@cyberisques @DPO_NEWS Etude Bitdefender: 9 IT managers sur 10 inquiets de la sécurité dans le cloud public

octobre 2017: etude Bitdefender

 

Les entreprises françaises peinent à se conformer aux dernières règlementations en matière de protection des données

 

 

Les RSSI craignent les failles de sécurité dans le cloud public, mais seule une entreprise sur six chiffre toutes ses données.

Selon une récente étude de Bitdefender, leader mondial des technologies de cybersécurité protégeant plus de 500 millions d’utilisateurs à travers le monde, neuf professionnels de l'informatique sur dix se disent inquiets de la sécurité dans le cloud public, et près de 20 % d'entre eux n'ont pas déployé de système de sécurité pour les données sensibles stockées hors de l'infrastructure de l'entreprise. La moitié des personnes interrogées admet que la migration vers le cloud a significativement élargi le nombre de points qu'ils ont à défendre, tandis que seule une sur six chiffre les données déjà migrées.

Voici quelques-unes des conclusions d'une enquête publiée aujourd'hui par l'entreprise de cybersécurité, Bitdefender. Celle-ci a étudié en détail, auprès de 1 051 professionnels en informatique de grandes entreprises comptant plus de 1 000 PC et des datacenters, la pression que font peser les migrations dans le cloud (enquête réalisée aux États-Unis, au Royaume-Uni, en France, en Italie, en Suède, au Danemark et en Allemagne). Alors que le Règlement général sur la protection des données (RGPD) de l'UE doit entrer en vigueur en mai 2018 – soit dans environ huit mois – de nombreuses entreprises peinent encore à s'y conformer.

Parmi les nouvelles exigences, l'obligation de protéger correctement les données, et en cas de violation, l'obligation pour les entreprises d'avoir en place des systèmes de notification conformes aux critères de la RGPD.

L'adoption grandissante du cloud hybride - un mélange de services de cloud public et de datacenters privés, déjà en place dans 70 % des entreprises dans le monde – donne naissance à de nouveaux défis en matière de sécurité et oblige les RSSI à adopter diverses technologies pour contrer les exploits de type Zero-day, les menaces persistantes avancées et autres types de cybercrimes dévastateurs.

 

Qui dit cloud hybride dit problèmes hybrides

Près de 81 % des RSSI estiment que les logiciels de sécurité sont le dispositif de sécurité le plus efficace pour protéger les données stockées dans le cloud public, suivi de près par le chiffrement (mentionné par 77 % des répondants) et les sauvegardes (jugées fiables par près de la moitié des personnes interrogées).

Selon cette enquête, un grand nombre d'entreprises françaises - quatre sur dix - protègent de 31 à 60 % des données stockées dans le cloud public, tandis que seules 17 % d'entre elles chiffrent l'intégralité de celles-ci. Autre sujet d'inquiétude : 19 % des RSSI ne déploient pas de sécurité dans le cloud public, et le même pourcentage ne chiffre pas les données en transit entre leur propre datacenter et les datacenters externes.

Les spécialistes en cybersécurité de Bitdefender recommandent que tous les transferts de données entre le client et le prestataire de services cloud soient chiffrés pour éviter les attaques de type man-in-the-middle susceptibles d'intercepter et de déchiffrer toutes les données transmises. En outre, toutes les données stockées en local ou dans le cloud doivent être chiffrées pour empêcher les cybercriminels de les lire en cas de violation de données ou d'accès non autorisé.

Pour se conformer à la RGPD, les entreprises doivent identifier les données qui relèvent du règlement – « toute information se rapportant à une personne physique identifiée ou identifiable » –, consigner la manière dont ces données sont protégées et définir des plans d'intervention en cas d'incident.

L'enquête montre également que 73 % des responsables informatiques utilisent une solution de sécurité pour endpoint afin de protéger les infrastructures physiques et virtuelles, mais que 24 % ont mis en place d'autres outils. Parmi ceux-ci, 77 % l'ont fait pour protéger des clients sensibles et des données de clients, 70 % citent la conformité aux exigences internes et réglementaires, et 45 % veulent empêcher les interruptions de service suite à une attaque.

 

Une sécurité sur mesure face aux cyberarmes les plus élaborées

Les spécialistes Bitdefender conseillent fortement aux RSSI d’utiliser une infrastructure de sécurité centralisée, à la fois pour les environnements physiques et virtuels, mais étant capable de s’adapter à l’environnement sur lequel elle est déployée, et ce pour éviter trois inconvénients majeurs :

  • L'augmentation des coûts généraux : l'installation d'une solution pour endpoint sur plusieurs machines virtuelles hébergées sur le même serveur impacte les ressources en exécutant en permanence des applications redondantes telles que les agents de sécurité.

 

  • La réduction significative des performances : celle-ci sera inévitable si des outils de sécurité pour environnements virtualisés ne sont pas déployés. En effet ceux-ci utilisent des agents optimisés intégrés à des appliances virtuelles de sécurité sur le ou les serveurs, pour que les fichiers déjà analysés ne soient pas réanalysés à chaque fois qu'un utilisateur en a besoin.

 

  • - L’absence de protection lors du démarrage : les environnements virtuels ont souvent à faire face à des cyberarmes plus sophistiquées que celles observées pour les environnements physiques, telles que les menaces persistantes avancées ou les attaques ciblées, qui visent aussi bien les entreprises que les entités gouvernementales (exemple APT-28, et plus récemment Netrepser). En la matière, une sécurité adaptée aux environnements virtuels est de loin la solution la plus efficace pour détecter et combattre ces menaces complexes.

Ce qui est stocké dans le cloud public ne doit pas être rendu public

Les entreprises françaises sauvegardent principalement dans le cloud public des informations relatives à leurs produits (52 %), à leurs clients (44 %) et à leurs finances (45 %) et évitent de sauvegarder hors site ce qu'elles considèrent comme des données plus sensibles, telles que les recherches sur de nouveaux produits ou la concurrence (respectivement 40 % et 32 %) ou ce qui touche à la propriété intellectuelle (17 %). Elles chiffrent donc plus souvent des informations et caractéristiques de produits (36 %), des informations sur leurs clients (29 %), des informations financières (35 %) que leurs sauvegardes (17 %), leurs recherches sur la concurrence (17 %) et les informations relatives à la propriété intellectuelle (12 %).

« Le risque de ne pas être conforme à la RGPD implique non seulement une mauvaise publicité et une atteinte à la réputation des entreprises, comme c'est déjà le cas, mais également des pénalités qui peuvent atteindre 4 % du chiffre d'affaires annuel d'une entreprise », explique Bogdan Botezatu, Analyste senior des e-menaces chez Bitdefender. « 2017 ayant déjà établi de nouveaux records en termes de magnitude des cyberattaques, les comités de direction doivent réaliser que leur entreprise connaitra sans doute, sous peu, une violation de données, car la plupart d'entre elles ne sont pas correctement protégées. »

Lors de la sélection d'une solution de cloud hybride, les spécialistes Bitdefender recommandent aux entreprises d'analyser le type de données qu'elles traitent et d'en évaluer le caractère sensible – aussi bien pour l'entreprise que pour ses clients. Les données critiques, personnelles et privées touchant à la propriété intellectuelle doivent être enregistrées sur site, et n'être accessibles qu'au personnel autorisé.

Les entreprises qui traitent des données sensibles ou confidentielles, ou des données relatives à la propriété intellectuelle, doivent veiller à ce que leur infrastructure de cloud privé reste privée. Aucune personne hors du réseau local ne devrait être en mesure d'accéder à ces données et seul le personnel autorisé doit avoir les accès nécessaires pour les traiter. Le cloud privé doit être complètement isolé de l'Internet public pour empêcher les pirates d'accéder à distance, aux données via des vulnérabilités.

En ce qui concerne les défis à relever, 32 % des RSSI français considèrent le cloud public comme leur principale priorité, un pourcentage quasiment identique au pourcentage de RSSI préoccupés par le cloud privé (34 %). 16% déclarent accorder une même importance aux deux, et 15 % estiment que le cloud hybride est leur principale source d'inquiétude.

La moitié des entreprises interrogées considère le manque de prédictibilité, le manque de visibilité sur les menaces, ainsi que le manque de plateformes de sécurité multi-environnements, comme étant les principaux défis de sécurité en ce qui concerne l'adoption du cloud.

 

 

Méthodologie

L'enquête a été menée auprès de 1 051 professionnels en informatique de grandes entreprises comptant plus de 1 000 PC et des datacenters ; aux États-Unis, au Royaume-Uni, en France, en Italie, en Suède, au Danemark et en Allemagne.

BONUS: 

Infographie-Bit-Defender-Oct-2017

@DPO_News @cyberisques Etude #netskope: services cloud pas encore GDPR compliance ?

Communication Corporate: NetSkope                     Los Altos, US, 26 septembre 2017  

 

 

Le rapport de Netskope révèle que la majeure partie des

services cloud ne sont pas encore prêts pour la GDPR

 

 

Bien que l’échéance de mai 2018 se rapproche, l’étude trimestrielle de Netskope sur les services destinés aux entreprises n’observe guère d’évolution dans l’état de préparation à la future réglementation européenne sur la protection des données

 

 Netskopenuméro un dans le domaine du cloud sécurisé,publie l’édition de septembre 2017 de son étude Netskope Cloud Report* sur l’utilisation et les tendances des services cloud destinés aux entreprises. Alors que l’échéance de mai 2018 pour la mise en conformité avec le Règlement général européen sur la protection des données (RGPD) se rapproche à grands pas, le rapport de ce trimestre examine de près l’état de préparation à cette nouvelle réglementation parmi les services cloud d’entreprise et n’observe guère d’évolution à ce sujet en comparaison des trimestres précédents. Près de trois quarts des services cloud manquent en effet toujours de compétences essentielles pour assurer leur conformité.

Les données semblent indiquer une normalisation de l’adoption du cloud dans l’entreprise

Dans cette étude, Netskope constate une légère baisse du nombre moyen de services cloud en usage dans chaque entreprise, signe d’une possible normalisation en la matière et d’une tendance à dissuader les utilisateurs de recourir à des applications non approuvées par l’informatique (Shadow IT/Shadow Data). Une entreprise a ainsi déployé en moyenne 1022 services cloud, contre 1053 au trimestre précédent. Parmi ces services, seuls 24,6 % ont vu leur degré de préparation au GDPR jugé « élevé », en fonction de critères tels que le lieu de stockage des données, leur niveau de cryptage ou encore les spécificités de l’accord relatif à leur traitement.

 

Etude-2017-Cloud-GDPR

 

 

Le paysage des menaces continue d’évoluer, avec l’apparition de malwares liés au bitcoin

En étudiant les menaces qui pèsent sur la sécurité des données des entreprises au quotidien, l’équipe Netskope Threat Research Labs a découvert que les portes dérobées dans les logiciels (backdoors) constituent le danger le plus fréquent dans les environnements d’entreprise, représentant 27,4 % de toutes les détections, suivi des ransomwares (8,6 %), des adwares (8,1 %), des scripts JavaScript (7,2 %), des malwares Mac (7,2 %), des macros Microsoft Office (5,9 %) et des exploitations de failles PDF (2,7 %).

Le rapport de ce trimestre s’intéresse également pour la première fois aux malwares liés au bitcoin ou autres cryptomonnaies, lesquels représentent 0,9 % de l’ensemble des menaces et sont, pour bon nombre d’entre eux, hébergés dans des environnements IaaS, par exemple Amazon Web Services. En outre, la proportion des menaces « très sérieuses » atteint 86,9 %, contre 69 % au cours du trimestre précédent, tandis que 23,8 % des fichiers infectés par des malwares ont été partagés avec d’autres utilisateurs, internes ou externes à l’entreprise, diffusés publiquement.

Les applications collaboratives ne montrent aucun signe de ralentissement

Alors que la moitié des 20 premiers services cloud de la liste portent sur le stockage ou le travail collaboratif, les entreprises doivent rester attentives aux données reçues ou transmises par ces services. De nombreux services cloud de stockage ou de travail collaboratif se connectent à d’autres services (par exemple Salesforce ou DocuSign), or un programme complet de sécurisation du cloud doit prendre en compte la mise en place de contrôles en matière de communication et de traitement entre services cloud.

« L’adoption du cloud est inévitable et offre un intérêt énorme pour les entreprises, quel que soit leur implantation géographique et leur secteur d’activité. Elle suscite également une série de nouveaux défis complexes pour la sécurité au sein de l’entreprise, notamment avec des réglementations telles que la RGPD », commente Sanjay Beri, CEO et fondateur de Netskope. « A l’approche de l’échéance pour la mise en conformité, une visibilité complète et un contrôle en temps réel de l’usage du cloud et des activités qui y sont menées, au moyen d’une solution centralisée et homogène englobant tous les services cloud, sont d’une importance capitale pour permettre aux entreprises de déterminer comment elles exploitent et protègent les données personnelles de leurs clients et, en conséquence, si elles satisfont aux obligations de la RGPD. »

Nombre moyen de services cloud par entreprise et par catégorie

Ce trimestre, le nombre moyen de services cloud par entreprise a reculé de 2,9 %, s’élevant à 1022 contre 1053 au trimestre précédent. Pour le deuxième trimestre consécutif, le secteur industriel présente la moyenne la plus élevée (1370), talonné par le secteur de la santé et des biosciences (1340). Les services financiers, la banque et l’assurance arrivent au troisième rang (1175), suivis de la distribution, la restauration et l’hôtellerie (976). Les services technologiques et informatiques ont vu leur nombre chuter à 772 ce trimestre.

En ce qui concerne les différentes catégories de services cloud, celle des ressources humaines (RH) est la plus répandue, ainsi que la plus susceptible de receler des données sensibles et personnelles visées par la RGPD. Les applications de travail collaboratif ont fait un bond : leur nombre moyen par entreprise atteint aujourd’hui 85, contre 71 au dernier trimestre. Par contre, la moyenne des applications de productivité en usage a pour sa part baissée, signe d’une évolution dans les méthodes de travail dans les entreprises, qui privilégient désormais le travail collaboratif et la communication par rapport aux outils traditionnels de suivi de la productivité.

 

 

Catégorie de services cloud

Nombre moyen de services

% non conformes

RH

109

95 %

Marketing

102

98 %

Travail collaboratif

85

84 %

Finance/comptabilité

59

94 %

CRM

50

93 %

Développement de logiciels

32

75 %

Productivité

33

75 %

Réseaux sociaux

24

89 %

Stockage dans le cloud

24

67 %

Services informatiques / Gestion d’applications

22

96 %

 

 

BONUS: 

●     Téléchargez l’étude Netskope Cloud Report pour une analyse plus détaillée et une liste complète des services cloud les plus utilisés par les entreprises.

 

 

Méthodologie de l’étude Netskope Cloud Report*

Les résultats de l’étude reposent sur les données anonymisées et agrégées de Netskope Active Platform, qui assure l’identification avancée, la visibilité et le contrôle granulaire, ainsi que la prévention de perte de données (DLP) pour tout type de service cloud. Cette étude a été réalisée du 1er avril au 30 juin 2017 sur des millions d’utilisateurs de centaines de comptes Netskope Active Platform au niveau mondial.

 

Netskope: Netskope est le leader de la sécurité du Cloud. S’appuyant sur une technologie brevetée, sa plateforme de sécurité cloud assure une gouvernance en contexte de tous les usages du cloud dans l’entreprise en temps réel, que l’accès s’effectue sur le réseau d’entreprise, via une connexion à distance ou sur un mobile. Les professionnels de la sécurité peuvent ainsi déterminer les activités risquées, protéger les données sensibles, bloquer les cybermenaces et répondre aux incidents en adéquation avec les méthodes de travail modernes. Grâce à des règles granulaires de sécurité, aux capacités les plus avancées de prévention de perte de données (DLP) dans le cloud et à un éventail de workflows sans équivalent, Netskope s’est acquis la confiance des plus grandes entreprises mondiales en faisant évoluer la sécurité. Pour en savoir plus, consultez notre site Web.

 

 

 

RGPD et textes nationaux: vers trop de spécificités nationales ?

Opinion : Bruno Rasle  délégué général AFCDP*                       13 septembre 2017

 

 

RGPD et textes nationaux: vers trop de spécificités nationales ?

 

 

L'Europe avait opté pour un Règlement afin d'éviter des différences entre les Etats membres (comme cela avait été constaté à l’occasion de la directive de 1995). Mais, au final, ne risquons-nous pas de nous retrouver à nouveau avec des spécificités nationales ?

Bien qu’un règlement européen soit d’application directe, certains Etats membres se préparent à le compléter d’un texte national**.

  

Espagne :

L'Espagne va modifier sa loi pour accompagner le RGPD. Le texte apporte plusieurs précisions, dont certaines relatives au DPO.

Il précise les catégories de responsables de traitement qui doivent désigner un Délégué à la protection des données (centres d'enseignement, fournisseurs de services de la société de l'information, établissements de crédits financiers, compagnies d'assurance, entités qui développent des activités de publicité et de prospection commerciale, centres de santé, etc.) - voir l'article 35 du projet de loi.

Il indique que les responsables de sous-traitants peuvent désigner un DPO volontairement en se plaçant  sous le régime décrit.

Enfin elle dispose que les responsables de traitement doivent notifier à l'autorité de contrôle les fins de désignation ou de mission de leur DPO, et que l'autorité de contrôle publie la liste des DPO sous une forme accessible par voie électronique.

D'autres précisions notables concernent la gestion des demandes de droit d'accès (en précisant, par exemple, la notion de demandes répétitives), de rectification (la personne concernée doit indiquer les corrections à apporter et fournir, le cas échéant, la documentation justifiant l'inexactitude), le droit à la limitation (en décrivant la portée du "blocage" des données), la réalisation des analyses d'impact (en détaillant les cas où celle-ci doit être réalisée).

 

Luxembourg :

Le ministère de la Justice luxembourgeois a déposé le projet de loi relatif à la protection des personnes physiques à l'égard des données personnelles. On y relève, entre autres, les points suivants :

a) La création du droit d'accès direct ;

b) La création d'une seconde autorité de contrôle (Aux côtés de la Commission nationale pour la protection des données (CNPD), cette nouvelle entité veillera à la bonne application de la loi et en particulier des opérations de traitement de données à caractère personnel effectuées par les juridictions de l’ordre judiciaire, y compris le ministère public, et de l’ordre administratif dans l’exercice de leurs fonctions juridictionnelles) ;

c) Un article spécifique dédié à la "Journalisation" (traçabilité et exploitation de celle-ci). Les responsables de traitement auraient jusqu'en mai 2023 pour se mettre en conformité avec cette disposition spécifique, voire jusqu'en mai 2026 (attention, la journalisation est une obligation prévue par la directive (UE) 2016/680 qui concerne les traitements dits « régaliens » de police et de justice).

 

Allemagne :

Les Allemands, de leur côté, ont ajouté des précisions suivantes dans leur texte national, en complément du RGPD :

- Pour les DPO du secteur public, le retrait de la désignation par le responsable de traitement ne peut intervenir qu'au titre de la section 626 du Code civil. Il ne peut être mis fin aux missions du DPO sans préavis que pour des faits qui donne une raison dûment justifiée. Après la fin de sa mission de DPO, la personne qui a tenu ce rôle ne peut pas être licenciée dans l'année qui suit, sauf si l'organisme dispose d'une raison dûment justifiée.

- Les entreprises du secteur privé - indépendamment du nombre de leurs salariés - ont l'obligation de désigner un DPO dès qu'elles emploient au moins dix personnes en charge du traitement des données personnelles. De plus sont soumis à la même obligation les entreprises (dont les sous-traitants) qui sont dans l'obligation de réaliser des analyses d'impact et les entreprises qui réalisent des études de marché ou des enquêtes d'opinion et les

On trouve également dans ce texte des précisions intéressantes concernant la gestion des demandes de droit d'accès (sections 34 et 59), la sécurité (section 64) ou les distinctions qui peuvent être faites entre différents types de personnes concernées (section 72).

 

France :

Du côté de la France, un texte national est nécessaire pour trois raisons : a) pour préciser les points qui sont dans les « marges de manœuvre » nationales prévues par le RGPD (comme, par exemple, le régime de traitement du numéro de sécurité sociale) ; b) pour intégrer des spécificités nationales issues de la loi pour une République numérique ; c) pour apporter des précisions sur des points non traités par le RGDP, comme les pouvoirs de la CNIL ou le traitement des données de santé.

L’AFCDP a été auditionnée avant l’été par le Ministère de la justice pour faire entendre la voix des DPO français.

Nous y proposions que le texte intègre des précisions (par exemple pour éviter un texte qui aboutirait à une sclérose de la profession de Délégué à la protection des données aux seuls juristes et obtenir une définition des « autorités publiques » qui ne peuvent pas fonder leurs traitements sur l’intérêt légitime au titre du 1.f) de l’article 6 du RGPD et une définition de la notion de « coûts administratifs » utilisée dans l’article 12.5.a du RGPD), des clarifications (par exemple sur le fait qu’il est possible de désigner une personne morale comme Délégué à la protection des données, le fait que le nom du Délégué à la protection des données ne doit pas obligatoirement être rendu public ou le fait que la Tokenisation peut également permettre une exception à la communication aux personnes concernées),

Nous avons également demandé que, pour les quelques demandes d’autorisation auprès de la CNIL qui vont perdurer, soit appliqué le régime utilisé actuellement pour le traitement des demandes d’avis (silence de deux mois après réception du dossier complet vaut accord).

L'Europe avait opté pour un Règlement afin d'éviter des différences entre les Etats membres (comme cela avait été constaté à l’occasion de la directive de 1995). Mais, au final, ne risquons-nous pas de nous retrouver à nouveau avec des spécificités nationales ?

 

CNIL : moins de demandes d'autorisation avec le RGPD

Le RGPD va considérablement réduire les cas où la CNIL aura à examiner des demandes d’autorisation et à se prononcer. L’actuel régime (silence de deux mois après réception du dossier complet vaut refus) se traduit dans les faits, pour les organismes qui déposent les demandes, par un manque de visibilité et de prédictibilité qui les pénalisent, notamment quand on compare cette procédure avec celle qui régit le traitement des demandes d’avis (silence de deux mois après réception du dossier complet vaut accord).

Compte-tenu du nombre moindre de demandes d’autorisation que la CNIL aura à gérer, et par équité entre les différentes catégories de responsables de traitement, l’AFCDP demande à ce que la règle « silence de deux mois après réception du dossier complet vaut accord » s’applique également aux demandes d’autorisation.

Concernant le calendrier, nous croyons savoir que le texte est parti en interministeriel et qu’il se compose d’un projet de loi (qui viendrait en discussion au Parlement en décembre, en procédure accélérée) et d’une ordonnance. A ce stade, nous ne savons pas quelle est la répartition (quelles sont les dispositions qui figurent dans chaque texte) et nous tenons prêts à les analyser et à faire part de nos réactions.

La Présidente de la CNIL, s’est dite inquiète de ce calendrier. Même avec la procédure accélérée, elle craint que cela ne laisse aucune marge de manœuvre pour éventuellement revoir certains points (le tout devant être terminé pour le 24 mai 2018).

* AFCDP: Association Française des Correspondants à la protection des Données à caractère Personnel.  l'AFCDP – au travers de CEDPO – a été désignée comme expert auprès de la Commission Européenne. L'AFCDP – qui a déjà contribué au travers de CEDPO aux lignes directrices du G29 sur le DPO et sur les analyses de risques – dans le cadre du FabLab se réjouit de cette nouvelle opportunité d’apporter sa contribution et de faire entendre au plus haut niveau la voix des CIL et des DPO.

 

BONUS: 

** http://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A32016R0679

http://www.cyberisques.com/mots-cles-20/685-dpo-news-gdpr-rgpd-guide-pratique-comment-documenter-la-conformite

http://cyberisques.com/mots-cles-5/83-categorie-3/687-guide-pratique-rgpd-gdpr-dpo-news-fiche-2-quels-sont-les-chantiers-prioritaires-des-dpo

http://www.afcdp.net/

 

C5amMvcWQAAp7jG GF GF GF

@DPO_News @cyberisques Commissaires aux comptes, CRCC de Paris* RGPD et nouveaux métiers: "Nous pensons à la fonction de commissaire aux données et aux algorithmes"

Rencontre : @DPO_NEWS Serge Yablonsky et Frédéric Burband, Commissaires aux comptes, CRCC de Paris*

 

 

 

 

RGPD et nouveaux métiers: "Nous pensons à la fonction de commissaire aux données et aux algorithmes"

 

 

 

Cyberisques : Entrons tout de suite dans le vif du sujet :pourquoi les Commissaires aux comptes s’alignent sur la ligne de départ des futurs prestataires de services DPO externalisés ?

Serge Yablonsky et Frédéric Burband : Les commissaires aux comptes disposent d'une filiation directe avec les problématiques réglementaires et notamment le RGPD. Pourquoi ? Par culture nous certifions les comptes des entreprises de toutes tailles, ce qui suppose de connaître leur environnement réglementaire. Dans le cadre de notre mission nous devons signaler par obligation aux actionnaires notamment, les fraudes et manquements à toute sorte de « conformité ».

 

 

Mais la fonction de DPO suppose des connaissances transversales dans l'organisationnel, le juridique et les solutions techniques pour veiller auprès des responsables de traitement à la conformité RGPD. Ces connaissances multiples sont également celles propres des commissaires aux comptes ?

Pas toutes mais bon nombre d'entre nous intègrent les SI dans l'audit des comptes ce qui nous permet de vérifier la conformité réglementaire RGPD. Nous pouvons recruter les profils nécessaires. Surtout nous apportons notre neutralité et nos engagements en responsabilité civile et pénale. Si nous manquons d'indépendance nous risquons des sanctions.

 

 

Que répondez vous a vos détracteurs qui estiment qu'il est compliqué de rester indépendant lorsque votre « business » dépend des clients audités ? L'éternel problème juge et partie...

Précisément, nous nous devons à notre indépendance et c’est un avantage. Un cabinet de commissaires aux comptes qui manque a son indépendance est sanctionné. C’est aujourd’hui la profession la plus réglementée en matière d’indépendance. La durée irrévocable de 6 ans constitue un avantage en matière d’indépendance (pas de pression au renouvellement annuel). Par exemple, nous devons choisir entre réaliser chez un client une missions d'audit légal (commissariat aux comptes) ou une mission de conseil. Les deux sont impossibles pour un même cabinet.

 

 

Pensez vous recruter en interne au sein de vos cabinets les profils nécessaires aux compétences organisationnelles et techniques que demandent les services DPO externalisés ?

Oui pour Nous c'est indispensable bien que ces compétences s'avèrent difficiles a trouver. Il faut aussi préciser la nature du rôle des DPO. Ce qui suppose vraisemblablement de créer de nouveaux métiers autour de la data. Nous pensons à la fonction de commissaire aux données et aux algorithmes.

 

 

De quoi s'agit il au juste ? Un super DPO ?

Pas forcément. Mais d'ici la fin de l'année, en accord avec la CNIL, une annonce allant dans ce sens pourrait être faite, , , la CNCC Compagnie Nationale des Commissaires aux comptes

pourrait effectuer une annonce allant dans ce sens.

D'ici la fin de l'année çà correspond aussi au texte « d'adaptation » que le gouvernement doit publier pour préciser les modalités et les conséquences liées au RGPD...

Absolument. Vous savez qu'un règlement européen – et non une directive – s'applique tel quel dans tous les pays membres et « efface » les lois nationales. Que va t-il rester des lois Informatiques et Liberté par exemple mais aussi comment vont évoluer les réglementations propres aux données privées traitées par les algorithmes des IoT ?

Un dernier point qui touche à la mise en application de manière opérationnelle du RGPD : plus de 40% des données circulant au sein des organisations européennes sont considérées comme appartenant au « shadow IT » et échappent au contrôle des directions IT. Comment doit-on procéder pour faire appliquer le RGPD dans ces conditions ? Idem pour les données chiffrées ?

Nous n'avons pas encore de réponses précises mais c'est un des nombreux points qui restent sans réponses.

 

 

Propos recueillis par @jpbichard

@DPO_NEW @cyberisques

http://www.cyberisques.com/

 

 

BONUS :

 

POURQUOI UN GROUPE DE TRAVAIL SUR L’AUDIT INFORMATIQUE* ?

Notre objectif est d’expliquer, de sensibiliser et de convaincre nos confrères que l’utilisation d’outils de data mining (ou analyses de données) dans le cadre de leur mission est un gage d’excellence pour notre profession, de sécurisation de leur mission et une réponse efficace aux besoins des entreprises que nous accompagnons.
Par ailleurs, il est également nécessaire de les sensibiliser au fait que la digitalisation des processus de l’entreprise est source de risques de perte de continuité d’activité ou encore de perte d’intégrité des données si celles-ci ne sont pas suffisamment sécurisées : soit parce que les accès aux systèmes sont trop étendus, soit parce que les programmes informatiques peuvent être modifiés sans contrôle en amont. La transition numérique actuelle lancée par les pouvoirs publics (FEC, DSN, facture électronique, Chorus…) n’est donc pas un obstacle, mais bien l’opportunité pour les professionnels que nous sommes, de donner du poids à nos contrôles.

 

 

* http://www.crcc-paris.fr/sites/default/files/fichier/telechargement/guide_audit_def_11h46.pdf

 

http://www.actuel-expert-comptable.fr/content/le-cac-doit-se-reapproprier-levaluation-du-risque-informatique

 

 

#GDPR #RGPD : une nouvelle réflexion sur la valeur de la donnée à caractère personnel

#GDPR #RGPD : une nouvelle réflexion sur la valeur de la donnée à caractère personnel

 

 

A moins de 10 mois de l'entrée en vigueur de GDPR (Règlement Général sur la Protection des Données – RGPD) plusieurs études et rapports sont publiés. Nous rassemblons ici quelques idées et suggestions que certaines de ces publications (étude d'IDC _ Juniper prochainement disponible) soulignent.

C'est peu évoqué, mais le RGPD dans son étét actuel n'est pas achevé (texte des pays membres pour adaptation du RGPD aux cadres nationaux en attente) et à Bruxelles de nombreux amendements sont en preparation (cf section BONUS en fin d'article).

De toute évidence, le rôle stratégique de la protection des données à caractère personnel intéresse. A commencer par le Président de la République, Emmanuel Macron qui a « ouvert le bal » à l'occasion de son discours au salon Vivatech la semaine dernière à Paris.

 

 

Lire aussi :

GDPR et gouvernance des données : http://bit.ly/2rZl3rE

GDPR et maturité des dirigeants : http://bit.ly/2rz9lBq

GDPR et nomination d'un DPO : http://bit.ly/2sOzgpd

 

 

1 - Emmanuel Macron, Président de la République : « générer l'adhésion »

« Il faut à la fois redonner des libertés de faire, de tenter, parfois d’échouer tout en créant de nouvelles protections qui soient adaptées au nouveau monde numérique, notamment en matière de protection des données personnelles ou de cybersécurité, afin de générer l’adhésion collective nécessaire. »

Source : http://www.elysee.fr/declarations/article/discours-du-president-de-la-republique-salon-vivatech/

 

Emmanuel-Macron-Juin-2017-Cyberisques-News

 

 

 

2 - CIGREF* : « la valeur stratégique de la donnée à caractère personnel »

 

« En prenant en compte les enjeux de la protection des données personnelles le plus en amont possible, concilier innovation et vie privée devient une démarche non seulement plus responsable mais aussi plus rentable. En étant conforme by design, on parie pour une innovation durable, et cela constitue in fine une réelle valeur ajoutée.

Certaines innovations d’usage créent également une nouvelle valeur stratégique : le Self Data ou le VRM (Vendor Relationship management) par exemple dessinent un nouveau paradigme économique autour des données personnelles dont certaines entreprises pourront être les pionnières : celui d’une économie symétrique, où les consommateurs/clients bénéficieront d’une valeur d’usage de leurs données, et deviendront de véritables co-créateurs de valeur. »

Source* : http://www.cigref.fr/rapport-cigref-economie-des-donnees-personnelles

 

 

3 - IDC : Karim Bahloul co-auteur d'une enquête prochainement publiée sur le GDPR (sponsor Juniper)

 

 

Quelles conclusions tirez-vous de l'enquête réalisée auprès de 150 entreprises françaises de plus de 500 salariés ?

Tout d'abord en termes de méthodologie, nous avons chez IDC souhaité obtenir des « Résultats redressés « . Autrement dit, dans un souci de représentativité nous avons travaillé via une ventilation publiées par l'INSEE en réaffectant les résultats de l'enquete pour pondérer les résultats avec une représentation proportionnelles. Coté résultat récoltés aupres des tentreprises interrogées, 9 % se disent en conformité avec le GDPR. 38% des structures disent avoir nommé un DPO (interne ou externe) soit le CIL qui évolue vers la fonction DPO ou le RSSI qui prend le lead. Je constate parfois un écart entre ce que dit le règlement pour la nomination d'un DPO et la réalité du terrain. Ainsi, 82% des grands comptes veulent un DPO en interne.

La conformité GDPR avec des données « compliance in design » constitue t-elle aux yeux des décideurs un avantage concurrentiel ?

Oui c'est même critique s'ils ne sont pas compliance comme les hébergeurs Cloud d'ailleurs. Du cote des offreurs de services d'hébergement, le reglement modifie un écosysteme en leur demandant une « certification » GDPR. Coté entreprises, le GDPR pour 58% représente un atout avec notamment une meilleure image aupres de des clients.

 

 

4 - Marc Rispoli (Juniper) : « Les outils GDPR sur étagère n'existent pas »

 

En tant que sponsor de l'enquête réalisée par IDC, quelles sont vos premières impressions à la lecture des résultats (cf voir en fin d'article) Avez vous par exemple perçu une différence entre volume de données à caratères personnel traité et tailles des organisations, sachant que certaines start up manipulent des volumes considérables de données de ce type ?

« Certaines entreprises bien que appartenant à la catégorie Grands Comptes manipulent très peu de données personnelles. En revanche et vous avez raison, certaines start-up ne concentrent leur expertise et leurs services que via l'exploitation de données à caractère personnel.

Disposez vous d'outils spécifiques que l'on pourrait qualifier de « compliance » GDPR ?

Les outils GDPR sur étagère n'existent pas. Dans le cas de développement de nouveaux process de type « privacy by design » par exemple c'est envisageable que certaines solutions « GDPR » existent sur le marché. En revanche, pour la mise a niveau de l'existant pour répondre aux exigences du GDPR, les solutions demeurent plus « personnalisables ».

Les COMEX et autres directions et secrétariats généraux prennent-ils conscience de l'aspect stratégique et légal du GDPR ?

Oui. L'implication financière avec les pénalisations prévues font que 49% des entreprises rencontrées déclarent leur DG impliquée. Le GDPR est un réel levier pour les RSSI qui pensent que les DG vont êtres davantage a l écoute. En outre, la Cyberassurance pourrait trouver là un levier avec le GDPR et les risques qui y sont associés. 

 

 

5 - Imperva* : Quelle responsabilité impose le GDPR aux entreprises avec leurs sous-traitants ?

 

 

« Si vous êtes un responsable du traitement des données et que vous faites appel à des sous-traitants, vous devez prendre des mesures pour vous assurer que vos sous-traitants protégeront les données dont vous êtes responsable conformément à vos règles relatives au GDPR. Pour faire face à cette exigence essentielle, il est préférable d'associer des contrats préparés par votre équipe juridique et une technologie capable de limiter le mouvement des données. C'est particulièrement important si les données risquent d'être transférées à (ou consultées par) des personnes qui se trouvent en dehors de l'Union européenne ou d'un pays reconnu par l'Union européenne comme disposant de mesures de protection des données adéquates, tels qu'Israël, la Suisse, l'Argentine et la Nouvelle-Zélande. La liste complète des pays ayant mis en place des mesures de protection des données adéquates a été publiée par l'Union européenne ici. Même une session de bureau à distance via VPN enfreint les exigences en matière de transfert de données si la personne qui consulte les données se trouve en dehors de l'Union européenne ou d'un pays considéré comme disposant de mesures de protection des données adéquates. Vous devrez mettre en place des contrôles juridiques et techniques pour surveiller et contrôler l'accès à vos données. »

*Source Imperva : http://bit.ly/2rQCPtM

 

 

6 - RSSI : un peu débordés...

 

Selon la dernière enquête (20 juin 2017) menée par ServiceNow® auprès de 300 responsables de la sécurité des systèmes d'information (RSSI — Chief Information Security Officer, CISO) du monde entier souligne la nécessité d'adopter une nouvelle approche pour répondre à l'augmentation du nombre de menaces qui pèsent sur la sécurité des données, ainsi qu'à la hausse de leur coût. Selon cette étude intitulée « The Global RSSI Study: How Leading Organizations Respond to Security Threats and Keep Data Safe », 90 % des RSSI français indiquent que les failles de données détectées ne sont pas traitées (80 % au niveau mondial) et 68 % déclarent pour leur part éprouver des difficultés à hiérarchiser les menaces en fonction du risque qu'elles représentent pour l'entreprise.

Ces lacunes ont un coût : 14 % des RSSI français (13 % au plan mondial) déclarent avoir vécu au cours des trois dernières années une importante faille de sécurité ayant eu un impact important sur l'image ou les finances de leur entreprise. Les processus manuels, le manque de ressources et de talents, ainsi que l'impossibilité de hiérarchiser les menaces grèvent l'efficacité de la réponse aux incidents de sécurité. Résultat, les RSSI augmentent l'automatisation des tâches de sécurité pour répondre et remédier aux failles de sécurité avec une plus grande efficacité.

« En France, les RSSI consacrent de plus en plus de temps à prévenir et détecter des failles de sécurité, mais notre étude souligne que c'est sur la réponse à apporter qu'ils devraient se concentrer », a déclaré Matthieu de Montvallon, Directeur Technique de ServiceNow France. « L'automatisation et l'orchestration de la réponse aux incidents de sécurité constituent le chaînon manquant qui empêche les RSSI d'accroitre de façon significative l'efficacité de leurs programmes de sécurité ».

Principales conclusions de l'étude menée en France :

·        seulement 18 % des RSSI interrogés considèrent que leur entreprise lutte très efficacement contre les failles de sécurité (19 % à l'échelle mondiale) ;

·        ce sont les clients qui souffrent le plus de ces lacunes : seulement 38 % des RSSI — en France et dans le monde — pensent protéger les données de leurs clients de façon très efficace contre les failles de sécurité ;

·        environ un cinquième des RSSI français (22 %) déclare que les processus manuels entravent la capacité de leur entreprise à détecter des failles de sécurité et à y faire face ; 26 % d'entre eux imputent cette difficulté au manque de ressources ;

·        seulement 4 % des RSSI français estiment que leurs employés disposent des compétences nécessaires pour hiérarchiser avec succès les menaces qui pèsent sur la sécurité, contre 7 % au plan mondial.

Au sein du panel couvert par cette enquête, un petit groupe (11 % à l'échelle mondiale et 14 % en France) de « leaders dans la lutte contre les incidents de sécurité » affiche une tendance différente en ce sens où ils souhaitent :

·        automatiser un pourcentage supérieur d'activités de sécurité, en incluant des tâches plus avancées telles que les rapports de tendances ;

·        hiérarchiser les réponses aux alertes de sécurité en fonction du niveau de risque pour l'entreprise ;

·        et nouer des relations plus étroites avec la DSI et autres services de l'entreprise.

Ressources complémentaires :

·        Télécharger le Global Research Report

·        Étude de cas sur la Freedom Security Alliance

 

 

BONUS :

GDPR / RGPD à Bruxelles:  

 

Proposition de

 

RÈGLEMENT DU PARLEMENT EUROPÉEN ET DU CONSEIL

 

concernant le respect de la vie privée et la protection des données à caractère personnel dans les communications électroniques et abrogeant la directive 2002/58/CE (règlement «vie privée et communications électroniques»)

Consulter: http://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX:52017PC0010

 

 

-----------------------

 

1 - Extraits : Livre Blanc Infrastructures, Cloud, sécurité et gestion des données : les entreprises françaises face au GDPR Source: IDC, 2017

« Le GDPR (ou RGPD) concerne toutes les entreprises européennes ou non, qui détiennent des données portant sur des citoyens européens. Les entreprises doivent se mettre en conformité avant le 25 mai 2018 pour répondre aux nouvelles exigences en

A première vue, les entreprises françaises sont loin d'être prêtes : seules 9% d'entre elles se disent aujourd'hui conformes aux dispositions du GDPR.

Elles sont par ailleurs 19% à planifier les initiatives à mettre en place pour être conforme avant la fin 2017 tandis que 30% ont prévu les actions nécessaires pour une mise en conformité courant 2018. En définitive, près d'1 entreprise sur 2 (42%) prend tout juste conscience de l'existence du GDPR et du calendrier associé sans avoir véritablement commencé à lancer des initiatives. Ce phénomène est encore plus important au sein des PME (entreprises disposant de 500 à 1 000 collaborateurs) et des entreprises du secteur privé qui sont respectivement 47% et 46% à "découvrir" les dispositions prévues par le GDPR.

Le chantier qui permettra aux entreprises d'être conformes aux prérogatives du règlement européen est dense. Mais dans la réalité, presqu'aucune entreprise ne part véritablement de zéro. Toutes ont déjà lancé des chantiers qui répondent aux exigences du GDPR sans pour autant les avoir systématiquement initiés dans ce but. Les chantiers les moins avancés et ceux pour lesquels les entreprises interrogées témoignent de réelles difficultés sont plus particulièrement liés à la gouvernance d'une initiative GDPR (mise en place d'un conseil de surveillance et d'une équipe en charge des risques et de la conformité).

L'audit, point de départ d'une mise en conformité GDPR

La difficulté à faire le lien entre les exigences du GDPR, les initiatives déjà lancées et le trajet restant à parcourir est surtout liée au fait que peu d'entreprises ont aujourd'hui pleinement conscience de leur point de départ. Moins d'1 entreprise sur 4 a procédé à un audit interne global destiné à évaluer leur position actuelle et leurs besoins pour se mettre effectivement en conformité. Les entreprises du secteur privé sont les plus matures : les deux tiers d'entre elles ont déjà réalisé un audit (31%) ou projettent de le faire dans les prochains mois (35%) afin de déterminer leur feuille de route. A l'inverse, moins d'1 structure publique sur 2 (49%) s'inscrit dans une telle démarche : 17% ont déjà réalisé cet audit tandis que 34% le projettent dans les prochains mois.

Faut-il continuer à utiliser les services Cloud face aux impératifs réglementaires du GDPR ?

Les données personnelles (portant sur les collaborateurs, les clients ou les partenaires) hébergées ou utilisées par les services Cloud sontelles pleinement protégées ? Qui est responsable en cas de défaillance du partenaire Cloud ? Autant de questions que se posent aujourd'hui les entreprises.

L'article 22 du règlement européen précise que " tout traitement de données à caractère personnel qui a lieu dans le cadre des activités d'un établissement d'un responsable du traitement ("controller") ou d'un sous - traitant ("processor") sur le territoire de l'Union devrait être effectué conformément au présent règlement, que le traitement lui - même ait lieu ou non dans l'Union ".

L'enquête menée par IDC montre que les structures interrogées ne prévoient pas de faire machine arrière concernant leur recours aux services Cloud : elles vont continuer à utiliser les services de Cloud public ou de Cloud privé hébergé. Pour la moitié d'entre elles, elles vont conserver leurs partenaires actuels et les modèles de Cloud qu'elles utilisent aujourd'hui. Pour l'autre moitié (51%), il est nécessaire d'adapter leur stratégie Cloud (sans pour autant la freiner) aux enjeux et aux risques que représente le GDPR. Les organisations les plus matures (celles ayant déjà engagé des initiatives GDPR) sont d'ailleurs plus régulièrement convaincues qu'elles doivent faire évoluer leur stratégie Cloud (60%, contre 44% pour les moins matures).

Les impacts du GDPR sur les infrastructures informatiques

Il est alors nécessaire, pour les 3/4 de ces entreprises, de faire évoluer leurs infrastructures pour les rendre plus agiles et pour casser des silos encore trop présents. L'objectif est alors de faciliter la gestion d'un environnement souvent considéré comme très complexe à travers une approche d'optimisation (architecture, consolidation) et de virtualisation serveurs et réseaux.

L'enquête montrent que les entreprises ne partent pas de zéro, elles peuvent fortement capitaliser sur les initiatives déjà lancées par le passé, notamment celles liées à la gestion des identités et des accès (IAM), à la protection des flux mobiles et web (pour éviter le détournement de données) ou encore à la sécurisation de la messagerie qui voit transiter de nombreuses données personnelles. Mais de nombreux chantiers sont encore à explorer : prévention contre la fuite des données, chiffrement et confidentialité des données, audit et traçabilité des données. Même si elles s'inscrivent dans le cadre du GDPR, ces initiatives débordent du champ des données personnelles pour renforcer la sécurisation de l'ensemble des données de l'entreprise.

La réglementation GDPR est perçue par 80% des entreprises comme une véritable opportunité d'améliorer globalement le niveau de sécurité et de confidentialité des données et de renforcer l'image de l'entreprise auprès de ses clients (41%).

Un focus plus précis sur les résultats de l'enquête montre que toutes les entreprises ne sont pas égales face à la sécurisation de leurs données. En effet, celles considérées comme les plus matures – elles ont une bonne connaissance du GDPR et ont défini une feuille de route – sont également celles qui investissent le plus fortement dans les solutions de sécurité qui leur permettront d'être « compliance »

Les entreprises les plus matures sur le sujet GDPR ont commencé à investir (66%) dans des approches leur permettant de disposer d'une bonne vision de leurs données à travers un audit ( cartographie des données ) et la mise en place de solutions de traçabilité permettant de suivre les données, leur localisation, les accès (personnes physiques et applications).

Selon IDC, l'écart se creuse entre les entreprises "matures" sur le sujet GDRP et les autres. Les plus matures ont déjà capitalisé sur les solutions de sécurité déployées par le passé et continuent à investir pour disposer d'une approche sécuritaire plus complète. Inversement, les entreprises les moins matures, alors qu'elles sont soumises aux mêmes engagements et aux mêmes pénalités que les autres, restent encore sur la réserve et limitent leurs investissements en solutions de sécurité. Ces dernières prennent un risque non négligeable : ne pas pouvoir justifier auprès du régulateur leur bonne volonté pour se mettre en conformité. »

(Fin extrait : enquête IDC / Juniper GDPR)

 

 

 -----------------------

 

2 - La Directive du 6 juillet 2016 dite « NIS » traite pour la première fois exclusivement de la protection des systèmes d’information *.

La Directive NIS a pris le soin de définir la « sécurité des réseaux et des systèmes d’information » comme « la capacité des réseaux et des systèmes d’information de résister, à un niveau de confiance donné, à des actions qui compromettent la disponibilité, l’authenticité, l’intégrité ou la confidentialité de données stockées, transmises ou faisant l’objet d’un traitement, et des services connexes que ces réseaux et systèmes d’information offrent ou rendent accessibles ». Qui est concerné ?

La Directive « NIS » visant à la sécurité des systèmes d’information

Attention ! Les Fournisseurs de services numériques qui ne sont pas établis dans l’UE, mais qui fournissent les services énumérés ci-après à l’intérieur de l’UE, doivent désigner un représentant dans l’Union. Le Fournisseur est considéré comme relevant de la compétence de l’État membre dans lequel le représentant est établi (Art. 18 de la Directive NIS).

La Directive NIS touche deux catégories d’entités, considérées comme des acteurs majeurs pour le bon fonctionnement et la sécurité des réseaux et des systèmes d’information :

Les Opérateurs de services essentiels (OSE) qui sont définis comme des entités publiques ou privées travaillant dans les secteurs suivants : transport, banque, infrastructure de marchés financiers, secteur de la santé, fourniture et distribution d’eau potable et infrastructure numérique14.

Les Fournisseurs de services, définis comme des « personne(s) morale(s) qui fourni(ssent) un service numérique »15 et plus spécifiquement, il est renvoyé à une annexe qui précise les services numériques visés. Ces derniers sont :

les places de marché en ligne : c’est-à-dire les services de traitement de transactions, d’agrégation de données ou de profilage d’utilisateurs16

les moteurs de recherche en ligne : définis par la Directive comme un service numérique permettant aux utilisateurs de faire des recherches17

les services d’informatique en nuage : définis par la Directive comme des services « qui permettent l’accès à un ensemble modulable et variable de ressources informatiques pouvant être partagées » et couvre selon elle un « vaste éventail d’activités » tel que « les réseaux, serveurs, et autres infrastructures, le stockage, les applications et les services »18 Il apparaît ainsi que le terme « fournisseur de services » visé par la Directive NIS regroupe un panel extrêmement large d’entreprises, allant de la plateforme de transactions jusqu’aux hébergeurs de données.

Quelles mesures adopter ?

Les obligations préconisées par la Directive NIS couvrent toutes les étapes de la sécurisation des systèmes d’information, de la prévention à la gestion d’une éventuelle attaque, c’est-à-dire :

Avant l’atteinte au système d’information avec de nombreuses mesures préventives.

Après l’atteinte au système d’information.

Source : * Me Olivier Iteanu

http://www.athena-gs.com/public/brochures/ESET_Brochure_BUSINESS_FR

Les dossiers de Cyber Risques News

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

Renseignements   This email address is being protected from spambots. You need JavaScript enabled to view it.

 

 

Additional information