@DPO_News @cyberisques Rapport annuel "Proofpoint" : Les cyberattaques ciblées et personnalisées tentent de tirer profit des personnes et pas uniquement des failles technologiques

Communication Corporate: Proofpoint

 

 

Proofpoint dévoile les résultats de son rapport annuel,

 

« Le Facteur Humain 2017 », sur les tendances en cybersécurité

 

 

Ransomware, attaques de la messagerie d’entreprise, phishing, menaces mobiles… Les cyberattaques ciblées et personnalisées tentent de tirer profit des personnes et pas uniquement des failles technologiques.

 

 

Paris, France, mardi 6 juin 2017 – Proofpoint, Inc., (NASDAQ : PFPT), société leader en sécurité et conformité, vient de publier les résultats de son rapport annuel « Le Facteur Humain 2017 », indiquant que les cybercriminels se reposent de plus en plus sur l’humain plutôt que sur les failles logicielles pour installer des programmes malveillants, dérober des informations confidentielles et transférer des fonds. Ce rapport, basé sur l'analyse de tentatives d’intrusions dans plus de 5000 entreprises en 2016, fournit de précieux indicateurs sur les attaques par le biais des emails, mobiles et réseaux sociaux, pour assurer la sécurité des entreprises et des utilisateurs.

 

 

Human-Factor-2017-Infographic FR

 

 

 

« Cette tendance d’exploitation du facteur humain, qui a vu le jour en 2015, s'accélère, et les cybercriminels multiplient désormais les attaques générées par les clics des utilisateurs plutôt que par des logiciels d'exploitation vulnérables, conduisant ainsi les victimes à exécuter elles-mêmes les attaques », a déclaré Kevin Epstein, Vice-Président du centre d'opération des menaces de Proofpoint. « Il est essentiel que les entreprises mettent en place une protection avancée pour arrêter les cybercriminels avant qu'ils puissent atteindre leurs potentielles victimes. La détection anticipée des contenus malveillants dans la chaîne d'attaques permettra de les bloquer, de les canaliser et de les supprimer plus facilement. »

 

 

 

 

Principaux résultats du rapport « Le Facteur Humain 2017 » :

 

 

 

  • Les messages d'attaques BEC (Business Email Compromise – attaques de la messagerie d’entreprise) relatifs aux emails contenant des chevaux de Troie bancaires sont passés de 1 % en 2015 à 42 % fin 2016. Les attaques BEC ont coûté plus de 5 milliards de dollars aux entreprises dans le monde. Elles utilisent des messages sans malware, incitant les destinataires à envoyer des informations confidentielles ou à transférer des fonds aux cybercriminels. Ce type d’attaque affiche la croissance la plus rapide.

*

  • Près de 90 % des clics sur des URL malveillantes ont lieu dans un délai de 24 heures après la remise de l'email.25 % de ces clics se produisent en seulement 10 minutes et près de 50 % en une heure. Le temps de clic moyen (le temps passé entre l'arrivée de l'email et le clic) est plus court pendant les heures de travail, soit entre 8h00 et 15h00.

 

  • Plus de 90 % des emails contenant des URL frauduleuses redirigent les utilisateurs vers des pages de phishing (hameçonnage). 99 % des attaques à la fraude financière par email sont provoquées par les clics humains plutôt que par des logiciels d'exploitation automatisés visant à infecter les systèmes. Les messages de phishing destinés à dérober les identifiants Apple ont été les plus envoyés, mais les liens de phishing Google Drive sont ceux ayant reçu le plus de clics.

 

  • La moitié des clics sur des URL malveillantes est effectuée à partir de terminaux ne relevant pas de la gestion des postes de travail de l'entreprise. 42 % des clics sur des URL frauduleuses ont été effectués depuis des terminaux mobiles, doublant ainsi le taux, longtemps maintenu à 20 %. De plus, 8 % des clics sont effectués sur des versions potentiellement vulnérables de Windows, pour lesquelles les correctifs de sécurité ne sont plus disponibles.

 

  • Le phishing des comptes de réseaux sociaux a augmenté de 150 % en 2016. Au cours de ces attaques, les cybercriminels créent un compte sur un réseau social imitant celui d’un service client d'une marque de confiance. Lorsqu'une personne demande de l'aide à une entreprise par le biais d'un tweet par exemple, le cybercriminel intervient.

 

  • Surveillez de près votre boîte de réception le jeudi. On observe un pic de croissance de plus de 38 % du nombre de pièces jointes frauduleuses le jeudi, par rapport au volume moyen en semaine. Les hackers utilisant desransomwares (rançongiciels) privilégient l'envoi de messages malveillants entre le mardi et le jeudi. D'autre part, on observe un pic pour les chevaux de Troie bancaires le mercredi. Les campagnes sur les points de vente (PDV) sont envoyées presque exclusivement le jeudi et le vendredi, tandis que les keyloggers et les backdoors préfèrent le lundi.

 

  • En adéquation avec les habitudes des usagers, les cybercriminels envoient la plupart des emails dans un délai de 4 à 5 heures après le début de la journée de travail, provoquant ainsi un pic d’activité à l'heure du déjeuner. C'est au cours de cette période que les utilisateurs américains, canadiens et australiens ont tendance à cliquer, tandis que les clics français ont lieu aux alentours de 13 heures. Les utilisateurs suisses et allemands n'attendant pas l'heure du déjeuner pour cliquer; on observe un pic de clics dès les premières heures de travail. Le rythme des clics au Royaume-Uni est régulier au cours de la journée, avec une nette baisse après 14 heures.

 

 

BONUS:

FH-BEC-Proofpoint-Cyberisques-2017

 Source Proofpoint 2017

Autre étude menée auprès de DSI par Compuware : 

 

Le mainframe est plus sûr que d’autres systèmes,

mais les menaces internes restent invisibles dans 84 % des entreprises

  • 78 % des sociétés considèrent que le mainframe est plus sûr que d’autres systèmes, et la plupart l’utilisent comme référentiel principal pour leurs données client ultra-sensibles.

  • Les environnements mainframe sont complexes et compartimentés (« silos de données »). Pour les entreprises, l’accès aux données client et leur utilisation par les employés sont donc difficiles à suivre.

  • Par rapport à d’autres systèmes, le type de données mainframe consultées et le mode d’accès restent ignorés. 84 % des entreprises courent ainsi un risque accru que les menaces viennent de l’intérieur.

  • Dans le monde hybride et mobile dans lequel nous vivons, la sécurité du mainframe doit être renforcée par l’adoption de nouvelles pratiques.

Près de trois quarts des organisations se basent uniquement sur les logs pour détecter les menaces internes qui visent le mainframe, s’exposant ainsi à des fuites de données

Abonnemnt-2017

DETROIT—le 6 juin 2017 — Compuware Corporation, la société éditrice de logiciels mainframe leader du marché, a publié aujourd’hui une nouvelle étude menée auprès des directeurs informatiques de plusieurs grandes entreprises. Celle-ci révèle que, si elles sont très nombreuses (78 %) à affirmer que leur mainframe est plus sûr que d’autres systèmes, la majorité (84 %) estime que le risque de menaces internes est bien réel, l’accès aux données de l’entreprise restant largement hors contrôle.

L’étude a été menée par la société d’études indépendante Vanson Bourne qui a interrogé en avril 400 DSI de grandes entreprises représentatives des marchés verticaux en France, en Allemagne, en Italie, en Espagne, au Royaume-Uni et aux États-Unis. Voici quelques-unes de ses principales conclusions pour le marché français :

  • 68 % des entreprises considèrent leur mainframe comme le référentiel principal pour les données ultra-sensibles. Elles y stockent ainsi au moins autant, si ce n’est plus, d’informations personnellement identifiables (IPI) de leurs clients qu’elles ne le font sur d’autres systèmes.

  • 84 % des entreprises déclarent que leur mainframe est plus sûr que d’autres systèmes, et 15 % disent qu’il l’est autant, en soulignant que leurs données ultra-sensibles y sont stockées.

  • 84 % des entreprises pensent qu’elles n’ont pas de visibilité sur le mode d’accès aux données ni sur leur utilisation.

  • 89 % ont également des difficultés à savoir qui a accédé aux données stockées sur le mainframe, ce qui les rend d’autant plus vulnérables aux menaces venant de l’intérieur.

« Le mainframe a toujours été la plate-forme la plus sécurisée des entreprises, c’est pourquoi celles-ci continuent à y mettre leurs données les plus sensibles à l’abri », explique John Crossno, responsable produit chez Compuware. « Pourtant, rien ne les protège contre des employés malintentionnés qui pourraient accéder aux données mainframe grâce à des droits d’accès légitimes ou détournés. Elles doivent donc prendre des mesures pour mieux contrôler l’accès aux données et leur utilisation. »

L’étude a également mis en lumière les précautions prises le plus souvent pour contrer les menaces internes, ici pour le marché français :

  • Sauvegarde des logs de sécurité pour consultation ultérieure (75 %)

  • Analyse régulière des logs de sécurité afin de détecter les incohérences (64 %)

  • Mise en œuvre d’un système SIEM pour analyser la sécurité des données mainframe (72 %)

  • Mise en œuvre d’un système SIEM pour combiner les données mainframe avec les données de sécurité d’autres systèmes (51 %)

Toutefois, aucune entreprise française ne surveille l’activité au niveau des utilisateurs et des bases de données pour combattre les menaces internes visant le mainframe.

« Pour la plupart, les entreprises se contentent des logs et de données SMF disparates générées par des produits de sécurité tels que RACF pour retracer l’activité des utilisateurs », ajoute John Crossno. « Même celles qui intègrent ces données dans leur système SIEM n’ont pas assez de visibilité pour identifier un utilisateur malveillant au sein de la société. Elles ont besoin de savoir avec précision quelles données ont été consultées et par qui, et d’identifier l’application qui a permis d’y accéder. Pour y parvenir, elles peuvent enregistrer directement l’intégralité des sessions utilisateurs en temps réel, pour les intégrer dans une plate-forme SIEM telle que Splunk où elles seront analysées en détail. »

Pour aider les entreprises à mieux surmonter les difficultés qu’elles rencontrent actuellement en matière de sécurité, Compuware a publié un livre blanc intitulé « Mainframe Security in a Hybrid/Mobile World: New Best Practices for the New Threat Matrix » (La sécurité du mainframe dans un monde hybride et mobile : renouveler les meilleures pratiques pour contrer des menaces inédites), qui propose six actions directes permettant de contrer les menaces internes qui pèsent sur le mainframe, sans entraîner de perturbation de l’activité.

Ce livre blanc peut être téléchargé en version intégrale ici

 

@DPO_News @cyberisques @jpbichard #GDPR #DPO 38% des entreprises françaises sont déjà conformes avec le #GDPR

 

Phot-JPB-DPO NEWS

 

@jpbichard *

 

 

 38% des entreprises françaises "sont "déjà conformes à la GDPR selon une étude Veritas

 

 

 

 


Chiffres clés de l'étude Veritas  (source : Communication Corporate / Etude Véritas )

 

 

A moins de 350 jours de la mise en place du GDPR (RGPD) la dernière étude de Veritas menée auprès de 900 décideurs d'entreprises dans 8 pays début 2017 livre des statistiques sur l'impact de la non-conformité sur les opérations commerciales, les relations clientèles et leurs revenus.

 

À échelle mondiale, près d'un cinquième (18%) des organisations craignent qu'un défaut de conformité à GDPR puisse les contraindre à mettre la clé sous la porte.

 

Des "estimations" qui complètent et parfois s'opposent à d'autres études ( lire les dernières publications en acces free" sur cyberisques News :

 

http://cyberisques.com/mots-cles-15/668-compuware-rgpd-gdpr-dpo-news-cyberisques-compuware-rgpd-gdpr-dpo-news-cyberisques-l-europe-est-en-retard-sur-les-etats-unis-dans-la-mise-en-place-de-plans-detailles-de-conformite-au-rgpd-les-entreprises-britanniques-sont-les-moins-bien-preparees-seules-38

 

 

http://www.cyberisques.com/fr/component/search/?searchword=GDPR&searchphrase=all&Itemid=435

 

 

Selon l'étude Véritas: 

 

En France

  • 38% des entreprises françaises sont déjà conformes à GDPR et seulement 37% des autres entreprises pensent qu'elles seront conformes lorsque la réglementation prendra effet le 25 mai 2018

 

  • Contrairement aux autres pays étudiés, les pénalités ne sont pas la principale préoccupation concernant la non-conformité. La plus grande préoccupation pour les entreprises françaises est la dévaluation de la marque pouvant être causé par des articles négatifs – sur les médias classiques ou sur les réseaux sociaux.

 

  • En moyenne, les répondants français s'attendent à ce que leur entreprise investisse 1 366 031 euros pour la conformité GDPR et la confidentialité des données d'ici le 25 mai 2018

 

CaptureEtude-Véritas-2017-Cyberisques

Source Véritas 2017

Dans le monde

  • Près d'un cinquième (18%) des entreprises pensent que la non-conformité pourrait les contraindre à mettre la clé sous la porte

 

  • Près de la moitié (47%) des entreprises craignent de ne pas pouvoir répondre aux exigences de GDPR

 

  • 32% des répondants dans le monde ne pensent pas que leur entreprise dispose de la technologie adaptée pour répondre aux exigences de GDPR
  • 4 sur 10 (42%) indiquent ne pas avoir de moyen de déterminer quelles données doivent être conservées et celles qui doivent être supprimées. 

 

  • Les entreprises dépenseront en moyenne 1,3 millions d'euros pour assurer leur conformité à GDPR d'ici 2018, et seulement 37% affirment être en conformité dès à présent

 

Commentaires de Mike Palmer, Executive Vice President and Chief Product Officer chez Veritas :

 

• « Afin de parvenir à la conformité, le plus grand défi pour de nombreuses organisations à échelle mondiale est de comprendre quelles données résident dans leurs environnements informatiques, comment la protéger et la supprimer du réseau lorsque cela est demandé ou lorsqu'elle n'est plus nécessaire. Selon l'étude Veritas, 32% des répondants dans le monde ne pensent pas que leur entreprise dispose de la technologie adaptée pour répondre aux exigences de GDPR. 

A seulement un an de l'échéance, les entreprises devraient chercher à établir une stratégie de gouvernance clairement définie avec une attention particulière sur les outils de gestion de donnée. »

 

 

• « Avec le Règlement général sur la protection des données de l'UE (GDPR) entrant en vigueur dans exactement un an, les entreprises du monde entier sont profondément préoccupées qu'un impact de non-conformité pourrait générer sur leurs résultats. Selon l'étude de Veritas, près de la moitié des organisations à l'échelle mondiale (47%) craignent de ne pas pouvoir répondre aux exigences de GDPR. Comme nous comptons sur l'application de la loi, il est impératif que des mesures immédiates soient prises pour assurer la conformité. C'est le bon moment de demander un service consultatif pour vérifier son niveau de préparation. L'échéance approche et ce ne sont pas seulement des amendes qui sont en jeu, mais des emplois, la réputation ou encore les revenus des entreprises dans le monde entier. »

 

 

5 étapes clés pour assurer la mise en conformité:

 

1. Localiser - la première étape critique dans le respect de GDPR est une compréhension globale de l'emplacement de toutes les données personnelles détenues par votre entreprise. La mise en place d'une cartographie situant l'emplacement des données, de leur accès, de la durée de leur stockage et de leur déplacement, est essentielle pour comprendre comment votre entreprise traite et gère les données personnelles.

 

2. Rechercher - Les résidents de l'UE peuvent maintenant avoir de la visibilité sur l'ensemble de leurs données personnelles en demandant un droit d'accès. Ils peuvent également exiger que les données soient corrigées (si elles sont inexactes), exportées (à un format d'exportation approprié) ou supprimées. S'assurer que votre organisation peut traiter ces demandes en temps voulu est capital pour éviter les pénalités.

 

3. Réduire - La minimisation des données, l'un des principaux fondements de GDPR, est conçue pour garantir une réduction du nombre total de données personnelles stockées par les entreprises. L'objectif est de garder uniquement les données personnelles le temps nécessaire pour lequel elles ont été recueillies. Le déploiement et l'application des politiques de conservation amenant automatiquement les données à expiration au fil du temps constituent la clé de voûte d'une stratégie GDPR réussie.

 

4. Protéger - Avec GDPR, les organisations ont l'obligation de mettre en place des mesures techniques et organisationnelles pour montrer qu'elles ont bien considéré et intégré la protection des données dans toutes les activités de collecte et de traitement.

 

5. Monitorer - GDPR impose aux entreprises de signaler certains types de violations de données à l'autorité de surveillance concernée et, dans certains cas, aux personnes concernées. Les organisations doivent disposer des fonctionnalités permettant de surveiller les éventuelles failles de sécurité - telles que des modèles d'accès à des fichiers inattendus ou inhabituels - et de déclencher rapidement les procédures d'alerte.

 

 

Abonnemnt-2017

 

 

BONUS:  https://www.veritas.com/solution/general-data-protection-regulation

 

 

Jean Philippe Bichard 

Journaliste IT depuis 27 ans, IHEDN 2005, animateur d'évènements (tables rondes) IT / GDPR, auteur de plusieurs ouvrages, co-fondateur en 1997 du premier média "cybersecurité" NetCost&Security avec Olivier Caleff, Jean Philippe Bichard -@jpbichard - a créé le site de veille  http://cyberisques.com en 2012.

Premier journaliste animateur des « Assises de la sécurité » dans les années 2000, il collabore à différents médias (tech et Eco).

 En complément de Cyberisques NEWS  - gouvernance des risques IT - il crée en 2016 @DPO_News consacré aux projets GDPR (organisationnel, technique, juridique) et à la veille stratégique pour les IT Managers et DPO. 

Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

@cyberisques @jpbichard @DPO_NEWS

 

 

 

@DPO_News @cyberisques @jpbichard #GDPR #RGPD "Privacy by Design" : Vers une certification ?

 

Vers une certification du service "Privacy by Design" ? 

 

On le sait la notion de Privacy by design interroge comme d'autres articles du RGPD (GDPR: lire le réglement européen sur le lien en section BONUS) reste qu'à peine voté, le reglement européen (RGPD / GDPR) attire déjà les bureaux de certification. Alors faut il certifier traitements rendus obligatoires par Bruxelles ? 

 

Avec le GDPR, le responsable de traitement doit appréhender la problématique des données personnelles (marché stratégique: cf section BONUS étuide IDC) dès la conception d’un projet : c’est le concept même du "Privacy by design".

 

En accord avec le DPO, le ou les responsables (sous traitants compris) prennent les mesures techniques et organisationnelles appropriées pour garantir le respect des droits des personnes et pour s’assurer de la conformité du traitement mis en œuvre. Cette première mesure "Privacy by design" est complétée par une seconde : "Privacy par défaut". Cette dernière précise le GDPR fixe les périmètres propres au déroulement d'un traitement: quantité de données collectées, diversité des finalités, limitation des durées de conservation ou le nombre de personnes habilitées à accéder aux données...

 

Cette approche légale d'un traitement de données à caratère personnel est également définie par son périmètre géographique (France, Europe, États-Unis, Russie, Chine…) et par son périmètre opérationnel (un produit, une division ou l’ensemble de l’entreprise).

 

Sentant poindre des incompréhensions, les experts en certification comme Véritas préconisent de "labelliser" les approches "Privacy by design" selon trois niveaux "d'adoption" du concept de " Privacy by design".

 


Premièrement, une certification de service « Privacy by Design », qui permettra via un audit de revendiquer la conception d’un produit ou d’un service donné comme étant respectueuse de la Privacy (sans avoir à transformer toute l’architecture IT).
Deuxièmement, une labellisation « Gouvernance », qui se concentrera sur le système global de management de la donnée (sans rentrer cette fois dans des audits techniques), avec une portée internationale indépendante des exigences locales de compliance.
Enfin, une certification adaptée précisément à l’article 42 du règlement européen.

 

Bref, encore du pain sur la plance notamment pour les éditeurs encore tres discrets sur leurs solutions "compatibles" GDPR / RGPD. Un business non négligeables comme l'a confie l'édieur SAS lors de son séminairs GDPR (http://www.cyberisques.com/fr/mots-cles-5/651-dpo-news-cyberisques-jpbichard-gdpr-cyril-lefevre-sas-le-business-gdpr-devrait-representer-25-de-notre-ca

Pour l'heure la CNIL va étudier les résultats de sa dernière consultation sur trois volets importants du RGPD / GDPR :  la notification de violation des données personnelles, le profilage et le consentement

 

BONUS: 

http://www.cyberisques.com/fr/component/search/?searchword=GDPR&searchphrase=all&Itemid=435

https://www.cnil.fr/fr/reglement-europeen-protection-donnees

http://lemag.bureauveritas.fr/data-privacy/

https://www.cnil.fr/fr/reglement-europeen-consultation-sur-le-profilage-consentement-notification-de-violations

 

Bureau-Veritas-Infographie-sur-la-protection-des-donnees-personnelles-RS-HD

 

Source: Press Release IDC

dotted lines 

Worldwide Big Data and Business Analytics Revenues Forecast to Reach $187 Billion in 2019, According to IDC

23 mai 2016 

According to the new Worldwide Semiannual Big Data and Analytics Spending Guide from International Data Corporation (IDC), worldwide revenues for big data and business analytics will grow from nearly $122 billion in 2015 to more than $187 billion in 2019, an increase of more than 50% over the five-year forecast period. The new Spending Guide expands on IDC's previous forecasts by offering greater revenue detail by technology, industry, and geography.

The services-related opportunity will account for more than half of all big data and business analytics revenue for most of the forecast period, with IT Services generating more than three times the annual revenues of Business Services. Software will be the second largest category, generating more than $55 billion in revenues in 2019. Nearly half of these revenues will come from purchases of End-User Query, Reporting, and Analysis Tools and Data Warehouse Management Tools. Hardware spending will grow to nearly $28 billion in 2019.

The industries that present the largest revenue opportunities are Discrete Manufacturing ($22.8 billion in 2019), Banking ($22.1 billion), and Process Manufacturing ($16.4 billion). Four other industries – Federal/Central Government, Professional Services, Telecommunications, and Retail – will generate revenues of more than $10 billion in 2019. The industries experiencing the fastest revenue growth will be Utilities, Resource Industries, Healthcare, and Banking, although nearly all of the industries profiled in the new Spending Guide will see gains of more than 50% over the five year forecast period.

Large and very large companies (those with more than 500 employees) will be the primary driver of the big data and business analytics opportunity, generating revenues of more than $140 billion in 2019. However, small and medium businesses (SMBs) will remain a significant contributor with nearly a quarter of the worldwide revenues coming from companies with fewer than 500 employees.

"Organizations able to take advantage of the new generation of business analytics solutions can leverage digital transformation to adapt to disruptive changes and to create competitive differentiation in their markets," said Dan Vesset, group vice president, Analytics and Information Management. "These organizations don't just automate existing processes – they treat data and information as they would any valued asset by using a focused approach to extracting and developing the value and utility of information."

"There is little question that big data and analytics can have a considerable impact on just about every industry," added Jessica Goepfert, program director, Customer Insights and Analysis. "Its promise speaks to the pressure to improve margins and performance while simultaneously enhancing responsiveness and delighting customers and prospects. Forward-thinking organizations turn to this technology for better and faster data-driven decisions."

From a geographic perspective, more than half of all big data and business analytics revenues will come from the United States. By 2019, IDC forecasts that the U.S. market for big data and business analytics solutions will reach more than $98 billion. The second largest geographic region will be Western Europe, followed by Asia/Pacific (excluding Japan) and Latin America. The two regions with the fastest growth over the five year forecast period will be Latin America and the Middle East & Africa.

The Worldwide Semiannual Big Data and Analytics Spending Guide is designed to address the needs of organizations assessing the big data and business analytics opportunity by geography, industry, and company size. The Spending Guide provides subscribers with revenue projections for 15 technology and service categories across 19 industries, five company size bands, and 53 countries. Unlike any other research in the industry, the comprehensive Spending Guide was designed to help IT decision makers to clearly understand the industry-specific scope and direction of big data and business analytics opportunity today and over the next five years.

Abonnemnt-2017

 

 

 

#Compuware #RGPD #GDPR #DPO_NEWS #Cyberisques : L’Europe est en retard sur les États-Unis dans la mise en place de plans détaillés de conformité au RGPD, les entreprises britanniques sont les moins bien p

Communication Corporate: #Compuware #RGPD #GDPR #DPO_NEWS #Cyberisques 

 

 


L’Europe est en retard sur les États-Unis dans la mise en place de plans détaillés de conformité au RGPD, les entreprises britanniques sont les moins bien préparées

 

Seules 38 % des entreprises interrogées, 43% en France, ont mis en place un plan complet de conformité au RGPD, ce qui fait que la majorité s’expose à un risque de sanctions financières

 

 

Lire aussi:  http://cyberisques.com/fr/component/search/?searchword=GDPR&searchphrase=all&Itemid=435

 

DÉTROIT, le 18 mai 2017 – Compuware Corporation, premier éditeur mondial de logiciels dédiés au mainframe, a publié aujourd’hui une nouvelle étude qui révèle que, malgré les progrès réalisés au cours des douze derniers mois, la majorité des entreprises, tant en Europe qu’aux États-Unis, sont toujours mal préparées à se conformer au nouveau règlement général de l’Union européenne sur la protection des données (RGPD) qui devrait entrer en vigueur l’année prochaine.

 

DPO NEWS-GDPR-2017

 (Source PwC France)

 

67 % des entreprises européennes et 87% des entreprises françaises déclarent être bien informées sur le RGPD et sur son impact en matière de gestion des données clients, un chiffre en hausse par rapport aux 55 % enregistrés l’année dernière.


Sur les 94 % d’entreprises américaines détenant des données de clients européens, 88 % se disent bien informées sur le RGPD et sur son impact concernant la gestion de ces données, une nette progression par rapport aux 73 % ayant répondu par l’affirmative à cette même question l’année dernière.


Seules 38 % des entreprises interrogées, 43% en France, ont mis en place un plan complet de conformité au RGPD, ce qui fait que la majorité s’expose à un risque de sanctions financières. Cela ne représente qu’une légère amélioration par rapport aux 33 % qui disposaient d’un plan détaillé l’année dernière.
Les conclusions de l’étude révèlent néanmoins que les entreprises américaines sont mieux préparées au RGPD de l’UE que leurs homologues européens. Aux États-Unis, 60 % des entreprises interrogées possédant des données de clients européens déclarent avoir mis en place un plan détaillé de grande envergure, soit une légère augmentation par rapport aux 56 % de l’année dernière. Le Royaume-Uni est le pays le moins bien préparé, 19 % des entreprises seulement ayant établi un plan détaillé, un pourcentage en très légère hausse comparé aux 18 % enregistrés l’année dernière.


« En matière de respect du règlement RGPD, les entreprises sont clairement sur la bonne voie, mais il reste encore un long chemin à parcourir dans un délai très court », explique le docteur Elizabeth Maxwell, spécialiste certifiée de la protection des données et directrice technique EMEA chez Compuware. « Au Royaume-Uni, les entreprises accusent un retard dû aux incertitudes initiales qui entourent les répercussions du Brexit. Pour autant, toute entreprise opérant sur le sol européen devra rentrer dans le rang d’ici la date butoir fixée au mois de mai 2018. Le non-respect du règlement pourrait avoir des conséquences désastreuses en cas de violation de données, un phénomène bien trop courant compte tenu de l’essor de la cybercriminalité et des menaces internes. »

 

Obstacles à la conformité


D’après 56 % des entreprises interrogées, la complexité des données et la nécessité d’assurer leur qualité constituent les deux principaux obstacles à surmonter pour se conformer au RGPD.


Par ailleurs, 75 % jugent que la complexité des services informatiques modernes ne leur permet pas toujours de savoir où résident les données clients, tandis qu’à peine plus de la moitié (53 %) se disent capables de localiser rapidement la totalité des données d’un individu, une condition essentielle au respect du « droit à l’oubli » prévu par le RGPD. Plus inquiétant encore, près d’un tiers (31 %) ne s’estiment pas actuellement en mesure de localiser la totalité des données d’un client.


« Les entreprises seront dans l’incapacité de se conformer au principe du droit à l’oubli du RGPD si elles ne peuvent pas localiser les données clients », poursuit Elizabeth Maxwell. « La plupart des grandes entreprises stockent leurs données clients sur des systèmes mainframe en raison du haut niveau de sécurité et de l’évolutivité qu’ils offrent. Les données résident généralement dans un dédale complexe de bases de données s’étendant sur plusieurs systèmes, et les entreprises les localisent et les extraient via des processus manuels chronophages. Elles ont besoin d’une méthode automatisée leur permettant de cartographier et de visualiser les relations entre les données afin de trouver et de supprimer rapidement les informations pertinentes, le tout sans compétences particulières. »

 

 

5-raisons-de-mener-une-etude-dimpact

 

Commandée par Compuware, l’étude a été menée par la société d’études indépendante Vanson Bourne qui a interrogé 400 DSI de grandes entreprises représentatives des marchés verticaux en France, en Allemagne, en Italie, en Espagne, au Royaume-Uni et aux États-Unis.


Réalisée en avril 2017, cette étude fait suite à une enquête similaire conduite en 2016. Les résultats de l’étude 2016 sur le règlement RGPD sont accessibles ici : http://hubs.ly/H07qN5W0

 

BONUS: 

http://resources.compuware.com/unprepared-for-gdpr?utm_campaign=FY17Q2_GDPR&utm_source=press%20release%20may%202017

 

 Abonnemnt-2017

 

@DPO_News @cyberisques @jpbichard #GDPR : La face cachée du GDPR

SAS Event Paris La Defense 28 février 2017

 

La face cachée du GDPR

 

 

par Jean Philippe Bichard  @DPO_NEWS

Phot-JPB-DPO NEWS

 

 

Derniere mise à jour: 3 mars 2017

 

Plus que 450 jours pour réaliser le « data ménage » exigé par le GDPR dans les données personnelles détenues et traitées par les organisations et leurs sous-traitants. GDPR : une approche de conformité ? Oui mais pas seulement. État des lieux avec les experts réunis par SaS à l'occasion d'une table ronde sur le GDPR (règlement européen pour la protection des données à caractère personnel) et les non-dits du règlement EUR.

 

Kalliopi Spyridaki est Chief Privacy Strategist pour l'éditeur SaS en Europe. Sa présentation lors de la conférence dans un hôtel parisien à moins de 450 jours de la mise en application du GDPR prend une tournure intéressante. De la phase « d'évangilisation » on passe à la mise en place de projets GDPR en mode « urgence ». D'autres invités a la table ronde qui a suivi sa présentation s'accordent pour penser que la majorité des organisations ne seront pas « prêtes » pour la date butoir de mai 2018 ; Mais que signifie être prêt lorsqu'on évoque le GDPR ? Bonne question et ce n est pas la seule.

 

Certaines organisations réfléchissent à supprimer toutes les données a caractères personnelles hors production

 

Une certitude : à moins de 450 jours du « top départ » de la mise en application du RGPD - autre acronyme du règlement EUR - les entreprises et certainement pas plus la CNIL autorité officielle en France ne seront « ready ». Les premières pour mettre en place leurs projets de conformité, la seconde pour « contrôler les DPO » avec l'ensemble des « forces » nécessaires à cette nouvelle mission (la CNIL pourrait faire appel a des organisations externes pour réaliser ces missions). 

Mais restons positifs. Pour SAS éditeur de solutions analytiques et predictives le GDPR « permet aussi de ranger les placards ». Comprenez selon plusieurs études 70% des données ne sont plus utilisées par les SI actuels. Le GDPR sous d'apparentes contraintes pourrait réaliser le « data ménage » souhaité mais jamais effectué par toutes les organisations. Certaines organisations réfléchissent à supprimer toutes les données a caractères personnelles hors production. Un projet parallèle sorte de "data clean" qui pourrait constituer un avantage concurrentiel certain pour les entreprises qui réussiront ce tour de force (lire notre lien en section BONUS en fin d'article).

 

SaS-EVENT-28-FEV-2017

 

Nettoyage mais aussi innovation avec de nouvelles applications « privacy by design » qui garantiront le respect de la vie privée aux clients dans leur "conception". Pour Kalliopi Spyridaki le nouveau règlement européen sur la protection des données personnelles constituent un « plus » pour les entreprises qui sauront marier le GDPR avec une stratégie de "data gouvernance" tournée vers leurs clients, sous-traitants et partenaires.

 

Le GDPR concerne les traitements autant que les données personnelles

En matière d'innovation, si le client a donné son consentement, via les nouvelles exigences du GDPR, il sera possible de rapprocher, traiter et croiser certaines données personnelles en toutes légalité. Du coup, les premiers conformes seront les premiers avantagés auprès des clients. « Si l'on prend comme exemple le comportement de consommateurs via leur marche et leurs traces de pas filmées, ces dernières ne constituent pas une donnée personnelle mais leurs traces associées à des caméras qui géolocalisent le déplacement de clients dans l'ensemble des espaces d'un centre commercial, constituent une innovation en terme de service pour l'organisation qui en sera à l'origine » explique la Chief Privacy Strategist de SaS. Toutefois précise t-elle, « une nécessaire transparence s'impose afin de créer la confiance avec les consommateurs, c'est seulement dans ses conditions que de tels traitements pourront désormais exister dans le cadre défini par la GDPR ». En gros la peinture demeure la m^me mais on ajoute un cadre. La GDPR de par les sanctions encourues devrait mettre fin aux pratiques de « contournement » des consentements des consommateurs par défaut. Si je perds plus que je ne gagne à cause des sanctions financières alors je deviens de facto "compliance GDPR"' ? Pas si simple surtout pour les organisations en mode GAFA. 

En effet, le consommateur voit avec la mise en place de la GDPR un certain nombre de droits nouveaux lui revenir : droit d’accès à l'effacement, le « fameux » droit à l'oubli, droit à la portabilité, droit à retirer son consentement, droit à s'opposer au profilage.... Des droits qui ne conviennent pas aux GAFA et notamment à Google bien que cet acteur ne soit pas le moins ouvert à des négociations avec l'Europe sur les conditions de mise en œuvre du GDPR.

Si les sanctions financières exigées se montrent largement supérieures aux gains réalisés en "oubliant" la législation, le GDPR pourrait s'imposer. Ce texte de 200 pages et 99 articles prévu pour protéger les consommateurs peut encourager des "class action" autrement dit des actions groupées de consommateurs mécontents du traitement réservé à leurs données à caractère personnel.

Toutefois, il est aisé d'imaginer en coulisses des négociations entre certains grands acteurs non européens mais très impliqués par le traitement de données de... citoyens européens (Amazon, Apple, Microsoft, Google, Facebook, IBM...) et des autorités nationales en Europe. Enjeux : les sanctions financières pouvant atteindre 4% du CA en cas de manquement aux règles du GDPR mais aussi... des milliers d'emplois créés par ces acteurs en Europe.

Dernier point, en passant du mode déclaratif actuel au mode "accountability" (responsabilités  et sanctions) le GDPR forme un socle sur lequel pourront venir s'appuyer des législations nationales qui préciseront les modalités "d'adaptation" du texte Européen dans chaque pays de l'Union.  Les Etats-Membres comme le précise l'article 23 du GDPR peuvent en effet prévoir des "exceptions" et des "modifications" au texte européen.

 

Abonnemnt-2017

 

Autre facette peu mise en lumière du GDPR, si des droits nouveaux sont accordés, bon nombre d'acteurs à commencer par les entreprises s'interrogent sur les conditions qui encadrent ces droits. Ainsi, la notion de « techniquement faisable » édictée par des juristes dans le GDPR laisse perplexe les ingénieurs. D'autres "interprétations" existent comme "un traitement à grande échelle"... qui commence où par exemple ? Faut il comprendre qu'il s'agit des traitements "métiers" les plus utilisés ?  (Lire notre article réservé aux abonnés de DPO_NEWS:  GDPR: 15 questions essentielles que se posent les DPO

N'oublions pas que si le GDPR réglemente les usages et les traitements des données à caractère personnel il ne les interdit pas. Pour Vincent Rejany, EMEA Data Management Pre-Sales Manager SaS « en tout challenge réside une opportunité » (dixit Einstein). Pour lui le GDPR permet de recadrer les éventuelles dérives. Certaines sont totalement involontaires. Il cite le commentaire d'une force commerciale dans un CRM : « mon client sera absent à notre réunion, il va se faire opérer d'un cancer » Ce commentaire relève dans l'esprit du GDPR d'une violation de la vie privée via la publication de données à caractère personnel. Mais pour l'auteur, il s'agit simplement d'une information diffusée en interne sans souci de malveillance.

C'est pour ces raisons que les concepts d'anonymisation et de pseudonymization (voir BONUS) existent dans le GDPR en plus des audits d'impacts. Pour l'éditeur SaS, le volet technique utile pour déceler, identifier et cartographier les contenus à caractère personnel ne nécessite pas de nouveaux outils. Les offres de type SaS Entreprise Gouvernance, SaS Data Management et Sas federative server répondraient aux nouvelles exigences contenues dans le GDPR selon SaS. Sur ce point le débat est ouverts (cf : @DPO_NEWS http://bit.ly/2l05X3b)

Indépendamment des outils des priorités existent pour se mettre « rapidement » en conformité. Première choses définir les process les plus urgents (cf : http://bit.ly/2kFWYjI) « Ce qui compte indique Me Clémentine Richard du Cabinet Aramis, « c'est l'intention et pouvoir démontrer voire prouver de la part des entreprises qu'elles effectuent la bonne démarche pour se trouver en conformité ». Une précision: les cabinets d'avocats sentent de réelles opportunité dans l'obligation renfermée dans le GDPR de faire appel aux services d'un DPO. DPO qui peut être une équipe. Une équipe qui peut être externalisée. Mais le texte européen prevoit également que ce ou ces DPO doivent "toujours êtres joignables par les utilisateurs à n'importe quelle période". "DPO as a service" pour "Avocats as a Service" ?  les prétendants s'alignent sur la ligne de départ. Marché immense que celui du "DPO as a service" estimé à plusieurs millions d'euros (Lire notre article "GDPR: tres chères datas" @DPO_NEWS pour nos abonnés). On estime à pres de 24 000 les "nouveaux" postes DPO.   

Une approche approuvée par Laurent Zeitoun (Novencia) et Nuvin Goonmeter (Ernst&Young) qui chacun déclinent les « dessous » d'une approche GDPR.

.

@jpbichard

Suite de l'article réservée à nos abonné(e)s (reste à lire 75%.)

 

Au sujet de l'auteur: 

Journaliste IT depuis 27 ans, IHEDN 2005, animateur d'évènements (tables rondes) IT / GDPR, auteur de plusieurs ouvrages, co-fondateur en 1997 du premier média "cybersecurité" NetCost&Security avec Olivier Caleff, Jean Philippe Bichard -@jpbichard - a créé le site de veille  http://cyberisques.com en 2012.

Premier journaliste animateur des « Assises de la sécurité » dans les années 2000, il collabore à différents médias (tech et Eco).

En plus de cyberisques  - gouvernance des risques IT -  il crée en 2016, @DPO_News média sur abonnement individuel consacré aux projets GDPR (organisationnel, technique, juridique, business) et à la veille stratégique pour les DPO (avec retour d'experience). 

En plus d'animations (avec compte-rendu) et d'enquêtes marché, Jean Philippe rédige à la demande de nombreux « white papers » études « business » et autres contenus WEB sur les thématiques Cyberisques / GDPR.

Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

@cyberisques @jpbichard @DPO_NEWS

 

  

BONUS :

http://cyberisques.com/fr/component/search/?searchword=GDPR&searchphrase=all&Itemid=582

http://www.welivesecurity.com/2017/02/09/gdpr-good-bad-news-business/

 

Les dossiers de Cyber Risques News

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

Renseignements   Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

Informations supplémentaires