@DPO_News @cyberisques #GDPR étude Cyber Resilient Organisation de Ponemon: 22 % des sondés estiment que leur organisation respectera le #RGPD #GDPR

 

@DPO_News @cyberisques #GDPR

 

 

 Etude Cyber Resilient Organisation de Ponemon pour IBM Resilient:

22 % des sondés estiment que leur organisation respectera le #RGPD #GDPR

 

Etude annuelle sur la cyber-résilience :

Focus sur les résultats en France

Institut Ponemon, février 2017

 

La règlementation mondiale sur les données privées encourage le financement de la sécurité informatique. Lorsqu'on leur demande quelle règlementation encourage le financement de la sécurité informatique, 68 % des sondés pensent qu’il s'agit du nouveau règlement général européen sur la protection des données (ou GDPR, Global Data Protection Regulation) ou des lois internationales de chaque pays (61 %). Seuls 22 % des personnes interrogées estiment que leur organisation respectera scrupuleusement le règlement général européen sur la protection des données.

 

 

IBM Resilient et l’Institut Ponemon présentent les résultats de la première étude annuelle incluant la France sur l'importance de la cyber-résilience pour une sécurité efficace. Dans le cadre d’une enquête menée en France auprès de 272 experts en IT et en sécurité informatique1, seulement 21 % des sondés déclarent que leur organisation possède un haut degré de cyber-résilience, et 73 % pensent qu’elle n’est pas préparée à se remettre d’une cyberattaque.

Dans le cadre de cette recherche, nous définissons la cyber-résilience comme la synchronisation des capacités de prévention, de détection et de réaction qui permettent de gérer une cyberattaque, d'en atténuer les répercussions et de s’en remettre. Il s'agit de la capacité d'une entreprise à maintenir son objectif et son intégrité intrinsèques lorsqu'elle est confrontée à des attaques. Une organisation dite « cyber-résiliente » peut prévenir, détecter, contenir et se remettre d’un grand nombre de menaces sérieuses concernant les données, les applications et l'infrastructure informatique.

La cyber-résilience favorise une sécurité efficace. Dans ce rapport, nous nous concentrons sur des organisations qui pensent avoir atteint un très haut niveau de cyber-résilience, et nous les comparons à d’autres qui estiment n'en avoir atteint qu’un niveau moyen.

Cette comparaison révèle qu’un haut niveau de cyber-résilience réduit le nombre de cas de violations de données, permet aux organisations de résoudre des incidents informatiques plus rapidement et réduit le nombre de perturbations des procédures de l'entreprise ou des services informatiques. L'étude démontre aussi qu’un plan de réaction aux incidents de sécurité informatique (CSIRP, Computer Security Response Plan) systématiquement appliqué dans toute l’entreprise et soutenu par les hauts dirigeants est un élément décisif en termes de capacité à atteindre un haut niveau de cyber-résilience.

 

Les éléments clés de la cyber-résilience sont la capacité à prévenir, détecter et contenir une cyberattaque et à s’en relever. Comme le montre la figure 1, c’est dans leur aptitude à contenir une cyberattaque (52 %) et à la détecter (45 %) que les sondés sont le plus confiants. Ils le sont moins en ce qui concerne leur aptitude à s’en remettre.

 

L’investissement dans le recrutement et dans les fournisseurs de sécurité en services managés profite à la cyber-résilience. Seuls 20 % des sondés indiquent que leur cyber-résilience s’est considérablement améliorée (5 %) ou améliorée (15 %) durant les 12 derniers mois. Les personnes interrogées attribuent les améliorations en cyber-résilience à un investissement dans la formation du personnel (44 %) ou à l'intervention d'un fournisseur de sécurité en services managés (38 %).

C'est le manque d’organisation et de sensibilisation au risque qui nuit le plus à la cyber-résilience. 68 % des sondés déclarent que le manque d’organisation et de préparation constitue le plus grand obstacle, et selon 52 % des répondants, le manque de sensibilisation au risque, d'analyse et d'évaluation empêche les organisations de mettre en place une cyber-résilience optimale. La complexité des procédures de l’entreprise est perçue comme un frein par 47 % des personnes interrogées.

Les plans de réponse aux incidents de sécurité informatique n’existent souvent pas, ou sont « ponctuels ». Pour 76 % des sondés, un plan CSIRP et des experts en cybersécurité sont très importants. Cependant, seulement 23 % des personnes interrogées affirment que leur entreprise applique systématiquement un plan CSIRP. Selon 31 % des sondés, soit leur entreprise ne possède pas de plan CSIRP (27 %), soit elle en possède un qui est officieux ou « ponctuel » (24 %).

Le temps de réaction à un incident de sécurité influence la cyber-résilience. Presque la moitié des sondés (48 %) affirme que la durée de résolution d'un incident informatique a considérablement augmenté (19 %) ou augmenté (29 %). Seuls 29 % des répondants indiquent que la durée a diminué (18 %) ou considérablement diminué (11 %).

L’erreur humaine est la plus grosse menace informatique qui plane sur la cyber-résilience. Lorsque les chercheurs ont demandé aux sondés de classer sept menaces de sécurité informatique qui pourraient toucher la cyber-résilience, la première d’entre elles citée est l’erreur humaine, suivie des menaces persistantes avancées (APT) et de l’exfiltration de données. 70 % des personnes interrogées affirment que les incidents qu'ils ont vécus impliquaient une erreur humaine. Selon les personnes interrogées, les erreurs de système informatique (48 %) et l’exfiltration de données (44%) sont également significatives.

Les logiciels malveillants et le phishing sont les dangers les plus courants pour les réseaux informatiques et les points d’accès des entreprises. 51 % des sondés affirment que des perturbations de processus de l’entreprise ou de services informatiques causées par des failles de sécurité se produisent très souvent (16 %) ou fréquemment (35 %). Les incidents ou les dangers les plus récurrents sont les logiciels malveillants (70 %) et le phishing (62 %), suivis par l'erreur de communication (58 %).

Plateforme de réaction aux incidents et partage des informations sur les menaces : solutions clés pour améliorer la cyber-résilience. 46 % des sondés déclarent que leur organisation participe à une initiative ou un programme de partage d’informations relatifs aux failles de sécurité des données et à la réaction aux incidents avec le gouvernement et autres entreprises. 69 % des personnes interrogées estiment que le partage d’informations améliore la sécurité de leur entreprise, et 65 % déclarent qu'il améliore l’efficacité de leur plan de réaction à un incident. 63 % des répondants affirment que le partage d’informations sur les menaces accélère le délai de réactions aux incidents.

Les organisations ne reconnaissent pas les avantages d’une participation à un programme de partage d’informations sur les menaces. Pourquoi certaines entreprises sont-elles réticentes à partager les informations sur les menaces ? Selon les 54 % des personnes qui ne partagent pas d’informations sur les menaces, ce choix peut être attribué à l’absence d'avantages (55 %), au manque de ressources (29 %) ou aux coûts trop élevés (29 %).

Les dirigeants ne voient pas l'importance de la cyber-résilience. Les résultats soulignent la difficulté que rencontrent les professionnels de la sécurité informatique à faire investir les entreprises en personnel, en procédures et en technologies pour optimiser la cyber-résilience.Seulement 39 % des sondés déclarent que les dirigeants de leur entreprise reconnaissent le rôle de la cyber-résilience dans la réputation de la marque et dans le chiffre d’affaires (43 %). 45 % des personnes interrogées affirment que leurs dirigeants reconnaissent que les risques liés à l’entreprise nuisent à la cyber-résilience.

La règlementation mondiale sur les données privées encourage le financement de la sécurité informatique. Lorsqu'on leur demande quelle règlementation encourage le financement de la sécurité informatique, 68 % des sondés pensent qu’il s'agit du nouveau règlement général européen sur la protection des données (ou GDPR, Global Data Protection Regulation) ou des lois internationales de chaque pays (61 %). Seuls 22 % des personnes interrogées estiment que leur organisation respectera scrupuleusement le règlement général européen sur la protection des données.

Le financement de la cyber-résilience représente 29 % du budget de la cybersécurité. La moyenne du budget de la cybersécurité est de 9 millions de dollars, et environ 26 % du budget de la sécurité informatique est alloué aux activités liées à la cyber-résilience. Pour accroître l’efficacité de la cyber-résilience de 10 %, les organisations seraient prêtes à augmenter le budget de 6 %, et pour une croissance de 90 %, elles seraient prêtes à rallonger le budget de 27 %.

La flexibilité et une équipe compétente sont déterminantes pour atteindre un haut niveau de cyber-résilience. Lorsqu’ils évaluent les facteurs les plus importants pour réussir la cyber-résilience, les sondés mentionnent : la flexibilité, un personnel compétent ou spécialisé et une bonne préparation. Des ressources abondantes et le leadership sont considérés comme les facteurs les moins importants.

Les technologies d’authentification et de gestion de l'identité sont les clés d'un niveau élevé de cyber-résilience. En plus des personnes et des procédures, de bonnes technologies sont essentielles à une cyber-résilience efficace. Les sept technologies les plus adaptées à une cyber-résilience efficace sont : la gestion et authentification de l’identité, les systèmes de prévention et de détection d’intrusion, l'encodage des données inactives, les solutions antivirus / anti-malware, une plateforme de réaction aux incidents, l'encodage des données en mouvement et la surveillance du trafic sur le réseau.

Certaines fonctionnalités technologiques sont les clés d'une cyber-résilience efficace. Les fonctionnalités les plus importantes qui ont été à la fois entièrement et partiellement déployées pour mettre en place la cyber-résilience sont les suivantes : empêcher les dispositifs non sécurisés d'accéder aux systèmes de sécurité (80 %), contrôler les terminaux et les connexions mobiles (77 %), sécuriser les données stockées dans le cloud (77 %) et contrôler les dispositifs mobiles non sécurisés, dont le BYOD (71 %).

Certaines pratiques de gouvernance et de contrôle sont les clés d’une cyber-résilience efficace. Les pratiques de gouvernance et de contrôle les plus importantes qui ont été entièrement et partiellement déployées sont : des politiques de sécurité informatique clairement définies (83 %), des sauvegardes et des plans de sauvetage (82 %), des plans de gestion de réaction aux incidents (79 %), une chaîne de communication en amont à partir du chef de sécurité jusqu’au PDG et aux directeurs (78 %), des vérifications des antécédents des utilisateurs du système (74 %), du personnel expert en sécurité informatique (73 %) et des activités de formation et de sensibilisation pour les utilisateurs du système de l’organisation (76 %).

Partie 2. Résultats clés

Dans cette partie du rapport, nous établissons une analyse des résultats clés. L'intégralité des résultats audités est présentée en annexe. Nous les avons organisés selon les sujets suivants :

  • L'état de la cyber-résilience

  • Les menaces auxquelles est confrontée la cyber-résilience

  • Les facteurs d'une cyber-résilience réussie

  • Les caractéristiques des organisations qui ont un haut niveau de cyber-résilience

L'état de la cyber-résilience

La cyber-résilience est déterminante pour résoudre les problèmes consécutifs de nombreuses violations des données. 59 % des sondés indiquent que leur organisation a connu une violation des données impliquant la perte ou le vol de plus de 1 000 dossiers contenant des informations sensibles ou confidentielles sur l’entreprise, et ce au cours des deux dernières années. 62 % de ces personnes ont vécu plus d’une violation de leurs données lors ces deux dernières années.

Seuls 20 % des sondés estiment que leur cyber-résilience s’est considérablement améliorée (5 %) ou améliorée (15 %) dans les 12 derniers mois. Comme le montre le graphique 2, ces personnes interrogées affirment que si la cyber-résilience s'est améliorée, c'est grâce à un investissement dans la formation du personnel (44 %) ou à l’intervention d'un fournisseur de sécurité en services managés (38 %).

Graphique 2. Pourquoi la cyber-résilience de votre organisation a-t-elle été optimisée ?

Plus d’une réponse autorisée

C'est un manque d’organisation et de sensibilisation au risque qui nuit le plus sur la cyber-résilience. Comme le montre le graphique 3, 68 % des sondés pensent que le manque d’organisation et de préparation est le plus gros frein et 52 % estiment que le manque de conscience du danger, d'analyse et d’évaluation empêche les entreprises d’optimiser la cyber-résilience. La complexité des procédures de l’entreprise est perçue comme un frein par 47 % des personnes interrogées.

Graphique 3. Quelles sont les principales barrières à la cyber-résilience ?

Quatre réponses autorisées

Les plans de réponse aux incidents de sécurité informatique n’existent souvent pas, ou sont « ponctuels ». Pour 76 % des sondés, un plan CSIRP et des experts en cybersécurité sont très importants. Cependant, comme le montre le graphique 4, seuls 23 % des personnes interrogées indiquent appliquer systématiquement un plan CSIRP dans leur entreprise. Selon 31 % des sondés, soit leur entreprise ne possède pas de plan CSIRP (27 %), soit elle en possède un qui est officieux ou « ponctuel » (24 %).

Graphique 4. Quelle est la phrase décrivant le mieux le plan de réaction aux incidents de cybersécurité de votre organisation ?

Le temps de réaction à un incident de sécurité nuit à la cyber-résilience. Selon le graphique 5, la quasi moitié des sondés (48 %) affirme que la durée de résolution d'un incident informatique a considérablement accru (19 %) ou augmenté (29 %). Seuls 29 % des personnes interrogées disent que la durée a diminué (18 %) ou considérablement réduit (11 %).

Graphique 5. Au cours des 12 derniers mois, la durée de résolution d'un cyber-incident a-t-elle changé ?

Les menaces auxquelles est confrontée la cyber-résilience

L’erreur humaine est la plus grosse menace qui plane sur la cyber-résilience. Lorsque les chercheurs ont demandé aux sondés de classer sept menaces de sécurité informatique qui pourraient nuire à la cyber-résilience, la première citée est l’erreur humaine, suivie des menaces persistantes avancées (APT) et l’exfiltration de données (voir graphique 6).

Graphique 6. Quelles sont selon vous les menaces qui ont l'impact le plus important sur la cyber-résilience de votre organisation ?

1 = L’impact le plus important 7 = l’impact le moins important

70 % des sondés affirment que les incidents qu'ils ont vécus impliquaient une erreur humaine (voir graphique 7). Les erreurs de système informatique et l’exfiltration de données sont également significatives selon, respectivement, 48 et 44 % des personnes interrogées.

Graphique 7. Votre organisation a-t-elle été victime de l'une de ces menaces de sécurité au cours de l'an dernier ?

Plus d’une réponse autorisée

Les logiciels malveillants et le phishing sont les dangers les plus courants pour les réseaux informatiques et les points de d’accès des entreprises. 51 % des sondés déclarent que des perturbations de processus de l’entreprise ou de services informatiques causées par des failles de sécurité se produisent très souvent (16 %) ou souvent (35 %).

Selon le graphique 8, les incidents ou les dangers les plus fréquents sont les logiciels malveillants (70 %) et le phishing (62 %), suivis par une erreur de communication (58 %).

Graphique 8. Parmi les incidents suivants, quels sont ceux qui touchent régulièrement les réseaux IT ou les points d’accès de votre organisation ?

Les facteurs d'une cyber-résilience efficace.

Une plateforme de réaction aux incidents et un partage des informations sur les menaces : des solutions clés pour améliorer la cyber-résilience. 46 % des sondés déclarent que leur organisation participe à une initiative ou un programme de partage d’informations sur des failles de sécurité des données et sur la réaction aux incidents avec le gouvernement et d'autres entreprises.

Comme l’illustre le graphique 9, 69 % des sondés pensent que le partage d’intelligence améliore le positionnement de leur entreprise en matière de sécurité, et 65 % déclarent qu’il améliore l’efficacité de leur plan de réponse à un incident. 63 % des personnes interrogées affirment que le partage d’informations sur les menaces accélère le délai de réactions aux incidents.

Graphique 9. Lorsque votre organisation communique au sujet de ses plans de réponse aux incidents et des violations de données dont elle a été victime, quel en est le but ?

Trois réponses autorisées

Les organisations ne reconnaissent pas les avantages d’une participation à un programme de partage d’informations sur les menaces. Pourquoi certaines entreprises sont-elles réticentes à partager les informations sur les menaces ? Selon 54 % des personnes qui ne partagent pas d’informations sur les menaces, ce choix peut être provoqué par l’absence d'avantages (55 %), le manque de ressources (29 %) ou les coûts trop élevés (29 %), comme nous pouvons le voir dans le graphique 10.

Graphique 10. Pourquoi votre organisation ne participe-t-elle pas à un programme de partage d'informations sur les menaces actuelles ?

Deux réponses autorisées

Les dirigeants ne voient pas l'importance de la cyber-résilience. Les résultats soulignent la difficulté que rencontrent les professionnels de la sécurité informatique à faire investir les entreprises en personnel, en procédures et en technologies pour optimiser la cyber-résilience.Selon le graphique 11, seuls 39 % des sondés déclarent que les dirigeants de leur entreprise reconnaissent le rôle de la cyber-résilience dans la réputation de la marque et dans le chiffre d’affaires (43 %). 45 % des personnes interrogées affirment que leurs dirigeants reconnaissent que les risques liés à l’entreprise nuisent à la cyber-résilience.

Graphique 11. Que pensez-vous de l'attitude de votre direction en matière de cyber-résilience ?

Réponses « D’accord » et « Entièrement d’accord » combinées

Le financement de la cyber-résilience représente 26 % du budget de sécurité informatique. La moyenne du budget pour la cybersécurité est de 9 millions de dollars, et environ 26 % du budget de la sécurité informatique est alloué aux activités liées à la cyber-.résilience.

Comme le montre le graphique 12, pour accroître l'efficacité de leur cyber-résilience de 10 %, les organisations seraient prêtes à augmenter le budget de 6 %. Pour une hausse de l’efficacité de 90 %, elles seraient prêtes à augmenter le budget de 27 %.

 

DPO NEWS-PONEMOn-IBM-2017

Graphique 12. Quelle part du budget dédié à la sécurité IT votre organisation serait-elle prête à consacrer à une optimisation de la cyber-résilience de l'ordre de 10 % ou 90 % ?

La règlementation mondiale sur les données privées encourage le financement de la sécurité informatique. Lorsqu'on leur demande quelle règlementation encourage le financement de la sécurité informatique, la plupart des sondés pensent qu’il s'agit du nouveau Règlement Général Européen sur la Protection des Données (GDPR) (65 %) ou des lois internationales de chaque pays (61 %), comme le montre le graphique 13. Seuls 22 % des personnes interrogées estiment que leur organisation est capable de respecter le règlement général européen sur la protection des données.

Graphique 13. A quels règlements votre organisation se conforme-t-elle pour sa stratégie de sécurité IT ?

Plus d’une réponse possible

La flexibilité et une équipe compétente sont déterminantes pour atteindre un haut niveau de cyber-résilience. Lorsqu’ils évaluent les facteurs les plus importants pour réussir la cyber-résilience, les sondés mentionnent : la flexibilité, un personnel compétent ou spécialisé et une bonne préparation. Des ressources abondantes et le leadership sont considérés comme les facteurs les moins importants, selon le graphique 14.

Graphique 14. Les sept facteurs considérés comme indispensables pour une cyber-résilience efficace

1 = le plus important 7 = le moins important

Les technologies d’authentification et de gestion de l'identité sont les clés d'un niveau élevé de cyber-résilience. En plus des personnes et des procédures, de bonnes technologies sont essentielles à une cyber-résilience efficace. Comme le montre le graphique 15, les sept technologies les plus efficaces pour une bonne cyber-résilience sont : la gestion et authentification de l’identité, les systèmes de prévention et de détection d’intrusion, l'encodage des données inactives, les solutions antivirus / anti-malware, une plateforme de réaction aux incidents, l'encodage des données en mouvement et la surveillance du trafic sur le réseau.

Graphique 15. Les sept technologies de sécurité les plus performantes

Le sondage laissait le choix entre vingt-cinq technologies différentes

Certaines fonctionnalités technologiques sont les clés d'une cyber-résilience efficace. Comme le montre le graphique 16, les fonctionnalités les plus importantes qui ont été à la fois entièrement et partiellement déployées pour mettre en place la cyber-résilience sont les suivantes : empêcher les dispositifs non sécurisés d'accéder aux systèmes de sécurité (80 %), contrôler les terminaux et les connexions mobiles (77 %), sécuriser les données stockées dans le cloud (77 %) et contrôler les dispositifs mobiles non sécurisés, dont le BYOD (71 %).

Graphique 16. Dans le cadre de sa cybersécurité, mon organisation a partiellement ou totalement déployé les outils suivants :

Certaines pratiques de gouvernance et de contrôle sont les clés d’une cyber-résilience efficace. Comme le montre le graphique 17, les pratiques de gouvernance et de contrôle les plus importantes qui ont été entièrement et partiellement déployées sont : des politiques de sécurité informatique clairement définies (83 %), des sauvegardes et des plans de sauvetage (82 %), des plans de gestion de réaction aux incidents (79 %), une chaîne de communication en amont à partir du chef de sécurité jusqu’au PDG et aux directeurs (78 %), des vérifications des antécédents des utilisateurs du système (74 %), du personnel expert en sécurité informatique (73 %) et des activités de formation et de sensibilisation pour les utilisateurs du système de l’organisation (76 %).

Graphique 17. Pratiques de gestion et de contrôle totalement ou partiellement déployées

Les caractéristiques des organisations qui ont un haut niveau de cyber-résilience

Pour cette étude, nous avons identifié certaines organisations qui se sont auto-évaluées comme ayant un niveau élevé de cyber-résilience et une meilleure aptitude à atténuer les risques, vulnérabilités et attaques.

Parmi les 272 organisations représentées dans cette étude, 25 se sont auto-évaluées à 9 + sur une échelle de 1 (faible résilience) à 10 (forte résilience). Les personnes interrogées venant de ces organisations à « haute performance » sont beaucoup plus confiantes par rapport à l’efficacité de leur sécurité que les personnes qui jugent que leur entreprise n’a pas atteint un haut niveau de cyber-résilience. Ces organisations sont classées dans la catégorie « performance moyenne ».

Les entreprises possédant une cyber-résilience efficace sont considérablement plus confiantes en leur aptitude à prévenir, détecter, contenir une cyberattaque, et à s’en remettre. Comme le montre le graphique 18, 75 % des sondés issus d’organisations à cyber-résilience efficace sont très confiants en leur aptitude à détecter une cyberattaque, là où seulement 45 % des autres organisations le sont.

Parallèlement, 72 % des personnes interrogées venant d’organisations à « haute performance » sont confiantes en la capacité de leur entreprise à prévenir des cyberattaques, contre 43 % pour les entreprises à « performance moyenne ». 70 % des sondés des organisations à « haute performance » pensent que leur entreprise est capable de contenir une cyberattaque, contre 52 % des personnes d’organisations à « performance moyenne ». En outre, 60 % des sondés des organisations à « haute performance » estiment que leur entreprise est capable de se remettre d’une cyberattaque, contre 27 % des personnes d’organisations à « performance moyenne ».

Graphique 18. Confiance des organisations en matière de prévention, détection, confinement des cyberattaques et de reprise après sinistre

1 = faible confiance 10 = grande confiance, 7+ réponses enregistrées

Les organisations à cyber-résilience efficace présentent beaucoup moins de risques de souffrir d’une faille de sécurité de leurs données. Le graphique 19 nous montre que 59 % des sondés venant d’organisations à « performance moyenne » ont connu une violation de données, contre 40 % des sondés d’organisations « haute performance ».

Graphique 19. Votre organisation a-t-elle déjà été victime d'une violation de données ?

Les organisations à cyber-résilience efficace ont mis en place des plans de réponse à un incident de cybersécurité (CSIRP) appliqués à toute l'entreprise. Comme le démontrent les informations susmentionnées, les organisations à cyber-résilience efficace sont beaucoup plus confiantes en leur aptitude à prévenir, détecter, contenir une cyberattaque, et à s’en remettre. Elles sont aussi plus enclines à appliquer un plan CSIRP dans toute leur entreprise (47 % des sondés), comme l'illustre le graphique 20.

Graphique 20. Quelle phrase décrit le mieux le plan de réponse à un incident de cybersécurité (CSIRP) de votre organisation ?

De plus, 88 % des sondés issus d'organisations à niveau élevé de cyber-résilience déclarent être convaincus de l’importance d'avoir des professionnels qualifiés au sein de leur plan CSIRP (voir graphique 21).

Graphique 21. Il est essentiel de pouvoir compter sur des professionnels experts en cybersécurité dans le cadre d'un plan de réponse à un incident de cybersécurité (CSIRP)

1 = peu important 10 = très importants, 7+ réponses enregistrées

Les organisations à haut niveau de cyber-résilience sont légèrement plus rapides dans la résolution des incidents informatiques. Selon le graphique 22, 33 % des sondés d’organisations à cyber-résilience efficace indiquent que le temps de résolution d’un incident informatique a diminué (21 %) ou considérablement diminué (12 %). 43 % des sondés d’organisations à « performance moyenne » estiment que le temps de résolution d’un incident informatique a considérablement diminué (19 %) ou réduit (29 %).

Graphique 22. La durée de résolution d'un incident a-t-elle évolué ?

Les organisations à cyber-résilience efficace sont en faveur du partage d'informations sur les violations de données. 66 % des personnes interrogées venant d’organisations à « haute performance » affirment que leur organisation partage des informations qui concernent les violations de données avec le gouvernement et d'autres entreprises, comme l'illustre le graphique 23.

Graphique 23. Votre organisation partage-t-elle des informations sur les violations de données avec le gouvernement ou d'autres membres de leur secteur ?

Il y a moins de perturbations des processus de l'entreprise ou des services informatiques au sein des organisations à la cyber-résilience efficace. 33 % des sondés venant d’organisations à « haute performance » affirment que leur organisation n'a que rarement (22 %) ou jamais (10 %) de perturbations des procédures de l’entreprise ou de services informatiques (voir Graphique 24).

Graphique 24. Votre entreprise connaît-elle souvent des perturbations au niveau de ses processus ou de ses services IT ?

Les hauts dirigeants des organisations à « haute performance » accordent de l’importance à la cyber-résilience. L’importance qu’accordent les dirigeants des entreprises à la cyber-résilience varie significativement entre les organisations à « performance moyenne » et à « haute performance ».

60 % des sondés des organisations à « haute performance » affirment que les dirigeants de leur entreprise reconnaissent que la cyber-résilience a des conséquences sur le chiffre d'affaires (voir graphique 25). Parallèlement, 59 % des répondants indiquent que leurs dirigeants reconnaissent que les risques que court leur entreprise influent sur la cyber-résilience, et les organisations à « haute performance » sont aussi plus enclines à avoir le niveau approprié de personnel et de financement pour optimiser leur cyber-résilience.

 

Abonnemnt-2017

 

Etude Ponemon Cyber-Résilience 2017 – France

 

La nouvelle étude menée par l’Institut Ponemon pour IBM Resilient montre que les entreprises françaises ne sont toujours pas préparées à répondre aux cyberattaques alors que le risque de faille de sécurité augmente toute comme la complexité des procédures de l’entreprise ou des services informatiques.

 

La cyber-résilience favorise une sécurité efficace. Dans ce rapport, nous nous concentrons sur des organisations qui pensent avoir atteint un très haut niveau de résilience informatique, et nous les comparons à d’autres qui estiment n'en avoir atteint qu’un niveau moyen.

 

Cette comparaison révèle qu’un haut niveau de cyber-résilience réduit le nombre de cas de violations de données, permet aux organisations de résoudre des incidents informatiques plus rapidement et réduit le nombre de perturbations des procédures de l'entreprise ou des services informatiques. L'étude démontre aussi qu’un plan de réaction aux incidents de sécurité informatique (CSIRP, Computer Security Response Plan) systématiquement appliqué dans toute l’entreprise et soutenu par les hauts dirigeants est un élément décisif en termes de capacité à atteindre un haut niveau de cyber-résilience.

 

Les résultats de ce rapport annuel, qui a été mené en France pour la toute première fois, montre que la majorité des répondants estiment que leur entreprise n’est pas en mesure de maintenir efficacement son activité lorsqu'elle est confrontée à des attaques et de s’en remettre rapidement.

 

  • 73 % pensent qu’elle n’est pas préparée à se remettre d’une cyberattaque (66 % en moyenne au niveau global)

 

  • 79 % estiment que le niveau de cyber-résilience n’est pas « élevé » au sein de leur entreprise (68 % en moyenne au niveau global)

 

Les freins les plus importants aujourd’hui pour les professionnels de la sécurité en France sont le manque d’organisation, la complexité des procédures d’entreprise et des services informatiques ainsi que le manque de sensibilisation aux risques.

 

  • 68 % des sondés déclarent que le manque d’organisation et de préparation constitue le plus grand obstacle

  • 52 % des répondants, le manque de sensibilisation au risque, d'analyse et d'évaluation empêche les organisations de mettre en place une cyber-résilience optimale, suivi par la complexité des procédures d’entreprise selon 47 % des personnes interrogées.

 

L’un des facteurs clés pour atteindre un haut niveau de cyber-résilience est de mettre en place un plan de réponse aux incidents de sécurité informatique (CSIRP) au niveau de toute l’entreprise. En France, de nombreuses organisations n’ont toujours pas adopté ce concept, bien que 76 % des sondés, un plan CSIRP et des experts en cybersécurité sont très importants. L’étude révèle également que :

 

  • 77 % des personnes interrogées indiquent qu’un plan CSIRP n’est pas systématiquement appliqué dans leur entreprise

  • 27 % ne possèdent pas de plan du tout

  • 54 % n’ont pas testé leur plan depuis qu’il a été mis en place

  • 48 % ont déclaré que le temps nécessaire pour résoudre un incident a augmenté au cours des 12 derniers mois

 

De plus, la majorité des professionnels interrogés ont indiqué que leur entreprise avait eu au moins une violation de données au cours de deux dernières années :

 

  • 59 % des sondés indiquent que leur organisation a connu une violation des données impliquant la perte ou le vol de plus de 1 000 dossiers contenant des informations sensibles ou confidentielles sur l’entreprise (53 % au niveau global). Parmi eux, 62 % de ces personnes ont vécu plus d’une violation de leurs données.

 

Ce nouveau rapport met également en lumière le fait que le niveau de cyber-résilience au sein des organisations n’est pas cohérent avec la complexité grandissante des cyberattaques, à moins que les entreprises adoptent la bonne approche avec les effectifs, les procédures et les technologies en place :

 

  • 48 % indiquent que la cyber-résilience a soit diminué (4 %) ou n’a pas été améliorée (44 %) au cours des 12 derniers mois, une situation encore moins bonne qu’au niveau global (48 %).

  • Parmi ceux qui ont déclaré une amélioration de la résilience informatique, 58 % estiment qu’une plateforme de réponse aux incidents faisait partie des solutions de sécurité les plus efficaces pour améliorer la cyber-résilience.

 

Autre point intéressant de cette étude concerne le comportement des organisations « hautement performantes » en France comparées à la moyenne globale. Elles sont en effet beaucoup moins susceptibles d’avoir subi une faille de sécurité au cours des 12 derniers mois (59 % contre 40 %), et en meilleure posture pour se protéger des cyberattaques (43 % contre 72 %), les détecter (45 % contre 75 %), les résoudre (52 % contre 70 %) et s’en remettre (27 % contre 60 %). Pour quelles raisons atteignent-elles un haut niveau de cyber-résilience ?

 

  • Deux fois plus d’entre elles ont un CSIRP appliqué à toute l’entreprise (47 % contre 23 %)

  • Elles sont plus susceptibles de partager des informations concernant les menaces (65 % contre 46 %)

  • Leur leadership reconnaît l’importance de la cyber-résilience (59 % contre 45 %)

  • Elles reconnaissent l’importance d’avoir un personnel compétent (88 % contre 76 %)

 

Cette toute dernière étude montre que les entreprises françaises reconnaissent l’importance de la cyber-résilience pour protéger leur business, mais il reste des défis à relever, confie le Dr Larry Ponemon. Ce que nous pouvons constater chez les entreprises ayant un haut niveau de cyber-résilience, c’est que les investissements dans l’organisation, les compétences du personnel et dans un leadership fort porteront leurs fruits. »

 

 

BONUS: 

 

https://www.resilientsystems.com/

 

 

 

#DPO_News #cyberisques Solutions techniques compatibles GDPR 2017: Services CLOUD

#DPO_News #cyberisques #CESIN #CISPE

Solutions techniques compatibles GDPR 2017:

                       

                Services hébergement Cloud 

 

 

CESIN-Outils-complementaires-nécessaires-cloud

 

 

 

 

 

 

 

 

 

 

 Brussels, 14th February 2017

TheCloud infrastructure Services Providers in Europe (CISPE), a coalition of cloud computing leaders serving millions of European customers have declared that over 30 services comply with the CISPE Data Protection Code of Conduct. Cloud infrastructure services declared today are operated in datacenters located in the following European countries: Bulgaria,Finland,France,Germany,Ireland,Italy,TheNetherlands,Spain,and The United Kingdom.

 

Pour prendre connaissance du document cliquez sur le lien ci-dessous:

 DPO_NEWS-CLOUD-EUR-COMPATIBLES-GDPR

 

CESIN-2016-Solution-peu-adpatées

 

 

 

 

 

 

 

 

 

 

 source etude CESIN Opinionway 2017

 

Etude Intel  communication corporate  Février 2017:

 

Environ 40 % des services Cloud de l’entreprise sont adoptés sans la consultation des départements IT.
  
  • Le taux de confiance envers le Cloud public dépasse désormais celui de la défiance avec un ratio de 2 contre 1.
  • 49 % des professionnels ont ralenti l’adoption du Cloud dans leur entreprise en raison d’un manque de compétences pour en administrer la sécurité (47 % en France).
  • 65 % d’entre eux pensent que le Shadow IT est néfaste à la sécurisation et à la sécurité du Cloud (60 % en France).
  • 52 % indiquent qu’une infection par malware peut être suivie dans une application Cloud (53 % en France).
  • 62 % des professionnels stockent les informations sensibles de leurs clients directement dans le Cloud public (61 % en France).
Paris, le 15 février 2017 – Intel Security publie les résultats de son rapport mondial annuel sur la sécurité du Cloud. Intitulé « Building Trust in a Cloudy Sky », ce dernier porte sur l’état d’adoption du Cloud, les principales inquiétudes des RSSI quant aux services de Cloud public et privé, les enjeux inhérents en matière de sécurité ainsi que l’impact grandissant du Shadow IT.

« Le désir de migrer rapidement vers une stratégie de Cloud s’inscrit de manière significative dans les calendriers des entreprises », déclare Fabien Rech, Directeur Général Intel Security France« L’approche d’une stratégie de Cloud-First progresse et s’inscrit comme un objectif majeur. De manière générale, il faut environ 15 mois aux RSSI pour réaliser que leur budget IT de l’année à venir sera consacré à 80 % au Cloud. »

La confiance envers le Cloud grandit…
La perception ainsi que la confiance des entreprises dans les services Cloud continuent d’augmenter d’année en année. La sécurité des services Cloud est aussi bien, voire mieux perçue que celle du Cloud privé. Les entreprises considèrent d’ailleurs que les services Cloud sont plus à même de réduire les coûts de propriété et d’assurer une visibilité globale de la data. Par conséquent, la confiance envers le Cloud s’amplifie auprès des professionnels, avec un ratio de 2 pour 1.

Plus de confiance, une meilleure perception et une meilleure compréhension des risques inhérents au Cloud grâce à des experts qualifiés sont autant d’avantages qui encouragent les entreprises à stocker leurs données sensibles dans le Cloud public. Preuve en est, 62 % des entreprises mondiales interrogées affirment y stocker les données sensibles de leurs clients (61 % en France).

… et les risques, tels que le Shadow IT et la pénurie de compétences, croissent.
La pénurie de compétences en matière de cyber-sécurité, qui sévit actuellement, continue d’affecter les déploiements Cloud. En France, 47 % des entreprises admettent que le manque de compétences a ralenti leur adoption ou leur utilisation de services Cloud, voire aurait influé sur le développement du Shadow IT en interne (49 % à l’échelle mondiale). Même si 41 % déclarent ressentir les effets de cette pénurie, elles admettent cependant poursuivre le déploiement d’activités Cloud (36 % à l’échelle mondiale). Seules 12 % des sociétés assurent ne pas être impactées par la rareté de ces talents (15 % à l’échelle mondiale).

En raison de la facilité avec laquelle il est possible de se procurer des services Cloud, 39 % d’entre eux seraient commandés, en France et dans le monde, sans l’accord d’un responsable IT. De surcroît, la visibilité quant aux activités de Shadow IT liées est en baisse à l’échelle française et mondiale, variant de 50 % l’année dernière à 46 - 47 % cette année. Par conséquent, 65 % des professionnels de l’IT dans le monde et 60 % en France considèrent que cela interfère avec leur capacité à maintenir la sécurité et la sûreté du Cloud. Ce chiffre n’est pas surprenant au vu du nombre de données sensibles stockées dans le Cloud public pouvant être compromises. D’autant plus que 52 % des professionnels admettent avoir déjà repéré des malwares dans une application Cloud en mode SaaS (53 % en France).


L’évolution des data centers
Le pourcentage d’entreprises utilisant uniquement une solution de Cloud privé a fortement baissé, chutant de 51 % à 24 % au cours de l’année écoulée (de 56 à 23 % en France). En parallèle, l’utilisation du Cloud hybride a fortement augmenté, la proportion d’entreprises y ayant recours est passée de 19 à 57 % sur la même période (elles sont 54 % en France). Cette transition vers un Cloud hybride public/privé requiert l’évolution des data centers vers une infrastructure virtualisée et basée sur le Cloud. 

En moyenne, seules 52 % des entreprises disposent de data centers virtualisés (49 % en France) ; 83 % utilisent des containers (France en 78 %) et la plupart d’entre elles s’attend à terminer leur transformation vers un ‘software defined data center’ d’ici deux ans. 


Qu’en est-il en matière de sécurité ?
Le management du risque et une approche atténuée de la sécurité de l’information vont nécessairement devoir être intégrés par les entreprises. 

La mise en place d’une stratégie Cloud-First afin d’encourager l’adoption de services Cloud, devra également être envisagée. Elle permettra notamment une réduction des coûts et une augmentation de la flexibilité, ainsi qu’une conduite des opérations de sécurité en mode proactif et non plus réactif.


« Les cybercriminels se concentrent sur les cibles les plus faciles à atteindre, peu importe qu’elles soient privées, publiques ou hybrides. L’utilisation de solutions de sécurité unifiées ou intégrées qui offrent une visibilité sur l’ensemble des services d’une entreprise est, dans les environnements virtualisés d’aujourd’hui, la meilleure défense », ajoute Fabien Rech« Les technologies de sécurité, telles que la prévention de la perte de la donnée, le cryptage ou les CASBs, sont encore trop peu utilisées. L’intégration de celles-ci au système de sécurité existant permet notamment d’augmenter la visibilité et de s’appuyer sur un système de protection plus incisif et proactif. »
 

Pour plus d’informations, vous pouvez consulter le rapport complet « Building Trust in a Cloudy Sky ».


Méthodologie 
Intel Security a interrogé 2 000 professionnels de la sécurité IT au cours du dernier trimestre 2016. Ces derniers sont des collaborateurs de petites, moyennes et grandes entreprises oeuvrant dans l’univers des technologies et situées en Australie, au Brésil, au Canada, en France, dans les pays du Golfe (Arabie Saoudite & Emirats Arabes Unis), en Allemagne, au Japon, au Mexique, à Singapour, au Royaume-Unis ainsi qu’aux Etats-Unis.

 

 A propos de l'auteur: 

Journaliste IT depuis 27 ans, IHEDN 2005, animateur d'évènements (tables rondes) IT / GDPR, auteur de plusieurs ouvrages, co-fondateur en 1997 du premier média "cybersecurité" NetCost&Security avec Olivier Caleff, Jean Philippe Bichard -@jpbichard - a créé le site de veille  http://cyberisques.com en 2012.

Premier journaliste animateur des « Assises de la sécurité » dans les années 2000, il collabore à différents médias (tech et Eco).

 En plus de cyberisques  - gouvernance des risques IT - il crée en 2016 @DPO_Newsconsacré aux projets GDPR (organisationnel, technique, juridique) et à la veille stratégique pour les DPO. 

En plus d'animations (avec compte-rendu) et d'enquêtes "marché", Jean Philippe rédige à la demande de nombreux « white papers » sur les différenets facetets du GDPR, des études « business » et autres contenus WEB sur les thématiques Cyberisques / GDPR.

Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

@cyberisques @jpbichard @DPO_NEWS

BONUS:

http://cyberisques.com/mots-cles-16/639-dpo-news-cyberisques-amrae-2017-donnees-personnelles-trois-questions-toujours-sans-reponses 

 

http://cyberisques.com/mots-cles-5/640-dpo-news-cyberisques-gdpr-dpo-gdpr-compliance-is-a-top-data-protection-priority-for-92-of-us-organisations-in-2017-according-to-a-pwc

 

 https://home.kpmg.com/fr/fr/home/media/press-releases/2017/02/protection-des-donnees-personnelles-frein-consommateur.html

 

 

EN SAVOIR PLUS ?  

Abonnemnt-2017

 

#DPO_News #cyberisques #GDPR #DPO :GDPR compliance is a top data protection priority for 92% of US organisations in 2017, according to a #PwC

Survey GDPR 2017:

 

GDPR compliance is a top data protection priority for 92% of US organisations in 2017, according to a PwC Survey

 

It’s not easy for U.S. companies to appease tough EU data privacy laws 

At a panel on data privacy at the annual RSA cybersecurity conference in San Francisco, Cisco(CSCO, +0.42%) chief privacy officer Michelle Dennedy explained that companies—from sports brands to pharmaceutical corporations—are gathering more data than ever from the influx of Internet-connected devices now wired into their IT infrastructure. And the problem is that the upcoming regulation is especially tough on what’s known as profiling, which is essentially the ability for companies to use automation to determine certain characteristics of their individual users.

Companies are no longer just stockpiling their data into large repositories called “data lakes,” Dennedy said. They are now using various AI technologies like machine learning to build powerful software services that can automatically make decisions on their own, based on the data they processed.

http://fortune.com/2017/02/14/google-microsoft-cisco-privacy-profiling-artificial-intelligence/

 

 DPO News-2017

A recent PwC pulse survey asked C-suite executives from large American multinationals about the state of their plans for Europe’s landmark General Data Protection Regulation (GDPR). The “pulse” revealed five surprising results:

  1. Over half of US multinationals say GDPR is their top data-protection priority 
  2. Information security enhancement is a top GDPR initiative
  3. 77% plan to spend $1 million or more on GDPR
  4. Binding corporate rules are gaining popularity
  5. How US businesses are re-evaluating their presence in Europe

The EU reached agreement on the GDPR in December 2015, and in the last twelve months preparing for the new law’s obligations have jumped to the top of corporate agendas. Of the 200 respondents to PwC’s recent pulse survey on GDPR preparedness, 54 % reported that GDPR readiness is the highest priority on their data-privacy and security agenda. Another 38% said GDPR is one of several top priorities, while only 7% said it isn’t a top priority.

 

Much of the discussion about the GDPR has focused on the law’s privacy-centric requirements, such as mandatory record keeping, the right to be forgotten and data portability. The GDPR’s relatively generic information-security obligations, however, figure prominently in GDPR plans of US companies. • Among the 23% of survey respondents who haven’t started preparing for GDPR, their top priorities are data discovery, information security enhancement, third-party risk management and GDPR gap assessment.

• Among the 71% who have begun GDPR preparation, the most-cited initiatives in flight are information security, privacy policies, GDPR gap assessment and data discovery.

• Among the 6% who have completed GDPR preparations, the mostcited projects are information security, GDPR gap assessment, data discovery, and third-party risk management.

• IT re-architecture is the lowest priority for companies in all three phases.

 

Securing a $1 million budget for data privacy has been more an exception than a rule for many American corporations. The GDPR’s potential 4% fine of global revenues, however, has changed budget appetites for mitigating this GDPR risk. While 24% of respondents plan to spend under $1 million for GDPR preparations, 68% said they will invest between $1 million and $10 million. Nine percent (9%) expect to spend over $10 million to address GDPR obligations.

 

The pulse survey asked executives which EU cross-border data-transfer mechanism they planned to use for processing EU personal data outside of Europe. After the invalidation of the Safe Harbor agreement in October 2015, most Safe Harbor members implemented so-called model contractual clauses as a stop-gap measure. Many observers, especially those in the legal community, thought model clauses would become the new norm. While 58% of respondents reported that future strategies would include model contracts, a stunning 75% said they will pursue binding corporate rules (BCRs), while 77% plan to selfcertify to the EU-US Privacy Shield agreement. The uncertain future of both model contracts and the Privacy Shield may drive US multinationals to adopt two or even all three of these options to hedge their risks.

 

US corporations that are heavily invested in Europe will probably stay the course in the near term. Indeed, 64% of executives reported that their top strategy for reducing GDPR exposure is centralization of data centers in Europe. Just over half (54%) said they plan to de-identify European personal data to reduce exposure. The threats of high fines and impactful injunctions, however, clearly have many others reconsidering the importance of the European market. In fact, 32% of respondents plan to reduce their presence in Europe, while 26% intend to exit the EU market altogether.

 

BONUS: 

How should multinationals cover their GDPR bets? Here are three initiatives businesses should add to their 2017 GDPR transformation agenda:

 

1. Enhance DPA relationships. Chief Privacy Officers should use this window before DPAs are flooded with notifications to establish a rapport with their lead DPA and other DPAs where they have major operations. This rapport should include an introduction of key personnel, an overview of the company’s business model and a description of its privacy program. Establishing this context with DPAs can help smooth procedures in the event of a data-breach notification or controversial DPIA.

 

2. Inventory and define high-risk processing activities. The GDPR’s Article 30 requires companies to inventory their data-processing activities. Once complete, businesses should establish criteria to rank these activities into low, medium and high tiers of risk to the rights and freedoms of individuals. These risk determinations are critical to data-breach notification and DPIA requirements.

 

3. Build notification and DPIA capabilities. Many U.S. companies have a head start in developing the people, processes and technologies needed to execute timely data-breach notification and thorough DPIAs. Even those with an initial advantage, however, face a more significant task in modifying their procedures for unique EU requirements, training personnel and testing the repeatability of their controls.

 

 

http://www.pwc.com/us/en/increasing-it-effectiveness/publications/assets/pwc-gdpr-series-pulse-survey.pdf

 

#DPO_News #cyberisques #GDPR #AMRAE2017 Arengi le Risk ...en boite

 

#DPO_News #cyberisques #GDPR #AMRAE2017

 

 

Arengi le Risk ...en boite  

 

A l'occasion des journées de l'AMRAE, dans les allées du CIDJ de Deauville, rencontre avec les ingénieurs d'Arengi et leur « boite » : Arengibox.

 

 

En plus d'une société de conseils spécialisée en gestion des risques, Arengi est un éditeur discret mais doté d'une centaine d'entreprises utilisatrices souvent présentes sur des secteurs stratégiques. Sa solution ArengiBox (1) est présentée comme « différente et unique parce qu’elle a été souhaitée, puis entièrement imaginée et conçue par les consultants d’Arengi. ». Admettons, mais que fait la « box » ?

« Pas mal de choses répond Gilles Proust Dg de la structure a commencer par enregistre et trier les connaissances de nos consultants puis a offrir des résultats de traitement pour nos clients. En fait au départ il s'agissait d'un outil interne devenu une offre intéressante pour nos clients notamment par son approche sectorielles ». Chacune des fonctionnalités a été conçue sur la base de pratiques, besoins et retours d’expérience provenant du terrain, de nos défis et succès. ArengiBox a été imaginée en mode SaaS via des serveurs « sécurisés » promettent les créateurs. La solution intègre tous les référentiels métiers d’Arengi (méthodologie, univers des risques, dispositifs de maîtrise, indicateurs clés de risques, …). Bref, la plate-forme ArengiBox pourrait bientôt devenir un outil de mesure de la conformité pour le GDPR. « Pourquoi pas ? Toute entreprise qui gère des données s'expose » précise Benoît Bougnoux, directeur associe d'Arengi. « Du coup, les audits de type EIV / PIA quasi obligatoires pour un projet GDPR répondent aux spécificités de notre plate-forme. Nous avons modélisé quantité de scénarios avec calcul d'impacts et probabilité, le tout en accord avec les informations délivrées par les risk Managers et les COMEX ». Cette approche peut au final offrir une cartographie sectorielle des risques pesant sur les données privées a caractère personnel affirment les deux dirigeants. Si cette offre tient ses promesses dans les mois a venir – des projets GDPR sont en cours- elle pourrait très vite s'imposée auprès de nombreux cabinets d'audits et clients « finaux ». Toutefois, d'autres tels que Deloitte ont déjà une place sur cette niche. Mais le marché des projets GDPR est vaste et....prometteur. Si une entreprise compte 100 traitements sensibles : il faut compter 500 à 1000 jours/hommes pour réaliser l'audit de premier niveau qui devra s'accompagner d'un EIVP (etude d'impact sur la vie privée) ou PIA (Privacy impact assessment). (2).  Ces études permettent entre autres d'analyser les risques propres à la data gouvernance et de les prioriser.

Une étude conduite par l’UE en janvier 2016 (2) révèle que les données européennes à caractère personnel ont de plus en plus de valeur et atteindront près d’1 billion d’euros d’ici à 2020, seulement deux ans après l’entrée en vigueur du RGPD. Les entreprises européennes seront donc en possession de données personnelles protégées et donc davantage valorisées. De ce point de vue, le GDPR constitue vraisemblablement un atout au plan mondial pour les organisations EU. Reste que sa mise en oeuvre ne peut s'effectuer sns une plus grande comprehension des attentes des clients, partenaires et utilisateurs sur l'usage de leurs données privées. On voit que la GDPR offre de multiples opportunités. Reste que le véritable enjeu de la GDPR n’est pas tant celui de la conformité que celui de l’organisation de l’information et des risques associés au sein de l’entreprise.

 

Risk 2030 : une étude ambitieuse

Forte de son expérience « multirisques », l'équipe d'Arengi s'est lancée dans un autre projet ambitieux : Risk 2030. En gros, il s'agit de réaliser la première cartographie collaborative et prospective sur les risques et opportunités des entreprises à horizon 2030. Les risques sont multiples et pas seulement cyber. Cette étude inédite, réalisée auprès des acteurs du monde de l’entreprise, des associations, des experts, des journalistes…, s’appuie sur la méthodologie habituellement mise en œuvre par Arengi lors de l’établissement d’une cartographie des risques et utilise sa plateforme digitale de gestion des risques ArengiBox. La démarche se veut ouverte via différentes étapes : identification: envoi d'un questionnaire en ligne d'identification des risques et opportunités: novembre - décembre 2016, Synthèse: Analyse et synthèse des réponses: janvier - février 2017, Priorisation: évaluation / hiérarchisation collective par les participants des risques et opportunités retenus: février - mars 2017, et finalisation: Synthèse et publication des résultats: Avril 2017.

 

@jpbichard

@DPO_NEWS

 

(1) http://www.arengi.fr/risques/notre-offre

(2) http://www.cyberisques.com/fr/mots-cles-5/625-dpo-news-cyberisques-gdpr-gdpr-faits-et-chiffres-infographies

 

Abonnemnt-2017

#DPO_News #cyberisques #GDPR : GDPR faits et chiffres 9 entreprises sur 10 ont subi une fuite de données ( Lloyd’s )

 

                                       GDPR le grand défi de 2017

 

Le RGPD (ou GDPR General Data Protection Regulation ) vise à renforcer l'obligation faite aux entreprises qui travaillent en Europe de protéger les données personnelles de leurs utilisateurs et clients. Le RGPD implique notamment l'unification des règles en la matière au niveau européen ainsi que le principe d'extra-territorialité, s'appliquant ainsi aux entreprises non européennes qui ciblent des résidents européens.

 

Selon Lloyd’s, en France 9 entreprises sur 10 ont subi une fuite de données ( voir  lien en section BONUS en fin d'article ) 

Encore peu sensibilisés, les décideurs EUR mesurent difficilement les enjeux liés à la mise en conformité de la protection des données à caractère personnel de leurs SI (Système d'informations) avec le GDPR. Seules 7% des organisations considèrent la Cyber comme un sujet prioritaire et de premier ordre (Deloitte/Enquête 2016 « Enjeux Cyber »). L'erreur majeure serait de considérer qu'une telle mise en conformité ne concerne que le service juridique de l'entreprise. Elle doit bien au contraire impliquer toutes les directions de la société : Juridique, Marketing & Commercial, Ressources Humaines, Informatique, etc. Elle doit également engager l’ensemble des niveaux de la hiérarchie pour faire aboutir et accepter ce type de projet de transformation auprès des Comex et secrétariats généraux.

 

Histo-GDPR-DPO NEWS-2017

 

 

Dans un entretien exclusif accordé à Cyberisques News (voir la section BONUS) Albine Vincent, Chef du service des CILs au sein de la CNIL indique que 4722 CILs (correspondants informatique et liberté) travaillent début 2017 dans 17704 organisations (notamment des administrations). Les futurs DPO seront ils issus des CIL ou devront ils posséder un profil différent ? Pour la CNIL ces managers en charge de la mise en place de la conformité GDPR pourront être externalisés et nommés pour plusieurs entités. Mais précise la CNIL tous les CIL ne deviendront pas tous des DPO ( http://bit.ly/2iRPs6G ). 

 Moins de 500 jours pour une mise en conformité

 Les délais peuvent sembler relativement courts aux entreprises enuropéennes pour mettre en place des changements stratégiques indispensables. Ces évolutions demeurent toutefois plus que nécessaires pour êtres conformes avec le nouveau cadre juridique. Elles n'ont plus le choix. Pratiquement toutes les entreprises de plus de 50 collaborateurs ont concernées

Le règlement européen en vigueur depuis le 24 mai 2016 et applicable à partir du 25 mai 2018, prévoit des sanctions pouvant aller jusqu’à 4 % du chiffre d’affaires annuel mondial et 20 millions d’euros. 

L’une des principales difficultés rencontrées par les organisations pour l’application du règlement GDPR est leur mise en conformité avec les règles édictées par l'article 35 qui, en cas de risques élevés, impose la réalisation d’études d’impact sur la vie privée et l’adaptation des politiques de sécurité associées. Des notions nouvelles apparaissent comme le "privacy in design". On le constate, pour les futurs DPO, la réalisation d'un audit général de l"existant s'impose pour recenser, réaliser l'inventaire technique, effectuer des mapping des flux de données...).  Un travail considérable attend le futur DPO. Selon Egérie Software, si une entreprise compte 100 traitements sensibles : il faut compter 500 à 1000 jours/hommes pour réaliser l'audit de premier niveau qui devra s'accompagner d'un EIVP (etude d'impact sur la vie privée) ou PIA (Privacy impact assessment). 

Qui va venir en aide au DPO ? De quels moyens disposeront les futurs DPO ? Métiers, DSI, juridique, RH... ? Quels budgets ( lire notre encadré 1 DPO&Budget ) On peut imaginer que le RSSI soit le premier "partenaire" du DPO. Le RSSI réalisant des analyses de risques orientées « impact entreprise » et le DPO des analyses « impact sur les personnes ».

Le GDPR constitue un atout au plan mondial pour les organisations EU

Au dela du respect des règles élémentaires liées à la vie privée des citoyens européens, il s'agit également des impacts liés au "business";

 

La Commission Européenne ne néglige pas l'économie numérique. C'est un secteur qui a généré en 2015 près de 230 milliards de revenus. Une meilleure circulation des données pourrait générer jusqu'à huit milliards d'euros de PIB par an estime la Comission Européenne. Le CIGREF dans un récent rapport souligne cet aspect en liant la gestion et la protection des données au...COMEX. Pour évaluer les grandes tendances en matière d’usages des données dans les grandes entreprises, le CIGREF a réalisé une courte enquête auprès de ses membres au lancement du groupe de travail, fin 2015. Sur la trentaine d’entreprises qui ont répondu, il est apparu que :  

• Les principaux usages faits de la donnée par les différents Métiers et Fonctions de l’entreprise visent en priorité à améliorer la prise de décision, à analyser la rentabilité, à renforcer la connaissance client, à améliorer les services aux clients, mais aussi à élaborer de nouveaux produits et services ;

 • Une grande majorité d’entreprises a mis en place une application Big Data, et utilise très largement des données externes ;

• Plus de 50% des entreprises répondantes ne mettent pas leurs données à disposition du public et n’ont pas de politique d’Open Data ;

 • Les bénéfices tirés de l’usage des données visent à fidéliser les clients et améliorer la qualité pour développer l’avantage concurrentiel ;

 • Les entreprises n’ont globalement pas élaboré de méthode de mesure de la valeur de leurs données ;

• Les principaux freins à la mise en place d’une démarche de valorisation des données sont de nature culturelle et organisationnelle ;

• La question de la valorisation des données se positionne d’abord au niveau des Directions Métiers, puis du Comex.

 

Une étude conduite par l’UE en janvier 2016 révèle que les données européennes à caractère personnel ont de plus en plus de valeur et atteindront près d’1 billion d’euros d’ici à 2020, seulement deux ans après l’entrée en vigueur du RGPD. Les entreprises européennes seront donc en possession de données personnelles protégées et donc davantage valorisées. De ce point de vue, le GDPR constitue vraisemblablement un atout au plan mondial pour les organisations EU. Reste que sa mise en oeuvre ne peut s'effectuer sns une plus grande comprehension des attentes des clients, partenaires et utilisateurs sur l'usage de leurs données privées. C'est le sens donné par La Poste avec sa Charte Data ( lire encadré 2: Charte Data à La Poste). On voit que la GDPR offre de multiples opportunités. Ce que résume Maitre Isabelle Renard du cabinet d'avocats Isabelle renard (cf Bonus en fin d'article) "Il ne faut pas se tromper de sujet. Le vrai sujet de la GDPR n’est pas tant celui de la conformité à des règles complexes orientées vers la protection de l’individu que celui de l’organisation de l’information au sein de l’entreprise".  Et tout cela en moins de 500 jours ! 

@jpbichard    

@DPO_News        @cyberisques 

 

En savoir plus: Section BONUS en fin d'article 

 

Info-1-DPO News-2017

 

 

 1  -  DPO & Budget 

 

  •   Budget for data inventory and mapping. But, note that automated solutions promising file autoclassification or algorithmic recognition of personal data require a lot of fine-tuning: until machine learning “has cracked” the broad GDPR definition of personal data, Art. 30 still requires complex human judgment.
  •   Budget for privacy and state-of-the-art safety by design and by default. But, note that neither privacy by design or state-of-the-art safety are achieved through single software solutions but involve two distinct processes - one for future data collection and one for “sanitising” legacy data sets that a business wants to hold on to or for erasing datasets it no longer wishes or has reason to rely upon.
  •   Budget for solutions to enable the exercise of Art. 15-22 data subject rights. This part of the budget should be owned by IT, especially as Art. 17 right to erasure, Art. 20 right to portability, Art. 21(1) right to object to processing and Art. 18 right to restriction of processing are not achievable through ad hoc intervention alone but involve core and very demanding IT architecture changes. Note that reliance on legitimate business interest as a lawful basis for processing is no easier on the IT architecture than reliance on consent.
  •   Budget to train employees to recognise GDPR personal data flows. A business' first and best line of defence, they will contribute to filling the inevitable gaps in a data map.
  •   Budget for incentives for hunting down “rogue or non-obvious” personal data records . If, on budget day, anyone laughs this off, refer them to the extensive Bug Bounty literature in IT security and Microsoft Corp.'s well known six-figure vulnerability rewards for ethical hackers.
  •   Budget to train employees. Existing employees should be trained to understand the functional specifications of the GDPR in their own role and business function.
  •   Budget to train employees to negotiate with sector-specific vendors and co-design GDPR solutions for their role and business function . If they have not helped design these solutions, they will not use them. Central ownership of the compliance programme is key, but delegating/decentralising the research of potential solutions multiplies chances of success.
  •   Budget for stress-testing GDPR resilience of the solutions proposed. Seek inspiration from the “Hack the Pentagon” initiative and the EU's own Bug Bounty funding. Keep the two budgets separate: one to support identification of personal data potential leaks, and a different one to stress-test the solutions found to prevent personal data leaks, including access control layers, encryption and de-identification of the data sets themselves.
  •   Budget to co-ordinate and integrate the solutions crowdsourced from the business units/functions. Set up single accountability/demonstrability framework. The different solutions need to integrate with each other and central project management is key.
  •   Budget to hire both a GDPR architect and a GDPR DPO. There will be collaboration first and then a handover between the first and the second, but a single professional profile with both sets of skills does not yet exist or is extremely rare.

Source: https://www.bna.com/companys-2017-eu-n73014449643/

 

 2 -  La Poste: pourquoi une charte DATA ?

 

La data, sous toutes ces formes, est le socle sur lequel repose l’ensemble des services quotidiens fournis par La Poste. Elle permet plus de services, plus de modernité et une vraie personnalisation de l’offre explique Eric Alix, Chief Data Officer du Groupe La Poste.

Les 2/3 des Français et 80% des jeunes, attendent aujourd’hui des entreprises qu’elles leur proposent des services plus personnalisés (étude menée par Harris Interactive pour La Poste « Les Français et leurs données » en mars 2016.)

Pour répondre à leurs attentes, les données sont un capital essentiel. Malgré cela, seul 1/3 des Français est prêt à confier ses données personnelles*. Cette réticence pourrait être levée par des engagements forts de la part des entreprises quant à la sécurité, la possibilité d’accès, de modification et de choix de partage de leurs données.

La Poste gère de la donnée utile et veut être responsable dans sa politique de gestion des données clients. La Charte Data de la Poste répond ainsi aux attentes des Français en recherche de transparence dans l’utilisation de leurs données personnelles. Ainsi, 65% d’entre eux estiment que la Charte Data de La Poste est une bonne chose*.

Bien que le cadre réglementaire soit posé et régulièrement mis à jour, les moyens à mettre en place par les fournisseurs de technologies, les entreprises et les annonceurs pour y répondre restent abstraits.

La Poste va plus loin que le cadre légal en développant des mesures concrètes en phase avec les attentes des clients autour d’un principe clé : c’est le client qui décide de l’utilisation de ses données.

La charte DATA est à envisager dans une démarche de progrès dont la concrétisation des engagements se fera par étapes. Cette politique data s’appuie sur une volonté forte de la gouvernance du Groupe. Le Chief Data Officer et la Directrice de la protection des données, deux fonctions clés, encore rares au sein des grandes entreprises, coordonneront cette politique data. Ils reporteront auprès du Comité Qualité et Développement Durable (QDD) du Conseil d’Administration du Groupe La Poste.

 

 

3  -  GDPR: dès mai 2018, les organisations des 29 (28 ?) pays de l'UE devront :

  • Respecter un principe de Transparence,

  • Tenir une liste des traitements de données personnelles,

  • Documenter (et être capable d’en apporter la preuve) les mesures de mise en conformité des traitements de données personnelles (« Accountability »)

  • Analyser les risques liés à la nature des données et aux traitements

  • Notifier aupres de la CNIL les failles de sécurité portant sur des données personnelles dans les 72 heures

  • Mener une étude d’impact sur la vie privée en cas de risques élevés

  • Prendre des mesures de Data Protection by Design

  • Obligatoirement désigner un Data Protection Officer (DPO) dans les cas suivants: administration publique, opérations qui requièrent une surveillance régulière et systématique des personnes physiques à grande échelle, traitements à grande échelle de catégories particulières de données,

  • Respecter les droits des personnes et notamment le droit à la portabilité, le droit à l’oubli…

 

 

GDPR quelques rappels: 

 

GDPR: 

Après quatre années de débats, la Commission européenne, le Parlement européen et le Conseil de l’Union ont abouti à un texte de compromis le 15 décembre 2015. Le Règlement a été formellement approuvé par les institutions et publié au Journal Officiel de l’Union européenne le 4 mai 2016. L’année 2017 sera l’année du RGPD (GDPR). Ce sera l'année de la mise en conformité avant l'application obligatoire le 25 mai 2018.

  (Cabinet d'avocats Mathias)

 

DPO: 

http://safedatamatters.com/appointing-dpo/

 

Le Délégué à la Protection des Données (DPO) est une nouvelle fonction introduite par le Règlement européen 2016/679 du 27 avril 2016 relatif à la protection des données à caractère personnel.

Dépassant de loin les fonctions des Correspondants Informatique et Libertés (CIL), le DPO a vocation à se généraliser grâce à ce texte. Facultatif dans certains cas, obligatoire dans d’autres, le DPO constitue en effet une nouvelle fonction à intégrer dans l’organisation des entreprises comme des entités publiques.

Disposant de fonctions distinctes de celles de la Direction des Systèmes d’Information (DSI) ou du Responsable de la Sécurité des Systèmes d’Information (RSSI), le DPO doit en outre justifier d’une expertise particulière qui pose plusieurs questions :

Quels sont les enjeux de cette nouvelle fonction ? Quelles sont les missions du DPO ? Qui désigner en tant que DPO ?

1/ Enjeux de la fonction de DPO

Les enjeux de la fonction de DPO sont naturellement liés aux nouvelles règles portées par le Règlement Européen. Ces règles ont en effet vocation à définir un nouveau cadre pour la protection des données ; un cadre destiné à renforcer la protection de la vie privée des personnes en tenant compte des évolutions technologiques (profilage, big data[1], intelligence artificielle, objets connectés, cloud computing etc.).

La désignation d’un DPO s’inscrit ainsi dans une démarche globale qu’il est possible d’analyser au regard des trois grands principes suivants :

  • Accountability: désigne pour la CNIL « l’obligation pour les entreprises de mettre en œuvre des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données »[2]. Le DPO a vocation à s’assurer du respect de cette obligation et de piloter la mise en œuvre de l’ensemble des process dédiés à la conformité juridique des traitements. Cette mise en conformité est en outre générale. Elle prend avec le Règlement Européen une dimension particulière de type prospectif dès lors qu’elle est associée aux deux principes complémentaires suivants :

  • Privacy by design : en application de ce deuxième principe général, responsables de traitement et sous-traitants doivent appréhender la problématique des données personnelles dès la conception d’un projet impliquant des données à caractère personnel. Cela supposera donc d’associer le DPO aux stratégies de développement, qu’il s’agisse par exemple du projet de lancement d’un objet connecté de contrôle de l’alimentation, d’un logiciel de gestion de fichiers clients (CRM), ou encore d’une campagne e-marketing utilisant des outils de profilage…

  • Privacy by default: suivant l’engagement de Privacy by default, chaque acteur devra veiller à limiter les traitements de données, par défaut, à ce qui est strictement nécessaire. Lorsqu’il contrôlera le paramétrage de telle ou telle application ou encore, lorsque telle ou telle opération marketing sera envisagée par l’organisme qui l’aura désigné, le DPO aura en charge de vérifier que la quantité de données collectées, la durée de conservation ou encore le nombre de personnes habilitées à accéder aux données sont strictement limités aux finalités des traitements envisagés.

L’enseignement à tirer de ces grands principes est que la désignation des DPO concernera aussi bien les responsables de traitements que les fournisseurs de solutions permettant de réaliser lesdits traitements. Il s’agit là d’un des points clés du Règlement Européen qui s’attache à favoriser un système de responsabilisation des acteurs sur toute la chaîne de service tout en renforçant les droits des personnes visées (Cf. information élargie, recueil du consentement consolidé etc.).

Le DPO participe directement à cette logique de responsabilisation et de renforcement des droits des personnes. Les différentes missions qui lui sont confiées vont d’ailleurs clairement en ce sens.

2/ Les Missions du DPO

Les missions du DPO sont fixées à l’article 39 du Règlement Européen. Cet article prévoit ainsi que les missions confiées au Délégué à la Protection des Données couvrent a minima les points suivants :

  • informer et conseiller le responsable du traitement ou le sous-traitant ainsi que les employés qui procèdent au traitement sur les obligations qui leur incombent (…) en matière de protection des données

  • contrôler le respect du (…) droit (…)en matière de protection des données et des règles internes du responsable du traitement ou du sous-traitant en matière de protection des données à caractère personnel, y compris en ce qui concerne la répartition des responsabilités, la sensibilisation et la formation du personnel participant aux opérations de traitement, et les audits s’y rapportant

  • dispenser des conseils, sur demande, en ce qui concerne l’analyse d’impact relative à la protection des données et vérifier l’exécution de celle-ci en vertu de l’article 35

  • coopérer avec l’autorité de contrôle ;

  • faire office de point de contact pour l’autorité de contrôle sur les questions relatives au traitement, y compris la consultation préalable visée à l’article 36, et mener des consultations, le cas échéant, sur tout autre sujet

  • Le délégué à la protection des données tient dûment compte, dans l’accomplissement de ses missions, du risque associé aux opérations de traitement compte tenu de la nature, de la portée, du contexte et des finalités du traitement

Concrètement, le DPO doit ainsi être placé au cœur du système et être associé par le responsable de traitement et le sous-traitant à chaque opération, chaque projet susceptible d’impacter la vie privée des personnes et la protection de leurs données.

Ses pouvoirs sont étendus par rapport au Correspondant Informatique et libertés (CIL) dans la mesure où ils dépassent le seul rôle consultatif. Le texte est en effet clair sur ce point : le DPO veille au respect du droit de la protection des données, il doit donc s’assurer de la conformité juridique des traitements au-delà du simple conseil et de la simple consultation. Il en résulte une conséquence immédiate : une telle fonction impliquera de facto des compétences particulières et un choix parfois cornélien entre externalisation et désignation interne.

  • Qui désigner en tant que DPO ?

Les articles 37 et 38 du Règlement Européen permettent de répondre à cette question :

  • « Le délégué à la protection des données est désigné sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir les missions visées à l’article 39.

  • Le délégué à la protection des données peut être un membre du personnel du responsable du traitement ou du sous-traitant, ou exercer ses missions sur la base d’un contrat de service.

  • Le délégué à la protection des données est soumis au secret professionnel ou à une obligation de confidentialité en ce qui concerne l’exercice de ses missions

  • Le délégué à la protection des données peut exécuter d’autres missions et tâches. Le responsable du traitement ou le sous-traitant veillent à ce que ces missions et tâches n’entraînent pas de conflit d’intérêts »

Au regard de ces dispositions, constatons que si la logique d’indépendance qui était l’une des bases du statut du CIL perdure, un renforcement drastique des exigences de compétences en matière juridique est ici opéré pour le DPO. Du reste, ce renforcement suit logiquement l’élargissement des missions du DPO avec en premier lieu l’obligation de contrôle de la mise en conformité juridique des traitements.

Or, externaliser cette fonction via un contrat de prestation de service peut apparaître une solution stratégique tant au niveau de la gouvernance interne (comment en effet assurer l’indépendance d’un membre du personnel pour une fonction aussi sensible ?) qu’au niveau des coûts.

Si des clarifications restent à être apportées sur le caractère obligatoire ou facultatif de la désignation d’un DPO, il est vraisemblable que l’obligation devienne rapidement la règle. En effet, la condition « de suivi régulier et systématique à grande échelle des personnes » prévu par le texte n’est-elle pas de facto remplie pour du profilage mis en œuvre dans le cadre de la gestion d’un CRM ou de campagnes marketing ? De même, le pendant de la suppression des formalités déclaratives à la CNIL et de la mise en place des principes généraux d’Accountability et de Privacy by design n’est-il pas justement une généralisation des DPO ? Nul doute que le législateur français et la CNIL précisent rapidement ces points.

En tout état de cause, il appartient d’ores et déjà aux entreprises et organismes publics de se préparer activement à la mise en œuvre des principes du Règlement dont la violation donnera lieu à d’importantes sanctions à compter de mai 2018 (amendes administratives pouvant s’élever à 10 millions d’euros ou 2% du chiffre d’affaires annuel mondial).

La réalisation d’études d’impact[3] avec tests d’intrusion et la désignation interne ou externe de DPO constituent sans nul doute deux chantiers essentiels à envisager.

Fort d’une expertise de plus de vingt ans en droit des nouvelles technologies, bénéficiant d’une triple labellisation CNIL pour ses prestations d’audit de traitements et de formations, le Cabinet HAAS accompagne ses clients pour la mise en conformité de leurs traitements à la réglementation sur la protection des données. CIL externe de plusieurs sociétés, le Cabinet HAAS propose à ce titre la réalisation d’études d’impact et la souscription de contrats de prestations de service en vue de sa désignation en tant que DPO.

Gérard Haas, Avocat à la Cour et Stéphane Astier

 

 

[1] http://www.haas-avocats.com/actualite-juridique/loffre-big-data-entre-casse-tete-juridique-et-defi-ethique/

[2] Cf. www.cnil.fr

[3] Cf. http://www.haas-avocats.com/data/raisons-mener-une-etude-dimpact/

 

 

Sanctions: 

En France, la Cnil avait la possibilité d’imposer une sanction maximale de 150 000 € avant que la loi pour une République numérique n’augmente ce montant à 3 millions d’euros. Mais le GDPR, règlement européen d’application directe, abrogera dès mai 2018 cette partie de la réglementation française pour imposer des sanctions pouvant aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial annuel des entreprises.

 

 

capture-5-Cyberisques-DPO News-A-Vincent-CNIL-2017

 Source Boston Consulting 2016

 

 

DPO News-GDPR-Véritas

 Source Veritas 2017

 

DPO News-2017

 

 

Data-Perso-2017

 Source Gemalto 2017

 

DPO

 Source: Cabinet Mathias Avocats Mathias Avocats

 

 

BONUS: 

 http://www.cyberisques.com/fr/mots-cles-5/614-cyberisques-dpo-gdpr-2017-orientations-g29-dec-2016

http://www.cyberisques.com/fr/component/content/article/93-categorie-3/sous-categorie-3-1/621-interview-dpo-news-cyberisques-albine-vincent-chef-service-des-cils-au-sein-de-la-cnil

 http://cyberisques.com/fr/component/content/article/104-news/synthese/619-cyberisques-dpo-news-pour-7-dirigeants-sur-10-l-utilisation-de-la-donnee-accroit-le-risque-de-reputation-de-leur-entreprise

https://www.droit-technologie.org/actualites/gdpr-droit-a-portabilite-donnees-analyse-lignes-directrices-g29/?utm_source=dlvr.it&utm_medium=twitter

http://www.cyberisques.com/fr/mots-cles-8/572-cybersecurite-54-des-chefs-d-entreprises-eu-responsables

https://www.cnil.fr/fr/la-protection-des-donnees-dans-le-monde 

http://www.lloyds.com/lloyds/about-us/what-do-we-insure/what-lloyds-insures/cyber/cyber-reports

http://www.irenard-avocat.com/fr/actualites/id-113-mise-en-conformite-a-la-reglementation-protectrice-des-donnees-personnelles-un-vrai-chantier 

https://globalcompliancenews.com/germany-data-protection-officer-conflict-of-interest-20161121/ 

 

Les dossiers de Cyber Risques News

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

Renseignements   Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

Informations supplémentaires