Archives de catégorie : Cybersécurité

Actualités liées à la CyberSecurité.

PokemonGo : un ami qui vous veut du mal ?

La folie PokemonGo n’est plus à démontrer. Il suffit de marcher dans les rues, dans les parcs, sur les plages pour croiser des centaines de « dompteurs ». La question se pose tout de même : et si ce jeu n’était qu’un maître espion.

Ah, le grand jeu vidéo de l’été. Chasser des petits bêtes via l’application PokemonGo. De la « pseudo » réalité augmentée qui a su attirer des millions d’adeptes en quelques jours. Des millions de joueurs qui fournissent des milliards de données privées.

Pokemon GO récupère la position GPS, l’historique des endroits visités, la fréquence et les habitudes de jeu. Un archivage pour une période indéterminée. La société californienne collecte adresses Google, Facebook, l’ensemble de vos informations publiques, l’IP de l’utilisateur, le nom et la version de votre système d’exploitation.

Cerise sur le gâteau, Pokemon Go sauvegarde aussi le nom de la page Web que vous visitiez avant de jouer à Pokémon Go, ainsi que les mots clés que vous avez pu utiliser pour rejoindre PokemonGo lors de votre première visite. A noter que la lecture des conditions d’utilisations est, une fois de plus, magique. L’éditeur Niantic se dégage de toute responsabilité en cas de partage des données. Des données baptisées « actifs ». Autant dire que les partenaires Google et Pokémon Company font partis de ces collecteurs. Un véritable trésor numérique.

Home sweet home pokemonGo

Les joueurs peuvent réclamer la destruction des données. Il faut envoyer un mail, ou visiter la page dédiée, ou écrire une lettre postale. Cependant, n’oublier pas de réclamer la destruction des mêmes données qui se retrouvent dans les sauvegardes.

Pour rappel, l’application était capable, à son lancement, d’ouvrir votre compte Google. Niantic avait le droit de modifier l’ensemble des données, lire vos courriels Gmail, modifier vos documents Google Drive, consulter votre historique de recherche, vos photos personnelles. Du bonheur que cette famille de Pikachu ! Est-ce que cela vaut-il vraiment le coup de lâcher toutes ses données pour quelques Pokeballs ? Bref, une fois de plus, quand une application est gratuite, c’est vous qui êtes le produit. Et si on regarde un peu plus loin, sans la jouer complotiste, PokemonGo n’aurait-il pas un but plus discret, celui de cartographier là ou Google ne peut se rendre avec ses Google Caméra ?

A lire, l’étude de SANS Institut sur l’analyse du logiciel.

IDICore : En un clic, ils savent tout de vous

La société IDI annonce être capable de fournir la moindre information sur les Américains. Dans IDICore, chaque mouvement physique, chaque clic, chaque jeu, chaque endroits visités sont répertoriés.

La société Interactive Data Intelligence (IDI – IDCORE), basée en Floride, présage de l’avenir « Big Brother » qui s’ouvre à nous. La société a construit un profil sur l’ensemble les adultes américains en regroupant l’ensemble des données des ressortissants locaux dans une base de données géante. Chaque mouvement, chaque clic de souris, chaque jeu utilisé, chaque endroit visité, IDI a collecté, sauvegardé, classé les informations. Comment ? En louant des accès à des bases de données. Pour 10 dollars, comme le rappel Bloomberg, les fouineurs professionnels sont en mesure de rechercher et trouver la moindre information sur les américains : adresses publiques et non publiques, photos de voiture… Ils peuvent combiner ces informations avec celles des sociétés marketing et vous combiner des informations pouvant aller jusqu’à la dernière visite chez l’épicier du coin, ce que vous avez mangé hier soir, et prédire vos futurs comportements.

idiCORE : Minority Report is back

IDI semble être la première entreprise à centraliser et à « militariser » toutes ces informations pour ses clients. Son service de base de données est baptisé idiCORE. Il combine des dossiers publics, des données démographiques et comportementales. Le responsable d’IDI, Derek Dubner, indique que son système possède un profil sur tous les adultes américains, y compris les jeunes qui ne seraient pas présents dans des bases de données classiques.

Du bluff marketing ou véritable “Big Brother” ?

Derek Dubner n’a proposé, pour le moment, aucune démonstration de son idiCORE. Il indique que ces profils comprennent toutes les adresses connues, les numéros de téléphone et adresses mail ; les adresses des anciennes et nouvelles propriétés ; il en va de même des véhicules anciens et actuels ; des potentiels actes criminels : excès de vitesse sur place ; les registres de vote ; permis de chasse ; les noms et numéros de téléphone des voisins. Les rapports proposés par idiCORE contiendraient aussi des photos de voitures prises par des entreprises privées en charge de la collecte automatisée des plaques d’immatriculation, avec coordonnées GPS.

Bref, la société IDI présage de l’avenir « Big Brother » qui s’ouvre à nous. Et il est de plus en plus moche !

Un pirate sur la fréquence radio du NYPD

La police de New York est sur les dents. Un pirate s’amuse avec la fréquence sécurisée de la NYPD.

Voilà une pirate informatique qui risque gros, très gros. Un individu a joué avec la fréquence radio de la police de New York, une police considérée comme l’une des plus importantes « armées » du monde. Le pirate des ondes s’est amusé à insulter, durant de longues minutes, un policier. Le message s’est diffusé à travers plusieurs divisions de la NYPD. Parmi les « contacts » : une fausse intervention de la police, avec un tir mortel ; des menaces et des insultes. Un policier a répondu à ce trolleur « Hey, gars… faut grandir. Certaines personnes essaient de faire leur travail« . L’enquête est toujours en cours. Piratage de la fréquence ou utilisation d’une radio perdue par un policier ? (NYMag)

Les hébergeurs OVH et 123-Reg sous les coups de DDoS massifs

Le britannique 123-Reg et le Français OVH ont subit ces derniers jours des attaques massives ayant eu pour mission de bloquer leurs services et serveurs.

Les attaques DDoS ne baissent pas. Leurs intensités ont même une fâcheuse tendance à s’intensifier. Derniers cas en date, des Dénis de Services Distribués (D.D.o.S.) massifs ayant visé le Britannique 123-Reg et le Français OVH.

Pour les nordistes d’OVH, 520 Gbps qui n’ont pas impactés les services de l’entreprise « à chaque instant, on a entre 50 et 150 IP qui se font DDoS » souligne Octave Klaba, le patron d’OVH.

Pour l’Anglais 123-Reg, l’attaque aura durée toute la journée du 2 août. 30 Gbps qui ont impactés les services et les clients de l’hébergeur. A noter qu’un petit Gbps est plus que suffisant pour faire tomber un service web.

Le record DDoS, constaté par la société Arbor Network, est de 579 Gbps. Il a été constaté en ce débit 2016.

Qui derrière ces attaques ?

Les pirates utilisent de plus en plus des attaques DDoS comme moyen de chantage à l’encontre des entreprises. Des sociétés, plus que troubles, commercialisent aussi des systèmes « stresser » qui, sur le papier, sont censés permettre de tester vos propres systèmes face aux DDoS. Des stresser qui, pour quelques Euros, servent surtout à bloquer d’autres sites et serveurs, comme ce fût le cas cet été à l’encontre d’éditeurs de jeux vidéo.

L’antivirus Français VirusKeeper disponible en version 2017 gratuite pour les particuliers

La société d’édition AxBx annonce la sortie de la version 2017 de son antivirus VirusKeeper. Une version gratuite pour le grand publique.

VirusKeeper est le seul antivirus français. Il repose sur un moteur d’analyse comportementale exclusif qui lui permet de détecter les malwares connus ou non. En 2006, VirusKeeper innovait déjà puisqu’il était le premier antivirus reposant sur l’analyse comportementale. Les antivirus fonctionnant à base de scanner de signatures, technologie qui date des années 80, sont aujourd’hui obsolètes et incapables de détecter les menaces actuelles.

Le nouveau VirusKeeper 2017 marque un tournant majeur dans le monde de l’antivirus puisqu’il propose désormais une version gratuite pour les particuliers. Le constat est qu’en France plus d’un particulier sur deux est mal protégé parce qu’il utilise une antivirus de technologie obsolète ou une version d’essai bridée qui est insuffisante pour assurer une protection efficace. VirusKeeper 2017 Free Edition est ainsi le premier antivirus gratuit de nouvelle génération 100% Made in France.

La version 2017 est disponible en 2 éditions : L’édition « Free » version gratuite pour les particuliers qui fournit une protection complète multi niveaux contre les menaces actuelles : virus, vers, chevaux de Troie, spyware et programmes malveillants. La version gratuite est réservée aux particuliers et aux usages privés. L’édition « Ultimate », qui fournit une protection de très haut niveau contre toutes les formes de menaces actuelles. La version Ultimate inclut également un scanner anti-grayware et Security Advisor un outil de détection de failles de sécurité. 97,8 millions de fichiers malveillants détectés et bloqués 10 années d’expérience.

Ransomware : les entreprises refusent de payer… sauf quand elles sont victimes

L’étude « 2016 Executive Application & Network Security» de Radware montre que l’essentiel des craintes en matière de sécurité informatique se cristallisent autour du télétravail, de l’Internet des objets, du ransomware et des « wearables »

Combien d’entreprises sont prêtes à verser une rançon en cas d’attaque informatique au « ransomware » ? Aux Etats-Unis et au Royaume-Uni, parmi les directeurs et responsables informatiques qui n’ont pas encore été confrontés à ces attaques, 84% déclarent qu’ils ne paieraient pas. Pourtant 43% des entreprises victimes ont fini par payer. C’est ce que révèle l’étude 2016 de Radware « Executive Application & Network Security».

Radware, spécialiste de la disponibilité applicative et de la sécurisation des centres de données et des applications, a interrogé plus de 200 dirigeants d’entreprises et DSI aux Etats-Unis et au Royaume-Uni. Il en ressort que les entreprises américaines admettent plus volontiers qu’elles accepteraient de payer une rançon. 23% des dirigeants d’entreprises américaines n’ayant jamais été victimes d’une telle attaque se disent prêts à verser une rançon contre 9% seulement au Royaume-Uni. En moyenne, les entreprises ont versé des rançons de l’ordre de 7 500 dollars aux Etats-Unis et de 22 000 livres sterling au Royaume-Uni.

« C’est un exemple marquant des nouvelles décisions que les dirigeants et DSI sont amenés à prendre dans le domaine de la sécurité », déclare Carl Herberger, vice-président des Solutions de Sécurité de Radware. « Il est facile de dire qu’on ne paiera pas tant que le système n’est pas bloqué est rendu inaccessible. Les entreprises qui prennent des mesures de sécurité proactives réduisent les risques de devoir faire face à de telles décisions. »

L’étude « 2016 Executive Application & Network Security» révèle également quelles sont les menaces informatiques qui préoccupent le plus les dirigeants d’entreprises et les membres de la direction. Rien de mieux que d’anciens pirates pour mener la garde : les dirigeants considèrent que des pirates expérimentés sont les mieux placés pour mettre leurs systèmes à l’épreuve. 59% des sondés ont recruté ou envisagent de recruter d’anciens hackers pour les aider à renforcer leur sécurité. L’un d’eux a résumé : « Il n’y a pas meilleur garde-chasse qu’un ancien braconnier ».

Le télétravail expose à des risques supplémentaires : l’étude a révélé que l’organisation du télétravail dans les entreprises est en train d’être revue. 41% des sondés déclarent avoir modifié les règlements internes ces deux dernières années pour mieux encadrer ces pratiques. Il convient de mieux encadrer l’utilisation des wearables : une entreprise sur trois environ a mis en place des règles de sécurité appliquées aux wearables ces deux dernières années. Pourtant 41% des sondés reconnaissent n’appliquer aucune règle sur ce type de terminaux si bien qu’ils représentent une vulnérabilité croissante. Ceci s’explique peut-être par le fait que les wearables ne sont pas considérés comme une cible principale. 18% seulement des sondés les désignent comme des vecteurs d’attaques privilégiés par les hackers dans les années à venir.

Les nouveaux objets connectés, prochaine frontière de la sécurité : loin devant les wearables, de nombreux dirigeants estiment que l’Internet des objets pourrait poser de sérieux problèmes de sécurité. 29% considèrent en effet que les objets connectés sont des vecteurs extrêmement probables d’attaques, dans des proportions équivalentes à l’infrastructure réseau (31% des réponses).

Se remettre d’une cyberattaque peut coûter cher : plus d’un tiers des sondés aux Etats-Unis ont révélé avoir perdu plus d’1 million de dollars suite à une cyberattaque, plus de 10 millions de dollars pour 5% d’entre eux. Au Royaume-Uni, la facture est en moyenne moins salée, puisqu’ils sont 63% à déclarer avoir perdu moins de 351 245 livres sterling (environ 500 000 dollars), et 6% plus de 7 millions de livres sterling.

Le risque ransomware pour la sécurité s’étend à toute l’activité : que les attaques soient motivées par l’appât du gain ou pas, elles ont de graves répercussions sur les finances et sur la réputation des entreprises victimes. Interrogés sur les conséquences des cyberattaques qu’ils craignent avant tout, les dirigeants ont répondu majoritairement (34%) le préjudice sur la réputation. La perte d’exploitation (31%), le manque à gagner (30%), la baisse de productivité (24%) et la chute du cours des actions (18%) viennent ensuite.

Méthodologie de l’étude
A la demande de Radware, Merrill Research a interrogé 205 dirigeants et DSI (104 aux Etats-Unis, 101 au Royaume-Uni) en avril et mai 2016. Pour être éligibles à cette étude, intitulée « 2016 Executive Application & Network Security », les sondés devaient représenter une entreprise avec un chiffre d’affaires d’au moins 50 millions de dollars (ou équivalent) et occuper le poste de vice-président senior ou un poste de direction plus élevé encore dans la hiérarchie. Autant de hauts dirigeants et de vice-présidents seniors ont été interrogés. La moitié environ des entreprises ayant participé à l’étude ont entre 1 000 et 9 999 salariés, 3 800 en moyenne.

Piratage inédit de caméras de surveillance connectées

La société américaine Sucuri a mis en lumière un piratage inédit de caméras de surveillance connectées permettant de mener des attaques par déni de services contre des entreprises.

La société américaine Sucuri a mis en lumière un piratage inédit de caméras de surveillance connectées (25 000 caméras concernées dont 2% estimé en France), destiné à créer un réseau de botnet (machines zombies utilisées à l’insu de leur propriétaire) permettant de mener des attaques par déni de services contre des entreprises. Ce cas met une nouvelle fois en avant la problématique de sécurité des objets connectés. Ce n’est pas la premiére fois que le problème des caméras Ip est dénoncé. Lire les articles à ce sujet ICI et LA. Peter Gyöngyösi, Responsable produits chez BalaBit IT Security, fournisseur européen de solutions de sécurité contextuelle indique à ce sujet que « Les coûts de fabrication priment toujours sur la sécurité : Ce cas de piratage de 25 000 caméras de surveillance démontre une nouvelle fois la problématique de la sécurité des objets connectés de notre quotidien ». Cette fois, les conséquences ne ciblent pas directement les utilisateurs, le piratage n’aura donc clairement pas la même portée que celui d’un fabricant de jouets comme Vtech ou le piratage de babyphones, mis en lumière il y a quelques mois par exemple.

En effet, dans ce cas les criminels ont piraté des objets connectés pour utiliser leur puissance au sein d’un réseau de machines zombies- botnet (utilisées donc à l’insu de leur propriétaire) en vue de mener des attaques par déni de services contre des entreprises (envoi simultanée de milliers de requêtes dans le but de saturer les serveurs au sein des entreprises).

Même s’il fait moins parler, ce cas démontre l’importance d’un engagement fort des fabricants d’objets connectés en matière de sécurité. Car aujourd’hui, le développement d’objets connectés est une véritable aubaine pour les cybercriminels. Et malheureusement, aujourd’hui nous constatons qu’il est encore utopique de penser que la sécurité sera un jour une priorité dans la conception des objets connectés grand public.

Aujourd’hui, objets connectés signifient des développements très rapides, des objectifs de coûts les plus bas possibles, tout en conservant une expérience utilisateur simple, rapide et agréable. Et clairement, personne ne veut se compliquer la tâche avec des problèmes de sécurité complexes lorsqu’il s’agit d’utiliser un objet connecté. Ceci n’est pas une fatalité et il faut espérer que les choses vont changer, les fabricants doivent prendre de vraies mesures de sécurité et mettre en place des politiques de sécurité plus strictes. Rappelons que dans ce cas mis en lumière par la société Sucuri, le piratage a été permis par une simple faille présente dans un système commun utilisé par toutes les caméras. Une simple mise à jour aurait donc suffi à empêcher le piratage.

A noter que le 14 juin, Imperva Incapsula a neutralisé une attaque par déni de service distribué (DDoS) à 470 gigabits par seconde (Gbit/s), la plus intense enregistrée à ce jour.

Secure-K Personal Edition

Lancement d’un nouveau système d’exploitation sur une clé USB pour crypter les e-mails, les t’chats et les appels, et naviguer de façon anonyme.

Secure-K Personal Edition est un appareil mobile à double chiffrement : tout ce dont vous avez besoin pour protéger vos données en réseau comme un expert en sécurité. Mon-K Data Protection Ltd. présente Secure-K Personal Edition, un système d’exploitation chiffré sur une clé USB, avec un niveau de sécurité militaire, issu d’Enterprise Edition. Comprend Secure-Mail, Secure-Chat et Secure-Web pour le chiffrage des e-mails, des t’chats et des appels en ligne, et la navigation anonyme sur Internet.

En cas de vol ou de perte, après 10 tentatives de saisie du code PIN, les données de votre Secure-K deviennent illisibles. Afin que toutes vos données enregistrées soient conservées de façon sûre, et pour pouvoir les récupérer, Mon-K a introduit un système de chiffrement « Sauvegarde et restauration » : DigitalArx, une solution Cloud Computing présentant des normes de sécurité élevées et un chiffrement des données sophistiqué impossible à déverrouiller, même par les administrateurs. DigitalArx permet également de partager et synchroniser les données.

« Nous avons tous appris que les données sur Internet ne sont pas sécurisées.  Où et dans quelles mains elles aboutissent demeure un mystère. Toutefois, il est certain que pour certaines entités, elles sont précieuses », a déclaré Paolo Ferrari, co-fondateur de Mon-K. « Secure-K a été conçu pour nous faciliter la vie et nous transformer en experts en sécurité. Utiliser Secure-K Personal Edition implique exercer un contrôle direct sur vos données, ainsi que sur celles que vous transmettez via Internet, tout en protégeant votre vie privée, comme le ferait un véritable expert de la sécurité. »

Secure-K Personal Edition est une plateforme multiple, basée sur Secure-K OS, ne nécessitant aucune installation de logiciel et capable de fonctionner sur presque n’importe quel PC, même obsolète.  Les deux niveaux de chiffrement, à l’échelle du matériel et des logiciels, offrent une sécurité maximale. Secure-K Personal Edition sera disponible en octobre 2016.

Règlement 2016/679 : 5 questions sur le Règlement Européen de Protection des Données Personnelles

Le règlement 2016/679 du 27 avril 2016 sur la protection des données personnelles sera applicable à partir du 25 mai 2018 dans tous les pays de l’Union européenne. Pour les entreprises, le compte à rebours a commencé. Il convient d’être en mesure de faire face au nouveau cadre juridique européen avant sa date d’application. Qu’est-ce que cela implique pour les entreprises ?

Règlement 2016/679 – Quels sont les règles d’application territoriale ? Ce nouveau règlement européen sera d’application directe dans les 28 pays membres de l’UE. Il n’y aura pas de loi nationale de transposition. Ce Règlement s’appliquera à l’identique en « écrasant » les différentes législations nationales existantes en la matière.

Concrètement, que prévoit ce Règlement ?
Si les personnes dont les données personnelles sont collectées résident sur le territoire de l’UE (quelle que soit la localisation de celui qui collecte) : le Règlement 2016/679 s’appliquera obligatoirement à cette collecte et à tout traitement ultérieur des données ainsi collectées. Si le prestataire qui collecte ou traite des données personnelles est situé sur le territoire de l’UE : le Règlement 2016/679 s’appliquera également obligatoirement, même pour des données collectées hors UE. Cela devrait permettre à des non-résidents de l’UE d’obtenir une protection là ou leur propre pays de résidence n’en propose pas forcément.

Quels sont les droits et obligations des entreprises qui collectent et traitent des donnÉes personnelles sur le territoire de l’UE ? L’idée de fond de cette règlementation est d’imposer une transparence lors de la collecte et de tout autre « traitement » des données personnelles. Chaque  “maitre de fichiers” sera dans l’obligation de tenir un registre des traitements opérés et de prendre des mesures « effectives » de sécurisation technique des traitements. Un régime nouveau d’information obligatoire sera mis en place pour contrer toute violation des traitements. Le régime des sanctions est substantiellement “boosté” pour envisager des amendes pouvant aller jusqu’à 4% du chiffre d’affaires mondial des récalcitrants.

Existe-t-il un régime particulier applicable aux “sous-traitants” ?
Les prestataires de service en mode SaaS et les hébergeurs seront tous “sous-traitants” au sens de la nouvelle réglementation européenne. Et c’est à leur niveau que se situent les plus grands changements avec l’arrivée de cette législation. Lorsqu’une entreprise qui collecte des données personnelles fera appel à un prestataire de service en mode SaaS, elle devra veiller à ce que son « sous-traitant » respecte ses directives ainsi que les obligations spécifiques qui s’imposeront aussi à ses sous-traitants. Sous la directive 95/46 (dont l’abrogation est fixée au 25 mai 2018) il suffisait que le prestataire (sous-traitant) s’engage par contrat à ne traiter les données du “maitre du fichier” que sur instructions écrites de ce dernier. Le prestataire sous-traitant devait simplement sécuriser techniquement les traitements auxquels il procédait. A l’avenir, les choses vont devoir être formalisées pour plus de transparence dans les relations entre le “maitre du fichier” et son prestataire SaaS. L’hypothèse de la sous-sous–traitance, extrêmement courante aujourd’hui dans l’industrie du logiciel en mode SaaS, est également directement impactée par cette règlementation. Car on ne trouve aujourd’hui plus guère de service SaaS sans un contrat d’hébergement avec un tiers au contrat SaaS. Ce tiers, c’est l’hébergeur qui est sous-traitant d’un service au profit des prestataires SaaS. Et Bruxelles n’a pas oublié ces professionnels dont le rôle est déterminant dans le traitement et le stockage des données personnelles.

Quels sont les droits des “personnes concernées” ?
Les personnes physiques dont les données sont collectées doivent d’abord pouvoir s’assurer qu’elles ont donné leur consentement à la collecte et au traitement ultérieur de leurs données. Le Règlement 2016/679 définit sans ambiguïté la notion de consentement : « toute manifestation de volonté, libre, spécifique, informée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif explicite, que des données [personnelles] la concernant fassent l’objet d’un traitement ». Déjà, à ce stade, il faut noter que le consentement ne pourra plus être présumé (principe de l’opt-out) mais bien exigé de manière positive et au préalable (principe de l’opt-in).

Le Règlement pose ensuite une série de critères que doivent respecter tous les traitements de données personnelles : les données doivent être traitées de manière « licite, loyale et transparente » pour la personne concernée. Ce critère de transparence est la grande nouveauté de ce texte. Ce texte précise en plus que les données personnelles ne peuvent être collectées et traitées « pour des finalités déterminées, explicites et légitimes, et ne peuvent pas être traitées ultérieurement de manière incompatible avec ces finalités ».

Pour ce qui est des droits accordés aux personnes dont les données personnelles sont traitées, le nouveau Règlement confirme l’existence du droit d’accès, du droit à la rectification et du droit à s’opposer à un traitement. Sont nouveaux le droit à l’effacement (droit à l’oubli), le droit à la limitation du traitement et le droit à la portabilité des données. Enfin, le Règlement consacre de nouvelles dispositions sur le « profilage » des personnes dont les données sont traitées et encadre à ce titre de manière originale les « décisions individuelles automatisées » comprenant un « profilage ».

Y a-t-il un durcissement des obligations de sécurité ?
Tout à fait ! Et c’est une des grandes nouveautés du Règlement 2016/679.  En parallèle de l’obligation de tenue d’un « registre des activités de traitement » de données personnelles, les professionnels qui collectent des données personnelles ont une obligation de sécurisation des traitements auxquels ils procèdent. A ce titre, chaque responsable du traitement et chaque sous-traitant doit mettre en œuvre « les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ».

Ces mesures techniques peuvent prendre plusieurs formes :

Ø    la pseudonymisation et le chiffrement des données ;
Ø    des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience des systèmes et des services de traitement ;
Ø    des moyens permettant de rétablir la disponibilité des données en cas d’incident physique ou technique ;
Ø    une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles destinées à assurer la sécurité du traitement.

Le renforcement des obligations de sécurité passe également par la transparence de la communication sur les atteintes aux données. C’est pourquoi le Règlement impose aux responsables de traitement une obligation d’information des autorités de contrôle en cas d’atteinte à la sécurité du traitement, qui entraîne une destruction, une perte, une altération, une divulgation ou un accès non autorisé aux données.

Cette obligation d’information en cas d’atteinte aux conditions normales de stockage et d’accès aux données s’impose à l’identique à tout sous-traitant (on pense aux prestataires de service en mode SaaS ou aux hébergeurs) qui a l’obligation d’informer le responsable du traitement de toute atteinte à la sécurité, à charge pour le responsable d’en informer à son tour son autorité de contrôle. (Marc-Antoine Ledieu avocat et Frans Imbert-Vier, Président Directeur Général d’Ubcom.)

Protéger votre organisation en appliquant la nouvelle réglementation sur la protection des données

La bataille de la confidentialité sur les données personnelles a franchi un nouveau cap avec l’accord de l’Union européenne sur la nouvelle réglementation sur la protection des données. Cette loi modifie profondément l’approche des entreprises en matière de protection des données clients.

Non seulement elle donne aux citoyens européens un meilleur contrôle sur le moment où les informations personnelles seront recueillies, mais également sur la manière dont elles seront utilisées. Elle prévoit par ailleurs de lourdes pénalités financières en cas d’échec des entreprises à protéger correctement les données collectées. Ces pénalités pouvant représenter jusqu’à 4 % du chiffre d’affaires annuel d’une entreprise, elles serviront ainsi de piqûres de rappel aux équipes dirigeantes.

Bien qu’elle ne s’applique qu’aux données des citoyens européens, cette réglementation s’adresse à toutes les entreprises qui disposent d’une localisation en Europe, ce qui lui confère un véritable rayonnement à l’international. Cette nouvelle loi entraînera des modifications matérielles par rapport aux nouveaux usages et procédés de stockage des données clients, et surtout sur la façon dont les entreprises prévoient de donner l’accès à ces données à leurs employés, à leurs sous-traitants et à leurs partenaires commerciaux.

Cette nouvelle réglementation impose aux entreprises de signaler toute violation de données de ses comptes clients dans les 72 heures, ce qui les poussera à faire évoluer leur système de sécurité de la simple prévention sur le réseau à la détection des intrusions et leur correction en temps réel.

La mise en œuvre du règlement sur la protection des données se traduit par d’importantes implications pour les programmes de gouvernance des identités des entreprises. C’est l’occasion de mettre de l’ordre dans la gestion des identités avant que l’application des pénalités prévues par cette loi n’entre en vigueur. Par anticipation, les entreprises peuvent prendre des mesures significatives, en se reconcentrant sur les priorités de la gouvernance des identités :

·         En premier lieu, répertorier les différents lieux de stockage au sein de l’entreprise dans lesquels figurent les données clients à protéger selon la réglementation sur la protection des données. Elles peuvent se trouver dans des systèmes structurés, tels que les applications ou les bases de données, ou dans des fichiers situés dans des des portails de collaboration (comme SharePoint) ou même dans des systèmes de stockage dans le cloud (comme Box ou GoogleDrive).

·         Ensuite, il convient d’identifier qui doit avoir accès aux données clients et regrouper avec ceux qui y ont déjà accès. Cette démarche doit faire l’objet d’une interrogation permanente, il ne s’agit pas d’un événement ponctuel. Il est important de s’assurer de bien prendre en compte toutes les applications et les plateformes de stockage de fichiers où sont stockées les données clients.

·         Enfin, prévoir des contrôles de gouvernance des identités pour protéger l’accès aux données en accord avec la réglementation sur la protection des données, à mesure que les utilisateurs rejoignent, changent de fonctions ou quittent l’entreprise.

Il n’est pas impossible de se sentir au début un peu dépassé par les exigences de cette nouvelle réglementation sur la protection des données, en particulier concernant les pénalités financières applicables en cas de non-conformité. Toutefois, le fait de placer la gouvernance des identités au cœur de la stratégie de sécurité, dans l’optique de protéger l’accès aux données clients, peut contribuer de manière significative à atténuer le risque d’une potentielle violation des données et d’éviter les pénalités qui en découleraient. (Par Juliette Rizkallah, chief marketing officer, SailPoint)