Le GDPR : le grand chantier des mois à venir sur la protection des données personnelles dans l’entreprise

Comprendre vos obligations  https://www.cnil.fr/

Plus que 10 mois pour se mettre en conformité avec le Règlement Général sur la Protection des Données qui s’imposera à toutes les entreprises à partir du mois de mai 2018. Contrairement aux obligations de compliance imposées par la loi Sapin II (voir : ici ), le RGPD concerne toute structure qui collecte, exploite et stocke des données personnelles : un fichier client, une base salarié, une application pour smartphone….

Dimensionner pour être une arme de dissuasion contre les majors états-uniennes, les sanctions financières seront lourdes (jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial). La mise en œuvre du RGPD doit mobiliser des compétences diverses (gestion de l’information, juridique, sécurité des systèmes d’information, RH, ….) . Au niveau d’une PME ou d’une ETI, la tache n’est pas insurmontable, elle aura même pour intérêt collatéral de renforcer la maitrise de leurs systèmes d’informations. Il convient néanmoins de s’y atteler avec rigueur et méthode en faisant, si besoin, appel à un prestataire spécialisé et compétant.

Kaspersky, agent des services de renseignement russes ?

Le gouvernement américain n’autorise plus l’usage des antivirus et logiciels de sécurité de Kaspersky

Le célèbre anti-virus installé sur des millions d’ordinateurs dans le monde est désormais interdit dans l’administration américaine. Il serait un outil des services russes. C’est ce que croit les autorités états-uniennes (bien placées pour parler d’agents d’influence russes…) et ce qu’affirme Bloomberg dans un récent article.

Sur un sujet aussi sensible, aussi régalien que la sécurité numérique, comment imaginer un instant que les tout puissants services de renseignement russes s’intéressent à une entreprise privée dont le siège social est à Moscou !

Même les américains ont le droit d’être parano ! A moins d’y voir un lien avec le conflit que kaspersky a avec Microsoft !

Sécurité économique : le malware qui espionne les smartphones Android

Le malware pour android « spydealer », décrit dans cet article de silicon.fr, est une parfaite illustration des risques de surveillance sur vos activités à partir d’un outil que vous avez en permanence avec vous, votre smartphone.

Au delà du désagrément de savoir que quelqu’un peut venir fouiller dans votre poche, il convient de s’interroger sur les conséquences d’une captation extérieure des informations présentes ou transitant sur votre appareil téléphonique.

Ce virus espion récupère des données à partir des vos applications préférées, notamment les messageries  (WeChat, WhatsApp, Skype, BBM, Line, Viber, QQ, Tango, Telegram…) et les réseaux sociaux, où nous dévoilons tant de choses personnelles. Les éléments collectés peuvent ensuite être utilisés pour faire votre «profil », étape essentielle qui permet de mieux comprendre un interlocuteur, savoir comment il se comporte, connaître ses habitudes, ses points faibles ou forts…

Spydealer peut également vous localiser. Il relève votre position, les lieux ou vous vous êtes rendu, le temps que vous y avez passé. Autant d’éléments importants pour retracer vos activités.

Il permet aussi de relever les identifiants de votre appareil (IMEI) et de votre carte SIM (IMSI), éléments indispensables pour vous mettre sur écoute, vous localiser, même si vous n’avez pas activé la fonction GPS de votre appareil, connaître vos interlocuteurs et lire vos SMS.

Enfin, le must, il peut déclencher, à votre insu, le micro, voire la camera, de votre appareil et transmettre en direct le son du lieu (de la réunion par exemple) où vous êtes.

Spydealer est surtout répandu en Chine, ce n’est pas un hasard. La volonté de surveiller, à des fins politiques, sa population a conduit le gouvernement chinois à développer des outils et des structures aux moyens matériels et humains considérables. Ces structures sont étroitement liées à l’industrie chinoise et aux producteurs d’équipements électroniques. Ainsi le président de Huawei, Ren Zhengfei, est un ancien ingénieur des services de renseignement de l’armée populaire. Bien entendu ces outils d’état sont également utilisés pour l’autre grande priorité des autorités chinoises, la captation technologique et le gain d’avantages concurrentiels, autrement dit l’espionnage économique.

Une délégation française en Chine a donc toutes les chances d’être infectée par un malware du type de Spydealer. Une entreprise européenne intéressant l’économie chinoise, pourra également faire l’objet de ce type d’attaque. Une version « personnalisée » d’un malware pourra être développée à cette fin.

Enfin, comme en Russie, des liens entre les structures de cyber-attaque de l’état et les mafias existent. Les outils puissants développés dans un cadre gouvernemental se répandent dans les milieux pirates.

Soyez conscient qu’un smartphone n’est plus simplement le téléphone portable que nous utilisions il y a 10 ans. Il convient donc de porter une très grande vigilance à son cadre d’emploi et de réfléchir et contrôler l’usage que vous en avez :

  • Professionnel /personnel
  • Travail / loisir
  • Applications dédiées/applications ludiques
  • Déplacement à l’étranger, réunions….

La loi Sapin II : une opportunité pour les entreprises,

https://portail-ie.fr/analysis/1593/jdr-loi-sapin-ii-et-pratique-des-affaires-quelles-consequences-pour-lentreprise-33

 

 

 

 

 

Depuis, le 1er juin 2017, toute entreprise de plus de 500 salariés et d’un chiffre d’affaires supérieur à 100 millions d’euros exerçant toute ou partie de son activité en France, devra s’être dotée d’outils et de mesures appropriés à la lutte contre les manquements à la probité. Il s’agit en particulier :

  • de l’adoption d’un code de bonne conduite,
  • de mise en place d’outils d’audit et d’alerte interne,
  • de la réalisation d’une cartographie des risques,
  • de formations spécifiques.

Plus qu’une contrainte supplémentaire, ces nouvelles normes doivent être considérées comme une protection des entreprises françaises face aux menaces concurrentielles « non conventionnelles » (atteinte à la réputation, mise en cause par des juridictions étrangères, sanctions internationales….).

Néanmoins, si les grandes entreprises pourront organiser des compétences internes qui souvent existent déjà, les ETI en ont rarement les moyens et devront externaliser ces nouvelles fonctions. Le choix de l’intervenant, qui aura accès à des informations sensibles de l’entreprise, sera important. La confiance devra être un critère de choix majeur.