@DPO_News @cyberisques @jpbichard #GDPR #RGPD "Privacy by Design" : Vers une certification ?

 

Vers une certification du service "Privacy by Design" ? 

 

On le sait la notion de Privacy by design interroge comme d'autres articles du RGPD (GDPR: lire le réglement européen sur le lien en section BONUS) reste qu'à peine voté, le reglement européen (RGPD / GDPR) attire déjà les bureaux de certification. Alors faut il certifier traitements rendus obligatoires par Bruxelles ? 

 

Avec le GDPR, le responsable de traitement doit appréhender la problématique des données personnelles (marché stratégique: cf section BONUS étuide IDC) dès la conception d’un projet : c’est le concept même du "Privacy by design".

 

En accord avec le DPO, le ou les responsables (sous traitants compris) prennent les mesures techniques et organisationnelles appropriées pour garantir le respect des droits des personnes et pour s’assurer de la conformité du traitement mis en œuvre. Cette première mesure "Privacy by design" est complétée par une seconde : "Privacy par défaut". Cette dernière précise le GDPR fixe les périmètres propres au déroulement d'un traitement: quantité de données collectées, diversité des finalités, limitation des durées de conservation ou le nombre de personnes habilitées à accéder aux données...

 

Cette approche légale d'un traitement de données à caratère personnel est également définie par son périmètre géographique (France, Europe, États-Unis, Russie, Chine…) et par son périmètre opérationnel (un produit, une division ou l’ensemble de l’entreprise).

 

Sentant poindre des incompréhensions, les experts en certification comme Véritas préconisent de "labelliser" les approches "Privacy by design" selon trois niveaux "d'adoption" du concept de " Privacy by design".

 


Premièrement, une certification de service « Privacy by Design », qui permettra via un audit de revendiquer la conception d’un produit ou d’un service donné comme étant respectueuse de la Privacy (sans avoir à transformer toute l’architecture IT).
Deuxièmement, une labellisation « Gouvernance », qui se concentrera sur le système global de management de la donnée (sans rentrer cette fois dans des audits techniques), avec une portée internationale indépendante des exigences locales de compliance.
Enfin, une certification adaptée précisément à l’article 42 du règlement européen.

 

Bref, encore du pain sur la plance notamment pour les éditeurs encore tres discrets sur leurs solutions "compatibles" GDPR / RGPD. Un business non négligeables comme l'a confie l'édieur SAS lors de son séminairs GDPR (http://www.cyberisques.com/fr/mots-cles-5/651-dpo-news-cyberisques-jpbichard-gdpr-cyril-lefevre-sas-le-business-gdpr-devrait-representer-25-de-notre-ca

Pour l'heure la CNIL va étudier les résultats de sa dernière consultation sur trois volets importants du RGPD / GDPR :  la notification de violation des données personnelles, le profilage et le consentement

 

BONUS: 

http://www.cyberisques.com/fr/component/search/?searchword=GDPR&searchphrase=all&Itemid=435

https://www.cnil.fr/fr/reglement-europeen-protection-donnees

http://lemag.bureauveritas.fr/data-privacy/

https://www.cnil.fr/fr/reglement-europeen-consultation-sur-le-profilage-consentement-notification-de-violations

 

Bureau-Veritas-Infographie-sur-la-protection-des-donnees-personnelles-RS-HD

 

Source: Press Release IDC

dotted lines 

Worldwide Big Data and Business Analytics Revenues Forecast to Reach $187 Billion in 2019, According to IDC

23 mai 2016 

According to the new Worldwide Semiannual Big Data and Analytics Spending Guide from International Data Corporation (IDC), worldwide revenues for big data and business analytics will grow from nearly $122 billion in 2015 to more than $187 billion in 2019, an increase of more than 50% over the five-year forecast period. The new Spending Guide expands on IDC's previous forecasts by offering greater revenue detail by technology, industry, and geography.

The services-related opportunity will account for more than half of all big data and business analytics revenue for most of the forecast period, with IT Services generating more than three times the annual revenues of Business Services. Software will be the second largest category, generating more than $55 billion in revenues in 2019. Nearly half of these revenues will come from purchases of End-User Query, Reporting, and Analysis Tools and Data Warehouse Management Tools. Hardware spending will grow to nearly $28 billion in 2019.

The industries that present the largest revenue opportunities are Discrete Manufacturing ($22.8 billion in 2019), Banking ($22.1 billion), and Process Manufacturing ($16.4 billion). Four other industries – Federal/Central Government, Professional Services, Telecommunications, and Retail – will generate revenues of more than $10 billion in 2019. The industries experiencing the fastest revenue growth will be Utilities, Resource Industries, Healthcare, and Banking, although nearly all of the industries profiled in the new Spending Guide will see gains of more than 50% over the five year forecast period.

Large and very large companies (those with more than 500 employees) will be the primary driver of the big data and business analytics opportunity, generating revenues of more than $140 billion in 2019. However, small and medium businesses (SMBs) will remain a significant contributor with nearly a quarter of the worldwide revenues coming from companies with fewer than 500 employees.

"Organizations able to take advantage of the new generation of business analytics solutions can leverage digital transformation to adapt to disruptive changes and to create competitive differentiation in their markets," said Dan Vesset, group vice president, Analytics and Information Management. "These organizations don't just automate existing processes – they treat data and information as they would any valued asset by using a focused approach to extracting and developing the value and utility of information."

"There is little question that big data and analytics can have a considerable impact on just about every industry," added Jessica Goepfert, program director, Customer Insights and Analysis. "Its promise speaks to the pressure to improve margins and performance while simultaneously enhancing responsiveness and delighting customers and prospects. Forward-thinking organizations turn to this technology for better and faster data-driven decisions."

From a geographic perspective, more than half of all big data and business analytics revenues will come from the United States. By 2019, IDC forecasts that the U.S. market for big data and business analytics solutions will reach more than $98 billion. The second largest geographic region will be Western Europe, followed by Asia/Pacific (excluding Japan) and Latin America. The two regions with the fastest growth over the five year forecast period will be Latin America and the Middle East & Africa.

The Worldwide Semiannual Big Data and Analytics Spending Guide is designed to address the needs of organizations assessing the big data and business analytics opportunity by geography, industry, and company size. The Spending Guide provides subscribers with revenue projections for 15 technology and service categories across 19 industries, five company size bands, and 53 countries. Unlike any other research in the industry, the comprehensive Spending Guide was designed to help IT decision makers to clearly understand the industry-specific scope and direction of big data and business analytics opportunity today and over the next five years.

Abonnemnt-2017

 

 

 

@DPO_News @cyberisques @jpbichard #GDPR : La face cachée du GDPR

SAS Event Paris La Defense 28 février 2017

 

La face cachée du GDPR

 

 

par Jean Philippe Bichard  @DPO_NEWS

Phot-JPB-DPO NEWS

 

 

Derniere mise à jour: 3 mars 2017

 

Plus que 450 jours pour réaliser le « data ménage » exigé par le GDPR dans les données personnelles détenues et traitées par les organisations et leurs sous-traitants. GDPR : une approche de conformité ? Oui mais pas seulement. État des lieux avec les experts réunis par SaS à l'occasion d'une table ronde sur le GDPR (règlement européen pour la protection des données à caractère personnel) et les non-dits du règlement EUR.

 

Kalliopi Spyridaki est Chief Privacy Strategist pour l'éditeur SaS en Europe. Sa présentation lors de la conférence dans un hôtel parisien à moins de 450 jours de la mise en application du GDPR prend une tournure intéressante. De la phase « d'évangilisation » on passe à la mise en place de projets GDPR en mode « urgence ». D'autres invités a la table ronde qui a suivi sa présentation s'accordent pour penser que la majorité des organisations ne seront pas « prêtes » pour la date butoir de mai 2018 ; Mais que signifie être prêt lorsqu'on évoque le GDPR ? Bonne question et ce n est pas la seule.

 

Certaines organisations réfléchissent à supprimer toutes les données a caractères personnelles hors production

 

Une certitude : à moins de 450 jours du « top départ » de la mise en application du RGPD - autre acronyme du règlement EUR - les entreprises et certainement pas plus la CNIL autorité officielle en France ne seront « ready ». Les premières pour mettre en place leurs projets de conformité, la seconde pour « contrôler les DPO » avec l'ensemble des « forces » nécessaires à cette nouvelle mission (la CNIL pourrait faire appel a des organisations externes pour réaliser ces missions). 

Mais restons positifs. Pour SAS éditeur de solutions analytiques et predictives le GDPR « permet aussi de ranger les placards ». Comprenez selon plusieurs études 70% des données ne sont plus utilisées par les SI actuels. Le GDPR sous d'apparentes contraintes pourrait réaliser le « data ménage » souhaité mais jamais effectué par toutes les organisations. Certaines organisations réfléchissent à supprimer toutes les données a caractères personnelles hors production. Un projet parallèle sorte de "data clean" qui pourrait constituer un avantage concurrentiel certain pour les entreprises qui réussiront ce tour de force (lire notre lien en section BONUS en fin d'article).

 

SaS-EVENT-28-FEV-2017

 

Nettoyage mais aussi innovation avec de nouvelles applications « privacy by design » qui garantiront le respect de la vie privée aux clients dans leur "conception". Pour Kalliopi Spyridaki le nouveau règlement européen sur la protection des données personnelles constituent un « plus » pour les entreprises qui sauront marier le GDPR avec une stratégie de "data gouvernance" tournée vers leurs clients, sous-traitants et partenaires.

 

Le GDPR concerne les traitements autant que les données personnelles

En matière d'innovation, si le client a donné son consentement, via les nouvelles exigences du GDPR, il sera possible de rapprocher, traiter et croiser certaines données personnelles en toutes légalité. Du coup, les premiers conformes seront les premiers avantagés auprès des clients. « Si l'on prend comme exemple le comportement de consommateurs via leur marche et leurs traces de pas filmées, ces dernières ne constituent pas une donnée personnelle mais leurs traces associées à des caméras qui géolocalisent le déplacement de clients dans l'ensemble des espaces d'un centre commercial, constituent une innovation en terme de service pour l'organisation qui en sera à l'origine » explique la Chief Privacy Strategist de SaS. Toutefois précise t-elle, « une nécessaire transparence s'impose afin de créer la confiance avec les consommateurs, c'est seulement dans ses conditions que de tels traitements pourront désormais exister dans le cadre défini par la GDPR ». En gros la peinture demeure la m^me mais on ajoute un cadre. La GDPR de par les sanctions encourues devrait mettre fin aux pratiques de « contournement » des consentements des consommateurs par défaut. Si je perds plus que je ne gagne à cause des sanctions financières alors je deviens de facto "compliance GDPR"' ? Pas si simple surtout pour les organisations en mode GAFA. 

En effet, le consommateur voit avec la mise en place de la GDPR un certain nombre de droits nouveaux lui revenir : droit d’accès à l'effacement, le « fameux » droit à l'oubli, droit à la portabilité, droit à retirer son consentement, droit à s'opposer au profilage.... Des droits qui ne conviennent pas aux GAFA et notamment à Google bien que cet acteur ne soit pas le moins ouvert à des négociations avec l'Europe sur les conditions de mise en œuvre du GDPR.

Si les sanctions financières exigées se montrent largement supérieures aux gains réalisés en "oubliant" la législation, le GDPR pourrait s'imposer. Ce texte de 200 pages et 99 articles prévu pour protéger les consommateurs peut encourager des "class action" autrement dit des actions groupées de consommateurs mécontents du traitement réservé à leurs données à caractère personnel.

Toutefois, il est aisé d'imaginer en coulisses des négociations entre certains grands acteurs non européens mais très impliqués par le traitement de données de... citoyens européens (Amazon, Apple, Microsoft, Google, Facebook, IBM...) et des autorités nationales en Europe. Enjeux : les sanctions financières pouvant atteindre 4% du CA en cas de manquement aux règles du GDPR mais aussi... des milliers d'emplois créés par ces acteurs en Europe.

Dernier point, en passant du mode déclaratif actuel au mode "accountability" (responsabilités  et sanctions) le GDPR forme un socle sur lequel pourront venir s'appuyer des législations nationales qui préciseront les modalités "d'adaptation" du texte Européen dans chaque pays de l'Union.  Les Etats-Membres comme le précise l'article 23 du GDPR peuvent en effet prévoir des "exceptions" et des "modifications" au texte européen.

 

Abonnemnt-2017

 

Autre facette peu mise en lumière du GDPR, si des droits nouveaux sont accordés, bon nombre d'acteurs à commencer par les entreprises s'interrogent sur les conditions qui encadrent ces droits. Ainsi, la notion de « techniquement faisable » édictée par des juristes dans le GDPR laisse perplexe les ingénieurs. D'autres "interprétations" existent comme "un traitement à grande échelle"... qui commence où par exemple ? Faut il comprendre qu'il s'agit des traitements "métiers" les plus utilisés ?  (Lire notre article réservé aux abonnés de DPO_NEWS:  GDPR: 15 questions essentielles que se posent les DPO

N'oublions pas que si le GDPR réglemente les usages et les traitements des données à caractère personnel il ne les interdit pas. Pour Vincent Rejany, EMEA Data Management Pre-Sales Manager SaS « en tout challenge réside une opportunité » (dixit Einstein). Pour lui le GDPR permet de recadrer les éventuelles dérives. Certaines sont totalement involontaires. Il cite le commentaire d'une force commerciale dans un CRM : « mon client sera absent à notre réunion, il va se faire opérer d'un cancer » Ce commentaire relève dans l'esprit du GDPR d'une violation de la vie privée via la publication de données à caractère personnel. Mais pour l'auteur, il s'agit simplement d'une information diffusée en interne sans souci de malveillance.

C'est pour ces raisons que les concepts d'anonymisation et de pseudonymization (voir BONUS) existent dans le GDPR en plus des audits d'impacts. Pour l'éditeur SaS, le volet technique utile pour déceler, identifier et cartographier les contenus à caractère personnel ne nécessite pas de nouveaux outils. Les offres de type SaS Entreprise Gouvernance, SaS Data Management et Sas federative server répondraient aux nouvelles exigences contenues dans le GDPR selon SaS. Sur ce point le débat est ouverts (cf : @DPO_NEWS http://bit.ly/2l05X3b)

Indépendamment des outils des priorités existent pour se mettre « rapidement » en conformité. Première choses définir les process les plus urgents (cf : http://bit.ly/2kFWYjI) « Ce qui compte indique Me Clémentine Richard du Cabinet Aramis, « c'est l'intention et pouvoir démontrer voire prouver de la part des entreprises qu'elles effectuent la bonne démarche pour se trouver en conformité ». Une précision: les cabinets d'avocats sentent de réelles opportunité dans l'obligation renfermée dans le GDPR de faire appel aux services d'un DPO. DPO qui peut être une équipe. Une équipe qui peut être externalisée. Mais le texte européen prevoit également que ce ou ces DPO doivent "toujours êtres joignables par les utilisateurs à n'importe quelle période". "DPO as a service" pour "Avocats as a Service" ?  les prétendants s'alignent sur la ligne de départ. Marché immense que celui du "DPO as a service" estimé à plusieurs millions d'euros (Lire notre article "GDPR: tres chères datas" @DPO_NEWS pour nos abonnés). On estime à pres de 24 000 les "nouveaux" postes DPO.   

Une approche approuvée par Laurent Zeitoun (Novencia) et Nuvin Goonmeter (Ernst&Young) qui chacun déclinent les « dessous » d'une approche GDPR.

.

@jpbichard

Suite de l'article réservée à nos abonné(e)s (reste à lire 75%.)

 

Au sujet de l'auteur: 

Journaliste IT depuis 27 ans, IHEDN 2005, animateur d'évènements (tables rondes) IT / GDPR, auteur de plusieurs ouvrages, co-fondateur en 1997 du premier média "cybersecurité" NetCost&Security avec Olivier Caleff, Jean Philippe Bichard -@jpbichard - a créé le site de veille  http://cyberisques.com en 2012.

Premier journaliste animateur des « Assises de la sécurité » dans les années 2000, il collabore à différents médias (tech et Eco).

En plus de cyberisques  - gouvernance des risques IT -  il crée en 2016, @DPO_News média sur abonnement individuel consacré aux projets GDPR (organisationnel, technique, juridique, business) et à la veille stratégique pour les DPO (avec retour d'experience). 

En plus d'animations (avec compte-rendu) et d'enquêtes marché, Jean Philippe rédige à la demande de nombreux « white papers » études « business » et autres contenus WEB sur les thématiques Cyberisques / GDPR.

Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

@cyberisques @jpbichard @DPO_NEWS

 

  

BONUS :

http://cyberisques.com/fr/component/search/?searchword=GDPR&searchphrase=all&Itemid=582

http://www.welivesecurity.com/2017/02/09/gdpr-good-bad-news-business/

 

#Cyberisques : Rapport 2016 Cybermenaces McAfee

 

Pour lire le rapport: Cyberisques News:

Rapport Cybermenaces 2016 McAfee

 

L’accès à l'intégralité de nos articles (dossiers

"expertises / compliance", enquêtes,

interviews exclusives, tendances chiffrées,

retours d'expérience par secteurs...) est

réservé à nos abonné(e)s

Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

Faut-il repenser les centres SOC ?

 

Une grande étude a été réalisée à la demande d'Intel Security pour mieux comprendre comment les entreprises utilisent les centres SOC, comment ces derniers ont évolué au fil du temps et à quoi ils ressembleront à l'avenir. Près de 400 professionnels de la sécurité de plusieurs régions, secteurs et entreprises de différentes tailles ont été interrogés à cette occasion. L'étude a mis en lumière les éléments suivants :

■ Près de 9 entreprises sur 10 déclarent disposer d'un centre SOC interne ou externe.

■ La plupart d'entre elles s'efforcent de mettre en place des opérations de sécurité proactives et optimisées, mais 26 % continuent de fonctionner en mode réactif et adoptent une approche ponctuelle en matière d'opérations de sécurité, de traque de menaces et de réponse aux incidents.

■ 64 % des entreprises interrogées reçoivent une forme quelconque d'assistance de la part de leur fournisseur de services de sécurité managés (MSSP) pour leurs opérations de sécurité.

■ Près de deux tiers utilisent une solution de gestion des événements et des informations de sécurité (SIEM). Environ la moitié des entreprises sans solution SIEM comptent déployer cette fonctionnalité dans les 12 à 18 prochains mois.

■ La plupart des entreprises sont submergées d'alertes et 93 % sont incapables de catégoriser toutes les menaces pertinentes.

■ Plus de 65 % des entreprises ont mis en place des équipes formelles de prévention des menaces.

■ L'objectif prioritaire pour assurer la croissance future est d'améliorer la capacité d'intervention en cas d'attaques avérées, y compris la coordination, la neutralisation, l'élimination et la prévention de nouvelles attaques du même type  

 

 

Couv-Rapport-2016-McAfee

#DPO_News #Cyberisques : Michael Bittan "Deloitte est certifié Passi par l'ANSSI"

FIC 2017 Rencontre EXPERTS Cyberisques News : DPO_News

 

 

Michael Bittan associé Leader des activités cyber Risk services pour la France Deloitte

 

 

Michael-Bittan-Deloitte

 

Une rencontre avec Michael Bittan c'est toujours un tour d'horizon à 360° des problématiques cyberisques. Directeur France mais tres souvent à l'étranger pour « suivre » les projets Cyberisques chez Deloitte, Michael intègre avec ses équipes des projets de dimensions européennes et souvent directement à l'échelle mondiale. Ces projets pour la plupart reposent de plus en plus sur des schémas directeurs laissant une large part à l'organisationnel et au juridique.

Deloitte vient d'ailleurs de publier un livre Blanc sur le GDPR et ce n'est pas un hasard.(cf. section BONUS)

 

«  Aujourd'hui enchaîne Michael on assiste a un repositionnement des problématiques cybersécurité autour des problématiques réglementaires et juridiques. Le poids du juridique s'accentue face à la nouvelles donne réglementaire. Nous le constatons chaque jour lors de meeting au sein de grands groupes : en plus des équipes cyber participent désormais le « legal » et les équipes « conformité ».

« Les évolutions de nos métiers vers de nouvelles problématiques incontournables telles que la gestion des IoT, la prise en compte des risques Scada et bien entendu la mise en conformité avec le GDPR redistribuent les cartes. Idem pour les PenTest ou tests de pénétration. Chez Deloitte en particulier et c'est un élément différenciateur fort, mes équipes travaillent sur des scénarios établis avec nos clients. En fonction de tel ou tel scénarios nous établissons des études d'impact de risques par ailleurs nécessaires dans le cadre du GDPR. La définition de scénarios par métier avec une approche sectorielle est désormais une marque de fabrique chez Deloitte et cela à l'échelle mondiale. Ces études sont accompagnées d'évaluations budgétaires ce qui autorise un ajustement du curseur en fonction de l enveloppe budgétaire disponible chez nos clients. Cette approche est rendue possible via des outils internes développés par nos équipes. Para ailleurs si nous devons conseiller nos clients pour s'orienter vers tels ou tels choix techniques, notre plate-forme de tests livre en toute objectivité des résultats sur l'efficacité des outils du marché pour telles problématiques. Il n'est pas exclu que nous publions nos résultats régulièrement.

Deloitte progresse dans sa politique de certification et labellisation. Nous serons très prochainement admis par l'ANSSI comme PASSI (cf section BONUS). Cette approche demeure indispensable pour travailler sur l'ensemble des projets de grands comptes européens notamment parmi les plus stratégiques. Deloitte travaille également à la mise en place face a la pénurie actuelle d'experts Cyberisques d'un projet de formation novateur pour attirer les talents. Nous allons aussi nous rapprocher d'autres acteurs institutionnels pour participer à la création d'un CERT Consulting ».

Propos recueillis par Jean Philippe Bichard       #Cyberisques #DPO_News

 

 

BONUS :

ANSSI :

https://www.ssi.gouv.fr/administration/qualifications/prestataires-de-services-de-confiance-qualifies/prestataires-daudit-de-la-securite-des-systemes-dinformation-passi-qualifies/

 

Livre Blanc GDPR : Deloitte Janvier 2017 https://www2.deloitte.com/fr/fr/pages/risque-compliance-et-controle-interne/articles/enjeux-reglementaires-et-cybersecurite.html

2017: Prévisions en cybersécurité par Palo Alto Networks

Communication Corporate  December 12, 2016

 

Sai Balabhadrapatruni, Matt Keil et Anuj Sawani 

Palo Alto predictions 2017

 

This post is part of an ongoing blog series examining “Sure Things” (predictions that are almost guaranteed to happen) and “Long Shots” (predictions that are less likely to happen) in cybersecurity in 2017.


Here’s what we predict for cloud in 2017:
Sure Things
A multi-cloud, hybrid security strategy will be the new normal among InfoSec teams
In the last few years, the digital footprint of organizations has expanded beyond the confines of the on-premise data center and private cloud to a model that now incorporates SaaS and public clouds. To date, InfoSec teams have been in a reactive mode while trying to implement a comprehensive security strategy across their hybrid architecture. In 2017, we will see a concerted effort from InfoSec teams to build and roll out a multi-cloud security strategy geared toward addressing the emerging digital needs of their organizations. Maintaining a consistent security posture, pervasive visibility, and ease of security management across all clouds will drive security teams to extend their strategy beyond security considerations for public and private clouds and also focus on securely enabling SaaS applications.
Shifting ground within data privacy laws will impact cloud security choices
Cross-border data privacy laws play a significant role while considering cloud computing options for organizations across the globe. With recent developments, such as Brexit and the expansion of cross-border data flow restrictions in Asia-Pacific, IT security leaders will look for flexibility and adaptability from their cloud security vendors in 2017. Cloud security offerings need to address the diversity among clouds, enforce consistent security policy, and adapt to the data privacy laws of the resident nation-state. The WildFire EU cloud is a great example of enabling regional presence to comply with local data residency requirements. It is a global, cloud based, community-driven threat analysis framework that correlates threat information and builds prevention rulesets that can be applied across the public, private and SaaS footprint of organizations based out of Europe.


Large-scale breach in the public cloud


The excitement and interest around utilizing the public cloud reminds us of the early days of the Internet. Nearly every organization we talk to is using or looking to use either Amazon Web Services (AWS) or Microsoft Azure for new projects. And it is based on this observation that we predict a security incident resulting in the loss of data stored in a public cloud will garner international attention. The reality is that, given the volume of data loss over the past year, one or more successful breaches has likely occurred already, but the specific location (private, public, SaaS) of where the data was located is rarely, if ever, disclosed. But that is bound to change as more companies move their business-critical applications to the public cloud.

 

Palo-Alto-CP17-infographic-phase7

 


The basis of the prediction is twofold. Public cloud vendors are more secure than most organizations, but their protection is for underlying infrastructure, not necessarily the applications in use, the access granted to those applications, and the data available from using those applications. Attackers do not care where their target is located. Their goal is to gain access to your network; navigate to a target, be it data, intellectual property or excess compute resources; and then execute their end goal – regardless of the location. From this perspective, your public cloud deployment should be considered an extension of your data center, and the steps to protect it should be no different than those you take to protect your data center.
The speed of the public cloud movement, combined with the “more secure infrastructure” statements, is, in some cases, leading to security shortcuts where little to no security is being used. Too often we hear from customers and prospects that the use of native security services and/or point security products is sufficient. The reality is that basic filtering and ACLs do little to reduce the threat footprint, whereas opening TCP/80, TCP/443 allows nearly 500 applications of all types including proxies, encrypted tunnels and remote access applications. Port filtering is incapable of preventing threats or controlling file movements, improving only slightly when combined with detect and remediate point products or those that merely prevent known threats. It is our hope that, as public cloud projects increase in volume and scope, more diligence is applied to the customer piece of the shared security responsibility model. Considerations should include complete visibility and control at the application level and the prevention of known and unknown threats, with an eye toward automation to take what has been learned and use it to continually improve prevention techniques for all customers.


Long Shots


Autonomic Security: Rise of artificial intelligence and machine learning-driven security frameworks
2016 introduced self-driven cars and selfie drones to consumers. The technology behind these innovations was heavily driven by artificial intelligence (AI) and machine learning (ML). AI and ML usage within cybersecurity is not new. Cybersecurity vendors have been leveraging them for threat analysis and big data challenges posed by threat intelligence. But, the pervasive availability of open source AI/ML frameworks and automation simplicity associated with them will redefine the security automation approaches within InfoSec teams. Today, security automation is about simplifying and speeding up monotonous tasks associated with cybersecurity policy definition and enforcement. Soon, artificial intelligence and machine learning frameworks will be leveraged by InfoSec teams for implementing predictive security postures across public, private and SaaS cloud infrastructures. We are already seeing early examples that reflect the above approach. Open source projects, such as MineMeld, are shaping InfoSec teams’ thinking on leveraging externally sourced threat data and using it for self-configuring security policy based on organization-specific needs. In 2017 and beyond, we will see the rise of autonomic approaches to cybersecurity.


Insecure API: Subverting automation to hack your cloud


Application programming interfaces (APIs) have become the mainstay for accessing services within clouds. Realizing the potential problems associated with traditional authentication methods and credential storage practices (hard-coded passwords anyone), cloud vendors have implemented authentication mechanisms (API keys) and metadata services (temporary passwords) as alternatives that streamline application development. The API approach is pervasive across all cloud services and, in many cases, insecure. It provides a new attack vector for hackers, and in 2017 and beyond, we will hear about more breaches that leverage open, insecure APIs to compromise clouds.
What are your cybersecurity predictions around cloud? Share your thoughts in the comments and be sure to stay tuned for the next post in this series where we’ll share predictions for Asia-Pacific.

 

 

Les dossiers de Cyber Risques News

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

Renseignements   Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

Informations supplémentaires