L’analyse de risque orientée sur la menace

Historiquement centrée sur l’identification et la protection des actifs les plus critiques des organisations, l’analyse de risque est en train de connaître une évolution importante en se recentrant sur la prise en compte des attaquants, de leurs moyens et de leurs motivations. Cette évolution permet une meilleure appropriation des résultats et une concrétisation plus claire des risques pour les métiers. En France, cette évolution se caractérise par la publication de la méthodologie EBIOS RM. Elle va requérir de mettre à jour les processus et de changer les habitudes pour en tirer pleinement partie.

La sécurisation des produits

Ce sera en particulier le cas dans le secteur manufacturier, du fait de la connexion d’objets existants (voitures, trains, électroménager, équipements industriels…) ou de la création de nouveaux objets connectés. Après l’apparition des filières dédiées à la sécurité des SI industriels pour protéger l’outil de production, les sentent le besoin de sécuriser les produits vendus à leurs clients.

Parfois car elles ont connu des attaques visant leurs produits, souvent car leurs clients exigent dans le cadre des appels d’offres un niveau de sécurité particulier voire une certification. L’initialisation d’une telle démarche passe par la création d’un nouveau poste, le « product security officer » dont le positionnement dans l’organigramme de l’organisation reste encore à stabiliser.

Le partage inter-communautés autour de la création de lieux Totem

Des projets sont en cours et devraient voir le jour en 2020 ou 2021, en France avec le CyberCampus, à New-York avec le projet CyberNYC ou encore au Royaume-Uni avec CyNam. Toutes ces initiatives visent à structurer l’écosystème public, privé, académique, et innovation afin de le faire foisonner et d’en tirer le meilleur parti.

Cloud, API, Gestion des identités : premières bases d’un modèle zero trust

Bien que la théorie ne soit pas nouvelle, le « Zéro-Trust » a le vent en poupe. Il vise à construire un modèle de sécurité permettant une approche de la sécurité sans frontière, s’appliquant à la fois sur les infrastructures de l’organisation mais aussi sur celles de ses fournisseurs et partenaires. Celle-ci s’appuie sur des standards permettant l’évaluation en temps-réel du niveau de sécurité et l’application de mesures adaptées au niveau de risque.

S’il ne pourra être mis en place avant plusieurs années, 2020 sera marqué par les premières études techniques sur le sujet. En effet, le modèle, théorisé depuis des années, peut maintenant être mis en œuvre grâce à des nouvelles solutions techniques. Même si tout n’est pas parfait, des renforcements peuvent être notamment envisagés sur les trois pans suivants :

• Utilisation des fonctions de sécurité dans le cloud : aujourd’hui par faute de compétences et de connaissance, les accès cloud bénéficient rarement des fonctions de sécurité avancées, pourtant proposées par les offreurs majeurs du cloud.
• Sécurisation des API : l’API-fication du SI nécessite d’embarquer by design les fonctions de sécurité dans les services exposés.
• Montée en maturité de la gestion des identités : condition sine qua non de la mise en place d’un tel modèle, les organisations doivent franchir un niveau de maturité dans la maîtrise des identités, notamment celles de leurs clients.

L’enjeu société grandissant

Devant la crainte de plus en plus forte du grand public, l’évolution des postures offensives des états, la multiplication des actes cybercriminels, l’attention des régulateurs et des organismes de notation financière, la cybersécurité devient véritablement un critère d’évaluation de la performance sociétale de l’organisation.

Toutes ces évolutions poussent à une prise en compte à haut niveau de la cybersécurité dans la stratégie de l’organisation !

Le RSSI peut être un acteur déterminant dans ce domaine et valoriser les efforts réalisés, pas uniquement pour protéger son organisation mais la valoriser auprès de ses clients et de la société au sens large. Cela peut se concrétiser par la réalisation de séances de sensibilisation auprès des clients, par un appui opérationnel auprès de ses fournisseurs TPE/PME, par la participation à des initiatives nationales comme le mois de la sécurité. Toutes ces initiatives pourront ensuite être valorisées positivement dans la communication de l’organisation, en particulier pourquoi pas dans son rapport annuel.

L’analyse menée sur 260 rapports annuels à l’échelle internationale en 2019 [4] montre que les efforts de communication ont commencé mais qu’ils peuvent être encore améliorés.

La sécurité de l’intelligence artificielle

Les projets métiers se multiplient mais la mise en place de mesures de sécurité spécifiques au machine learning reste encore confidentielle. Les premières vulnérabilités sont pourtant clairement démontrées, que ce soit pour empoisonner une IA, lui soutirer des informations ou encore lui faire reconnaître certaines choses pour d’autres.

Pour éviter de construire un futur trop risqué, il va être important pour les filières SSI d’aller à la rencontre des équipes innovation, data science ou encore fraude, pour évoquer avec elles comment elles envisagent la résistance de leurs systèmes à une attaque cyber. Des solutions existent pour contrer ces vulnérabilités, des plus simples (liste blanche, liste noire…) aux plus complexes, en passant par l’utilisation de moteur d’IA détectant les tentatives de déviation des modèles.

Le confidential computing

Véritable graal de la cybersécurité, derrière ce terme se cache l’ensemble des technologies permettant d’exécuter des traitements dans des environnements non maîtrisés mais de manière sécurisée. La technologie la plus prometteuse restant le chiffrement homomorphique qui permet la réalisation de traitements directement sur des données chiffrées, sans avoir à les déchiffrer !

Moins ambitieux mais fonctionnant déjà aujourd’hui, l’utilisation d’enclaves sécurisées permet de réduire certains risques de fuite. De manière générale, ces solutions permettront de lever de nombreux freins dans les migrations vers le cloud. Le marché se structure avec la création récente du « Confidential Computing Consortium », des annonces récentes de Microsoft dans Azure ou encore l’arrivée de la startup française Cosmian.

Cet article Radar du RSSI (3/3) – Quelles tendances anticiper en 2020 et au-delà ? est apparu en premier sur RiskInsight.

Repenser sa gouvernance pour la rationaliser

Certes, le RSSI se doit de définir une stratégie cybersécurité claire et lisible lui permettant de cibler ses priorités voire de présenter une évaluation de leur efficacité. Le modèle de gouvernance actuel est-il performant ? Est-il adapté au contexte actuel et à venir ? Après plusieurs années d’investissements majeurs, comment optimiser les activités du quotidien (le run) SSI ?

Aujourd’hui, bon nombre de RSSI, ou leur hiérarchie, remettent en question les organisations cybersécurité en place. De nombreuses questions se posent notamment au sein des grands groupes où les rôles et responsabilités sont répartis entre plusieurs entités :

Comment gérer l’ensemble des entités et s’assurer que les actions sont déployées sur le terrain ? Quelle hiérarchie, quelle entité de rattachement (DSI, sureté, risque…) et quel reporting direct pour la cybersécurité au niveau du groupe ? Quelle démarche de contrôle instaurer en fonction des différents rattachements des équipes sécurité (en particulier dans le monde de la finance avec le concept de lignes de défense) ? Quel système d’information créer dans la filière cybersécurité pour rendre les actions lisibles et correctement suivies ?

Autant de questions qui militent pour une refonte de la gouvernance, parfois totale.

Par ailleurs, en 2020, l’agence nationale de cybersécurité française devrait publier une mise à jour de son référentiel de métier et de nombreuses organisations commencent à réfléchir à la structuration de filières RH spécifiques. Ceci permet d’organiser clairement les rôles et responsabilités, d’identifier les profils à recruter mais surtout à créer des parcours professionnels diversifiés et ainsi à attirer et retenir les meilleurs profils au sein de l’organisation.

Démontrer l’efficacité des actions

Aujourd’hui, démontrer l’efficacité des actions menées et des mesures de sécurité mises en place au travers d’indicateurs concrets de couverture des risques, impactants et compréhensibles par tous reste un défi pour le RSSI. Et pourtant, ces indicateurs sont cruciaux pour négocier les budgets !

La justification des engagements budgétaires réalisés (notamment dans certains secteurs comme la finance ou 2020 sera une année de rationalisation) est de plus en plus nécessaire.

Traiter le risque cyber sous le prisme financier, comme tous les autres risques de l’organisation, permettra de le rendre parlant pour les décideurs. Ainsi, la quantification des risques, même si elle est encore au stade embryonnaire, se développe au travers de nouvelles pistes. C’est notamment le cas avec la méthodologie développée par Christine Lagarde qui s’applique au secteur bancaire, la méthodologie FAIR.

Sur le marché, la startup Citalid propose une solution maillant méthodologie FAIR et threat intelligence, dans le but, à terme, d’industrialiser la quantification des risques au niveau de l’organisation. Plusieurs prérequis sont nécessaires à son utilisation (une cartographie des risques, un référentiel des mesures en place, des abaques de coûts, la mobilisation des métiers…) mais les résultats sont parlants pour mobiliser à haut niveau.

Industrialiser l’approche des sujets agiles

Sujet déjà mentionné dans notre radar du RSSI pour 2019 : les grandes organisations ont démarré, certaines à marche forcée, des migrations vers un fonctionnement agile à grande échelle.

Une première étape a été remplie pour beaucoup : l’intégration de la sécurité dans les projets agiles par le biais d’Evil User Stories, de formation des équipes à la sécurité, de mise en œuvre d’outils d’intégration continue et d’intégration de tests d’intrusion dans le cycle de développement.

Pour autant, très peu d’organisations ont véritablement pris le parti d’intégrer la cybersécurité au nouveau modèle opérationnel agile. Afin de franchir le pas, les équipes cybersécurité doivent revoir en profondeur leur modèle de fonctionnement pour s’adapter aux nouvelles méthodes de delivery et garantir un bon niveau de sécurité dans les produits. Cela implique de restructurer leur approche d’intégration de la sécurité en adoptant une démarche de réduction incrémentale du risque. L’objectif étant que les squad soient suffisamment matures et compétentes en matière de cybersécurité pour être autonomes dans leur gestion des risques.

Mais dans une période intermédiaire, la présence d’experts sécurité dans une posture de service et d’accompagnement est un facteur de réussite pour faciliter la prise en compte de la sécurité dans les cycles de développement agile et assurer une montée en compétences. Pour initier le modèle, il est judicieux de le tester sur quelques pilotes afin de l’adapter, si nécessaire, avant de le généraliser au sein de l’organisation.

Internationaliser et rationaliser son approche sur la réglementation

Les règlementations (RGPD / CCPA, les règlementations sectorielles, mais aussi en particulier la directive NIS en 2020) s’appliquent de manière hétérogène entre les différentes entités d’un groupe. Avoir une vision unifiée de ses obligations reste un graal notamment pour les groupes internationaux.

Un travail important de prise de recul, de comparaison et de coordination doit être mené afin d’optimiser et réduire les coûts de mise en conformité, et afin de la rendre pérenne sans trop d’efforts.

Pour faciliter ce travail, il est préconisé de créer un poste de coordinateur régulation : il viendra cartographier les différentes règlementations qui s’appliquent à son organisation et à ses filiales à l’échelle globale (pour NIS, il anticipera une potentielle future nomination en fonction de l’approche de chaque pays), il définira une stratégie de mise en conformité en fonction du niveau d’imbrication et de maillage du SI global de l’organisation avec celui de ses entités internationales (mise en conformité par SI / par état ou mise en conformité globale), il viendra ensuite assister dans la construction d’une roadmap globale de mise en conformité (synthèse des écarts vis-à-vis des règlementations, définition d’une cible d’applicabilité, structuration des travaux et mise en cohérence).

Et surtout, il jouera le rôle d’expert dans les échanges avec les régulateurs lors des contrôles et sa pertinence pourra également lui permettre d’entrer en discussion avec eux pour faire évoluer les exigences de manière rationnelle et efficace.

Mobilier sur la cyber-résilience, au-delà de la filière cybersécurité

La démultiplication des attaques cyber en 2019 a continué à assoir la prise de conscience des directions générales sur le sujet de la cybersécurité. Cette prise de conscience salutaire a initié une vague de projets de cyber-résilience en 2019 qui sera amenée à se prolonger en 2020.

Cependant, viser à être cyber-résilient dans l’absolu n’est pas nécessairement efficace. Il est important de cibler les chaînes métiers critiques et d’évaluer leur sécurisation au regard d’attaques bien identifiées. Pour ce faire, la mobilisation devra être plus large que les équipes cybersécurité : les fonctions liées à la continuité d’activité, les métiers ou encore la direction générale de l’organisation sont des acteurs essentiels au succès de cette démarche.

Le RSSI devra intervenir sur des sujets clés comme la sélection des attaquants qui seraient le plus probablement amenés à cibler l’organisation (sur la base des secteurs dans lesquels ils sévissent, de leurs motivations, de leur niveau de technicité, etc. – par exemple FIN6 pour les ransomwares, Cobalt group’s pour la fraude, DeepPanda pour le vol de données, etc.) et l’adaptation concrète de la stratégie de protection et de détection.

Cette approche peut s’appuyer de manière efficace sur le référentiel MITRE ATT&CK qui permet de cartographier les chemins d’attaques utilisés par les attaquants sélectionnés, challenger les mesures de sécurisation en place, et identifier des potentiels trous dans la raquette.

Deux point clés que tout le marché prendra en compte l’an prochain :

• La sauvegarde des sauvegardes : quasiment toutes les organisations victimes d’attaque cyber ont été confrontées au même problème : les systèmes de sauvegardes étaient touchés et leur remise en état a entraîné de nombreux jours de cessation d’activité. La sauvegarde du système de sauvegarde a été oubliée.
• Le durcissement de l’Active Directory : cible majeure des attaques que nous avons traitées sur 2019, l’active directory doit voir ses fondamentaux repensés et de nombreux projets de reconstruction dans les règles de l’art et de surveillance ad-hoc sont planifiés ou devront l’être en 2020.

Parallèlement à cela, l’entraînement des équipes est plus que jamais nécessaire. Les exercices de crise vont continuer de se complexifier afin d’exercer les équipes au plus proche de la réalité.

Certains réfléchissent à les combiner avec une approche cyber range, permettant de simuler réellement une crise technique sur une infrastructure temporaire dupliquant les systèmes et les données de l’organisation en vase clos pour y jouer des attaques et s’entrainer à les défendre.

Gestion des vulnérabilités : industrialiser pour démultiplier

Le décalage entre le volume de vulnérabilités identifiées (via des scanners automatisés, audits, pentests, etc.) et leur traitement (pour la plupart artisanal) est devenu un point de souffrance majeur et présente ainsi de risque pour la filière. Les rapports s’empilent mais la situation ne s’améliore pas : encore 57% des 250 sites webs audités par Wavestone en 2019 présentent une faille majeure, un chiffre stable sur les 3 dernières années.

Pour en sortir, il y aura un véritable besoin en 2020 d’uniformiser et d’apporter de la cohérence entre ces différentes sources de vulnérabilités, les agréger entre elles pour consolider une liste d’actions claire à mener et ainsi les prioriser, identifier les porteurs, traiter les actions puis les retester. Pour passer à l’échelle, un outillage sera nécessaire, les plateformes de GRC classiques peuvent y répondre mais des solutions plus adaptées sont en passe de voir le jour, comme par exemple celle de la startup Hackuity

SOC & Fusion Center : intégrer davantage l’étude de la menace

Sur les 40 incidents majeurs gérés par le CERT-Wavestone l’année dernière, seulement 26% des incidents de sécurité ont été identifiés par le service de détection cyber de l’organisation (le SOC dans la plupart des cas).

Dans 44% des cas, ce sont les collaborateurs qui ont alerté directement, souvent trop tard. Ces chiffres et les différents retours marché que nous observons témoignent du besoin de montée en maturité des SOC. Ainsi, plus qu’une tendance forte pour 2020, élever le niveau de jeu des SOC en intégrant davantage l’étude de la menace et une meilleure automatisation est absolument nécessaire.

Pour les plus matures, il conviendra de prendre du recul sur la chaîne cybersécurité pour apporter du liant entre la détection et les autres maillons de la chaîne : l’évaluation (via une red team par exemple), l’exercice de crise et la réponse à incident. Par exemple, monter une « purple team », combinant des équipes d’attaque (red) et de défense (blue), permettra de stimuler un SOC et de le faire progresser sur des cas très concrets en exercice de crise.

Le SOC pourra également muter pour devenir un lieu unique de surveillance sécurité de l’organisation : le Fusion Center, que les plus en avance commencent à construire, en y intégrant les logiques de lutte contre la fraude, de sécurité physique ou encore d’analyse de la menace.

Extended Company & Third Party Management

La grande majorité des autorités cyber dans le monde considère les attaques indirectes comme l’une des grandes tendances en matière de menace. Aussi, parce que la compromission d’un seul intermédiaire peut parfois suffire à pénétrer le SI de plusieurs organisations, le retour sur investissement pour l’attaquant est démultiplié, et ainsi, ce type d’attaque sera certainement encore en hausse pour l’année à venir.

Du côté des organisations, la gestion de son écosystème reste sujet complexe à traiter à la vue du nombre de tiers, de leur maillage, et du manque de visibilité sur le SI au global. Jusqu’à aujourd’hui, la gestion des tiers se fait souvent via l’envoi de PAS (Plan d’Assurance Sécurité) et la mise à jour des contrats mais cela consomme beaucoup de ressources au sein des organisations et est trop souvent inefficace (65% des organisations déclarent que leur processus ne sont pas efficaces d’après une étude Ponemon de 2019).

Le grand enjeu pour l’année 2020 sera de professionnaliser l’approche. Ainsi, les solutions de gestion de tiers comme celle de CyberGRX, Risk Ledger ou encore CyberVadis proposent d’industrialiser l’approche. Si elles ne vont certainement pas assez loin pour les tiers les plus critiques, leur approche est pertinente pour une grande majorité d’entre eux. En complément, des solutions émergent afin de vérifier le niveau de sécurité des logiciels fournis par des tiers.

C’est notamment le cas de la solution de la startup Moabi qui propose de vérifier le niveau de sécurité réellement implémenté dans les solutions des logiciels embarqués, les véhicules connectés et l’IoT. Enfin, même s’il est imparfait (car basé sur l’analyse de paramètres externes : sécurité du DNS, configuration du site web, etc.), l’usage d’agence de notation cyber va continuer à se renforcer. Il convient pour le RSSI de mettre de la cohérence dans l’ensemble de ce dispositif pour avoir une vision consolidée de son niveau de risque, et ensuite de pouvoir travailler main dans la main avec les principaux acteurs. Et pour les plus faibles, probablement les accompagner dans la montée en compétences.

A noter que même les fournisseurs de services et de solution sécurité sont concernés par ces mouvements. Le dynamisme du marché (création de nombreuses start-ups dans le domaine, de nombreux rachats ou partenariats, notamment par des entreprises Américaines ou Israéliennes…) peut remettre en cause rapidement certaines orientations et décisions.

Le dernier article de la série sera l’occasion de présenter les tendances d’avenir de la filière cybersécurité.

Cet article Radar du RSSI (2/3) – Quels chantiers majeurs lancer en 2020 ? est apparu en premier sur RiskInsight.

Présentation du radar du RSSI – édition 2020

Tout d’abord, les cybercriminels apparaissent plus que jamais en position de force : le nombre et l’impact des cyberattaques se sont encore accrus. Pour autant, le retour terrain du CERT-Wavestone démontre que la majorité des cyber-attaquants sont opportunistes (65%): ils ne visent aucune organisation en particulier, ne déploient pas d’attaques d’un haut niveau de technicité, mais cherchent et abusent de systèmes peu protégés et ainsi facilement attaquables. Ainsi une large majorité des attaques pourrait donc être évitée si les fondamentaux en matière de cybersécurité étaient respectés. 2020 sera d’autant plus complexe qu’elle verra l’émergence ou l’arrivée à maturité de nouvelles technologies et donc de nouveaux risques comme le cloud, l’IoT ou la 5G.

Enfin, plus challengeant encore, la sécurisation de la transformation devra s’accentuer dans un contexte de réduction des coûts. L’année 2019 a été marquée par la fin d’un cycle de forts investissements initié en 2017 après les attaques Wannacry et NotPetya. Dans un contexte de réduction des coûts IT dans de nombreux secteurs, il sera demandé au RSSI en 2020 de défendre l’efficacité de ses actions et de rationaliser le fonctionnement de sa filière.

Face à ce paradoxe d’une rationalisation à marche forcée dans un contexte d’augmentation de la menace, le RSSI doit faire évoluer sa posture et une des clés pour y arriver sera d’adopter une stratégie basée sur l’attaquant. L’objectif ? Placer son énergie aux bons endroits, ceux les plus ciblés par les cybercriminels dans son organisation ! Cette approche permet de prioriser efficacement l’ensemble des chantiers clés : hygiène de base, cyber-résilience, analyses de risque, détection, etc. Cette approche orientée attaquant, concrète et efficace, est également la clé pour convaincre la direction générale d’agir.

Méthodologie

Le radar du RSSI est un outil développé par le cabinet Wavestone depuis 2011. Plus de 40 experts se réunissent 3 fois par an pour discuter des actualités et des sujets clés, basés sur ce que nous avons observé chez les clients que nous accompagnons.

Le radar du RSSI présente chaque année une large sélection de sujets qu’un RSSI est amené à manipuler dans son activité. Il est constitué de plus de 120 sujets explorés et décortiqués par nos experts.

Il est organisé en cadrans délimitant des thématiques clés (identité, protection, détection, gestion des risques, conformité, continuité) sur 3 niveaux : mature, actualité et émergent. Le niveau « mature » correspond aux sujets que chaque RSSI peut et doit maîtriser. Le niveau « actualité » contient les sujets qui commencent à être adressés : il s’agit de sujets nouveaux où les premiers retours d’expérience peuvent être partagés. Le niveau « émergent » contient les sujets à venir, encore peu connus ou pour lesquels il n’existe pas de solutions évidentes. Ces sujets sont identifiés pour anticiper au mieux les évolutions futures et se préparer à leur arrivée dans les organisations.

Les deux prochains articles de la série seront l’occasion de présenter à la fois les chantiers majeurs à lancer durant l’année et les tendances pour l’avenir de la filière cybersécurité.

Cet article Radar du RSSI (1/3) – RSSI, changez de posture, pensez attaquant ! est apparu en premier sur RiskInsight.

Des start-ups qui aident les particuliers à protéger leur vie privée

Selon la CNIL, 9 Français sur 10 sont préoccupés par l’exploitation de leurs données personnelles. Des start-ups proposent aux individus des applications de contrôle des données personnelles disponibles sur Android ou IOS :

• Skeep permet de gérer l’accès aux données personnelles sur les réseaux sociaux et les newsletters.
• L’application mobile Fair&Smart est un « personal data store » au sein duquel le particulier peut effectuer ses requêtes auprès d’une entreprise au titre du RGPD.
• Les cookies publicitaires et analytiques auxquels sont rattachés des données personnelles sont soumis à une obligation d’information et de consentement de l’internaute par le RGPD. La start-up Audito l’a bien compris et a mis au point l’application Cookie Check où les particuliers peuvent consulter les caractéristiques des cookies des sites visités et sélectionner ceux qu’ils souhaitent garder ou supprimer.

Des start-ups qui assistent les entreprises dans leur mise en conformité RGPD

Depuis les débuts du RGPD, les grandes entreprises préparent leur mise en conformité au règlement.

Les grands comptes veulent disposer d’outils logiciels adaptés pour leur Data Protection Officer (DPO) et leurs employés. Le RGPD impose un Data Protection Officer aux administrations, aux grandes entreprises et aux PME collectant des données personnelles. Les PME et ETI inscrivent peu à peu la mise en conformité réglementaire sur leur liste des priorités. Les logiciels d’accompagnement réglementaire de start-ups comme Didomi, Visions ou encore Smart GDPR arment les entreprises face aux exigences du RGPD.

Leurs logiciels SaaS de gouvernance de données incluent des fonctionnalités incontournables :

• Le registre des traitements de données personnelles de l’entreprise
• La collecte des consentements des individus
• Le suivi des violations de données 
• L’accès à la documentation légale relative à la mise en conformité au RGPD

La plupart des start-ups détectées vont au-delà de ces fonctionnalités pour se faire une place sur le marché. Elles proposent des modules subsidiaires : des outils de calcul et de modélisation des risques, des simulations d’audit, des MOOCs pour DPO par exemple. Qualitadd, Datae et Smart GDPR rentrent dans cette catégorie de start-ups qui ont su enrichir leur offre.

Des solutions de sécurité standards mais des démarches de création novatrices

Les grandes entreprises veulent avant tout maîtriser leur risque de conformité. Les start-ups françaises répondent à cette attente par une large offre de logiciels. Dans la majorité des cas, elles manquent cependant d’innovation sur le plan technologique car les logiciels développés sont des plateformes SaaS classiques adaptées à la protection de données. En revanche, les démarches de création des start-ups sont parfois audacieuses.

Quand la fonction métier commande l’édition d’un logiciel :

En 2018, le cabinet d’avocats Staub & Associés spécialisé en droit de l’informatique et des données personnelles s’est associé à un éditeur de logiciel pour produire une plateforme de pilotage de la mise en conformité au RGPD Data Legal Drive.

Deux ans plus tôt, la start-up DPO consulting a émergé des expériences professionnelles de DPO de sa fondatrice et de ses employés. Face à l’inflation réglementaire, le cabinet de conseil DPO consulting a édité son propre logiciel pour Data Protection Officer. Le cabinet se compose également de DPO qui assurent la gouvernance de données d’entreprises en externe en s’appuyant sur le logiciel myDPO.

La commercialisation d’un logiciel maison incluse dans la fonction métier booste le chiffre d’affaires de ces cabinets.

Quand les start-ups ciblent des dispositions du RGPD : 

La start-up Onecub a fait un choix stratégique innovant en axant sa solution sur un droit : le droit à la portabilité. Le compte Onecub permet d’importer et exporter des données d’un service à l’autre gratuitement. Onecub s’adresse aux particuliers en facilitant le transfert de données personnelles entre entreprises et/ou administrations via la blockchain.

La start-up Fair&Smart quant à elle se concentre sur la protection des données personnelles dans la relation-client. Elle propose deux solutions B2C de collecte des requêtes et des consentements utilisateurs en complément de son application.

Quand les start-ups proposent un package de conformité RGPD complet : 

La start-up Datae accompagne les entreprises, de leur gestion interne des données personnelles à l’auditabilité par la CNIL sur l’application du RGPD. Le logiciel Datae présente les fonctionnalités classiques d’un logiciel de gouvernance RGPD, auxquelles peuvent s’ajouter des prestations complémentaires des équipes de la start-up en audit juridique, audit technique et suivi par un DPO externe.

Les solutions de sécurité mises en œuvre par les start-ups reflètent les statistiques globales du radar 2018 Wavestone : 70% des start-ups cybersécurité en France réadaptent des solutions existantes. Le segment de la Privacy ne se distingue pas par l’émergence de nouvelles solutions ou de nouveaux usages notables. Certaines start-ups misent sur l’apport d’une prestation de conseil ou de simulations d’audit pour consolider leur offre logicielle. A l’avenir, les start-ups souhaitant s’insérer sur ce segment en France devront trouver des solutions différenciantes. La pléthore de logiciels de gouvernance RGPD laisse de l’espace pour des solutions techniques innovantes.

Cet article Des start-ups opportunistes et audacieuses sans être réellement innovantes sur le segment privacy est apparu en premier sur RiskInsight.

Comment l’idée vous est-elle venue ?

GitGuardian souligne l’importance de l’expérience de ses cofondateurs ingénieurs, spécialisés en intelligence artificielle dans la conception de leur solution : « Nous utilisons au quotidien les outils de l’open source, et en particulier la plateforme GitHub », qui reste génératrice de risques pour ses utilisateurs. Certains codes source publiés peuvent contenir une clé privée, suffisante pour « s’introduire dans des systèmes d’information d’entreprise, de la petite start-up aux grands groupes du CAC40 », la solution GitGardian a été créée pour « analyser en temps réel l’ensemble du code open source pour détecter les informations sensibles ».

Quel est le plus grand risque de sécurité pour les banques et pour ses clients selon vous ? Comment répondez-vous à la menace qui pèse sur les banques ?

Eric Fourier souligne l’interconnexion croissante entre les systèmes bancaires : « cette augmentation de la surface de vulnérabilité attire les hackers et le nombre de cyberattaques augmente tous les ans. Les failles de sécurité que nous détectons exposent régulièrement des données personnelles, pouvant appartenir aux employés de la banque, à ses clients, ou à des tiers. Ces fuites détériorent leurs images et leur font courir un risque légal et stratégique. Ainsi, GitGuardian permet de diminuer ces risques en détectant certaines vulnérabilités au niveau des interfaces entre les systèmes » bancaires.

L’enjeu pour les RSSI aujourd’hui est de parvenir à concilier la facilité d’implémentation, la simplicité d’utilisation des solutions de sécurité avec une technologie sécurisée. Comment convaincre un RSSI de la pertinence de votre solution et de la sécurité du produit ? Quels sont les différenciateurs qui vous démarquent sur le marché ?

GitGuardian met en avant la nature exogène de sa solution face « à l’infrastructure IT dans la mesure où nous analysons des données disponibles publiquement. Il suffit donc de quelques minutes pour l’installer. Nos algorithmes basés sur du Machine Learning nous permettent d’alerter le RSSI et son équipe sécurité d’une vulnérabilité moins de quatre secondes après l’événement, lorsqu’il est encore temps de limiter fortement les dégâts possibles ». Grâce à ce temps de réaction très faible, la solution est la seule sur le marché à fournir un service aussi précis et rapide car « les acteurs traditionnels s’appuient sur l’analyse humaine, qui peut prendre quelques semaines ».

Quelles sont les synergies entre votre innovation et les solutions de sécurité bancaires existantes à l’heure actuelle ?

GitGuardian note l’effort croissant des banques pour protéger leurs clients : « elles luttent contre la fraude bancaire avec des solutions de sécurisation des achats sur Internet, de protection contre les faux sites bancaires ou les tentatives d’hameçonnage. Les banques possèdent aussi des solutions standardisées pour la protection de leurs systèmes d’information, telles que les pare-feus ou le chiffrement des données. Cependant, les banques se protègent péniblement contre les erreurs humaines de leurs milliers d’employés et prestataires répartis sur le territoire français et dans le monde entier. GitGuardian colmate ces brèches en temps réel, avant que des dommages soient causés par des acteurs malveillants ».

Comment voyez-vous la banque de demain ? Quelles opportunités pour la cybersécurité dans la banque de demain ?

La principale tendance qui émerge est celle du numérique et de la transparence. GitGuardian l’explique ainsi : « La banque de demain sera une banque entièrement digitalisée et connectée. Les applications liées au secteur bancaire se multiplient, les exigences des clients s’intensifient et les fraudes bancaires s’amplifient. La banque de demain se doit d’être plus ouverte et transparente, comme en témoigne l’engouement qui s’anime autour de la technologie blockchain. Tout cela se traduit nécessairement par la mise en place de programmes de cybersécurité encore plus élaborés pour protéger la transition et assurer la sécurité de millions de personnes ».

Pour en savoir plus : https://www.gitguardian.com/

Cet article L’interview de GITGUARDIAN – Sécuriser les clés privées est apparu en premier sur RiskInsight.

Dans le cadre de cette compétition, les participants, d’origine européenne ou française ont su démontrer une richesse dans leur expertise technologique. Le spectre des thématiques abordées a ainsi permis de mettre en valeur la force de cet écosystème cyber.

On peut ainsi dresser le top 5 des types de solutions les plus présentées parmi les candidats aux concours :

• L’authentification, au cœur du SI, pour moderniser la vérification de l’identité
• La sécurité des infrastructures, la France en particulier se positionne comme un leader sur le sujet
• L’anti-fraude pour contrer le risque majeur que cela présente pour le secteur bancaire
• La sécurité applicative afin d’accompagner la multiplication des supports et des services
• La protection des données, une thématique au cœur de l’actualité avec le RGPD

Au terme d’une sélection difficile, 4 start-ups ont été retenus par les membres du jury et les collaborateurs. Retrouvez en exclusivité une interview croisée de ceux qui construisent la cybersécurité de la banque de demain.

• CopSonic, gagnante du grand prix BCSIA, développe et commercialise une technologie de communication sans contact utilisant les ultrasons comme moyen d’interaction et de transmission de données entre les dispositifs électroniques

(Retrouvez l’interview d’Emmanuel Ruiz ici) 

• GitGuardian récompensée du prix protection des données clients, aide les entreprises à se protéger contre les fuites de données sensibles hébergées dans le cloud. Elle alerte les entreprises lorsque les identifiants à leurs services cloud sont compromis ou utilisés de façon abusive

(Retrouvez l’interview d’Eric Fourier ici)

• ICARE Technologie ayant reçu le prix spécial France, développe une bague intelligente couplée à une application smartphone permettant au porteur de la programmer pour remplacer l’intégralité du portefeuille et du porte-clefs

(Retrouvez l’interview de Georges Bote ici)

• ubble, lauréate du prix IA et lutte contre la fraude, permet aux consommateurs de confirmer facilement et en toute sécurité leur identité en ligne et d’utiliser dans le monde digital leur documents d’identité physique régaliens de façon fiable, pratique, et respectueuse de la vie privée

(Retrouvez l’interview de Juliette Delanoë ici)

 Dans le cadre de la remise des prix une table ronde sur le sujet de la relation entre les grands comptes et les startups a eu lieu. Les intervenants, Guillaume Poupard, Thierry Olivier, Yves Vilaginés, Emmanuel Gras et Gérôme Billois ont évoqué chacun leur point de vue. Voici les principaux messages qui en ressortent :

 Un écosystème cyber qui reste à construire

 Les membres de la table ronde ont mis en avant la difficulté pour un entrepreneur cyber de se lancer. En effet il n’existe pas, à ce jour, de structure officielle pour les accompagner. Par ailleurs, les investissements sont encore insuffisants. L’exemple évoqué était le suivant :  les start-ups cyber en France en 2017 ont levé en moyenne 3,8 millions d‘euros pour un total de seulement 26,2 millions d’euros.

Une concurrence historique, compliquée à challenger

Les participants à la table ronde ont par ailleurs soulevé l’autre difficulté majeure pour les start-ups cyber : des produits à l’innovation parfois insuffisante. De leur point de vue, très peu d’entrepreneurs se lancent dans de nouvelles offres, la plupart préférant réinventer des solutions de sécurité existantes.

Ils en tirent la conséquence suivante : face à des éditeurs historiques de logiciels de sécurité qui sont déjà connus et en place dans des grands groupes, les start-ups peinent à convaincre. Leur compétitivité amoindrie freine donc leur croissance.

La nécessaire réconciliation entre stabilité et innovation

Il a ainsi été argumenté que les start-ups sont face à deux besoins contradictoires. Elles doivent tout d’abord chercher à stabiliser leur produit pour le vendre et ainsi diminuer la pression financière qui pèse sur elles. Et dans le même temps, on exige d’elles qu’elles démontrent une agilité, une innovation permanente pour concurrencer les éditeurs existants, ce besoin les empêchant parfois d’aboutir leur produit.

Cependant, pour les experts présents durant cet échange, ces deux dimensions sont loin d’être irréconciliables. Ils ont ainsi avancé trois pistes pour aider les start-up cyber à innover tout en continuant à croitre.

D’une part, la première solution consiste à impliquer les grands groupes pour accompagner les start-ups en les rémunérant durant leurs tests (Proof Of Concept) contrairement à l’usage actuel qui veut que les POCs soient gratuits alors même qu’ils peuvent durer plusieurs semaines, voire plusieurs mois. En les finançant de la sorte, les grands groupes permettront aux start-ups de démontrer la pertinence de leur produit sans mettre en danger leur pérennité financière.

Ensuite, il convient aussi de les aider à gagner en visibilité : pour cela, les intervenants ont suggéré de développer un incubateur spécialisé en cybersécurité et y dédier des fonds pour structurer l’ensemble du marché.

Enfin le dernier axe concerne les start-ups elles-mêmes : il leur faut prendre du recul sur leur solution et, au-delà de l’aspect technique, tenter de mettre en avant leurs avantages compétitifs pour la vendre de manière globale en se différentiant de leurs concurrents.

Pour conclure, l’ensemble des participants à la table ronde s’est accordé pour dire que le marché est très prometteur : les entrepreneurs cyber ayant dans l’ensemble de bons profils techniques et des idées très intéressantes, il convient de leur donner les clés pour se démarquer dans un écosystème compétitif.

La meilleure solution pour cela restant donc de mobiliser autour des start-ups, des métiers, des RSSIs, des investisseurs mais également des grands groupes ou des experts du secteur afin de leur offrir conseil et visibilité comme dans le cadre des Banking CyberSecurity Innovation Awards. Rendez-vous en 2019 pour la troisième édition !

Cet article BCSIA : ILS CONSTRUISENT LA CYBERSECURITE DE DEMAIN est apparu en premier sur RiskInsight.

Comment l’idée vous est-elle venue ?

Emmanuel Ruiz nous explique que « l’équipe CopSonic [le] suit depuis plus de 15 années dans l’entrepreneuriat […] de traitement du signal audio ». Ayant découvert par hasard, en travaillant sur un effet spécial, qu’il était possible de « transmettre via du son de petites quantités de données », l’équipe structure ensuite le produit sous forme de Software Development Kit (SDK) « afin de sécuriser les échanges de données et de communications en champ proche ».

Quel est le plus grand risque de sécurité pour les banques et pour ses clients selon vous ? Comment répondez-vous à la menace qui pèse sur les banques ?

Emmanuel Ruiz met en avant que « le plus grand risque reste la fraude à l’identité et la validation d’une transaction de paiement à l’insu de la personne concernée. C’est en tout cas le risque que nous cherchons à couvrir avec notre technologie en équipant les utilisateurs d’une banque donnée avec une technologie universelle, sécurisée et facile d’utilisation ». La solution permet notamment de se protéger contre les nouvelles menaces qui se propagent par ultrasons car « il existe depuis 3 ans un virus véhiculé par ondes acoustiques entre appareils électroniques [ainsi que] des attaques sur des assistants vocaux [comme] Dolphin Hack ».

L’enjeu pour les RSSI aujourd’hui est de parvenir à concilier la facilité d’implémentation, la simplicité d’utilisation des solutions de sécurité avec une technologie sécurisée. Comment convaincre un RSSI de la pertinence de votre solution et de la sécurité du produit ? Quels sont les différenciateurs qui vous démarquent sur le marché ?

CopSonic propose une technologie conforme à la Directive PSD2 et au RGPD. L’intérêt pour les banques est de pouvoir exploiter la technologie directement en l’intégrant dans leurs applications “pour [leur] permettre de garder le contrôle sur la transaction de paiement réalisée par l’utilisateur final. Cette technologie est universelle et fonctionne sur tout type de dispositif, sans déploiement matériel nouveau à mettre en œuvre. Elle est donc incomparablement moins chère que les autres.”

Cette technologie inaudible à l’oreille humaine permet cependant de véhiculer des informations de manière sécurisée ; ce moyen de communication étant résilient à toutes les technologies électromagnétiques dans des usages de proximité (de type NFC ou Bluetooth). Le marché de la communication par les ultrasons est à l’aube de son explosion : par exemple Google se positionne déjà sur le paiement par ultrason avec sa solution Google TEZ, lancée depuis septembre 2017 en Inde.

Quelles sont les synergies entre votre innovation et les solutions de sécurité bancaires existantes à l’heure actuelle ?

CopSonic décrit sa technologie comme « avant tout complémentaire aux autres usages, dans un monde transactionnel mobile, web ou en champ proche [mais elle] s’impose en revanche comme la seule valable et compatible avec les assistants vocaux, qui vous demanderont bientôt de valider une transaction de paiement ». La solution de CopSonic offre donc « un service innovant répondant aux besoins des utilisateurs ». Par ailleurs, « sur les sujets de phishing, skimming, eavesdropping, [CopSonic propose] des solutions qui ne requièrent qu’une mise à jour logicielle dans l’infrastructure existante du serveur bancaire jusqu’à l’application mobile en passant par les POS, TPE ou ATM/DAB ».

Ces cas d’usages sont déjà une réalité puisque CopSonic annonce « travailler avec une banque française pour proposer sur des TPE un ‘’QRCode Invisible’’ : le service proposera en parallèle un ultrason pour sécuriser cette transaction via un OTP ultrasonique ». Par rapport à un QRCode classique, l’avantage pour l’utilisateur réside dans le fait qu’il n’aura pas besoin de viser avec la caméra de son smartphone le TPE.

Comment voyez-vous la banque de demain ? Quelles opportunités pour la cybersécurité dans la banque de demain ?

Pour CopSonic, le plus grand changement qui attend la banque de demain est lié à la sécurisation de l’expérience utilisateur : ces derniers sont de plus en plus exigeants sur l’ensemble de la chaine. Depuis la mise en relation jusqu’à l’expérience de paiement, ils attendent de la banque un parcours fluide et sécurisé.

Emmanuel Ruiz détaille ainsi : « Le développement des paiements instantanés (peer-to-peer), des paiements IOT (comment payer une prise de courant qui vous délivre 60 minutes de courant ?) et des nouveaux comportements de consommation (assistants vocaux au domicile, en voiture connectée) vont voir naître autant de nouvelles normes que de nouveaux risques et solutions pour les couvrir au mieux. La banque devra en tout état de cause continuer d’équiper ses utilisateurs de moyens de validation de transactions de paiement en conciliant sécurité et facilité d’utilisation. »

Pour en savoir plus : https://www.copsonic.com/

Cet article L’INTERVIEW DE COPSONIC – LA SECURITE PAR LES ULTRASONS est apparu en premier sur RiskInsight.

Comment l’idée vous est-elle venue ?

Georges Bote (ICARE Technologies) raconte que l’idée est venue au fondateur, Jérémy Neyrou « il y a 6 ans de cela, en perdant mes clés de voiture sur une plage Corse complètement déconnectée de tout réseau, après avoir parcouru près d’une dizaine de kilomètres en plein soleil d’été à pied », il imagine un « objet à la fois intuitif et autonome qui permettrait d’embarquer [le] trousseau de clés et [les] moyens de paiement ». C’est ainsi qu’est née Aeklys, « cette bague intelligente qui permet d’embarquer jusqu’à 28 fonctionnalités différentes ».

Quel est le plus grand risque de sécurité pour les banques et pour ses clients selon vous ? Comment répondez-vous à la menace qui pèse sur les banques ?

Georges Bote (ICARE Technologies) s’accorde également à dire que « la fraude à la fois bancaire et sur l’identité des personnes reste le grand risque pour les banques et leurs clients ». C’est pourquoi la bague connectée proposée par ICARE Technologies embarque un mécanisme de désactivation en cas de perte ou de vol, protégeant ainsi son propriétaire contre l’usurpation de ses moyens de paiement sans qu’il ne doive faire opposition d’une quelconque manière que ce soit.

L’enjeu pour les RSSI aujourd’hui est de parvenir à concilier la facilité d’implémentation, la simplicité d’utilisation des solutions de sécurité avec une technologie sécurisée. Comment convaincre un RSSI de la pertinence de votre solution et de la sécurité du produit ? Quels sont les différenciateurs qui vous démarquent sur le marché ?

ICARE Technologies explique que la pertinence de la sécurité de sa solution « réside dans notre technique et différentes certifications bancaires. Notre secure element dispose d’un niveau EAL6+ certifié par l’ANSSI, ce qui nous permet de travailler dans le domaine militaire en plus d’avoir un chiffrement en AES 256 bits ».

Quelles sont les synergies entre votre innovation et les solutions de sécurité bancaires existantes à l’heure actuelle ?

La force du produit d’ICARE Technologies réside dans son innovation et en sa sécurité : « de plus, il caractérise une nouvelle forme de liberté et de sécurité qui est fortement attractive pour les clients potentiels. L’intérêt est donc d’en faire devenir un objet « à la mode » de manière à orienter la connotation sociale de la bague comme une tendance ».

Les synergies existent et la technologie est actuellement en phase de test avec des partenaires bancaires et industriels pour travailler notamment sur la sécurisation de valises informatiques. Georges Bote annonce « la préparation d’un 2ème tour de table et de belles surprises pour notre Go To Market qui sera prévu le 1er trimestre 2019 ».

Pour en savoir plus : https://fr.icaretechnologies.com/

Cet article L’INTERVIEW D’ICARE TECHNOLOGIES – LA BAGUE INTELLIGENTE SECURISEE est apparu en premier sur RiskInsight.

Comment l’idée vous est-elle venue ?

Juliette Delanoë évoque l’importance de la transformation digitale des grands groupes : « de plus en plus de biens et services peuvent être souscrits ou consommés en ligne. En particulier, la vérification des identités en ligne est un enjeu fondamental pour que la révolution digitale soit vecteur de progrès durable pour la société ». La combinaison des expériences des fondateurs a permis de développer un produit permettant via le flux vidéo, d’identifier « et de protéger les individus dans le monde digital, en permettant d’y utiliser les documents d’identité physique régaliens de façon fiable, pratique, et respectueuse de la vie privée ».

Quel est le plus grand risque de sécurité pour les banques et pour ses clients selon vous ? Comment répondez-vous à la menace qui pèse sur les banques ?

Juliette Delanoë met en parallèle l’importance d’avoir des parcours digitaux agréables et rapides pour leurs utilisateurs et la nécessité d’en assurer la sécurité : « l’entrée en relation, étape très critique de l’expérience utilisateur, avait lieu il y a quelques années exclusivement en boutique, mais avec l’arrivée des néo-banques, et de la génération des millenials, cette étape se digitalise et s’automatise rapidement ». Il convient donc de conserver cette opportunité mais de faire attention aux enjeux sécuritaires qui se dessinent et notamment aux « nouveaux types de fraudes propre au digital qui se développent – comme l’utilisation de faux documents d’identité pour ouvrir un compte bancaire en ligne ».

L’enjeu pour les RSSI aujourd’hui est de parvenir à concilier la facilité d’implémentation, la simplicité d’utilisation des solutions de sécurité avec une technologie sécurisée. Comment convaincre un RSSI de la pertinence de votre solution et de la sécurité du produit ? Quels sont les différenciateurs qui vous démarquent sur le marché ?

Ubble propose aux RSSIs de tester la solution en partageant sa conviction profonde que « le mouvement (donc la vidéo) est indispensable à la vérification des visages comme des documents (hologrammes, reflets), et nous développons des technologies qui vérifient les identités non pas sur la base de simples images, mais sur un flux de vidéo en streaming ». En effet, les streams vidéo, la computer vision et le deep learning permettent d’éviter la fraude. Ainsi il n’est pas possible de « présenter un document d’identité qui soit une simple photocopie [ou …] d’utiliser le document de quelqu’un d’autre ». L’atout de la solution réside également dans une expérience utilisateur aisée et agréable pour un client de bonne foi.

Quelles sont les synergies entre votre innovation et les solutions de sécurité bancaires existantes à l’heure actuelle ?

Ubble explique : « nos technologies répondent à une faille sécuritaire nouvellement créée, que les solutions existantes n’adressent pas, ou seulement partiellement. Nos technologies sont en parfaite synergie avec les systèmes mis en place par les banques, et viennent s’ajouter pour combler la faille sécuritaire créée lors de la digitalisation et de l’automatisation de l’entrée en relation ».

Comment voyez-vous la banque de demain en 3 tendances ? Quelles opportunités pour la cybersécurité dans la banque de demain ?

Selon ubble, le futur verra l’apparition d’un nouveau rôle pour la banque : la banque de demain « sera un des services les plus sécurisé dans le monde digital ». La start-up prévoit ainsi que « la banque de demain [sera amenée à jouer] un rôle sécuritaire fort dans le monde digital en général. En tant qu’acteur de confiance qui connaît ses clients, elle pourra attester de leur identité auprès d’autres fournisseurs de services ».

Pour en savoir plus : http://www.ubble.ai

Cet article L’INTERVIEW D’UBBLE – VERIFICATION D’IDENTITE VIA LA VIDEO est apparu en premier sur RiskInsight.

Que dit véritablement ce nouveau règlement ? Comment risque-t-il d’impacter les entreprises ? Faut-il vraiment s’en inquiéter ? Autant de questions que nous nous proposons d’aborder dans cet article

Une date d’application encore floue

Les objectifs du texte sont clairs :

• Compléter le GDPR sur le sujet de la confidentialité des communications électroniques
• Renforcer le contrôle des utilisateurs sur leurs données à caractère personnel traitées par les fournisseurs de communications électroniques

Si le texte contient ainsi différentes dispositions qui visent les communications électroniques ils visent également la gestion des cookies, le marketing non sollicité, etc. De cette façon, la commission européenne souhaite adapter la règlementation aux nouveaux types de communication, en particulier aux nouveaux acteurs, les fournisseurs de service Over-The-Top (OTT) tels que Messenger ou What’s App qui passent par Internet pour proposer leurs services. Cependant par voie de conséquences le périmètre d’application est beaucoup plus large d’application : presse en ligne, site de e-commerce, opérateur télécom traditionnel, … sont soumis à ce règlement.

Dans sa version initiale, le règlement E-privacy devait s’appliquer comme le RGPD (Règlement Général sur la Protection des Données), le 25 mai 2018. Pourtant, le Parlement européen vient tout juste de lancer les négociations avec le Conseil de l’Union européenne en adoptant une première version du règlement. La date de mise en application initiale ne sera donc pas tenue et devrait être repoussée de plusieurs mois. Si, de fait, cela laisse un peu de temps avant de se mettre en conformité, certains éléments du texte peuvent et doivent d’ores et déjà être anticipés.

Un texte aux forts impacts techniques

Le texte n’a pas encore été adopté dans sa version finale mais on peut d’ores et déjà visualiser les grandes orientations de ce texte. La première est la suppression des bandeaux d’acceptation des cookies à finalité commerciale présents actuellement sur la quasi-totalité des sites web. A la place, la Commission souhaite que le consentement de l’utilisateur soit recueilli directement dans les paramètres du navigateur web.

Concrètement, cela signifie pour les navigateurs le développement de solutions de centralisation du consentement et pour les entreprises l’obligation de s’équiper de moyens permettant de capter l’information auprès du navigateur. L’enjeu pour l’entreprise sera donc de réussir à s’interfacer avec les différentes versions de navigateurs pour accéder au consentement de l’utilisateur. Au-delà des aspects techniques, une telle disposition crée un intermédiaire entre le service et son client ; difficilement tolérable pour les fournisseurs de services.

On peut dès maintenant noter l’ambiguïté que pose cette nouvelle répartition des rôles au profit des navigateurs. En effet, centraliser le consentement dans leurs paramètres pourrait permettre aux navigateurs de privilégier certains éditeurs de sites web notamment dans la présentation des choix aux utilisateurs et ainsi rendre possible l’éviction de certains acteurs. Plus globalement, il est risqué de laisser la gestion des données personnelles à quelques acteurs dominants comme les GAFA souvent visées par ailleurs pour certains de leurs traitements de données. Cette problématique est transposable sur les smartphones.

Il s’agit d’ailleurs d’un des nouveaux enjeux liés à cette règlementation : la capacité des entreprises à adapter leurs services et leurs traçages en fonction du consentement de l’utilisateur. Cela signifiera parfois de repenser le parcours client pour permettre à l’utilisateur refusant les cookies d’accéder aux services.

Ces premiers impacts laissent présager une implémentation technique compliquée pour les entreprises qui vont se mettre en conformité E-privacy et représente même un véritable danger pour certains business. En effet, en remaniant en profondeur l’utilisation des cookies webs, le secteur de la presse, comme indiquée dans l’introduction, dont les revenus reposent en partie sur la publicité ciblée, va devoir revoir une partie de sa démarche commerciale en ligne. Plus globalement, l’E-privacy risque de freiner les élans d’investissement et d’innovation de nombreuses entreprises qui se lancent dans des programmes de digitalisation.

Un message : la base légale du profiling est le consentement

Le règlement tel qu’écrit aujourd’hui possède encore de nombreuses zones de flou : Où devra se faire la gestion des consentements spécifiques : au niveau du navigateur ou du site web ? Comment déterminer, selon leur finalité, quels sont les cookies impactés par la demande de consentement ? …

Par ailleurs, le règlement ne semble pas prendre en compte les réalités technologiques des terminaux mobiles et des écosystèmes d’application qui diffèrent techniquement de celles liées à l’internet fixe. Aujourd’hui, il existe peu de solutions permettant aux acteurs qui dépendent des systèmes d’exploitation de se conformer aux exigences du règlement E-privacy

Enfin, les discussions et les premiers éclaircissements sur ce règlement, écartent le recours à l’intérêt légitime pour les traitements de profiling. Cette précision n’est pas un détail. Si le règlement E-privacy le confirme, les entreprises qui ne l’ont pas fait seront obligées d’intégrer le consentement dans leur parcours client pour pouvoir les cibler, les données collectées dans le cadre de ce traitement deviendront portables… Autant d’impacts qui doivent être anticiper dès aujourd’hui.

Se préparer dès aujourd’hui à l’arrivée de l’E-privacy

La question est d’autant plus importante lorsqu’on sait que les sanctions sont les mêmes que pour le GDPR (20M€ et 4% du CA). Deux éléments semblent indispensables à ce stade :

• Mettre en place une veille: a l’instar du GDPR un programme de mise en conformité sera nécessaire. Avoir identifier en amont les impacts ne pourra être qu’un accélérateur
• Anticiper certains impacts: Intégrer d’ores et déjà la philosophie du texte dans ces traitements réduira l’effort de mise en conformité à terme

Cet article E-privacy, il est urgent d’attendre est apparu en premier sur RiskInsight.

Les grands comptes : des cibles existentielles mais complexes

Le tissu économique français repose beaucoup sur des grands groupes disposant de capacités d’investissement important. Pour les startups cherchant à commercialiser leur offre en cybersécurité, ce sont des clients de choix.  Cependant, les processus rigides et complexes de ces grandes entreprises constituent un obstacle majeur pour les startups.

Après les embûches liées à l’identification des multiples donneurs d’ordre dans la structure (RSSI, architecte, expert, DSI, achats…), il reste très difficile de signer son premier contrat. La durée du processus d’achat allant de 3 à 6 mois et sa complexité ne correspondent pas au fonctionnement des startups, qui se voient demander des preuves de rentabilité, un nombre important d’années d’existence ou des références d’autres clients, ce qui est impossible lors des premiers contrats.

Cette situation est exacerbée pour la cybersécurité car les startups ne peuvent pas souvent compter sur les pôles Innovation créés par les grands-comptes pour faciliter les échanges avec l’écosystème de l’innovation. D’une part car les startups ont du mal à convaincre les apports métiers des solutions proposées et d’autre part car les équipes Innovation ont du mal à comprendre les apports concrets vu les spécificités des sujets abordés. Les retours d’expérience réussis montrent que la filière cybersécurité des grands-comptes doit souvent donner l’impulsion, voir porter elle-même les relations avec les startups cyber.

Des habitudes à faire évoluer dans les grandes entreprises

Une fois la mise en relation réalisée, il reste une étape : la réalisation de tests en conditions réelles (Proof of Concept). C’est un exemple de la difficulté pour les startups de rivaliser avec les éditeurs cybersécurité classiques dans le monde des grands comptes. Ces tests sont demandés pour évaluer l’efficacité d’une nouvelle solution. Les grands éditeurs, aux moyens financiers importants, offrent ces « PoCs » à leurs clients, qui en retour se sont habitués à ces tests « gratuits » à leur profit.

Pour les startups cependant la situation est différente car leur besoin en fonds de roulement est très court et réaliser de tels tests gratuitement peut mettre en péril la structure toute entière !

Il est donc nécessaire que les grands groupes prévoient des budgets adaptés, souvent de l’ordre de quelques milliers d’euros seulement, pour tester les solutions innovantes proposées par les startups.

En France, des retours positifs dans les interactions startup/grands comptes

Cependant des collaborations réussies entre startup et grands comptes montrent que ces deux mondes peuvent travailler ensemble. Et l’effort consenti apporte ensuite énormément. Des startups comme Alsid ou Idecsi bénéficient ainsi de témoignages de clients d’ampleurs à même de rassurer d’autres sociétés et les investisseurs.

Un écosystème cybersécurité français valorisant l’innovation

En France, la présence d’un écosystème qui fait la promotion régulière de l’innovation en associant grands comptes et startups est notable : Assises de la Sécurité avec le Prix de l’Innovation, le FIC avec le prix de la PME Innovante ou encore le concours dédié à la cybersécurité dans le milieu bancaire coorganisé par la Société Générale et Wavestone. Ces initiatives permettent une mise en lumière de l’innovation en cybersécurité, ainsi que la mise en relation directe de différents acteurs. Elles participent ainsi à la création de la relation de confiance nécessaire pour que les grands comptes investissent dans les solutions proposées par des startups.

L’importance de l’existence d’une offre française pour la souveraineté numérique

La cybersécurité est une problématique mondiale mais relève aussi de la sécurité nationale. L’intérêt d’avoir des produits de confiance dans ce domaine est évident.

Même si beaucoup reste à faire pour garantir une souveraineté numérique, les initiatives de certaines startups françaises ont permis l’importation de concepts n’existant initialement qu’à l’étranger. C’est par exemple le cas des plateformes de Bug Bounty (en français, « chasse aux failles »). En France, trois startups, Bug Bounty Factory, Bug Bounty Zone et Yogosha proposent des services dans ce domaine. Ceci pourra permettre à terme de garder la connaissance de vulnérabilités sensibles sur le territoire Européen ou national.

Il est important de noter que le marché hexagonal de la cybersécurité est largement animé par des acteurs du secteur de la défense, publics ou privés, qui investissent et aident aux développements de startups. Mais ces opportunités de développement sont en même temps un frein à l’exportation et rendent plus difficile la communication de références.

Demain, arriver à sortir des frontières

Le secteur de la recherche se structure

La recherche en cybersécurité est aussi très active en France avec de nombreux laboratoires mobilisés et des initiatives de premier plan. Le collectif Allistene, regroupant l’INRIA, le CEA, le CNRS et plusieurs grandes écoles, en est un exemple. De premières chaires sont dédiées aux sujets de la cybersécurité et de ses applications concrètes, par exemple pour les véhicules autonomes. Conjointement avec les initiatives des grandes entreprises, tout concourt à créer un terreau positif pour l’éclosion et la croissance de nombreuses startups.

Dépasser le cadre franco-français pour croître à l’international

La France possède de nombreux talents en cybersécurité, un terreau facilitant l’émergence des startups et un marché permettant de faire vivre ces structures. Mais ce bilan très positif ne doit cependant pas masquer la principale difficulté actuelle de nos startups : connaître le succès et la croissance à l’international.

Hormis quelques success story, comme historiquement Qualys ou plus récemment Linkurious aux Etats-Unis, les startups françaises ont du mal à sortir des frontières hexagonales. Elle se heurtent à des barrières sur leur capacité à communiquer de manière percutante en anglais, sur la faiblesse de références clients françaises, sur des problèmes juridiques mais aussi psychologiques à s’expatrier. Alors que la qualité des profils français en cybersécurité est largement reconnue, la qualité des startups, est-elle encore inconnue.

Dépasser ce plafond de verre requiert des initiatives conjointes de l’Etat, des grandes entreprises et un esprit de conquête exacerbé chez les fondateurs de startups. Mobilisons-nous collectivement, chacun avec ses forces, pour que cela devienne une réalité dans les années à venir.

Cet article Startup cybersécurité en France, un écosystème en pleine explosion (2/2) est apparu en premier sur RiskInsight.

La cybersécurité en France

Un tissu dynamique de plus de 100 startups

Aujourd’hui, la France compte plus de 100 startups ou PME innovantes en matière de cybersécurité. Ce nombre, en constante augmentation, reflète le dynamisme du secteur et les atouts de la France dans ce domaine. Le secteur représente plus de 1000 emplois directs. Même si cela peut paraître faible, ce nombre devrait augmenter fortement dans les prochaines années.

Une majorité de startups choisissent de réinventer des solutions de sécurité déjà bien implementées

60% des startups entrent sur le marché avec la volonté de faire évoluer des solutions de sécurité ayant déjà fait leurs preuves (sécurité des terminaux, du réseaux, de la messagerie, gestion des identités…).

De manière générale, attaquer un marché déjà consolidé est complexe. Mais il reste des fenêtres d’opportunités, en particulier dans la sécurité applicative. De nombreux acteurs importants sont présents sur ce domaine sans pour autant parvenir à proposer de solutions vraiment satisfaisantes. Les approches innovantes de jeunes pousses comme Sqreen, Ingen ou encore Yagaan peuvent apporter un renouveau.

Sécurité industrielle, cryptographie, et reverse engineering : des domaines innovants sur lesquels la France est bien positionnée

En regard, de nombreuses startups françaises (40%) ont su se positionner sur des technologies où tout reste à construire. Sur les systèmes  industriels, par exemple, les acteurs français comme Sentryo ou Seclab sont particulièrement bien positionnés. C’est aussi le cas pour les technologies d’analyse de logiciels malveillants avec des produits ou des services comme ceux de Tetrane et Quarkslab. Leurs expertises sont reconnues internationalement, y compris par des grands groupes américains.

Côté cryptographie, l’école française de mathématiques permet aux startups d’avoir accès à des expertises pointues difficiles d’accès dans d’autres pays. Cela permet le développement d’outils innovants d’analyse de vulnérabilités comme Cryptosense.

En revanche, certains domaines sont encore négligés en France alors qu’ils ont un fort potentiel de développement, comme les techniques de « tromperie » (« deception » en anglais, qui vise à fournir des fausses informations à un attaquant pour le ralentir) dont l’essor est déjà amorcé en Israël et même au niveau Européen.

Des startups françaises avec des difficultés de communication et de valorisation de leur expertise

L’écosystème national de startups est très dynamique et les expertises, même très spécifiques, ne manquent pas pour concrétiser des idées ou lancer des premiers produits. Un point-clef est cependant requis sur le marché de la cybersécurité : la capacité à communiquer efficacement. Les contacts entretenus avec plusieurs incubateurs étrangers nous montrent une différence frappante en termes de communication entre des startups anglos-axonnes qui savent valoriser leurs produits grâce à des pitchs percutants et un marketing efficace.

Ce manque d’expertise commerciale est particulièrement pénalisant pour les startups françaises qui souhaitent internationaliser leurs offres.

La France, une terre propice pour les startups cyber

Depuis plusieurs années, de nombreuses initiatives se développent en France pour soutenir le secteur cyber. On peut citer la stratégie de Sécurité Numérique du gouvernement portée par l’ANSSI ou encore les investissements du Ministère de la Défense. Différents pôles économiques sont mobilisés, ce qui se traduit concrètement par une concentration géographique des startups. Paris est, comme souvent, en tête mais Lyon, Rennes ou le sud de la France sont aussi très présents.

Présentation du radar des startups

Depuis 2015, Wavestone réalise une veille active sur le domaine des startups dans le cadre de son programme ShakeUp. Fort de ses nombreux contacts et actions au sein de l’écosystème de l’innovation cybersécurité en France, le radar des startups compte aujourd’hui près de 400 structures répertoriées à l’échelle européenne et internationale avec un focus particulier sur la France. Les critères pour intégrer le radar français : siège social en France, moins de 35 salariés et moins de 7 ans d’existence de la structure juridique (hors pivot majeur).

Suite à ces actions de veille par les équipes de la practice cybersécurité et confiance numérique, les startups les plus innovantes sont rencontrées pour réaliser une évaluation de leur solution et certaines peuvent rejoindre ShakeUp, le programme d’accélération de Wavestone.

Des structures d’accompagnement nombreuses et actives mais peu spécialisées

La France est un des leaders mondiaux dans l’innovation avec pas moins de 228 incubateurs nationaux et une cinquantaine d’accélérateurs. Mais par rapport à Israël, à la Suisse ou au Royaume-Uni, nous ne disposons pas de structures d’incubation ou d’accélération spécifiquement dédiées à la cybersécurité. Certains incubateurs ont créé des clusters pour concentrer les savoir-faire mais sans pour autant spécialiser les accompagnements. Ainsi, il est rare de trouver dans ces structures des coachs ayant une forte connaissance du marché cyber, de ses acteurs et de ses spécificités notamment dans le processus d’achat et de qualification de produits. Axeleo ou Wavestone sont ce qui se rapprochent le plus des structures étrangères dédiées.

A suivre, une initiative régionale nommée Ocssimore va démarrer à la rentrée 2017 à Toulouse.  La FrenchTech, très présente et visible à l’international, se mobilise depuis peu sur le sujet de la cybersécurité avec la création du réseau thématique « Security & Privacy ».

Un écosystème de financement favorable mais perfectible

La France a de véritables atouts pour le financement de l’innovation, dont de nombreuses startups témoignent de l’efficacité.  Le « Programme Investissement Avenir » investit 22 milliards d’euros dans la recherche ; le « Crédit Impôt Recherche » et le statut de « Jeune Entreprise Innovante » permettent de réduire les coûts de R&D, les charges sociales et l’impôt sur les sociétés.

De son côté, BPI France multiplie les financements dédiés aux entrepreneurs et les actions d’accompagnement grâce à ses partenaires (banques, investisseurs, régions…) et, par le biais d’accélérateurs, elle propose des prêts participatifs et peut se porter caution auprès des banques.

De nombreuses aides régionales sont également disponibles. En parallèle, nous assistons à une nette augmentation du corporate venture ainsi que les Business Angels sont parfois même en concurrence pour investir dans les meilleures startups cyber.

Cependant, l’écosystème complexe, avec un grand nombre d’acteurs, rend souvent le parcours de financement compliqué. Les démarches pour lever des fonds s’apparentent à de véritables marathons où la bureaucratie est encore très présente. Il s’agit d’avoir un plan de bataille précis, pour solliciter chaque dispositif au bon moment avec le bon dossier… sans pour autant sacrifier le temps destiné au développement de la startup ! Enfin, peu de grands groupes français font l’acquisition des startups, qui peuvent alors être tentées d’accepter les offres d’entreprises étrangères.

La France possède donc un formidable écosystème de startup dans le domaine de la cybersécurité, plaçant le pays parmi les leaders mondiaux. En effet, la création de startup en France est soutenue par des structures d’accompagnement adaptées. Mais pour assurer leur pérennité, ces startups cherchent à attirer de nombreux clients, notamment parmi les grands groupes français.

Cet article Startup cybersécurité en France, un écosystème en pleine explosion (1/2) est apparu en premier sur RiskInsight.

De réelles exigences de sécurité

Ce premier palier de maturité défini par le programme compte trois prérequis et cinq domaines fonctionnels (imagerie, dossier patient informatisé et interopérable, prescription électronique, programmation des ressources et agenda du patient, pilotage médico-économique) prioritaires en termes d’usage du SI. Les prérequis sont indispensables pour assurer une prise en charge du patient en toute sécurité. Ils fixent les priorités suivantes : identité / mouvement, fiabilité / disponibilité et confidentialité.

Le programme impose ainsi la mise en place d’un éventail complet de mesures de sécurité allant de la gestion des habilitations, la disponibilité des applications, en passant par la formalisation d’une politique de sécurité…

Afin de mesurer l’atteinte des prérequis et de justifier les possibles financements des hôpitaux auprès de la DGOS, des indicateurs ont été définis. La majorité (7 sur 12) concerne la sécurité du SI.

Dans ce cadre, la DGOS (Direction Générale de l’Offre de Soin) propose des fiches pratiques complètes afin d’accompagner les établissements dans leur mise en œuvre.

Des établissements de santé de plus en plus fortement incités à suivre le programme Hôpital numérique

Le programme Hôpital numérique fixe explicitement ses objectifs de sécurité : « les enjeux majeurs de la sécurité sont la qualité et la continuité des soins, le respect du cadre juridique sur l’usage des données personnelles de santé ».

Afin d’encourager les établissements à s’inscrire dans ce programme, la DGOS et la HAS (Haute Autorité de Santé) ont initié des travaux de rapprochement depuis 2013. En effet, les établissements de santé doivent passer et obtenir la certification HAS pour pouvoir exercer. Elle est obligatoire et intervient périodiquement tous les 4 ans. Ainsi, le volet « système d’information » de la certification des établissements de santé menée par la HAS a été modifié par étapes afin d’intégrer progressivement des indicateurs Hôpital numérique. La cible est que le prochain manuel de certification intègre complétement ces indicateurs.

Aujourd’hui, ces travaux ont abouti à l’intégration de 27 indicateurs du programme Hôpital Numérique dans 12 critères de la certification des établissements de santé. À noter que l’un des premiers critères pris en compte fut la « sécurité du système d’information ».

Une réelle opportunité pour les RSSI d’hôpitaux

Aujourd’hui, seuls 10% des hôpitaux ont atteint ce premier niveau de maturité et seul un quart des hôpitaux participe au programme Hôpital numérique. Pourtant, l’actualité fournit de plus en plus d’exemples de failles de sécurité du système d’information en milieu hospitalier.

Dans un contexte où les professionnels de la santé sont encore peu sensibilisés aux risques informatiques et aux enjeux de sécurisation du système d’information de santé, la mise en place des indicateurs Hôpital Numérique est un bon levier de sensibilisation et un moyen de faire collaborer les équipes informatiques et le personnel médical. De plus, ces indicateurs portent sur les chantiers prioritaires à mener dans des contextes peu matures : la gouvernance, la continuité d’activité et la gestion des identités et des accès.

Enfin, les possibilités de financement offertes par l’atteinte de ce premier niveau de maturité représentent pourtant une réelle opportunité pour les RSSI des hôpitaux de justifier ces investissements. En effet, le volet financement constitue l’un des quatre axes du programme Hôpital numérique. Il a pour objectif d’accompagner les établissements de santé dans les efforts déployés pour atteindre les objectifs liés aux « échanges et partages d’information dans le cadre des processus de soins ». Les montants attribués varient de 37 k€ et 3,4 M€. À noter toutefois, qu’il repose principalement sur un financement à l’usage par les crédits d’aide à la contractualisation, c’est-à-dire que les établissements ne percevront les financements qu’une fois les systèmes d’information mis en œuvre et effectivement utilisés sur l’ensemble de l’établissement.

Cet article Le programme Hôpital numérique : une opportunité pour les RSSI est apparu en premier sur RiskInsight.

Google a été mis en demeure par la CNIL en raison de plusieurs manquements à la loi du 6 janvier 1978 modifiée. Pour autant, la sanction prononcée (qui n’équivaut qu’à 0,0003 % du chiffre d’affaires mondial de Google en 2012) s’apparente finalement plus à l’octroi d’un laisser passer qu’à une mise en garde à toutes les organisations manipulant des données à caractère personnel. En effet, au regard de la multiplicité des facteurs aggravants (nombreux écarts à la loi sur des traitements sensibles, nombre de clients concernés, non coopération de Google), une telle condamnation peut paraître rassurante pour une organisation « plus classique », qui ne craindra alors que des sanctions minimes.

Toutefois, l’autre versant de la sanction, la publication de la décision sur google.fr et ce pendant 48 heures, est certainement une plus grande victoire. Au-delà de la bataille financière, difficile à gagner sans décisions européennes communes et convergence des sanctions, la bataille médiatique a elle certainement été remportée par la CNIL. L’information a été massivement relayée par la presse et Google a cherché, à l’aide d’un recours en référé devant le Conseil d’État, à démontrer que cela lui porterait un préjudice irréparable (ce qui n’est certainement pas le cas de la sanction financière).

En définitive cette sanction, de par ses deux volets (financier mais surtout médiatique), a le mérite d’avoir mis en lumière le non-respect de la loi Française par Google. Elle s’inscrit ainsi dans la démarche pédagogue de la CNIL.

Espérons enfin qu’avec le futur règlement européen et ses sanctions à hauteur de 2% du CA mondial de l’entreprise, les autorités européennes pourront également rééquilibrer la balance entre sanction médiatique et sanction financière.

Cette condamnation met effectivement en lumière la nécessité des prochaines évolutions réglementaires. Concernant le futur règlement européen, un point essentiel est le principe dit du « guichet unique ». Que pensez-vous de cette volonté de simplification des procédures ?

Le principe dit du « guichet unique » a pour vocation de simplifier les démarches des citoyens (une seule autorité de contrôle serait compétente pour contrôler/sanctionner un traitement, même transfrontalier), en désignant un unique interlocuteur de référence.

Mais ce guichet unique devrait également permettre de garantir une application cohérente, pour tous les citoyens et quel que soit les pays, du futur règlement.

Or, les autorités de contrôle sont aujourd’hui disparates en termes d’historique, d’effectifs, de modes de fonctionnement et de maturité vis-à-vis de la protection des données à caractère personnel. Le projet actuel entrainera donc une possible hétérogénéité dans l’application de la loi (chaque pays ayant son interprétation des textes en fonction de son historique) voire un transfert des traitements dangereux vers les autorités les plus tolérantes.

À défaut de mettre en œuvre une autorité unique européenne, et plutôt que de concentrer la responsabilité sur une unique autorité nationale, mettre en place un système de coopération entre les autorités semble répondre aux enjeux et à l’ambition du règlement. Ainsi, il me semble plus opportun de mettre en œuvre le guichet unique au niveau de l’autorité nationale du citoyen concerné par le traitement, laquelle aurait alors pour charge de se coordonner avec la / ou les autorités concernées par le traitement et de piloter la codécision. Cela simplifierait réellement les démarches pour les citoyens, favoriserait l’homogénéisation au niveau européen et éviterait toute tentation de « forum-shopping »

Quels sont pour vous les autres points du futur règlement qui permettraient de faire évoluer positivement le traitement des données à caractère personnel ?

Si je ne devais en citer que trois, je pense tout d’abord à l’obligation de désignation d’un DPO (Data Privacy Officer), futur équivalent du CIL. Le principe d’accountability permettra lui de passer d’un modèle déclaratif à un modèle démonstratif (de la preuve), à même de favoriser la coopération (plutôt que la sanction) entre les autorités de contrôles et les entreprises. Enfin, l’obligation de notification des failles de sécurités aux autorités de régulations, qui devrait pour sûr encourager toutes les organisations à anticiper leurs crises « données personnelles ».

En définitive, selon vous, qu’est ce qui aurait changé dans la condamnation de Google avec le nouveau règlement ?

Un montant de sanction bien plus conséquent, et donc plus dissuasif !

Mais à mon sens, la sanction ne peut tout résoudre. La coordination des autorités nationales en vue de faire évoluer les pratiques de Google y participerait tout autant. Une sanction européenne commune ou à minima coordonnée, plutôt que plusieurs sanctions locales, aurait permis à la position européenne d’être plus claire.

C’est, selon moi, ce qui change fondamentalement avec ce nouveau règlement : un renforcement des autorités nationales et une volonté de les faire collaborer afin de faire progresser la protection des données à caractère personnel.

Cet article Quelles seront les prochaines évolutions en matière d’informatique et libertés ? est apparu en premier sur RiskInsight.

Les accords SWIFT et l’accord commercial TTIP visés

Le parlement européen estime ainsi que « la lutte contre le terrorisme ne peut justifier une surveillance de masse secrète et illégale » et menace, d’une part, de ne pas donner son approbation à l’accord commercial TTIP UE-États-Unis qui prévoit une zone de libre-échange transatlantique et d’autre part de suspendre les accords SWIFT et les principes du Safe Harbor.

Les accords SWIFT, qui permettent aux autorités américaines d’accéder aux données bancaires européennes stockées sur le réseau du même nom afin de lutter contre le terrorisme sont remis en cause par le parlement car les américains ont outrepassé les conditions de protection de la vie privée des citoyens prévus dans ces accords. Quant au Safe Harbor, il postule  que les  sociétés américaines y adhérant garantissent un niveau de protection des données équivalent à celui du droit européen. Cependant, il ne s’agit que d’un postulat théorique…

Safe Harbor, un accord obsolète ?

En effet, les révélations sur les capacités d’écoute et d’action de la NSA aux États-Unis (PRISM) démontrent, de fait, les limites de protection des données à caractère personnel transférées aux États-Unis. Par ailleurs, l’accord Safe Harbor date des années 2000, époque à laquelle il n’avait pas été envisagé le quasi-monopole des acteurs américains sur Internet et donc le transfert de données massif inhérent à cette position dominante. Enfin, cet accord est souvent critiqué parce qu’il repose trop sur le bon vouloir des entreprises et que les moyens de contrôle relatifs à son application sont trop faibles.

Ce n’est pas le premier coup de semonce porté par le parlement européen sur le sujet, qui réaffirme ici sa position : la nécessité d’un nouveau Safe Harbor afin d’en faire une réglementation contraignante.

Un Safe Harbor 2.0 est-il possible ?

À ce titre le parlement européen a formulé treize recommandations à destination des États Unis afin de faire évoluer le fonctionnement de cet accord. En synthèse, ces propositions appellent à plus de transparence, de contrôle et de sanction et réaffirment les principes forts du règlement européen (loyauté, proportionnalité, …). Toutefois, si le besoin de renforcer la sécurité des données à caractère personnel stockées outre atlantique est incontestable, les évolutions à venir doivent faire preuve de pragmatisme et concilier des approches parfois antagonistes entre les deux continents. Les américains comprennent ainsi difficilement certaines notions comme le « droit à l’oubli » et centrent principalement la protection des données via la protection du consommateur. L’approche américaine est ainsi avant tout économique quand celle des européens est avant tout protectrice.

Une modification du Safe Harbor ne peut donc se faire sans une étroite coopération transatlantique sous peine de blocage économique important… affaire à suivre.

Cet article Le parlement européen répond frontalement à la NSA est apparu en premier sur RiskInsight.

 Les 3V¹ du projet PRISM

Variété : appels téléphoniques, VoIP, conversations vidéo, e-mails, transferts de données, données de navigation sont quelques exemples parmi tant d’autres de données de particulier collectées par ces programmes. Souvent, seules les métadonnées sont recueillies : dans le cas d’un appel téléphonique, PRISM se contentera ainsi de savoir qui a contacté qui, de quel lieu, à quel moment et pendant combien de temps… avant approfondissement si besoin.

Volume : tous ces types de données sont rassemblés. De plus la NSA réalise des captures de trafic sur les câbles transatlantiques ou lors d’attaques ciblées. Au total IDC estime que ce sont 5 zettabytes (10¹² GB) de données que le datacenter de la NSA sera capable de stocker en 2015, soit le double de la quantité totale de données mondiales existantes en 2012.

Vélocité : la NSA dispose des outils capables d’analyser en temps-réel ces données collectées, de réaliser des requêtes très fines pour interroger ses serveurs et croiser ces informations. Il est ainsi possible d’identifier en temps réel « qui a fait une requête avec tels mots clés dans une langue étrangère au lieu où il réside».

Quelles leçons pour les projets Big data ?

Si les moyens et le budget consacrés aux différents programmes par la NSA (5,6 milliards d’euros) ne sont aucunement comparables à ceux mobilisables par les entreprises, celles-ci peuvent certainement en retenir les proportions :

• 45% du budget est consacré à la collecte des données
• 30% aux traitements des données (partie logicielle)
• 25% à l’analyse des données (partie humaine)

Par ailleurs, au-delà des aspects budgétaires, se pose la question des compétences : il est nécessaire de pouvoir mobiliser des data scientists à même d’identifier les données pertinentes à utiliser et de les faire parler. Et la NSA regorge depuis des années des spécialistes sur ces questions.

Enfin, ces programmes sont concentrés sur un seul et unique champ de données déterminé, celles relatives aux individus et à leurs communications quelle qu’en soit la forme. Chercher à étendre l’utilisation du Big data à l’ensemble des attributions d’une entreprise semble être un objectif très ambitieux et se concentrer sur un seul champ de données semble plus raisonnable, au moins dans un premier temps.

Le SIEM du futur ?

Face aux limites constatées des SIEM actuels qui peinent à corréler l’ensemble des données qui leur sont disponibles, les systèmes Big data pourraient s’avérer être une solution efficace permettant alors :

• De corréler l’ensemble des traces du système d’information : logs applicatifs, DLP, historiques, …
• D’intégrer les informations venues de l’extérieur : threat intelligence, …
• De détecter en temps réel les signaux faibles encore trop souvent invisibles aujourd’hui.

Le Big data pourrait s’imposer comme un outil efficace face à la complexification des systèmes d’information, à l’intensification de la cybercriminalité et aux enjeux croissants de sécurité. Mais attention tout ceci ne doit pas faire oublier que la NSA a oublié d’appliquer tous ces principes en interne, en effet la fuite de données majeures réalisée par Edward Snowden n’a pas été détecté…

Reste maintenant à se confronter à l’ensemble des contraintes légales, éthiques et techniques inhérentes au Big data qui, pour certaines d’entre elles, n’ont, semble-t-il pas constitué un point de préoccupation pour la NSA …

Cet article PRISM, une success story pour le Big data! est apparu en premier sur RiskInsight.

Qu’est qu’un QR code ?

Le QR code c’est avant tout… un simple code-barres 2D (bidimensionnel). « QR » signifie Quick Response, en référence à la rapidité de décodage de ce carré le plus souvent noir et blanc. À la différence d’un code-barres classique (10 à 13 caractères), le QR code peut contenir énormément d’informations (jusqu’à 7000 caractères). Pour décoder l’information, il suffit d’un Smartphone équipé d’une caméra et  d’un lecteur de QR code.

La lecture d’un QR code permet d’être redirigé vers un site internet, faire un paiement direct via son smartphone, déclencher un appel vers un numéro de téléphone, envoyer un SMS, ou encore télécharger une application mobile.

Les QR codes créent ainsi un lien entre monde physique et monde virtuel. Ce lien est alors une nouvelle porte d’entrée vers les données personnelles voire les SI d’entreprises et, ainsi, une nouvelle fenêtre d’attaque…

Quels sont les risques ?

L’idée est d’utiliser les QR codes comme vecteur d’attaque des smartphones et de leurs utilisateurs en particulier pour les diriger automatiquement vers un site malveillant afin de voler des informations.

L’attaque la plus répandue est le défacement de support. Du simple ajout d’un faux QR code sur un support qui n’en contenait pas, à la superposition d’un QR code illégitime par-dessus le QR code initialement intégré au support, le but est de renvoyer vers un contenu maîtrisé par l’auteur du défacement. On a ainsi vu, sur une affiche publicitaire en Argentine, un concurrent mettre un QR code qui renvoyait vers son propre site de vente de réfrigérateur, ou, aux États-Unis, un défacement qui redirigeait vers un site qui lançait le jailbreak de l’IPhone et installait en même temps keyloggers et autres logiciels malveillants.

Le cas le plus connu d’attaque via les codes-barres 2D nous vient de Russie où une affiche invitait à scanner un QR code pour télécharger une application, application, qui, une fois installée, envoyait à l’insu du propriétaire du smartphone des SMS à un numéro surtaxé (6$ par envoi)…

Dans ces attaques, le risque est principalement porté par les utilisateurs. Cependant, le QR code peut également être utilisé comme moyen d’identification. L’utilisation de QR code à de telles fins, notamment pour le m-paiement présente plus de risques. Le principe est de générer un QR code unique sur le smartphone que l’on présente au commerçant pour s’authentifier et payer. Ceci nécessite à la fois une application spécifique pour la génération du QR code et une connexion du système du commerçant au back office de l’applicatif installé sur le smartphone. Les risques de compromission du système de paiement et d’usurpation d’identité sont réels et doivent faire l’objet de mesures de sécurité avancées telles que des codes d’authentification régénérés à chaque utilisation, la validation et la notification du paiement après l’authentification….

Comment se protège-t-on ?

Le risque de défacement est difficile à maîtriser. Si un haut degré de personnification du code, ou le choix de supports compliqués à défacer (publicité dans la presse, écran plutôt que affiche publicitaire, …), peuvent l’atténuer, ce risque doit globalement être accepté.

La principale vulnérabilité des tags vient du fait que l’utilisateur n’a pas de vision sur l’action déclenchée lors de la lecture du code. Cette faille peut être palliée par l’utilisation de lecteurs de QR code qui présentent l’action demandée « à priori » pour validation. Les sociétés utilisant des QR codes peuvent dans un premier temps conseiller l’utilisation de lecteur proposant de telles fonctionnalités et dans un second temps choisir des adresses parlantes pour les utilisateurs (par exemple www.solucom.fr et non  www.xds2.to) afin d’indiquer clairement la page internet pointée.

Notons tout de même que malgré des millions de scans quotidiens, très peu d’attaques sont aujourd’hui recensées. Toutefois, les nouveaux modes d’usage, tels que le m-paiement doivent faire l’objet d’attentions particulières, les risques devenant partagés entre utilisateurs, éditeurs de solutions et le commanditaire.

Cet article Démocratiser les QR codes … sans les risques est apparu en premier sur RiskInsight.