@DPO_News @cyberisques @jpbichard #GDPR #DPO Synthèse Matinée GDPR et DSI #Ivanti

 

21 mars 2017 Matinée GDPR et DSI / Ivanti  

 

 

Phot-JPB-DPO NEWS

 

Journaliste IT depuis 27 ans, IHEDN 2005, animateur d'évènements (tables rondes) IT / GDPR, auteur de plusieurs ouvrages, co-fondateur en 1997 du premier média "cybersecurité" NetCost&Security avec Olivier Caleff, Jean Philippe Bichard -@jpbichard - a créé le site de veille  http://cyberisques.com en 2012.

Premier journaliste animateur des « Assises de la sécurité » dans les années 2000, il collabore à différents médias (tech et Eco).

 En complément de Cyberisques NEWS  - gouvernance des risques IT - il crée en 2016 @DPO_Newsconsacré aux projets GDPR (organisationnel, technique, juridique) et à la veille stratégique pour les DPO et COMEX. 

En plus d'animations et d'enquêtes "marché", Jean Philippe rédige de nombreux « white papers » sur les différents aspects sectoriels du GDPR, des études « business » et autres contenus WEB sur les thématiques Cyberisques / GDPR.

Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

@cyberisques @jpbichard @DPO_NEWS

http://www.cyberisques.com/

 

 

 

(*) GDPR (General data protection regulation) est le terme anglais pour RGPD (Règlement général sur la protection des données). Le terme anglais étant plus utilisé, nous l'avons privilégié. Il remplace à la fois la loi française Informatique et Libertés de 1978 et la Directive européenne de 1995, transposée en France en 2004. GDPR ne se transpose pas, ce règlement est d'application directe, il s'impose donc dans tous les pays et à toutes les entreprises dans les mêmes termes. GDPR est géré par le G29 (Groupe de l'Article 29, réunion des CNIL européennes).

 

 

Synthèse de l'intervention de Jean-Philippe Bichard

Directeur des rédactions Cyberisques-NEWS et DPO-NEWS

(reproduction autorisée si source publiée : @jpbichard DPO_NEWS Cyberisques NEWS)

 

Matinée-21-mars-2017-IVANTI

21 mars 2017: DSI "grands comptes" réunis par Ivanti pour une matinée GDPR  Paris XVIe 

 

C'est rarement évoqué. Les données et traitements « sécurisés » compatibles GDPR peuvent représenter désormais un capital parmi les plus importants de l’entreprise, avec les ressources humaines et les moyens financiers. Sous cet angle, l'adoption « compliance GDPR » peut constituer un avantage concurrentiel pour les organisations « habiles » rapidement « conformes ». Exemple : dès 2018, toutes les bases de données commercialisées intégrant des données à caractère personnel seront conformes aux règles du GDPR. Il y a donc urgence a devenir « GDPR compatible » pour des raisons légales mais aussi...business.

 

 

1 – RGPD / GDPR: grandes lignes

Adopté en avril 2016, le RGPD entrera en vigueur en mai 2018. Il doit permettre aux citoyens européens de reprendre le contrôle sur leurs données personnelles. C'est aussi une belle opportunité de repenser pour les organisations leur stratégie de « data gouvernance ».

Le règlement s'applique aux entreprises européennes, mais aussi aux entreprises non-européennes qui ont un pan de leur activité en Europe, et qui traitent de fait des données de citoyens européens. Il faut retenir :  

Nomination d'un DPO Data privacy officer) : Qui ? Quand ? Mission ? Externe,Interne ? Autorité ? Fonction cumulable avec une autre ?

Les photos comme les adresses IP mais aussi les informations partagées sur les réseaux sociaux sont désormais considérées comme des données personnelles. MAIS quid des données liées au « shadow IT » ?

Les entreprises souhaitant collecter des données doivent avoir un consentement explicite de leurs utilisateurs : gestion des consentements, droit à l'oubli y compris chez les sous-traitants

DPIA (Data protection impact assesment) Liste de traitements avec analyse d'impacts obligatoire sur la vie privée.

Elles devront tenir un registre de traitement des données, permettant de déterminer si les données quittent l'Union Européenne et dans quelles conditions.  

Les données stockées par l'entreprise devront être protégées contre la perte, le vol ou la détérioration.

L'ensemble des citoyens européens auront le droit d'accéder à leurs données personnelles, et de demander leur suppression

Les citoyens pourront exercer leurdroit à la portabilité des données. (changer de prestataire sans être captif)

En cas de fuite des données, les entreprises sont tenues d'informer l'autorité nationale responsable de la protection des données dans les meilleurs délais (72h00)

De lourdes sanctions financières 

En cas de non-respect du RGPD, l'entreprise s'expose pourtant à de lourdes sanctions financières, pouvant aller d'une amende d'un montant équivalent à 4% du chiffre d'affaires mondial de l'entreprise à 20 millions d'euros (ou 4% du chiffre d'affaires mondial, le montant le plus important des deux étant retenu) pour les infractions les plus graves.

Illustration d'un traitement de données à caractère personnel « incompatible » le cas Decaux :

Dans une décision du 8 février 2017, le Conseil d’Etat est venu préciser ce qu’il faut entendre par "données anonymisées" par opposition aux "données pseudonymisées".

Cette affaire concerne un projet imaginé par la société JCDecaux qui visait à compter les flux de piétons sur la dalle piétonne de La Défense, grâce à des boîtiers de comptage wifi, installés sur des mobiliers publicitaires et destinés à capter les adresses des appareils mobiles présents dans cet espace.

L’idée était donc de mesurer les volumes de fréquentation et les taux de répétition, à des fins essentiellement publicitaires.

Dès lors que le traitement réalisé sur une donnée permet d’attribuer à cette donnée la personne concernée en ayant recours à des informations supplémentaires, alors la donnée est dite pseudonymisée.

En revanche, si le traitement réalisé sur la donnée ne permet plus - quel que soit le procédé utilisé - de lui attribuer la personne concernée, alors la donnée est dite anonymisée. 

 

 

En pratique:  GDPR : 10 défis pour DSI / RSSI / DPO...  en 2017

(source @DPO_NEWS)

1 - Sensibilisation et enjeux GDPR auprès des COMEX / CODIR (sponsor de DPO auprès des directions stratégiques)

2 – Métiers, clients, partenaires et compréhension GDPR : conflit d'intérêts DPO / Business ? (Marketing, RH, R&D...)

3 - Nommé un DPO (ex CIL ?) interne ou via une prestation de service externalisée

4 – Évaluation du risque d'exposition : Audit puis DPIA, commander des audit et réaliser des inventaires pour identifier les traitements faisant appel à des données à caractère personnel. Avec une approche macro (type de data, volume..)

5 - Cartographies de l'existant avec les métiers et mise en œuvre des mesures Privacy par default et Privacy by design

6 – S'assurer que la démarche « intentionnelle » pour se plier à la conformité GDPR existe réellement via une analyse de conformité (avant que la CNIL effectue un contrôle)

7 – Comprendre et intégrer le concept « d’extraterritorialité » (datas de citoyens européens à caractère personnel traitées en dehors de la zone Europe)

8 – Gérer contractuellement les sous-traitants avec contrats et clauses de responsabilité (Audit, traitements...)

9 – Intégrer la « minimisation » au sein des traitements : données réellement nécessaires aux traitements (sans systématiser l'intégration de données à caractère personnel)

10 – Tenir compte dans les sanctions des risques d'atteinte à l'image de l'organisation notamment dans le cas de notifications auprès de la CNIL

 

 

 

Rappel : CNIL https://www.cnil.fr/fr/textes-officiels-europeens-protection-donnees

 

La CNIL publie une méthodologie en 6 étapespour se préparer et anticiper les changements liés à l’entrée en application du règlement européen le 25 mai 2018.

Les organismes devront en effet être capables de démontrer, à compter de cette date, leur conformité à ces dispositions.

 


- Obligation d'Accountability – Référentiel Européen 2016
En conformité à l'article 29 du Référentiel Européen relatif à la protection des données personnelles, vous êtes en mesure de démontrer et éditer à tout moment l'inventaire des traitements, l'état des mesures et procédures, les analyses des risques et d'impacts sur la vie privée.

- Pilotage opérationnel des actions CIL et DPO
un
logiciel vous accompagne dans toutes vos fonctions de CIL et/ou DPO.

- Gestion électronique des fiches de traitements
Vous gérez vos fiches de traitement avec précision et conformément à la législation en vigueur.

- Edition automatisée du registre ou de l'inventaire
Vous éditez en toute simplicité vos registres et inventaires.

- Auto-évaluation du respect des exigences réglementaires (audit)
Vous auditez et mesurez en toute indépendance votre bon respect des exigences réglementaires.

- Pré-classification des risques « vie privée »
Vous évaluez le niveau d'exposition aux risques de chacun des traitements de données à caractère personnel que vous gérez.

- Tableaux de bord d'indicateurs de performance
Vous disposez à tout moment d'indicateurs clairs, fiables, actualisés, exploitables, compréhensibles et précis, pour aider les acteurs clés à piloter votre organisation.

 

En savoir plus : @cyberisques @jpbichard @DPO_NEWS

http://www.cyberisques.com/

 

 

Autres contributions :

- Cabinet d'avocats Mathias : aspects juridiques de la GDPR

http://www.avocats-mathias.com/

 

Ivanti France : solutions et outils « compatibles » GDPR

http://www.ivanti.fr/fr-FR/

 

 

 

 

#DPO_NEWS #cyberisques Université AFCDP: DPO un CIL 2.0 ?

reportage: @DPO_NEWS   Université AFCDP 


DPO, un CIL 2.0 ?

 

AFCDP-1-UNIVERSITE-2017

 


Jamais les données a caractère personnel n'ont autant préoccupées les responsables des risques cyber. La mise en place en 2016 avant son application en mai 2018 de la GDPR (Règlement européen de protection des données à caractère personnel) n'y est pas étrangère. l'Association Française des Correspondants à la protection des Données à caractère Personnel (AFCDP) fait le point à l'occasion de sa 11eme université des CIL à Paris.

 


Les préoccupations des citoyens-clients-utilisateurs européens sur l'usage de leurs données collectées sur le Net sont bien réelles; (http://www.cyberisques.com/mots-cles-7/635-cyberisques-dpo-news-64-de-francais-pensent-que-leurs-informations-sont-utilisees-dans-d-autres-buts-que-ceux-qu-ils-ont-approuve)

Dans ce contexte, les idées fédérées par l'Association Française des Correspondants à la protection des Données à caractère Personnel (AFCDP) qui réunit les CIL et pour bon nombre d'entre eux les futurs DPO prennent un sens particulier en 2017. Comment les CIL dont le métier existe depuis 2004 doivent se préparer et mettre en ordre de marche leurs organisations via leur futur rôle de DPO en 2018 ? Quels budgets avec quelles sensibilisations et quels « sponsors » auprès des dirigeants pour quels objectifs avec le cas échéant quelles sanctions de la part de la CNIL?

L'AFCDP a réuni a Paris le 25 janvier ses membres et bon nombre de personnalités : la CNIL bien sûr avec Édouard Geffray Secrétaire Général et Albine Vincent chef du service CIL ( http://www.cyberisques.com/fr/component/content/article/93-categorie-3/sous-categorie-3-1/621-interview-dpo-news-cyberisques-albine-vincent-chef-service-des-cils-au-sein-de-la-cnil ) mais aussi des parlementaires et sénateurs, de nombreux acteurs IT et dirigeants en plus des... premiers DPO.

Si le GDPR comme convenu a constitué l’essentiel des thèmes des débats et ateliers, l’évolution du cadre réglementaire et sa mise en application ont beaucoup été abordé. Le renforcement de la CNIL avec la loi République Numérique est un exemple. La mise en œuvre de ce texte aura des conséquences sur la notion très actuelle de mort numérique ou de portabilité des données... Les attentes sur le Privacy Schield et les positions nouvelles des Etats-Unis en matière de protection des données privées, le GDPR, la loi pour une République numérique … que devient le CIL en 2017 ? Qui sera t-il en 2018 ?


« DPO as a service »

Face à l' inflation de lois nouvelles nationales, internationales et européennes, Paul-Olivier Gibert, Président de l'AFCDP a carrément posé la question : doit on attendre pour agir sachant que bon nombre de CIL se trouvent « entre deux textes » ? Lequel choisir aujourd'hui ? Idem pour la future fonction de DPO (lire nos liens en section BONUS). Quel profil pour quelles missions ? Exemple : dans quel environnement doit-on nommer un DPO ? Réponse : ce ne sera pas nécessairement et uniquement au sein de grandes organisations. Le Big data et les usages des services sur Internet génèrent des flux de données qui n'ont aucun rapport avec la taille d'une entreprise. Certaines start-up gèrent des flux considérables. Elles réalisent des « croisements » de données à l'origine de la génération de nouvelles données personnelles plus importantes que certaines organisations telles que les banques. « Or un DPO dans une start up de 8 personnes çà n'a pas de sens » rappellent certains intervenants. Pour la CNIL c'est clair ; là ou on traite de la donnée personnelle il faut un DPO. Les petites et moyennes organisations en ont-elles les moyens ? C'est un réel débat à la veille de la mise en application de la GDPR (et des sanctions qui l'accompagnent).

Va t-on alors s'acheminer vers la notion de « DPO as a service » ? ou un DPO pour plusieurs entités comme le préconise dans certains cas le GDPR ?
Paul-Olivier Gibert le souligne : « certaines pratiques doivent être inventées et réinventées en permanence ».  

( Lire pour les abonnés notre enquête DPO et GDPR : les 15 premières mesures indispensables à mettre en œuvre pour toutes les organisations )

Sur certains points, les dossiers avancent. C'est le cas avec un sujet sensible : le stockage des données sur le territoire européen. Cette thématique ne soulève plus les mêmes interrogations. « Après l'élection de Donald Trump bon nombre d'acteurs IT ont appelé leurs clients européens pour leur signaler que le stockage de leurs données en Europe était tout à fait possible » rappelle un participant au débat. Dans l’autre cas (données EUR au US) le député européen Jean Philipp Albrecht, Vice-Président de la Commission des libertés civiles, de la Justice et des affaires intérieures a d'ailleurs précisé lors d'une vidéo avec Bruxelles « que peu de recours juridiques existent avec le Privacy Schield pour les données d'origine européennes destinées aux US. En cas de soucis, les recours juridiques avec avocats aux US sont complexes mieux vaut sécuriser les données avant de les transférer ». En clair, CIL et DPO, faites appel à la cryptographie par exemple.

Invité a la plénière d'ouverture en matinée, le députe du Maine-et-Loire Luc Belot avec beaucoup de conviction a déclaré : « Politiques et législateurs ne comprennent pas le numérique dans la mesure ou chaque loi qu'ils proposent veut interdire » en prenant exemple sur les prix limités des livres sur les plate-formes e-commerce (pour protéger les libraires indépendants) et la façon dont Amazon qui était indirectement visée par cette loi est passée a travers. Pour bon nombre d'intervenants, « il faut que les citoyens disposent d'un droit a agir en conservant leurs données. C'est le sens de la portabilité avec la libre disposition des données ».

En clôture de la plénière du matin, Édouard Geffray secrétaire général de la CNIL a annoncé avant mai 2018 (échéance pour la mise en application de la GDPR) le dépôt d'un projet de loi pour préciser les interprétations du règlement européen par les autorités françaises : « Il s'agit de compléter au plan national le GDPR en offrant également des bonnes pratiques pour simplifier certaines formalités ». Très attendu sur les modalités de mise en place des premières sanctions en cas de non conformité des organisations avec le GDPR, la CNIL - Autorité de contrôle voire de sanctions - partage l'idée d'une « transition douce » entre les textes actuels et ceux du GDPR plus exigeants. « Sur 550 contrôles réalisés depuis l’existence de la CNIL, il y a eu 100 mises en demeure et 15 sanctions » a rappelé Edouard Geffray. Bref la bienveillance doit l'emporter.

 

 

Président-2017-AFCDP

 

GDPR : DPO, un CIL 2.0 ?

L'éditeur Symantec a publié en décembre 2016 le « Rapport Européen sur la Confidentialité des Données » (cf Cyberisques News et DPO_NEWS), qui révèle que 96 % des entreprises françaises, allemandes et britanniques n’ont qu’une compréhension partielle du Règlement général sur la Protection des Données personnelles (RGPD).
Seules 25 % d’entre elles considèrent cette conformité comme l’une des toutes premières priorités dans les deux années à venir, mais elles se montrent cependant plus confiantes que leurs homologues européens, puisque 32 % pensent être déjà prêtes, contre 26% dans les deux autres pays. Une méconnaissance de la réglementation 22 % des personnes interrogées en France (23 % dans les autres pays) pensent que leur entreprise ne sera soit pas du tout soit seulement partiellement en conformité avec le RGPD d’ici 2018. (lire notre encadré : GDPR moins de 350 jours...ouvrés).

Dans ce contexte, le futur DPO, sorte de CIL 2.0 doit s'interroger face aux évolutions du traitement des données et de leur source. Pour Laurent Tollié, directeur général de la GMF – 3,5 millions de sociétaires, 5000 collaborateurs, filiale de COVEA, 16,5 milliards d'euro - « avec le Big Data, les assureurs traitent plus de données personnelles que la plupart des autres acteurs économiques d'où la nécessité d'une plus grande rigueur. » C'est le cas avec la légitimité et les origines des données à caractère personnel. Dans le cas de données issues de voitures connectées, les compagnies d'assurance doivent pouvoir répondre aux questions suivantes : qui maîtrise les données entre constructeur, acheteur, assureurs ? Qui peut revendiquer un traitement spécifique ? Laurent Tollié estime que la fonction de CIL (futur DPO) est à la croisée de trois dimensions : technologique, mesure du risque et réglementaire.

@jpbichard

 

Lire pour les abonnés notre enquête

1 - DPO et GDPR : les 15 premières mesures indispensables à mettre en œuvre pour toutes les organisations ( collecte d'informations, label, recherche de sponsors de DPO, évolution juridique et veille, planification budgétaire, nouveaux outils, diffusion et partage des informations, procédures de notifications, cyberassurance, scénarios, conformité pour les sites WEB... )

2 – GDPR : au delà des aspects réglementaires et organisationnels, quels outils ?

3 – le DPO Book de DPO_NEWS : la boite a outils du DPO (@DPO_NEWS)

 


GDPR moins de 350 jours...ouvrés

Menées auprès des décideurs informatiques et des dirigeants de 900 entreprises en France, en Allemagne et au Royaume-Uni, l’étude montre notamment que 92 % des sociétés françaises sont inquiètes quant à leur capacité à être en conformité avec le RGPD.

Parmi elles, seulement 22 % également estiment que cela est encore réalisable et 53 % que certains départements seulement seront prêts (contre 49 % en moyenne européenne). Ce manque d’assurance de respecter la date butoir de mai 2018 implique pour les entreprises un risque de s’exposer à de lourdes pénalités qui pourraient entraver leur activité et prospérité. Déconnectées de leurs clients Alors que les entreprises doivent se conformer aux obligations du RGPD, elles s’avèrent ne pas être en phase avec les attentes de leurs clients, lorsqu’il s’agit de sécurité et de confidentialité des données.


BONUS :

http://www.cyberisques.com/fr/mots-cles-5/625-dpo-news-cyberisques-gdpr-gdpr-faits-et-chiffres-infographies

http://www.cyberisques.com/mots-cles-7/137-mots-cles-30-reglementation/633-dpo-news-cyberisques-symantec-nous-voyons-bien-arrive-le-dpo-as-service-surtout-dans-le-monde-de-la-pme-et-cette-reglementation-va-tirer-tout-le-monde-vers-le-haut

 

Abonnemnt-2017 

#DPO_NEWS #Cyberisques Symantec : « Nous voyons bien arrivé le « DPO as Service » surtout dans le monde de la PME et cette réglementation va tirer tout le monde vers le haut »


Rencontres FIC 2017
Symantec

 


Laurent Heslault, Chief Security Strategist EMEA :

« Nous voyons bien arrivé le « DPO as Service » surtout dans le monde de la PME et cette réglementation va tirer tout le monde vers le haut »

 

 

"Pour nous Symantec, la GDPR est un projet de protection des données  rien de plus. Nous avons les outils et nous sommes méga prêt grâce au rachat de BueCoat et Elastica (CASB). Ce qui est nouveau c’est une loi avec des sanctions mais les outils existent et la GDPR est un catalyseur de confiance. Si l'on traite les informations de manière licite. Lorsque l'on demande à nos clients quel est le critère de choix sur les services en ligne en numéro 1 c’est la capacité du fournisseur à protéger « mes données ».

L’étude de Gémalto publiée la semaine dernière donne le même constat. Le fait d’avoir un provider présumé conforme sera un critère de choix. La taille de l’entreprise n’est pas un problème ,c’est plus la capacité à gérer une réglementation. Grâce à l’intégration des derniers rachats, nous avons développé une offre hybride qui permet d’être en ligne avec la demande client. Nous voyions bien arrivé le DPO as Service surtout dans le monde de la PME et cette réglementation va tirer tout le monde vers le haut. »

 

Dans la ,dernière étude (décembre 2016) réalisée à la demande Symantec sur la préparation des entreprises européennes au GDPR, sur la partie concernat l'apport du GDPR on pouvait lire: 

 

"Le GDPR (ou RGPD) apporte plus de sécurité et un avantage concurrentiel.  Pour les entreprises françaises, le RGPD est le principal moteur de révision de leur sécurité et leur protection des données à 54 %, devant la simple capacité protéger les données, à satisfaire les besoins de leurs clients ou à être éthiques. Les Français se montrent plus enthousiastes quant à l’avantage concurrentiel induit par le RGPD : 43 % contre 30 % de leurs homologues européens, un enthousiasme du reste plus prégnant chez les dirigeants d’entreprise que chez les décideurs informatiques. Cet avantage concurrentiel proviendra selon eux plus particulièrement de la réduction du risque de pertes de données (53 %). « Les entreprises devraient reconnaitre que la confidentialité, la sécurité et la conformité au RGPD sont des éléments extrêmement importants pour leur réputation et leur marque » explique Laurent Lecroq. « La réponse des entreprises au RGPD devrait s’inscrire au cœur de leur organisation et de leur culture. Adopter une approche fragmentée engendrerait plus de problèmes qu’elle n’en solutionnerait ». 

 

 

Abonnemnt-2017

 

5616

 

#DPO_News #cyberisques Assurances risques Cyber : 60% des entreprises du CAC 40 sont assurées

rencontre FIC 2017:  

Assurances risques Cyber : 60%  des entreprises du CAC 40 sont assurées 


La digitalisation est un facteur de croissance mais l’analyse du risque doit être appréhendée non seulement sur les moyens techniques mais aussi sur les coût engendrés en cas d’attaque. Des coûts multiples au regard des impacts. Au delà des atteintes a la notoriété et à l'image, aux conséquences avec les partenaires et clients, les frais de notification … existe une nouvelle donne celle du GDPR. En cas de non conformité, les sanctions financières peuvent amener bon nombre de directions à une nette évolution. Le chiffre de 20% d'entreprises clientes chez NTT qui seraient sensibilisées par les impacts financiers des sanctions prévues au GDPR est révélateurs ( http://www.cyberisques.com/fr/mots-cles-1/629-dpo-news-cyberisques-ntt-security-gdpr-20-des-clients-interroges-sont-sensibilises-par-les-impacts-financiers ) Rappelons que les amendes peuvent atteindre 4% du CA et / ou jusqu’à 20 000 000 d’€.

 

cyber-assurance-2016-SystemX

 

Lors d'un atelier consacré à la cyberassurance au FIC on ne peut que constater l’incertitude du marché dédié aux Polices Cyber » des compagnies d'assurance. Toutefois, certains chiffres montrent un frémissement sur ce marché. Toute la question est de comprendre comment ce marché va évoluer si les couvertures cyber intègrent la prise en charge de sanctions financières. 

Pour l'heure, 60%  des entreprises du CAC40 sont assurées Cyber. Les coût moyens s’échelonnent de 15 K à 50 K sur le marché PME et 5K pour les très petites entreprises.La Lloyd livre comme exemple 2 Millions d’euros de couverture indemnisable pour un coût d’assurance de 13 859 euros selon.

Reste quelques interrogations a commencer par la déclaration des vulnérabilités d’une entreprise auprès de sa compagnie. « un véritable challenge selon les professionnels qui soulignent qu'il s’avère que le code des assurances n’est peut-être pas encore adapté à la modélisation des risques Cyber.

 

Abonnemnt-2017

 

 

Les organismes de recherche comme l’IRT  travaillent sur

1/           Comment maitriser le risque numérique

2/           Comment quantifier les coûts

3/           Comment transférer le risque résiduel vers l’assurance

 

BONUS: 


http://www.irt-systemx.fr/v2/wp-content/uploads/2016/11/ISX-IC-EIC-transfert
-risque-LIV-0401-v10_2016-10-25.pdf

 

 

 

 

#DPO_News #cyberisques FireEye : "Nous sommes un des seuls acteurs à faire la différence entre du probable et du possible"

Rencontres FIC 2017: 

 

FireEye David Grout directeur technique Europe du Sud

«Presque tous les utilisateurs achètent aujourd’hui des solutions de
sécurité sans savoir contre quoi ils se protègent »  

 

Nous sommes un des seuls acteurs à faire la différence entre du probable et
du possible car nous traitons plus de 200 000 heures de réponses à incident
face aux attaquants sur une année.

 

Quel changement pour FireEye avec la GDPR ?

Sur du court terme cela ne nous apporte pas plus d’opportunités business. Le vrai vecteur est surtout sur la communication et la prise de conscience aujourd’hui. Les implications business sont surtout dans la classification et la protection de données plutôt que dans la protection contre les attaques
avancées. Ce qui constitue notre cœur de métier. Presque tous les utilisateurs achètent aujourd’hui des solutions de sécurité sans savoir contre quoi ils se protègent. Nous sommes plus dans une approche de traitement par l’intelligence. C’est-à-dire :je sais ce que je dois sécuriser avant de sécuriser .Nous avons juste des tableaux de bord qui nous disent que tout va bien mais on ne le sais pas vraiment.

 

GDPR: quelles approches ?

Pour nous il y aura 3 phases :

1/           la classification

2/           la gestion de la donnée

3 /          mise en place d’outils et process

L’intérêt du client devient une prise de conscience au niveau du management et un entrainement des projets à plus haut niveau. La cyber sécurité avancée était appliquée dans les entreprises qui avaient déjà subi des attaques ,la GDPR change le paradigme  en permettant d’évaluer le risque et de poser les projets en fonction de cette évaluation. On était sur l’évaluation de la conséquence et aujourd’hui nous pouvons aller sur l’évaluation des causes.

 

GDPR: quelles perspectives pour FireEye ?

La GDPR est un bâton salvateur pour le citoyen. Pour FireEye le positionnement actuel en GDPR est plus autour de notre offre provenant du rachat de Isight qui apporte une visibilité plus large et plus profonde à la fois sur les attaques, les attaquants et les technologies d’attaque, ce qui permet aux organisations de détecter, de répondre et d’anticiper plus efficacement les failles de sécurité. On va permettre aux banques ,aux assurances de contextualiser leur risque par rapport à leur activité en se servant de l’information de l’intelligence. Le « qui, quoi, comment, pourquoi ,avec quelle méthodologie » me permet de construire ma politique d’alerte ,de monitoring, de sécurité et d’investigation. C’est une adaptation directe de la régulation GDPR, NIS ou LPM et nous permettons  à nos clients de comprendre la contextualisation de leur information.

 

Abonnemnt-2017

 

Les dossiers de Cyber Risques News

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

Renseignements   Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

Informations supplémentaires