#DPO_News #cyberisques Données personnelles : trois questions toujours sans réponses

AMRAE 2017

 

Données personnelles : trois questions toujours sans réponses

 

 

par Jean Philippe Bichard @DPO_NEWS

Phot-JPB-DPO NEWS

 

 

Début février 2017, à Deauville, les rencontres de l'AMRAE portent bien leur nom. De multiples échanges permettent d'avancer sur l'évolution de la gestion des risques coté marché comme coté risk managers. Quelle approche en pleine transformation numérique de leurs entreprises perçoivent les professionnels du risque ? Quelles protections pour les données à caractère personnel à moins de 400 jours de la mise en application du GDPR (Règlement Général européen sur la Protection des Données) et les lourdes sanctions qui l'accompagnent ?

 

 

Si l'évocation du GDPR reste relativement discrète lors de ces 25eme rencontres de l'AMRAE, ce qui peut surprendre, la protection des données notamment coté assureurs et courtiers représente un thème central. A ce titre, l'édition 2017 s'est montrée riche et constructive. Demeurent les questions sans réponses.

Dans cet article nous en posons trois et personne ne sait y répondre totalement parmi tous les professionnels interrogés à Deauville. C'est sans doute compréhensible. Précisons que ces trois questions ne constituent pas un « piège de journaliste ». Ces trois questions sont légitimes et placées au cœur de l'actualité. Des réponses apportées dépend le « business » futur des assureurs et surtout le respect de nos vies privées et de celles de nos enfants.

 

Le client connecté reste t-il maître de ses données et acteur de sa vie de citoyen 2.0 ?

 

Ces trois questions ont pour toile de fond les usages numériques et les risques qui pèsent sur les données à caractère personnel. Qui saura y répondre ? Dernier point : il y a urgence. Des institutions telles que CNIL (1) (cf Section BONUS), ANSSI, AFCDP, CIGREF alertent continuellement leurs membres sur ces problématiques situées comme pour le GDPR au carrefour de trois axes: organisationnels, juridiques, techniques. 

On sait que les conditions de collectes de données à caractère personnel posent déjà un un premier problème via vis des procédés utilisés. Le second problème tient aux conditions d'exploitation des données à caractère personnel. Il ne s'agit pas bien évidemment de déclencher dans l'opinion le syndrome « Big Brother » auprès d'acteurs à forte notoriété. Il faut sans doute mieux percevoir comment vont évoluer les services « particuliers » et « corporate » en pleine période de transformation numérique. Et dans quelles conditions ?

 

 

Au pays de Voltaire et Montesquieu, cette évolution ne semble pas comprise

Concernant les usages de données à caractère personnel par les "data analysts" les assureurs comme les banques et opérateurs Telco forment le premier front face a une opinion partagée. La crainte d'un « contrôle » permanent de nos comportements et usages via des objets connectés, traceurs « mouchards », frigos, pèse-personne... est fondée. Elle peut être négative si le cadre réglementaire du législateur ne se montre pas à la hauteur. Notons que les "grands comptes" traditionnels ne sont pas contrairement à ce que l'on peut lire les plus exposés. Une "data start-up" peut parfois traiter plus de flux de données "persos" qu'une institution bancaire 100 000 fois plus importante en taille humaine. L'économie 2.0 repose sur sa propre logique. Une logique qui interpelle de plus en plus les COMEX et administrations  (1)

Cette économie pose également de sérieux problèmes d'éthique particulièrement commentés dans l'actualité en ce début d'année 2017 (2) (cf Section BONUS). Certaines « marches arrières » existent déjà face aux services 2.0. Ainsi un pays scandinave refuse courant janvier 2017 de cautionner le vote électronique jugé peu fiable et décide de revenir pour les prochaines élections au vote "papier". Ces signaux tout comme le réglement européen GDPR/RGPD sont utiles. Ils illustrent une réelle « prise de conscience » qui oblige les acteurs concernés à prendre position au delà d'une « simple » charte de confiance.

En demeurant pragmatique, on peut comprendre les avantages évidents que els acteurs économiques peuvent tirer de l'exploitation fine de toutes les données de leurs « big data ». Mieux protéger les biens et les actifs peut se traduire par exemple par davantage de connaissances « client ». Du point de vue des assureurs (et pas seulement cette profession) il faut créer via des traitements spécifiques de nouvelles données à caractère personnel pour obtenir plus de valeur « business ». Mais prudence, cette approche génère de la méfiance dans l'opinion (http://www.cyberisques.com/fr/mots-cles-7/635-cyberisques-dpo-news-64-de-francais-pensent-que-leurs-informations-sont-utilisees-dans-d-autres-buts-que-ceux-qu-ils-ont-approuve )

  

Implants médicaux futurs délateurs 2.0 ?

L’appréhension du risque cyber évolue. Comme pour les vaccins cette évolution questionne. D'après une étude réalisée en 2013, près de 40 % (38,2 %) des Français étaient défavorables à la vaccination en 2010, contre 8,5 % dix ans auparavant.

Qu'en sera t-il pour les données collectées via les IoT, boîtiers auto, caméras, pacemaker..?  Les implants médicaux futurs délateurs 2.0 ? Une fois encore, ce n'est pas un délire de salle de rédaction, c'est l'actualité. ( https://www.theregister.co.uk/2017/02/01/arsonists_pacemaker_data_tips_off_cops ) 

Comment les "assureurs 2.0 as a service" vont « positiver » ce paradoxe : plus de données pour de « meilleurs » services personnalisés tout en respectant la vie privée de chacun ? Faut il comme aux US faire une croix sur la notion de vie privée et estimer que seule la vie intime mérite la confidentialité et le respect ? Au pays de Voltaire et Montesquieu, cette évolution n'est pas comprise selon les sondages récents (lire notre enquête réservée aux abonnés).

Dans ces conditions, quel « deal 2.0 » peuvent proposer assureurs, banquiers, telco, construteurs automobiles ... pour "exploiter" les données personnelles de leurs millions de clients condition nécessaire à l’ère numérique pour affiner et développer de nouveaux services ?

Précisons que les tentations marketing « classiques » ne constituent pas toujours une solution. A la différence des GAFA, les compagnies d'assurance comme les banquiers et les telcos ne proposent pas (encore?) de services gratuits en échange d'une « ouverture » sur les accès aux données privées des utilisateurs (3) (cf Section BONUS). Pour un assureur il n'existe pas d’utilisateur, juste un client connecté.

 

 

D’où la première question : de quelle manière vont procéder les professionnels de l’assurance pour collecter les données personnelles en accord avec leurs clients et sans aucune discrimination?

Autre point, qui touche lui à la mutualisation, principe de fonctionnement des compagnies d'assurance du monde entier avant la digitalisation ou la dématérialisation des échanges. Il est évident qu'avec le développement de la collecte de données à caractère personnel, la connaissance de chaque assuré va créer une différence dans les offres de police désormais plus « customisées » ou personnalisées. C'est donc à terme la mort du principe de mutualisation en l'absence de mesures adéquates. Ces mesures doivent exister faute de quoi c'est la fin d'un autre principe lié à la mutualisation celui de la solidarité qui a fait la force des offres « substantielles » du moins avant qu'Internet devienne le vecteur incontournable des échos numériques de nos vies.

 

 

D’où la deuxième question : comment les métiers du risque dans le secteur de l'assurance vont migrer vers des offres personnalisées plus différenciées tout en préservant les principes de mutualisation et de solidarité ?

 

 

AMRAE2017-L-Parisot

Laurence Parisot 25eme rencontres AMRAE Deauville février 2017 

 

Le client connecté reste t-il maître de ses données et acteur de sa vie de citoyen 2.0 ?

Dernier point, dans un environnement multi-connecté quel rôle réserve t-on aux… clients ? Face à ces évolutions la propre vie connectée (parfois malgré eux) des clients va t-elle trouver de nouvelles « connexions » avec les assureurs ou s'en détourner ? « Je conduis bien donc je baisse ma prime auto merci voiture connectée » « Je m'alimente bien donc je baisse ma prime santé Merci frigo et centre commerciaux connectés  »  « je cours chaque week end, je vais baisser ma police santé merci montre connectée et service s de santé » Faut-il préciser que les « merci » peuvent parfois sentir l'ironie...

Notons que ces services connectés peuvent aussi sauver des vies. Pour l'heure de nombreuses questions demeurent. Exemple : reprenons le cas du conducteur « connecté ». Qui va garantir la bonne conduite sur quelles bases ? Qui sera « propriétaire » des données récoltées à bord du véhicule ? Le propriétaire conducteur assuré ? Le constructeur installateur de la boite noire connectée ? L'assureur - exploitant parmi d'autres – des données du boîtier "intelligent" parait-il parce que connecté à Internet ?

 

 

D’où la troisième question : dans un environnement multi-connecté par des objets et des services basés sur l'analyse de données à caractère personnel le client reste t-il maître de ses données et acteur de sa vie d'assuré ?

Ne risque t-il pas de glisser vers un rôle « Personnal data victim » comme il existe des « fashion victim » depuis l'intensification du « shopping » ? Cela dit reconnaissons que les « fashion victim »... si elles culpabilisent... consomment sans trop de problèmes. Exemple à l'appui: aux Etats-Unis début 2017 les données de visionnage "récupérées" par le fabricant de TV Visio , couplées à d’autres informations personnelles, étaient revendues à des régies publicitaires. Le fabricant a été condamné à 2,2 millions de dollars d'amendes suite à la plainte déposée par suite d’une plainte de la Federal Trade Commission (FTC), le régulateur américain du commerce (4BIS) 

Ces fait interviennent alors que moins de 10% des utilisateurs  estiment avoir le contrôle sur l’utilisation de leurs données personnelles selon la dernière étude KPMG (4TER)

 

On voit bien avec ces trois questions que l'essentiel de la problématique posée aux professionnels des risques c'est encore et toujours la confiance. Si elle existe avec nos proches, nos enfants, nos collègues, notre hiérarchie, et même les politiques tout est envisageable. Si la méfiance s'installe, le lien précieux et fédérateur risque de rompre. A nos trois questions, un début de réponse peut être avancé avec une idée : demain abonnement, forfaits et autres transaction d'un autre temps seront remplacés par des services numériques vraisemblablement basés sur une « partie » de nos données personnelles. Mais ces services ne trouveront réellement une résonance chez les clients-connectés que s'ils sont basés sur trois choses : l'éthique sécuritaire (4) (cf Section BONUS), la confiance 2.0 et l'imagination dans les nouveaux services "ethiques". Trois petits mots pour trois grandes questions. C'est un début.

Cyberisques NEWS et @DPO_NEWS se tiennent prêts a publier vos réponses.

@jpbichard

 

 A propos de l'auteur: 

 

Journaliste IT depuis 27 ans, IHEDN 2005, animateur d'évènements (tables rondes) IT / GDPR, auteur de plusieurs ouvrages, co-fondateur en 1997 du premier média "cybersecurité" NetCost&Security avec Olivier Caleff, Jean Philippe Bichard -@jpbichard - a créé le site de veille  http://cyberisques.com en 2012.

Premier journaliste animateur des « Assises de la sécurité » dans les années 2000, il collabore à différents médias (tech et Eco).

 En plus de cyberisques  - gouvernance des risques IT - il crée en 2016 @DPO_Newsconsacré aux projets GDPR (organisationnel, technique, juridique) et à la veille stratégique pour les DPO. 

En plus d'animations (avec compte-rendu) et d'enquêtes "marché", Jean Philippe rédige à la demande de nombreux « white papers » sur les différenets facetets du GDPR, des études « business » et autres contenus WEB sur les thématiques Cyberisques / GDPR.

This email address is being protected from spambots. You need JavaScript enabled to view it.

@cyberisques @jpbichard @DPO_NEWS

 

  

Abonnemnt-2017

 

BONUS :

1- http://www.cyberisques.com/fr/component/content/article/93-categorie-3/sous-categorie-3-1/621-interview-dpo-news-cyberisques-albine-vincent-chef-service-des-cils-au-sein-de-la-cnil

    http://bit.ly/2lLcVFe

2 - http://www.cyberisques.com/fr/component/content/article/137-mots-cles-30-reglementation/636-dpo-news-cyberisques-dpo-un-cil-2-0

3- http://www.lesechos.fr/tech-medias/hightech/0211762194535-protection-des-donnees-trump-seme-le-trouble-en-europe-2062224.php

4 - http://www.cyberisques.com/fr/mots-cles-5/625-dpo-news-cyberisques-gdpr-gdpr-faits-et-chiffres-infographies

4 bis : http://www.lemonde.fr/pixels/article/2017/02/08/l-entreprise-americaine-vizio-epinglee-pour-ses-televisions-connectees-trop-intrusives_5076643_4408996.html )

4 ter : https://home.kpmg.com/fr/fr/home/media/press-releases/2017/02/protection-des-donnees-personnelles-frein-consommateur.html

 

https://www.youtube.com/watch?v=7psJR-tcOxk&feature=share

 

La startup Cryptosense remporte le Prix de l’Innovation des Assises de la Sécurité 2016

Source : Corporate Communication / Juillet 2016


La startup Cryptosense remporte le Prix de l’Innovation des Assises de la Sécurité 2016

Le Cercle Européen de la Sécurité et des Systèmes d’Information a organisé lors de son dernier rendez-vous, un Elevator Pitch pour départager les startups finalistes du Prix de l’Innovationdes Assises de la Sécurité. A l’issu de cette soirée, Cryptosenses’est vu remettre par le jury le Prix de l’Innovation, et 3dTrusta remporté la mention spéciale Prix du Public.

Créé en 2005, et en partenariat avec l’Atelier BNP Paribas depuis 2012, le Prix de l’Innovation des Assises est devenu, la référence en matière de récompense dédiée à l’innovation dans le domaine de la sécurité informatique.

Cryptosense, grand gagnant du Prix de l’Innovation

Cette année, la startup Cryptosense, s’est démarqué des trois autres finalistes[1] grâce à sa solution capable de détecter les vulnérabilités de sécurité dans les systèmes de cryptographie. La technologie de cryptographie demeure inviolable, cependant, une erreur dans le déploiement de cette dernière la rend vulnérable. Le logiciel de Cryptosense détecte ces erreurs et propose des solutions pour y remédier.

Grâce à ce prix, Cryptosense se voit offrir sa participation aux Assises en tant que partenaire et bénéficiera d’une véritable vitrine, auprès de tous les acteurs majeurs du secteur.

«Pour l’équipe Cryptosense, le Prix de l’Innovation est un véritable tremplin pour le Business. Remporter ce Prix arrive à point nommé puisque nous sommes à un stade de notre développement suffisamment avancé pour être démocratisé. Issue de la recherche, notre solution est désormais disponible en SaaS, et Les Assises seront l’occasion pour nous de le faire savoir à tout le marché ! » se réjouit Graham Steel, CEO de Cryptosense.

L’ensemble du Jury, composé de RSSI, DSI, d’experts de la SSI, et du lauréat 2015, a plébiscité Cryptosense pour la valeur ajoutée apportée par la solution, auprès des RSSI s’appuyant sur la cryptographie dans leur stratégie de cybersécurité.

« Le jury a récompensé le caractère unique de la solution Cryptosense, qui répond au besoin avéré des RSSI d’identifier et de maitriser les risques autour de la cryptographie. C'est un sujet pointu, et une opportunité de rappeler l'importance de l'expertise, et de la cryptographie, socle de base de la confiance de l'économie numérique, » souligne Yoann Jaffré, Directeur de l'Open Innovation Lab de L'Atelier BNP Paribas et membre du jury du Prix de l’Innovation.

« La solution de Cryptosense a un bel avenir devant elle grâce à son fort potentiel d’internationalisation. Elle bénéficie d’une réelle innovation, récompensée aujourd’hui par l’arrivée d’investisseurs de qualité comme Elaia ou encore IT Translation, » déclare Thierry Rouquet, président de Sentryo, lauréat 2015 du Prix de l’Innovation et membre du jury.

3dTrust, le coup de cœur du Public

La mention spéciale « Prix du Public » a été décernée cette année à la startup 3dTrust, également finaliste du Prix de l’Innovation.

3dTrust aide les entreprises industrielles à mieux intégrer l’impression 3D en fournissant le réseau digital sécurisé permettant la protection de la propriété intellectuelle et la traçabilité des pièces imprimées.

« Le Prix de l’Innovation, de part sa notoriété, bénéfice d’un fort rayonnement dans notre entourage professionnel, et notamment chez les partenaires avec lesquels nous travaillons. Participer au Prix de l’Innovation était donc une évidence, un peu comme un passage obligé lorsque l’on est une startup du secteur de la sécurité informatique. Nous ne pensions vraiment pas arriver en finale, c’est déjà pour nous une belle victoire, alors remporter le Prix du Public et ainsi bénéficier de la reconnaissance des professionnels présents, nous ravit davantage. Nous sommes extrêmement heureux et fiers d’avoir obtenu ce Prix, » affirme Alexandre Guérin, cofondateur de 3dTrust

Entretien Arnaud Kopp, directeur technique Europe chez Palo Alto "obtenir de la visibilité et anticiper"

Entretien Arnaud Kopp, directeur technique Europe chez Palo Alto, / Jean Philippe Bichard 31 mai 2016

 

"il faut obtenir de la visibilité" 

 

 

Palo Alto vient de publier via son "unité 42" un rapport (cf section BONUS) très révélateur sur l'évolution des ransomwares. Pourquoi avoir retnu ce type de cyber-menaces en particulier ? 

Les ransomwares  "réveillent" les entreprises en terme de sécurité. C'est leur coté positif. Pour les cyber-attaquants, le ROI des APT n'est pas évident alors que celui des ransomwares apparaît plus efficace d’où leur développement. Cela dit, il est possible de les contenir.

 

Quels sont les « Process » identifiés par Palo Alto au sujet des attaquants ?

Si l'on considère les différentes étapes depuis « l'injection du code », agir sur les commandes contrôle puis définir un mode de récupération de l'argent et enfin fournir les clés de déchiffrement en fin de négociation, une certitude : les cyber-attaquants doivent maîtriser l’ensemble sinon l'opération échoue. C'est la théorie de l'alignement des dominos.

 

Pour les entreprises il faut bloquer l'une des 5 étapes sinon c'est fini.

Oui et trop d'entreprise n'ont pas eu la prise de conscience sur les pépites que représentent les données numériques. L'état de l'art est en constante évolution. Il faut pour les entreprises anticiper aujourd'hui sur les attaques de demain peut être sur les IoT ou voitures connectées par exemple. Aujourd'hui l'équipement ne suffit plus, une bonne configuration notamment des services est toute aussi nécessaire.

 

 

D’où le déploiement de services par ailleurs très rentables aux cotés des solutions matérielles

Oui. Certains constructeurs étendent leurs offres aux services dédiés de type « threat intelligence » comme Wildfire chez Palo Alto. La Threat Intelligence autorise un tri de signaux faibles pour SIEM et SOC. Mais beaucoup de PME / PMI ne disposent pas de ce type de plate-formes. Le paiement à l'usage est une solution afin d'éviter trop de dépenses ; Il faut aussi éviter les mécanos compliqués en laissant chaque éditeur réinventer la roue. Les informations qui ressortent du Threat intelligence doivent êtres aussi prises en compte par des machines learning et parfois par l'intelligence humaine.

 

gartner-2016-Cyberisques

Source Gartner mai 2016  marché firewalls

 

Par rapport aux risques provoqués par les ransomwares, ou situez vous les informations traitées par les services de Threat intelligence ?

Bonne question ; J'ai envie de répondre qu il faut séparer les deux. Les ransomwares veulent êtres les plus rapides pour obtenir un rapide retour sur investissements en bref le paiement de la rançon. Le threat Intelligence permet la détection de signaux plus faibles généralement positionnés dans leur mission à l'opposé de celles confiées aux ransomwares. Il s'agit davantage de codes malveillants « dormants ». N'oublions pas qu'une arme efficace c est aussi une arme indétectable. Reste que l'attaquant doit lancer des recherches et donc risquer d'être tracé notamment dans les trafics cloud.

 

 

Paradoxalement, il faut surveiller attentivement les flux mais 25% des données échappent aux IT Managers qui sont censés les identifiées et les protégées

C'est vrai ; Il faut donc segmenter et classifier mais avant il faut obtenir de la visibilité .Chez Palo Alto nous fournissons des logs pour comprendre et éclairer le trafic propre au « shadow IT »

 

 

Règlement européen sur les données (GDPR) : est ce qu'un alignement techniques doit s'adapter aux contraintes réglementaires du GDPR ?

Certainement et si ce n est pas le cas, les commissaires aux comptes vont contribuer a établir le niveau de gestion des risques demandé par ce nouveau règlement EU. 70% d'entreprises ne disposent pas de procédures de notifications : pour les OIV les procédures sont en place. Mais pour les autres entreprises une version d'obligation de notifications s'avère nécessaire.

classification-données

Source HPE 2016

 

Précisément, quelles solutions apporte Palo Alto en notification ?

Via nos équipements et applications nous disposons de 100% de visibilité des flux que nous traitons (volumétrie, origine, destinations, applications..) y compris sur les applications Shadow IT comme Dropbox par exemple.

Propos recueillis par @jpbichard

 

 

BONUS :

http://cyberisques.com/fr/mots-cles-3/506-rapport-cybersecurite-ponemon-palo-alto-serveurs-et-antivols-memes-mecanismes

https://www.paloaltonetworks.com/resources/research/ransomware-report

 

 

Ransomwares-Palo-Alto

 

le Cesin élabore 10 recommandations pour maîtriser les risques liés aux services Cloud

8juin 2016

 

le Cesin élabore 10 recommandations pour maîtriser les risques liés aux services Cloud

 

Face à l'adoption massive des offres Cloud, le Club des Experts de la Sécurité de l'Information et du Numérique 
se mobilise et entend diffuser quelques bonnes pratiques avant de « confier les clés ».


 (Source PR corporate)

 Le Cesin a mobilisé 130 de ses membres, soit la moitié de ses adhérents autour de la thématique du Cloud et des bonnes pratiques en matière de sécurité. Face à l’explosion du phénomène d'externalisation des données, il est fondamental pour le Cesin d'adopter une gestion des risques et de sécurité adaptée pour continuer d'assurer une protection efficace et cohérente des données de l'entreprise.

Selon les résultats du baromètre Cesin-OpinionWay 2016, 85% des entreprises stockent des données dans un Cloud. Si la pratique tend à se banaliser, face aux enjeux induits par l'émergence des offres disponibles sur le marché, le Cesin met en garde les dirigeants d'entreprises contre certaines dérives. L'association a confronté ses membres et un panel de spécialistes, dont l'Anssi, la CNIL et des juristes spécialisés, afin d'élaborer 10 recommandations issues de la réflexion et du partage d'expériences.

Longtemps cantonné aux recours ponctuels à des services SaaS, parfois directement par les métiers sans passer par la DSI, les grandes décisions désormais d’actualité en matière d’externalisation massives de données dans le Cloud entrainent une profonde évolution du SI de l’entreprise et des métiers qui le gèrent. Une des grandes tendances constatées ces derniers mois par le Cesin, concerne les projets de migration vers Office 365. En cas de recours à l’option Cloudcette migration pose des interrogations cruciales puisqu'elle modifie à la fois les usages, une partie de la stratégie de la DSI, les politiques de sécurité des systèmes d'information (PSSI) et leurs modes de contrôle.

Alain Bouillé, Président du Cesin, indique que : « L'arbitrage des opportunités versus risques doit être pris au niveau le plus haut de l'entreprise car les données concernées sont bel et bien des données cœur de métier. »

Les débats ont amené plusieurs pistes de réflexion portant sur la localisation des données, qui se heurte aux réglementations européennes, leur protection liée à une exposition nouvelle dans des clouds publics, le niveau de sécurité proposé par l’éditeur pas toujours à la hauteur des enjeux des plus exigeants, la perte de maitrise en matière de traçabilité des actions, la négociation des contrats avec les géants de cette industrie, qui nécessite une véritable expertise, les difficultés voire l’impossibilité d'auditer les solutions, ou encore les risques d’enfermement et donc l'irréversibilité de certaines solutions. Même si l’effet Snowden s’efface des mémoires avec le temps, il est utile de rappeler les risques pour certaines entreprises liées aux obligations des entreprises américaines vis-à-vis du Patriot Act.


Charles Schulz, membre du bureau
 de la politique industrielle à l'Anssi évoque les travaux en cours sur le référentiel «secure cloud» qui aboutira à la certification des offreurs libres d'en faire la demande. Quant aux accords commerciaux, il précise : « Si vous êtes dans une société multinationale évitez les contrats locaux et négociez un contrat global groupe, cela donne plus de poids à la négociation ; en outre exigez un contrat rédigé en français et signé dans un pays européen. Les phrases du type « seule la version anglaise fera foi » n’ont pas de valeur légale et doivent être supprimées. »

La version publique du référentiel de l'ANSSI sur le Cloud est prévue pour le second trimestre 2016.


Garance Mathias, Avocat à la Cour, ajoute que : « l’externalisation reste un choix stratégique pour les entreprises et les administrations, et qu’il convient d’être accompagné dans la mise en œuvre de ce choix. » En effet, indépendamment de la négociation des contrats, les réglementations sectorielles doivent être intégrées, et les bonnes pratiques juridiques opérationnelles prises en compte dès le début du projet (localisation des données, politique de sous-traitance, quelle protection de la propriété intellectuelle, du patrimoine informationnel ? Quelles sont les mesures de protection des données personnelles ?...). Garance Mathias, précise en outre qu' « Il est important d’évoquer la sortie du contrat, terme ou résiliation, avec les impacts opérationnels ainsi que le traitement des données personnelles. A la suite de la conclusion du contrat, ce dernier peut, compte tenu de l’évolution des textes ou du secteur d’activité, faire l’objet d’avenant, comme à la suite de l’invalidation du safe harbor. »

In fine, un contrat ne doit pas rester figé, il doit refléter l’accord des parties tout au long de son éxécution, d’autant que sa durée peut être longue, notamment dans le cadre des renouvellements par tacite reconduction.

 

Les 10 recommandations du CESIN face aux projets Cloud

 

  1. Estimez la valeur des données que vous comptez externaliser ainsi que leur attractivité en termes de cybercriminalité.

  2. S’il s’agit de données sensibles voire stratégiques pour l’entreprise, faites valider par la DG le principe de leur externalisation.

  3. Evaluez le niveau de protection de ces données en place avant externalisation.

  4. Adaptez vos exigences de sécurité dans le cahier des charges de votre appel d’offre en fonction du résultat du point 1.

  5. Effectuez une analyse de risque du projet en considérant les risques inhérents au cloud comme la localisation des données, les sujets de conformité et de maintien de la conformité, la ségrégation ou l’isolement des environnements et des données par rapport aux autres clients, la perte des données liée aux incidents fournisseur, l’usurpation d’identité démultipliée du fait d’une accessibilité des informations via le web, la malveillance ou erreur dans l'utilisation, etc. Sans oublier les risques plus directement liés à la production informatique : la réversibilité de la solution et la dépendance technologique au fournisseur, la perte de maîtrise du système d’information et enfin l’accessibilité et la disponibilité du service directement lié au lien Internet avec l’entreprise.

  6. Outre ces sujets, exigez un droit d’audit ou de test d’intrusion de la solution proposée.

  7. A la réception des offres analysez les écarts entre les réponses et vos exigences.

  8. Négociez, négociez.

  9. Faites valider votre contrat par un juriste. Si vous êtes une entreprise française, ce contrat doit être rédigé en français et en droit français.

  10. Faites un audit ou un test d’intrusion avant démarrage du service (si cela est possible) et assurez-vous du maintien du niveau de sécurité de l’offre dans le temps.

A propos du CESIN

Le CESIN (Club des Experts de la Sécurité de l'Information et du Numérique) est une association loi 1901, créée en juillet 2012, avec des objectifs de professionnalisation, de promotion et de partage autour de la sécurité de l'information et du numérique.

Le CESIN est un lieu d'échange de connaissances et d'expériences qui permet la coopération entre experts de la sécurité de l'information et du numérique et entre ces experts et les pouvoirs publics.

Le Club conduit des ateliers et groupes de travail, mène des actions de sensibilisation et de conseil, organise des congrès, colloques, ou conférences.

Il participe à des démarches nationales dont l'objet est la promotion de la sécurité de l'information et du numérique. Il est force de proposition sur des textes règlementaires, guides et autres référentiels.

Le CESIN réunit plus de 250 membres issus de tous secteurs d’activité publics et privés : des membres actifs, responsables de la sécurité de l'information dans leur organisation, des membres associés, représentants de diverses autorités en charge de Sécurité de l'Information au plan national, des juristes experts de la sécurité IT.

 

  MG 9439

FIC 2015: atelier cyberiques avec des membres du CESIN animé par @jpbichard 

 

BONUS :

www.cesin.fr

 

 

Outscale propose avec Intel plus de transparence dans les services Cloud

OUTSCALE LANCE AVEC INTEL SON OFFENSIVE POUR UN CLOUD TRANSPARENT ET DE HAUTE PERFORMANCE LABÉLLISÉ 100% INTEL « ICT »

  

§     Sécurité et disponibilité maximales pour les éditeurs de logiciels, startups et entreprises partout dans le monde

§     100% des Services Cloud d'Outscale dans le Monde reposent sur des processeurs de la famille Intel® Xeon®

 

(Source Corporate PR)

Paris, mercredi 4 novembre 2015 – Outscale, Fournisseur de services Cloud de Classe Entreprise de type IaaS et Partenaire Stratégique de Dassault Systèmes, annonce l'obtention de la certification Intel® Cloud Technology.

Le programme ICT d'Intel vise à garantir aux entreprises qu'au moins l'un des services de leur fournisseur Cloud repose sur une infrastructure propulsée par des processeurs de la famille Intel® Xeon®. Ainsi, dans la lignée du dernier Rapport CIGREF 2015 et face aux demandes des décideurs IT pour plus de transparence dans les services cloud, Outscale ouvre la voie vers un Cloud responsable. Les clients d'Outscale, parmi les plus exigeants de l'industrie, ont ainsi la garantie d'une performance maximale et d'une très forte scalabilité, à chaque instant et partout dans le monde.

Selon Laurent Seror, Président d'Outscale, " Cet accord permet de nous engager vers plus de transparence. Ainsi, nous nous engageons contractuellement sur les données sensibles de nos clients qui ne désirent pas les voir sortir de France. L'accord avec Intel nous permet de grantir des performances  au niveau de nos infrastructures ce qui optimise en permanence notre offre de services. Avec les processeur d'Intel, apres trois mois de test sur notre propre orchestrateur le couer de nos services Cloud, nous pouvons obtenir un facteur trois sur les performances via un "tuning tres fin. Il n'est pas impossible que nous puisssions devenir OIV prochainement."

Pour Stephane Negre, Président de Intel France, " la branche Datacenter chez Intel pese plus de 14 milliards de dollars chaque année elle progresse. Le coeur du métier d'Intel ce sont les infrastructures au niveau des composants. Nos trois familles de processeurs offrent de plus en plus de performances pour des vitesses d'exécution de plus en plus performantes avec une densité optimisée dans la fabrication et la miniaturisation Le partenariat avec outscale illustre ceux que nous avons avec quatre autres acteurs en France et 55 dans le monde."  

 

Outscale, acteur Cloud du marché certifié 100% INTEL

Face au manque de transparence de certains fournisseurs Cloud, le dernier rapport CIGREF souligne les attentes des décideurs en matière de qualité des services Cloud. Selon l'engagement d'Outscale, les entreprises ayant recours à un fournisseur Cloud doivent disposer d'une visibilité maximale sur les services délivrés. Pour le leader du Cloud de Classe Entreprise, les certifications les plus avancées du marché sont la voie royale pour garantir aux clients performance, sécurité et disponibilité.

Outscale a obtenu la certification ICT d'Intel pour la totalité de ses services et engagements. D'après l'Intellitrends Survey 2013* une infrastructure Cloud hétérogène peut créer des variations de performance de 40 à 60%. Le Cloud mondial d'Outscale certifié intégralement par Intel est donc un gage de confiance pour aider les éditeurs de logiciels, startups et entreprises à déployer et orchestrer des infrastructures Cloud fiables, partout dans le monde et de façon unifiée. La labellisation « ICT » d'Intel intervient quelques semaines après la certification de Ciscoet hisse Outscale au premier rang mondial des fournisseurs de Cloud de Classe Entreprise.

La labellisation Intel ICT : garantie de qualité et d'exigence en matière de services Cloud

La labellisation ICT est cruciale pour les entreprises qui souhaitent s'assurer de la qualité offerte par leur fournisseur Cloud. Intel garantit une qualité de service basée sur les plateformes haute performance reposant sur des processeurs de la famille Intel® Xeon®.

« Nous sommes fiers qu'Intel reconnaisse l'Excellence de nos services Cloud partout dans le Monde. Au regard de l'exigence de nos clients, nous avons fait le choix d'un Cloud de Classe Entreprise depuis l'origine d'Outscale. C'est la garantie d'un engagement profond en matière de sécurité, performance et scalabilité envers nos clients pour le développement, la certification et le déploiement de leurs applications sur le Cloud. Le support technologique de notre partenaire Intel est stratégique pour délivrer un Cloud innovant », déclare Laurent Seror, CEO d'Outscale.

 

 

CYBERISQUES NEWS premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX / CODIR

 

Abonnement individuel par eMail personnalisé

 

Renseignements  This email address is being protected from spambots. You need JavaScript enabled to view it.

 

 

 

 

 

Les dossiers de Cyber Risques News

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

Renseignements   This email address is being protected from spambots. You need JavaScript enabled to view it.

 

 

Additional information