@DPO_News @cyberisques @jpbichard #GDPR : Datagouvernance le guide AFNOR Fev. 2017

Corporate Communication: 

 

PROTECTION DES DONNÉES PERSONNELLES : UN GUIDE AFNOR RECENSE LES NORMES INCONTOURNABLES

 

En 2018, la règlementation européenne sur la protection des données personnelles se renforcera. En cas de non-respect, les organisations risqueront une amende allant jusqu’à 4 % de leur chiffre d’affaires annuel. En l’espèce, les normes volontaires sont d’une grande utilité. La preuve avec ce nouveau guide AFNOR.

Fin 2016, la « perte » de données personnelles liées à 500 millions de comptes utilisateurs chez Yahoo a défrayé la chronique. Plus que jamais, les organisations du monde entier doivent redoubler de vigilance pour protéger ces données. Virus informatiques, perte ou vol, bugs… Les informations propres aux clients peuvent rapidement tomber dans les mains des pirates de la toile.

Face à la recrudescence des violations du droit, la Commission européenne a décidé de durcir la réglementation. Paru au Journal officiel de la République française le 4 mai 2016, un nouveau règlement européen sur la protection des données personnelles entrera en application en mai 2018. L’objectif ? Renforcer les droits des personnes, responsabiliser les acteurs traitant des données et crédibiliser la régulation. En cas d’infraction, les organisations devront s’acquitter d’une amende allant jusqu’à 4 % de leur chiffre d’affaires annuel mondial.

Pour éviter une telle sanction, les organisations ont tout intérêt à œuvrer pour préserver la confidentialité des données collectées. C’est là où les normes volontaires interviennent. Solutions de référence élaborées par consensus, elles guident les organisations dans la mise en place d’actions et fixent des critères communs à tous. En matière de sécurité informatique, elles offrent une protection à toute épreuve, car elles sont élaborées (sous l’égide d’AFNOR) par les acteurs qui sont confrontés à la question au quotidien : on n’est jamais mieux servi que par soi-même !

Un guide gratuit indispensable

Pour la première fois, AFNOR publie un guide pratique sur les normes volontaires essentielles à la protection des données à caractère personnel. En un clin d’œil, les acteurs du secteur informatique ont un aperçu des normes volontaires correspondant à leur besoin, et sont invités à se les procurer.

Cryptographie, anonymisation… Différents moyens existent pour préserver la confidentialité des données. Lequel choisir ? Comment faire sur le terrain ? Des normes volontaires ont d’ores et déjà vu le jour ou sont en cours d’élaboration pour accompagner les organisations de toutes tailles : des techniques de cryptographie avec l’ISO/IEC 29191, des lignes directrices pour mener des études d’impacts sur la vie privée avec la norme ISO/IEC 29134…

« En matière de protection de la vie privée, les normes volontaires sont très pratiques pour assurer tant la compréhension de tous que la mise en œuvre d’actions adéquates, soutient Matthieu Grall, chef du service de l’expertise technologique de la CNIL*, organisme qui a participé au groupe de travail d’AFNOR Normalisation à l’origine du guide. Malheureusement, elles sont encore peu connues, car récentes, et trop souvent confondues avec les normes réglementaires au sens juridiques, c’est-à-dire les textes de lois. »

« Nous nous sommes interrogés sur les besoins « métiers » et ceux des entreprises. Au lieu de proposer une simple énumération des normes volontaires utiles pour la protection des données personnelles, nous avons listé des chapitres reprenant les problématiques rencontrées par les professionnels ou usagers », poursuit Matthieu Grall.

Abonnemnt-2017

 

 

Comment mener des études d’impact sur la vie privée ? Quelles sont les bonnes pratiques génériques d’usage pour protéger la vie privée ? Le guide propose ainsi un zoom sur six catégories de normes volontaires.

« Demain, ces normes seront incontournables pour mettre en place un système de management en sécurité informatique, cadre de progrès qui devra notamment intégrer la protection des données personnelles », conclut Matthieu Grall.

 

BONUS: 

 TELECHARGER ICI LE LIVRE BLANC AFNOR:

 

*Commission nationale de l’informatique et des libertés

Venafi: "On peut évaluer entre 5000 et 15 000 le nombre de certificats présents au sein de groupes tels que Total"

Rencontre en quelques mots avec : Jean Pierre Carlin  Dir. EMEA VENAFI

1 décembre 2016

 

"On peut évaluer entre 5000 et 15 000 le nombre de certificats présents au sein de groupes tels que Total"

Métier ?

« Ce que propose notre solution chez Venafi, c'est une gestion de tous les certificats en environnements hétérogènes. Notre problème en tant que Venafi, c'est de trouver les budgets face à un nouveau marché : la gestion et la sécurisation des certificats. Peu d'offres existent face à un besoin réel. En interne, la solution Venafi permet l'inventaire des certificats et la mise en place d'une politique de gestions des certificats. »

 

 

Confidentialité ?

« Venafi se situe au delà de l'identification des données stratégiques. En revanche les renseignements liés aux certificats nous concernent directement ; Si une clé de certificat est volée, un problème se pose. Exemple : si des collaborateurs révoqués peuvent utiliser après leur départ de l'organisation des clés de certificats notamment les administrateurs, la confidentialité des données liées à ces certificats n'est plus assurée. Notre solution préconise une gestion du changement des clés de certificats sur l'ensemble des certificats systèmes et Web sécurisés. »

 

Potentiel ?

« On peut évaluer par exemple entre 5000 et 15 000 le nombre de certificats au sein de groupes tels que Total par exemple. En moyenne, manuellement il faut 4 h 00 pour gérer le changement d'un certificat: demande de certificats auprès d'une PKI, mettre a jour, tester... Sur le marché des prospects, au plan sectoriel, les financiers et les assureurs sont les plus gros utilisateurs. Coté fournisseur de solutions PKI, l'acteur principal demeure Microsoft qui propose un chiffrement interne lié à l'usage de certificats mais sans solution de gestion. »

 

 

Business ?

« Pour Nous, l'essentiel du marché se situe auprès des 150 premières entreprises et organisations en France dont la Poste et certains ministères. Les projets PKI ne sont pas plus de 5 ou 6 en France chaque année. Le nombre de certificats est en augmentation de 10%. Le ROI est bon avec notre solution soft vendue par licence de droit d'usage avec un prix au nombre de certificats a gérer. Exemple : pour 3000 certificats 120 000 euros par an. Nos contacts chez nos prospects et clients sont les RSSI qui renvoient aux responsable de la production IT nos « sponsors » en interne. S'ils sont convaincus çà remonte à la DSI et aux Achats.»

 

 

Conformité ANSSI ?

« Notre solution de gestion des certificats n'est pas une solution de cryptographie, donc pas d'homologation pour le moment. D'autre part notre approche totalement administrée par nos clients n'externalise aucune donnée à l’extérieur de l'entreprise. Nous ne sommes donc pas directement impliqués par le RGPD.»

 

 

Partenaires et références ?

« Nous avons Orange Cyberdéfense et Nomios comme partenaires principaux et Natexis et BPCE notamment comme références »

@jpbichard

 

Commnication Corporate :

 

Salt Lake City, UT - 1er Décembre 2016 -Venafi®, spécialiste de la protection des clés cryptographiques et des certificats numériques, annonce qu'il intègre dans la dernière version de son offre Venafi Trust Protection Platform™ un nouveau pilote d’applications universel. Ce dernier simplifie considérablement l’intégration de la plate-forme Venafi avec les applications tierces de tous types, assujettis d’un certificat. L’intégration en question permet aux entreprises d’automatiser l’allocation de clés et de certificats, et la gestion de leur cycle de vie, à l’échelle de l’environnement technologique de sécurité. Utilisateurs, partenaires ou intégrateurs système ont ainsi les moyens d’intégrer aisément Venafi Trust Protection Platform avec très peu d’expertise en programmation.

« Avec cette nouvelle fonctionnalité, notre solution est la seule capable d’assurer une orchestration immédiate des clés et certificats - au sein de l'entreprise au sens large», précise Hari Nair, directeur de la gestion des produits pour Venafi Trust Protection Platform. « Nombre d’acteurs recourent à l’heure actuelle à des processus manuels qui se révèlent à la fois sources d’erreurs et chronophages pour l’allocation de clés et certificats. Notre nouvelle solution met la veille et l’activation de certificats en temps réel à la disposition de chaque application ou équipement d’entreprise. L’automatisation de l’allocation des certificats, la gestion du cycle de vie des applications qui en sont dépendants, au même titre que l’intégration d’une veille en temps réel avec d’autres applications de sécurité, améliorent considérablement le dispositif de sécurité global d’un établissement et compliquent sérieusement la tâche des cybercriminels, qui ont nettement plus de mal à se dissimuler dans du trafic crypté. »

Christophe Badot DG France FireEye : «  la prise de position de certaines personnes à l'ANSSi sur notre société n'est pas approuvée par le directeur général Guillaume Poupard »

 

Christophe Badot DG France FireEye 

 

"La prise de position de certaines personnes à l'ANSSi sur notre société n'est pas approuvée par le directeur général Guillaume Poupard"

 

 

 

Quels objectifs se fixent FireEye pour 2015 ?
Nous avons obtenu en résultat 2014, 650 millions de dollars dont 75 % aux US en 2014. Le milliard est prévu en 2015. Hors US, ce sont 300 % de croissance que nous envisageons pour le marché français. L'idée, c'est de tripler le volume du business en France en 2015. Le marché US a été mature plus tôt vis à vis de ce type de technologie par rapport au reste du monde. Notre stratégie est simple: générer du chiffre d'affaires en service pour être catalyseurs des produits. 
Quelle est la ventilation entre produits et services sachant que l'acquisition de Mandiant a augmenté la partie « services » ?
En 2014, c'est environ 80 / 20 en faveur des services. L'idée c'est de faire du 50 : 50 en 2015.
  
Précisément, quelles pistes de croissance privilégiez-vous pour 2015, 2014 s'étant avérée une année en demi-teinte avec notamment un changement à la tête de la filiale française ?
S'il existe des problèmes d'objectif, il faut donner de nouvelles perspectives à la tête du groupe. C'est ce que j'ai fait avec mon CEO qui a accepté mes propositions. Mes pistes de croissance partent de constats pragmatiques. Nous sommes déjà 100% en indirect. La piste de croissance vient du fait que nos partenaires sont en train de monter en compétence et de ce fait vont nous apporter un business incrémental. En 2015 je souhaiterai que nos partenaires notamment les nouveaux se montrent davantage « apporteurs d'affaires ». Nous mettons en place les moyens de cette politique via des certifications non payantes par exemple et des achats de produits à des prix préférentiels.
Ça demeure une approche très « classique », quelles autres pistes envisagez-vous ?
Adaptée notre offre aux PME / PMI via des télévendeurs depuis l’Irlande L’offre est déjà adaptée. Nous avons décidé d’adresser le secteur des moyennes entreprises qui ont comme les grands comptes des informations sensibles à protéger et ce avec une équipe de télévendeurs ayant également la flexibilité de venir en France pour le "closing" des affaires. Cette approche se fera notamment à partir de listes de comptes nommés et verticalisés par secteur.
Le marché de la cybersécurité semble enfin se préoccuper des cyber risques liés aux cybersabotages d'infrastructures et de sites sensibles. FireEye ne semble pas disposer de solutions dédiées aux besoins du marché des architectures SCADA. Est ce un marché stratégique pour Vous ? 
Dans nos offres de « Package de services » certaines touchent les marchés SCADA. Au niveau services nous possédons déjà un catalogue d'offres. Celles concernant les produits vont venir. Notons que les produits permettant de protéger les stations qui pilotent les automates existent déjà car ils sont dans un environnement traditionnel.
Disposez-vous des moyens nécessaires à la mise en place de votre politique au plan légal. Comment les US comprennent le cadre réglementaire de la France et de l'Europe ? la LPM et les demandes de l'ANSSI sont percues comment outre-atlantique
Aux US, nous employons le mot « Enable » ou «  avoir les moyens et obtenir les résultats ». Donc budget et documentations sont peu limités de la part des US et c'est très bien. Concernant l'ANSSI, la prise de position de certaines personnes à l'ANSSi sur notre société n'est pas approuvée par le directeur général Guillaume Poupard à propos de FireEye que nous avons rencontré récemment avec mon CEO (lire cyberisques.com pour les abonnés).
Lors de cette réunion, vous avez abordé l'aspect qualification de vos solutions et de vos services qui actuellement ne sont pas reconnus. Ce qui peut poser problème pour répondre à certains appels d'offre d'OIV (Opérateurs d'importance vitale). Qu'allez vous décider pour répondre aux exigences des cadres réglementaires européens et français ?
Nos produit sont « critères communs » donc disposent d'une équivalence avec le niveau ANSSI que l'on peut qualifier de « neutre ». En outre, nos solutions vont au-delà des firewalls de nouvelle génération. Certains experts à l'ANSSI avouent ne pas savoir comment tester nos produits. Ce qui signifie que dans notre catégorie de produits, aucun équipement n'est dans notre secteur concurrentiel qualifié.  
Quelle(s) offre(s) de Services qualifiés par l'ANSSI envisagez-vous de proposer en 2015/2016 en vous appuyant sur ceux proposés par Mandiant rachetée 1 milliard de dollars début 2014 par FireEye?
Je vais être clair : il vaut mieux un bon partenariat qu'une mauvaise concurrence. Donc il est tout à fait envisageable de signer avec des partenaires, des tiers déjà qualifiés prestaires de réponse aux incidents de sécurité (PRIS). La compétition est en train de changer sur les "deals" de services. Pour FireEye en France, j'envisage deux ou trois acteurs pour des partenariats.
  
Les "cyber-polices" liées aux offres de transfert des risques cyber des acteurs de la Cyberassurance semblent progressivement s'imposer. Un partenariat avec des acteurs de ce secteur pour offrir une solution globale à vos clients est aussi envisageable ?
Nous sommes en contact avec des hauts fonctionnaires, Henry Serre entre autres. Notre approche : connaître les risques cyber avec un audit « Mandiant » et conseiller nos clients via un cyber-assureur pour fixer un montant « customizé » de prime. L'idée au niveau intervention en cas de crise c'est la Réponse sur incident dans un cadre négocié en prix et responsabilité.
Au plan concurrentiel, quel regard portez-vous sur le(s) marché(s) de la cybersécurité en France sachant que FireEye est présent sur les équipements, services et offres spécifiques d'intelligence ou « renseignement » ?  
C'est exact. Nos compétiteurs dans les équipements sont des « pure players » Trend,  Lastline, Palo Alto, CheckPoint. Tous ces acteurs se consolident. Notre stratégie est différente : nous penons le « meilleur » de chaque «  famille technique » pour créer une plate-forme unique dotée de modules spécifiques.
En quoi votre offre se distingue de celles des acteurs pré-cités ? 
....

Jean Philippe Bichard / cyberisques.com 

 

 

 

 

 Pour accéder à l'intégralité de l'article: 

CYBERISQUES NEWS premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX / CODIR

Abonnement individuel par eMail personnalisé

Renseignements Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

 

RGPD-ETUDE-FIREEYE-2015-cyberisques-2

 

 

 

BONUS:

https://www.fireeye.com/

 

 

Tribune HID: comment implémenter un acces mobile en toute sécurité ?

Implémenter un accès mobile en cinq étapes simples

Par Yves Ackermann, Directeur Segments Stratégiques Europe, HID Global

 

 

L’utilisation de smartphones pour le contrôle d’accès a d’ores et déjà réalisé une percée spectaculaire dans les entreprises pour sa facilité d’utilisation. Le monde est appelé à soutenir cette tendance car le taux d’équipement de smartphones devrait atteindre 70 % d’ici à 2020. Par ailleurs, les accessoires intelligents capables d’exécuter des applications tierces progresseront de 84 % selon les prévisions d’IDC.

Pour les entreprises, il s’agit de déployer une solution en s’appuyant sur l’architecture de leurs bâtiments. Les cinq étapes ci-dessous constituent une méthode simple qui vous permettra de conserver une longueur d’avance.

1. Evaluez votre système de contrôle d’accès.

Premièrement, il s’agit d’évaluer l’infrastructure de contrôle d’accès physique existante afin de définir les critères de migration vers un système mobile. Votre entreprise est-elle prête à déployer une solution de contrôle d’accès mobile ?

Si vous avez déjà des cartes ou des porte-clés, votre objectif n’est pas de substituer un type d’identifiant à un autre. L’utilisation des smartphones se fait pour des raisons différentes, comme la distance et les personnes préfèrent souvent garder les deux. Vos lecteurs de contrôle d’accès actuels gèrent-ils un identifiant mobile ? Peuvent-ils communiquer en en BLE (Bluetooth Low Energy), indispensable pour un contrôle longue portée, aux abords des parkings et des bâtiments extérieurs par exemple ? Ou même communiquent-ils vraiment en NFC (Near Field Communication) pour les portes intérieures où une identification courte portée s’impose ?

2. Analysez le type d’équipements qui devront être pris en charge pour votre entreprise

Réfléchissez ensuite aux utilisations de cet accès mobile. En analysant votre base d’utilisateurs, vous pourrez déterminer dans quelle mesure une nouvelle solution de contrôle d’accès mobile leur sera profitable. Combien d’utilisateurs auront besoin d’utiliser leur smartphones et pour quels types d’accès ? Quels sont les différents rôles et droits d’accès à attribuer et gérer ? Qu’en est-il des personnes étrangères à l’entreprise, visiteurs, fournisseurs, livreurs … ?

Si vous autorisez votre personnel à apporter son propre équipement (BYOD) cela influera l’éventail de technologies que votre solution doit prendre en charge. Comme indiqué ci-dessus, les principales technologies de communication utilisées par les solutions d’accès mobile sont Bluetooth Smart et NFC, utilisées séparément ou de concert. Toutes deux gèrent l’authentification par effleurement mais BLE, fonctionne également à grande distance. Les smartphones récents sont compatibles Bluetooth Smart mais les iPhone ne gèrent pas la communication NFC pour l’accès. Dans les entreprises dotées d’un vaste parc de modèles iPhone, Bluetooth Smart est donc la seule option.

3. Modernisez votre matériel sur site pour le mettre en adéquation avec vos impératifs

Il vous reste à préparer l’installation du nouveau matériel ou la modernisation des lecteurs en place. Si des lecteurs doivent être remplacés, vérifiez que les nouveaux équipements sont « mobile-ready » et capables de communiquer en Bluetooth Smart, même si vous n’utilisez pas cette fonction actuellement.

Les parkings, entrées principales et ascenseurs peuvent tous être équipés de terminaux/lecteurs longue portée. Ouvrir une porte de parking sans même devoir abaisser la vitre de son véhicule, ou celle d’un bâtiment en se dirigeant simplement vers lui, offre une réelle commodité aux utilisateurs. En revanche, si plusieurs portes sont proches les unes des autres, il faudra pour une lecture à plus courte distance. Il est donc important de définir avec précision pour chaque lecteur la distance idéale souhaitée afin d’optimiser la mise en œuvre de cette solution. Chaque lecteur doit pouvoir être configuré pour répondre exactement aux caractéristiques de tel ou tel accès.

Il ne s’agit donc de prendre le temps de définir soigneusement vos contraintes et vos souhaits.

4. Vérifiez que vous disposez des logiciels adéquats

Votre système d’accès mobile doit s’appuyer sur des logiciels qui gèrent l’enregistrement, l’allocation et même la révocation d’identifiants mobiles « over the air » c’est-à-dire en utilisant les réseaux mobiles et ce sans qu’aucune connaissance des smartphones ciblés ne soit nécessaire.

Les administrateurs doivent pouvoir faire des envois groupés aux utilisateurs et adresser aisément des invitations accompagnées d’instructions personnalisées par e-mail. Des clés de cryptage uniques permettant l’appairage des identifiants mobiles et des lecteurs, protègent l’allocation de ces derniers par ondes radio. Au niveau du lecteur, une couche de cryptage supplémentaire garantit le degré élevé de sécurisation de la transaction. Le verrouillage écran du téléphone mobile rend l’identifiant mobile inexploitable si le téléphone est perdu ou volé. De par ses capacités d’intégration et son ouverture, ce type de logiciel doit également contribuer à affiner les processus métier les mieux adaptés à votre activité.

5. Dotez votre personnel d’identifiants mobiles

A présent que votre matériel et vos logiciels sont installés, l’ultime étape consiste à fournir des identifiants mobiles aux utilisateurs. Les éditeurs proposent de télécharger leurs applications sur App Store ou Google Play. Une fois l’application installée le smartphone fera office de carte de contrôle d’accès.

Cette étape se doit d’être aisée pour vos utilisateurs, privilégiez donc une solution d’accès mobile simple d’emploi. L’essentiel est de se montrer méthodique et clair avec les utilisateurs durant le processus d’identification mobile. Ils reçoivent un e-mail, les invitant à télécharger une application d’accès. Une clé numérique est également jointe à ce courrier électronique ; il leur suffit d’entrer ce code dans l’application pour pouvoir exploiter le système.

Déployer une solution d’accès mobile c’est être à même de transformer la culture et la sécurité de votre entreprise pour le plus grand confort de vos collaborateurs. Si vous ne perdez pas de vue ces étapes, il y a fort à parier que votre processus d’implémentation sera plus fluide que vous ne le pensez.

 

 

 

BONUS:

 

À propos de HID Global

HID Global entend mériter la confiance de millions de clients par des produits, des services et des solutions innovantes, ainsi que par un savoir-faire lié à la création, l’utilisation et la gestion de systèmes d’identification sécurisés. Ses principaux marchés sont le contrôle d’accès physique et logique, dont l´authentification forte et la gestion des identités, l’impression et la personnalisation de cartes, la gestion de visiteurs, les systèmes d’identification officiels, l’identification animale ainsi que diverses applications industrielles et logistiques. Ses principales marques sont ActivID®, EasyLobby®, FARGO®, IdenTrust®, LaserCard®, Lumidigm®, et HID®. Ayant son siège social à Austin, au Texas, HID Global emploie plus de 2 200 personnes à travers le monde et possède des bureaux dans plus de cent pays. HID Global est une marque du groupe ASSA ABLOY.

Loic Guezo trend Micro : 3 certifications incontournables

Lire la suite...

Les dossiers de Cyber Risques News

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

Renseignements   Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

Informations supplémentaires