#DPO_News #cyberisques #GDPR : GDPR faits et chiffres 9 entreprises sur 10 ont subi une fuite de données ( Lloyd’s )

 

                                       GDPR le grand défi de 2017

 

Le RGPD (ou GDPR General Data Protection Regulation ) vise à renforcer l'obligation faite aux entreprises qui travaillent en Europe de protéger les données personnelles de leurs utilisateurs et clients. Le RGPD implique notamment l'unification des règles en la matière au niveau européen ainsi que le principe d'extra-territorialité, s'appliquant ainsi aux entreprises non européennes qui ciblent des résidents européens.

 

Selon Lloyd’s, en France 9 entreprises sur 10 ont subi une fuite de données ( voir  lien en section BONUS en fin d'article ) 

Encore peu sensibilisés, les décideurs EUR mesurent difficilement les enjeux liés à la mise en conformité de la protection des données à caractère personnel de leurs SI (Système d'informations) avec le GDPR. Seules 7% des organisations considèrent la Cyber comme un sujet prioritaire et de premier ordre (Deloitte/Enquête 2016 « Enjeux Cyber »). L'erreur majeure serait de considérer qu'une telle mise en conformité ne concerne que le service juridique de l'entreprise. Elle doit bien au contraire impliquer toutes les directions de la société : Juridique, Marketing & Commercial, Ressources Humaines, Informatique, etc. Elle doit également engager l’ensemble des niveaux de la hiérarchie pour faire aboutir et accepter ce type de projet de transformation auprès des Comex et secrétariats généraux.

 

Histo-GDPR-DPO NEWS-2017

 

 

Dans un entretien exclusif accordé à Cyberisques News (voir la section BONUS) Albine Vincent, Chef du service des CILs au sein de la CNIL indique que 4722 CILs (correspondants informatique et liberté) travaillent début 2017 dans 17704 organisations (notamment des administrations). Les futurs DPO seront ils issus des CIL ou devront ils posséder un profil différent ? Pour la CNIL ces managers en charge de la mise en place de la conformité GDPR pourront être externalisés et nommés pour plusieurs entités. Mais précise la CNIL tous les CIL ne deviendront pas tous des DPO ( http://bit.ly/2iRPs6G ). 

 Moins de 500 jours pour une mise en conformité

 Les délais peuvent sembler relativement courts aux entreprises enuropéennes pour mettre en place des changements stratégiques indispensables. Ces évolutions demeurent toutefois plus que nécessaires pour êtres conformes avec le nouveau cadre juridique. Elles n'ont plus le choix. Pratiquement toutes les entreprises de plus de 50 collaborateurs ont concernées

Le règlement européen en vigueur depuis le 24 mai 2016 et applicable à partir du 25 mai 2018, prévoit des sanctions pouvant aller jusqu’à 4 % du chiffre d’affaires annuel mondial et 20 millions d’euros. 

L’une des principales difficultés rencontrées par les organisations pour l’application du règlement GDPR est leur mise en conformité avec les règles édictées par l'article 35 qui, en cas de risques élevés, impose la réalisation d’études d’impact sur la vie privée et l’adaptation des politiques de sécurité associées. Des notions nouvelles apparaissent comme le "privacy in design". On le constate, pour les futurs DPO, la réalisation d'un audit général de l"existant s'impose pour recenser, réaliser l'inventaire technique, effectuer des mapping des flux de données...).  Un travail considérable attend le futur DPO. Selon Egérie Software, si une entreprise compte 100 traitements sensibles : il faut compter 500 à 1000 jours/hommes pour réaliser l'audit de premier niveau qui devra s'accompagner d'un EIVP (etude d'impact sur la vie privée) ou PIA (Privacy impact assessment). 

Qui va venir en aide au DPO ? De quels moyens disposeront les futurs DPO ? Métiers, DSI, juridique, RH... ? Quels budgets ( lire notre encadré 1 DPO&Budget ) On peut imaginer que le RSSI soit le premier "partenaire" du DPO. Le RSSI réalisant des analyses de risques orientées « impact entreprise » et le DPO des analyses « impact sur les personnes ».

Le GDPR constitue un atout au plan mondial pour les organisations EU

Au dela du respect des règles élémentaires liées à la vie privée des citoyens européens, il s'agit également des impacts liés au "business";

 

La Commission Européenne ne néglige pas l'économie numérique. C'est un secteur qui a généré en 2015 près de 230 milliards de revenus. Une meilleure circulation des données pourrait générer jusqu'à huit milliards d'euros de PIB par an estime la Comission Européenne. Le CIGREF dans un récent rapport souligne cet aspect en liant la gestion et la protection des données au...COMEX. Pour évaluer les grandes tendances en matière d’usages des données dans les grandes entreprises, le CIGREF a réalisé une courte enquête auprès de ses membres au lancement du groupe de travail, fin 2015. Sur la trentaine d’entreprises qui ont répondu, il est apparu que :  

• Les principaux usages faits de la donnée par les différents Métiers et Fonctions de l’entreprise visent en priorité à améliorer la prise de décision, à analyser la rentabilité, à renforcer la connaissance client, à améliorer les services aux clients, mais aussi à élaborer de nouveaux produits et services ;

 • Une grande majorité d’entreprises a mis en place une application Big Data, et utilise très largement des données externes ;

• Plus de 50% des entreprises répondantes ne mettent pas leurs données à disposition du public et n’ont pas de politique d’Open Data ;

 • Les bénéfices tirés de l’usage des données visent à fidéliser les clients et améliorer la qualité pour développer l’avantage concurrentiel ;

 • Les entreprises n’ont globalement pas élaboré de méthode de mesure de la valeur de leurs données ;

• Les principaux freins à la mise en place d’une démarche de valorisation des données sont de nature culturelle et organisationnelle ;

• La question de la valorisation des données se positionne d’abord au niveau des Directions Métiers, puis du Comex.

 

Une étude conduite par l’UE en janvier 2016 révèle que les données européennes à caractère personnel ont de plus en plus de valeur et atteindront près d’1 billion d’euros d’ici à 2020, seulement deux ans après l’entrée en vigueur du RGPD. Les entreprises européennes seront donc en possession de données personnelles protégées et donc davantage valorisées. De ce point de vue, le GDPR constitue vraisemblablement un atout au plan mondial pour les organisations EU. Reste que sa mise en oeuvre ne peut s'effectuer sns une plus grande comprehension des attentes des clients, partenaires et utilisateurs sur l'usage de leurs données privées. C'est le sens donné par La Poste avec sa Charte Data ( lire encadré 2: Charte Data à La Poste). On voit que la GDPR offre de multiples opportunités. Ce que résume Maitre Isabelle Renard du cabinet d'avocats Isabelle renard (cf Bonus en fin d'article) "Il ne faut pas se tromper de sujet. Le vrai sujet de la GDPR n’est pas tant celui de la conformité à des règles complexes orientées vers la protection de l’individu que celui de l’organisation de l’information au sein de l’entreprise".  Et tout cela en moins de 500 jours ! 

@jpbichard    

@DPO_News        @cyberisques 

 

En savoir plus: Section BONUS en fin d'article 

 

Info-1-DPO News-2017

 

 

 1  -  DPO & Budget 

 

  •   Budget for data inventory and mapping. But, note that automated solutions promising file autoclassification or algorithmic recognition of personal data require a lot of fine-tuning: until machine learning “has cracked” the broad GDPR definition of personal data, Art. 30 still requires complex human judgment.
  •   Budget for privacy and state-of-the-art safety by design and by default. But, note that neither privacy by design or state-of-the-art safety are achieved through single software solutions but involve two distinct processes - one for future data collection and one for “sanitising” legacy data sets that a business wants to hold on to or for erasing datasets it no longer wishes or has reason to rely upon.
  •   Budget for solutions to enable the exercise of Art. 15-22 data subject rights. This part of the budget should be owned by IT, especially as Art. 17 right to erasure, Art. 20 right to portability, Art. 21(1) right to object to processing and Art. 18 right to restriction of processing are not achievable through ad hoc intervention alone but involve core and very demanding IT architecture changes. Note that reliance on legitimate business interest as a lawful basis for processing is no easier on the IT architecture than reliance on consent.
  •   Budget to train employees to recognise GDPR personal data flows. A business' first and best line of defence, they will contribute to filling the inevitable gaps in a data map.
  •   Budget for incentives for hunting down “rogue or non-obvious” personal data records . If, on budget day, anyone laughs this off, refer them to the extensive Bug Bounty literature in IT security and Microsoft Corp.'s well known six-figure vulnerability rewards for ethical hackers.
  •   Budget to train employees. Existing employees should be trained to understand the functional specifications of the GDPR in their own role and business function.
  •   Budget to train employees to negotiate with sector-specific vendors and co-design GDPR solutions for their role and business function . If they have not helped design these solutions, they will not use them. Central ownership of the compliance programme is key, but delegating/decentralising the research of potential solutions multiplies chances of success.
  •   Budget for stress-testing GDPR resilience of the solutions proposed. Seek inspiration from the “Hack the Pentagon” initiative and the EU's own Bug Bounty funding. Keep the two budgets separate: one to support identification of personal data potential leaks, and a different one to stress-test the solutions found to prevent personal data leaks, including access control layers, encryption and de-identification of the data sets themselves.
  •   Budget to co-ordinate and integrate the solutions crowdsourced from the business units/functions. Set up single accountability/demonstrability framework. The different solutions need to integrate with each other and central project management is key.
  •   Budget to hire both a GDPR architect and a GDPR DPO. There will be collaboration first and then a handover between the first and the second, but a single professional profile with both sets of skills does not yet exist or is extremely rare.

Source: https://www.bna.com/companys-2017-eu-n73014449643/

 

 2 -  La Poste: pourquoi une charte DATA ?

 

La data, sous toutes ces formes, est le socle sur lequel repose l’ensemble des services quotidiens fournis par La Poste. Elle permet plus de services, plus de modernité et une vraie personnalisation de l’offre explique Eric Alix, Chief Data Officer du Groupe La Poste.

Les 2/3 des Français et 80% des jeunes, attendent aujourd’hui des entreprises qu’elles leur proposent des services plus personnalisés (étude menée par Harris Interactive pour La Poste « Les Français et leurs données » en mars 2016.)

Pour répondre à leurs attentes, les données sont un capital essentiel. Malgré cela, seul 1/3 des Français est prêt à confier ses données personnelles*. Cette réticence pourrait être levée par des engagements forts de la part des entreprises quant à la sécurité, la possibilité d’accès, de modification et de choix de partage de leurs données.

La Poste gère de la donnée utile et veut être responsable dans sa politique de gestion des données clients. La Charte Data de la Poste répond ainsi aux attentes des Français en recherche de transparence dans l’utilisation de leurs données personnelles. Ainsi, 65% d’entre eux estiment que la Charte Data de La Poste est une bonne chose*.

Bien que le cadre réglementaire soit posé et régulièrement mis à jour, les moyens à mettre en place par les fournisseurs de technologies, les entreprises et les annonceurs pour y répondre restent abstraits.

La Poste va plus loin que le cadre légal en développant des mesures concrètes en phase avec les attentes des clients autour d’un principe clé : c’est le client qui décide de l’utilisation de ses données.

La charte DATA est à envisager dans une démarche de progrès dont la concrétisation des engagements se fera par étapes. Cette politique data s’appuie sur une volonté forte de la gouvernance du Groupe. Le Chief Data Officer et la Directrice de la protection des données, deux fonctions clés, encore rares au sein des grandes entreprises, coordonneront cette politique data. Ils reporteront auprès du Comité Qualité et Développement Durable (QDD) du Conseil d’Administration du Groupe La Poste.

 

 

3  -  GDPR: dès mai 2018, les organisations des 29 (28 ?) pays de l'UE devront :

  • Respecter un principe de Transparence,

  • Tenir une liste des traitements de données personnelles,

  • Documenter (et être capable d’en apporter la preuve) les mesures de mise en conformité des traitements de données personnelles (« Accountability »)

  • Analyser les risques liés à la nature des données et aux traitements

  • Notifier aupres de la CNIL les failles de sécurité portant sur des données personnelles dans les 72 heures

  • Mener une étude d’impact sur la vie privée en cas de risques élevés

  • Prendre des mesures de Data Protection by Design

  • Obligatoirement désigner un Data Protection Officer (DPO) dans les cas suivants: administration publique, opérations qui requièrent une surveillance régulière et systématique des personnes physiques à grande échelle, traitements à grande échelle de catégories particulières de données,

  • Respecter les droits des personnes et notamment le droit à la portabilité, le droit à l’oubli…

 

 

GDPR quelques rappels: 

 

GDPR: 

Après quatre années de débats, la Commission européenne, le Parlement européen et le Conseil de l’Union ont abouti à un texte de compromis le 15 décembre 2015. Le Règlement a été formellement approuvé par les institutions et publié au Journal Officiel de l’Union européenne le 4 mai 2016. L’année 2017 sera l’année du RGPD (GDPR). Ce sera l'année de la mise en conformité avant l'application obligatoire le 25 mai 2018.

  (Cabinet d'avocats Mathias)

 

DPO: 

http://safedatamatters.com/appointing-dpo/

 

Le Délégué à la Protection des Données (DPO) est une nouvelle fonction introduite par le Règlement européen 2016/679 du 27 avril 2016 relatif à la protection des données à caractère personnel.

Dépassant de loin les fonctions des Correspondants Informatique et Libertés (CIL), le DPO a vocation à se généraliser grâce à ce texte. Facultatif dans certains cas, obligatoire dans d’autres, le DPO constitue en effet une nouvelle fonction à intégrer dans l’organisation des entreprises comme des entités publiques.

Disposant de fonctions distinctes de celles de la Direction des Systèmes d’Information (DSI) ou du Responsable de la Sécurité des Systèmes d’Information (RSSI), le DPO doit en outre justifier d’une expertise particulière qui pose plusieurs questions :

Quels sont les enjeux de cette nouvelle fonction ? Quelles sont les missions du DPO ? Qui désigner en tant que DPO ?

1/ Enjeux de la fonction de DPO

Les enjeux de la fonction de DPO sont naturellement liés aux nouvelles règles portées par le Règlement Européen. Ces règles ont en effet vocation à définir un nouveau cadre pour la protection des données ; un cadre destiné à renforcer la protection de la vie privée des personnes en tenant compte des évolutions technologiques (profilage, big data[1], intelligence artificielle, objets connectés, cloud computing etc.).

La désignation d’un DPO s’inscrit ainsi dans une démarche globale qu’il est possible d’analyser au regard des trois grands principes suivants :

  • Accountability: désigne pour la CNIL « l’obligation pour les entreprises de mettre en œuvre des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données »[2]. Le DPO a vocation à s’assurer du respect de cette obligation et de piloter la mise en œuvre de l’ensemble des process dédiés à la conformité juridique des traitements. Cette mise en conformité est en outre générale. Elle prend avec le Règlement Européen une dimension particulière de type prospectif dès lors qu’elle est associée aux deux principes complémentaires suivants :

  • Privacy by design : en application de ce deuxième principe général, responsables de traitement et sous-traitants doivent appréhender la problématique des données personnelles dès la conception d’un projet impliquant des données à caractère personnel. Cela supposera donc d’associer le DPO aux stratégies de développement, qu’il s’agisse par exemple du projet de lancement d’un objet connecté de contrôle de l’alimentation, d’un logiciel de gestion de fichiers clients (CRM), ou encore d’une campagne e-marketing utilisant des outils de profilage…

  • Privacy by default: suivant l’engagement de Privacy by default, chaque acteur devra veiller à limiter les traitements de données, par défaut, à ce qui est strictement nécessaire. Lorsqu’il contrôlera le paramétrage de telle ou telle application ou encore, lorsque telle ou telle opération marketing sera envisagée par l’organisme qui l’aura désigné, le DPO aura en charge de vérifier que la quantité de données collectées, la durée de conservation ou encore le nombre de personnes habilitées à accéder aux données sont strictement limités aux finalités des traitements envisagés.

L’enseignement à tirer de ces grands principes est que la désignation des DPO concernera aussi bien les responsables de traitements que les fournisseurs de solutions permettant de réaliser lesdits traitements. Il s’agit là d’un des points clés du Règlement Européen qui s’attache à favoriser un système de responsabilisation des acteurs sur toute la chaîne de service tout en renforçant les droits des personnes visées (Cf. information élargie, recueil du consentement consolidé etc.).

Le DPO participe directement à cette logique de responsabilisation et de renforcement des droits des personnes. Les différentes missions qui lui sont confiées vont d’ailleurs clairement en ce sens.

2/ Les Missions du DPO

Les missions du DPO sont fixées à l’article 39 du Règlement Européen. Cet article prévoit ainsi que les missions confiées au Délégué à la Protection des Données couvrent a minima les points suivants :

  • informer et conseiller le responsable du traitement ou le sous-traitant ainsi que les employés qui procèdent au traitement sur les obligations qui leur incombent (…) en matière de protection des données

  • contrôler le respect du (…) droit (…)en matière de protection des données et des règles internes du responsable du traitement ou du sous-traitant en matière de protection des données à caractère personnel, y compris en ce qui concerne la répartition des responsabilités, la sensibilisation et la formation du personnel participant aux opérations de traitement, et les audits s’y rapportant

  • dispenser des conseils, sur demande, en ce qui concerne l’analyse d’impact relative à la protection des données et vérifier l’exécution de celle-ci en vertu de l’article 35

  • coopérer avec l’autorité de contrôle ;

  • faire office de point de contact pour l’autorité de contrôle sur les questions relatives au traitement, y compris la consultation préalable visée à l’article 36, et mener des consultations, le cas échéant, sur tout autre sujet

  • Le délégué à la protection des données tient dûment compte, dans l’accomplissement de ses missions, du risque associé aux opérations de traitement compte tenu de la nature, de la portée, du contexte et des finalités du traitement

Concrètement, le DPO doit ainsi être placé au cœur du système et être associé par le responsable de traitement et le sous-traitant à chaque opération, chaque projet susceptible d’impacter la vie privée des personnes et la protection de leurs données.

Ses pouvoirs sont étendus par rapport au Correspondant Informatique et libertés (CIL) dans la mesure où ils dépassent le seul rôle consultatif. Le texte est en effet clair sur ce point : le DPO veille au respect du droit de la protection des données, il doit donc s’assurer de la conformité juridique des traitements au-delà du simple conseil et de la simple consultation. Il en résulte une conséquence immédiate : une telle fonction impliquera de facto des compétences particulières et un choix parfois cornélien entre externalisation et désignation interne.

  • Qui désigner en tant que DPO ?

Les articles 37 et 38 du Règlement Européen permettent de répondre à cette question :

  • « Le délégué à la protection des données est désigné sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir les missions visées à l’article 39.

  • Le délégué à la protection des données peut être un membre du personnel du responsable du traitement ou du sous-traitant, ou exercer ses missions sur la base d’un contrat de service.

  • Le délégué à la protection des données est soumis au secret professionnel ou à une obligation de confidentialité en ce qui concerne l’exercice de ses missions

  • Le délégué à la protection des données peut exécuter d’autres missions et tâches. Le responsable du traitement ou le sous-traitant veillent à ce que ces missions et tâches n’entraînent pas de conflit d’intérêts »

Au regard de ces dispositions, constatons que si la logique d’indépendance qui était l’une des bases du statut du CIL perdure, un renforcement drastique des exigences de compétences en matière juridique est ici opéré pour le DPO. Du reste, ce renforcement suit logiquement l’élargissement des missions du DPO avec en premier lieu l’obligation de contrôle de la mise en conformité juridique des traitements.

Or, externaliser cette fonction via un contrat de prestation de service peut apparaître une solution stratégique tant au niveau de la gouvernance interne (comment en effet assurer l’indépendance d’un membre du personnel pour une fonction aussi sensible ?) qu’au niveau des coûts.

Si des clarifications restent à être apportées sur le caractère obligatoire ou facultatif de la désignation d’un DPO, il est vraisemblable que l’obligation devienne rapidement la règle. En effet, la condition « de suivi régulier et systématique à grande échelle des personnes » prévu par le texte n’est-elle pas de facto remplie pour du profilage mis en œuvre dans le cadre de la gestion d’un CRM ou de campagnes marketing ? De même, le pendant de la suppression des formalités déclaratives à la CNIL et de la mise en place des principes généraux d’Accountability et de Privacy by design n’est-il pas justement une généralisation des DPO ? Nul doute que le législateur français et la CNIL précisent rapidement ces points.

En tout état de cause, il appartient d’ores et déjà aux entreprises et organismes publics de se préparer activement à la mise en œuvre des principes du Règlement dont la violation donnera lieu à d’importantes sanctions à compter de mai 2018 (amendes administratives pouvant s’élever à 10 millions d’euros ou 2% du chiffre d’affaires annuel mondial).

La réalisation d’études d’impact[3] avec tests d’intrusion et la désignation interne ou externe de DPO constituent sans nul doute deux chantiers essentiels à envisager.

Fort d’une expertise de plus de vingt ans en droit des nouvelles technologies, bénéficiant d’une triple labellisation CNIL pour ses prestations d’audit de traitements et de formations, le Cabinet HAAS accompagne ses clients pour la mise en conformité de leurs traitements à la réglementation sur la protection des données. CIL externe de plusieurs sociétés, le Cabinet HAAS propose à ce titre la réalisation d’études d’impact et la souscription de contrats de prestations de service en vue de sa désignation en tant que DPO.

Gérard Haas, Avocat à la Cour et Stéphane Astier

 

 

[1] http://www.haas-avocats.com/actualite-juridique/loffre-big-data-entre-casse-tete-juridique-et-defi-ethique/

[2] Cf. www.cnil.fr

[3] Cf. http://www.haas-avocats.com/data/raisons-mener-une-etude-dimpact/

 

 

Sanctions: 

En France, la Cnil avait la possibilité d’imposer une sanction maximale de 150 000 € avant que la loi pour une République numérique n’augmente ce montant à 3 millions d’euros. Mais le GDPR, règlement européen d’application directe, abrogera dès mai 2018 cette partie de la réglementation française pour imposer des sanctions pouvant aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial annuel des entreprises.

 

 

capture-5-Cyberisques-DPO News-A-Vincent-CNIL-2017

 Source Boston Consulting 2016

 

 

DPO News-GDPR-Véritas

 Source Veritas 2017

 

DPO News-2017

 

 

Data-Perso-2017

 Source Gemalto 2017

 

DPO

 Source: Cabinet Mathias Avocats Mathias Avocats

 

 

BONUS: 

 http://www.cyberisques.com/fr/mots-cles-5/614-cyberisques-dpo-gdpr-2017-orientations-g29-dec-2016

http://www.cyberisques.com/fr/component/content/article/93-categorie-3/sous-categorie-3-1/621-interview-dpo-news-cyberisques-albine-vincent-chef-service-des-cils-au-sein-de-la-cnil

 http://cyberisques.com/fr/component/content/article/104-news/synthese/619-cyberisques-dpo-news-pour-7-dirigeants-sur-10-l-utilisation-de-la-donnee-accroit-le-risque-de-reputation-de-leur-entreprise

https://www.droit-technologie.org/actualites/gdpr-droit-a-portabilite-donnees-analyse-lignes-directrices-g29/?utm_source=dlvr.it&utm_medium=twitter

http://www.cyberisques.com/fr/mots-cles-8/572-cybersecurite-54-des-chefs-d-entreprises-eu-responsables

https://www.cnil.fr/fr/la-protection-des-donnees-dans-le-monde 

http://www.lloyds.com/lloyds/about-us/what-do-we-insure/what-lloyds-insures/cyber/cyber-reports

http://www.irenard-avocat.com/fr/actualites/id-113-mise-en-conformite-a-la-reglementation-protectrice-des-donnees-personnelles-un-vrai-chantier 

https://globalcompliancenews.com/germany-data-protection-officer-conflict-of-interest-20161121/ 

 

ESET nouvelle version TPE / Home market compatible RGPD

Solutions: 

 

 

ESET met l'accent sur les cyberisques ciblant les acteurs SMB

 

Par manque de sensibilisation à la sécurité informatique, les TPE qui ne disposent de moyens humains dédiés, s’exposent à un risque plus élevé pouvant avoir de graves conséquences pour leur entreprise. Fort de ce constat et dans un souci de conformité juridique avec le futur reglement européen sur la protection des données (RGPD) ESET annonce aujourd'hui le lancement de ESET Smart Security Premium solution dédiée aux acteurs SMB et une nouvelle version de sa suite de sécurité pour le marche domestique.

 

ESET-V10

 

 

On savait la technologie ESET déjà particulirement efficace contre les spams ( https://www.eset.com/us/resources/detail/eset-undisputed-no-1-in-spam-protection/). Avec cette nouvelle version, les ingénieurs d'ESET ont ajouté au-delà des fonctions de base (antivirus, anti-phishing, protection contre les attaques par script, antispam…), des fonctions permettant d’accompagner les TPE dans la mise en place de systèmes de sécurité répondant aux exigences du RGPD : protection contre les attaques « script », chiffrement des données pour éviter les fuites éventuelles, protection du réseau domestique afin de connaître l’identité des appareils connectés, gestionnaire de mots de passe afin de protéger tous les accès par des mots de passe efficaces.

« Récemment, un cabinet médical s’est adressé à nous après s’être retrouvé infecté par un ransomware causant la perte de l’ensemble des données de ses patients. Il n’avait pas installé de solutions de sécurité car il n’en voyait pas l’utilité. Il devient urgent que les TPE prennent conscience de l’importance des données qu’ils détiennent », explique Benoît Grunemwald, Directeur des Opérations chez ESET France.

La première démarche consiste à réaliser une cartographie des données et attribuer un niveau de sensibilité aux informations. Pour appliquer les mesures, l’expert juridique viendra en soutien des actions entreprises par la société. Il restera alors la mise en place des systèmes de sécurité.

Avec l’arrivée du RGPD (2018) les TPE devront, au même titre que les grands comptes, s’approprier le texte qui vise à protéger les données personnelles hébergées par les entreprises et leurs sous-traitants. A ce titre, des mesures imposées par le règlement européen devront être mises en place sous peine de sanctions. La mise ne conformité de la protection des données devient donc une obligation. 

C'est dans cette stratégie de mise en conformité que l'éditeur européen cherche a étendre ses solutions pour toucher de nouveaux marchés au dela des cibles "home" et "SMB". S’appuyant sur un réseau de plus de 3.000 partenaires, ESET France accompagne toutes les entreprises en vue de l’adoption du RGPD.

« Gartner et IDC nous positionne 4ème éditeur mondial en volume sur les End Point. Eset est un acteur majeur Européen car la société est slovaque donc nous avons des pays où nous sommes premiers et continuons à croitre dans d’autres. Au-delà des discours nous avons une vrai solution qui répond à la problématique de nos clients .Nous privilégions le test qui prouve la valeur de notre approche et l’honnêteté que nous apportons dans la relation client. Nous avons volonté à aller sur les grands comptes mais notre cœur de cible est toujours le SMB et nous ne voulons pas risquer de mettre en péril la qualité de nos produits en ayant une gamme trop importante avec laquelle nous ne pourrions garantir la qualité à nos utilisateurs. Un exemple est le SCADA où nous n’avons pas de version spécifique mais nous adressons leur problématique de sécurité avec notre produit générique.» expliquait lors des Assises de la Sécurité a Monaco début octobre 2016, Benoit Grunemwald à Cyberisques News(http://cyberisques.com/fr/mots-cles-1/580-eset-certains-disait-l-antivirus-est-mort-nous-disons-qu-il-a-evolue).

 

Des solution PRO déclinées auprès du marché domestique :

Dans le même esprit, l'éditeur slovaque étend sa gamme auprès du marché domestique. Déjà tres présent sur ce segment de marché, ESET propose de nouvelles fonctions notamment contre le cyber-chantage.

Une étude publiée fin octobre 2016 par MarkMonitor® (protection des marques d’entreprise), révèle que 45 % des consommateurs ont été victimes d’une forme quelconque de cybercriminalité, 65 % d’entre eux ayant choisi de ne pas signaler l’incident aux autorités. L’enquête montre également que, parmi ces consommateurs, un sur six a subi des pertes financières consécutives à la fraude en ligne, d’un montant supérieur à 1 100 € pour 20 % des victimes. Les fausses demandes de réinitialisation des mots de passe des comptes de réseaux sociaux représentent le type de fraude le plus courant (20 % du sous-échantillon), suivies de près par les e-mails qui usurpent l’identité de sociétés légitimes pour solliciter des informations personnelles (17 %).  A l'image des usages BYOD, on comprend qu'une passerrelle de plus en plus large existe entre les marchés PRO et les marchés domestiques. Conscient de cette évolution, ESET propose une nouvelle suite "domestique" doté de fonctions "PRO". 

La nouvelle version ESET Internet Security bénéficie désormais de deux fonctionnalités majeures selon l'éditeur avec d'une part une protection Webcam qui signale les processus et les applications qui tentent d’accéder à la webcam et permet de les bloquer. D'autre part, une protection du réseau domestique permet à l’utilisateur de connaître l’identité des appareils connectés.

  « Le tout nouveau produit ESET Internet Security vient s’ajouter à notre portefeuille de produits primés et offre aux utilisateurs les meilleures fonctionnalités en matière de détection, de vitesse et de convivialité. Ces nouveaux produits ajoutent à nos protections multi-couches existants un ensemble de fonctionnalités centrées sur la protection de la vie privée » explique Eduard Kesely, Product Manager chez ESET.

L’utilisation massive des réseaux sociaux et la Génération Selfies attirent de nombreux pirates qui s’infiltrent dans les appareils connectés (ordinateurs, tablettes et smartphones) dans le but de récupérer leurs données ou même d’avoir accès à leur webcam.

Les cyberattaques récentes de type DdoS sur des infrastructures d'opérateurs montrent a quel point les Webcams et autres IoT (Objets connectés) sont devenus des vecteurs et plus seulement des cibles finales ( http://cyberisques.com/fr/mots-cles-15/139-mots-cles-32-externalisation/586-apres-l-attaque-sur-sns-dyn-la-securite-des-iot-en-question )

ESET semble bien positionné pour aborder 2017 et "ses" nouveaux marché.

 

BONUS :

ESET Internet Security est disponible sur www.eset.com/fr/

 

 

#Cyberisques : Conformité reglementaire 1er Janvier 2017 : 4 nouveaux secteurs OIV concernés: Audiovisuel et information Communications électroniques et Internet Industrie Finances

Communication Corporate:

 

Conformité reglementaire 1er Janvier 2017 : 4 nouveaux secteurs OIV concernés: Audiovisuel et information
Communications électroniques et Internet
Industrie
Finances

 

WALLIX GROUP, éditeur de solutions de cyber-sécurité et de gouvernance des accès au système d'information, salue la poursuite et la mise en place de 4 nouveaux dispositifs concernant la sécurité des systèmes d'information des opérateurs d'importance vitale (OIV), contre les cyber-attaques.

De nouveaux marchés de grande envergure
Suite aux 9 arrêtés déjà mis en vigueur au 1er juillet et 1er octobre 2016, l’Agence Nationale pour la Sécurité des Systèmes d’Information (ANSSI) a publié au Journal Officiel 4 nouveaux arrêtés sectoriels fixant les règles relatives à la sécurité des systèmes d’information des OIV. Ces arrêtés concernent les secteurs :
Audiovisuel et information
Communications électroniques et Internet
Industrie
Finances

Une entrée en vigueur au 1er janvier 2017
Dès l’entrée en vigueur de ces nouveaux arrêtés sectoriels, les OIV cités seront dans l’obligation de se prémunir contre d'éventuelles intrusions de leurs systèmes informatiques. En conséquence et comme pour les précédents arrêtes sectoriels référents, ces entités devront notamment installer en leur sein des logiciels ou matériels qualifiés et recommandés par l’ANSSI et :


• Déclarer à l’ANSSI leurs incidents de sécurité ;
• Déclarer leur liste de Systèmes d'Information d'Importance Vitale (SIIV) à l’ANSSI ;
• Communiquer les coordonnées de leur service de permanence Systèmes de Sécurité Incendie (SSI) à l’ANSSI ;
• Être conformes aux 20 règles de sécurité concernant : la gouvernance, la maîtrise des risques et des SI, la protection des systèmes et la gestion de crise en cas d'attaques informatiques majeures.
Les contrevenants s'exposent à une amende pouvant aller jusqu'à 150 000 euros et à un an de prison en cas de « défaillance » ayant mis en péril une infrastructure dite sensible.

 

WAB Suite, une solution tout-en-un et certifiée :


WAB Suite est une solution certifiée auprès de l’ANSSI qui permet de gérer des comptes à privilèges tout-en-un, afin que les accès et sessions des super-utilisateurs soient sécurisés et supervisés.


Grâce à des fonctionnalités d’enregistrement et de surveillance en temps réel, le coffre-fort à mots de passe WALLIX fournit des éléments d’authentification complexes, secrets et modifiables pour les comptes à privilèges. De plus, afin d’anticiper une éventuelle cyber-attaque destructrice, la traçabilité et la capacité d’audit optimisent la réactivité des responsables sécurité en cas d’incident, et s’inscrit dans les règles de conformité décrites par l’ANSSI.

L’accès à l'intégralité de nos articles (dossiers

"expertises / compliance", enquêtes,

interviews exclusives, tendances chiffrées,

retours d'expérience par secteurs...) est

réservé à nos abonné(e)s

Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

 

BONUS: 

 

https://www.ssi.gouv.fr/uploads/2014/12/secnumcloud_referentiel_v3.0_niveau_essentiel.pdf

 

 

Etude Deloitte 2016: "Enjeux Cyber 2016, la face cachée de la cybersécurité"

Etude: septembre 2016

 

Etude Deloitte 2016:  "Enjeux Cyber 2016, la face cachée de la cybersécurité"

 

"En France, nous estimons à 50 le nombre d’attaques par jour que subit une entreprise" Bien que cette estimation soit difficile a analyser (taille de l’entreprise, niveau de sécurité (OIV?) secteur d’activité, sensibilité aux cyber risques… elle reflète les difficultés que doivent affronter les « auteurs » d’étude y compris celles adaptées au marche EU mais concue aux US (Lire notre section BONUS en fin d'article). La dernière proposée par Deloitte : "Enjeux Cyber 2016 La face cachée de la cybersécurité" se propose en toute humilité de  "de faire la lumière sur l’ensemble des enjeux que proposent la Cyber."

Elle est surtout révélatrice des turbulences qui agitent les COMEX face aux problematiques posées par les cyberisques. Quant à la face cachée, on ne comprend pas toujours ou elle est... contrairement à l'excellent rapport de Trend Micro sur l'underground français ( http://cyberisques.com/mots-cles-1/569-trend-micro-go-between-entre-la-france-et-le-japon ) et a celui de Compuware édité cette semaine (Infographie 1) .

Le questionnaire  expliquent les responsables Deloitte en France porte sur des entreprises pesant entre 1 a 10 milliards d’euros sur différents secteurs. Cible large ! En revanche, indépendamment du profil de l’entreprise, ce sont les RSSI qui ont été interrogés dans une large majorité (80%). Des RSSI pas toujours présents au CODIR. Ce qui n’empêche pas Deloitte de tirer certaines conclusions tres stratégiques. L’une d’entre elles portant sur la protection des données et les avantages « business » mérite le détour.

Selon Deloitte, en matière de Cybersécurité, deux visions s’opposent : « L’approche traditionnelle vise à traiter les risques Cyber dans le but de les maîtriser et les supprimer. Les mesures prises par l’entreprise permettent de mieux se protéger contre d’éventuelles attaques, tout en répondant aux contraintes des régulateurs. Pour d’autres, et c’est une approche totalement différente, la cybersécurité est une opportunité. Nous sommes convaincus qu’une gestion intelligente des risques aboutira à une amélioration du rendement et à une optimisation de la performance. Dans un environnement ultra-concurrentiel et en constante transformation, où les entreprises sont de plus en plus exposées aux risques, une meilleure appréhension des dispositifs de sécurité à mettre en place fournira un avantage compétitif de taille. Les décisions stratégiques des entreprises pourront être réalisées sereinement, dès lors que la gestion des risques qui y est associée (identification, évaluation, réponse) sera non seulement orientée « protection » mais également « optimisation de la performance ».

 

Données-RGPD

 Infographie 1: Source Compuware 2016 

 

Pour Michael Bittan, Associé responsable Cyber Risk Services Deloitte France c’est sans aucun doute la seconde approche qui sera appellée a se développer.

Dans un environnement ultra-concurrentiel et en constante transformation, où les entreprises sont de plus en plus exposées aux risques, une meilleure appréhension des dispositifs de sécurité à mettre en place fournira un avantage compétitif de taille. Les décisions stratégiques des entreprises pourront être réalisées sereinement, dès lors que la gestion des risques qui y est associée (identification, évaluation, réponse) sera non seulement orientée « protection » mais également « optimisation de la performance ».

@jpbichard

 

Etude-deloitte-2

 BONUS: 

 

http://www2.deloitte.com/content/dam/Deloitte/us/Documents/risk/us-risk-beneath-the-surface-of-a-cyber-attack.pdf

 

Exemple de cyber-scénario avec impacts financiers (extrait de l'etude US lien ci-dessous)

Impact-Cyber-Attaques-2016Deloitte-US-2

Impact-Cyber-attaques-2016Deloitte-US

 

Les dossiers de Cyber Risques News

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

Renseignements   Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

Informations supplémentaires