RGPD : arrêtez de faire peur

La date du 25 mai est agitée par beaucoup comme un épouvantail….ou un argumentaire de démarches commerciales.

Oui, le RGPD va profondément modifier le rapport des entreprises, et des administrations, aux données personnelles des citoyens européens, non le 25 mai ne sera pas un grand soir qui plongera les entreprises dans le chaos.

Le 10 avril 2018, à l’occasion d’une conférence de presse, la présidente de la CNIL (la Commission Nationale de l’Informatique et des Libertés), Isabelle Falque-Pierrotin, à fait un point sur le RGPD et ses enjeux. Elle s’est montrée rassurante quant à la mise en oeuvre des mesures de contrôle qui accompagneront l’application du règlement européen.

S’il n’y aura pas de « période de grâce », il n’y aura pas, non plus, de « chasse aux sorcières », dit-elle. D’ailleurs, on peut se demander comment la CNIL pourrait, des le 26 mai, lancer une vaste opération de contrôle sur l’ensemble des administrations et des entreprises françaises (plus de 3,5 millions!) et étrangères détenant des données personnelles de français.

De façon beaucoup plus réaliste, La Commission Nationale de l’Informatique et des Libertés souhaite s’engager dans un processus de pédagogie et d’accompagnement. Ce qui est recherché, c’est que les entreprises et les administrations publiques prennent conscience des données à caractères personnels et sensibles qu’elles demandent à leurs clients ou usagers mais également à leurs collaborateurs, qu’elles soient conscientes de leurs responsabilités quant à la conservation et la sécurité de ces données (les exemples de fuites ou de pillages massives de données sont multiples) et qu’elles assument ces responsabilités en cas de perte de données.

Bien entendu, les organisations qui, par leur nature ou par leur taille, collectent déjà beaucoup de données à caractères personnels et sensibles (grandes entreprises, marketing, surveillance, hôpitaux….) feront plus rapidement et plus régulièrement l’objet de contrôles, et les citoyens ne peuvent que s’en réjouirent. L’immense majorité des PME, voire des ETI, ne sera, dans un premier temps, concerné que de loin….tant que ces entreprises ne seront pas touchées par une fuite ou une attaque visant à mettre leurs données sur la place publique….et qu’une plainte ne sera pas déposée par une victime.

C’est pourquoi, il est important pour tout organisme, public ou privé, de pouvoir démontrer qu’il a initié sincèrement une démarche RGPD, que son mode de traitement des données est dans l’esprit du RGPD, c’est à dire, que des données à caractères sensibles ne sont pas demandées sans raisons, qu’elles font l’objet d’une identification et d’un traitement spécifiques mais également d’une attention particulière. Plus qu’un travail de juriste ou d’informaticien, c’est d’abord une œuvre de bon sens et d’inventaire.

D’ailleurs, les entreprises auraient tout intérêt de profiter de ce travail d’inventaire pour le compléter par un examen de l’ensemble des données dont elles disposent et qui, sans présenter de caractères personnels et sensibles, sont, pour autant, vitales pour son développement. Il s’agit en particulier, des données dont le vol ou la dégradation pourraient faire perdre un avantage concurrentiel et avoir des conséquences sur le chiffre d’affaire et l’emploi (secrets de fabrique, plan marketing, données commerciales ou financières….).

Avoir l’esprit RGPD c’est donc :

  • penser RGPD au moment d’initier une nouvelle démarche de collecte d’informations personnelles et de se doter de nouveaux outils numériques pour cela (privacy by design) ;

  • cartographier et caractériser les données à caractères personnels dont on dispose déjà (dans une PME il y a en, en général, finalement assez peu)  ;

  • réagir avec le soucis des individus en cas de pertes de leurs données personnelles (c’est le bon sens)


Une explosion dans une usine pétrochimique suite a une cyber-attaque

Selon le "New York Times", des hackers ont tenté de causer une explosion dans une usine pétrochimique saoudienne en août dernier (image d'illustration)

http://www.parismatch.com

Une explosion dans une usine pétrochimique saoudienne aurait été évitée de justesse en août dernier. Ce cas illustre parfaitement les risques de confluence entre les cyber-attaques, le terrorisme et les enjeux géostatistiques, économiques et politiques.

Une PME peut être victime de ce type d’attaque, non pour elle même, mais pour les dégâts et les pertes humaines qu’une destruction chez elle peut provoquer dans son environnement.

Il convient, de plus en plus, d’envisager sa cyber-sécurité dans une analyse complète de son environnement, de son écosystème mais également de son environnement géopolitique.

La sûreté n’est pas uniquement de la technique.

Slingshot : Un malware discret, spécialisé dans l’espionnage économique ?

http://www.zdnet.fr/actualites/slingshot

Un malware n’a pas forcement pour unique objet de planter vos ordinateurs. Il peut rester tapi dans un coin de vos systèmes informatiques, ne pas se faire remarquer pour mieux copier et piller vos données. Une part importante des attaques informatiques n’est jamais détectée. Il s’agit alors, le plus souvent, d’espionnage économique.

On peut soupçonner une infection par ce type de malware lors de la perte d’un marché ou de l’apparition de produits similaires et concurrents. En complément d’une analyse et d’une sécurisation des systèmes informatique, il sera tout aussi utile de procéder à une analyse de type « contre ingérence économique » de son écosystème.

Le minage de crypto-monnaies, une menace encore mal comprise par les entreprises

https://www.undernews.fr/malwares

Le minage de crypto-monnaie consiste a squatter votre système informatique pour détourner sa puissance de calcul à son profil. L’idéal pour le pirate est de ne pas se faire remarquer pour pouvoir rester chez vous le plus longtemps possible. Pour cela il doit ne pas (trop) faire de dégâts apparents.

D’où une prise de conscience moindre de cette menace. Outre le fait d’héberger un passager clandestin dans vos SI, ces techniques ont quand même l’inconvénient de ralentir vos systèmes, voir de les fragiliser, de les exposer et de les planter.

Uber illustre parfaitement ce qu’il ne faut pas faire en matiere de gestion de crise cyber

http://www.zdnet.fr/actualites

Uber s’est fait pirater les données de 57 millions de clients que l’entreprise entreposait dans un cloud extérieur. Sa réaction est une parfaite illustration de ce qu’il ne faut pas faire dans des cas similaires : elle n’a rien dit à ses usagers et chauffeurs, les laissant en danger pendant plus d’un an, et elle a payé les pirates.

A partir d’avril 2018 et grâce au RGPD un tel mépris de ses clients ne sera plus possible. L entreprise aura 72h pour déclarer le piratage. Au passage, il est intéressant de constater que l’information sort au moment où Uber négocie une partie de la vente de son capital….

Deep web, objet et outil de la sécurité économique

http://www.journaldunet.com

Le Dark Net, dernier far-west où les gens honnêtes et non initiés ne se promènent pas au risque de se perdre, de se faire agresser ou pire encore d’être verbalisés.

Pourtant, la sécurité économique de votre entreprise s’y joue en partie. On y parle d’elle, ou de vous, des informations la concernant s’y échangent ou des renseignements introuvables ailleurs y sont accessibles.

Plus que jamais, la partie cachée du web, doit être prise en compte dans des stratégies défensives ou actives de veille. Cependant attention, comme en plongée bouteille, le deep web ne s’aborde pas sans précaution.

Je rajoute une illustration a cet article

Kaspersky, agent des services de renseignement russes ?

Le gouvernement américain n’autorise plus l’usage des antivirus et logiciels de sécurité de Kaspersky

Le célèbre anti-virus installé sur des millions d’ordinateurs dans le monde est désormais interdit dans l’administration américaine. Il serait un outil des services russes. C’est ce que croit les autorités états-uniennes (bien placées pour parler d’agents d’influence russes…) et ce qu’affirme Bloomberg dans un récent article.

Sur un sujet aussi sensible, aussi régalien que la sécurité numérique, comment imaginer un instant que les tout puissants services de renseignement russes s’intéressent à une entreprise privée dont le siège social est à Moscou !

Même les américains ont le droit d’être parano ! A moins d’y voir un lien avec le conflit que kaspersky a avec Microsoft !

Des informations personnelles collectées sur 198 millions d’américains dans la nature…

Fuite BDD

http://www.fredzone.org/

Une société d’analyse de données travaillant pour le parti Républicain à subi une perte massive d’informations confidentielles et très personnelles concernant 198 millions de citoyens américains.

L’existence même de tels fichiers en dit long sur le marketing politique et surtout sur le peu de cas que les data brokers font de la sécurité des informations qu’ils collectent à l’insu des populations étudiées.

Que nous soyons un simple citoyen ou une entreprise, ce cas, qui serait un scandale majeur en Europe, doit nous faire réfléchir l’utilisation et le devenir, à moyen et long termes, des informations que nous laissons en libre disposition sur Internet ou que nous confions à n’importe qui.

Les obligations européennes sur la protection des données personnes (GDPR) qui s’imposeront à toutes les entreprises à partir de mai 2018, sont une contrainte de plus, notamment pour les PME, mais c’est aussi une garantie contre des incompétences aussi cyniques. Les entreprises doivent se préparer dès maintenant aux enjeux et défis du GDPR (ou RGPD en français, Règlement général sur la protection des données).

Par ailleurs, il convient de se poser quelques questions simples et saines :

  • Quelles sont mes informations réellement sensibles ?
  • Où et comment sont-elles stockées ?
  • Qui y a accès en dehors de moi ?
  • Que se passera-t-il si ces informations venaient a être diffusées publiquement ?

Cyber sécurité et PME

 

Cyber securite et pme

Une très belle infographie réalisée par Ael Bernard, étudiant à la Rennes School of Business, qui synthétise bien les menaces cyber pour une PME et donne des préconisations simples.

Je rajouterai seulement que les risques pour le patrimoine informationnel et réputationnel d’une entreprise sont multiformes et cumulatifs. L’humain est la première cible, il sera toujours plus facile de rentrer sur un ordinateur si un collaborateur vous en aura donné les codes d’accès. C’est là toute la démarche du renseignement économique.

La sécurité des informations et la sécurité économique commence donc par un travail de formation des collaborateurs.

Pour la sécurité des informations, développez une culture de la sécurité économique

 https://www.generation-nt.com/

password

La sécurité des systèmes d’information est un défis technologique majeur certes, mais comme le laisse à comprendre cet article, c’est avant tout un défis humain.

Toute les lignes Maginot que pourront mettre en place les spécialistes de la sécurité pour contrôler les portes seront inutiles si vous laissez les fenêtres ouvertes.

Une stratégie de sécurité des informations doit donc être complète et cohérente. l’information n’est pas qu’une donnée informatique, elle est dans un dossier qu’on oublie dans le train, dans un indice qu’on évoque sur facebook, dans un clé USB que l’on perd, dans une conversation au coin d’un bar…. ou protégée par un mot de passe écrit sur un post-it au dessus de l’écran.

Pour accompagner d’indispensables stratégies de sécurisation techniques, Il ne sert a rien de mettre en place des règlements et des contraintes comminatoires. Il sera beaucoup plus utile de développer dans l’entreprise ou la structure publique une véritable « culture de la sécurité économique ».

Ce n’est qu’en prenant conscience des risques et des menaces que naturellement les utilisateurs des moyens numériques  comprendront l’utilité d’adopter des pratiques saines, efficaces et simples.