenticité des photos de profil ou encore de déceler une arnaque suffisamment tôt pour ne pas se laisser impliquer émotionnellement. Car plus le temps passe avant de découvrir la supercherie, plus il sera difficile de stopper le processus, notamment dans le cadre d’un chantage qui devient « affectif ».

Près de 20 % des personnes interrogées déclarent avoir été victime de harcèlement sur un site ou une application de rencontre. Plus de la moitié des membres d’un site ou d’une application de rencontre sont mariés (38 %) ou entretiennent déjà une relation (13,78 %). La majorité des répondants sont inscrits sur un ou deux sites/applications (76 %) mais presque 5% sont membres de plus de 7 sites ou applications différentes. 20 % des répondants avouent avoir déjà créé un faux profil. 15 % confirment avoir déjà menti sur leur âge : 58 % se donnent entre 1 et 5 ans de moins (ou de plus), environ 20 % entre 6 et 11 ans et 20 % également modifient de plus de 18 ans leur véritable âge

« Il est évident que le partage d’informations personnelles est nécessaire dans le cadre d’une rencontre amoureuse en ligne, explique à DataSecurityBreach.fr Sarah Teboul, spécialiste e-commerce chez Avast. C’est la raison pour laquelle les utilisateurs doivent impérativement s’assurer de la crédibilité de leur interlocuteur avant de leur confier la moindre information personnelle. Il existe plusieurs façons de se prémunir contre ces pièges. Par exemple, lorsqu’ils sont sollicités pour de l’argent, ils peuvent entre autres bloquer la personne sur les réseaux sociaux et renforcer leurs paramètres de sécurité. Il leur est également possible de vérifier la source des photos ou poèmes reçus sur internet afin de confirmer l’identité de leur interlocuteur, les escrocs réutilisant en général les mêmes images et textes. De nombreuses ressources sont également disponibles en ligne tels que des portails dédiés mis en place par le gouvernement et des numéros verts qui apportent un soutien plus important aux victimes d’escroqueries. »

Base de données, Cyber-attaque, Cybersécurité, DDoS, Emploi, Entreprise, Fuite de données, Justice, Leak, loi, Mise à jour, Piratage, Social engineering

8 entreprises sur 10 canadiennes victimes d’un piratage informatique

Une enquête révèle que 87 pour cent des entreprises canadiennes auraient subi des incidents liés au piratage informatique.

Un sondage intéressant, signé par la société HSB BI&I, auprès de gestionnaires de risques permet de constater que les entreprises sont vulnérables. Près de 90 pour cent des entreprises canadiennes ont subi au moins un incident lié au piratage informatique dans la dernière année, selon une enquête réalisée auprès de gestionnaires de risques d’entreprises, publiée aujourd’hui par La Compagnie d’Inspection et d’Assurance Chaudière et Machinerie du Canada (HSB BI&I) faisant partie de la famille Munich Re.

« Les pirates informatiques ont évolué, et les risques également. Les entreprises doivent faire davantage pour protéger leurs informations sensibles et gérer toutes les violations de données ». Plus de la moitié (60 pour cent) d’entre eux croient que leurs entreprises consacrent suffisamment d’argent, ou de personnel qualifié et expérimenté, pour lutter contre l’évolution des techniques de piratage. Pourtant, 42 pour cent de ces entreprises n’ont pas souscrit une couverture de cyber-assurance.

« Avec la prévalence des cyber-attaques au Canada, il y a une nette divergence entre les perceptions des gestionnaires de risques et le niveau réel d’exposition de leurs entreprises face à une activité de piratage informatique », a déclaré à DataSecurityBreach.fr Derrick Hughes, vice-président chez HSB BI&I. « Les pirates informatiques ont évolué, et les risques également. Les entreprises doivent faire davantage pour protéger leurs informations sensibles et gérer toutes les violations de données ».

Parmi les gestionnaires de risques interrogés dans l’enquête, 66 pour cent représentaient les grandes entreprises, suivis par 28 pour cent pour les organisations de taille moyenne et de 6 pour cent pour les petites entreprises.

L’enquête a révélé une hausse notable de la sensibilisation et des préoccupations quant aux cyber-risques suite de l’adoption récente de la Loi sur la protection des renseignements personnels numériques (projet de loi S-4). Près de 70 pour cent des gestionnaires de risques ont déclaré qu’ils seraient plus enclins à souscrire une couverture de cyber-assurance pour leur entreprise en raison des nouvelles exigences en matière de notification de violation de données.

Les préoccupations concernant le type de renseignements pouvant être violés varient des informations sensibles de l’entreprise (50 pour cent) aux renseignements personnels identifiables (42 pour cent) et aux renseignements financiers (8 pour cent).

Interrogés sur les types de services de gestion des risques envisagés pour lutter contre les cyber-risques, les gestionnaires de risques répondent : la détection d’intrusion et les tests de pénétration (40 pour cent), le cryptage (24 pour cent) et les programmes de formation du personnel (19 pour cent).

HSB BI&I a réalisé la cyber enquête, le 28 septembre 2015, lors du congrès Risk and Insurance Management Society Conference Canada (RIMS Canada) à Québec. Cette enquête est destinée à représenter l’opinion des 102 gestionnaires de risques participants. Pour ce faire, ces derniers ont pris part à l’enquête par le biais d’une entrevue en personne. Les participants représentaient les entreprises de petites (1-99 employés), moyennes (100-999 employés) et grandes tailles (1 000 employés et plus), dans les secteurs d’activités suivants : les services publics et l’énergie; les mines; l’aérospatial, la défense et la sécurité; la fabrication; le secteur public; la technologie; les services financiers, la santé/médical; la vente au détail.

Cybersécurité, Justice, loi

Gratuité et la réutilisation des informations du secteur public

Le Sénat a adopté un projet de loi sur la gratuité et la réutilisation des informations du secteur public.

Lundi 26 octobre le Sénat a examiné le projet de loi relatif à la gratuité et aux modalités de la réutilisation des informations du secteur public. Ce texte a pour objectif de favoriser la réutilisation des données publiques en transposant une directive européenne du 26 juin 2013 qui, selon le Gouvernement, « marque une étape importante dans la politique d’ouverture et de diffusion des données publiques (« open data »)« , et en allant au-delà des exigences de la directive, « dans un souci de simplification ou pour inscrire dans la loi les principes de l’open data, notamment celui de la gratuité« .

Le texte comprend 9 articles qui proposent notamment de supprimer le régime particulier de réutilisation des informations contenues dans les documents produits ou reçus par les établissements ou institutions d’enseignement et de recherche ou culturels (article 1er) ; de limiter à dix ans la possibilité d’accorder un droit d’exclusivité à un tiers pour la réutilisation d’informations publiques, sauf si ce droit a été accordé en contrepartie de la numérisation de ressources culturelles (article 2) et de poser le principe de la gratuité de la réutilisation des informations du secteur public (article 3). Le Gouvernement ayant engagé une procédure accélérée sur ce texte le 31 juillet 2015, il pourrait ne faire l’objet que d’une seule lecture au Parlement avant convocation de la commission mixte paritaire (CMP).

Ce texte a été modifié en commission des lois par l’adoption de 11 amendements et un sous-amendement du rapporteur, ainsi qu’un amendement du Gouvernement, visant à revenir au texte initial, voire à une transposition plus fidèle de la directive.

En séance, les sénateurs ont adopté ce texte. Au cours de l’examen, ils ont notamment souhaité :
· pour un meilleur accès des citoyens aux accords d’exclusivité et à leurs avenants, exiger leur publication électronique des accords d’exclusivité et leurs avenants (amt 22 – art 2) ;
· permettre la révision de la liste informations ou catégories d’informations tous les 5 ans (amt 18 – art 3).

http://www.senat.fr/rap/l15-093/l15-093.html
http://www.senat.fr/dossier-legislatif/pjl15-034.html