Ces dernières années, les régulateurs ont régulièrement incité les assureurs à adopter des stratégies holistiques allant bien au-delà des approches traditionnelles de relance après un sinistre — en intégrant la résilience au cœur des opérations commerciales et tout au long du cycle de vie du développement des logiciels.

Ce document vise à offrir une perspective globale sur la résilience, en réunissant la continuité opérationnelle, la cybersécurité et la gestion des risques liés aux tiers. Il peut servir de guide stratégique pour les dirigeants (CxO), en expliquant comment identifier le Minimum Viable de l’Entreprise (EMV), en fournissant des analyses de marché sur la tolérance aux perturbations à l’échelle du secteur, et en anticipant l’évolution du cadre réglementaire et de la résilience cyber jusqu’en 2030.

Cadre du Minimum Viable de l’Entreprise (EMV)

La politique sur la résilience opérationnelle de la FCA (PS21/3) oblige les assureurs à identifier leurs Services d’Activité Importants (SAI) et à développer des stratégies pour les maintenir lors de perturbations sévères.
Bien que le concept d’EMV ne soit pas explicitement mentionné dans la PS21/3 (politique de la FCA sur le renforcement de la résilience opérationnelle, publiée en mars 2021), les organisations sont invitées à définir leur « empreinte opérationnelle minimale », ce qui s’aligne étroitement avec les principes de l’EMV.

Pensez l’EMV comme la bouée de sauvetage de votre organisation : ces services, processus, technologies et équipes indispensables qui maintiennent la confiance et la stabilité financière, même lorsque tout le reste doit être mis en pause.

La plupart des organisations maintiennent une légère EMV  — elle représente seulement 15 à 17 % de l’activité totale — soutenue par des listes solides d’applications critiques, d’infrastructures essentielles, de données clés et de relations tierces vitales.
Ce n’est pas qu’une simple question de conformité : il s’agit d’identifier une base modulaire et évolutive permettant à l’entreprise d’isoler les problèmes, de se rétablir rapidement et de continuer à opérer en période de risques systémiques.

Sur la base de notre vaste expérience auprès des principaux acteurs de l’assurance au Royaume-Uni et à l’international, voici une liste indicative des services essentiels généralement identifiés :

Analyse approfondie des tendances en matière de tolérance à l’impact, avec un examen détaillé des standards observés et des justifications stratégiques pour les services essentiels identifiés dans le cadre de l’EMV.

Remarque : Les plages de tolérance présentées ci-dessous sont fournies à titre indicatif, sur la base de notre étude de marché et de notre expérience en conseil réglementaire. Les tolérances réelles peuvent varier en fonction de plusieurs facteurs, tels que les juridictions concernées, le profil de risque de l’organisation et sa capacité financière.

Tendances réglementaires : perspectives 2025–2030

Alors que le secteur de l’assurance doit faire face à des exigences opérationnelles en constante évolution, il est tout aussi essentiel d’anticiper les mutations du paysage réglementaire qui marqueront les années à venir.
Les perspectives suivantes mettent en lumière les principales tendances réglementaires prévues pour la période 2025 à 2030, en exposant les exigences clés en matière de conformité ainsi que les évolutions attendues qui façonneront les cadres de gestion des risques et de reporting du secteur de l’assurance au Royaume-Uni.

Il est important de reconnaître qu’à mesure que la réglementation dans ce domaine continue d’évoluer, les régulateurs britanniques tels que la FCA et la PRA tendent à s’aligner davantage sur les grands cadres européens, notamment le Règlement européen sur la résilience opérationnelle numérique (DORA) et la directive sur la sécurité des réseaux et de l’information (NIS).

Cet alignement traduit une prise de conscience de l’interconnexion des marchés financiers et des services critiques au-delà des frontières, ainsi que de la nécessité d’appliquer des normes cohérentes et renforcées en matière de résilience opérationnelle et cyber.

La FCA et la PRA ont publié des consultations et des orientations indiquant leur intention d’intégrer les principes fondamentaux de DORA et de NIS — tels que la gestion renforcée des risques liés aux tiers, des obligations harmonisées de déclaration d’incidents, et des tests de résilience à l’échelle du secteur — dans le régime réglementaire britannique.
Cette convergence garantit que les institutions financières, les assureurs et les prestataires de services du Royaume-Uni soient préparés non seulement aux exigences réglementaires nationales, mais également aux impératifs d’un marché global et numériquement intégré.

Liste de vérification de la résilience pour les conseils d’administration

À la lumière de ces évolutions réglementaires à venir et des réformes stratégiques en cours, il est essentiel que les conseils d’administration évaluent et renforcent leurs cadres de résilience organisationnelle.
La liste suivante est conçue pour aider les équipes dirigeantes à évaluer de manière proactive leur niveau de préparation, à garantir une gouvernance solide et à intégrer la résilience au cœur des processus décisionnels.

• Couverture EMV : Votre Entreprise Minimum Viable (EMV) est-elle clairement définie, cartographiée et testée sous contrainte pour garantir la continuité des services essentiels ?
• Étalonnage de la tolérance à l’impact : Avez-vous validé des tolérances réalistes à travers des analyses de scénarios, et les avez-vous comparées à celles d’institutions similaires et aux exigences réglementaires ?
• Visibilité des risques liés aux tiers : Disposez-vous d’une visibilité en temps réel sur vos dépendances critiques externes, avec des plans de secours et des clauses de résilience dans les contrats ?
• Fonctions de résilience intégrées : Vos équipes en résilience opérationnelle, cybersécurité, gestion des tiers, gestion des risques et de communication au conseil d’administration sont-elles alignées sur le plan stratégique et cohérentes ?
• Préparation à la gestion des incidents : Disposez-vous de mécanismes robustes pour la déclaration multicanal des incidents (interne et externe), ainsi que d’un dialogue actif avec les régulateurs, soutenu par des plans d’action éprouvés ?
• Alignement de l’assurance cyber : Votre couverture d’assurance cyber est-elle adaptée à votre profil de risque spécifique, et testée face à des scénarios de menaces en évolution portant sur des actifs critiques ?
• Responsabilisation du conseil : Les membres du conseil d’administration ont-ils été formés à la surveillance de la résilience et de la cybersécurité, et reçoivent-ils des rapports réguliers des fonctions de gestion des risques intégrées pour garantir une gouvernance éclairée ?
• Culture de la résilience : Une culture de la résilience est-elle ancrée dans toute l’organisation — du comité exécutif aux équipes opérationnelles — pour encourager la prise de responsabilité proactive et l’amélioration continue face aux risques ?
• Veille réglementaire et anticipation : Suivons-nous de manière proactive les évolutions réglementaires locales et internationales (par ex. DORA de l’UE, FCA SS1/21, règles cyber de la SEC), tout en assurant la sensibilisation et la préparation au niveau du conseil d’administration ?

Le secteur britannique de l’assurance et de la réassurance est bien capitalisé, en pleine transformation numérique, et stratégiquement positionné pour la croissance.
Mais la résilience — qu’elle soit opérationnelle, cyber, ou liée aux tiers — reste le facteur déterminant du succès à long terme.

En harmonisant soigneusement leurs stratégies de résilience avec les normes internationales les plus avancées, les organisations peuvent non seulement renforcer leur position sur le marché, mais aussi gagner la confiance durable des parties prenantes.
Cette approche proactive permet de rester conforme dans un environnement réglementaire en constante évolution, tout en consolidant la capacité à atténuer les risques transfrontaliers et à réagir de manière décisive face à des perturbations imprévues.

Dans un monde où les menaces numériques et les vulnérabilités des chaînes d’approvisionnement dépassent les frontières géographiques, développer une résilience reconnue à l’échelle internationale n’est pas seulement une obligation réglementaire, mais un pilier fondamental d’une stratégie d’entreprise durable et tournée vers l’avenir.

En conclusion, les dirigeants doivent intégrer des cadres de résilience robustes et intégrés pour garantir une croissance et une stabilité à long terme. En cultivant une culture de gestion proactive des risques et de veille réglementaire, les institutions peuvent se positionner à l’avant-garde de l’excellence opérationnelle — prêtes non seulement à faire face aux défis, mais à les transformer en opportunités de succès durable.

Cet article Résilience par design : Les impératifs stratégiques pour les assureurs généraux et de réassurance au Royaume-Uni (2025 – 2030) est apparu en premier sur RiskInsight.

Dans cet article, nous faisons le point sur les dernières actualités réglementaires cybersécurité et les challenges qu’elles engendrent, et nous vous proposons deux approches pour gérer au mieux l’empilement des réglementations.

Etat des lieux : Des réglementations cybersécurité toujours plus nombreuses

En Europe, un renforcement des réglementations cybersécurité associé à un élargissement du périmètre d’applicabilité

Ces dernières années, l’Union Européenne a poursuivi sa dynamique de réglementation en matière de cybersécurité et de résilience, avec l’entrée en vigueur de réglementations structurantes telles que DORA, NIS2, le CRA ou encore l’IA Act. Ces réglementations concernent également un plus grand nombre d’acteurs, avec une extension des secteurs régulés.

La première est le règlement DORA. Entré en vigueur en janvier 2025, il impose aux entités financières des obligations visant à renforcer leur résilience numérique, en se concentrant sur quatre grands axes : la gestion des risques liés aux TIC, la gestion des incidents, les tests de résilience opérationnelle et la gestion des risques liés aux prestataires de services TIC.

La directive NIS2, entrée en vigueur en octobre 2024, vient quant à elle élargir les objectifs et le périmètre d’application de NIS1. Elle s’applique désormais à deux types d’entités :  

• Les Entités Essentielles (EE), déjà présentes sous le nom d’Opérateur de Services Essentiels (OES) dans NIS1. La liste des secteurs d’activités concernés a cependant été élargie.
• Les Entités Importantes (EI). La construction de cette dernière catégorie vise à accompagner le développement des usages numériques dans la société. Elle concerne par exemple le secteur de la fabrication d’équipements informatiques. Les EI sont considérés comme moins critiques que les EE, les obligations qui leur sont imposées par les transpositions nationales seront donc moins contraignantes.

Dans le même temps, l’UE s’est également dotée de la directive sur la Résilience des Entités Critiques (REC), entrée en vigueur en octobre 2024 comme NIS2. Cette directive impose aux infrastructures critiques de mettre en place des mesures de prévention, de protection et de gestion des risques afin de garantir la continuité des services vitaux pour la stabilité économique et sociale de l’Union.  

Les directives NIS 2 et REC devaient être transposées dans les législations nationales au plus tard le 17 octobre 2024. À ce jour, seuls quelques États membres ont achevé ce processus. En France, après un premier vote au Sénat le 12 mars 2025 les débats ont désormais rejoint l’Assemblée nationale. Prochaine étape : une lecture en séance publique est prévue pour la mi-septembre.  

En complément, pour répondre à la montée des cybermenaces liées aux produits numériques, l’Union européenne a adopté le Cyber Resilience Act, en vigueur depuis le 10 décembre 2024. Ce texte s’applique aux produits avec éléments numériques (produits de consommation, smart cities, logiciels non essentiels) et aux produits critiques avec éléments numériques (pare-feux, systèmes de contrôle industriels, logiciels essentiels). Il impose notamment qu’ils soient conçus sans vulnérabilités connues, accompagnés d’une documentation claire et soumis à une gestion rigoureuse des failles.

Au-delà des frontières de l’UE, le Royaume-Uni a également renforcé son cadre réglementaire, conscient que le rythme législatif n’avait pas suivi l’évolution rapide des technologies et faisant face à une recrudescence des cyberattaques visant des infrastructures critiques, telles que le NHS ou le ministère de la Défense. Le gouvernement britannique a ainsi présenté en avril 2025 le Cyber Security and Resilience Bill, un projet de loi inspiré de la directive NIS2 et visant à renforcer la résilience du pays face à l’intensification des menaces numériques.

Une dynamique similaire constatée en Asie

Les réglementations cybersécurité se sont également renforcées en Asie ces dernières années, en particulier en Chine et à Hong-Kong.

En Chine, le Network Data Security Management Regulations est entré en vigueur le 1^er janvier 2025. Il vient compléter, préciser et étendre les obligations issues des précédentes réglementations (CSL, DSL, PIPL). Il couvre toutes les données électroniques traitées via des réseaux, y compris les données non personnelles et s’articule autour de trois axes majeurs : 

• La protection des données à caractère personnel, avec un accent sur le consentement explicite, la portabilité et la transparence ; 
• La gestion des données importantes, imposant leur identification, documentation et sécurisation ;
• La responsabilisation des grandes plateformes numériques, soumises à des obligations renforcées en matière de gouvernance, de transparence et d’éthique algorithmique.

À Hong Kong, un nouveau dispositif visant à renforcer la sécurité des infrastructures critiques a été adopté le 19 mars 2025 et devrait entrer en vigueur le 1er janvier 2026. Les principales exigences du Computer Systems Bill s’articulent autour de quatre thématiques : une structure organisationnelle renforcée (présence locale, unité cybersécurité, déclaration des changements), la prévention des menaces (plan de sécurité, évaluation annuelle, audit), la gestion des incidents (notification rapide, plan de réponse, rapport écrit), ainsi que des obligations de reporting auprès des autorités.

Des approches divergentes entre l’Union Européenne et les Etats-Unis, qui viennent complexifier la gestion de la conformité

A. Affaiblissement du PCLOB : quel avenir pour les transferts de données entre UE et Etats-Unis ?

Les accords pour les transferts de données à caractère personnel entre l’UE et les États-Unis ont connu plusieurs ruptures, marquées par les arrêts Schrems I et Schrems II, qui ont successivement invalidé les accords transatlantiques en raison du non-respect des exigences de la CJUE. Puis, en 2023, la Commission européenne adopte le Data Privacy Framework (DPF), censé rétablir un cadre juridique conforme en s’appuyant notamment sur le PCLOB, organe indépendant chargé de contrôler les pratiques de renseignement américaines.

Cependant, le 27 janvier 2025, l’administration Trump révoque plusieurs membres du PCLOB, rendant l’organe inopérant. Cette décision fragilise la validité du DPF, poussant les entreprises à revenir aux Transfert Impact Assessments (TIA), complexes, coûteux et incertains sur le plan juridique.

Historique sur les relations UE-USA en matière de transferts de données à caractère personnel

Une invalidité du DPF soulèverait à nouveau des questions quant à l’encadrement juridique des transferts de données à caractère personnel entre UE et Etats-Unis. Dans ce contexte d’instabilité juridique, une solution durable pourrait émerger de la technologie plutôt que du droit. Cela pourrait par exemple être le chiffrement homomorphique qui, bien que peu mature, constitue une piste prometteuse pour garantir la sécurité des données, à condition de développer des solutions européennes souveraines.

B. Des approches divergentes pour l’encadrement de l’intelligence artificielle

L’intelligence artificielle a connu ces dernières années un essor fulgurant, avec lequel apparaissent aussi de nouveaux risques et menaces cybersécurité. Pour répondre à ces enjeux, l’Union européenne et les États-Unis adoptent des approches réglementaires opposées.

L’Union Européenne a choisi la mise en œuvre d’une réglementation pour encadrer le développement de l’intelligence artificielle. L’AI Act a ainsi été adopté en mai 2024, et vient imposer des mesures de sécurité à mettre en œuvre suivant les niveaux de risques des systèmes.

Les États-Unis, à l’inverse, misent sur une stratégie axée sur la compétitivité technologique et la souveraineté industrielle, avec une réglementation minimaliste. Cette orientation s’est concrétisée avec le décret Executive Order 14179 du 23 janvier 2025, intitulé « Removing Barriers to American Leadership in Artificial Intelligence ». Ce décret impose l’élaboration d’un plan d’action pour consolider la position dominante des États-Unis sur l’intelligence artificielle. Il abroge également les mesures jugées contraignantes pour l’innovation, et entend écarter tout parti pris idéologique ou agenda social dans le développement des systèmes d’intelligence artificielle.

Dans ce contexte de renforcement des réglementations, quelle approche adopter pour gérer l’empilement ?

La dynamique de renforcement des réglementations à l’international contribue à un empilement de multiples réglementations qui rendent complexe la gestion de la conformité, en particulier pour les entreprises ayant une forte empreinte internationale. Face à cette complexité, deux grandes approches peuvent être privilégiées, suivant le contexte, l’organisation et l’empreinte internationale des entreprises.

Approche centralisée

La première approche repose sur l’élaboration d’un référentiel global de mesures. Ce référentiel peut être basé sur des standards internationaux reconnus tels que l’ISO/IEC 27001 ou le NIST CSF 2.0, ou sur une réglementation jugée clé et particulièrement complète. L’ensemble des réglementations applicables est ensuite mappé sur ce référentiel, permettant d’assurer une couverture transverse des obligations par un standard unique.

La responsabilité de la mise en œuvre des mesures de mise en conformité est portée par les équipes centrales ou locales, suivant la nature des mesures, avec toujours un fort contrôle au niveau central.

Cette approche est particulièrement adaptée pour les entreprises disposant d’une organisation et d’un système d’information centralisés, et avec une empreinte internationale limitée.

Approche décentralisée

La deuxième approche privilégie une organisation décentralisée de la conformité, s’appuyant sur les équipes locales. Dans ce cadre, un référentiel réglementaire global est défini au niveau central, qui constitue un socle minimal de conformité pour l’ensemble des régions. Il couvre généralement 85 à 90 % des exigences de l’ensemble des réglementations qu’on pourra retrouver au niveau local.

En revanche, on ne cherche pas, dans cette approche, à compléter le référentiel global sur la base de l’analyse de l’ensemble des réglementations locales. La responsabilité de l’ajustement aux exigences locales ou régionales est portée par les RSSI locaux, qui assurent la conformité aux mesures locales, en particulier les 10 à 15 % de mesures non couvertes dans le référentiel global. Cette organisation permet une mise en œuvre différenciée selon les régions, tout en conservant un cadre normatif central.

Ce modèle est particulièrement adapté aux structures décentralisées, caractérisées par une forte autonomie locale et une empreinte internationale étendue. Il offre une plus grande agilité face aux évolutions réglementaires, en s’appuyant sur la connaissance fine des contextes nationaux, tout en allégeant la charge de pilotage central.

Cas concret de l’accompagnement d’un client fortement implanté à l’international

Un programme de cybersécurité récemment mis en œuvre au sein d’un groupe international illustre une approche décentralisée mais avec un fort contrôle du groupe.

Le cadre de conformité, défini par le siège, repose sur des objectifs de sécurité fondé sur des scénarios de menaces, et s’appuie sur un socle commun intégrant les principales réglementations applicables. Ce socle est articulé à partir d’une matrice multi-référentiels (DORA, NIS2, ISO 27001). Les entités locales assurent le déploiement opérationnel des mesures définies au niveau groupe, ainsi que leur contrôle interne, sous la coordination d’un responsable RSSI local chargé de consolider les informations et d’en assurer la remontée d’information. Le dispositif prévoit également une capacité d’ajustement local, permettant de formuler des remarques sur la stratégie centrale, notamment pour éviter les potentielles contradictions avec les réglementations locales.

Le RSSI groupe joue un rôle de supervision transverse. Il vérifie que les exigences définies au niveau central sont bien prises en compte par les RSSI locaux, même si ces derniers ont la responsabilité de leur mise en œuvre. Il s’assure également que les dispositifs déployés sont alignés à la fois avec les exigences du groupe et avec les réglementations locales. Son rôle n’est pas de remettre en cause les choix locaux, mais d’en vérifier la cohérence avec le cadre global.

En matière de gouvernance des contrôles, chaque exigence réglementaire, qu’elle soit d’origine locale ou groupe, est associée à un contrôle spécifique. Une gouvernance claire entre les niveaux groupe et local est donc indispensable pour gérer un catalogue de contrôles cohérent, éviter les redondances et garantir une bonne articulation dans le dispositif de conformité.

Ce modèle permet de garantir un socle de sécurité homogène, tout en préservant la flexibilité nécessaire à l’adaptation aux réglementations locales. Cependant, il présente également certaines limites. En particulier sa structuration centralisée, bien que garante d’une cohérence globale, induit une certaine lourdeur dans la gestion quotidienne, notamment lorsqu’il s’agit de faire évoluer le dispositif ou d’intégrer rapidement de nouvelles exigences réglementaires.

Possibilité d’un découplage des SI

Au-delà de ces approches, certaines entreprises font le choix d’aller vers un découplage de leurs systèmes d’information. Ce choix est réalisé dans un contexte où les tensions géopolitiques influencent de plus en plus les stratégies cybersécurité. Dans ce contexte, la place croissante de la souveraineté et du protectionnisme dans les réglementations cybersécurité engendre des contradictions entre réglementations et rend difficile, voire impossible, la mise en conformité d’un SI unique à des réglementations de différentes plaques géographiques.

Le découplage vient répondre à ces problématiques en prévoyant des infrastructures, des applications ou encore des équipes dédiées sur les différentes plaques géographiques, généralement US, UE et Asie, avec un filtrage strict entre les zones.

Vers une phase de consolidation et de rationalisation ?

Dans ce contexte, on semble se diriger vers phase de consolidation des réglementations, avec la mise en œuvre des textes récemment adoptés et un ralentissement de la publication de nouvelles réglementations. Des évolutions pourraient tout de même arriver afin de prendre en compte l’émergence de nouvelles technologies, en particulier l’informatique quantique.

Par ailleurs, face à une complexité réglementaire croissante dans l’UE, la Commission européenne semble amorcer une nouvelle phase de rationalisation, visant à alléger certaines obligations jugées inadaptées. Cette volonté de rationalisation se traduit notamment par un projet d’allègement ciblé du RGPD pour les PME-TPE.  

Une autre piste de simplification passe par la mise en place de mécanismes de reconnaissance mutuelle entre réglementations dans différents pays. La conformité réglementaire des entreprises pourrait alors être simplifiée à condition que les Etats intègrent explicitement cette logique dans leur réglementation nationale. La France, par exemple, envisage d’intégrer ce mécanisme dans le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité. Cependant, une reconnaissance mutuelle pourrait engendrer un risque de dumping réglementaire : certaines entreprises pourraient choisir les référentiels les moins exigeants afin de réduire le coût et la complexité de la mise en conformité, au détriment de la sécurité.

Ce principe n’est pourtant pas complètement nouveau : le RGPD reconnaît déjà des pays tiers comme disposant d’un niveau de protection « adéquat » (ex. : Japon, Canada, Argentine), facilitant ainsi les transferts de données avec ces pays.

[1] Global Cybersecurity Outlook 2025 | World Economic Forum

Cet article Réglementations cybersécurité : Comment gérer la complexité d’un empilement réglementaire croissant ? est apparu en premier sur RiskInsight.

Dans un contexte où la transformation numérique du secteur de la santé s’accélère, la protection des données de santé est un enjeu toujours plus critique. En 2021, notre article « Certification Hébergeur de Données de Santé : deux ans déjà ! », par Laurent Guille et Alexandra Cuillerdier, dressait un premier bilan prometteur du référentiel HDS. Face à la croissance des enjeux liés à la souveraineté des données et à la cybersécurité, une refonte s’imposait. Cette évolution vers HDS v2, entrée en vigueur en 2024, marque un tournant dans l’approche de l’hébergement des données de santé en France, en renforçant la protection et la souveraineté des données de santé dans un contexte numérique en constante évolution. 

HDS v1 : un premier cadre structurant mais perfectible 

Depuis son introduction en 2018, le référentiel HDS a contribué à structurer et professionnaliser le secteur de l’hébergement des données de santé. Cependant, cette première version du référentiel présentait certaines limitations. En particulier, le cadre initial présentait des zones d’ombre concernant la souveraineté des données, notamment sur la localisation et le contrôle des données de santé. En outre, l’évolution rapide des menaces cyber et des technologies imposait une mise à jour substantielle des exigences de sécurité pour maintenir un niveau de protection adapté aux risques actuels. 

Refonte du cadre technique et sécuritaire 

Sur le plan technique, les nouvelles exigences de la norme ISO 27001:2023 sont adoptées au sein de la nouvelle version de HDS. Cette mise à jour intègre une gestion des risques de sécurité adaptée aux nouveaux contextes numériques, ainsi que de nouveaux contrôles liés à la cybersécurité. 

Les autres références normatives sont quant à elles rationnalisées. Les références aux normes ISO 20000-1, ISO27017 et ISO27018 disparaissent dans le cadre d’HDS v2 tandis que 31 exigences spécifiques sont directement intégrées dans le référentiel, qui s’appuie également sur la norme ISO/IEC-17021-1:2015 pour encadrer l’évaluation de la conformité. Cette nouvelle version vient également préciser l’articulation avec les exigences du référentiel SecNumCloud afin de faciliter l’obtention de la certification HDS pour les hébergeurs déjà qualifiés SecNumCloud. 

Un renforcement majeur de la souveraineté numérique 

L’une des évolutions les plus marquantes d’HDS v2 concerne le renforcement de la souveraineté numérique. Le nouveau référentiel impose désormais que l’hébergement physique des données de santé soit réalisé exclusivement sur le territoire de l’Espace Économique Européen (EEE). Cette exigence vient renforcer les garanties en termes de protection des données et contribue à l’émergence d’un écosystème d’acteurs européens dans le domaine de la santé numérique. 

Elle est complétée par le renforcement de la transparence, qui devient également un enjeu central du dispositif, avec deux obligations majeures : 

• Les hébergeurs doivent désormais publier sur leur site internet une cartographie des éventuels transferts de données vers des pays hors EEE, permettant ainsi aux personnes concernées et aux acteurs de santé d’avoir une visibilité claire sur le parcours de leurs données ;
• En cas d’accès distant aux données depuis un pays tiers ou de soumission à une législation extra-européenne n’assurant pas un niveau de protection adéquat au sens de l’article 45 du RGPD, l’hébergeur doit en informer ses clients dans le contrat. Il doit notamment préciser les risques associés et détailler les mesures technique et juridiques mises en œuvre pour les limiter.

Renforcement des exigences contractuelles 

L’encadrement de la sous-traitance fait l’objet d’une attention particulière dans HDS v2. Les mesures associées sont renforcées et les hébergeurs doivent désormais notamment : 

• Détailler précisément les activités d’hébergement certifiées dans leurs contrats ;
• Maintenir une transparence totale sur leur chaîne de sous-traitance ;
• S’assurer que leurs sous-traitants respectent les mêmes exigences de sécurité et de localisation des données ;
• Mettre en place des mécanismes de contrôle et d’audit de leurs sous-traitants.

Ces nouvelles obligations contractuelles visent à garantir une meilleure maîtrise de la chaîne de valeur et une plus grande transparence pour les responsables de traitement. 

Conséquences pratiques pour l’écosystème 

Pour les hébergeurs de données de santé, ces évolutions du référentiel impliquent une adaptation de leurs infrastructures pour garantir la localisation des données dans l’EEE. Elles nécessitent également une mise à niveau de leurs mesures de sécurité pour répondre aux exigences de la version 2023 de la norme ISO 27001 et la revue des contrats, tant avec leurs clients qu’avec leurs sous-traitants. 

Perspectives et mise en œuvre 

Cette nouvelle version modernisée du référentiel HDS permet de répondre aux enjeux croissants de sécurité, de souveraineté et de transparence. Sa mise en œuvre s’échelonne sur environ deux ans, avec une application immédiate pour les nouvelles certifications à partir du 16 novembre 2024, et une période de transition jusqu’au 16 mai 2026 pour les hébergeurs déjà certifiés HDS v1. 

À plus long terme, plusieurs questions se posent sur l’évolution du dispositif. À l’heure où la directive NIS 2 intègre déjà les prestataires de soins de santé et l’industrie pharmaceutique parmi ses secteurs d’activité essentiels, tout en classant la fabrication de dispositifs médicaux et de diagnostic in vitro dans ses secteurs importants, l’émergence d’HDS 2 soulève une question : la coopération européenne pourrait-elle aboutir à un cadre encore plus intégré pour la protection des données de santé et harmoniser les pratiques à l’échelle du continent ? 

Cet article Evolution du référentiel HDS – Vers une sécurité et une souveraineté renforcées  est apparu en premier sur RiskInsight.

Nous détaillerons dans cet article les impacts de l’IA sur la conformité des traitements aux grands principes réglementaires mais aussi sur la sécurité des traitements sur laquelle pèsent de nouveaux risques. Nous partagerons ensuite notre vision d’un outil de PIA adapté afin de répondre à des questionnements et enjeux remaniés par l’arrivée de l’IA dans les traitements de données personnelles.

L’impact de l’IA sur les principes de protection des données

Bien que l’IA se développe rapidement depuis l’arrivée de l’IA générative, elle n’est pas nouvelle dans les entreprises. Les nouveautés résident dans les gains d’efficacité des solutions, dont l’offre est plus étoffée que jamais, et surtout dans la multiplication des cas d’usages qui viennent transformer nos activités et notre rapport au travail.

Ces gains ne sont pas sans risques sur les libertés fondamentales et plus particulièrement sur le droit à la vie privée. En effet, les systèmes d’IA nécessitent des quantités massives de données pour fonctionner efficacement, et ces bases de données contiennent souvent des informations personnelles. Ces larges volumes de données font par la suite l’objet de multiples calculs, analyses et transformations complexes : les données ingérées par le modèle d’IA deviennent à partir de ce moment indissociables de la solution d’IA^[1]. Outre cette spécificité, nous pouvons mentionner la complexité de ces solutions qui diminue la transparence et la traçabilité des actions opérées par celles-ci. Ainsi, de ces différents aspects caractéristiques de l’IA, en résulte une multitude d’impacts sur la capacité des entreprises à se conformer aux exigences réglementaires en matière de protection des données personnelles.

Figure 1 : exemples d’impacts sur les principes de protection des données.

En complément de la Figure 1, trois principes peuvent être détaillés pour illustrer les impacts de l’IA sur la protection des données ainsi que les nouvelles difficultés auxquelles les professionnels de ce domaine seront confrontés :

1. Transparence: Assurer la transparence devient bien plus complexe en raison de l’opacité et de la complexité des modèles d’IA. Les algorithmes de machine learning et de deep learning peuvent être des « boîtes noires », où il est difficile de comprendre comment les décisions sont prises. Les professionnels doivent relever le défi de rendre ces processus compréhensibles et explicables, tout en garantissant que les informations fournies aux utilisateurs et aux régulateurs soient claires et détaillées.
2. Principe d’exactitude: Appliquer le principe d’exactitude est particulièrement difficile avec l’IA en raison des risques de biais algorithmiques. Les modèles d’IA peuvent reproduire ou même amplifier les biais présents dans les données d’entraînement, ce qui conduit à des décisions inexactes ou injustes. Les professionnels doivent donc non seulement s’assurer que les données utilisées sont précises et à jour, mais aussi mettre en place des mécanismes pour détecter et corriger les biais algorithmiques.
3. Durée de conservation: La gestion de la durée de conservation des données devient plus complexe avec l’IA. L’entraînement des modèles d’IA avec des données crée une dépendance entre l’algorithme et les données utilisées, rendant difficile, voire impossible, de dissocier l’IA de ces données. Aujourd’hui, il est pratiquement impossible de faire « oublier » à une IA des informations spécifiques, ce qui complique la conformité avec les principes de minimisation des données et de durée de conservation.

Les nouveaux risques soulevés par l’IA

Outre les impacts sur les principes de conformité abordés à l’instant, l’IA produit également des effets significatifs sur la sécurité des traitements, modifiant ainsi les approches en matière de protection des données et de gestion des risques.

L’utilisation de l’intelligence artificielle fait alors ressortir 3 types de risques sur la sécurité des traitements :

• Risques traditionnels: Comme toute technologie, l’utilisation de l’intelligence artificielle est sujette à des risques de sécurité traditionnels. Ces risques incluent, par exemple, des failles au niveau des infrastructures, des processus, des personnes et des équipements. Qu’il s’agisse de systèmes traditionnels ou de solutions basées sur l’IA, les vulnérabilités en matière de sécurité des données et de gestion des accès persistent. Les erreurs humaines, les pannes matérielles, les mauvaises configurations de systèmes ou les processus insuffisamment sécurisés demeurent des préoccupations constantes, indépendamment de l’innovation technologique.
• Risques amplifiés: L’utilisation de l’IA peut également exacerber des risques déjà existants. Par exemple, l’utilisation d’un grand modèle de langage, comme Copilot, pour assister dans les tâches quotidiennes peut poser des problèmes. En se connectant à toutes vos applications, le modèle d’IA centralise toutes les données en un seul point d’accès, ce qui augmente considérablement le risque de fuite de données. De la même manière, une gestion des identités et des droits des utilisateurs imparfaite aboutira à des risques accrus d’actes malveillants en présence d’une solution d’IA capable d’accéder et d’analyser avec une efficacité singulière à des documents illégitimes pour l’utilisateur.
• Risques émergents: De la même manière que pour les risques liés à la durée de conservation, il devient de plus en plus difficile de dissocier l’IA de ces données d’entrainements. Cela peut parfois rendre l’exercice de certains droits comme le droit à l’oubli bien plus difficile, entrainant un risque de non-conformité.

Un contexte réglementaire en mutation

Avec la prolifération mondiale des outils basés sur l’intelligence artificielle, divers acteurs ont intensifié leurs efforts pour se positionner dans ce domaine. Pour répondre aux préoccupations, plusieurs initiatives ont vu le jour : le Partnership on AI réunit des géants technologiques comme Amazon, Google, et Microsoft pour promouvoir une recherche ouverte et inclusive sur l’IA, tandis que l’ONU organise l’AI for Good Global Summit pour explorer l’IA au service des objectifs de développement durable. Ces initiatives ne sont que des exemples parmi de nombreuses autres initiatives visant à encadrer et guider l’utilisation de l’IA, assurant ainsi une approche responsable et bénéfique de cette technologie.

Figure 2 : exemples d’initiatives liées au développement de l’IA.

Le changement récent et le plus impactant est l’adoption de l’AI Act (ou RIA, règlement européen sur l’IA), qui introduit une nouvelle exigence dans l’identification des traitements de données à caractère personnel devant bénéficier d’un soin particulier : en plus des critères classiques des lignes directrices du G29, l’utilisation d’une IA à haut risque nécessitera systématiquement la réalisation d’une PIA. Pour rappel, le PIA est une évaluation qui vise à identifier, évaluer et atténuer les risques que certains traitements de données peuvent poser à la vie privée des individus, en particulier lorsqu’ils impliquent des données sensibles ou des processus complexes​​. Ainsi, l’utilisation d’un système d’IA requerra souvenant la réalisation d’un PIA.

Cette nouvelle législation complète l’arsenal réglementaire européen pour encadrer les acteurs et solutions technologiques, elle vient en complément du RGPD, du Data Act, du DSA ou encore du DMA. Bien que l’objectif principal de l’AI Act soit de promouvoir une utilisation éthique et digne de confiance de l’IA, elle partage de nombreuses similitudes avec le RGPD et renforce les exigences existantes. Nous pouvons par exemple citer les exigences renforcées en matière de transparence ou bien la mise en place obligatoire d’une surveillance humaine pour les systèmes d’IA, soutenant le droit à l’intervention humaine du RGPD.

Une adaptation nécessaire des outils et méthodes

Dans ce contexte évolutif où l’IA et les réglementations continuent de se développer, la veille réglementaire et l’adaptation des pratiques par les différents acteurs sont essentielles. Cette étape est cruciale pour comprendre et s’adapter aux nouveaux risques liés à l’utilisation de l’IA, en intégrant ces évolutions efficacement au sein de vos projets d’IA.        

Afin d’adresser les nouveaux risques induits par l’utilisation de l’IA, il devient nécessaire d’adapter nos outils, méthodes et pratiques afin de répondre efficacement à ces défis. De nombreux changements doivent être pris en compte, tels que :

• l’amélioration des processus d’exercice des droits ;
• l’intégration d’une méthodologie Privacy By Design adaptée :
• la mise à niveau des mentions d’information fournis aux utilisateurs ;
• ou encore l’évolution des méthodologies de PIA.

Nous illustrerons dans la suite de cet article ce dernier besoin en matière de PIA à l’aide du nouvel outil interne PIA² conçu par Wavestone et né de la jonction de ses expertises Privacy et en intelligence artificielle, et qui a été alimenté par de nombreux retours terrain. Son objectif est de garantir une gestion optimale des risques pour les droits et libertés des personnes liés à l’utilisation de l’intelligence artificielle en offrant un outil méthodologique capable d’identifier finement les risques sur ces-derniers.

Un nouvel outil de PIA au service d’une meilleure maîtrise des risques Privacy issus de l’IA

La réalisation d’un PIA sur des projets d’IA exige une expertise plus pointue que celle requise pour un projet classique, avec des questionnements multiples et complexes liés aux spécificités des systèmes d’IA. Outre ces points de contrôles et questionnements qui s’ajoutent à l’outil, c’est toute la méthodologie de déclinaison du PIA qui se trouve adaptée au sein du PIA² de Wavestone.

A titre d’illustration, les ateliers avec les parties prenantes s’élargissent à de nouveaux acteurs tels que les data scientists, des experts en IA, des responsables éthiques ou les fournisseurs de solutions d’IA. Mécaniquement, la complexité des traitements de données reposant sur des solutions d’IA requière donc davantage d’ateliers et un temps de mise en œuvre plus important pour cerner finement et pragmatiquement les enjeux de protection des données de vos traitements.

Figure 3 : représentation des différentes étapes du PIA².

Le PIA² renforce et complète la méthodologie de PIA traditionnelle. L’outil conçu par Wavestone est ainsi constitué de 3 étapes centrales :

1. Analyse préliminaire du traitement

Dans la mesure où l’IA revêt des risques pouvant être significatifs pour les personnes et dans un contexte où l’AI Act vient exiger la réalisation d’un PIA pour les solutions d’IA à haut risque traitant de données à caractère personnel, le premier questionnement d’un DPO est d’identifier son besoin ou non de réaliser une telle analyse. L’outil PIA² de Wavestone s’ouvre donc sur une analyse des critères traditionnels du G29 venant requérir la mise en œuvre d’un PIA et est ensuite complétée de questionnements associés à l’identification du niveau de risque de l’IA. L’analyse se complète classiquement d’une étude générale du traitement. Cette étude complétée de points de connaissance précis sur la solution d’IA, de son fonctionnement et de son cas d’usage, servant de fondation à l’ensemble du projet (notons que l’AI Act vient également exiger que de telles informations soient présentes dans le PIA portant sur des IA à haut risque). A l’issue de cette étude, le DPO dispose d’une vue d’ensemble des données personnelles traitées, de la manière dont les données personnelles circulent au sein du système et des différentes parties prenantes.

2. Evaluation de la protection des données

L’évaluation de conformité permet ensuite d’examiner la conformité de l’organisation vis-à-vis des réglementations applicables en matière de protection des données. L’objectif est d’examiner en profondeur toutes les pratiques mises en place par rapport aux exigences légales, tout en identifiant les lacunes à combler. Cette évaluation se concentre sur les mesures techniques et organisationnelles adoptées pour se conformer aux réglementations et sécuriser les données personnelles au sein d’un système d’IA. Cette partie de l’outil a été spécialement développée pour répondre aux nouveaux enjeux et défis de l’IA en termes de conformité et de sécurisation, prenant en compte les nouvelles contraintes et normes imposées aux systèmes d’IA. Cette évaluation comporte à la fois des points de contrôle classiques d’un PIA et issues du RGPD et se complète des questionnements spécifiques associés à l’IA qui ont profité des retours terrains observés par nos experts en IA.

3. Remédiation des risques

Après avoir recensé l’état de la conformité du projet et identifié les lacunes présentes, il est possible d’évaluer les impacts potentiels sur les droits et libertés des personnes concernées par le traitement. Une étude approfondie de l’impact de l’IA sur les différents éléments de conformité et de sécurité a été effectuée pour nourrir cet outil de PIA². Cette approche opérée par Wavestone, si elle est optionnelle, nous a permis de gagner en facilité de réalisation du PIA en permettant une automatisation de notre outil PIA² qui propose automatiquement des risques spécifiques liés à l’utilisation de l’IA au sein du traitement, en fonction des réponses remplies en parties 1 et 2. Les risques étant identifiés, il convient ensuite de réaliser leur traditionnelle cotation en évaluant leur vraisemblance et leurs impacts.

Toujours dans cette optique d’automatisation, l’outil PIA de Wavestone identifie et propose également automatiquement des mesures correctives adaptées aux risques détectés. Quelques exemples : des solutions comme le Federated Learning, le chiffrement homomorphique (qui permet de traiter des données chiffrées sans les déchiffrer) et la mise en place de filtres sur les entrées et sorties peuvent être suggérées pour atténuer les risques identifiés. Ces mesures permettent de renforcer la sécurité et la conformité des systèmes d’IA, assurant ainsi une meilleure protection des droits et libertés des personnes concernées.

Une fois ces trois grandes étapes franchies, il sera nécessaire de faire valider les résultats et de mettre en œuvre des actions concrètes pour garantir la conformité et les risques liés à l’IA.

Ainsi, lorsqu’un traitement implique de l’IA, la réduction des risques devient encore plus complexe. Une veille constante sur le sujet et l’accompagnement d’experts dans le domaine deviennent indispensables. À l’heure actuelle, de nombreuses inconnues subsistent, comme en témoigne la posture de certains organismes encore en phase d’étude ou des positions des régulateurs qui restent à préciser.

Pour mieux appréhender et gérer ces défis, il devient alors essentiel d’adopter une approche collaborative entre différentes expertises. Chez Wavestone, nos expertises en intelligence artificielle et en protection des données ont dû coopérer étroitement pour cerner et répondre à ces enjeux majeurs. Nos travaux d’analyse des solutions d’IA, des nouvelles réglementations afférentes et des risques en matière de protection des données ont nettement mis en lumière l’importance pour les DPO de bénéficier d’une expertise toujours plus pluridisciplinaire.

Remerciements

 Nous remercions Gaëtan FERNANDES pour son travail dans la rédaction de cet article.

Notes

[1] : Bien que des expérimentations ambitionnent d’offrir une forme de réversibilité et la possibilité de retirer les données de l’IA, comme le désapprentissage machine, ces techniques restent encore assez peu fiables aujourd’hui.

Cet article IA et protection des données personnelles : de nouveaux enjeux demandant une adaptation des outils et des procédures est apparu en premier sur RiskInsight.

Afin d’accompagner cette évolution, l’Union européenne avait instauré la Directive sur les Services de Paiement. Dans sa deuxième version (DSP2), publiée en 2015, cette directive a voulu la création et la régulation du secteur de l’Open Banking. L’objectif était de permettre aux utilisateurs de laisser un accès à leurs données bancaires à de nouveaux acteurs innovants tels que les initiateurs de paiement et les agrégateurs, tout en favorisant la sécurité et la compétition au sein de l’écosystème des services de paiement.

Malheureusement, la DSP2 présente des limites dont :

• Un problème d’harmonisation des législations conduisant au « forum shopping » qui consiste, pour les fournisseurs de services de paiement, à choisir leur pays d’installation en fonction de la législation locale la plus arrangeante à leur égard.
• Un écart qui n’a pas été suffisamment comblé entre les banques, qui sont en position privilégiée pour fournir des services aux consommateurs, et les prestataires de services de paiement qui en dépendent.
• La fraude, pour laquelle les méthodes employées évoluent rapidement, et pour laquelle les provisions de DSP2 sont maintenant insuffisantes.

C’est pour cela que l’Union Européenne a publié un projet de DSP3 le 28 juin 2023, et une version finale est attendue pour fin 2024 ou début 2025. Le texte sera alors applicable 18 mois après la publication, soit aux alentours du troisième trimestre 2026.

Comment uniformiser l’existant de la DSP2 ?

A la lecture de cette ébauche, il est clair que là où la DSP2 a instauré des concepts structurants et complètement nouveaux comme l’Open Banking ou l’Authentification Forte du Client, la DSP3 cherche à apporter une mise à niveau sur des concepts existants. Comme indiqué sur le site de la commission européenne, il s’agit d’

« une évolution, pas une révolution ».

La forme évolue : la DSP3 s’accompagne d’un règlement, le RSP (Règlement sur les Services de Paiement). Dans son contenu, elle reprend beaucoup d’éléments présents dans la DSP2, ou ses RTS (pour Regulatory Technical Standards ou Normes Techniques de Règlementation). La nouveauté vient du format : il s’agit d’un règlement, qui est donc directement applicable dans les états membres, au contraire des directives qui ont besoin d’être traduites en droit local. Il s’agit d’une des solutions que l’UE considère pour aborder le problème d’harmonisation mentionné précédemment.

Le cadre réglementaire des monnaies électroniques se retrouve aussi simplifié. Les difficultés pratiques liées à la différenciation existante entre les paiements en ligne, réglementés par DSP2, et l’utilisation de monnaies électroniques, réglementée par la Directive sur les Monnaies Electroniques de 2009 (DME) disparaissent puisque DSP3 couvre maintenant ces deux types de services.

En outre, bien qu’il ne s’agisse pas de nouveautés à proprement parler, DSP3 apporte un lot de clarifications dans ses définitions :

• Les comptes de dépôt, tels que les livrets, sont explicitement exclus de la définition de comptes de paiements.
• Les agrégateurs sont définis par leur capacité à collecter et consolider de l’information sur les comptes de paiement, et ce même si l’utilisateur détenteur des comptes n’est pas le destinataire de l’information agrégée.
• Les authentifications multi-facteurs reposent sur deux facteurs dans les catégories classiquement définies (ce que je sais, ce que je suis, ce que je possède), mais il n’est pas nécessaire que les deux facteurs soient de catégories différentes, seulement qu’ils soient indépendants (défini comme : la compromission de l’un n’affecte pas le niveau de sécurité de l’autre).

Que devront faire les différents fournisseurs de services de paiement pour se conformer à la DSP3 ?

Les évolutions phares de la DSP3 portent sur des changements techniques visant protéger le consommateur contre la fraude.

Ainsi, les prestataires de services de paiement vont devoir proposer de nouveaux services. Un premier exemple consiste à fournir à l’utilisateur un tableau de bord de permissions permettant de vérifier à tout moment qui est autorisé à accéder aux données des comptes de paiement. Un autre exemple est le service de vérification du nom du détenteur du compte bénéficiaire d’un paiement, visant à informer l’utilisateur d’une éventuelle usurpation d’identité.

De même, la DSP3 s’intéresse à l’accessibilité pour tous de l’authentification forte. Toutes les banques devront avoir la capacité de fournir un moyen d’authentification adapté à tous leurs utilisateurs, y compris les personnes en situation d’handicap, les personnes âgées, les personnes ayant des faibles compétences numériques ou sans smartphone etc…

L’ajout d’un nouvel acteur en particulier va changer la répartition des responsabilités de conformité : il s’agit des prestataires de services techniques. Ces derniers hériteront d’une partie de la charge de mise en conformité et d’audit, en particulier pour ce qui touche à l’authentification forte du client, lorsque celle-ci est gérée par une solution tierce.

Quels seront les impacts de ces changements ?

Les banques et autres prestataires de paiement sont incités par les changements de la DSP3 à s’échanger des informations pour lutter contre la fraude : des dispositions sont d’ailleurs prévues pour pouvoir le faire dans le respect de la RGPD.

En particulier pour la vérification du nom du détenteur du compte bénéficiaire, cela signifie que les APIs d’Open Banking devront être mises à jour pour pouvoir permettre cette vérification par la banque du payeur. A cause de la complexité de cette opération, à plus forte raison pour les paiements instantanés, l’article associé entrera en vigueur 2 ans après le reste (donc pas avant le troisième trimestre 2028).

Les utilisateurs vont aussi voir apparaitre de nouvelles fonctionnalités, et un temps d’adaptation sera nécessaire pour qu’ils se familiarisent avec ces nouveautés. Un accompagnement devra être mis en place afin de faciliter la compréhension et favoriser l’adoption de ces nouvelles fonctionnalités.

Si le texte final est publié début 2025, les entreprises du secteur des paiements auront jusqu’au troisième trimestre 2026 pour se mettre en conformité.

Il est essentiel de prendre en compte ces changements dès aujourd’hui et d’assurer une veille réglementaire pour se tenir informé des différents textes (RTS, guidelines) qui seront publiés à la fois par la commission européenne et l’Autorité Bancaire Européenne.

[1] Rapport annuel de l’Observatoire de la sécurité des moyens de paiement 2023

Cet article Transition vers la 3e Directive sur les Services de Paiements : quels impacts ? est apparu en premier sur RiskInsight.

Pour arriver à ce vote favorable, le Parlement Européen a dû faire face à de lourdes oppositions des lobbyistes, notamment certaines entreprises d’IA qui pouvaient jusqu’à présent bénéficier d’un très large panel de données d’entraînement, sans se soucier des droits d’auteurs. Certains gouvernements ont aussi tenté de faire barrage. C’est le cas de l’Etat Français, qui craignait que la réglementation puisse freiner le développement de la French Tech.

Le 9 décembre 2023, le Parlement et le Conseil tombent d’accord sur un texte, après trois jours de « pourparlers-marathon » et des mois de négociations. Un nombre quasi record de 771 amendements ont été intégrés au texte de loi, c’est plus que pour le RGPD, et c’est dire les difficultés rencontrées pour l’adoption de ce texte.

Le règlement sur l’intelligence artificielle (AI Act) est approuvé le 13 mars 2024 par le Parlement Européen, puis le 21 mai 2024 par le Conseil Européen. Il s’agit de la dernière étape du processus décisionnel européen, ouvrant la voie à la mise en application du texte. S’agissant d’un règlement, il est directement applicable à l’ensemble des pays membres de l’UE. Les prochaines échéances sont données dans la figure 6, à la fin de cet article.

Figure 1 : Chronologie de l’adoption de l’AI Act

Quels sont les acteurs concernés et les autorités de surveillance ?

L’AI Act concerne essentiellement cinq grands types d’acteurs : les fournisseurs, les intégrateurs, les importateurs, les distributeurs et les organisations utilisatrices d’IA Naturellement, les fournisseurs, les distributeurs et les organisations utilisatrices sont les plus visés par la réglementation.

Chaque état de l’UE est responsable de « l’application et de la mise en œuvre du règlement » en son sein et doit désigner une autorité de contrôle nationale. En France, la CNIL pourrait être un bon candidat¹ et a créé, en janvier 2023, un « Service de l’intelligence artificielle ».

Une nouvelle hiérarchie des risques qui amène des exigences de cybersécurité

L’AI Act définit un SIA comme un système automatisé qui est conçu pour fonctionner à différents niveaux d’autonomie et qui, à partir de données d’entrée, déduit des recommandations ou des décisions qui peuvent influencer les environnements physiques ou virtuels.

Les SIA sont classés sur quatre niveaux en fonction du risque qu’ils représentent : les risques inacceptables, les risques hauts, les risques limités et les risques faibles.

Figure 2 : Classification des risques, exigences et sanctions

1. Les SIA à risque inacceptable sont ceux engendrant des risques qui contreviennent aux valeurs de l’UE et qui portent atteinte aux droits fondamentaux. Ces SIA sont tout simplement interdits, ils ne peuvent ni être commercialisés au sein de l’UE, ni être exportés. Les différents risques jugés inacceptables et par conséquent induisant qu’un SIA soit interdit sont cités dans la figure ci-après. La commercialisation de ce type de SIA est passible d’une amende de 7% du chiffre d’affaires annuel de l’entreprise ou de 35 millions €.

Figure 3 : Les cas d’usage de risques inacceptables

2. Les SIA à haut risque présentent un risque d’impact négatif sur la sécurité ou les droits fondamentaux. On y retrouve par exemple les systèmes d’identification biométrique ou de gestion de la main-d’œuvre. Ils sont la cible de la quasi-totalité des exigences mentionnées dans le texte. Il est demandé, pour ces SIA, une déclaration de conformité et leur enregistrement dans la base de données de l’UE. De plus, ils sont soumis à des exigences en cybersécurité qui sont présentées dans la figure 4. Le non-respect des critères donnés est sanctionné à hauteur maximum de 3% du chiffre d’affaires annuel de l’entreprise ou 15 millions € d’amende.
3. Les SIA à risque limité sont les systèmes d’IA interagissant avec les personnes physiques et n’étant ni à risque inacceptable, ni à haut risque. On y retrouve par exemple des deepfakes à vocation artistique ou pédagogique. Dans ce cas, les utilisateurs doivent être informés sur le fait que le contenu a été généré par l’IA. Un manque de transparence peut être sanctionné à 7,5M€ ou 1% du chiffre d’affaires.
4. Les SIA à risque faible sont ceux qui n’entrent pas dans les catégories citées ci-dessus. Il s’agit par exemple des IA de jeux vidéo ou des filtres anti-spams. Aucune sanction n’est prévue pour ces systèmes, ils sont soumis à l’application volontaire de codes de conduite et représentent la plus grande partie des SAI actuellement utilisés en UE.

Des exigences en cybersécurité adressées aux SIA à haut risque

Bien que le règlement sur l’AI Act ne soit pas uniquement axé sur la cybersécurité, ce dernier fixe un certain nombre d’exigences dans ce domaine :

Figure 4 : Les exigences de l’AI Act en termes de cybersécurité

Nous avons identifié sept grandes catégories d’exigences cybersécurité :

Gestion des risques : Le texte impose, pour les SIA à haut risque, un système de gestion des risques qui se déroule tout au long du cycle de vie du SIA. Il doit prévoir, entre autres, l’identification et l’analyse des risques actuels, à venir et la maîtrise des risques résiduels.

Security by design : L’AI Act demande aux SIA à haut risque de tenir compte du niveau de risque. Les risques doivent être réduits « autant que possible grâce à une conception et un développement approprié ». Le règlement évoque aussi la maîtrise des boucles de rétroaction dans le cas d’un SIA qui continuerait son apprentissage après la mise sur le marché.

Documentation : Chaque SIA doit être accompagné d’une documentation technique qui prouve que les exigences indiquées dans l’annexe 4 du texte de loi sont bien respectées. En plus de cette documentation technique à l’adresse des autorités nationales, l’AI Act exige la rédaction d’un mode d’emploi compréhensible par les utilisateurs. Il contient par exemple, les mesures mises en place pour la maintenance du système et la collecte des logs.

Gouvernance des données : L’AI Act réglemente d’une part le choix des données d’entraînement² et d’autre part, la sécurité des données de l’utilisateur. Les données d’entrainement doivent être examinées de manière à ce qu’elles ne contiennent aucun biais³ ou insuffisance susceptible d’entraîner des discriminations ou d’affecter la santé et la sécurité des personnes. Ces données doivent être représentatives de l’environnement dans lequel le SIA sera utilisé. Pour la protection des données à caractère personnel, la résolution des problèmes liés à des biais (présentés plus tôt), dans la mesure où il ne peut être traité autrement, fait office de seule dérogation pour l’accès aux données sensibles (origines, convictions politiques, données biométriques ou de santé…). Cet accès est soumis à plusieurs obligations de confidentialité et à la suppression de ces données une fois le biais corrigé.

Tenue de registres : L’enregistrement automatique de journaux (logs) fait partie des exigences cyber de l’AI Act. Ces derniers doivent, tout au long de leur cycle de vie, relever les éléments pertinents pour l’identification de situations à risque et pour permettre la facilitation de la surveillance postérieure à la mise sur le marché.

Résilience : L’AI Act impose aux SIA à haut risque d’être résistants aux tentatives de personnes extérieures visant à modifier leur utilisation ou leurs performances. Le texte appuie notamment sur le risque « d’empoisonnement » des données⁴. De plus, des solutions techniques redondantes, telles que des plans de sauvegarde ou des mesures de sécurité après défaillance, doivent être intégrées au programme afin de garantir la robustesse des systèmes d’IA à haut risque.

Surveillance humaine : L’AI Act introduit une obligation de surveillance des SIA par l’être humain. Cela passe d’abord par une conception adaptée à la surveillance et au contrôle humain. Ensuite, il est imposé que la conception du modèle assure qu’aucune action ou décision ne soit prise par le responsable du déploiement sans l’approbation de deux personnes physiques compétentes, à quelques exceptions près.

Le nouveau cas des IA à usage général : des exigences particulières

Depuis la proposition de loi d’avril 2021, les négociations ont mené à l’apparition d’un nouveau terme dans le règlement : celui de GenIA ou « modèle d’IA à usage général ». Ce dernier est défini dans le texte comme un modèle d’IA qui présente une généralité significative et qui est capable d’exécuter de manière compétente un large éventail de tâches distinctes. Ces modèles forment une catégorie de SIA bien distincte et doivent répondre à des exigences particulières. Le nouveau chapitre V du règlement leur est dédié. On y retrouve principalement des obligations de transparence vis-à-vis de l’UE, des fournisseurs et des utilisateurs ainsi que le respect des droits d’auteurs. Enfin, les fournisseurs doivent désigner un mandataire responsable du respect de ces exigences.  Mais la nouvelle version de l’AI Act a également introduit une nouvelle notion : celle de GenIA à « risque systémique », qui sont les plus réglementés.

Qu’est-ce qu’un GenIA à risque systémique ?

L’AI Act définit un « risque systémique » comme « un risque à fort impact des modèles d’IA à usage général, ayant une incidence significative sur le marché de l’Union Européenne en raison de leur portée ou d’effets négatifs sur la santé publique, la sûreté, la sécurité publique, les droits fondamentaux ou la société dans son ensemble, pouvant être propagé à grande échelle. » Concrètement, un GenIA est considéré comme présentant un risque systémique s’il dispose d’une capacité de fort impact selon les critères suivants :

1. Une quantité de calcul utilisé pour son entraînement supérieur à 10^25 FLOPS⁵
2. Une décision de la Commission sur la base de divers critères définis en Annexe XIII tels que la complexité des paramètres du modèle ou sa portée parmi les entreprises et les consommateurs.

Quelles sont les mesures à mettre en œuvre ?

Si le SIA rentre dans ces catégories, il devra se soumettre à de nombreuses exigences, notamment en matière de cybersécurité.  Par exemple, l’article 55 1a) demande aux fournisseurs de ces SIA de mettre en place des essais contradictoires des modèles en vue d’identifier et d’atténuer le risque systémique. De plus, les GenIA à risque systémique doivent présenter, au même titre que les SIA à haut risque, un niveau approprié de protection en cybersécurité et une protection de l’infrastructure physique du modèle. Enfin, à l’image du RGPD avec les violations de données personnelles, l’AI Act exige, en cas d’incident grave, de contacter le Bureau de l’IA⁶ ainsi que l’autorité nationale compétente. Les mesures correctives pour remédier à l’incident doivent aussi être communiquées.

Le schéma suivant résume les différentes exigences en fonction du modèle d’IA d’usage général :

Figure 5 : Les exigences des différents modèles GenIA

Est-il possible d’alléger certaines exigences ?

Dans le cas d’un modèle d’IA à usage général ne présentant pas de risque systémique, il est possible de réduire considérablement les obligations du règlement en le rendant libre de consultation, de modification et de distribution (Open Source⁷). Dans ce cas, le fournisseur est tenu de respecter les droits d’auteurs et de mettre à disposition du public un résumé suffisamment détaillé du contenu utilisé pour entraîner le modèle d’IA.

En revanche, un GenIA à risque systémique devra forcément respecter les exigences énoncées plus haut. Cependant il est possible de demander à réévaluer son modèle d’IA en prouvant que ce dernier ne présente plus de risque systémique afin de se défaire des exigences supplémentaires. Cette réévaluation est possible deux fois par an et est validée par la Commission européenne sur des critères objectifs (Annexe XIII).

Comment se préparer à la conformité à l’AI Act ?

Pour bien se préparer, il convient de respecter l’approche par les risques qui est imposée par le texte. La première étape consiste à faire l’inventaire de ses cas d’usage, autrement dit, identifier tous les SIA que l’organisation développe ou emploie. Dans un second temps, il s’agit de classer ses SIA par niveau de risque (par exemple à travers une heat map). Les mesures applicables seront alors identifiées en fonction du niveau de risque des SIA. L’AI Act impose également la mise en œuvre d’un processus d’intégration de la sécurité dans les projets d’IA qui permet, comme pour tout projet, d’évaluer les risques du projet par rapport à l’organisation et d’élaborer un plan de remédiation de ces risques qui soit pertinent.

Pour initier la mise en conformité aux mesures applicables, il convient de démarrer par la mise à jour de la documentation et des outils existants, en particulier :

• Politiques de sécurité pour définir des exigences propres à la sécurité de l’IA ;
• Questionnaire d’évaluation de la sensibilité des projets ciblant les questions pertinentes pour les projets d’IA ;
• Librairie de scénarios de risque avec les attaques spécifiques à l’IA ;
• Librairie de mesures de sécurité à insérer dans les projets d’IA.

Quelles sont les prochaines étapes ?

Figure 6 : Chronologie de la mise en application de l’AI Act

—

¹ La CNIL et ses équivalents européens pourraient mettre à profit leur expérience afin contribuer à une gouvernance plus harmonisée (entre les États membres et entre les textes eux-mêmes).

² Données d’entrainements : Large ensemble de données d’exemples utilisées pour apprendre à l’IA à faire des prédictions ou prendre des décisions.

³ Biais : Un biais algorithmique est le fait que le résultat d’un algorithme ne soit pas neutre, loyal ou équitable que ce soit de manière inconsciente ou délibérée.

⁴ Empoisonnement des données : Les attaques par empoisonnement visent à modifier le comportement du système d’IA en introduisant des données corrompues en phase d’entraînement (ou d’apprentissage).

⁵ FLOPS : Unité de mesure de la puissance d’un ordinateur correspondant au nombre d’opérations en virgule flottante qu’il effectue par seconde, par exemple, GPT-4 a été entrainé avec une puissance de calcul de l’ordre de 10^28 FLOPs contre 10^22 pour GPT-1.

⁶ Bureau de L’IA : Organisme européen en charge de la mise en œuvre du règlement. A ce titre, il se voit confier de nombreuses tâches comme le développement d’outils ou de méthodologies ou encore la coopération avec les différents acteurs impliqués par ce règlement.

⁷ Open Source : Sont considérés en licence libre et ouverte (Open Source), les modèles d’IA qui permettent leur libre consultation, modification et distribution. Leurs paramètres et informations sur l’utilisation du modèle doivent être rendus publics.

Cet article La cybersécurité au cœur de l’AI Act : éléments clés pour la mise en conformité est apparu en premier sur RiskInsight.

Ce défi réglementaire s’étend bien au-delà des frontières chinoises et soulève des questions structurantes : comment se conformer à des réglementations locales qui divergent dans un contexte de systèmes d’information globaux et centralisés ?

Dans cet article, nous explorons des mesures technologiques pour répondre aux préoccupations de nombreuses DSI sur la loi PIPL.

1/ PIPL soulève des risques plus larges que de simples risques de non-conformité, mettant en avant une tendance de découplage des opérations

La loi PIPL s’inscrit dans la stratégie de souveraineté digitale de la Chine et soulève des impacts transverses, bien plus larges que l’IT ou la cybersécurité. Nous observons que « 80% des entreprises françaises implantées en Chine ont dû adapter leurs opérations globales en découplant certains processus en Chine »[1]. A l’origine de cette tendance, nous retrouvons des risques tels que le risque d’espionnage, celui la compromission de la propriété intellectuelle ou celui de non-conformité réglementaire.

Un processus métier découplé doit être accompagné par un découplage IT. Un découplage IT est le fait de séparer une partie d’un SI de manière à la rendre plus flexible et modulaire. Cela permet aux composants découplés de fonctionner de manière indépendante du système central.

Avant de commencer les travaux de mise en conformité à la loi PIPL, les entreprises doivent se poser 3 questions essentielles : 

• Faut-il maintenir une présence en Chine ? Un arbitrage à l’échelle du Comité Exécutif doit être fait à la lumière d’une analyse stratégique évaluant le rapport coût / bénéfice par rapport aux risques actuels. Par exemple, certains fournisseurs refusent d’étendre leurs activités en Chine pour éviter de perdre la main sur leurs codes sources ;
• Le cas échéant, faut-il découpler mon architecture IT pour atténuer les risques ? Il est essentiel de mettre en relief cette étude par rapport aux évolutions potentielles du paysage réglementaire pour assurer une conformité pérenne ;
• Comment opérer et sécuriser un système décentralisé ? Une restructuration IT et cyber est à prévoir selon les différents choix architecturaux retenus : comment gérer l’IAM ? Comment mettre en place une supervision SOC sur un système décentralisé ?

2/ Mettre en place une architecture SI « privacy-by-design »

L’hétérogénéité des règles liées au stockage et au traitement des données personnelles soulève une question : est-il possible d’adapter un SI afin de faciliter les travaux de mise en conformité ? Une architecture « privacy-by-design » est-elle réaliste ?

3 scénarios peuvent être retenus selon l’appétence au risque et le positionnement stratégique de l’entreprise :

• D’abord, nous avons notre SI centralisé (celui que nous connaissons tous). La mutualisation des ressources permet de délivrer un même service à l’échelle et des économies d’échelle sont réalisées. Néanmoins, les données chinoises doivent faire l’objet d’un transfert particulier, approuvé par la CAC (Cyberspace Administration of China). Pour encadrer et surveiller ce transfert, tous les flux entrants et sortants de Chine pourraient passer par une unique gateway (facilitant également les isolations d’urgence, tels que les Red Buttons). Le risque de non-conformité réglementaire est contrôlé au moment de la mise en place, mais peut facilement dériver dans le temps (changement opérationnel, changement applicatif, nouveau amendement chinois, etc.).
• Ensuite, nous avons un SI partiellement décentralisé (celui où l’instance applicative chinoise est découplée). Les données sont stockées et traitées en Chine avec un tenant Cloud spécifique ou une infrastructure on-premise. Des liens applicatifs persistent entre la Chine et le reste du monde et des données peuvent être transférées ponctuellement (selon les contraintes réglementaires en vigueur). Les données chinoises sont séparées du reste, facilitant la sécurisation et la confidentialité des données personnelles.
• Enfin, nous avons un SI découplé, avec une instance locale indépendante. Cette option est certainement la plus avancée, assurant le plus haut niveau de conformité. Néanmoins, cela augmente de manière drastique les coûts d’exploitation (équipes locales, infrastructures locales, etc.) : cette position est difficile à tenir si l’entreprise s’est engagée dans une réduction des coûts IT et/ou cyber. Cette architecture permet également une résilience importante en cas de crises géopolitiques, facilitant l’exécution d’un exit plan. Dans les exemples récents de tensions géopolitiques, nous pouvons citer les filiales russes Carlsberg et Danone qui ont été nationalisées par la Russie[2] [3], ou la guerre en Ukraine qui a entraîné de nombreux carve out, comme celui de Heineken[4].

Un Cloud Service Provider (CSP) est-il à privilégier en Chine ?

Alibaba Cloud a longtemps été le Cloud Provider privilégié du fait de la variété des services proposés par rapport aux CSP non chinois. Même si cette différence entre les CSP chinois et non chinois tend à se gommer, Alibaba Cloud pourrait rester le choix privilégié : en tant que prestataire chinois, ce CSP aurait tout intérêt à s’adapter rapidement à toute nouvelle exigence réglementaire chinoise.

Comment encadrer le transfert des données ?

Dans l’architecture centralisée et partiellement décentralisée, des données continuent à transiter. Selon la sensibilité des données transférées, nous pouvons mettre en place une anonymisation des données ou utiliser le confidential computing, une technologie qui gagne en maturité et qui permet de garantir la confidentialité des données durant son traitement.

Cependant, certains cas ne nécessitent pas forcément de devoir transférer des données. C’est le cas avec certaines méthodes d’apprentissage décentralisées pour l’IA qui sont « privacy-by-design » (e.g. bagging, federated learning, etc.) : les systèmes sont entraînés localement, et seul l’apprentissage est transféré.

3/ Que faire dans ce climat d’incertitude, à court et à long terme ?

Court terme : une approche pragmatique par les risques

La stratégie de conformité doit résulter d’une approche pragmatique, basée sur les risques, afin de minimiser les impacts sur les opérations. Les principales étapes sont les suivantes :

1. Inventorier toutes données impactées : quelles sont les données et leurs usages ? Comment les données sont stockées, transférées et traitées ? Comment sont gérés les droits d’accès aux données ? Y-a-t-il des dépendances externes avec des fournisseurs ?
2. Evaluer les risques associés et à leur utilisation. Le format et le contenu de l’étude doivent être aux standards de la CAC.
3. Arbitrer une stratégie de conformité : élaborer une stratégie de conformité sur les 3 scénarios détaillés dans les parties précédentes, selon la sensibilité et la criticité des données applicatives en question.
4. Mettre en œuvre des mesures techniques : mettre en place des mesures de sécurité et de confidentialité (le découplage, le chiffrement, la pseudonymisation, l’anonymisation, les contrôles d’accès, etc.)
5. Superviser et maintenir la conformité : établir un processus de suivi régulier pour maintenir la conformité avec la PIPL.

Long terme : dois-je me préparer à découpler mon SI en Chine ?

Une mise en conformité PIPL doit s’inscrire dans une stratégie long terme, considérant la variabilité des tensions géopolitiques et de la volonté de la Chine de renforcer son contrôle sur la protection des données et sa souveraineté digitale.

Nous observons une densification et une cybersécurité sur ces dernières années, rappelant l’un des futurs envisagés par le Campus Cyber[5]. L’ultra-réglementation, liée au durcissement réglementaire dans un objectif de restauration de la confiance numérique, aboutirait à des incompatibilités réglementaires et à de nombreuses non-conformités ou amendes.

Heureusement, nous ne sommes pas encore à ce stade. Il faut cependant anticiper cette tendance : la mise en conformité PIPL doit être une étude de cas faisant partie d’une réflexion approfondie sur le découplage (à des niveaux de séparation variables en fonction des situations). Cette tendance de découplage pourrait devenir essentielle à plus large échelle d’ici une dizaine d’années.

[1] CCI France CHINE : Enquête sur les entreprises en Chine, Printemps 2022 https://www.ccifrance-international.org/le-kiosque/n/enquete-sur-les-entreprises-francaises-en-chine-printemps-2022.html#:~:text=Enqu%C3%AAte%20sur%20les%20entreprises%20fran%C3%A7aises%20en%20Chine%20%2D%20Printemps%202022,-25%20mai%202022&text=Avec%20p.

[2] Le Monde, 26/07/2023, « Danone : comment le piège russe s’est refermé sur le géant français des produits laitiers » https://www.lemonde.fr/economie/article/2023/07/26/danone-comment-le-piege-russe-s-est-referme-sur-le-geant-francais-des-produits-laitiers_6183438_3234.html

[3] Le Temps, 19 juillet 2023, « Après Danone et Carlsberg, la Russie se dirige vers la nationalisation d’autres filiales de groupes étrangers » https://www.letemps.ch/economie/apres-danone-et-carlsberg-la-russie-se-dirige-vers-la-nationalisation-d-autres-filiales-de-groupes-etrangers

[4] Les Echos, 25 août 2023, « Heineken se retire définitivement de Russie » https://www.lesechos.fr/industrie-services/conso-distribution/heineken-se-retire-definitivement-de-russie-1972549

[5] Horizon Cyber 2030 : perspectives et défis, Campus Cyber https://campuscyber.fr/resources/anticipation-des-evolutions-de-la-menace-a-venir/

Cet article PIPL : le découplage des systèmes d’information, une nécessité pour être en conformité avec des lois locales protectionnistes ? est apparu en premier sur RiskInsight.

Votre entreprise exerce ses activités en Chine. Vous compilez des données à caractère personnel concernant vos collaborateurs chinois et les transférez à votre siège social à des fins de ressources humaines. Vous collectez également des informations personnelles sur les clients chinois qui achètent des produits sur votre site web et les rendez accessibles aux métiers situés en dehors de la Chine. Depuis l’entrée en vigueur de la loi chinoise sur la protection des données personnelles (PIPL) en novembre 2021, vous vous demandez peut-être constamment si vos transferts de données hors des frontières chinoises sont conformes à la réglementation chinoise en matière de protection de la vie privée.

Un système de lois complexe et incertain gouvernant les transferts de données hors du territoire chinois

En fait, la loi PIPL n’est qu’une des nombreuses lois chinoises sur la protection des données.  Elle s’ajoute à la loi chinoise sur la cybersécurité (CSL, 2017) et à la loi chinoise sur la sécurité des données (DSL, 2021). Elle s’applique à toute organisation traitant des informations personnelles identifiables provenant de Chine, en Chine et à l’étranger. Sous la PIPL, les transferts internationaux de données ne sont possibles qu’avec un accord de l’Administration du cyberespace de la Chine (CAC). L’article 38 de la PIPL propose quatre façons d’obtenir cet accord, certaines d’entre elles étant ensuite complétées par cinq mesures et lignes directrices supplémentaires (2022-2023)[1] détaillant comment se conformer et qui est concerné.

En résumé, si vous vous engagez dans le transfert international d’un volume relativement faible d’informations personnelles, vous avez deux options : vous faire certifier par une institution désignée conformément aux règlements de la CAC, ou signer un contrat avec le destinataire étranger des données conformément au contrat type formulé par la CAC.

Dans d’autres cas, vous devez passer une évaluation de sécurité organisée par la CAC. Il s’agit de la norme de conformité la plus élevée. Elle s’applique aux entreprises qui sont des opérateurs d’infrastructures d’information critiques (CIIO), qui traitent les données personnelles de plus d’un million de personnes, qui exportent les données personnelles de 100 000 personnes ou les données personnelles « sensibles » de 10 000 personnes, ou qui exportent des données « importantes ». Cela laisse une marge d’interprétation à la CAC, qui peut qualifier n’importe quelle donnée « d’importante ». De plus, dans tous les cas précédemment mentionnés, la CAC se réserve le droit d’examiner tous les transferts de données hors du territoire chinois et de les interrompre sur la base d’un large spectre de raisons.

En plus d’un paysage réglementaire complexe et en constante évolution qui laisse aux autorités chinoises de nombreuses possibilités de s’opposer à un transfert de données, vous devez aussi tenir compte de deux points clefs sur votre route vers la conformité.  Premièrement, les procédures pour obtenir l’approbation de la CAC peuvent prendre du temps, en particulier l’évaluation de sécurité. Deuxièmement, même si vous parvenez à obtenir l’approbation de la CAC pour un transfert de données, vous devez également obtenir le consentement des personnes dont les données sont transférées (article 39 de la LPRP).

Avec toutes ces informations, il est possible que vous ayez été confus lors du draft de votre stratégie de conformité à la loi PIPL. Aujourd’hui encore, vous ne savez peut-être pas si vos transferts de données sont conformes, ni même si la conformité est possible.

Un assouplissement prochain des exigences en matière de transfert de données hors de la Chine

Les autorités chinoises ont récemment reconnu les difficultés rencontrées lors de l’exportation de données depuis la Chine. Le conseil des affaires de l’État Chinois a officiellement identifié les transferts de données hors des frontières chinoises comme l’un des 24 domaines à améliorer pour attirer des investissements étrangers en Chine[2]. Par conséquent, en septembre 2023, la CAC a publié une proposition d’exemptions du mécanisme de transfert international de données[3].

Vous pourriez être libéré des procédures de l’article 38 précédemment mentionnées (évaluation de sécurité, certification ou contrat spécifique) dans les cas suivants, qui ont fait l’objet d’un débat public jusqu’à la mi-octobre :

• Vous pourriez transférer des données concernant vos collaborateurs en Chine si cela est nécessaire pour la gestion des ressources humaines, conformément à la loi et aux contrats collectifs légalement définis.
• Vous pourriez transférer des données concernant vos clients en Chine afin de conclure et d’exécuter un contrat client : commerce en ligne, transfert de fonds, réservation de billets d’avion, obtention d’un visa, etc.
• Vous pourriez transférer des données à caractère personnel depuis la Chine afin de protéger la vie, la santé et la sécurité des personnes et des biens en cas d’urgence.
• Vous ne devriez effectuer une évaluation de sécurité de la CAC que pour :
  • Le transfert de données de plus d’un million de personnes, probablement au-delà des cas mentionnés ci-dessus.
  • Le transfert de données « importantes », sachant que les données ne sont pas considérées comme « importantes » sauf si vous avez été officiellement notifié du contraire.

C’est une très bonne nouvelle. Cela veut dire que dans de nombreux cas vous pourriez continuer à transférer des données depuis la Chine sans charge administrative et sans risquer la non-conformité et les amendes qui en découlent.

Toutefois, on ne sait pas encore quand ces exceptions seront adoptées, si elles le sont, ni à quoi ressemblera la liste finale. Par ailleurs, le CAC a mis en évidence deux problèmes auxquels vous seriez toujours confrontés. Tout d’abord, le consentement spécifique des personnes dont les données sont transférées hors de la Chine serait toujours requis en vertu de la PIPL dans les cas où le consentement est la base juridique du traitement des données – ce qui pourrait s’appliquer à la plupart des traitements en dehors de l’exécution d’un contrat. Deuxièmement, et surtout, la CAC conserverait le droit de contrôler tous les transferts de données hors de la Chine, d’enquêter sur les transferts à haut risque et même de les interrompre complètement.

Ainsi, si vous pensiez pouvoir bientôt à nouveau transférer une bonne partie de vos données générées en Chine à l’international sans contraintes, vous vous trompez probablement.

Garder les données en Chine, la solution la plus sûre à long terme

À partir de toutes ces informations, comment préparer une bonne stratégie de mise en conformité avec les lois chinoises sur la protection des données personnelles ?

Sur le plan juridique, vous êtes confrontés à des lois complexes à comprendre, en constante évolution et sujettes à interprétation par les autorités. Contrairement au RGPD, vous ne pouvez pas savoir si vous êtes en conformité dès maintenant, et encore moins dans les mois et années à venir.

À cela s’ajoute le point de vue technique : dans les entreprises globalisées, l’information circule. Les données résident à la fois dans des plateformes globales de gestion de ressources humaines ou des clients, et dans des systèmes locaux interconnectés. Le simple fait d’identifier toutes les informations personnelles et de déterminer les flux de données associés constituera un véritable défi avant de pouvoir discuter de mesures de protection spécifiques.

De plus, n’oublions pas que les enjeux sont élevés : en cas de non-conformité, le CAC peut restreindre vos transferts de données, infliger des amendes à votre entreprise et à ses dirigeants, voire forcer la fermeture de votre entreprise en Chine.

Vous devriez profiter du fait que la CAC est actuellement concentrée à adapter plutôt qu’à appliquer son règlement sur la protection des données pour considérer une stratégie de conformité à long terme. Cette stratégie peut consister à s’assurer que les données générées en Chine restent en Chine au lieu d’être systématiquement transférées vers votre siège.

Il est indéniable que la Chine vise, au long terme, la souveraineté numérique. Parmi les nombreuses lois implémentées dans différents pays afin de réguler le cyberespace et protéger les données personnelles, la PIPL est unique en ce qu’elle remet en cause de manière significative le modèle du système d’information des entreprises globales, qui consiste en une informatique centralisant les informations de tous les sites. Mais dans un monde où les tensions géopolitiques s’intensifient, on peut s’attendre à ce que les appels au protectionnisme informatique se multiplient.

Par conséquent, vous devriez considérer vos réflexions sur la stratégie de mise en conformité PIPL comme une étude de cas pour le découplage de votre système d’information, auquel vous pourriez bientôt être confrontés à plus grande échelle.

[1] 2022: Measures of Security Assessment for Data Export

2022: Practice Guide for Cybersecurity Standards – Outbound Transfer Certification Specification V2.0 for Cross-border Processing of Personal Information (Exposure Draft)

2023: Information Security Technology – Certification Requirements for Cross-border Transmission of Personal Information (Exposure Draft) 

2023: Measures on the Standard Contract for Outbound Transfer of Personal Information

2023: Guidelines for Filing of Standard Contract for Outbound Transfer of Personal Information (First Edition)

2023: Regulations on Standardizing and Promoting Cross-Border Data Flows

[2]  国务院关于进一步优化外商投资环境加大吸引外商投资力度的意见

[3] Provisions on Standardizing and Promoting Cross-Border Data Flows (Draft for Comment) 

Cet article L’impact de l’évolution de la loi PIPL sur votre stratégie de conformité de protection des données personnelles est apparu en premier sur RiskInsight.

Une densification et une complexification du paysage réglementaire cybersécurité

Les premières tentatives de réglementations en matière de protection des données à caractère personnel et de cybersécurité restent partielles jusqu’au début des années 2000. Elles sont alors initiées essentiellement par les Etats-Unis et l’Union Européenne. Elles sont d’abord axées sur la protection des données à caractère personnel, en France avec la Loi Informatique et Libertés (1978) et aux Etats-Unis avec des réglementations sectorielles :  le Privacy Act (1974) pour le secteur public, le Health Insurance Portability and Accountability Act pour le secteur de la santé (1996) et le Gramm–Leach–Bliley Act (1999) pour le secteur financier.

Les premières réglementations cybersécurité ont ensuite vu le jour au début des années 2000 dans le secteur financier et visaient à améliorer la sécurité des services fournis. Parmi les réglementations notables, on peut citer le Sarbanes-Oxley Act (2002), aux Etats-Unis, renforçant la transparence des entreprises en matière de contrôle interne ainsi que la Directive sur les Services de Paiement (2007), au sein de l’Union Européenne, qui règlemente la sécurité des paiements et des opérations en ligne.

Depuis le début des années 2010, des réglementations plus structurantes ont émergé pour constituer un premier socle réglementaire cyber, toujours dans les mêmes régions. Ces réglementations sont principalement centrées sur la protection des infrastructures critiques, avec en France la Loi de Programmation Militaire de 2013-2018 (2013), aux Etats-Unis le National Cyber Security and Critical Infrastructure Protection Act (2014), mais aussi la directive Network and Information Security 1 (2016) promulguée par l’Union Européenne.

Ce n’est qu’à la fin des années 2010 que la volonté de réglementer l’espace cyber devient plus globale. Alors que de nombreux pays ont emboîté le pas des Etats-Unis et de l’Union Européenne, des réglementations cyber plus contraignantes émergent également, engendrant des impacts en profondeur sur les systèmes d’information. Cela se manifeste à travers l’arrivée de réglementations majeures sur la protection des données à caractère personnel à travers le monde : le Règlement Général sur la Protection des Données (RGPD, 2018) en Europe, le California Consumer Privacy Act (CCPA, 2020) en Californie, la Loi pour la Protection des Données personnelles (LGPD, 2020) au Brésil, la Personal Information Protection Law (PIPL, 2021) en Chine, ou encore le Personal Data Law (2022) en Russie.

D’autres réglementations visant à protéger les systèmes d’informations se multiplient, avec la Cybersecurity Law en Chine (2017), la Réglementation Cybersécurité NYCRR 500 pour l’Etat de New-York (2017), ou encore la nouvelle mouture de la Directive NIS (2023) et DORA en Europe.

Evolution du paysage réglementaire cybersécurité[2]

À ce paysage réglementaire cybersécurité complexe vient par ailleurs s’ajouter un vaste écosystème d’exigences et standards cybersécurité, avec différents niveaux de contraintes : des exigences réglementaires issues de réglementations cyber ou non, à valeur obligatoire, des recommandations ou encore des exigences ayant valeur de contrat. Dans ce contexte, il est nécessaire de bien identifier l’ensemble des exigences applicables et le niveau de contrainte qu’elles imposent.

Typologies d’exigences et standards cybersécurité, au-delà des réglementations cyber

Une stratégie de conformité réglementaire cybersécurité à adapter au nouveau paradigme

Face à la complexification du paysage réglementaire cybersécurité de par le monde, la conformité ne peut être pensée uniquement comme une conformité totale à l’ensemble des exigences réglementaires applicables. Face à des exigences pointues et coûteuses à appliquer, voire parfois contradictoires, il devient nécessaire de mettre en place des stratégies de conformité cyber basées sur les risques. Leur définition sera basée sur l’étude du niveau de conformité réglementaire de l’existant, sur l’évaluation de l’effort et de la complexité des mesures devant être déployées pour la mise en conformité à chaque réglementation, mise au regard des risques associés à de potentielles non-conformités, tant en termes de sanctions qu’en termes de protection du SI. Cette analyse, loin de vouloir échapper à la loi, vise à bien identifier le bénéfice/risque des activités et peut conduire à réorienter des activités, limiter leurs périmètres, ou encore agir de concert avec l’écosystème pour faire évoluer les exigences.

Afin de mettre en œuvre une telle stratégie, il est d’abord essentiel d’identifier l’ensemble des réglementations applicables et de mettre en place une veille réglementaire permettant de suivre l’évolution des réglementations et les actualités associées. Une organisation à deux niveaux doit ensuite être mise en place afin d’assurer le pilotage de la conformité réglementaire cyber.

Un premier niveau de pilotage global visant à disposer d’une vue d’ensemble haut-niveau : une analyse globale du niveau de conformité cyber doit être réalisée. Elle pourra s’appuyer sur un référentiel cybersécurité reconnu tel que NIST ou ISO 27001 pour les exigences sécurité. Pour les exigences relatives à la protection des données à caractère personnel, le RGPD est un bon socle puisque l’essentiel des réglementations sur cette thématique à l’international en sont dérivées. Le NIST privacy et les normes ISO privacy constituent également des référentiels solides en la matière. Ces référentiels pourront être mappés avec les principales réglementations applicables et on pourra tirer parti des synergies existantes entre les réglementations, comme l’illustrent les deux exemples ci-dessous.

Pour compléter cette analyse, un plan d’audit devra être déroulé afin d’évaluer plus précisément la conformité aux réglementations locales clés.

Un deuxième niveau de pilotage « local », à l’échelle géographique ou métier, visant à assurer la conformité réglementaire locale dans chacune des régions où le groupe est présent. Cela nécessite tout d’abord la mise en place d’une veille locale afin d’identifier et de connaître précisément les réglementations et les actualités associés. Cela passe ensuite par l’analyse détaillée du niveau de conformité aux réglementations locales, l’identification des spécificités et des besoins pour assurer le bon niveau de conformité, et la remontée de ces éléments au groupe pour assurer le pilotage global des actions de conformité.

Des réglementations protectionnistes questionnant le besoin de découplage des systèmes d’information

Être conforme à une multitude de règlementations cybersécurité devient un véritable défi pour les entreprises présentes à l’international et disposant d’un système d’information centralisé. Cela s’explique par l’empilement de ces réglementations avec parfois des dispositions incompatibles ou contradictoires entre certaines réglementations, mais aussi en raison de l’émergence d’exigences engendrant des impacts en profondeur sur les systèmes d’information.

C’est entre autres le cas de la réglementation PIPL en Chine, et en particulier son article 40 qui prévoit que le transfert de données hors de Chine sera autorisé seulement si leur traitement est conforme à l’évaluation de sécurité établie par l’administration chinoise. Cette réglementation sera applicable au-delà d’un certain volume de données à caractère personnel (pas encore spécifié par les autorités chinoises).

Des incompatibilités entre les réglementations ont également vu le jour entre les Etats-Unis et l’Union Européenne. Cette situation est illustrée par l’invalidation du Privacy Shield [3] américain par la Cour de Justice de l’Union Européenne, ses arrêts Schrems remettant en question la capacité des hébergeurs Cloud américains à traiter les données personnelles de leurs clients européens conformément aux exigences européennes.

Dans ce contexte de renforcement des exigences de cybersécurité et de protection des données à caractère personnel, exacerbé par les volontés protectionnistes de certains Etats, il peut devenir nécessaire d’étudier les besoins de découplage des systèmes d’information globalisés et centralisés en considérant la séparation en plusieurs zones géographiques, qui pourraient être :

• Une zone comprenant les Etats-Unis et le Royaume-Uni ;
• Une deuxième zone centrée sur la Chine ;
• Une troisième zone composée de l’Union Européenne et les pays adéquats[4] au sens du GDPR.

Selon leur réalité réglementaire et les évolutions potentielles, les autres pays ou régions pourraient être rattachés à l’une ou l’autre de ces trois zones.

À l’avenir, les systèmes d’information de ces différentes zones pourraient s’appuyer plus largement sur les clouds souverains qui sont en cours de développement.

Des contraintes qui peuvent même exhorter à l’arrêt de l’activité dans une région

Nous observons même l’arrêt ou le décalage de lancement d’activités de plusieurs entreprises dans certains pays où les contraintes réglementaires et risques de sanctions associés sont trop importants au regard des enjeux métiers et de la stratégie de l’entreprise. C’est notamment le cas dans certains Etats des Etats-Unis, et en Europe, où certains grands acteurs freinent leur développement à cause du RGPD (exemple de l’open AI/ Bard de Google, encore le lancement de Thread par Meta).

Perspectives : quelles évolutions en 2023 et après ?

Le paysage réglementaire, complexe comme évoqué précédemment, va continuer à s’étoffer dans les mois et les années à venir. A la fois sur des sujets nouveaux (IA, sécurité des produits) comme sur des pans existants, comme les infrastructures critiques.

Sur le volet « infrastructure critique », après de premières phases de réglementations centrées sur la protection des données à caractère personnel, les autorités ont veillé à la protection des infrastructures critiques, qui se poursuit avec notamment la directive NIS 2. Adoptée le 10 novembre 2022 et bientôt transposée en droit français, elle vise à réduire les disparités entre les Etats membres, renforcer la cybersécurité dans un contexte de digitalisation croissant et établir des mesures de sécurité pour améliorer le niveau de sécurité des infrastructures critiques au sein des Etats membres de l’UE.

Une nouvelle phase se profile désormais, durant laquelle les réglementations se concentreront sur la sécurité des produits numériques, avec en particulier :

• L’AI Act, réglementation européenne visant à définir un référentiel commun pour le développement et l’utilisation de l’Intelligence Artificielle (IA). Dans un contexte d’accélération fulgurante des usages de l’IA, de nouvelles réglementations devraient également émerger de par le monde, et notamment en Chine où des mesures ont d’ores-et-déjà été prises et ont entraîné la fermeture de 55 applications et 4200 sites entre janvier et mars 2023[5].
• Le Cyber Résilience Act (R.A), réglementation européenne elle aussi, qui vise à renforcer le niveau de sécurité des produits numériques en imposant des mesures à respecter par les constructeurs dès la conception des produits. Sans compter l’annonce récente par la Maison Blanche de l’initative « Cyber trust mark » ciblant le même objectif mais avec une approche différente[6].

L’enjeu réglementaire n’est donc pas près de réduire et les équipes cyber doivent s’y préparer. Il sera, a minima, nécessaire de renforcer les liens avec les métiers concernés et également avec les équipes juridiques. Les entreprises les plus matures dans le domaine ont créé des pôles juridiques au sein même des équipes cyber, pour échanger avec les différents services juridiques. Ceci n’est pas forcément nécessaire en fonction de l’organisation de chaque structure, mais peut aussi être un gage de mobilisation important.

Dans tous les cas, l’enjeu sera pour les entreprises d’arriver à transformer ces exigences réglementaires, souvent obligatoires, en un avantage concurrentiel dans leurs activités, en ne faisant pas de la conformité punitive, a minima, mais bien en s’emparant du sujet et en faisant un acte de transformation de ces pratiques qu’elle pourra valoriser extérieurement.

[1] https://blog.checkpoint.com/2023/01/05/38-increase-in-2022-global-cyberattacks/

[2] Liste non exhaustive des réglementations cyber

[3] https://www.cnil.fr/fr/invalidation-du-privacy-shield-les-suites-de-larret-de-la-cjue

[4] Pays en adéquation avec le niveau de protection requis par l’UE https://www.cnil.fr/fr/la-protection-des-donnees-dans-le-monde

[5] https://www.01net.com/actualites/comment-les-lois-chinoises-tres-strictes-risquent-de-nuire-a-lia-made-in-china.html

[6] https://arstechnica.com/information-technology/2023/07/the-cyber-trust-mark-is-a-voluntary-iot-label-coming-in-2024-what-does-it-mean/

Cet article Paysage réglementaire cyber : enjeux et perspectives est apparu en premier sur RiskInsight.

Définition du vote électronique

Le vote électronique est un système de vote dématérialisé, à comptage automatisé, dans lequel les électeurs utilisent des dispositifs électroniques pour enregistrer leur vote.

Le système peut être utilisé à distance, comme dans le cas du vote par internet, ou en personne, comme dans les bureaux de vote équipés de machines à voter.

Quelques utilisations en France

Les premières traces datent de…  1969 !

Le ministre de l’Intérieur Raymond Marcellin fait autoriser l’utilisation de machines à voter 100% mécaniques[i]. En raison de pannes importantes et de la non-diminution des fraudes, ces machines tombent en désuétude, mais la modification faite au code électoral reste.

Une utilisation lors des élections professionnelles

Lors des élections professionnelles du secteur publique de 2018, 5,15 millions d’agents publics ont été appelés à voter via une solution de vote électronique.

En 2022, 5,6 millions d’agents publics des trois versants de la fonction publique sont appelés à voter pour leurs représentants syndicaux au sein des instances représentatives. Le scrutin a eu lieu du 1er au 8 décembre 2022. Il est unique à plus d’un titre : généralisation du vote électronique dans la fonction publique de l’État et mise en place de nouvelles instances de dialogue social[ii].

Des expérimentations en cours pour le vote des Français de l’étranger

Pour les élections de 2017, le Ministère des Affaires Étrangères et du Développement International a mis au point une plateforme de vote en ligne aux français de l’étranger pour les élections législatives.

Quels scrutins ont lieu dans les organisations françaises ?

Dans le secteur privé, depuis 2018 les élections des membres de la délégation du personnel des comités sociaux et économiques (CSE) sont obligatoires pour les entreprises de plus de 11 salariés, à bulletins secrets[iii].

Dans la fonction publique et certaines entreprises du secteur parapublic, il existe aussi des élections à des commissions paritaires ou des commissions techniques paritaires.

Dans tous les cas, l’employeur doit informer tous les quatre ans (sauf accord de branche prévoyant une durée plus courte, comprise entre deux et quatre ans) le personnel par affichage de l’organisation des élections.

Fonctionnement du vote électronique dans un contexte d’élections professionnelles

Avant le vote, l’employeur doit convoquer les élections professionnelles en précisant la date, le lieu et les modalités de scrutin (papier, électronique, ou hybride).

L’organisation des élections repose généralement sur un ou plusieurs bureaux de vote centralisateurs et des bureaux de vote régionaux, selon le volume de scrutins et d’électeurs. Les membres des bureaux sont formés, la solution est recettée, et des élections de tests sont réalisées.

Une fois la solution validée elle est passée en production, et l’élection peut débuter :

1. Les listes électorales sont établies, les syndicats ou les salariés peuvent vérifier et signaler toute erreur ou omission.
2. Les candidats peuvent faire campagne auprès des électeurs et présenter leur programme.
3. Le jour de l’ouverture du scrutin, la solution est scellée en utilisant des clefs de chiffrement privées détenues aux 1/3 par l’administration et aux 2/3 par les organisations syndicales.
4. Les électeurs votent ensuite selon le calendrier prescrit, les bureaux suivent l’émargement et assistent les électeurs, la cellule de supervision contrôle le bon déroulement et gère les incidents éventuels, et le prestataire de vote est mobilisé au besoin.
5. Le jour de la clôture des élections, l’intégrité de l’urne est contrôlée, puis le descellement est opéré par l’administration et les organisations syndicales.
6. Le dépouillement des votes est ensuite effectué sous le contrôle des bureaux de votes centralisateurs.
7. Les résultats des élections doivent être communiqués aux électeurs, affichés publiquement et transmis à l’inspecteur du travail.
8. L’urne est à nouveau scellée, et toute la solution (copie des programmes sources et des programmes exécutables, matériels de vote, fichiers d’émargement, de résultats et de sauvegarde et fichiers qui conservent la trace des interventions sur le système) est archivée sous scellés pendant 2 ans minimum.
9. En cas de contestation, un recours peut être déposé auprès de l’inspecteur du travail ou du tribunal d’instance.

Les enjeux du vote électronique

Opportunités

Facilité de mise en œuvre du scrutin

Le vote électronique est généralement plus efficient à mettre en œuvre que le vote papier, il nécessite moins de travail manuel pour la préparation (impression des affiches de propagande, logistique…), le dépouillement et la communication des résultats. Cela entraîne une réduction des coûts et une amélioration de l’efficacité du processus électoral.

Réduction de l’empreinte carbone

Le vote électronique réduit grandement la dépendance à l’impression papier pour les listes électorales, les documents de propagande, et surtout les bulletins de vote. Il permet également de réduire drastiquement les déplacements en fonction de l’organisation géographique de l’entité organisatrice des scrutins.

D’après une étude de la société Kercia[iv], l’empreinte carbone d’un vote par courrier est plus de deux fois supérieure à celle d’un vote électronique.

Maximisation de la participation et instances élues avec une base électorale plus élargie

Le vote électronique permet une participation plus importante des électeurs.

Une étude menée en Suisse en 2011 a montré que le taux de participation a augmenté de 2,2 %[v] dans les cantons qui ont mis en place le vote électronique par rapport à ceux qui n’ont pas utilisé cette méthode. De même, une étude menée en Estonie en 2014 a montré que l’utilisation du vote électronique avait augmenté la participation électorale de 3 à 4 %[vi].

Les électeurs peuvent voter à distance sans avoir à se déplacer physiquement jusqu’au bureau de vote. Cela peut augmenter la participation des électeurs, en particulier dans un contexte de généralisation du télétravail post-COVID-19.

Accords empreints d’une plus forte assise démocratique

Le vote électronique peut aider à renforcer le dialogue social en permettant une participation plus large et plus accessible des électeurs. Les résultats des élections sont mécaniquement plus probants en augmentant la participation aux scrutins.

Risques

Altération des résultats

Les systèmes de vote électronique peuvent être vulnérables à des attaques de vol de comptes électeur, de vote multiple à un même scrutin par le même électeur, ou encore de compromission des bulletins.

Protection des données personnelles

La mise en œuvre de plateformes de vote électronique doit prendre en compte le risque de collecte excessive de données personnelles sensibles telles que les opinions politiques des électeurs.

Les informations personnelles des électeurs peuvent également être stockées sur des serveurs vulnérables, exposant ces données à des risques de compromission du secret du vote ou de fuites de données.

Transparence des opérations de vote

Il peut être difficile à chaque partie prenante de comprendre comment les votes sont enregistrés et comment les résultats sont compilés, entraînant une méfiance vis-à-vis de la solution et des résultats des élections.

Ces risques doivent être pris en compte et remédiés afin d’en réduire drastiquement la probabilité d’occurrence et/ou leur impact sur le bon déroulement des élections.

Comment se conformer à la réglementation ?

Délibération CNIL 2019-053 du 25 avril 2019

La délibération CNIL n°2019-053 du 25 avril 2019[vii] simplifie et précise les textes de 2010 et 2018. Le processus est le suivant :

1. Choix du niveau de sécurité (1, 2 ou 3) en fonction d’un questionnaire mis à disposition par la CNIL[viii].
2. Mise en place d’une plateforme de vote de test (iso-production) en amont des élections, avec appui de l’expert indépendant en cas de questions relatives à la conformité des choix techniques et organisationnels à arbitrer.
3. Expertise indépendante de la solution visant à évaluer la conformité de la solution aux objectifs de sécurité : selon le niveau de risque défini, les objectifs de sécurité sont plus ou moins stricts. Ceux-ci s’additionnent, par exemple en cas de niveau de risque défini à 3, les objectifs de niveaux 1, 2 et 3 doivent être atteints.

Décret 2011-595 (secteur public)

Une réglementation vient s’ajouter à la délibération CNIL 2019-053 pour la fonction publique et certaines entreprises du secteur parapublic[ix] :

En complément des objectifs de sécurité CNIL, 18 articles composant ce décret doivent être respectés et contrôlés par l’expert indépendant. Les points de contrôle incluent par exemple :

• « Au moins 2/3 des clés sont attribuées aux délégués de liste et au moins 1 clé est attribuée au président du bureau de vote ou à son représentant »
• « Le scellement est effectué par la combinaison d’au moins 2 clés de chiffrement, dont celle du président du bureau de vote ou de son représentant et celle d’au moins un délégué de liste »
• « Un procédé garantit que la liste d’émargement n’est modifiée que par l’ajout d’un émargement, qui émane d’un électeur authentifié réalisant le vote »
• « Chaque électeur reçoit au moins quinze jours avant le premier jour du scrutin un moyen d’authentification lui permettant de participer au scrutin – la confidentialité de ce moyen d’authentification doit être garanti »
• « Un procédé garantit que l’urne électronique n’est modifiée que par le vote d’un électeur authentifié »

Expertise indépendante

Obligation

« Tout responsable de traitement mettant en œuvre un système de vote par correspondance électronique, notamment via Internet, doit faire expertiser sa solution par un expert indépendant, que la solution de vote soit gérée en interne ou fournie par un prestataire. » – Délibération CNIL 2019-053

Modalités

Quand ?

Cette expertise doit être réalisée :

• Avant la mise en place du système de vote électronique
• En cas de modification de la conception du système de vote électronique déjà en place
• A chaque nouveau scrutin utilisant le système de vote électronique, même s’il a déjà été expertisé

Par qui ?

Par un expert indépendant, qui doit :

• Être un informaticien spécialisé dans la sécurité
• Ne pas avoir d’intérêt dans la société qui a créé la solution de vote ni dans l’organisme responsable de traitement
• Posséder si possible une expérience dans l’analyse des systèmes de vote, en ayant expertisé les systèmes de vote d’au moins deux prestataires différents.

Pourquoi ?

Pour garantir le respect des principes fondamentaux qui commandent les opérations électorales :

• Le secret du scrutin
• Le caractère personnel et libre du vote
• La sincérité des opérations électorales
• La surveillance effective du vote par la commission électorale
• Le contrôle a posteriori par le juge de l’élection

Démarche de travail type

Notre vision de l’expertise indépendante est illustrée par les grandes étapes décrites dans ce chapitre.

Initialisation et cadrage

Pour initier la mission, une réunion de lancement est organisée avec les interlocuteurs projet.

Cette réunion a pour objectifs de présenter les équipes, définir les jalons et le planning projet, préciser les modalités de suivi de la prestation, les modalités de communication entre les parties (chiffrement des échanges, etc.), recueillir l’existant via collecte de la documentation, et mettre en place la comitologie.

Audit de la solution et accompagnement en expertise

Cette phase centrale de l’expertise s’appuie sur une démarche d’analyse théorique et pratique :

• Contrôle de la documentation projet et du cahier des charges
  • Il s’agit dès la phase « papier » de s’assurer que tous les points de conformité sont présents et en adéquation avec la règlementation en vigueur :technologies utilisées et mises à jour de ces dernières, hébergement de la solution, sécurité physique, architecture et haute disponibilité, cloisonnement entre les scrutins, techniques de scellement et chiffrement, moyen de constitution, corrélation, communication et suppression des listes électorales, schéma d’authentification des électeurs…
• Accompagnement en expertise et avis sécurité
  • Il s’agit d’apporter une expertise ponctuelle sur des sujets relatifs au cadre légal et règlementaire lors de la phase de conception et d’implémentation de la solution et des processus (ex : choix des facteurs d’authentification, processus de conservation des clefs de scellement, etc.)
• Audit technique de la solution
  • Revue d’architecturevisant à contrôler la conformité du cloisonnement physique et logique, de la sécurisation des flux, de l’hébergement, de la haute disponibilité, etc.
  • Audit de l’organisation et des processus tels que le scellement, la communication des authentifiant, l’archivage, etc.
  • Revue de configuration technique des serveurs-clefs de la solution
  • Audit du code source et des mécanismes de chiffrement de la solution en s’appuyant entre autres sur le RGS[x] (Référentiel Général de Sécurité)
  • Tests d’intrusion en boite noire et en boîte grise des portails de vote et du back-office de supervision

Observation des élections-test

Cette phase vise à simuler une élection afin de contrôler la bonne application du protocole et des processus vérifiés en amont à l’épreuve du terrain :

• Validation du processus de contrôle de conformité
  • Lors de cette étape, le but est de vérifier que la technique utilisée pour la vérification de la non-altération du système (prise d’empreinte) fonctionne
• Contrôles de la solution en situation de terrain
  • Il s’agit de s’assurer, in vivo, que l’ensemble des points évoqués en matière de sécurité et règlementation sont bien en place, par exemple au travers de l’analyse des journaux applicatifs et système, ou des contrôles « aléatoires » : présence de fichiers temporaires contenant des informations sensibles, capacité à collecter des données, etc.
• Appui en expertise lors du déroulement du vote et aide à l’adaptation de procédures en cas d’imprévus

Accompagnement lors de l’élection réelle

Les mêmes contrôles que durant les élections-tests sont réalisés, et spécifiquement :

• Contrôle d’intégrité du système : Prise d’empreinte des briques essentielles du système (librairies, code, bibliothèques de chiffrement, etc.) et comparaison des empreintes avec celles obtenue pré-scrutin
• Respect du cadre règlementaire: Processus de scellement, accès et utilisation des clés de chiffrement/déchiffrement, processus de dépouillement, etc.

Quels écueils et comment les éviter ?

Accès limité aux systèmes

Le contexte de marché à forte expertise des solutions de vote peut pousser les éditeurs à être réticents à partager des informations confidentielles sur leur technologie tels que le code source, dans une logique de protection du secret industriel, ce qui peut limiter la capacité des experts à évaluer la conformité du système.

Afin d’éviter cet écueil, il est essentiel de mettre en œuvre une communication régulière et une transparence totale des actions de l’expert indépendant. Des garanties doivent être fournies quant à la protection de la confidentialité des données recueillies et traitées via des processus et un SI certifié SMSI ou II 901 [xi]Diffusion Restreinte).

Par ailleurs, nous recommandons aux experts indépendants de faire preuve de souplesse dans l’organisation, par exemple en acceptant de consulter le code source exclusivement au sein des locaux de l’éditeur.

Il est enfin à rappeler que la délibération CNIL 2019-053 impose au prestataire de mettre à disposition « le code source correspondant à la version du logiciel effectivement mise en œuvre » à l’expert indépendant.

Méfiance des organisations syndicales et des électeurs

Les organisations syndicales et les électeurs peuvent légitimement s’interroger sur l’indépendance de l’expert et les garanties apportées par l’expertise, entraînant une méfiance vis-à-vis de la solution de vote électronique.

Ces craintes sont fondées et une réponse doit y être apportée par une posture de transparence, et l’apport de preuves factuelles et vérifiables pour chaque observation rapportée durant l’expertise.

Par ailleurs, aucun constat ne doit être formulé de façon ambigüe ou au conditionnel, ni être omis.

Enfin, il est essentiel de présenter les limites de l’exercice d’expertise, et l’impossibilité logique d’apporter une garantie à 100% que le système ne peut être attaqué.

Interprétation de la réglementation

La réglementation disponible n’est pas toujours claire et explicite, notamment :

• Les architectures non-standard ne font pas l’objet de règles spécifiques
  • Ex : Une architecture reposant sur un SI à cheval entre l’éditeur de la solution SaaS et le SI de l’employeur
• Certains termes peuvent être ambigus
  • Ex : « Le vote d’un électeur doit être une opération atomique » – l’atomicité étant une notion fonctionnelle plutôt que technique, les protocoles de communication sur Internet ne permettant par exemple pas de contenir l’ensemble du bulletin dans un seul paquet réseau

L’application des standards de référence (type RGS), l’interrogation directe de la CNIL, et l’implémentation d’une solution permettant de répondre au risque en substance sont autant de moyens de remédier à cet écueil.

Conclusion et recommandations

Afin de tirer au mieux parti de l’expertise indépendante et de la factualiser, nous recommandons de combiner la vision conformité réglementaire avec une vision orientée risques et alimentée par l’audit technique (tests d’intrusion, revues de configuration…) dans une logique de sécurisation concrète et pragmatique de la solution respectant le cadre réglementaire.

Cet exercice ne peut être mené de façon efficace et porter ses fruits qu’en embarquant et en sensibilisant toutes les parties prenantes du projet, y compris l’éditeur et les organisations syndicales dès la phase de conception.

Il est enfin nécessaire de garder en tête que le vote électronique est une technologie en évolution constante. Il est probable que de nouvelles méthodes et technologies émergeront à l’avenir, entraînant une évolution de la réglementation. La veille technique et réglementaire est par conséquent un sujet essentiel tant pour les entités organisatrices d’élections que pour les éditeurs et les sociétés d’expertise indépendante.

Pour toute demande d’information ou de devis sur le sujet de l’expertise indépendante de systèmes de vote électronique, nous vous invitons à nous contacter via le formulaire suivant : https://www.wavestone.com/fr/contact/

Tous nos vœux de succès pour l’organisation de vos élections professionnelles !

[i] https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000000511691/

[ii] https://www.economie.gouv.fr/elections-professionnelles-2022-quelques-minutes-pour-quatre-annees

[iii] https://fr.wikipedia.org/wiki/Comit%C3%A9_social_et_%C3%A9conomique

[iv] https://www.kercia.com/vote-electronique

[v] https://www.admin.ch/gov/fr/accueil/documentation/communiques.msg-id-37639.html

[vi] https://www.smartmatic.com/fr/actualites/article/lestonie-atteint-des-taux-records-de-vote-par-internet-grace-a-une-nouvelle-technologie/

[vii] https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000038661239

[viii] https://www.cnil.fr/fr/securite-des-systemes-de-vote-par-internet-la-cnil-actualise-sa-recommandation-de-2010

[ix] https://www.legifrance.gouv.fr/loda/id/JORFTEXT000024079803/

[x] https://www.ssi.gouv.fr/entreprise/reglementation/confiance-numerique/le-referentiel-general-de-securite-rgs/

[xi] https://www.ssi.gouv.fr/guide/recommandations-pour-les-architectures-des-systemes-dinformation-sensibles-ou-diffusion-restreinte/

Cet article Expertise indépendante de systèmes de vote électronique est apparu en premier sur RiskInsight.

L’Operational Resilience Maturity Assessment Framework est un outil qui permet de mesurer la résilience opérationnelle d’une organisation.

Qu’est-ce que c’est la résilience opérationnelle ?

La résilience opérationnelle est une discipline encore jeune et de plus en plus inévitable pour les organisations, notamment pour le secteur financier. On peut citer le Royaume Uni qui est pionnier sur le sujet, avec l’entrée en vigueur d’un Operational Resilience Framework en mars 2022, imposé par la Bank of England, la Prudential Regulation Authority (PRA) et la Financial Conduct Authority (FCA) et l’Union Européenne, qui suit, avec la réglementation Digital Operational Resilience Act (DORA). Les autorités sont en effet parties du principe que de nombreux événements pouvaient perturber les activités des banques (et plus largement des organisations).

La résilience opérationnelle prend donc en compte différentes sources de menaces : menaces venant d’un tiers (un partenaire, un fournisseur ou un prestataire), pandémie, panne d’électricité, incendie pour ne citer qu’eux. D’un point de vue organisationnel, la résilience est très souvent un programme piloté par un Head of OpRes, la DSI ou la division risques, et moins souvent par un RSSI.

Pourquoi avoir créé l’Operational Resilience Maturity Assessment Framework accélérateur ? Quel problème cela résout chez les clients ?

Sous la pression des régulateurs, nos clients ont dû mesurer leur niveau de résilience. La compliance est un bon point de départ mais elle ne va pas assez loin ! L’idée de notre Operational Resilience Maturity Assessment Framework, c’est d’avoir un outil qui englobe à la fois ces nouvelles directives et aussi les meilleures pratiques observées sur le terrain. L’outil est utile car il :

• Permet de mesurer la maturité d’une organisation sur les méthodologies et processus en place pour appréhender la résilience opérationnelle
• Rend compte des capacités réelles de résilience à un instant T, en analysant les outils et les capacités en place
• Facilite la formalisation d’un plan de réduction des risques et de pilotage
• Intègre toute l’expérience terrain de Wavestone en matière de résilience de tous nos bureaux ! Outre-Manche notamment, plus avancé que les pays de l’Union européenne, on travaille sur des missions de résilience depuis plus de 3 ans.

Concrètement, l’Operational Resilience Maturity Assessment Framework centralise dans un Excel l’ensemble des dimensions à prendre en compte pour être résilient et monter en maturité. En tout, on a identifié 90 questions, classées en 12 grands sujets que couvrent la résilience.  Le questionnaire peut être déroulé comme tel afin d’évaluer la résilience opérationnelle d’un client. Mais il peut aussi être utilisé comme trame pour construire son propre département de résilience et comme un vecteur d’identification de projets, sans pour autant procéder à une évaluation. Comme base pour une évaluation sur-mesure et conforme aux standards du client.

Aussi, à mesure que le paysage réglementaire se développe, les entreprises doivent pouvoir mettre en place ou renforcer leurs forces de veille pour rester en avance sur les régulateurs et la concurrence. Par conséquent, en complément de notre outil d’évaluation de la maturité de résilience, nous avons développé le « Radar réglementaire de la résilience opérationnelle » qui cartographie les réglementations à travers le monde selon les mêmes thèmes. Mis à jour tous les trimestres, il offre une vue d’ensemble des évolutions réglementaires sur la résilience opérationnelle et permet à l’utilisateur de les comparer par géographie et par sujet.

Peux-tu nous parler de la dernière fois que tu l’as utilisé (exemple concret) ?

En fait, l’élément déclencheur de la création de notre outil a été la réalisation d’une mission pour un grand acteur du secteur bancaire ! Pendant cette première mission, on a pu définir quatre niveaux de résilience : 1 : « insuffisant », 2 : « compliant », 3 : « bon niveau » et 4 : « leader ».

Récemment on a décroché une deuxième mission qui nous permet de peaufiner les questions, pour qu’elles soient plus précises et exhaustives. On a également retravaillé notre liste de preuves qui sert à justifier un positionnement sur tel ou tel niveau de maturité et on a ajouté un 5^e niveau, « le pionner ».

Pour l’instant le benchmark de la maturité en matière de résilience se concentre sur les banques qui est un secteur plus mature compte tenu de leurs contraintes réglementaires et de la sensibilité des données qu’il traite. Pour une organisation d’un autre secteur, il faudra adapter les niveaux pour s’aligner sur la maturité globale du marché.

Un mot pour la fin ?

On pense qu’on pourra aller encore plus loin dans l’évaluation de la résilience dans quelques années. Plus on aura de retour du terrain, plus on pourra être précis dans les conditions requises pour atteindre un niveau. Par exemple, un acteur sera jugé mature s’il a la capacité de reconstruire son AD en 3h. Comme sur le CyberBenchmark. La prochaine étape serait donc de définir des indicateurs quantitatifs et/ou qualitatifs… Et la seule manière d’y arriver c’est de continuer à confronter le framework à la réalité !

Si tout est améliorable, on est super fières de cet outil qui a été co-construit avec nos clients et nos experts et qui a déjà fait ses preuves.

Cet article [INTERVIEW] Résilience opérationnelle, savoir rebondir après une cyberattaque est apparu en premier sur RiskInsight.

L’usage des certificats électroniques sur des systèmes d’information existe depuis plus de 20 ans. Il s’agit d’une pratique éprouvée qui repose sur des technologies standardisées et des réglementations encadrant plusieurs de ses usages. Un certificat électronique peut être considéré comme une carte d’identité « numérique » de son propriétaire, qui s’appuie sur l’usage de la cryptographie asymétrique, permettant ainsi d’authentifier son propriétaire et lui permettre de réaliser des opérations de chiffrement et de signature de données. Un certificat électronique peut appartenir à plusieurs types de porteurs et servir à couvrir des cas d’usage divers et variés.

Historiquement, les certificats électroniques étaient utilisés sur des périmètres réduits dans un système d’information, principalement pour deux raisons :

• D’abord, l’usage de la cryptographie, en particulier asymétrique, dégradait les performances des équipements (utilisation de la capacité de calcul principalement).
• Ensuite, le niveau de la menace cyber était par le passé assez faible par comparaison au niveau actuel.

Ainsi, le recours à l’usage des certificats électroniques n’était pas toujours justifié au regard des enjeux de sécurité des systèmes d’information et des ressources matérielles nécessaires pour éviter la dégradation des performances.

Depuis plusieurs années, les évolutions technologiques ont permis d’améliorer significativement les performances des équipements informatiques, permettant ainsi l’utilisation des certificats électroniques pour des types de porteurs toujours plus nombreux, et pour couvrir des cas d’usage de plus en plus variés afin de répondre à l’accroissement du niveau de la menace cyber et les besoins en protection. Cette période s’est accompagnée par une montée en maturité des technologies associées à l’usage des certificats électroniques, tel que les systèmes PKI qui délivrent les certificats électroniques, le matériel cryptographique utilisé pour sécuriser les clés privées (Hardware Security Module (HSM), cartes à puce, etc.) ou encore des logiciels plus spécifiques pour mieux gérer certains cas d’usage (Card Management System (CMS), Key Management System (KMS), etc.).

L’émergence des produits de type « Certificate Lifecycle Management » (CLM)

Le développement de l’usage des certificats électroniques ces dernières années et la hausse du nombre de ces derniers ont mis en lumière de nouvelles problématiques. Cela concerne plusieurs acteurs au sein d’une organisation : les équipes d’exploitation en charge de déployer des certificats électroniques sur des composants d’infrastructure ou les applications métiers et gérer leur cycle de vie ; les équipes sécurité et les architectes en charge de définir et faire respecter les politiques d’usage des certificats électroniques au sein de l’organisation et éviter les dérives ; ou encore les métiers qui utilisent des certificats sur leurs applications qui peuvent avoir des problèmes de disponibilité si les certificats venaient à être expirés. Ces problématiques sont accentuées par un contexte technologique actuel en forte évolution qui challenge la maturité des infrastructures en place (notamment PKI) et donne naissance à une nouvelle famille de produits, les outils de « Certificate Lifecycle Management », pour compléter les produits existants dans ce domaine.

Les trois chapitres suivants détaillent les irritants et difficultés qu’essayent d’adresser les solutions de CLM.

La difficulté d’exploitation des certificats électroniques

Prenons le cas d’une équipe d’exploitation en charge de plusieurs serveurs ou applications. Pour obtenir un certificat électronique à destination d’un serveur, cette équipe doit en faire la demande auprès de la PKI de son l’organisation en suivant les processus associés, puis l’installer sur l’équipement concerné. Tous les 1 à 3 ans, elle doit penser à le renouveler avant son expiration en répétant le processus de demande de certificat auprès de la PKI. Multipliez cela par des milliers de certificats électroniques d’infrastructure qui peuvent exister au sein des grandes organisations, et vous aurez pour conséquences :

• Des équipes qui passent beaucoup de temps à demander des certificats électroniques et les installer sur les équipements, en particulier si les processus en question nécessitent plusieurs validations afin de répondre à des exigences de conformité internes ou externes.
• Des équipes insuffisamment formées à l’usage des certificats électroniques, avec un risque d’erreur élevé dans les certificats installés, au mieux rallongeant les délais de mise en service, au pire introduisant des failles de sécurité sur les équipements cibles.
• Un risque très élevé d’oubli de renouvellement d’un certificat avant son expiration, engendrant une interruption du service concerné, dont le niveau d’impact dépend du service en question et peut atteindre le niveau le plus élevé pour une organisation

D’après notre expérience auprès de nos clients, le risque d’oubli de renouvellement des certificats est souvent avéré et d’une manière régulière. A titre d’exemple, Microsoft a oublié de renouveler un certificat pour Microsoft Teams en 2020, engendrant une indisponibilité du service durant environ 3 heures⁽¹⁾.

Le risque cyber lié à une mauvaise utilisation des certificats électroniques

Les équipes sécurité et les architectes définissent et mettent en place des règles de conformité concernant l’usage des certificats électroniques et les processus associés. L’aspect chronophage de la gestion du cycle de vie des certificats électroniques par les équipes d’exploitation pour respecter ces règles de conformité, peut induire également ces équipes à ne pas toujours respecter les processus de demande des certificats électroniques auprès de la PKI de l’organisation :

• Soit en les contournant pour obtenir des certificats auprès de la PKI « officielle » d’une manière détournée, avec moins de vérifications de sécurité sur la légitimité de la demande et moins d’éléments de traçabilité pour les besoins d’audit.
• Soit en installant des certificats « non-légitimes », auto-signés ou obtenus auprès d’une PKI / Autorité de Certification « non-officielle », avec le risque d’introduire sur le système d’information des failles techniques pouvant être exploitées par des personnes malveillantes.

Lors de nos missions d’audit auprès de nos clients, nous découvrons souvent l’usage de certificats « non-officiels », qu’il est très difficile d’identifier d’une manière exhaustive. Ce manque de maitrise des certificats électroniques utilisés dans un système d’information représente un défi pour les équipes sécurité pour maitriser le risque cyber et déployer des solutions de sécurisation adaptées.

Un contexte technologique en forte évolution

Comme partagé plus haut dans cet article, depuis plusieurs années l’usage des certificats électroniques s’est généralisé, les produits du marché ont gagné en maturité et le cadre réglementaire (par exemple eIDAS⁽²⁾) a suivi cette tendance en encadrant plusieurs services de confiance reposant sur l’usage des certificats électroniques (signature électronique, horodatage, etc.).

Aujourd’hui, certaines évolutions technologiques plus récentes rendent encore plus indispensable l’usage des certificats électroniques, tout en introduisant de nouvelles contraintes :

• Le recours de plus en plus fréquent aux architectures en micro-services, en particulier dans des déploiements en mode « Zero Trust», nécessite de sécuriser les communications entre ces services en utilisant de l’authentification mutuelle à l’aide de certificats électroniques. Le nombre de ces derniers ne cessent donc de continuer à croitre au sein des systèmes d’information, ce qui accentue les difficultés exposées dans les deux chapitres précédents.
• Les pratiques d’intégration continue / développement continue (CI/CD) et l’automatisation des déploiements à l’aide des outils « DevOps » sont également de plus en plus adoptés au sein des directions des systèmes d’information. Ces approches nécessitent de pouvoir automatiser de bout en bout le déploiement des services, y compris l’installation des certificats. Pour adresser cette contrainte, il est indispensable de s’appuyer sur des technologies qui automatisent la gestion du cycle de vie des certificats et s’interfacent avec les solutions PKI.

Face à ces constats, la promesse des solutions CLM est de faire gagner du temps aux équipes qui gèrent les certificats électroniques et gagner en efficacité, améliorer le niveau de sécurité du système d’information, réduire les interruptions de services sur les applications métiers tout en offrant de nouvelles possibilités d’innovation aux équipes de développement.

Les services offerts par les produits CLM

Afin de répondre à ces nouvelles contraintes et au besoin croissant d’une gestion efficace du cycle de vie des certificats, plusieurs éditeurs ont développé des solutions dites CLM (Certificate Lifecycle Management). Une solution CLM est un logiciel qui vise à aider les organisations à automatiser le cycle de vie de leur flotte de certificats. Ces solutions proposent d’abord des outils de découverte des certificats électroniques déployés sur le système d’information et permettre un reporting efficace dans une interface unifiée. Cette fonctionnalité est très utile pour découvrir les certificats « non-officiels ». Les solutions CLM sont aussi capables d’interagir avec de nombreux environnements PKI pour rassembler la gestion de tous les certificats dans un seul outil. Elles proposent différents tableaux de bord et fonctionnalités permettant aux organisations d’avoir une vue d’ensemble sur leurs certificats, d’agir sur ceux-ci (politiques de renouvellement et d’automatisation, alertes sur les certificats non-conformes, etc.) et d’utiliser des connecteurs pour suivre les besoins et les workflows déjà en place (DevOps, ticketing, etc.). Les solutions CLM viennent donc se placer au centre du SI pour pouvoir atteindre une exhaustivité maximale en matière de suivi des certificats électroniques.

Utiliser des outils de gestion dédiés à la gestion du cycle de vie des certificats plutôt qu’un suivi manuel permet de réduire de 90% les incidents liés aux certificats, et de réduire de 50% le temps de traitement de ces incidents, selon le Gartner ⁽³⁾.

Pour choisir la solution CLM la plus adaptée aux besoins d’une organisation, il convient de les évaluer selon les 4 thématiques ci-dessous, où les produits CLM ne proposent pas la même couverture fonctionnelle :

• Découverte des certificats: toute utilisation d’une solution CLM commence par une découverte des certificats présents sur le système d’information de l’organisation. Ces découvertes ont plusieurs objectifs : elles permettent de réunir l’ensemble des certificats d’une organisation dans une interface commune quelle que soit l’autorité de certification émettrice, découvrir des certificats inconnus qui n’étaient jusqu’alors pas suivis, récolter des informations sur chaque certificat pour identifier les proportions de certificats conformes et non-conformes, visualiser sa flotte de certificats sous forme de tableaux de bord matérialisant tous ce qui sera jugé utile de mettre en lumière (nombre de certificats, prochaines expirations, respect des règles de sécurité choisies, etc.). La découverte des certificats serveurs peut se faire suivant deux modes pour s’adapter aux mesures de sécurité potentiellement mises en place au sein d’un SI : une découverte centralisée depuis la solution de CLM avec des flux entrants vers les serveurs de l’organisation, ou une découverte décentralisée avec l’installation d’un agent sur chaque serveur qui effectuera une recherche locale et remontra les données à la solution CLM (flux sortants des serveurs uniquement).
• Automatisation et connecteurs : le but principal d’une solution de CLM est de permettre à ses utilisateurs d’éviter la gestion manuelle des certificats, parce qu’elle est couteuse en temps et en ressources et propice aux erreurs humaines. Une fois les découvertes effectuées, une organisation pourra utiliser de nombreux outils lui permettant ensuite de créer des workflows automatisant le cycle de vie des certificats. Par exemple, il est possible de renouveler tous les certificats provenant d’une autorité de certification choisie pour les remplacer par des certificats émis par une autre autorité de façon automatique, très utile lors d’une migration d’une PKI. Les solutions de CLM automatisent la révocation d’un certificat en fin de vie, ainsi que la demande et l’installation du certificat suivant. Le pilotage automatisé d’une large flotte de certificats passe nécessairement par une phase de paramétrage qui peut prendre du temps, mais les gains de temps, de ressources et de sécurité justifient cet investissement. Pour arriver à faire cela, les solutions CLM s’intègrent via des connecteurs avec de nombreuses PKI du marché, des composants d’infrastructure utilisant des certificats électroniques ou encore des CMDB. On retrouve aussi des connecteurs permettant de s’interfacer avec des outils de ticketing, de la gestion de terminaux via des solutions MDM ou UEM, ou alors des connecteurs permettant de gérer les certificats dans des environnement DevOps (Terraform, Kubernetes, Docker, etc.).
• Gouvernance : les organisations sont capables de créer des règles de conformité concernant les certificats et leurs modes d’attribution. Ces règles ont pour but de maitriser les émissions futures de certificats mais aussi d’identifier les certificats existants ne les respectant pas (certificats auto-signés, taille de clé trop petite, autorité de certification n’étant pas de confiance, etc.). Toutes ces règles sont totalement personnalisables. Les solutions de CLM permettent aussi de ségréguer les droits selon les rôles (administrateurs, utilisateurs, auditeurs, etc.), les zones géographiques, les équipes, ou tout autre attribut.
• Alerting : il s’agit d’un aspect important des solutions CLM car l’automatisation d’une flotte de certificats se fait en plusieurs mois (voire années). L’alerting permet de traiter les certificats dont les workflows ne sont pas encore automatisés et sert ainsi de filet de sécurité en cas d’oubli de renouvellement. Les alertes peuvent prendre différentes formes : notifications au sein de la solution, mails envoyés aux administrateurs, notifications Teams/Slack, ouverture de ticket sur ServiceNow ou Jira par exemple. Pour identifier le destinataire des alertes, les solutions peuvent se baser sur les informations collectées par la PKI lors de la demande initiale des certificats, croiser les informations des certificats avec ceux d’une CMDB, ou encore utiliser des fonctionnalités d’intelligence artificielle pour « deviner » l’équipe ou la personne à notifier lorsque les informations précises n’ont pas pu être trouvées dans les sources de données disponibles.

Le marché des solutions CLM est en plein développement, avec l’ajout régulier de nouvelles fonctionnalités et la couverture de plus de périmètres. Il ne serait pas surprenant si ce type de solutions venait à gérer le cycle de vie des clés cryptographiques d’une manière générale, au-delà des certificats électroniques uniquement, et donc compléter les solutions de KMS actuelle comme ils le font aujourd’hui avec les solutions PKI.

Le marché des solutions CLM est en plein développement

Le marché des solutions CLM est actuellement en pleine expansion. Il se compose d’acteurs historiques (souvent déjà présents sur les secteurs de la PKI ou des identités des machines par exemple et offrant de larges offres de services en dehors des solutions CLM) et d’acteurs émergents pouvant être qualifiés de pure player, qui ont commencé à développer leur offre CLM ces dernières années et pour qui ce segment représente la majorité de leur activité. Ci-dessous une liste d’acteurs que l’on retrouve assez souvent sur le marché (présentés par ordre alphabétique) :

Appviewx : entreprise américaine créée en 2004 basée à New York. En plus de sa solution CERT+ de gestion du cycle de vie des certificats, Appviewx propose un service de PKI Cloud ou d’IAM.

DigiCert: entreprise américaine créée en 2003 basée à Lehi (Utah), Digicert est une autorité de certification publique délivrant des certificats électroniques et des services PKI aux organisations. Pour compléter cette offre PKI, Digicert a lancé sa solution de gestion du cycle de vie des certificats : CertCentral.

Digitalberry : entreprise française créée en 2014 basée à Marseille. La solution de CLM de l’entreprise nommée Berrycert a été déployée en 2021. Digitalberry offre aussi une solution de traçabilité de données basée sur la blockchain et une solution de gestion des clés de sécurité. Digitalberry fait partie du radar des startups françaises en cybersécurité de 2020⁽⁴⁾ et 2021⁽⁵⁾ élaborés par Wavestone en collaboration avec Bpifrance.

Entrust : entreprise américaine créée en 1994 basée à Minneapolis, Entrust est un acteur historique dans le domaine de la PKI. Entrust propose sa solution dédiée à la gestion du cycle de vie des certificats : Entrust Certificate Hub. Cette offre vient s’ajouter aux autres solutions de sécurité digitale disponibles on-premise et as a Service : PKI, HSM, KMS, IAM ; et également aux solutions d’émission de passeports et de titres d’identité physiques et numériques.

Evertrust : entreprise française créée en 2017 basée à Paris, Evertrust a publié en 2018 la première version de sa solution CLM appelée Horizon. Elle propose en parallèle une autorité de certification interne (Stream) et les services d’un répondeur OCSP. Evertrust fait partie des radars des startups françaises en cybersécurité de 2021⁽⁵⁾ et 2022⁽⁶⁾ élaborés par Wavestone en collaboration avec Bpifrance.

Keyfactor : entreprise américaine créée en 2001 basée à Cleveland, Keyfactor quitte en 2014 son segment d’entreprise de conseil en numérique pour devenir éditeur de solutions, dont Keyfactor Command qui est la solution de CLM de l’entreprise. En 2021, Keyfactor rachète Primekey afin de compléter son offre avec une solution PKI.

Sectigo: entreprise américaine créée en 1998 basée à Roseland (New Jersey), Sectigo est une autorité de certification publique délivrant des certificats et services PKI aux organisations. Sectigo a développé sa solution CLM Sectigo Certificate Manager afin de proposer des services complémentaires à son activité PKI.

Venafi : entreprise américaine créée en 2000 basée à Salt Lake City, Venafi propose la solution TLS Protect pour gérer le cycle de vie des certificats d’une organisation. Venafi propose en parallèle des services de PKI, de KMS ou de signature de code.

Conclusion

Indépendamment du secteur, toute organisation atteignant une certaine taille sera confrontée à la multiplication du nombre de certificats électroniques à gérer et aux risques associés en termes de gestion et de sécurité.

Il est donc important de se pencher sur ce sujet le plus tôt possible afin d’évaluer comment tirer parti d’une solution de CLM, pour améliorer le niveau de sécurité de son système d’information et simplifier le quotidien de ses équipes, comme le montre le radar du RSSI de Wavestone qui fait ressortir l’usage de ces produits dans la catégorie « tendance du marché » ⁽⁷⁾.

Bibliographie

⁽¹⁾ https://www.theverge.com/2020/2/3/21120248/microsoft-teams-down-outage-certificate-issue-status

⁽²⁾ https://www.riskinsight-wavestone.com/2016/10/eidas-route-vers-europe-de-confiance-numerique/

⁽³⁾ https://www.gartner.com/en/documents/3969998

⁽⁴⁾ https://www.wavestone.com/fr/insight/radar-2020-startups-cybersecurite-francaises/

⁽⁵⁾ https://www.wavestone.com/fr/insight/radar-startups-cybersecurite-2021/

⁽⁶⁾ https://www.wavestone.com/fr/insight/radar-startups-cybersecurite-2022/

⁽⁷⁾ https://www.wavestone.com/fr/insight/radar-rssi-2023/

Cet article Gestion du cycle de vie des certificats électroniques : quels enjeux ? comment les adresser ? est apparu en premier sur RiskInsight.

L’Union Européenne a publié le règlement « Digital Operational Resilience Act », ou « DORA », le 27 décembre 2022, qui est entré en vigueur le 16 janvier 2023. Il fixe de nouvelles règles pour les entités financières et leurs prestataires de services TIC en termes de résilience des TIC.
La conformité au texte sera obligatoire à partir du 17 janvier 2025.

DORA vise à simplifier et à améliorer la résilience des organisations des services financiers en établissant un cadre réglementaire et un cadre de supervision robustes. Comme nous l’avons déjà expliqué en détails dans notre article « Décryptage de DORA : qu’est-ce que cela signifie pour la résilience des organisations financières ? », la réglementation introduit des exigences à travers cinq piliers :

• Gestion du risque lié aux TIC
• Gestion, classification et notification des incidents liés aux TIC
• Tests de résilience opérationnelle numérique
• Gestion des risques liés aux prestataires tiers de services TIC
• Dispositifs de partage d’informations (facultatif)

Principaux sujets et articles DORA s’appliquant aux entités financières(références des articles entre parenthèses)

En analysant le contenu du règlement et en tenant compte de la maturité actuelle du secteur financier, la complexité diffère largement en fonction du sujet abordé. Dans la mesure où l’adoption de framework de gestion des risques TIC constitue déjà une bonne pratique largement répandue dans le secteur financier, l’effort portera principalement sur une mise en cohérence de l’existant au sein de l’organisation. De même, les processus et outils de gestion des incidents liés aux TIC ont déjà eu à intégrer des contraintes réglementaires de classification et de notification. Par conséquent, l’intégration des exigences de DORA ne devrait pas présenter de difficultés majeures.

Néanmoins, le respect des exigences de mise en conformité aura toujours ses défis… et ses opportunités !

Un règlement ambitieux qui pointe des fragilités connues

Pour de nombreuses organisations, le premier défi consistera à embarquer le top management dans l’initiative. Comme DORA les désigne comme responsables du suivi, de l’approbation, de la révision et de fixer le cap en termes de résilience opérationnelle, leur implication est essentielle à la réussite d’un éventuel programme. Les embarquer dès les prémices permettra de gagner un temps précieux dans l’identification et la validation des fonctions critiques, de prioriser les principaux scénarios de menace et de donner le rythme sur le sujet. En contrepartie, cela demandera aux équipes en charge de réfléchir soigneusement aux indicateurs de performance (KPI) et aux indicateurs de risque (KRI) appropriés et compréhensibles qui permettront de rendre compte du niveau de résilience opérationnelle de l’organisation. Autant que possible, donnez-leur rapidement un aperçu du contenu de la réglementation et de leur rôle dans ce cadre !

Le deuxième défi sera de passer un cap en termes de gestion des risques liés aux tiers. Les grandes organisations ont souvent des centaines, voire des milliers de parties prenantes, ce qui implique un tri fastidieux pour se concentrer sur les plus critiques. La gestion du risque de résilience opérationnelle des tiers repose aujourd’hui principalement sur l’intégration d’étapes dans les processus d’achat et, finalement, sur l’inclusion de clauses spécifiques dans les contrats. DORA demande beaucoup plus sur le sujet, la responsabilité incombant aux services financiers de s’assurer de la conformité des tiers à ces exigences. Elle exige également de travailler sur des stratégies de sortie potentielles et des tests conjoints. Cette ambition pourrait impacter la manière même de travailler avec ses fournisseurs à l’avenir et devrait être anticipée par les tiers concernés qui vont devoir être en mesure de fournir des preuves de leur bonne gestion du risque de résilience opérationnelle.

Enfin, les tests sont un point crucial et un challenge au sein de DORA. Les organisations devront structurer et tester régulièrement leur résilience pour évaluer en permanence leurs risques et la pertinence de leur stratégie de résilience. Cela nécessite d’acquérir une vision stratégique du sujet qui préexiste rarement dans la mesure où les tests sont souvent gérés en silos (tests de vulnérabilité, tests de pénétration, tests de continuité d’activité…). L’approche adoptée devra également garantir la bonne couverture des fonctions critiques de l’organisation au fil des ans. Les organisations devront par ailleurs mener des tests de pénétration fondés sur la menace et effectués sur des systèmes en environnement de production en direct au moins tous les trois ans, en incluant éventuellement des prestataires de services TIC.

Relever ces défis ne sera pas de tout repos. C’est pourquoi il est essentiel d’enclencher les travaux dès maintenant, car ils exigeront de véritables changements pour les organisations concernées. De toute évidence, une analyse d’écarts aux exigences réglementaires détaillée est un bon point de départ.

La résilience d’abord, la conformité ensuite ?

Il est clair qu’une réglementation telle que la DORA offre des opportunités à ceux qui tenteront de voir au-delà des contraintes de conformité.

En premier lieu, le règlement introduit une approche holistique de la gestion des risques liés aux TIC qui pourrait apporter plus de cohérence au sein des organisations. Cela pourrait constituer une première étape dans la mise en place d’un cadre unifié de gestion des risques liés aux TIC, permettant une meilleure évaluation des risques et simplifiant le reporting à la direction générale. Cela pourrait également lancer l’idée d’une gouvernance convergée sur la gestion des risques liés aux TIC regroupant la cybersécurité, la continuité des activités et la continuité des services informatiques. 

Ensuite et surtout, c’est une occasion unique de travailler sur votre niveau réel de résilience en vous posant des questions complexes. Si vous deviez faire face à une situation demain où vous êtes dépourvu de votre SI, votre organisation survivrait-elle ? Vos capacités existantes couvriraient-elles pleinement les besoins qu’une telle situation demande ? Et êtes-vous sûr que votre solution de résilience fonctionnera le jour J ?

Cet article DORA : challenges et opportunités est apparu en premier sur RiskInsight.

Le succès de ces normes s’observe largement en France comme à l’international depuis de nombreuses années. Cette tendance a par exemple été à nouveau confirmée fin 2022 dans l’ISO Survey, étude annuelle menée par l’ISO : +19% de certifications ISO 27001 au niveau mondial entre 2020 et 2021, +44% en France.

Après près de 10 ans de bons et loyaux services dans leur précédente version majeure, datant de 2013, les normes ISO 27001 et ISO 27002 ont vu leur troisième édition publiée en 2022. Quels sont les changements apportés et comment les prendre en compte ?

Le premier changement évident traduit l’évolution du domaine de la « Sécurité de l’information » au cours de la décennie : la « cybersécurité » et la « protection de la vie privée » s’inscrivent dorénavant dans le titre des normes :

• ISO/IEC 27001:2022 Sécurité de l’information, cybersécurité et protection de la vie privée — Systèmes de management de la sécurité de l’information – Exigences ;
• ISO/IEC 27002 :2022 Sécurité de l’information, cybersécurité et protection de la vie privée — Mesures de sécurité de l’information.

L’évolution des mesures de sécurité (Annexe A), principal changement de l’ISO 27001

La nouvelle édition de la norme ISO 27001 ne présente que très peu de changements dans son corps : les quelques évolutions viennent principalement clarifier ou expliciter certaines clauses de la norme sans changer le fond.

Quelques évolutions demanderont des évolutions limitées du SMSI, telles que :

• L’obligation dorénavant explicite de documenter les objectifs du SMSI et de surveiller leur atteinte (clauses 6.2 d) et g)) ;
• La nécessité de planifier les changements du SMSI (clause 6.3) : cette clause pourra par exemple être couverte en étendant le processus de gestion des améliorations du SMSI à tout changement du SMSI, ou en s’appuyant directement sur le processus de gestion des changements de l’organisation ;
• Le renforcement de l’obligation de maîtriser les processus externalisés qui concourent à l’application des exigences retenues ou à l’atteinte des objectifs du SMSI, en l’étendant aux produits et services externalisés (clause 8.1) ;
• La possibilité de choisir à quelles attentes des « parties intéressées » (clients, directions métiers, collaborateurs, etc.) le SMSI doit répondre (clause 4.2 c)) : la norme autorise maintenant l’exclusion de certaines attentes. Cette clause peut ainsi permettre de prioriser certaines attentes ou de choisir entre des attentes mutuellement exclusives. Cette évolution nécessitera probablement une transparence accrue vis-à-vis des parties intéressées afin de les informer des décisions prises. A noter que la revue de direction devra dorénavant prendre en compte les évolutions des attentes des parties intéressées (clause 9.3.2 e)), en sus du retour d’information des parties intéressées précédemment exigé.

L’évolution principale de la norme ISO 27001 réside néanmoins dans son annexe A. Cette annexe fournit un catalogue de mesures de sécurité, elles-mêmes détaillées dans la nouvelle version de l’ISO 27002, qui fournit pour chacune des informations complémentaires et des recommandations d’implémentation.

Les mises à jour de cette annexe A peuvent ainsi être étudiées à partir de la nouvelle version de l’ISO 27002.

Une version modernisée de l’ISO 27002, plus simple d’utilisation

La mise à jour de l’ISO 27002 permet de la simplifier, la moderniser et de faciliter son utilisation.

La norme bénéficie tout d’abord d’une organisation simplifiée : auparavant réparties dans 14 chapitres (certains au titre quelque peu alambiqué…), les mesures de sécurité sont dorénavant rassemblées en 4 : les mesures organisationnelles, les mesures liées aux personnes, les mesures physiques et les mesures technologiques.

Autre élément de simplification, cette édition donne lieu à une (nouvelle) réduction du nombre de mesures de sécurité, passant de 114 à 93 (pour mémoire 133 dans la version initiale de 2005). Sur le fond, la majorité des mesures restent proches de la précédente version mais sont réorganisées. Les changements sont synthétisés ci-dessous :

A noter que l’annexe B détaille la correspondance entre les exigences de l’ancienne et de cette nouvelle version de la norme : elle constituera un outil très utile aux organisations dans la phase de transition (a minima pour mettre à jour le plan de traitement des risques et la déclaration d’applicabilité).

11 nouvelles mesures viennent par ailleurs enrichir la norme en répondant à certains manques de la précédente version ainsi qu’aux évolutions de ces dernières années :

• Trois mesures viennent notamment renforcer la protection des données : la suppression des informations non essentielles ou à échéance (Information deletion), la prévention des fuites d’information (Data leakage prevention) et le masquage des informations sensibles (Data masking). A noter que la norme n’oblige ni ne limite l’application de ces mesures aux données à caractère personnel : chaque organisation reste libre de retenir ou non ces mesures en fonction de son évaluation des risques et de les appliquer aux catégories d’information adaptées à son contexte.
• Le volet de la résilience opérationnelle se renforce lui aussi de quatre mesures : intégration du renseignement sur les menaces liées à la sécurité de l’information (Threat intelligence), surveillance des comportements anormaux sur les SI afin de permettre la détection des incidents de sécurité (Monitoring activities), surveillance des accès physiques et détection d’intrusion (Physical security monitoring) et intégration de la résilience opérationnelle numérique au service de la continuité d’activité de l’organisation (ICT readiness for business continuity).
• Une mesure, certes unique, mais dédiée à la sécurité du Cloud (Information security for use of cloud services) fait son entrée, invitant les organisations à définir un processus de gestion de ces services depuis leur souscription jusqu’à leur terminaison, intégrant les mesures de sécurité choisies par l’organisation.
• Les trois mesures complémentaires renforcent la protection des SI à différents niveaux :
  • Une mesure liée au durcissement et à la protection des configurations (Configuration management) ;
  • Une mesure liée à la sécurité des développements (Secure coding) ;
  • Une mesure visant à définir une politique de filtrage pour les accès à Internet (Web filtering).

Autre nouveauté majeure (uniquement présente dans l’ISO 27002) pour faciliter l’appropriation et l’utilisation de la norme, la description de chaque mesure présente dorénavant cinq attributs pouvant contenir une ou plusieurs valeur(s) parmi les suivantes :

• Type de mesure de sécurité : #Preventive, #Detective et #Corrective ;
• Propriétés de sécurité de l’information : #Confidentiality, #Integrity, #Availability ;
• Concepts de cybersécurité : #Identify, #Protect, #Detect, #Respond, #Recover ;
• Capacités opérationnelles : #Governance, #Asset_management, #Information_protection, #Human_resource_security, #Physical_security, #System_and_network_security, #Application_security, #Secure_configuration, #Identity_and_access_management, #Threat_and_vulnerability_management, #Continuity, #Supplier_relationships_security, #Legal_and_compliance, #Information_security_event_management, #Information_security_assurance ;
• Domaine de sécurité : #Governance_and_Ecosystem, #Protection, #Defense, #Resilience.

Par exemple, la nouvelle mesure « Threat Intelligence » couvre les trois critères de sécurité #Confidentiality, #Integrity et #Availability.

Ces attributs permettent une exploitation de la norme autrement que par le simple chapitrage et apportent une valeur réelle : par exemple, les concepts de cybersécurité correspondent aux dimensions du NIST (National Institute of Standards and Technology) Cybersecurity Framework (CSF), standard reconnu au niveau international, largement utilisé par les organisations. Le rapprochement des mesures de l’ISO 27002 et du NIST CSF sera ainsi possible pour répondre aux contraintes de nombreuses organisations (réglementaires, audits, reporting, etc.).

Les capacités opérationnelles sont les plus proches des 14 chapitres de l’ancienne version de la norme : ces capacités opérationnelles peuvent ainsi permettre d’organiser la Politique de Sécurité du SI et le référentiel associé en limitant les impacts sur un référentiel aligné sur la précédente version.

Globalement, ces attributs offrent dorénavant une meilleure flexibilité aux organisations qui peuvent désormais construire plus librement leur référentiel de sécurité en fonction de leur contexte.

Quelle transition pour passer à la version 2022 ?

Pour les organisations déjà certifiées ISO 27001, l’effort de transition sera lié à l’évolution des mesures de sécurité, les évolutions du corps de l’ISO 27001 ne nécessitant qu’un investissement limité. Les actions suivantes devront néanmoins être entreprises :

1. Mettre à jour le Manuel du SMSI :
   • Préciser les attentes des parties intéressées et celles qui sont prises en compte par le SMSI,
   • Mettre à jour le processus de gestion des améliorations du SMSI pour y inclure la gestion des changements du SMSI,
   • Insérer un schéma de synthèse des processus permettant de représenter les interactions entre eux ;
2. Documenter les objectifs de sécurité et mettre en place des indicateurs permettant de suivre leur atteinte ;
3. S’assurer que des critères de performance et d’efficacité sont définis pour chaque processus ;
4. S’assurer que les produits et services externalisés sont pris en compte dans le SMSI (ou les y intégrer le cas échéant) ;
5. Intégrer à la revue de direction l’évolution des attentes des parties intéressées, en identifiant celles qui sont couvertes par le SMSI.

Pour s’atteler à l’évolution des mesures, la prochaine mise à jour de l’évaluation des risques de sécurité de l’information et du plan de traitement des risques devra permettre de mesurer la conformité du SMSI aux nouvelles mesures, et d’organiser et planifier la mise en œuvre des éventuelles nouvelles mesures retenues. La déclaration d’applicabilité devra à l’issue être réorganisée et mise à jour pour intégrer les nouvelles mesures.

La Politique de Sécurité du SI (incluant le référentiel associé : chartes, directives, processus, procédures, standards…) devra par ailleurs évoluer pour prendre en compte l’évolution de l’annexe A de l’ISO 27001. L’utilisation des attributs et de l’annexe B de l’ISO 27002 facilitera cette évolution pour l’ensemble des organisations.

En termes de planning, l’ISO 27001:2022 ayant été publiée en octobre 2022, les organisations peuvent désormais exiger une certification ISO 27001:2022. Il reste néanmoins possible de demander une certification ISO 27001:2013 jusqu’en octobre 2023. A compter de novembre 2023, toute nouvelle certification s’effectuera sur la version 2022 de la norme.

Pour les SMSI déjà certifiés ISO 27001, la période de transition est de 3 ans maximum pour basculer sur la version 2022.

Cas particulier des organisations certifiées Hébergeur de Données de Santé (HDS)

Depuis le 1^er avril 2018, les organisations basées en France et hébergeant des données de santé à caractère personnel selon les conditions détaillées dans l’article L1111-8 du Code de la Santé Publique doivent disposer d’une certification Hébergeur de Données de Santé (HDS), nécessitant comme prérequis une certification ISO 27001.

Le référentiel n’ayant pas évolué depuis son entrée en vigueur, les exigences de certification HDS s’appuient toujours sur la version 2013 de la norme ISO 27001. L’appel à commentaires réalisé fin 2022 sur le projet de nouveau référentiel HDS intègre néanmoins la nouvelle version de l’ISO 27001 (bien que le tableau des documents de référence pointe toujours sur l’ISO 27001:2013). Le futur référentiel de certification HDS, dont l’entrée en vigueur est attendue en avril 2023, s’appuiera donc bien sur la nouvelle version de la norme ISO 27001.

A noter que l’évolution du référentiel HDS viendra par ailleurs préciser certains points durs de la certification HDS évoqués dans nos précédents articles, tels que le cadre d’application de l’activité 5 « Administration et exploitation du système d’information contenant les données de santé ».

Conclusion

Ces nouvelles versions des normes de références ISO 27001 et ISO 27002 permettent ainsi d’adapter les mesures de sécurité de l’information aux évolutions récentes du domaine afin de permettre aux organisations de bénéficier des armes les plus à jour pour traiter leurs risques de sécurité de l’information.

Alors qu’un nombre croissant de réglementations s’appuient sur ces normes, à l’instar de l’obligation de la certification ISO 27001 pour les Hébergeurs de Données de Santé en France ou pour les Opérateurs de Services Essentiels en Belgique, cette nouvelle version permet de renforcer le niveau de maturité des organisations sans pour autant les contraindre à des investissements à perte sur la phase de transition. Ces investissements seront majoritairement concentrés sur la prise en compte des nouvelles mesures de sécurité pertinentes pour le traitement des risques de sécurité de l’organisation.

Cet article Evolution des normes ISO 27001 et ISO 27002 : quels impacts pour les organisations concernées ? est apparu en premier sur RiskInsight.

Il s’agit de la première initiative législative de l’UE sur la cybersécurité. Son but est d’assurer un niveau élevé et commun de sécurité des systèmes d’information et réseaux de l’Union européenne. Cet objectif se décline en quatre enjeux clés :

• Consolider les capacités nationales des Etats membres en matière de cybersécurité,
• Créer un cadre de coopération politique et organisationnelle entre Etats membres autour de la cybersécurité,
• Mettre en place un dispositif de cybersécurité pour les opérateurs de services essentiels (OSE). Les OSE sont des « opérateurs tributaires des réseaux ou systèmes d’information, qui fournissent un service essentiel dont l’interruption aurait un impact significatif sur le fonctionnement de l’économie ou de la société».
• Mettre en place un dispositif de cybersécurité pour les fournisseurs de services numérique (FSN). La directive NIS définit un FSN comme « une personne morale qui fournit tout service de la société de l’information, c’est-à-dire tout service presté normalement contre rémunération, à distance, par voie électronique et à la demande individuelle d’un destinataire de services ». Trois types de services numériques sont concernés par le cadre réglementaire : les places de marché en ligne, les moteurs de recherche en ligne et les services d’informatique en nuage.

D’une part, la sécurité des OSE est une prérogative souveraine des Etats, d’autre part, le rôle de l’UE est d’assurer le bon fonctionnement du marché européen. Afin de concilier ces deux objectifs, la directive NIS énonce clairement : « la présente directive devrait s’entendre sans préjudice de la possibilité donnée à chaque État membre d’adopter les mesures nécessaires pour garantir la protection des intérêts essentiels de sa sécurité, assurer l’action publique et la sécurité publique et permettre la recherche, la détection et la poursuite d’infractions pénales. »[1]. Chaque pays peut donc adapter le texte en fonction de ce qu’il estime être prioritaire et stratégique pour garantir sa sécurité et celle de ses réseaux et systèmes d’information. La directive NIS fixe cependant des exigences communes, notamment en matière de transposition de la directive en législation nationale, de secteurs concernés, d’identification des risques, de supervision, de mise en place de mesures techniques et organisationnelles, de notification des incidents cyber, et de sanctions en cas de manquement.

L’analyse réalisée aborde la transposition de la directive NIS dans chacun des 27 Etats membres de l’Union européenne, ainsi que la Suisse et le Royaume-Uni. Elle permet ainsi de mettre en lumière les différentes approches et de dégager les points de convergence et de divergence entre pays, notamment dans le cadre de l’évolution prochaine de la directive. En effet, une proposition de révision de la NIS a été adoptée par la Commission européenne en décembre 2020 et vise à remplacer le texte originel.

Une transposition achevée pour certaines thématiques…

Différents types et nombres de textes législatifs pour transposer la NIS

La transposition de la NIS a bien eu lieu dans toutes les législations nationales des états membres de l’Union Européenne. Cependant, il existe une hétérogénéité dans le type de textes législatifs adoptés. Dans la majorité des pays, la transposition prend la forme d’une loi (vingt-deux pays), à laquelle treize pays rajoutent au moins un autre texte législatif (ordonnance, décret, règlement, amendement ou décision ministérielle). Dans deux pays la transposition de la NIS a eu lieu dans chaque loi sectorielle, ce qui augmente le nombre de textes législatifs (quatre textes ou plus).

Une mise en place générale des processus de notification des cyber-incidents

Tous les pays sont parvenus à mettre en place des processus de notification des incidents cyber. Une fois encore, des déroulés différents selon les pays sont observés.

Il existe six procédures différentes de transmission des alertes lors d’un incident cyber :

• Dans le premier cas (neuf pays), l’OSE doit en premier lieu notifier l’autorité nationale compétente de la survenue de l’incident,
• Un deuxième procédé (dix pays), le premier point de contact est le CSIRT, l’équipe d’intervention en cas d’incident de sécurité informatique, aussi appelé CERT,
• Dans un nombre moins élevé de cas (trois pays), les OSE doivent notifier l’autorité sectorielle compétente,
• La notification d’un incident cyber s’effectue via une plateforme sécurisée dans quatre pays,
• Moins fréquemment encore (2 pays), le point de contact unique (SPOC) est à alerter,
• Enfin, pour 1 pays (Hongrie), l’OSE alerte un centre de gestion des événements.

Tous les états membres prévoient également la notification du point de contact d’un pays membre si celui-ci est également concerné par le cyber-incident ainsi que la notification du public lorsque cela est nécessaire.

Pour se conformer aux contraintes imposées par la NIS, certains états sont même allés plus loin

La directive NIS prévoit initialement de s’appliquer aux secteurs du transport, de l’énergie, de la santé, de l’eau potable, de la banque, de la finance et du numérique. Dans la transposition, plus de la moitié des pays analysés ajoute d’autres secteurs ou sous-secteurs essentiels en plus des sept cités précédemment. Ils sont listés ci-dessous, rangés par fréquence d’apparition :

• L’Autriche, la Croatie, Chypre, la Lituanie, Malte, la Slovaquie, l’Espagne et la Suisse mentionnent également l’administration publique.
• Chypre, l’Estonie, l’Allemagne, la Lituanie, les Pays-Bas, la Slovaquie, l’Espagne et la Suisse rajoutent les technologies de l’information et de la communication et l’IT.
• L’Estonie, la France, l’Allemagne, la Hongrie, la Lituanie, la Slovénie, l’Espagne, la Suisse ajoutent la
• La République Tchèque, la Lituanie, les Pays-Bas, l’Espagne complètent la liste avec l’industrie.
• L’Estonie, l’Allemagne, la Suisse mentionnent aussi le chauffage et le logement.
• La Lituanie et la Slovaquie rajoutent la défense, la Suisse la sécurité nationale.
• La Lituanie et la Slovénie insèrent la protection de l’environnement.
• La France est la seule à ajouter l’éducation.
• L’Espagne est la seule à mentionner l’espace et les centres de recherches.

… Mais une déclinaison à finaliser sur d’autres

De fortes disparités sur la supervision assurée par l’état

Plusieurs catégories et différents niveaux de contrôle sont exercés par les autorités pour attester de la conformité à la NIS. Les fortes disparités de supervision concernent notamment les autorités assurant le contrôle (autorité nationale ou sectorielle) ainsi que le niveau de contrôle attendu (supervision, inspection, audit ou encore évaluation) : il n’existe pas de consensus autour du processus à adopter. Par ailleurs, six pays ne donnent pas d’information quant à la supervision mise en place.

Des mesures de sécurité de niveau et de diffusion hétérogènes

Exceptés pour six pays pour lesquels aucune information n’est fournie concernant les mesures de sécurité, 2 grandes approches sont observées :

• Les mesures de sécurité sont mentionnées dans le corps du ou des texte(s) législatif(s) de transposition de la NIS (onze pays),
• Elles font l’objet d’un guide, d’une liste de recommandations ou d’une publication en ligne établis par des entités différentes (gouvernement, régulation, décret, etc.) dans douze pays.

Pour les mesures incluses dans les textes législatifs, il existe quelques points de convergence sur les thèmes abordés :

• La norme internationale ISO27001 et le cadre de cybersécurité du NIST, en tant que modèle pour établir les mesures de sécurité (dans respectivement quatre et deux pays)
• Six mêmes thématiques (sécurité des systèmes et des installations, gestion des incidents, continuité de l’activité…) reviennent dans quatre pays.

Des sanctions de montant et de format différents

Le montant des sanctions pour le non-respect des règles varie relativement dans les différents pays pouvant aller de moins de 100K€ à 20M€ maximum (exceptée la Finlande qui ne prévoit aucune sanction). La majorité ont choisi d’appliquer un montant inférieur à 200k€ (dix-huit pays) tandis que quatre pays prévoient un montant maximum au-delà d’1M€. Il est d’ailleurs à noter que les sanctions sont susceptibles d’être accumulées en cas de non-conformités multiples ce qui ne permet pas d’établir avec certitude le montant maximum global d’une sanction.

Des mesures d’emprisonnement sont mêmes prévues dans deux pays (la Belgique et Chypre).

Enfin, quatre pays n’ont pas encore formalisé les sanctions en cas de manquement.

En conclusion

Née dans un contexte de niveaux de sécurité des réseaux et systèmes d’information inégaux au sein de l’Union européenne, la directive NIS est maintenant transposée dans tous les Etats membres. Cela a permis la création d’un socle commun de sécurité tout en laissant la possibilité aux Etats de veiller à la protection des intérêts essentiels de leur sécurité. Ainsi, chaque pays désigne ses opérateurs de services essentiels, et choisi les secteurs qu’il estime les plus stratégiques à protéger. De plus, la transposition de la loi, les processus de supervision et de notification d’incidents sont effectués par l’autorité jugée compétente, que celle-ci soit sectorielle ou nationale, que ce soit le CSIRT ou le point de contact unique. Cette souplesse permet à la NIS de s’adapter à l’organisation de tous les états membres. Il existe des ressemblances visibles et regroupement entre les pays, ainsi que des points de divergence importants qui laissent place à de nombreuses déclinaisons et rendent la comparaison pertinente et riche.

Une proposition de révision de la NIS a été adoptée en décembre 2020, mais son calendrier prévisionnel n’est pas encore communiqué. Néanmoins, ses principaux objectifs ont été édictés afin d’atteindre un niveau de cybersécurité plus élevé et des processus plus homogènes au sein de l’Union Européenne d’une part, et d’augmenter davantage la coopération entre Etats membres d’autre part. La révision de la NIS s’articule autour de l’abandon de la distinction entre OSE et FSN, la désignation des OSE par la directive et non par les Etats, la création d’un nouveau réseau européen pour les incidents cyber majeurs, l’imposition de CSIRT ayant un rôle de support aux entités, ainsi que le contrôle par les Etats des mesures techniques et organisationnelles mises en place (notamment pour l’analyse de risques et la gestion de crise). Ces changements feront l’objet d’un nouvel article.

Sources :

Directive Network and Information System – Article ANSSI Lien : Retrouver l’article ANSSI sur la Directive NIS ici

Directive (UE) 2016/1148 du Parlement Européen et du Conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union Lien : Retrouver la Directive NIS ici

FAQ sur les Fournisseurs de Services Numériques (FSN) – Article ANSSI – 23 mai 2018 Lien : Retrouver la FAQ sur les FSN ici

FAQ sur les Opérateurs de Services Essentiels (OSE) – Article ANSSI Lien : Retrouver la FAQ sur les OSE ici

Proposition de DIRECTIVE DU PARLEMENT EUROPÉEN ET DU CONSEIL concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, abrogeant la directive (UE) 2016/1148 Lien : Retrouver la proposition de la révision de la NIS ici

[1] Directive (UE) 2016/1148 du Parlement européen et du conseil du 6 juillet 2016.

Cet article En pleine préparation de la NIS V2, mise à jour du tour d’horizon européen de transposition de la directive NIS par les états membres… vers une convergence ? est apparu en premier sur RiskInsight.

Pourquoi le Digital Operational Resilience Act (DORA) ?

DORA fait partie d’un « paquet financier numérique » à l’échelle de l’UE, qui vise à garantir que le secteur financier puisse tirer parti des possibilités offertes par la technologie et l’innovation tout en atténuant les nouveaux risques associés. Ce paquet comprend une réglementation sur les actifs de cryptage, la technologie de la chaîne de blocage et la résilience opérationnelle numérique.

Avec la loi sur la résilience opérationnelle numérique, l’UE vise à s’assurer que les organismes financiers atténuent les risques découlant de la dépendance croissante à l’égard des systèmes TIC et des tiers pour les opérations critiques. Les organisations doivent pouvoir « résister, réagir et se remettre » des conséquences des incidents liés aux TIC, afin de continuer à assurer des fonctions essentielles et importantes et de minimiser les perturbations pour les clients et le système financier. Cela implique d’établir des mesures et des contrôles solides sur les systèmes, les outils et les tiers, de mettre en place les bons plans de continuité et de tester leur efficacité.

Cette réglementation mondiale de grande envergure vient rationaliser un paysage réglementaire de plus en plus fragmenté sur le sujet, avec un certain nombre d’initiatives réglementaires locales dans les États membres et des lignes directrices de l’UE de moindre envergure sur des sujets connexes (par exemple, les exigences en matière de tests, la gestion des dépendances des TIC à l’égard de tiers, la résilience cybernétique). La mise en place d’un cadre réglementaire mondial garantira l’absence de chevauchements ou de lacunes dans la réglementation et maintiendra de bonnes conditions de concurrence dans le marché unique.

DORA s’inscrit également dans une tendance mondiale en matière de réglementation sur la résilience du secteur financier, lancée par les documents de consultation de la Banque d’Angleterre (FCA et PRA) sur la résilience opérationnelle et les tolérances d’impact, et suivie par les documents de principe sur la résilience opérationnelle de la Banque des règlements internationaux (BRI) et de la Réserve fédérale.

DORA en bref : qu’est-ce que ça change ?

Contrairement à la FCA/PRA, à la Réserve fédérale et à la BRI, la DORA se concentre uniquement sur la résilience aux incidents liés aux TIC et introduit des exigences très spécifiques et normatives. Il ne s’agit pas seulement d’un ensemble de lignes directrices, mais plutôt de critères, de modèles et d’instructions qui détermineront la manière dont les organismes financiers gèrent les risques liés aux TIC. Elle démontre que les régulateurs européens veulent être très pragmatiques sur le sujet, avec beaucoup de rapports, de communications et d’évaluations qui doivent être fréquents, grâce à la normalisation des systèmes d’information et des rapports.

La DORA introduit des exigences qui s’articulent autour de cinq piliers :

• Gestion des risques liés aux TIC
• Rapports d’incidents TIC
• Test de résilience opérationnelle numérique
• Gestion des risques liés aux TIC par des tiers
• Partage d’informations et de renseignements

Certaines de ces exigences sont simples et s’inspirent largement de ce qui se fait déjà dans les organisations (par exemple, le cadre de gestion des risques qui doit être élaboré est similaire aux normes industrielles comme le NIST) ; mais certaines sont également difficiles et impliqueront que les organisations doivent lancer des travaux pour se mettre en conformité. Nous avons résumé les exigences et les principaux défis à relever dès maintenant pour chacun des cinq piliers.

1. Gestion des risques liés aux TIC

Pourquoi ? Veiller à ce que des mesures et des contrôles spécifiques soient mis en place pour limiter les perturbations du marché et des consommateurs causées par les incidents, et garantir la responsabilité de l’organe de gestion en matière de gestion des risques liés aux TIC.

Exigences clés : Les entreprises devront respecter les principes de gouvernance en matière de risques liés aux TIC, en mettant l’accent sur la responsabilité de l’organe de gestion. Elles devront identifier leur tolérance au risque TIC, en fonction de l’appétit pour le risque de l’organisation et de la tolérance aux impacts des perturbations des TIC. Ils devront également mettre en place un cadre de gestion des risques comprenant l’identification des fonctions critiques et importantes, les risques associés et une cartographie des actifs TIC qui les sous-tendent, ainsi que des plans et des capacités spécifiques de protection, de prévention, de détection, de réponse et de récupération, des processus et des mesures d’amélioration continue et une stratégie de communication de crise avec des rôles et des responsabilités clairs.

Le plus grand défi : Dans le cadre des processus d’amélioration continue, la DORA introduit une formation obligatoire sur la résilience opérationnelle numérique pour l’organe de gestion mais aussi pour l’ensemble du personnel, dans le cadre de son programme de formation générale.

2. Signalement des incidents liés aux TIC

Pourquoi ? Harmoniser et centraliser la notification des incidents pour permettre au régulateur de réagir rapidement afin d’éviter la propagation de l’impact, et pour promouvoir l’amélioration collective et la connaissance des entreprises des menaces actuelles sur le marché.

Exigences clés : La DORA introduit une méthodologie standard de classification des incidents avec un ensemble de critères spécifiques (nombre d’utilisateurs touchés, durée, répartition géographique, perte de données, gravité de l’impact sur les systèmes TIC, criticité des services touchés, impact économique) avec des seuils qui doivent encore être publiés. Selon cette méthodologie, les incidents classés comme majeurs devront être signalés à l’autorité de régulation dans le même jour ouvrable, selon un certain modèle. Un rapport de suivi sera également requis après une semaine, et après un mois. Ces rapports seront tous anonymisés, compilés et communiqués régulièrement à l’ensemble de la communauté.

Le plus grand défi : Les entreprises devront modifier leur méthode de classification des incidents pour se conformer aux exigences. Elles devront également mettre en place les processus et les canaux appropriés pour pouvoir informer rapidement l’autorité de régulation en cas d’incident majeur. En fonction de ce qui est classé comme « majeur », cela pourrait se produire fréquemment. Pour aider les organisations à se préparer, nous prévoyons que la méthodologie de classification des incidents s’alignera sur la taxonomie de référence de l’ENISA pour la classification des incidents.

3. Test de résilience opérationnelle numérique

Pourquoi ? S’assurer que les entités financières testent l’efficacité du cadre de gestion des risques et des mesures en place pour répondre à un large éventail de scénarios d’incidents liés aux TIC et s’en remettre, avec un minimum de perturbations des fonctions critiques et importantes, d’une manière proportionnée à leur taille et à leur criticité pour le marché.

Exigences clés : Avec la DORA, toutes les entreprises doivent mettre en place un programme complet de tests, comprenant une série d’évaluations, de tests, de méthodologies, de pratiques et d’outils, en mettant l’accent sur les tests techniques. Les entreprises les plus critiques devront également organiser tous les trois ans un test de pénétration en direct à grande échelle (exercice de type « red team »), réalisé par des testeurs indépendants, couvrant les fonctions et services critiques et impliquant des tiers du secteur des TIC basés dans l’UE. Le scénario devra être approuvé à l’avance par l’autorité de régulation et les entreprises recevront un certificat de conformité à l’issue du test. Des orientations supplémentaires pour ces tests, ainsi que les critères définissant une entreprise critique, seront publiées en 2021.

Le plus grand défi : il est probable que les entreprises critiques devront organiser ce test de pénétration fondé sur la menace d’ici la fin de 2024 et ce type de test nécessite beaucoup de préparation. Le fait qu’il doive impliquer des tiers critiques dans le domaine des TIC signifiera également qu’ils devront participer à la préparation. Les entreprises qui pensent être concernées (il peut s’agir d’entreprises déjà concernées par la réglementation sur les NEI) doivent commencer à réfléchir au scénario dès que possible afin de permettre une validation avec le régulateur au moins deux ans avant la date limite.

4. Gestion des risques liés aux tiers dans le domaine des TIC

Pourquoi ? Veiller à ce que les organismes financiers disposent d’un niveau approprié de contrôle et de surveillance de leurs tiers TIC, en particulier ceux qui sous-tendent les fonctions critiques ; et mettre en place une surveillance spécifique des fournisseurs qui sont essentiels pour le marché dans son ensemble.

Exigences clés : Avec ce règlement, l’UE introduit des exigences à la fois pour les organisations financières et pour les fournisseurs de TIC critiques.

• Les organismes financiers devront disposer d’une stratégie et d’une politique définies en matière de risque de tiers pour les TIC multifournisseurs, dont un membre de l’organe de gestion sera propriétaire. Ils devront établir un registre standard d’informations contenant la vue complète de tous leurs fournisseurs tiers de TIC, les services qu’ils fournissent et les fonctions qu’ils sous-tendent ; et faire rapport sur les modifications apportées à ce registre au régulateur une fois par an. Ils devront évaluer les fournisseurs de services TIC en fonction de certains critères avant de conclure un contrat (par exemple, le niveau de sécurité, le risque de concentration, les risques de sous-traitance), et ils devront prévoir une stratégie de sortie en cas de défaillance d’un fournisseur. La DORA contient également des lignes directrices concernant le contenu des contrats et les raisons de leur résiliation, qui doit être liée à un risque ou à une preuve de non-conformité au niveau du fournisseur.
• En vertu d’un nouveau cadre de surveillance, les fournisseurs essentiels feront l’objet d’évaluations annuelles au regard des exigences de résilience telles que la disponibilité, la continuité, l’intégrité des données, la sécurité physique, les processus de gestion des risques, la gouvernance, les rapports, la portabilité, les tests… Ces évaluations seront effectuées directement par le régulateur et donneront lieu à des sanctions en cas de non-conformité.

Le plus grand défi : Rassembler des informations sur tous les fournisseurs de TIC (pas seulement les plus importants), avec les services fournis et les fonctions qu’ils sous-tendent pour le registre des informations sera une tâche très importante pour les grandes organisations financières qui dépendent généralement de milliers de petits et grands fournisseurs et de systèmes de gestion de contrats hérités qui rendent difficile l’extraction de données.

5. Partage d’informations et de renseignements

Pourquoi ? Promouvoir l’échange d’informations et de renseignements sur les cybermenaces entre les organismes financiers afin de leur permettre d’être mieux préparés.

Exigences clés : La DORA introduit des lignes directrices sur la mise en place d’accords de partage d’informations entre entreprises pour les cyber-menaces, y compris des exigences de confidentialité et la nécessité d’informer l’autorité de régulation.

Le plus grand défi : Nous ne voyons pas de défi particulier dans ce domaine car de nombreuses organisations ont déjà mis en place de tels accords. Ce sera l’occasion de rendre visibles les initiatives, les réseaux ou les associations locales et d’encourager un plus grand nombre d’entreprises à y participer.

Que se passe-t-il ensuite ?

La DORA suit actuellement le processus législatif de l’UE et devrait prendre de 6 à 12 mois avant de devenir une loi. Quelques sujets discutables pourraient donner lieu à des débats et ralentir le processus, en particulier en ce qui concerne la gestion par des tiers : critères restrictifs pour les organisations souhaitant résilier des contrats, interdiction des tiers critiques basés en dehors de l’UE, système de pénalités et financement du cadre de surveillance par les fournisseurs de services critiques. Certains détails doivent encore être publiés pour clarifier certaines des exigences (par exemple, les modèles, les critères et les seuils de criticité…), ce qui pourrait également susciter certains débats.

Une fois la DORA adoptée, les entreprises devraient disposer d’un an pour se mettre en conformité avec la plupart des exigences (c’est-à-dire probablement d’ici la fin de 2022 – mais ce délai d’un an est court et nous prévoyons qu’il pourrait passer à 18 mois à la suite des réactions du marché) et de 3 ans pour organiser un test de pénétration à grande échelle si nécessaire (c’est-à-dire probablement d’ici la fin de 2024).

Afin d’être prêts, nous recommandons aux organisations de prendre les mesures suivantes en 2021 :  

• Effectuer une évaluation de la maturité par rapport aux exigences de la DORA, avec une analyse des lacunes et un plan d’atténuation connexe pour atteindre la conformité d’ici la fin de 2022 
• Commencer à réfléchir à un scénario pour le test de pénétration à grande échelle, en vue de le faire valider par le régulateur d’ici la mi-2022 
• Commencer à travailler sur la consolidation du registre des informations pour tous les fournisseurs tiers de TIC 

Cet article Décryptage de DORA : qu’est-ce que cela signifie pour la résilience des organisations financières ? est apparu en premier sur RiskInsight.

OSE, acteur clef des services essentiels économiques et sociétaux belges

Si votre organisation a été désignée comme OSE, c’est parce qu’elle fournit un ou plusieurs services essentiels au maintien d’activités sociétales et économiques critiques, pour la Belgique, et plus largement pour l’Union Européenne (UE). En effet, la Directive Européenne NIS publiée en 2016 (security of network and information systems – UE 2016/1148), a pour objectif d’assurer un niveau commun élevé de sécurité des réseaux et des systèmes d’information au sein de l’UE. Cette directive a été transposée dans le droit belge en mai 2019 et permet de désigner une entité publique ou privée comme OSE si elle répond aux critères suivants :

Depuis novembre 2019, les notifications de désignation s’établissent dans les secteurs de l’énergie, du transport aérien et de la finance. Le secteur de la santé, quant à lui, a annoncé qu’aucun OSE ne sera désigné en 2020.

Votre entreprise coche toutes ces cases ? Sachez que l’autorité sectorielle peut ajouter des critères spécifiques afin de juger du degré de criticité des services : par exemple, la part de marché de l’entreprise, ou l’ampleur de la zone géographique susceptible d’être touchée par un incident. (Loi 2019-04-07/15. Art.13).

Quelles obligations après sa notification ?

Être désigné OSE implique de protéger les systèmes d’information qui permettent la fourniture du ou des services essentiels identifiés. Sécuriser un service essentiel revient à s’assurer de la disponibilité, la confidentialité et l’intégrité des systèmes d’information dont il est tributaire (Loi 2019-04-07/15. Art.24). Pour ce faire, la Belgique demande aux OSE de faire certifier leurs systèmes d’information critiques à la norme ISO 27001 (Loi 2019-04-07/15. Art.22). Cette norme demande la création d’un Système de Management de la Sécurité de l’Information (SMSI) avec la mise en œuvre de processus et de mesures de sécurité.

Les principales étapes et échéances de la loi NIS belge

La Loi du 7 avril 2019 établissant un cadre pour la sécurité des réseaux et des systèmes d’information d’intérêt général pour la sécurité publique, dite Loi NIS belge, prévoit un délai de mise en conformité en 3 ans et 2 mois et demi maximum après la notification de désignation de l’OSE. La loi prévoit ainsi différentes étapes et échéances précises :

3 mois après la désignation, l’OSE doit fournir :

• Une description détaillée des systèmes d’information dont ses services essentiels sont tributaires. La toute première chose à faire est donc de délimiter le périmètre des services essentiels au niveau business et IT, (Loi 2019-04-07/15. Art.16)
• Un point de contact (Loi 2019-04-07/15. Art.23)

Au plus tard 12 mois après la notification de désignation : l’OSE initie une Politique de Sécurité Informatique (PSI) (rt.21) et réalise un premier audit interne sous 3 mois.

24 mois après le premier audit interne (soit environ 3 ans après la notification de désignation), c’est le grand jour : un audit externe doit être conduit en vue de l’obtention de la certification ISO 27001.

Comment se déroule une mise en conformité ISO 27001 ?

Comme tout système de management, le SMSI doit garantir l’application de la méthode PDCA « Plan-Do-Check-Act », aussi appelée « Roue de Deming », pour assurer l’amélioration continue des performances. 6 activités fondamentales se dégagent de la norme ISO 27001 :

De manière pragmatique, la norme ISO 27001 requiert des livrables et des validations à plusieurs étapes clefs du processus de mise en conformité. Ci-dessous, nous vous proposons une chronologie des actions à réaliser avec les livrables associés, ainsi qu’une estimation du temps nécessaire pour chaque étape du parcours de mise en conformité.

Plus précisément, les étapes se déroulent comme suit :

1 – Définition du périmètre (sous quelques semaines) : c’est la première étape clef pour déterminer le domaine d’application sur lequel les exigences de la norme vont porter. L’étendue du service essentiel est alors définie d’un point de vue business et IT, détaillant les activités, les équipes et les systèmes concernés.

2 – Phase de cadrage du SMSI (entre 2 et 6 mois) :

• 2.1 – Réaliser le bilan de conformité en comparant, sur le périmètre identifié, les pratiques réalisées aux exigences des normes ISO 27001 et ISO 27002 afin de relever les écarts. Le résultat de cette étape donne à la fois le niveau global de maturité de sécurité du périmètre et la feuille de route de mise en conformité par volet sécurité.
• 2.2 – Conduire l’analyse de risques. Cette étape se concrétise en trois actions.
• A – Définir la méthodologie de l’analyse de risques (si celle-ci n’existe pas). Afin de pouvoir piloter les risques dans la durée, elle doit être reproductible (mise à jour annuelle et en cas de changement majeur sur le périmètre). La méthodologie définit des échelles de probabilité, d’impact, et des seuils d’acceptation des risques en fonction des enjeux business et IT présents sur le périmètre du service essentiel.
• B – Conduire la 1ère analyse de risques sur le périmètre du service essentiel. Sur la base d’entretiens avec des interlocuteurs business et IT, l’analyse permet à la fois d’identifier les enjeux, les menaces et les vulnérabilités pour déterminer les risques du périmètre et permettre la définition du plan de traitement des risques.
• C – Déterminer le Plan de Traitements des Risques (PTR) destiné à organiser l’implémentation des mesures de sécurité. En collaboration avec l’équipe sécurité, les propriétaires de risques sont identifiés et doivent, pour chaque risque, décider du traitement (réduction, transfert ou acceptation) et valider le plan d’action associé. L’ensemble de ces mesures identifiées constitue le Plan de Traitement des Risques (PTR), établissant les traitements prioritaires à réaliser, en estimant notamment les ressources nécessaires et le planning de mise en oeuvre. Après validation des actions du PTR, le niveau de risques résiduels est alors complété dans l’analyse de risques.
• 2.3 – Valider le périmètre de certification. Cette étape met fin à la phase de cadrage et se concrétise par deux livrables : un descriptif précis du service essentiel du point de vue business et IT et la déclaration d’applicabilité (DdA). La DdA correspond à la liste des mesures de sécurité de la norme ISO 27002 retenues pour répondre aux besoins de mise en conformité du SMSI selon les enjeux et les risques identifiés. Pour les mesures non retenues, l’OSE doit justifier l’exclusion de ces mesures. La DdA sert par la suite de référentiel pour les audits.

3 – Phase d’implémentation (entre 9 mois et 2 ans selon le périmètre défini et le niveau de maturité de sécurité existant)

• 3.1 – Définir la PSI (Politique de Sécurité des Systèmes et des Réseaux d’Information). Ce document a deux fonctions : il sert à la fois à lister les grands objectifs de sécurité de l’information établis par l’organisation sur un périmètre donné ainsi que les mesures à mettre en place pour les réaliser, mais il fait aussi office de preuve d’engagement de l’entreprise à satisfaire les exigences de la norme et à œuvrer pour l’amélioration continue du SMSI. Ce document, une fois émis, doit être disponible et diffusé au sein de l’organisation et doit également être mis à disposition de toutes les parties prenantes.
• 3.2 – Définir, documenter et mettre en œuvre les processus clefs ISO 27001 : gestion des risques, gestion de l’exploitation, gestion des incidents, communication et sensibilisation, gestion du référentiel documentaire, gestion de l’amélioration continue, etc. Des pratiques à définir avec une attention particulière à les intégrer dans le contexte existant pour une meilleure appropriation par les équipes.
• 3.3 – Mettre en œuvre les chantiers sécurité selon le PTR
• 3.4 – Conduire un premier cycle de contrôle, à savoir : suivre les indicateurs de performance dans un tableau de bord et mesurer l’atteinte des objectifs de sécurité, réaliser des audits internes sur les périmètres à forts enjeux afin d’identifier les écarts entre les pratiques et les exigences de la norme et du référentiel du SMSI. Enfin, assurer la ou les premières revues de direction pour présenter les résultats du SMSI, valider les orientations et prendre les décisions pour traiter les non-conformités et opportunités d’amélioration continue (agenda prévu par la norme)
• 3.5 – Piloter l’amélioration continue du SMSI jusqu’à l’audit externe : au fur et à mesure des incidents, des résultats du tableau de bord et de ceux des audits internes, l’OSE identifie les non-conformités résiduelles et détecte les opportunités d’amélioration continue à faire valider par l’équipe SMSI

4 – Audit externe : c’est l’évaluation décisive pour l’obtention de la certification. Cette étape se décompose de façon prévisible en 3 actions : préparer les équipes à l’audit externe, participer à l’audit externe et… obtenir la certification !

L’audit externe est mené par un organisme de certification qui examine, sur la base des référentiels de la loi NIS belge (Loi 2019-04-07/15), de la norme ISO 27001, de la PSI et de la DdA validée par l’OSE, que les pratiques et la documentation sont bien conformes aux exigences indiquées et effectivement appliquées selon le principe de l’amélioration continue des systèmes de management.

Vous en savez désormais plus sur la Loi NIS belge et la norme ISO 27001, on espère que vous vous sentez plus armé pour mettre en oeuvre votre SMSI. Dans un prochain article, vous découvrirez quelques conseils issus de nos retours d’expérience pour réussir votre certification ISO 27001 et la maintenir dans la durée.

Cet article OSE belges : comment réussir votre mise en conformité NIS et obtenir votre certification ISO 27001 ? est apparu en premier sur RiskInsight.

Deux ans après, quel bilan ?

L’un des principaux changements induit par la certification est la délivrance des certificats HDS par un organisme indépendant accrédité par le Comité Français d’Accréditation (COFRAC), et non plus par l’Agence des Systèmes d’Information Partagés de Santé (ASIP Santé), devenue l’Agence du Numérique en Santé (ANS) fin 2019. Sept organismes ont franchi le pas et sont désormais accrédités. Ces organismes avaient tout intérêt à se mobiliser rapidement pour anticiper les nouvelles demandes de certification ISO 27001 et HDS et ainsi augmenter leur part de marché.

Et la demande est importante ! Au 21/02/2020, 89 organisations ont déjà obtenu la certification HDS, soit près de 4 certifiés par mois. Parmi elles, certaines disposaient déjà d’un agrément Hébergeur de Données de Santé.

Figure 1. Répartition des organisations certifiées Hébergeur de Données de Santé (HDS)

Sans surprise, la majorité des acteurs ayant obtenu la certification HDS sont des entreprises proposant des services d’hébergement et d’infogérance, incluant des fournisseurs cloud internationaux, et des éditeurs de logiciels. Ils représentent à eux seuls 83% des certifiés. Poussés principalement par des motivations économiques, ces acteurs mettent tous les arguments de leur côté pour conserver leurs clients et élargir leur portefeuille aux organisations ne souhaitant pas se lancer dans l’aventure de la certification HDS.

D’autres sociétés telles que des fournisseurs d’équipements biomédicaux ou de biotechnologies, des groupements de santé (Groupement d’Intérêt Public, Groupement de Coopération Sanitaire) ainsi qu’une mutuelle ont également franchi le cap, mais restent précurseurs dans leur domaine d’activité.

Et les établissements de santé ?

À date, seuls 3 groupements d’établissements de santé privés sont certifiés HDS, mais ce chiffre pourrait augmenter très prochainement. En effet, les Groupements Hospitaliers de Territoire (GHT) sont en cours de mise en œuvre de leur Système d’Information convergent, projet qui devrait s’étendre sur une durée plus longue qu’initialement anticipée dans de nombreux GHT. Ainsi qu’évoqué dans notre précédent article, ces travaux peuvent ainsi amener l’établissement support d’un GHT à héberger des données de santé pour le compte des autres établissements. Deux choix s’offrent alors à lui :

• Obtenir la certification HDS. C’est l’option vers laquelle devraient se tourner la plupart des établissements de taille importante. En effet, la taille de leur DSI leur permet généralement de réaliser le projet et d’offrir le service à long terme au GHT. Afin de se laisser le temps d’obtenir la certification HDS, certains d’entre eux optent pour un hébergement temporaire des applications mutualisées chez un acteur déjà certifié ou encore agréé HDS ;
• Externaliser l’hébergement des données de santé chez un acteur certifié. Cette option sera notamment plébiscitée par les établissements de taille limitée, pour qui l’investissement associé à une certification parait disproportionné. Ces établissements pourront par exemple privilégier un hébergement auprès d’acteurs certifiés HDS de taille comparable, qui seront plus à même de s’adapter à leurs besoins, et qui auront l’habitude de travailler avec des établissements de la santé.

Quels sont les principaux chantiers d’une mise en conformité HDS ?

La certification HDS reposant en premier lieu sur une certification ISO 27001, les recommandations de mise en œuvre de nos précédents articles restent applicables. Au-delà de la mise en place du Système de Management de la Sécurité de l’Information (SMSI) et d’un fort accompagnement au changement, les chantiers complémentaires reposent sur des exigences de l’ISO 20000-1 et de l’ISO 27018, ainsi que sur quelques exigences spécifiques santé. Ces chantiers de mise en conformité HDS d’un SMSI peuvent être
répartis en trois domaines :

Figure 2. Chantiers de mise en conformité HDS d’un Système de Management de la Sécurité de l’Information (SMSI)

Pour les organisations déjà certifiées ISO 27001 ou se conformant déjà aux normes ISO précitées, l’effort à fournir pour obtenir la certification HDS est moindre, et peut s’apparenter à un « quick win ».

Pour celles possédant un agrément HDS, la marche à franchir peut rester assez haute. En plus de la formalisation d’un référentiel documentaire plus conséquent que pour l’agrément, le contrôle de la conformité de l’ensemble du périmètre (ou « domaine d’application » au sens de l’ISO 27001) et de la démarche d’amélioration continue par un organisme indépendant spécialisé représente une difficulté additionnelle, gage de la valeur de cette certification.

Enfin, pour les organisations ne disposant d’aucun des accélérateurs précédents, l’effort à fournir dépendra du niveau de maturité vis-à-vis du référentiel de certification.

Quels financements pour les établissements de santé ?

Aujourd’hui, aucun financement direct des projets de certification ou d’externalisation n’est proposé. Cependant, grâce au programme HOP’EN, successeur du programme Hôpital Numérique, 420 millions d’euros sont prévus pour permettre aux GHT de financer la modernisation de leur SI. Ils pourront ainsi se tourner vers ces financements pour la construction de leur SI convergent. Tout comme son prédécesseur, le programme HOP’EN définit des indicateurs permettant aux établissements de mesurer leur maturité vis-à-vis des prérequis et des sept domaines fonctionnels. Une boite à outils a été publiée par l’Agence Nationale d’Appui à la Performance des établissements sanitaires et médico-sociaux (ANAP) pour faciliter l’atteinte des prérequis.

Comment sécuriser l’obtention de la certification ?

En fonction de la maturité de l’organisation, un projet de certification peut représenter une charge et des investissements lourds dans la durée, aussi bien lors du projet qu’à son issue pour assurer le maintien des certifications les années suivantes. Afin de sécuriser l’atteinte de l’objectif, certaines organisations optent pour une stratégie de certification en deux temps : pour commencer, elles se concentrent sur la certification ISO 27001, puis s’attèlent dans un second temps à la certification HDS. Ce choix comporte de nombreux avantages :

• Sécuriser l’obtention de chaque certification en limitant le nombre de nouvelles exigences à respecter et ainsi limiter le risque de non-conformité ;
• Faciliter la conduite du changement et l’appropriation des exigences à atteindre par les équipes : se concentrer sur un référentiel à la fois permet de simplifier la mise en place des nouveaux processus et nouvelles règles de sécurité en réduisant l’ampleur du changement à chaque étape ;
• Se laisser du temps pour mener à bien les chantiers de mise en conformité. Cette option permet de répartir les charges et investissements à réaliser sur une plus longue période. Cela est valable en particulier pour les chantiers techniques de mise en conformité cités précédemment, qui peuvent être particulièrement onéreux et chronophages.

Une seconde bonne pratique pour sécuriser cette certification est de réaliser un audit à blanc, c’est-à-dire un audit préparatoire mais réalisé dans les conditions réelles d’un audit de certification HDS. L’organisation y trouvera deux principaux apports :

• Obtenir l’avis d’un auditeur, indépendant vis-à-vis de l’équipe projet et de l’auditeur de certification, quant à ses chances d’obtenir la certification. L’auditeur aidera également à peaufiner et corriger les derniers détails avant le démarrage de l’audit de certification ;
• Préparer et entrainer les équipes à l’exercice de l’audit, et en particulier les aider à préparer les réponses et preuves à présenter à l’auditeur.

Des évolutions à venir ?

Après moins de 2 ans d’existence, le référentiel s’apprête à subir de grosses modifications. En effet, l’Asip Santé a annoncé en avril dernier la volonté de retirer l’activité 5 du référentiel de certification. Cette activité, concernant l’administration et l’exploitation du système d’information contenant les données de santé, a suscité débat. En effet, les activités d’infogérance pouvant être dissociées des activités d’hébergement, il peut s’avérer difficile voire impossible pour un acteur ne réalisant que les activités d’infogérance d’être consulté sur les choix réalisés en termes de sécurité de l’hébergement, et ainsi de respecter l’intégralité des exigences du référentiel. Les exigences liées à l’activité 5 devraient donc être proposées sous un nouveau format à l’avenir, afin de s’adapter davantage aux activités d’infogérance.

De nombreux établissements de santé, à l’instar des infogérants et les éditeurs de logiciels de santé, espèrent eux aussi un assouplissement du référentiel de certification HDS. Les exigences imposant l’atteinte d’un niveau de sécurité élevé pour la protection des données à caractère personnel, la marche à franchir peut s’avérer très haute pour les établissements. Ainsi, certains d’entre eux ont fait le choix de ne viser que la certification ISO 27001 pour le moment. L’évolution des exigences pour les établissements de santé reste également à surveiller, après l’annonce par la Direction Générale de l’Offre de Soins (DGOS) d’une certification des systèmes d’information hospitaliers en 2020, vouée à centraliser toutes les exigences liées à l’informatisation des établissements de santé.

Une autre évolution majeure possible concerne les GHT et leur obligation réglementaire d’héberger leur SI convergent auprès d’un hébergeur certifié HDS. Cette obligation ne perdure en effet que tant qu’un GHT reste constitué de personnes morales indépendantes. Cette obligation pourrait ainsi devenir caduque en cas constitution d’« établissements publics de santé territoriaux » en lieu et place des GHT, ainsi que proposé dans le récent rapport de l’Inspection Générale des Affaires Sociales (IGAS). Ce changement reste néanmoins peu probable à court et moyen terme.

Ces possibles évolutions ne semblent aujourd’hui pas affecter les demandes de certification ISO 27001, dont le volume continue de croître en France ainsi qu’anticipé dans notre précédent article, avec une croissance de 27% des certificats ISO 27001 entre 2017 et 2018 selon les derniers chiffres publiés par l’ISO. Cette croissance devrait logiquement se poursuivre sur les années à venir.

Cet article Certification Hébergeur de Données de Santé : deux ans déjà ! est apparu en premier sur RiskInsight.

Mais au juste, qu’est-ce que la norme ISO 27701 ?

L’International Standard Organisation (ISO) a publié en août 2019 sa norme 27701 qui est une extension de l’ISO 27001 et a vocation à venir spécifier et définir les processus, les objectifs et les mesures à mettre en œuvre pour la protection des données personnelles et de la vie privée.

Créer et faire vivre un Système de Management de la Protection de la Vie Privée

A l’instar de la norme ISO 27001 (la référence en ce qui concerne la sécurité informatique), qui a pour but de créer un Système de Management de la Sécurité de l’Information (SMSI), son extension 27701 aspire à créer un Système de Management de la Protection de la Vie privée (Privacy Information Management System – PIMS en anglais).

Pour ce faire, la norme amende et complète les processus, les exigences et les mesures de sécurité de la 27001 et de la 27002 avec des préconisations spécifiques au traitement de données à caractère personnel.

Mais elle ne se contente pas d’étoffer la 27001 et la 27002 et vient également ajouter des exigences nouvelles spécifiques bien connues des acteurs de la Privacy (gestion du consentement, transparence, minimisation…).

Dans ce contexte, l’obtention d’une certification ISO 27001 est un préalable à une certification 27701.

Ce paramètre rétrécit mécaniquement les candidats potentiels à une certification, et rend l’effort à fournir plus conséquent : revue des documents existants, collaboration nécessaire entre les équipes initiales du SMSI et les nouveaux acteurs du PIMS, etc.

Malgré cet effort, l’application de ce standard offre une excellente opportunité pour les organisations d’entremêler davantage les processus et les équipes relatifs à la cybersécurité et la Privacy (par exemple : lier les processus d’Intégration de la Sécurité dans les Projets et le Privacy by Design).

La certification ISO 27701 n’est pas synonyme de conformité au RGPD…

Il est important de noter qu’une certification à la norme n’est pas synonyme à une conformité au RGPD, la vocation principale de la norme étant d’établir à l’échelle mondiale des principes et des règles autour de la Privacy, et ce, dans un langage commun. Cela dit, il convient de rappeler que des autorités nationales (comme la CNIL) ont participé à l’élaboration de la norme et saluent sa publication.

Mais alors, quelles adhérences entre le contenu de la norme et le contenu du RGPD ?

En ce qui concerne les principes fondamentaux du RGPD (consentement, droits, licéité…), la nouvelle norme développe un ensemble d’exigences couvrant toutes les thématiques du RGDP. La norme se voulant internationale, elle demeure par nature moins précise que le RGPD sur certains thèmes (pas de précision du délai à respecter pour notifier l’autorité par exemple). Il est ainsi du ressort du PIMS de réaliser une analyse d’écarts afin de comprendre quels sont les ajustements à réaliser pour être en conformité avec les lois applicables.

Par ailleurs, en ce qui concerne la sécurité des données à caractère personnel, les adaptations des exigences de la 27001 et de la 27002 offrent un référentiel complet aux organisations pouvant servir de socle pour respecter l’article 32 du RGPD (dédié à la sécurité des données).

…mais elle peut devenir la marque de crédibilité la plus forte en la matière sur le marché.

L’enjeu principal d’une certification 27701 est de crédibiliser son système de management de la Privacy et donner confiance aux parties prenantes (partenaires commerciaux, clients, fournisseurs, salariés, autorités…) quant à la prise en compte des principes fondamentaux de la protection de la vie privée.

Le « tampon » 27701 pourrait devenir rapidement un gage de confiance connu et reconnu à l’échelle internationale. A l’instar de la norme ISO 27001, cette nouvelle norme 27701 pourrait devenir un critère incontournable dans les phases d’appel d’offres.

Dans cette perspective, Matthieu Grall de la Commission nationale de l’informatique et des libertés (CNIL) énonce qu’avec « (…) l’augmentation du nombre de plaintes et de sanctions liées à la confidentialité et à la protection des données, il est évident qu’une telle norme était nécessaire. En outre, les organisations doivent prouver aux autorités, et à leurs partenaires, clients et collaborateurs qu’elles sont dignes de confiance. Or cette norme contribuera fortement à inspirer cette confiance. »

Concrètement, pour qui et pourquoi ?

La publication de cette norme représente une opportunité pour plusieurs types d’organisations :

• Dans une relation B2B : un gage de confiance fort vis-à-vis de ses partenaires commerciaux dans le cadre d’une collaboration induisant le traitement de données personnelles (une entreprise gérant la paie ou réalisant les opérations de communication ou de marketing pour le compte de grandes organisations par exemple).
• Dans une relation B2C : la certification d’un périmètre clé d’une entreprise traitant en masse les données personnelles de ses clients (un distributeur dans le cadre de son programme fidélité, un assureur dans le cadre ses activités contractuelles…) peut devenir à terme un vecteur de confiance significatif vis-à-vis des clients eux-mêmes mais aussi vis-à-vis des autorités.
• Au sein des entreprises : la norme représente un nouveau référentiel auquel les entreprises peuvent se confronter et dont elles peuvent se servir pour venir élaborer un cadre d’audit clair et partagé. Une certification ISO 27701 peut également représenter un moyen pour les DPO et les équipes Privacy de rendre tangible les efforts fournis auprès de leur top management.

Si des incertitudes demeurent sur son adoption massive (notamment liées à la barrière de la certification 27001), il ne fait nul doute qu’elle pourra rapidement s’imposer comme un gage de confiance ainsi que comme un nouveau référentiel d’audit et de contrôle interne.

Il en demeure que l’apparition de cette norme est un nouveau bond en avant en ce qui concerne la protection des données personnelles, et ce à l’échelle internationale.

Cet article ISO 27701 : un texte de conformité de plus ou le cadre international tant attendu pour la protection de la vie privée ? est apparu en premier sur RiskInsight.

Ressentez-vous une préoccupation des citoyens concernant leur vie privée ?

Ce n’est pas vraiment une préoccupation à ce stade, sauf pour une minorité, environ 5 à 10% de la population d’après certains sondages. Cette minorité comprend la manipulation commerciale dont elle est l’objet et, conséquemment, le poids du ciblage dans son comportement. Le constat intéressant est qu’aujourd’hui ce ne sont plus spécifiquement les « geeks » qui prennent conscience de cette manipulation, mais des profils de plus en plus variés. Cela se traduit pour la grande majorité par un agacement de la population, parfois même une exaspération liée à la sensation d’être un produit. La puissance des géants devient dérangeante, les big tech sont en train de devenir les méchants.

Comment cette évolution se traduit-elle depuis l’entrée en vigueur du RGPD ?

Je ressens une meilleure compréhension des enjeux de protection de la vie privée, notamment lorsque je donne mon pitch. Je pense que les réactions que je récolte sont un bon échantillonnage de l’ère du moment. Il y a 4 ans, je passais parfois pour un fou : « la confidentialité, ça n’intéresse personne », « le modèle GAFA c’est le seul qui fonctionne pour internet », etc. Aujourd’hui, ce n’est plus du tout le cas : c’est un marqueur énorme, très tangible.

Que propose Cozy Cloud pour les aider ?

Aujourd’hui, nos données ne sont déjà pas sous notre contrôle, mais elles sont également dispersées. Ainsi, l’usage que l’on peut en tirer est limité, voire freiné. La vie numérique se fragmente du fait de sa diversification : vie scolaire, parcours de santé, interactions avec les pouvoirs publics, objets connectés, etc. Toutes ces données circulent dans des écosystèmes étanches les uns par rapport aux autres, et cela crée une friction : c’est l’enfer des mots de passe, téléchargements, synchronisations, back-ups, etc. De ce fait, la force d’Apple consiste à créer une intégration, un maillage entre toutes ces données : l’utilisateur reçoit une invitation dans ses mails, elle est ajoutée sur son agenda, qui se synchronise avec son smartphone, lequel conduira bientôt sa voiture à destination… En interconnectant toutes ces données, Apple est devenue l’une des premières valeurs boursières !

Le fait d’ôter de la friction entre ces écosystèmes étanches et d’ajouter de la simplicité aux usages numériques a donc une valeur énorme. Une barrière persiste : l’isolation des données les unes par rapport aux autres. Pour un numérique utile, pratique, commode et personnalisé, il faut réunir les données.

En Europe, le système politique donne à l’individu une place centrale : aujourd’hui, grâce au RGPD, l’individu dispose d’un droit à la portabilité. C’est un droit fort pour l’usager, ainsi qu’un véritable levier pour Cozy Cloud et pour tous ceux qui se veulent des tiers de confiance. Il ne s’agit pas d’un droit de téléchargement, mais véritablement d’un droit au transfert pour l’utilisateur. Ce droit modifie totalement les règles du jeu.

Grâce à ce droit, l’individu est rendu légitime pour réconcilier les données : il dispose, d’une part des logins et mots de passe, d’autre part de la légitimité légale. En appuyant Cozy Cloud sur cette double légitimité, nous offrons à l’individu une plateforme numérique personnelle, dont il garde le contrôle, et dans laquelle il peut centraliser toutes ses données et accéder à de nouveaux services numériques.

Concrètement, quels services proposez-vous aux individus ?

Cozy Cloud, ce n’est pas seulement un coffre-fort « statique » comme on en voit beaucoup. L’utilisateur centralise ses données sur un cloud personnel pour pouvoir y adosser ses services, rajouter des usages et effectuer des croisements entre ses données. Nous appelons cela du « transverse data » : croiser les données issues de sources diverses. L’utilisateur peut par exemple faire le lien entre sa facture d’électricité et un débit sur son compte en banque : nous créons ainsi une véritable fluidité.

De plus, la plateforme permet à l’utilisateur de communiquer avec ses divers fournisseurs, qui se trouvent aujourd’hui dans des univers séparés : désormais, un login et un mot de passe uniques permettent d’échanger avec les différents fournisseurs.

Enfin, la solution permet la mise en place de services numériques à domicile. A l’heure actuelle, il faut laisser collecter la donnée pour pouvoir bénéficier d’un service ; par exemple, EDF envoie chaque mois des centaines de prélèvements automatiques sans savoir lesquels vont être bloqués in fine. L’information qui permettrait d’anticiper ces prélèvements infructueux existe mais EDF ne peut y accéder car cela reviendrait à accéder aux soldes bancaires de ses clients. Cela représente un coût important en frais de gestion, de traitement, de suivi et provoque des frictions dans la relation client. Avec la solution de Cozy Cloud, l’utilisateur récupère et consolide dans sa plateforme ses données bancaires, sa facture et la date de son prochain prélèvement ; de son côté, Cozy Cloud développe un protocole permettant de faire des calculs sur les données présentes dans la plateforme. Ainsi, l’algorithme d’EDF, qui a accès à la donnée mais ne la collecte pas, peut prédire que le prélèvement va être bloqué. De son côté, la banque peut par exemple faire une offre commerciale, et différer le prélèvement. Cette offre se base sur l’accès à une donnée très personnelle, qui relève de notre intimité numérique. Pourtant, jamais EDF ne reçoit la donnée : celle-ci ne sort pas du coffre numérique de l’individu et n’est donc pas dévoilée.

Comment sont gérés les accès et habilitations dans Cozy Cloud ?

C’est un peu similaire à ce que l’on peut retrouver sur nos smartphones : une fenêtre pop-up s’ouvre, par exemple pour demander l’accès à notre liste de contacts. L’accès d’une application à nos données facilite alors de nombreuses actions, par exemple la saisie d’un mail en local. Mais le transfert de données vers l’extérieur pose un véritable problème.

La fenêtre pop-up de Cozy Cloud propose deux options à l’usager : soit un usage local, soit un usage partagé de la donnée.

Quel est l’apport de votre solution pour les organisations ?

Cozy Cloud se fonde sur deux business models successifs.

Tout d’abord, nos clients ce sont de grands comptes, les « brick and mortars », qui bénéficient d’une confiance historique, menacés par les puissances du numérique. Ils veulent se repositionner à l’ère du numérique et valoriser cet asset de confiance : c’est donc du B2B2C. Cozy Cloud est aux « brick and mortars » ce qu’est Android pour le serveur, soit un service valorisant un hardware.

Le second business model interviendra une fois que la plateforme conciliera plusieurs acteurs-clés, tels que les banques ou les opérateurs de télécommunications : Cozy Cloud pourra s’adresser à une partie significative de la population. Il deviendra alors opérateur d’interactions digitales, dans une logique de partage de revenu avec les différents clients. En effet, Cozy Cloud gère l’écosystème et les contrats : lorsqu’un « brick and mortar » signe un contrat, tous les clients de Cozy peuvent bénéficier de sa donnée, avec l’accord de l’utilisateur. Le revenu lié à un client en particulier est matérialisé par la donnée apportée et la commission payée à Cozy Cloud.

Plus concrètement, quelle valeur ajoutée leur proposez-vous ?

On peut valoriser la donnée sans la monétiser pour autant : ce qui a de la valeur, ce n’est pas la donnée en tant que telle, c’est plutôt l’interaction créée entre les données, lorsque celle-ci est pertinente. Les organisations doivent le comprendre. Nous nous positionnons comme un opérateur d’interactions digitales.

Par exemple, lorsqu’un utilisateur achète une télévision à la Fnac, il reçoit la facture dans son cloud personnel ; ainsi son assurance peut lui communiquer des informations utiles, de type « votre nouvelle télé est bien assurée pour le dégât des eaux ». Cette interaction crée de la valeur pour l’assuré, mais également pour l’assureur. Dans ce contexte, l’organisation valorise son rôle de tiers de confiance en offrant davantage de services, mais peut également développer un nouveau métier. Celui-ci consiste, non plus à sécuriser de la donnée, mais à créer un écosystème de services à valeur ajoutée pour l’entreprise, mais aussi utile pour l’utilisateur. Si nous reprenons l’exemple d’EDF et de la banque, l’interaction rendue possible par Cozy Cloud engendre pour EDF un gain d’argent et de temps, qui se monétise. La plateforme Cozy devient ainsi un opérateur d’interactions digitales, somme toute plus intelligentes, tout en restant sous le contrôle des particuliers.

Cette solution pourrait sembler aller à l’encontre de technologies telles que le big data ou le machine learning de prime abord ; en réalité, jamais les entreprises n’auraient pu collecter de telles données et les ajouter à leur base de données. Cela leur permet de ne pas être définitivement désintermédiées, mais au contraire d’accéder à davantage de données.

Cela ne paraît pas nécessairement évident au premier abord : comment les convaincre ?

Il ne s’agit définitivement pas de convaincre les 30 000 PME et grands groupes français. Notre solution s’adresse à des acteurs qui sont aujourd’hui challengés par les nouveaux entrants du numérique. Aujourd’hui, le constat est sans équivoque : les GAFA connaissent mieux les clients des « brick and mortars » que les « brick and mortars » ne les connaissent eux-mêmes. Quand Facebook dépose un brevet sur l’évaluation de risque de crédit bancaire, ce n’est pas parce que Facebook est devenu un banquier : c’est simplement que Facebook a compris qu’il connaissait mieux les clients des banques que les banques elles-mêmes. Et ainsi, Facebook peut devenir banquier, tout comme il peut devenir opérateur d’énergie, de mobilité, de médias, etc. Du fait de l’intimité numérique qu’entretiennent les GAFA avec leurs usagers, ils s’approprient progressivement des verticales métiers.

En revanche, les « brick and mortars » bénéficient d’une confiance historique : banques, télécommunications, assurances mutualistes, pouvoir publics, etc. Nos clients sont des grands comptes, menacés par les puissances du net, qui veulent se repositionner à l’ère du numérique et valoriser cet asset qu’est la confiance. Nous leur proposons de tenir cette position de tiers de confiance, mais également de tirer de nouveaux usages de cette capacité de stockage.

Dans un premier temps, les organisations peuvent avoir la fausse impression de se faire prendre leurs données. Dans la réalité, Cozy Cloud vient les aider à développer des outils et usages plus intelligents. Soit ces organisations ouvrent le pas, et c’est une bonne chose pour elle, soit c’est Google qui le fera…

Cet article Vie Privée à l’ère du Numérique – Interview de Benjamin ANDRE (Cozy Cloud) est apparu en premier sur RiskInsight.

« Qwant, le moteur de recherche qui respecte votre vie privée »

Qu’est-ce que Qwant ?

Qwant est une société française avec des capitaux franco-allemands, dont le premier produit est un moteur de recherche possédant deux particularités. La première est qu’il respecte la vie privée de ses utilisateurs : il ne laisse pas de cookies et ne collecte aucune donnée personnelle. La deuxième est qu’il est souverain et européen. Il couvre les langues européennes et répond à la nécessité stratégique d’avoir un moteur de recherche en Europe car chacune des grandes puissances mondiales possède son propre moteur de recherche. En somme, Qwant se positionne comme un acteur numérique responsable avec un business model raisonnable et éthique.

Qui sont les utilisateurs de Qwant ?

Il est forcément difficile de les identifier. Nous avons des fichiers de logs, pour savoir quelles sont les requêtes qui sont envoyées, savoir là où ont cliqué les utilisateurs et pour comptabiliser les requêtes. Mais parce que nous ne collectons pas de données personnelles, nous ne pouvons pas savoir, par exemple, si une visite sur un site correspond à une première visite ou non.

Globalement, la connaissance que nous avons sur nos utilisateurs provient de sondages. Nous nous rendons ainsi compte que nos utilisateurs sont plus souvent des hommes que des femmes et sont plutôt avancés techniquement. En revanche, les âges des utilisateurs de Qwant sont très disparates.

Quelle était la genèse du projet ?

Je suis arrivé il y a seulement un an mais je connais le président Éric Léandri depuis 4 ans. Avec ses associés, il a d’abord établi le constat d’un important manque de souveraineté numérique alors même que notre économie numérique est basée sur la récolte de données personnelles. Celles-ci permettent de fournir des services personnalisés et de le financer par une publicité ciblée. Qui dit publicité ciblée dit collecte d’un maximum d’information sur la personne connectée.

De notre côté, nous estimons que cette solution n’est pas viable ! Pour instaurer une société numérique éthique et pérenne, il est nécessaire d’établir une relation de confiance avec les utilisateurs. L’exemple de l’affaire Cambridge Analytica tend à montrer que le numérique est aujourd’hui toxique pour nos sociétés.

En utilisant uniquement de la publicité non ciblée, comment vous rémunérez-vous ?

Nous proposons des publicités contextuelles : lorsqu’un utilisateur recherche le terme « vélo », une publicité liée au « vélo » va apparaître. Les informations personnelles, telles que le genre ou l’âge, ne sont pas connues. Paradoxalement, nous observons que le nombre de clics sur la publicité est plus élevé ; le gain lié aux publicités est donc proportionnellement plus élevé. Google a suivi ce business model jusqu’en 2006, époque à laquelle sa valorisation était de 10 milliards d’euros.

Aujourd’hui Qwant n’est pas dans une position de leader par rapport au reste des acteurs ; qu’est-ce qui pourrait changer la donne demain ?

Je vais répondre à côté volontairement : nous cherchons évidemment à obtenir davantage de part de marché. Pour être économiquement pérenne, nous avons besoin d’obtenir 15% du marché en France et 10% sur l’ensemble de l’Europe. Ça serait déjà formidable parce que le marché est énorme et que ça nous suffirait amplement pour vivre et pour que nos actionnaires soient ravis. Je pense que c’est essentiel de rappeler ça ; nous ne pouvons pas dire avec assurance que Qwant n’arrivera jamais à détrôner Google, mais nous pouvons toujours essayer.

Un business model respectueux de la vie privée, est-ce nécessairement un modèle sans aucune collecte de données à caractère personnel ?

Pas nécessairement. Ce qui est certain, c’est qu’il y a avant tout un besoin de repenser le système. Il a des innovations nécessitant la collecte de données qui ne fonctionneront pas sans un changement de dispositif. Je pense par exemple à notre filiale, Qwant Care, qui utilise l’IA sur des données médicales. Nous avons misé sur l’importance du médecin comme intermédiaire de confiance. Le patient va confier ses données médicales au médecin qui va les anonymiser grâce à un identifiant aléatoire avant de les envoyer à Qwant Care pour les faire analyser. Nous renvoyons un résultat et c’est au médecin de réécrire le nom du patient sur le dossier puis de le remettre au patient lors du diagnostic. L’existence d’un tiers de confiance peut constituer un premier pas dans ce sens.

Qwant ne mémorise pas l’historique de navigation, mais seulement les requêtes sans distinction de l’utilisateur. Il peut donc tout de même faire des suggestions dans la barre de recherche. Si vous tapez Donald, vous allez avoir Donald Duck et Donald Trump. Ce système peut cependant s’avérer handicapant car très peu d’utilisateurs utilisent les marques pages et les favoris. C’est néanmoins ce qui permet de ne stocker aucune donnée personnelle. Pour y remédier, nous mettons en place le « learning to rank » : en comptabilisant le nombre de clics par résultat de recherche nous parvenons à réorganiser l’ordre d’apparition des résultats de recherche selon les préférences utilisateurs. Sur la page de recherche Qwant, les résultats n’affichent que le titre et un extrait du contenu : l’amélioration de l’algorithme est donc basée sur l’intuition de l’utilisateur et l’intelligence collective. Par ailleurs, nous travaillons sur un nouvel outil, appelé Masq, qui enregistre les recherches en local sur l’ordinateur ou le mobile. Avec cet outil, l’utilisateur pourra avoir également des suggestions personnalisées, basées sur son propre historique de navigation, sans que Qwant ne l’enregistre sur ses serveurs.

Le problème est qu’en tant qu’utilisateur, nous ne sommes pas vraiment éduqués à l’utilisation de nos appareils. Lorsque vous achetez un Android, vous avez l’impression qu’il faut immédiatement un compte Gmail : ce n’est pas vrai mais c’est prévu pour que vous ouvriez un compte Gmail et rentriez dans l’engrenage. En réalité, nous pouvons faire plein de choses sans compte Gmail. De notre côté, nous avons annoncé un partenariat avec Wiko pour proposer un smartphone équipé de Firefox mais dont le moteur de recherche par défaut est Qwant au lieu de Chrome. Avec ce smartphone, vous pourrez initier votre Wiko sans aucune donnée personnelle. Seul l’opérateur saura qui vous êtes.

RGPD et prise de conscience collective

Le RGPD et la multiplication des scandales autour du respect de la vie privée ont-ils généré une prise de conscience des citoyens ?

Bien sûr, nous remarquons une certaine prise de conscience : le RGPD est un sujet de discussion et les derniers scandales ont eu une véritable valeur pédagogique (ce que nous avons d’ailleurs pu constater avec la hausse importante de fréquentation de Qwant suite à la médiatisation de l’affaire Cambridge Analytica). Néanmoins, la sensibilité au respect de la vie privée numérique reste encore trop peu développée à mon sens.

Dans ce cas, qu’est-ce qui a évolué dans la perception des citoyens ?

Les gens commencent à mieux percevoir ce que font les géants du numérique et les problèmes que cela pose, mais de façon encore trop timide. J’ai publié un livre dans ce sens il y a deux ans et demi (N.D.R.L. : Surveillance:// : Les libertés au défi du numériques : comprendre et agir, aux éditions C&F). Dans ce livre, je faisais œuvre d’éducation : faire comprendre le business model des géants du numérique, définir le logiciel libre et expliquer comment se protéger de la surveillance.

Ma démarche consiste, non pas à faire peur aux gens, mais à leur expliquer les choses. Je donne plus d’une centaine de conférences par an où j’explique de façon quasi-systématique le business model des géants de l’internet. Ce que les individus ne réalisent pas, c’est qu’ils sont utilisateurs des services proposés par ces entreprises et non pas les clients : le véritable client est l’annonceur publicitaire.

Comment aller plus loin dans cette prise de conscience ?

Malheureusement, très peu de gens sont formés au numérique alors même que le passage de l’administration au numérique apporte une pression sur toutes les tranches de la société. Tout le monde est obligé de s’y mettre malgré ce manque d’accompagnement. Par exemple ils ont souvent des difficultés à différencier un navigateur d’un moteur de recherche. L’application Qwant est un navigateur avec un moteur de recherche ; c’est comme confondre TF1 et Panasonic…

Je suis toujours étonné que l’on me pose des questions sur le compteur Linky par exemple. Cela ne représente rien en termes de vie privée par rapport à la collecte de données personnelles par les géants d’internet. Globalement, la notion de numérique est abstraite pour beaucoup. J’aime faire le parallèle avec les travaux de Louis Pasteur sur les microbes. Des micro-organismes invisibles à l’œil nu présents dans l’air sont à l’origine de maladies. Cette découverte a pu faire grandement baisser le nombre de décès dans les hôpitaux par l’adoption de simples gestes d’hygiène. Et bien aujourd’hui, ce qu’il nous manque dans le numérique, c’est la compréhension des concepts qui se cachent derrière et l’adoption généralisée de réflexes d’hygiène numérique…

Quel avenir pour les moteurs de recherche avec cette prise de conscience ?

Je pense personnellement que le numérique tel qu’il est aujourd’hui est dangereux : nous préparons un big Brother, ou dans le meilleur des cas un big Mother, c’est-à-dire une maman dont nous serions dépendants car elle saura tout de nous. J’ai un très fort attachement à la liberté individuelle et au libre choix de chacun ; il ne me paraît pas bon que quelqu’un ou une entreprise sache tout sur tout le monde et l’utilise via l’intelligence artificielle pour faire des suggestions aux individus. Des nombreuses dystopies découlent de ce modèle.

Facebook connaît par exemple l’opinion exacte de chacun de ses utilisateurs sur les Gilets Jaunes : vous n’en parlez pas forcément mais vous avez été confrontés à du contenu dont Facebook sait si vous l’avez liké, commenté positivement ou négativement, partagé, regardé jusqu’au bout. Leur business model consiste à faire passer de la publicité engageante, éventuellement politique, et d’analyser les réactions. Facebook a ainsi permis à la fois l’émergence de ce mouvement et de ses opposants, car c’est un endroit qui facilite le fait de se plaindre ou de critiquer. En revanche, rien n’y est fait pour apaiser et trouver des solutions raisonnables, car le contenu ne serait pas assez engageant pour l’algorithme de recommandation de Facebook. Dans un contexte d’élections, la capacité de Facebook de cibler les personnes selon des critères très précis, initialement pour leur vendre des produits ou de la publicité adaptée à leurs préférences, en devient même effrayante. Cumulé à cela, notons qu’il n’y a aucune obligation de véracité sur le contenu proposé par Facebook ; les manipulations sont donc aisées et courantes…

Quel avenir pour la vie privée dans le numérique ?

A titre personnel, quel est votre rapport à la vie privée et au numérique ?

Je suis informaticien, j’ai appris à programmer seul à 14 ans, j’en ai 52 aujourd’hui. J’ai commencé plus tôt que les autres, je suis en fait un vieux natif du numérique. Etant passionné, je suis resté longtemps aveugle sur les enjeux liés à la vie privée. Je voyais tout le potentiel de l’informatique : j’ai découvert le micro-ordinateur personnel à partir de 1980, qui a été un outil de libération dont nous ne pouvons plus nous passer aujourd’hui. Puis internet est arrivé avec cette capacité à mettre les personnes en relation, à leur donner accès au savoir. Au début, je n’ai pas cru à Wikipédia ; aujourd’hui je suis contributeur aussi bien en termes financiers qu’en contenu : ce n’est pas un outil parfait mais il rend des services incroyables. Puis le smartphone est arrivé : nous avons notre ordinateur en poche, connecté à Internet sans fil. Et, enfin, nous assistons à la révolution du logiciel libre : par exemple avec un code développé par des bénévoles, Firefox a atteint les 500 millions d’utilisateurs. Bref, le numérique est l’aventure de ma vie.

Plus tard, j’ai découvert la problématique des données personnelles. Chez Google, les salariés ont toujours eu une responsabilité écrasante et l’obligation de générer un revenu sans cesse croissant. Puis, Facebook est arrivé avec un produit différent mais en utilisant le même business model à destination des mêmes clients : les annonceurs. Pour moi, Google a une culture éthique et morale que nous ne retrouvons pas du tout chez Facebook, mais ils se sont laissé entrainer dans une logique de course au bénéfice constante contre Facebook. Il faut tirer la sonnette d’alarme pour contrer cette dérive.

Je reste persuadé qu’Internet, le micro-ordinateur, le numérique avec le smartphone, ont un potentiel fabuleux, mais la décentralisation est la condition pour protéger la vie privée. Je pense également que logiciel propriétaire n’est pas dans l’intérêt du citoyen ; pourtant Qwant en propose aussi. Il n’y a aucun contrôle sur les logiciels propriétaires, ils fonctionnent selon une logique de marché qui ne laisse pas de vraie possibilité de choisir, surtout lorsque nous ne sommes pas suffisamment éduqués pour le faire.

C’est pour cette raison que j’ai lancé les « meet-ups » pour la décentralisation d’Internet, il y a cinq ans maintenant. Aujourd’hui, les gens ne sont pas éduqués sur le numérique. Lorsque vous allez choisir un téléphone, vous devriez hésiter entre un iPhone, relativement cher pour une sécurité maîtrisée, et un Android, beaucoup moins sécurisé vis-à-vis de Google. Dans la réalité, la plupart d’entre nous focalisent leurs critères de choix sur des détails esthétiques sans prendre en compte le respect de la vie privée et la sécurité de ses données.

A votre sens, quelles sont les clés pour redonner confiance aux citoyens dans les services que le numérique peut leur proposer ?

Notre volonté est de positionner Qwant dans une nouvelle génération de service, éthique et, je l’espère, pérenne, grâce à la collecte d’un minimum de données. La minimisation de la quantité de données collectées est une notion très intéressante du RGPD. Sur votre smartphone, Facebook vous demande l’accès à vos contacts, à vos SMS, à votre agenda et télécharge tout instantanément. Pourquoi ont-ils besoin de savoir qui j’appelle par téléphone ? Nous en sommes même arrivés à créer une application « privacy flashlight » car beaucoup d’applications « flashlight » demandaient l’accès à vos contacts ! Je pense que nous sommes dans une crise de confiance, et chez Qwant, nous voulons vraiment incarner une nouvelle génération de services respectueux de la donnée en suivant une optique de minimisation dans l’esprit du RGPD.

La collecte généralisée et systématique des données, telle que l’effectue Google, va à l’encontre des principes de minimisation de la collecte et de décentralisation du stockage de la donnée. En réalité, les nouvelles technologies peuvent être rendues compatibles avec la protection de la vie privée : en opérant des changements d’architecture, en développant des outils en open source, en stockant les données de façon chiffrée et locale, rien n’empêche de continuer à synchroniser entre eux de façon chiffrée les appareils d’un même utilisateur.

 « Un citoyen sur trois dit qu’il est prêt à payer pour des services protecteurs de la donnée ». Est-ce que nous nous dirigeons vers des outils proposant une version payante qui respecte votre vie privée et une version indirectement payante via la collecte des données personnelles ? Nous ferions alors face à deux mondes s’écartant progressivement l’un de l’autre…

Ce risque existe déjà. En raison du prix très élevé des iPhones, Apple n’a pas besoin de monétiser et de rentabiliser nos données personnelles. A l’inverse, Android est un mouchard de poche, un cheval de Troie voué à la collecte de la donnée personnelle, via les applications Google Maps, Google Contact, Gmail, etc.

A côté de cela, Dan Ariely démontre dans ses études l’attrait irrésistible de la gratuité. Au sein de l’université dans laquelle il enseigne, il a mené l’expérience de proposer à un stand des truffes Lindt à 26 centimes et des chocolats bon marché à 1 centime : par défaut la majorité choisissent la truffe Lindt même si elle est plus chère car c’est un meilleur rapport qualité/prix. En revanche, quand il a diminué le prix d’un centime, et que le chocolat bon marché est alors devenu gratuit, la grande majorité des personnes l’ont alors choisi au détriment de la truffe à prix cassé. Il est très difficile de lutter contre la gratuité ; si Qwant était payant, il n’y aurait pas beaucoup d’utilisateurs…

Cet article Vie Privée à l’ère du Numérique – Interview de Tristant NITOT (Qwant) est apparu en premier sur RiskInsight.

Bilan d’un an de RGPD

Wavestone : Le RGPD a-t-il permis la prise de conscience escomptée ?

Gwendal Le Grand : Le RGPD est entré en application le 25 mai 2018 et c’est un texte que tout le monde s’est approprié : les organisations, les particuliers et les autorités de protection des données.

Les citoyens ont tiré parti de leurs droits et les ont davantage exercés auprès des organisations. En résulte une augmentation significative du nombre de plaintes : si on regarde les chiffres publiés dans notre rapport annuel, la CNIL a reçu 11 077 plaintes sur l’année dernière, soit une augmentation de 32% par rapport à l’année précédente, qui se poursuit cette année encore.

Du côté des entreprises, il est obligatoire d’avoir un DPO dans certains cas. Avant l’entrée en application du RGPD, on avait 5 000 correspondants informatique et libertés ; aujourd’hui on a déjà 16 000 DPO, représentant 50 000 organismes au total et il existe environ 700 structures en France qui proposent des prestations de DPO mutualisé. Pour citer un chiffre emblématique : en un mois, « L’atelier RGPD », notre MOOC, a vu la création de plus de 27 000 comptes, dont plus de 10% ont reçu l’attestation de réussite. Cela signifie qu’ils ont regardé toutes les vidéos et ont passé un petit test avec succès à la fin. Le nombre de visites sur le site de la CNIL est également marquant : il est passé à 8 millions en 2018, un chiffre non négligeable pour une autorité administrative indépendante, et une augmentation de 80% par rapport à l’année précédente.

Du coté des organisations professionnelles, nous avons reçu le 25 mai 2018 une plainte collective de la part de La Quadrature du Net et de NOYB et de l’association NOYB de Max Schrems qui travaille sur les grands acteurs de l’internet. Ces plaintes collectives ont donné lieu à la plus grosse sanction infligée par la CNIL en janvier 2019. On peut donc dire que tous, particuliers, entreprises, organismes de représentation des utilisateurs, se sont approprié le texte.

Nous travaillons également avec nos homologues au niveau européen. Un système d’information nous permet notamment d’échanger sur les cas transfrontaliers nécessitant de la coopération entre autorités nationales.

Du côté de l’adaptation du cadre national, tout s’est mis en place progressivement : la loi qui vient en préciser les marges de manœuvres, le décret d’application qui vient préciser la loi et l’ordonnance de réécriture de la loi.

Wavestone : Quel est le niveau d’avancement des entreprises dans la mise en conformité de votre prisme ?

Gwendal Le Grand : Au niveau des entreprises, la question de la protection des données a tendance à monter au plus haut niveau de la gouvernance, comme les COMEX ou les conseils d’administration. Un nombre important d’organisations a également désigné des DPO (délégués à la protection des données) ; certaines petites structures découvrent la protection des données à l’occasion du coup de projecteur donné par le RGPD et notamment l’effet dissuasif des sanctions qui peuvent désormais aller jusqu’à 20M€ ou 4% du chiffre d’affaire mondial de l’entreprise.

Wavestone : D’ailleurs, quels sont les sujets qui suscitent le plus de plaintes de la part des individus ?

Gwendal Le Grand : A date, les plaintes reçues par la CNIL restent assez « traditionnelles ». Elles sont surtout liées à la volonté de maîtrise des données à disposition en ligne (déréférencement, suppression de contenu sur des blogs, sur des sites de presse, ou sur des réseaux sociaux, etc.). On réceptionne aussi beaucoup de plaintes liées à la prospection commerciale et aux questions RH. Sur ce dernier point, ce sont en particulier les activités de surveillance qui font l’objet de plaintes : surveillance au travail, surveillance d’activité ou vidéosurveillance sur le lieu de travail. Petit à petit les problématiques relatives à ces nouveaux droits montent mais c’est quelque chose qui se fait doucement avec une courbe d’apprentissage au niveau des plaintes.

Wavestone : Au niveau des contrôles et sanctions, quel bilan tirez-vous ?

Gwendal Le Grand : La CNIL a des missions d’accompagnement, mais également des pouvoirs de contrôle et de sanction renforcés avec le RGPD ; ces deux missions sont complémentaires. En 2018, nous avons effectué 310 contrôles (en ligne, sur place, sur pièces).

En réalité, les possibilités de se mettre en conformité sont assez nombreuses avant d’arriver à la sanction elle-même. Celle-ci intervient uniquement en dernier recours. Habituellement, lorsqu’un organisme est contrôlé, on collecte ses pièces numériques, on les analyse. La plupart des contrôles donnent lieu à des échanges avec les organismes concernés et des clôtures. En cas de manquement de mise en conformité, une mise en demeure est envoyée à l’organisme. Puis il dispose d’un certain temps, à l’issue duquel, s’il ne s’est toujours pas mis en conformité, la CNIL rentre dans une procédure de sanction, qui peut aboutir notamment à une sanction pécuniaire. Il existe également une procédure de sanction accélérée.

En 2018, 11 sanctions ont été prononcées. À la suite du RGPD, le montant des sanctions est devenu plus important . Ainsi, pendant très longtemps la sanction pécuniaire maximale que pouvait infliger la CNIL s’élevait à 150 000€ ; elle est passée à 3 millions d’euros avec la loi pour une république numérique en 2016 ; puis à 20 millions d’euros ou 4% du chiffre d’affaires mondial avec le RGPD en 2018.

Wavestone : Les sanctions ont augmenté mais restent dans des volumes se comptant en dizaines ou centaines de milliers d’euros. Peut-on envisager de voir des sanctions de plusieurs millions d’euros dans les prochaines années ?

Gwendal Le Grand : Il y a eu en janvier une sanction de 50 millions d’euros, qui concernait un grand acteur de l’internet (NDLR : Google). Les autorités activent progressivement les nouveaux plafonds permis par le RGPD, au fur et à mesure que la procédure de contrôle se développe.

Wavestone : Comment ce type de sanction va-t-il être géré au niveau européen ? Est-ce qu’une sanction peut être répétée par les autorités des autres pays ?

Gwendal Le Grand : Le RGPD prévoit un système de guichet unique ; les organisations peuvent donc s’organiser pour avoir un établissement principal de référence, c’est-à-dire une autorité de protection des données unique en tant qu’interlocuteur au niveau européen. Concernant la sanction du mois de janvier, nous avons échangé avec nos homologues au moment des contrôles : il n’y avait pas d’établissement principal de cet organisme-là sur le territoire européen, ce qui permettait de dire que chaque autorité était compétente en ce qui la concernait sur son territoire. La CNIL était donc légitime à prendre une décision de sanction vis-à-vis de cet acteur-là. Le montant de la sanction a ensuite été ajusté, notamment en fonction de l’assiette des utilisateurs français.

Wavestone : Justement, à l’international, quel bilan ?

Gwendal Le Grand : Le but est de réussir la diplomatie de la donnée avec nos homologues au niveau CEPD, groupe des CNIL européennes, comme sur le plan international. On discute d’ores et déjà avec un certain nombre d’Etats ou de régions du monde, qui, dans la vague du RGPD, cherchent à se doter aussi de lois nationales ou régionales. Nous avons notamment travaillé avec des partenaires asiatiques, avec les Etats-Unis, et dans le cadre de la convention 108 du conseil de l’Europe. Ce sont des travaux qui sont bien évidemment amenés à se poursuivre.

Wavestone : Ce qu’on anticipe c’est un texte qui fasse référence pour des textes à venir dans le monde ?

Gwendal Le Grand : En matière de champ territorial, le RGPD s’applique aux organisations en Europe ou ciblant des utilisateurs européens. C’est une sorte de standard pour la confiance sur la question de la protection des données personnelles. En dehors du territoire européen, beaucoup d’acteurs s’intéressent au RGPD, car les européens sont leurs premiers clients. Derrière, c’est évidemment un gage de confiance pour eux vis-à-vis des échanges qu’ils peuvent avoir avec les acteurs dans leur région du monde.

Wavestone : Selon vous, le RGPD a-t-il modifié la relation entre les entreprises et leurs clients historiques (exercice de droits, modifications des usages, etc.) ?

Gwendal Le Grand : Au niveau de la CNIL, on ne voit pas forcément l’intégralité de la chaîne. On peut cependant constater qu’un certain nombre d’entreprises affichent la protection des données comme un avantage concurrentiel. Au-delà des aspects de conformité et de sanction potentielle, l’enjeu de ce texte est également de renforcer la confiance dans les services proposés par les entreprises, et indirectement de leur ouvrir des opportunités de développement économique.

Perspectives

Wavestone : Quels sont selon vous les points clés pour les entreprises afin de conserver une dynamique de conformité dans le temps ?

Gwendal Le Grand : Nous allons vraiment chercher à mettre en place une gouvernance de la donnée au niveau des entreprises : c’est une opportunité pour elles, aussi bien pour protéger les données que pour restaurer la confiance vis-à-vis de tout l’écosystème de leurs clients et de leurs entreprises partenaires. Le RGPD a mis en lumière les enjeux de cybersécurité : la gestion efficace et la sécurisation des données sont autant de questions essentielles à l’heure où nos sociétés sont devenues dépendantes de l’économie numérique. Dans ce sens, c’est également une opportunité pour les entreprises. Le RGPD mentionne ainsi la nécessité de mettre en place des mesures de sécurité techniques, organisationnelles, proportionnées au risque pesant sur les données personnelles.

Désormais, avec le RGPD, les entreprises doivent, dans certains cas, notifier la CNIL et les personnes concernées des éventuelles violations de données à caractère personnel. Pour y parvenir, les entreprises ont mis en place un système à trois niveaux. Premièrement, elles doivent tenir un registre de tous les incidents de sécurité qui touchent à la donnée personnelle.

Ensuite, elles doivent notifier à la CNIL sous 72h toute violation de données. Ces notifications servent essentiellement à faire monter le niveau de maturité des entreprises sur les questions de cybersécurité, et à leur apprendre à se préparer, à mettre en place un système de détection et de prise de décision, à maîtriser leurs risques et à réagir efficacement en cas d’incident.

Enfin elles sont tenues de les notifier aux personnes concernées en cas de risque élevé. Cette dernière obligation a des conséquences opérationnelles : appels de clients en masse, impact réputationnel. Ces notifications servent notamment à ce que les personnes se protègent, soient plus vigilantes (par exemple aux attaques de phishing), ou modifient leur mot de passe. L’objectif de ce système à trois niveaux est donc réellement d’aider les personnes à se protéger et les entreprises à améliorer leur niveau de maturité sur les questions de cybersécurité.

L’article 35 du RGPD concerne également les questions de cybersécurité ; il indique que la réalisation d’analyses d’impact sur la protection des données est nécessaire pour tous les traitements susceptibles d’engendrer des risques élevés pour les personnes. L’analyse d’impact est une analyse de risque évaluant les impacts sur les personnes et sur les entreprises, de façon formalisée et incluant un plan d’action. Le RGPD initie vraiment le passage d’une logique de formalités administratives préalables (déclarations) à une logique de conformité en continu avec une amélioration constante et une réévaluation, révision et mise à jour régulière du plan d’action.

Wavestone : Nous réfléchissons beaucoup sur le droit à la portabilité. C’est un des droits dont on a le plus parlé quand le texte a été voté, pourtant aujourd’hui c’est peut-être le droit qui est le moins exercé au quotidien chez nos clients. Partagez-vous ce constat ? Comment l’expliquez-vous ?

Gwendal Le Grand : Le droit à la portabilité est l’un des nouveaux droits du RGPD ; il est donc normal de constater une courbe d’apprentissage.

De plus, ce n’est pas un droit absolu. Il ne s’applique donc pas pour toutes les bases légales du traitement, mais seulement lorsque celui-ci se base sur le consentement de la personne ou sur un contrat. Les autres bases légales sont écartées du droit à la portabilité.

Il s’applique aux données que vous avez fournies à un service direct ou indirect. Les lignes directrices du CEPD (N.D.R.L. Comité Européen de la Protection des Données, qui a pris la suite du G29), expliquent dans quelles conditions s’applique le droit à la portabilité. Nous avions communiqué l’année dernière au mois de mai 2018 sur le fait que notre priorité dans les actions de contrôle et de mise en conformité se concentrait plutôt sur les droits existants, car nous étions conscients qu’il y aurait une courbe d’apprentissage sur les nouveaux droits. Mais nous commençons à recevoir des plaintes de personnes ayant des difficultés à exercer leur droit à la portabilité. Il faut comprendre que la CNIL intervient en bout de chaîne : en général, les personnes s’adressent d’abord au responsable de traitement, puis à nous quand ils n’ont pas de réponse ou que celle-ci ne leur semble pas satisfaisante.

Wavestone : Avez-vous des exemples de bonnes pratiques ou de bons élèves autour de la manière d’utiliser les données à caractère personnel de manière conforme ?

Gwendal Le Grand : On en voit bien sûr. Nous proposons sur le site linc.cnil.fr une cartographie d’outils et de pratiques. Ce n’est pas de la certification de produit, mais de l’analyse des pratiques annoncées par plusieurs acteurs. Nous cherchons à capitaliser sur les bonnes pratiques que nous voyons au quotidien, afin de pouvoir les citer en exemple. Nous proposons aussi un site sur le design de la protection des données (design.cnil.fr), qui a pour objectif de créer une communauté des designers et d’échanger les bonnes pratiques sur la protection des données. Il contient un kit de développement respectueux de la loi informatique et libertés, avec des exemples anonymisés et génériques : « j’ai besoin d’informer les personnes sur le traitement de données … », « ce n’est pas une bonne manière de faire parce que… », « avec ce type de présentation-là, c’est une bonne manière d’informer les personnes parce que… ». Des instruments de certification pourront être activés ultérieurement.

Wavestone : A votre sens, quels sont les défis à venir pour vous dans les mois et les années à venir ?

Gwendal Le Grand : Dans notre rapport annuel, la mise en œuvre opérationnelle du RGPD apparaît comme l’enjeu majeur à venir pour la CNIL, notamment pour rehausser le niveau de confiance dans l’économie numérique.

Nous proposons un plan d’action de sensibilisation  des petites collectivités comprenant l’édition d’un guide, la partiicpation de la CNIL au salon de smaires en novembre 2019 et la création d’un module complémentaires de cours en ligne gratuit pour les collectivités . nous allons également renforcer l’inter-régulation avec d’autres autorités sur les questions de régulation du numérique : l’autorité de la concurrence, le CSA, l’ARCEP, l’HADOPI. De notre point de vue, la priorité est le développement d’une expertise sur les contrôles de la CNIL. Notre régulation est pluridisciplinaire : technologique, juridique, mais également éthique. Nous voulons notamment être en capacité d’anticiper et de maîtriser toutes les évolutions technologiques. Les sujets cruciaux pour nous sont les droits des personnes, les sous-traitants et la collecte de données bancaires. Nous communiquons sur ces sujets, en nous adressant à la fois aux personnes en garantissant leurs droits et aux entreprises en leur expliquant les règles à suivre.

Nous produirons également de nouveaux outils. Sur le plan réglementaire, nous voulons proposer de nouveaux cadres de référence, c’est-à-dire de nouveaux instruments compatibles avec le RGPD et les différentes réglementations. Sur le plan technique, nous travaillons déjà beaucoup sur les questions de design de service innovant, notamment sur l’inscription des utilisateurs à un service : finalement, pour que le consentement soit valide, il faut que la personne soit bien informée de la façon dont vont être traitées ses données. En janvier 2019, nous avons créé un cahier « Innovation et prospective » intitulé « La forme des choix », disponible sur notre site ; nous voulons poursuivre ces travaux avec les designers. Ils ont un rôle très important à jouer dans la qualité de l’information des personnes dont les données vont être traitées.

Cet article Vie Privée à l’ère du Numérique – Interview de Gwendal Le Grand (CNIL) est apparu en premier sur RiskInsight.

Les résultats de notre benchmark sur la protection de la vie privée dans les entreprises

Le benchmark effectué auprès de 24 entreprises françaises et internationales révèle que :

Des efforts importants ont été fournis sur la protection de la vie privée !

Les organisations ont mené des actions concrètes : nommer un DPO, compléter un registre des traitements, dérouler les DPIA, mettre à jour les formulaires de collecte de données, instaurer des processus de gestion des demandes d’exercice de droits, lancer des campagnes de sensibilisation, mettre à jour les contrats, identification des transferts, etc. La question peut alors se poser : la crise de confiance repose-t-elle sur la mauvaise perception des efforts fournis ?

Cependant, les organisations sont confrontées à des difficultés pour assurer une conformité durable. Les processus mis en place sont pour la plupart manuels et la perception du volet protection de la vie privée par les collaborateurs comme une « contrainte » ne permettront pas de pérenniser la démarche au-delà des programmes de conformité. Un risque : voir les efforts fournis perdus dans le temps….

Ainsi, trois challenges s’offrent désormais aux organisations :

Repenser le système d’information autour de la donnée

Sur le terrain, dans les organisations « historiques », l’architecture du système d’information est orientée service ou calquée sur l’organisation interne et ne permet donc pas une approche globale centrée sur la donnée. Cela crée de nombreuses difficultés opérationnelles dans le cadre du RGPD : gestion des consentements, des exercices de droits, suppression des données…

• 55% des organisations du panel sont contraintes de gérer les consentements par silo ;
• 33% des organisations du panel parviennent à garantir la suppression de l’intégralité des données d’un client dans le cadre d’un droit à l’oubli ;
• 19% des organisations du panel sont parvenues à entièrement automatiser la suppression des données à termes de leurs durées de conservation.

De ce fait, les processus mis en place dans l’urgence de la conformité sont encore très artisanaux, il s’agit désormais de réorganiser le système d’information autour de points de vérité omnicanal pour faciliter l’industrialisation. L’étude propose un focus sur un accélérateur dans la mise en place d’un tel dispositif : le Customer IAM avec l’interview d’un expert Wavestone.

Mettre en place une gouvernance de la donnée cohérente, transverse et intégrant le volet vie privée

La mise en place d’une gouvernance de la donnée est une priorité stratégique pour les organisations. Cependant, face à l’urgence de la mise en conformité au RGPD, les organisations n’ont pas nécessairement eu le temps de traiter de front cette valorisation et les impératifs liés à la protection des données personnelles. Il s’agit donc de repenser la stratégie de collecte, d’utilisation et de valorisation des données dans le respect de la règlementation pour adopter l’approche « smart data », qui reste peu appropriée à date.

Cela s’illustre par le fait que :

• 16% des organisations du panel ont lancé une campagne de renouvellement des consentements (11% sur certains consentements, 5% sur l’intégralité des consentements) ;
• 50% des organisations du panel ont mis en place des processus permettant de vérifier que la donnée collectée est limitée, appropriée et pertinente par rapport à son utilisation.

L’étude propose un focus sur les opportunités qu’offre la pseudonymisation aux organisations par rapport à une anonymisation des données ou une simple suppression à terme de leur durée de conservation.

Faire de la protection des données personnelles un réflexe au quotidien

96% des organisations du panel ont inséré une étape d’évaluation des risques pour la vie privée dans leurs méthodologies projet… Mais 33% d’entre elles n’estiment pas qu’elle soit suffisante pour assurer une conformité dans la durée. Autre constat, seulement 25% des organisations du panel considère avoir une équipe « privacy » adaptée au besoin réel.

Pour contrer cela, l’étude livre quelques bonnes pratiques pour promouvoir la valeur ajoutée de la démarche et embarquer les métiers dans la privacy : sensibilisation, responsabilisation, privacy agile, positionnement en accompagnateur de l’innovation…

Aller plus loin et se démarquer sur la protection de la vie privée

Les banques sont historiquement placées parmi les acteurs bénéficiant le plus de la confiance des citoyens. En 2016, 51% des interrogés plaçaient la banque en première position en termes de tiers de confiance… Mais, comme le démontre le schéma ci-contre, aujourd’hui, les banques ont chuté au 8ème rang des acteurs de confiance. 10% des sondés positionnent même les banques comme le type d’organisation envers lequel ils ont le moins confiance.

Preuve que la conformité à la règlementation n’est pas la condition nécessaire et suffisante pour gagner ou maintenir la confiance des citoyens. Il est temps pour les organisations de faire de cet enjeu majeur une opportunité pour innover.

Cette partie de l’étude livre quelques focus sur des pistes pour innover sur la protection de la vie privée : pour en faire un différentiateur commercial (renforcement de la relation client grâce à la mise en place d’un privacy center, opter pour une stratégie marketing orientée privacy), la monnayer ou en faire la base de nouveaux business models.

Cet article Conformité au RGPD : où en sont les entreprises ? est apparu en premier sur RiskInsight.

L’étude « Vie privée à l’ère du numérique » dont les chiffres clés sont résumés ci-dessous et dans un second article à paraître prochainement, vient guider les entreprises dans l’adoption de cette approche. Celle-ci s’appuie sur un sondage international mené auprès de 3620 citoyens, d’un état des lieux de conformité au RGPD sur un panel de 24 entreprises et plusieurs interviews : Gwendal Le Grand, directeur des technologies et de l’innovation à la CNIL, de Tristan Nitot, VP advocacy chez Qwant, un moteur de recherche qui ne collecte aucune donnée à caractère personnel et Benjamin André, co-fondateur de Cozy Cloud, une solution permettant aux organisations de s’investir dans le self-data.

2/3 des citoyens assimilent la vie privée à la maîtrise de leurs données sur le net

La vie privée est une préoccupation mondiale : 94% des sondés la considère comme important (soit une augmentation de 19% par rapport au 1^er sondage mené sur ce thème en 2016) : ce chiffre traduit une prise de conscience inédite des citoyens. Les sondés associent notamment la protection de la vie privée au fait de pouvoir choisir les tiers qui collectent et manipulent leurs informations, avant même de savoir quelles données sont collectées et pour quels usages. La donnée financière reste la donnée la plus citée par nos sondés comme donnée perçue comme privée, alors qu’elle n’est généralement pas considérée comme tel dans les démarches privacy des entreprises (les données biométriques, de santé, religieuses, sexuelles, voire d’habitudes de vie les devancent souvent). Au contraire, certaines données comme les habitudes de vie ou la géolocalisation sont perçues comme peu sensibles par nos sondés.

Une confiance envers les organisations qui diminue !

32% des sondés considèrent qu’ils font moins confiance aux entreprises quant à l’utilisation faite de leurs données qu’il y a un an. Constat particulièrement étonnant en Europe : le RGPD, a provoqué une crise de confiance !

En Europe (Royaume-Uni inclus), environ 36% des sondés font moins confiance aux entreprises. Un comble avec l’entrée en vigueur du RGPD, censée redonner la maîtrise de leurs données personnelles aux citoyens Européens. Du fait de la complexité renvoyée, des violations désormais publiques et des différents scandales, les citoyens sont plus méfiants, perdent confiance et sont moins enclins à partager leurs données.

25% des sondés sont réfractaires au partage de leurs données, quelle que soit l’utilisation qui en est faite ! Lorsqu’il s’agit d’évaluer la pertinence de l’utilisation des données, les réponses varient peu pour des usages aussi différents que de la prospection commerciale ou de la vidéosurveillance, confirmant que l’utilisation faite des données n’est pas le sujet de leurs préoccupations.

Cependant, 3 types de comportements se détachent vis-à-vis des données :

• 45% de la population peut être qualifiée de « privacy comfortable ». Cette catégorie accepte le partage de ses données comme contrepartie pour avoir accès à de nouveaux usages digitaux.
• 30% de la population peut être qualifiée de « privacy in doubt ». Cette catégorie comprend l’intérêt du partage de ses données mais a besoin d’un cadre clair pour accorder sa confiance. Une conformité au RGPD et une communication claire et transparente peut les convaincre de partager leurs données.
• 25% de la population peut être qualifiée de « privacy absolutists ». Cette catégorie est particulièrement réfractaire au partage de ses données. L’enjeu clé de l’ère de la confiance est clair : limiter le développement de cette catégorie de réfractaires en mettant en œuvre des solutions convaincantes permettant au plus grand nombre de partager ses données en toute confiance.

Notamment grâce au RGPD, les citoyens qui reprennent le pouvoir !

Cela se traduit de différentes manières :

• 1/3 des sondés déclarent avoir déjà demandé à une organisation de cesser de leur envoyer de la communication par email ou SMS. Parce qu’ils sont méfiants, les citoyens adoptent une nouvelle posture, plus offensive, pour conserver la maîtrise de leurs données. Ils ne veulent les confier qu’aux tiers qu’ils estiment de confiance.
• 1 sondé sur 2 déclare avoir déjà exercé ses droits dans l’année passée. Et de manière offensive car s’ils ne reçoivent pas de réponse satisfaisante, les citoyens se plaignent auprès de leur autorité de contrôle. « En 2018, la CNIL a réceptionné un total de 11077 plaintes sur l’année, soit une augmentation de 32% par rapport à l’année précédente » indique Gwendal Le Grand, Directeur des technologies et de l’innovation, CNIL, l’une des personnalités interviewées dans le cadre de l’étude. Pour ces plaintes, ils s’associent parfois entre eux et si le cadre réglementaire le permet avec des associations de consommateurs afin de gagner en force de frappe. Ce type de plainte collective a donné lieu aux 40 millions d’amende infligés à Google par la CNIL en janvier 2019.
• 1/3 des sondés affirme qu’il serait prêt à payer pour bénéficier d’une protection accrue de leurs données et pour des services davantage protecteurs de leurs données.

A ce sujet, il semble qu’un mouvement soit bien enclenché au-delà des frontières de l’Europe. En Chine et aux Etats-Unis, une moyenne de 18% des citoyens déclarent avoir déjà payé pour accéder à un service de protection supplémentaire, contre 5% uniquement en Europe (incluant le UK). Les citoyens Européens seraient donc moins consommateurs de services payants protecteurs de leur vie privée. Est-ce dû à un retard de l’offre dans le domaine ? Une non-connaissance des solutions existantes ou un sentiment de protection apporté par la réglementation ? Ou simplement, les citoyens européens sont-ils réfractaires à l’idée de payer pour protéger leur vie privée ?

En analysant les secteurs pour lesquels les citoyens sont ou seraient le plus enclins à payer pour un service protégeant leurs données, il en ressort que les réseaux sociaux, les services sur internet et les banques sont les secteurs les plus concernés. De réelles opportunités pour ces secteurs.

L’étude révèle également un véritable attrait pour l’anonymat. Cela s’illustre notamment par le fait que les sondés positionnent les données de contact dans le top 3 des données les plus privées (avant les données de santé ou de localisation !). Cela se traduit dans les usages : on observe le développement des profils anonymes (type mode incognito pour 27%, suppression des cookies pour 47%). Voire même des mesures plus radicales : 26% de la population a arrêté d’utiliser certains services afin de protéger et garder la maîtrise de ses données.

Cet article Quelle importance accordée par les citoyens au respect de leur vie privée ? est apparu en premier sur RiskInsight.

Les cookies, vrais ou faux amis ?

Qui sont les cookies ?

Le cookie est un fichier texte (combinaison de chiffres et de lettres d’une taille maximale de 4 KB) déposé par un service web sur l’appareil – smartphone, tablette ou PC – de l’utilisateur. Ces informations permettent de reconnaître l’utilisateur au-delà d’une première visite ainsi que ses paramètres. Il existe de nombreuses catégories de cookies. Par exemple, certains cookies sont strictement nécessaires au bon fonctionnement d’une page web (ex. load balancing, session de l’utilisateur ou facilitation du shopping en ligne lors de l’ouverture de plusieurs sessions) ou permettent de produire des statistiques, dans ce cas, leur usage relève de l’intérêt légitime du responsable de traitement et ne nécessite donc pas la collecte d’un consentement (cf. délibération de la CNIL du 4 juillet 2019 relative à l’utilisation des cookies et traceurs). D’autres cookies ont pour objectif de mieux connaître l’utilisateur via l’analyse de sa navigation ou de ses habitudes de consommation. Ils nécessitent alors le recueil d’un consentement de la part de l’utilisateur dans la mesure où leur absence n’altère en rien le bon fonctionnement du site. Ces derniers – et plus particulièrement les « cookies tiers » ou « cookies de suivi » – interrogent quant au respect de la vie privée dans la mesure où ils permettent de suivre la navigation d’un utilisateur lors de ses visites de différents sites web, une activité également connue sous le terme « tracking », qui permet de déduire des habitudes et de modes de vie des utilisateurs plus ou moins intrusives (centres d’intérêt, habitudes de consommation, lieux de vie ou mobilité, fréquentation de centre de soin, opinion politique, orientation sexuelle, sensibilité religieuse, etc.).

Ainsi, la CNIL distingue les catégories de cookies suivantes :

Attention, certains cookies de mesures d’audience peuvent être exemptés de consentement en fonction du choix et du paramétrage de la solution de mesure d’audience associée. Pour plus d’information sur les solutions de mesures d’audience nécessitant ou pas le consentement, se référer ici.

Les cookies comme réponse à des enjeux métiers dans un environnement concurrentiel

Si ces outils sont si utilisés aujourd’hui, c’est d’abord et avant tout parce qu’ils répondent à des besoins métiers, notamment pour les directions marketing/commerciales ou de la communication. D’une part, ils permettent d’offrir une expérience personnalisée en définissant ou en associant un « profil utilisateur » à leurs clients ou prospects. Pour que les campagnes marketing soient plus précises (mieux ciblées) ou pour toucher un plus grand nombre de personnes susceptibles d’être intéressées par le produit / service, ces entreprises ont souvent besoin d’enrichir leurs bases avec des cookies tiers et des segments marketing. Pour cela, elles s’appuient sur des prestations « clé en main » fournies par des régies publicitaires dont l’un des métiers est de vendre d’immenses bases de données de cookies (Criteo, RelevanC).

De manière générale on observe que les organisations qui utilisent ces cookies ont mis en place des outils permettant à l’utilisateur de décider lui-même s’il souhaite les accepter ou non en fonction de leurs finalités. Mais certaines pratiques sont loin d’être totalement transparentes…

Le pixel invisible ou espion, une technologie méconnue de l’utilisateur

Qu’est-ce qu’un pixel ?

Le pixel invisible (ou espion) est parfois utilisé comme une alternative au cookie dans la mesure où son usage ne peut techniquement pas être bloqué par un navigateur. Il s’agit d’un graphique (1×1 pixel) qui est téléchargé lors de la consultation d’une page web ou lors de l’ouverture d’un email. Ce pixel est généralement masqué ou si petit qu’il est impossible à voir. Sa fonction est de collecter des informations sur l’utilisateur (adresse IP, type d’appareil, version du navigateur, résolution d’écran, etc.)[1] ou de permettre le dépôt d’un cookies tiers permettant de renvoyer ces informations à un serveur.

Si la plupart des sites mentionnent l’utilisation de pixels et permettent à l’utilisateur de gérer ses préférences, la très grande majorité utilisateurs ignorent à quoi ils servent. De plus, il arrive que ces pixels soient présents dans le contenu d’emails sans que le(s) destinataire(s) n’en soit informé(s). Non visibles et encore très peu soumis au recueil du consentement, le pixel continue enregistre quantité de données à caractère personnel pouvant porter atteinte à la vie privée du destinataire. Que dit la réglementation et jusqu’où s’applique-t-elle ?

[1] L’ajout d’un script Javascript permet de recueillir des informations complémentaires à propos de l’utilisateur qui en est très rarement informé (ex. système d’exploitation, localisation approximative, etc.).

Le RGPD définit des obligations claires à respecter

Les données à caractère personnel collectées et traitées par les traceurs qui peuvent ensuite être utilisées pour en déduire des habitudes et de modes de vie des utilisateurs sont soumises au RGPD qui définit des exigences claires quant à leur utilisation. Préalablement au dépôt de cookies ou traceurs sur des terminaux, les acteurs du numérique doivent respecter, entre autres, les obligations suivantes sous peine de ne pas être en conformité :

1. Informer l’utilisateur de la mise en œuvre de traceurs et cookies utilisés et leur(s) finalité(s) précise(s) dans un bandeau rédigé en des termes simples et compréhensibles
2. Recueillir le consentement de l’utilisateur ou de lui fournir la possibilité de s’y opposer (nb. ce consentement est valable 13 mois maximum)
3. Respecter l’activation par l’utilisateur du paramètre DoNotTrack offert par certaines récentes versions de navigateurs

Attention : jusqu’en juillet 2019, la CNIL considérait que la poursuite de la navigation vallait accord au dépôt de Cookies sur le terminal utilisateur. Cette pratique, qualifiée de « soft opt-in » a depuis été révisée par CNIL (voir ici).

En conclusion, des efforts restent à réaliser pour aller vers plus de transparence et de pédagogie vis-à-vis des utilisateurs pour qu’ils puissent choisir de faire l’objet d’une navigation personnalisée respectueuse de la vie privée.

Un an après l’entrée en application du RGPD, les traceurs – incluant les cookies et les pixels – sont généralement bien gérés par les entreprises lors de la navigation web. En effet, la plupart des sites mettent à disposition des utilisateurs un bandeau d’information, une politique relative à l’utilisation des données à caractère personnel et un outil de gestion des cookies, incluant les pixels, pour que l’utilisateur puisse gérer ses préférences (opt-out lorsque le consentement n’est pas nécessaire) et consentements sur ces sites. Néanmoins, l’information relative à l’usage de ces traceurs à des fins de traitement marketing (ciblage, profilage) ne fait pas toujours la distinction entre les cookies et les pixels, ce qui ne permet pas l’information claire et transparente de l’utilisateur. Pour finir, l’information quant à l’utilisation de pixels dans les emails est presque inexistante (ou alors accessible après plusieurs clics !) ne permettant pas d’assurer la transparence envers les destinataires. Bien qu’elles ne permettent pas d’endiguer le dépôt de traceurs, des solutions telles que l’effacement régulier de l’historique de navigation ou de moteur de recherche ou telles que l’installation d’extensions (ex.  NoScript, Ghostery, Adblock Plus et bien d’autres encore pour la navigation, PixelBlock, Ugly Email pour la messagerie) peuvent être mises en œuvre par les utilisateurs pour limiter la collecte de leurs données à caractère personnel.

Cet article Traceurs et vie privée : quels efforts à faire pour une navigation respectueuse de la vie privée ? est apparu en premier sur RiskInsight.

Dès lors, comment redonner confiance aux consommateurs, notamment afin de s’assurer qu’ils sont prêts à partager leurs données et préférences ?

Plusieurs acteurs majeurs du e-commerce (ASOS, Adidas, etc.) semblent faire de la transparence, en particulier via la maîtrise et le contrôle des données par leurs clients, un axe fort de leur stratégie. Cela passe généralement par un Privacy Center, à savoir un espace personnel où l’utilisateur peut consulter et gérer ses informations personnelles, moduler ses préférences et consentements, et exercer ses droits facilement. Mais cette solution est-elle à privilégier par tous les acteurs du retail ?

En quoi le Privacy Center peut être vu comme une solution de transparence idéale ?

Le Privacy Center a pour avantage de responsabiliser l’utilisateur sur la gestion des données à caractère personnel qu’il confie. En rendant l’utilisateur maître de ses données, il est gage de confiance et de transparence de la part de l’entreprise.

Cette partie du Privacy Center d’ASOS permet à l’utilisateur de choisir quel type de communication il souhaite recevoir. Cet exemple illustre une granularité possible dans la personnalisation des contenus tout en restant dans les limites tracées par le RGPD.

Le Privacy Center est l’unique point d’interaction sur les sujets de Data Privacy pour l’utilisateur. Cette interface permet à elle seule de gérer l’ensemble des canaux de communication d’une Enseigne (internet, magasin, SAV, etc.).

Au travers d’une communication claire et adaptée (à savoir, en des termes compréhensibles par tous, et non juridiques), le Privacy Center permet de mettre en avant la volonté de protéger les données et de permettre aux clients de mieux maitriser leurs choix. L’entreprise réinstaure alors une relation de confiance avec ses clients, ce qui les encourage à partager leurs données et préférences.

Quels freins à l’implémentation d’un Privacy Center ?

L’installation d’un Privacy Center dans le SI existant d’une entreprise est complexe. Cela requiert une parfaite interconnexion entre les interfaces clients (mobile, site internet, physique, etc.) et les différentes bases de données clients existantes (la vision client étant rarement complètement unifiée). Par « interconnexion » on entend le fait que les informations renseignées par l’utilisateur sur une interface (ex : « Je ne souhaite plus recevoir de publicités par email ») soient renseignées de manière systématique sur l’ensemble des systèmes. Dans les faits, les complexités propres à chaque SI d’entreprise font qu’une telle interconnexion est rare, et souvent longue et coûteuse à déployer d’un point de vue technique.

Toutefois, les problèmes de communication entre les différentes interfaces ne dépendent pas uniquement de la DSI. Encore faut-il que les métiers soient enclins à faire converger ces bases clients. Il n’est pas rare dans le domaine du retail que les magasins disposent de leur propre animation client, ou que plusieurs marques avec des positionnements différents cohabitent au sein d’un groupe. Dès lors, interconnecter les usages et les interfaces est une opération complexe, voire non souhaitée. La mise en place d’un Privacy Center résulte donc d’une stratégie marketing et digitale plus globale.

Enfin, le Privacy Center peut générer un paradoxe : même en le mettant à disposition pour renforcer la confiance, les entreprises ne souhaitent pas nécessairement son usage à outrance par leurs clients. On peut par exemple imaginer que les équipes marketing et digital ne souhaitent pas nécessairement simplifier l’exercice des droits ou le retrait du consentement, de peur de perdre des comptes clients et des contacts commerciaux potentiels. Le Privacy Center correspond donc davantage aux organisations où la gestion client s’inscrit dans le « moins mais mieux » : il permet de mieux connaitre (préférences, nature des contacts, fréquence, etc.) un nombre plus réduit de clients et prospects, ceux acceptant de partager leurs données.

Le Privacy Center, une cible à atteindre ou un eldorado dès aujourd’hui ?

Les acteurs du retail n’ont pas tous la même stratégie digitale ni le même niveau de maturité sur le digital. Certains sont déjà matures : canaux e-commerce développés ; sites internet, applications mobiles, canaux physiques et téléphoniques liés ; UX récente et soignée… C’est le cas des pure players digitaux ou des leaders du marché qui ont (re)construit toute leur stratégie d’entreprise à partir de l’expérience utilisateur digitale. Pour eux, le déploiement d’un Privacy Center n’implique pas une refonte totale du SI, ni de leur façon de concevoir leur relation client. Il peut donc être envisagé à court terme.

Pour d’autres, la stratégie digitale reste à déployer, voire à construire. C’est notamment le cas de retaillers plus « classiques », dont le canal physique ou téléphonique est encore au cœur du processus de vente. Déployer un Privacy Center dès aujourd’hui semble alors un peu anticipé. Il conviendra d’abord de définir une stratégie digitale claire, de s’assurer de sa mise en œuvre effective et des évolutions SI associées, avant de pouvoir envisager une interface client de ce type.

En synthèse, le Privacy Center doit donc être vu comme un « aboutissement » plus qu’une solution immédiatement et uniformément applicable. C’est un aboutissement visant à améliorer la confiance client au travers de la maitrise de ses données et d’une communication claire sur ce que l’on en fait. Mais pour que cette communication puisse être réalisée, il convient que la stratégie d’utilisation de ces données ait été définie. Et pour que la maitrise des données soit réelle, il convient que les SI supportant ces données aient évolué en fonction.

In fine, il semble bien que la présence d’un Privacy Center sur tous les sites e-commerce ne soit pas pour 2019. Toutefois, l’exemplarité d’une telle démarche et le différentiateur fort que cela produit dans la relation de confiance avec ses clients devraient contribuer à faire du Privacy Center une « norme » sur le marché du retail dans les prochaines années. Nous devons donc tous l’anticiper !

Privacy center d’Adidas

Cet article Le Privacy Center, l’eldorado de la relation client ? est apparu en premier sur RiskInsight.

Des start-ups qui aident les particuliers à protéger leur vie privée

Selon la CNIL, 9 Français sur 10 sont préoccupés par l’exploitation de leurs données personnelles. Des start-ups proposent aux individus des applications de contrôle des données personnelles disponibles sur Android ou IOS :

• Skeep permet de gérer l’accès aux données personnelles sur les réseaux sociaux et les newsletters.
• L’application mobile Fair&Smart est un « personal data store » au sein duquel le particulier peut effectuer ses requêtes auprès d’une entreprise au titre du RGPD.
• Les cookies publicitaires et analytiques auxquels sont rattachés des données personnelles sont soumis à une obligation d’information et de consentement de l’internaute par le RGPD. La start-up Audito l’a bien compris et a mis au point l’application Cookie Check où les particuliers peuvent consulter les caractéristiques des cookies des sites visités et sélectionner ceux qu’ils souhaitent garder ou supprimer.

Des start-ups qui assistent les entreprises dans leur mise en conformité RGPD

Depuis les débuts du RGPD, les grandes entreprises préparent leur mise en conformité au règlement.

Les grands comptes veulent disposer d’outils logiciels adaptés pour leur Data Protection Officer (DPO) et leurs employés. Le RGPD impose un Data Protection Officer aux administrations, aux grandes entreprises et aux PME collectant des données personnelles. Les PME et ETI inscrivent peu à peu la mise en conformité réglementaire sur leur liste des priorités. Les logiciels d’accompagnement réglementaire de start-ups comme Didomi, Visions ou encore Smart GDPR arment les entreprises face aux exigences du RGPD.

Leurs logiciels SaaS de gouvernance de données incluent des fonctionnalités incontournables :

• Le registre des traitements de données personnelles de l’entreprise
• La collecte des consentements des individus
• Le suivi des violations de données 
• L’accès à la documentation légale relative à la mise en conformité au RGPD

La plupart des start-ups détectées vont au-delà de ces fonctionnalités pour se faire une place sur le marché. Elles proposent des modules subsidiaires : des outils de calcul et de modélisation des risques, des simulations d’audit, des MOOCs pour DPO par exemple. Qualitadd, Datae et Smart GDPR rentrent dans cette catégorie de start-ups qui ont su enrichir leur offre.

Des solutions de sécurité standards mais des démarches de création novatrices

Les grandes entreprises veulent avant tout maîtriser leur risque de conformité. Les start-ups françaises répondent à cette attente par une large offre de logiciels. Dans la majorité des cas, elles manquent cependant d’innovation sur le plan technologique car les logiciels développés sont des plateformes SaaS classiques adaptées à la protection de données. En revanche, les démarches de création des start-ups sont parfois audacieuses.

Quand la fonction métier commande l’édition d’un logiciel :

En 2018, le cabinet d’avocats Staub & Associés spécialisé en droit de l’informatique et des données personnelles s’est associé à un éditeur de logiciel pour produire une plateforme de pilotage de la mise en conformité au RGPD Data Legal Drive.

Deux ans plus tôt, la start-up DPO consulting a émergé des expériences professionnelles de DPO de sa fondatrice et de ses employés. Face à l’inflation réglementaire, le cabinet de conseil DPO consulting a édité son propre logiciel pour Data Protection Officer. Le cabinet se compose également de DPO qui assurent la gouvernance de données d’entreprises en externe en s’appuyant sur le logiciel myDPO.

La commercialisation d’un logiciel maison incluse dans la fonction métier booste le chiffre d’affaires de ces cabinets.

Quand les start-ups ciblent des dispositions du RGPD : 

La start-up Onecub a fait un choix stratégique innovant en axant sa solution sur un droit : le droit à la portabilité. Le compte Onecub permet d’importer et exporter des données d’un service à l’autre gratuitement. Onecub s’adresse aux particuliers en facilitant le transfert de données personnelles entre entreprises et/ou administrations via la blockchain.

La start-up Fair&Smart quant à elle se concentre sur la protection des données personnelles dans la relation-client. Elle propose deux solutions B2C de collecte des requêtes et des consentements utilisateurs en complément de son application.

Quand les start-ups proposent un package de conformité RGPD complet : 

La start-up Datae accompagne les entreprises, de leur gestion interne des données personnelles à l’auditabilité par la CNIL sur l’application du RGPD. Le logiciel Datae présente les fonctionnalités classiques d’un logiciel de gouvernance RGPD, auxquelles peuvent s’ajouter des prestations complémentaires des équipes de la start-up en audit juridique, audit technique et suivi par un DPO externe.

Les solutions de sécurité mises en œuvre par les start-ups reflètent les statistiques globales du radar 2018 Wavestone : 70% des start-ups cybersécurité en France réadaptent des solutions existantes. Le segment de la Privacy ne se distingue pas par l’émergence de nouvelles solutions ou de nouveaux usages notables. Certaines start-ups misent sur l’apport d’une prestation de conseil ou de simulations d’audit pour consolider leur offre logicielle. A l’avenir, les start-ups souhaitant s’insérer sur ce segment en France devront trouver des solutions différenciantes. La pléthore de logiciels de gouvernance RGPD laisse de l’espace pour des solutions techniques innovantes.

Cet article Des start-ups opportunistes et audacieuses sans être réellement innovantes sur le segment privacy est apparu en premier sur RiskInsight.

Tout d’abord, fin septembre 2018 a été publié l’arrêté fixant les règles de sécurité et délais à respecter par les opérateurs de service essentiels (OSE) sur leurs SI essentiels (SIE).

Ensuite, le 9 novembre 2018 les dernières notifications ont été envoyées par l’ANSSI à une première vague d’Opérateurs de Services Essentiels, portant ainsi le nombre d’OSE à 122, chiffre qui sera amené à augmenter dans les mois et années à venir.

C’est donc l’occasion de décrypter la NIS dans sa déclinaison française, d’identifier les principales exigences émises par l’ANSSI et sous quels délais celles-ci devront être respectées par les OSE.

Des règles majoritairement inspirées de la LPM

La directive NIS demande à chaque Etat de définir et d’imposer le respect des bonnes pratiques de sécurité aux OSE et FSN. En France, c’est l’ANSSI qui a été responsable de cette définition, à l’instar de la LPM. Il est donc légitime de se demander dans quelle mesure les règles NIS sont alignées sur les règles LPM.

Des différences de forme sont tout d’abord à noter : les règles NIS sont au nombre de 23 réparties au sein de 4 chapitres (Gouvernance, Protection, Défense, Résilience), contre 20 pour la LPM sans chapitre particulier. Ensuite, ces règles ont été publiées au sein d’un unique arrêté trans-sectoriel, alors que la LPM avait mené à la publication d’un arrêté par secteur d’activité. Autre différence, les délais de mise en application des règles NIS sont communs à tous les secteurs et sont publics, là où les délais pour la LPM varient selon les secteurs et sont en diffusion restreinte.

Néanmoins, les règles NIS restent fortement inspirées (voire pour certaines intégralement reprises) des règles LPM : cartographie, configuration des composants, filtrage, comptes d’administration, SI d’administration, identification, droits d’accès, maintien en conditions de sécurité, journalisation, corrélation et analyse de journaux, réponse aux incidents de sécurité, traitement des alertes et également gestion de crise.

De nouvelles règles font leur apparition ; les règles relatives aux analyses de risques et aux audits de sécurité étaient en fait incorporées dans la règle LPM relative à l’homologation. La règle relative à la sécurité physique et environnementale est quant à elle une réelle nouveauté. De même, certaines règles existantes font l’objet de précisions sans pour autant apporter de modifications structurantes, notamment pour encadrer la façon de traiter certains cas particuliers (SIE exposé sur Internet, etc.).

Finalement, les principales différences portent sur l’assouplissement de certaines règles :

• Indicateurs : les trois thématiques retenues par les règles LPM sont maintenues par les règles NIS (maintien en conditions de sécurité, droits d’accès / authentification et administration des ressources), mais le nombre d’indicateurs total passe de 10 à 6.
• Détection : l’obligation d’utiliser des sondes qualifiées et opérées par un prestataire qualifié PDIS est remplacée par l’utilisation de sondes opérées conformément au référentiel PDIS, sans obligation de qualification
• De manière générale, les règles NIS n’imposent pas le recours à des prestataires dûment qualifiés PASSI (Prestataire d’Audit de la Sécurité des Systèmes d’Information), PDIS (Prestataire de Détection d’Incidents de Sécurité) ou PRIS (Prestataire de Réponse aux Incidents de Sécurité) mais recommandent de s’inspirer des bonnes pratiques que ces référentiels définissent.

Figure 1 : 80% de similarités entre les règles LPM et les règles NIS en France

Les règles NIS, malgré des différences de forme, sont donc globalement similaires à celles de la LPM, ce qui n’est pas surprenant puisqu’elles répondent au même objectif, celui de renforcer le niveau de sécurité des acteurs nationaux clés.

Un planning de mise en conformité ambitieux

Des actions concrètes à réaliser très rapidement

Les délais de mise en application sont publics. Concrètement, les premières actions attendues de chaque OSE après sa désignation sont les suivantes :

• Dans un délai de 2 mois, identification du correspondant auprès de l’ANSSI et communication de ses coordonnées
• Dans un délai de 3 mois, identification des SIE (Systèmes d’Information Essentiels) et transmission de la liste à l’ANSSI. Si le premier réflexe est souvent de vouloir définir le périmètre le plus restreint possible, et ainsi limiter les impacts, il faut garder à l’esprit que l’application partielle de certaines règles peut devenir un véritable casse-tête en raison de l’imbrication des SIE avec le reste du SI.
• Dans un délai de 3 mois, mise en place du processus de traitement des alertes. Objectif : se mettre rapidement en capacité de recevoir les alertes de l’ANSSI et savoir réagir en conséquence.

2 ans pour se mettre en conformité et réaliser l’homologation la 3^ème année.

Pour l’ensemble des autres règles, les délais sont tout aussi précis et ambitieux :

Figure 2 : règles NIS, 2 ans pour se mettre en conformité et une année supplémentaire pour l’homologation

Conclusion

En synthèse, il est important pour les entreprises notifiées d’anticiper dès la phase de cadrage que la mise en conformité NIS va amener des chantiers avec des investissements financiers et humains parfois conséquents. Notamment, les chantiers qui traiteront du « SI Administration », de « l’Homologation », ou encore les chantiers d’urbanisme nécessaires pour le cloisonnement des SIE, etc.

Autant de sujets qui bénéficieront de la maturité du marché impulsée depuis plusieurs années entre autres par la LPM.

Cet article Directive européenne NIS : quelles mesures de sécurité pour les opérateurs de services essentiels en France ? est apparu en premier sur RiskInsight.

La France finalise les textes pour se mettre en conformité avec la directive européenne NIS (Network and Information Security), avec trois textes qui transposent la directive dans le droit national Français, et un quatrième qui sera publié sous peu.

Quels ont été les choix de transposition de la directive NIS dans le droit national Français ? Et quelles seront les entreprises soumises à cette nouvelle législation et les impacts pour celles-ci ?

La transposition dans le droit national français

Pour entrer en vigueur, chaque Etat membre de l’Union européenne doit transposer la directive NIS dans son droit national, avec une date butoir fixée au 09 mai 2018 : spécification des mesures de sécurité à mettre en place, définition des procédures de notification, sanctions applicables…

La France respecte globalement ce calendrier, avec trois textes qui définissent en grande partie les modalités d’application de la directive NIS sur son territoire national :

• La loi n° 2018-133 du 26 février 2018 qui présente les mesures de transposition de la directive NIS dans la législation nationale,
• Le décret n° 2018-384 du 23 mai 2018 qui détaille les modalités d’application des obligations législatives, et liste les secteurs, les types d’opérateur et les services essentiels concernés,
• L’arrêté du 13 juin 2018 qui fixe les modalités de déclarations des incidents de sécurité.

Pour que la transposition de la directive européenne dans la législation Française soit complète, un dernier arrêté fondamental va être publié, et viendra préciser les mesures de sécurité à mettre en œuvre par les opérateurs de services essentiels. Il fera écho à la lettre de mise en demeure par la commission européenne, qui avait jugé la France en retard sur l’exhaustivité de la transposition dans le droit national, tout comme 16 autres Etats membres.

OSE et FSN : deux grandes typologies d’acteurs concernés

La loi française rappelle les deux grandes typologies d’acteurs concernés par la directive européenne : les Opérateurs de Services Essentiels (OSE) et les Fournisseurs de Services Numériques (FSN).

Opérateurs de services essentiels : la France élargit la liste des secteurs concernés

Les OSE sont les entités qui délivrent des services essentiels au fonctionnement de la nation, notamment au travers de leur Système d’Information Essentiel (SIE). Le décret n° 2018-384 complète la liste de la directive, en y ajoutant les secteurs de l’assurance, de la logistique, des produits pharmaceutiques, des services sociaux (partie paiement des prestations), de l’éducation et de la restauration collective dans les environnements sensibles.

Liste des secteurs d’activités concernés pour les OSE

(L’icône  précise les secteurs ajoutés par la législation Française par rapport à la Directive NIS)

La désignation des OSE sera effectuée par arrêtés du Premier Ministre d’ici novembre 2018, en lien avec les OSE, les Ministères concernés et l’ANSSI. La liste des OSE sera par la suite régulièrement actualisée, à minima tous les deux ans.

Fournisseurs de services numériques : la France veille à la bonne désignation des représentants

Les FSN sont les entités qui fournissent directement des services en ligne, de type sites d’e-commerce, moteurs de recherche ou services cloud, notamment utilisés par les OSE. Les Etats membres n’ont pas vocation à dresser la liste des FSN à l’échelle de leur territoire, mais la France pose pour autant un cadre en indiquant que les entreprises qui emploient moins de cinquante salariés et dont le chiffre d’affaire annuel n’excède pas 10 millions d’euros ne sont pas concernées.

Liste des secteurs d’activités concernés pour les FSN

En complément de la directive NIS, la France inscrit dans sa loi n° 2018-133 (Chapitre III, article 11) qu’un FSN établi hors de l’Union Européenne, qui offre ses services sur le territoire national et qui n’a désigné aucun représentant dans un autre Etat membre de l’Union européenne, procède à la désignation d’un représentant établi sur le territoire national auprès de l’ANSSI. La France se positionne ainsi en gardienne de la bonne application de la directive NIS en ce qui concerne les FSN, dans la mesure où un FSN qui tarderait à désigner un représentant en Europe serait donc légalement contraint de le faire en France.

Les exclusions : ne pas cumuler les exigences légales

Afin de ne pas surcharger de législations les acteurs déjà soumis à des règlementations plus contraignantes, la loi mentionne dans ses articles 2 et 5 la liste d’exclusions suivante :

• Les OSE ou les FSN soumis à des exigences sectorielles au moins aussi contraignantes que la présente législation, en particulier les OIV (Opérateurs d’Importance Vitale) sur leur SIIV (Système d’Information d’Importance Vitale) car déjà soumis aux exigences apportées par la Loi de Programmation Militaire,
• Les opérateurs de réseaux ou de services de communications électroniques, notamment car déjà soumis aux exigences du code des postes et des communications électroniques,
• Les prestataires de services de confiance soumis aux exigences du règlement eIDAS sur l’identification électroniques et les transactions électroniques.

Une législation plus stricte pour les OSE que pour les FSN

Le droit national Français traite des mêmes thématiques pour les OSE et les FSN, mais dans une approche différente : même si une base commune est définie, les OSE devront respecter une liste précise de mesures de sécurité, tandis que les FSN seront sur une approche par les risques (précisée par le règlement UE- 2018/151 du 30 janvier 2018), restant libres de prendre les mesures techniques et organisationnelles qu’ils jugent appropriées et proportionnées, et seront plutôt gérés à l’échelle européenne.

Une base commune d’obligations à respecter…

En premier lieu, l’identification d’un représentant de l’entreprise, qui sera le point de contact unique de l’ANSSI pour traiter les réceptions et les transmissions d’information,

Ensuite, la déclaration des réseaux et des systèmes d’information nécessaires à la fourniture du services essentiels / numériques, y compris ceux dont l’exploitation est confiée à des tiers. Au-delà d’un simple inventaire ou cartographie des actifs, les enjeux seront :

• De lister les éléments nécessaires à la délivrance des services essentiels / numériques, afin de ne pas imposer les mesures de sécurité sur un périmètre trop étendu de l’entreprise,
• D’exiger la mise en application de la règlementation sur les systèmes opérés par les tiers, en leur communiquant les mesures à implémenter, en révisant les contrats de sous-traitance, voir en auditant leur conformité.

Puis la déclaration des incidents de sécurité sans délai auprès de l’ANSSI (qu’il est conseillé de formaliser dans un processus), lorsqu’ils sont susceptibles d’avoir un impact significatif sur le service, en terme du nombre d’utilisateur impactés, de la zone géographique touchée, de la durée de l’incident… L’ANSSI pourra alors épauler l’entreprise sur le traitement de l’incident, notamment en activant le réseau des CSIRT.

Et enfin, l’obligation de se soumettre à des contrôles du respect des obligations ci-dessus, et qui devront faire l’objet de conventions et de rapports formalisés. Le 1^er ministre indiquera si ces contrôles seront effectués par l’ANSSI ou l’un des prestataires de services qualifiés PASSI (dans ce dernier cas, l’entreprise choisira le prestataire sur la liste qui lui sera communiquée).

… Mais des obligations complémentaires structurantes pour les OSE.

Contrairement à la liberté laissée aux FSN sur la manière de sécuriser leur services numériques, les OSE devront mettre en œuvre une démarche de sécurisation de leur SIE selon 4 grands principes imposés, qui seront bientôt détaillés par le futur arrêté :

• Gouvernance de la sécurité, via l’élaboration de politique de sécurité et d’homologation du SIE,
• Protection des SIE, avec la sécurité de l’architecture, de l’administration et des accès au SI,
• Défense des SIE, avec la détection et le traitement des incidents de sécurité,
• Résilience des SIE, notamment au travers de la gestion de crise.

Les opérations de contrôle pourront être déclenchées sans condition par le 1^er ministre pour les OSE, alors qu’elles ne seront menées chez les FSN que si le 1^er ministre est informé du non-respect d’une des obligations qui leur incombent.

Quels impacts financiers associés cette législation ?

Tout d’abord, la législation précise clairement que les OSE et les FSN devront financer leurs différentes actions de mise en conformité, mais également les contrôles demandés par l’ANSSI.

Ensuite, en cas de manquement à leurs obligations, les dirigeants des OSE et des FSN pourront écoper d’amendes, avec des montants supérieurs pour les OSE par rapport aux FSN :

L’ordre de grandeur et le principe des amendes sont quant à eux plus proches de ceux apportés par la Loi de Programmation Militaire que ceux du Règlement Général sur la Protection des Données (RGPD).

Quelles sont les prochaines étapes ?

La publication de l’arrêté qui précisera les règles de sécurité pour les OSE, indispensable pour compléter la transposition de la directive NIS dans le droit national Français. Il permettra de jauger le niveau de sécurisation souhaité par l’état Français, et d’en déduire l’effort de mise en conformité des SIE.

D’ici au mois de novembre, la désignation progressive des OSE, qui auront alors :

• Deux mois pour communiquer les coordonnées de leur représentant à l’ANSSI,
• Trois mois pour formaliser et transmettre la liste et la description des réseaux et systèmes d’information pour lesquels l’existence d’incidents pourrait gravement affecter la continuité des services essentiels au fonctionnement de la société ou de l’économie.

Pour les FSN, la désignation d’un représentant, avec deux cas possibles :

• Si le siège se situe en Union Européenne, déclaration auprès de l’autorité de l’Etat où se situe le siège,
• Si le siège se situe hors de l’Union Européenne, déclaration auprès d’une autorité d’un Etat membre où le FSN exerce son activité.

Les acteurs concernés par la directive NIS sont consultés en France et en Europe depuis plus d’un an et sont informés de leur potentielle désignation. Ils ne seront donc pas surpris le moment venu. Ces derniers peuvent d’ores et déjà lancer les premières actions de mise en conformité : identification du périmètre concerné, inventaire des réseaux et système d’information qui le composent, formalisation du processus de déclaration des incidents de sécurité aux autorités.

Des modalités de mise en œuvre qui restent à préciser aux niveaux national et local

Une fois que le dernier arrêté concernant les mesures de sécurité pour les OSE sera publié, le cadre législatif et règlementaire Français posera des bases claires d’application de la directive NIS, par ailleurs cohérentes avec les différentes règlementations déjà en place sur le sujet.

En revanche, des questions restent à trancher au niveau européen pour faciliter la gestion des acteurs transfrontaliers : rattachement d’un OSE à plusieurs Etats membres ? Désignation d’une autorité de référence ? Communications et hiérarchie entre autorités nationales ?… Autant d’enjeux à adresser rapidement par le groupe de coopération dédié à NIS, en place depuis février 2017.

Cet article Directive européenne NIS : quelle transposition dans le droit français et quel impact pour les entreprises ? est apparu en premier sur RiskInsight.

Idée reçue #3 – Il y a une durée maximale de conservation des données

Cette durée n’est pas fixée de manière absolue par le RGPD en mois ou en années. La règle est toujours la même : les données ne peuvent être conservées que si elles sont utilisées pour un traitement qui est couvert par une justification (contrat, consentement, obligation légale…).[1]^,[2] Si la justification tombe (par exemple par retrait du consentement ou fin d’un contrat) pour un traitement donné, la donnée ne peut plus être utilisée pour ce traitement. Si aucun autre traitement n’utilise ces données, celles-ci doivent être effacées immédiatement, ou pour le dire comme le règlement, « dans les meilleurs délais »[3].

Les données peuvent être conservées tant qu’elles servent à au moins un traitement couvert par une justification !

Il existe de nombreux cas où la fin d’une justification, comme l’arrêt d’un contrat, ne va pas impliquer la suppression des données, car une autre justification est présente. Par exemple, si mon contrat téléphonique prend fin, l’opérateur peut être amené à conserver les données dans le cadre de mon contrat internet que j’ai conclu avec lui. Il est des cas également où la société a un intérêt, voire l’obligation, de conserver certaines données, par exemple pour archivage : c’est le cas par exemple des CV de candidats non retenus, des bulletins de paie ou encore des relevés d’information des assureurs.

Il existe néanmoins dans certains cas, et pour certaines catégories de données, une durée de conservation maximale autorisée ou minimale requise

Ces durées ne sont pas indiquées dans le RGPD. Il peut exister des durées spécifiques à certaines catégories de données, propres à la nature de la donnée en question, et découlant d’autres textes de loi, comme le Code de la Sécurité Sociale (ex. : prescription des paiements de l’assurance maladie, décomptes), le Code du Travail (ex. : conservation des bulletins de paie), le Code Civil (ex. : prescription d’un contrat de travail), ou encore des textes relatifs à des secteurs spécifiques, comme le Code des Assurances (ex. : prescription d’un contrat d’assurance vie). Il s’agit souvent de durées minimales, au bout desquelles une prescription autorise l’effacement des données.

De plus, la CNIL a défini, dans le contexte législatif précédent le RGPD, des Normes Simplifiées, spécifiant souvent des durées de conservation maximale, par exemple dans le domaine de la relation commerciale[4], ou encore dans le recrutement[5]. Ces documents n’ont plus de valeur juridique[6] depuis l’entrée en vigueur du RGPD, mais en attendant la production de nouveaux référentiels basés sur le RGPD, ils peuvent continuer à servir de guide, afin de définir une durée de conservation qui satisfasse aux besoins de l’entreprise tout en n’étant pas abusive vis-à-vis des personnes concernées.

Il existe donc deux raisons qui peuvent nécessiter l’effacement d’une donnée :

• la caducité d’une base légale[7] (retrait du consentement, fin du contrat, écoulement de la durée légale minimale de conservation, etc.), sans qu’aucun autre traitement licite ne justifie la conservation de la donnée ;[8]
• l’écoulement de la durée maximale de conservation pour les données qui y sont soumises (par exemple les durées définies par la CNIL), là aussi sans qu’aucun autre traitement licite ne justifie la conservation de la donnée.

C’est pour ces raisons que le RGPD impose que la durée de conservation soit maîtrisée, notamment par la mise en place – recommandée – d’un délai butoir, au bout duquel on réviserait la licéité du traitement et de la conservation.[9]^,[10] Pour reprendre les mots du considérant 39 : « afin de garantir que les données ne sont pas conservées plus longtemps que nécessaire, des délais devraient être fixés par le responsable du traitement pour leur effacement ou pour un examen périodique », à sa discrétion.

Une implémentation du délai butoir centralisée avec la gestion des bases légales

Nous voyons bien ci-dessus les parallèles entre la gestion des bases légales et les durées de conservation : en effet, il s’agit dans les deux cas de gérer les situations où un événement (par exemple le retrait d’un consentement ou la fin d’une durée légale de conservation) nécessite de revoir les justifications qui permettent de conserver une donnée, et d’effacer cette donnée si plus aucune justification ne la couvre.

La complexité supplémentaire avec les durées de conservation est qu’elles sont définies au cas par cas par différentes lois sur certaines catégories de données, qu’elles sont tantôt maximales, tantôt minimales, et qu’elles courent à partir d’un élément déclencheur. Dans tous les cas, il convient de les gérer de façon centralisée avec les bases légales, étant donné que pour les deux il va falloir créer des règles de gestion applicables aux données d’une personne identifiée conduisant éventuellement à leur effacement.

Là où la gestion peut différer, c’est que dans les cas des durées de conservation, l’on peut procéder :

• soit de façon événementielle: l’écoulement de la durée de conservation définie par le responsable du traitement entraîne directement la suppression de la donnée,
• soit de façon planifiée, à une fréquence à définir : par exemple avec une purge mensuelle ou trimestrielle où l’on supprimerait tous les CV de candidats avec qui il n’y a plus eu de contact depuis 2 ans.

Dans tous les cas, une gestion automatisée nécessite évidemment de tracer de manière précise les actions (ex. : contacts avec le candidat) et de relier les données aux bases légales qui justifient leur conservation afin de ne pas supprimer des données qui ne le devraient pas (exemple pour un assureur : suppression au bout des 10 ans légaux d’un contrat d’assurance et des données de la personne associée, alors qu’elle a un autre contrat en cours ou que l’on a son consentement pour un autre traitement).

Figure 1 / Exemple de règle de gestion pour gérer une durée de conservation liée à un contrat

Enfin, les durées de conservation, tout comme les bases légales justifiant chaque traitement, doivent être définies par le métier et les directions juridique ou de la conformité, afin que la DSI puisse les implémenter en concevant les règles de gestions appropriées. Ces règles de gestion devraient gérer de façon similaire et croisée les éventuelles actions automatiques sur la donnée découlant des durées de conservation et celles découlant des bases légales (fin de contrat, consentement), afin notamment que des données ne soient pas supprimées inutilement.

Le RGPD ne spécifie pas de durée en tant que telle, mais demande que soient définies, mesurées et maîtrisées des durées de conservation, qui dans certains cas sont définies par d’autres lois. Ce travail nécessite une collaboration entre les services juridiques ou conformité d’une part et les métiers (ou MOA) d’autre part. L’implémentation, quant à elle, nécessite d’intégrer ces durées de conservation aux mêmes règles de gestion que celles qui régissent les bases légales, comme en cas de retrait du consentement ou de fin d’un contrat.

[1] Voir notre article précédent Idée reçue #1 – Le consentement est obligatoire 

[2] « conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées », Article 5, paragraphe 1, point e)

[3] Article 17, paragraphe 1

[4] CNIL (11/07/2013). Norme Simplifiée NS-056 « Fiche clients-prospects des assureurs ». Disponible à l’adresse : https://www.cnil.fr/fr/declaration/ns-056-fichier-clients-prospects-des-assureurs, consultée le 18/09/2018

[5] Fiche explicative de la CNIL : CNIL (octobre 2016). « Travail & données personnelles – Le recrutement et la gestion du personnel ». Disponible à l’adresse : https://www.cnil.fr/sites/default/files/atoms/files/_travail-vie_privee_recrutement_gestion_du_personnel.pdf, consultée le 25/04/2018.

[6] CNIL. « Les normes et les dispenses de déclaration ». Disponible à l’adresse : https://www.cnil.fr/fr/liste-des-normes-et-des-dispenses, consultée le 18/09/2018

[7] Voir notre article précédent Idée reçue #1 – Le consentement est obligatoire

[8] Article 5, paragraphe 1, point e)

[9] Considérant 39

[10] Article 30, paragraphe 1, point f)

Cet article 3 idée reçues sur les obligations du RGPD (3/3) est apparu en premier sur RiskInsight.

Nous avons mené un benchmark afin d’évaluer comment les entreprises ont interagi avec le grand public Pour cela, un panel d’une trentaine d’entreprises dont les services sont régulièrement utilisés par le grand public a été sondé avec les comptes personnels des auteurs.

Toutes les entreprises n’ont pas communiqué sur le RGPD

54% des entreprises du panel ont eu une communication proactive envers leurs clients. Si le grand public a eu l’impression d’être déjà fortement sollicité, il aurait pu recevoir davantage de communication. Parmi ces 54%, la moitié a envoyé un e-mail, l’autre moitié ayant préféré afficher un pop-up ou un message d’avertissement sur leur site web ou application mobile.

Par ailleurs, l’envoi d’e-mail sur le RGPD a certes permis aux entreprises de communiquer rapidement sur le sujet, mais cette communication était souvent générique et aurait pu être adaptée au client (intégration dans le parcours client, personnalisation des communications, etc.)

La mise en place du RGPD n’impose pas de communiquer autour du 25 mai

Les entreprises doivent informer leurs clients des traitements effectués lors de la collecte des données. Pour autant, le règlement n’impose pas de communiquer sur la mise en œuvre du RGPD en tant que telle.

Ainsi, celles qui ont communiqué autour du 25 mai dernier l’ont fait pour diverses raisons :

• Certaines ont effectivement vu dans le RGPD une occasion de renforcer la confiance accordée par leurs clients. Elles leur ont donc envoyé des e-mails marketés pour présenter leur nouvelle charte sur la protection des données.
• D’autres, encouragées par leurs services conformité, ont envoyé un e-mail au contenu juridique pour être certaines d’être conformes, notamment sur l’obligation de transparence.

Par ailleurs, certaines entreprises qui ne respectaient pas correctement le droit à l’information ont profité de cette communication pour se mettre en conformité.

Enfin, dans certains secteurs, l’envoi d’une première communication a déclenché un effet similaire chez les concurrents dans les jours suivants.

La portée même des messages, a parfois été être contre-productive. En, effet le RGPD exige une communication claire et lisible. Or les communications reçues étaient souvent complexes, juridiques et peu accessibles pour le grand public, contrairement à ce qui est imposé par le règlement. Plus ironiquement, certains clients ont découvert l’existence de leurs comptes personnel dans ces entreprises en recevant l’e-mail… auquel ils ont répondu en exerçant leur droit à l’oubli. Enfin, il est fort à parier que peu de clients aient lu l’ensemble des e-mails reçus sur le sujet.

Une communication centrée sur leur nouvelle charte de protection des données à caractère personnel…

94% des entreprises du panel ont soit mis à jour leur charte de protection des données à caractère personnel, soit en ont créé une nouvelle. D’une entreprise à l’autre, les chartes se composent des mêmes parties clés, à l’exception de la partie sécurité des données, présente dans seulement 11% des chartes. Cette partie est pourtant essentielle, puisqu’elle doit présenter les mesures adoptées par l’entreprise pour sécuriser les données de leurs clients.

Le contenu de chaque partie diverge d’une charte à l’autre. Certaines chartes restent très génériques et n’apportent pas de précisions sur les traitements réalisés, les acteurs qui traitent nos données, les tiers à qui elles sont transférées, les durées de conservation des données, les droits exerçables, et les aspects liés à la sécurité. D’autres, plus rares, apportent des réponses complètes aux utilisateurs qui permettent d’éclairer pleinement son choix sur le traitement de ses données. Un grand nombre de ces chartes devra être amélioré par la suite pour être plus précises et répondre au besoin de transparence.

A la lecture de ces documents, a l’instar des e-mails envoyés, il est possible de distinguer des objectifs distincts pour les chartes :

• Les chartes plutôt juridiques et techniques qui permettent aux entreprises de répondre stricto sensu à l’exigence de transparence ;
• Les chartes dont la lecture et la compréhension sont accessibles au grand public. Elles sont par exemple accompagnées de vidéos ou d’un glossaire facilitant leur compréhension. Certaines de ces chartes proposent même plusieurs niveaux de lecture plus ou moins détaillés qui permettent au lecteur de ne creuser que les points qui l’intéressent.

Sur le long terme, il est fort probable que toutes les chartes tendront vers la seconde catégorie et que leur rédaction soit non plus confiée aux services juridiques, mais aux services marketing et commercial.

… et parfois pour renouveler les consentements

20% des entreprises ayant communiqué en ont également profité pour lancer une campagne de renouvellement des consentements. Ceux-ci portaient essentiellement sur de la communication commerciale. La plupart des entreprises ayant déjà adopté les bonnes pratiques de la CNIL sur la collecte des consentements, seules les entreprises pratiquant jusqu’à maintenant l’opt-out ou ne différenciant pas leur propre communication de celle de leurs partenaires ont renouvelé leurs consentements.

À noter que si la majorité des entreprises gère les consentements liés à la communication commerciale, ce n’est généralement pas le cas pour d’autres types de consentements. En effet, les consentements spécifiques aux activités des entreprises, telles que la reconnaissance faciale, la géolocalisation pour les entreprises du secteur des transports, l’accès aux contacts ou appareil photo pour les messageries, sont gérés uniquement par les entreprises du secteur du numérique (GAFA notamment). Quant aux consentements liés aux données dites sensibles, ils n’apparaissent nulle part, même chez les entreprises susceptibles d’en utiliser comme certains sites de rencontres.

Une gestion des consentements en ligne hétérogène

92% des entreprises ont sur leur site un espace dédié aux données à caractère personnel permettant de gérer a minima le consentement sur la communication commerciale. Néanmoins, deux types d’espaces se dégagent : la page de gestion des préférences commerciales et le privacy center.

La page de gestion des préférences commerciales permet à l’utilisateur de gérer des consentements relatifs à la communication commerciale (être contacté pour les nouvelles offres internes ou par des partenaires, recevoir des newsletters). Néanmoins, la gestion de ce type de consentement est souvent proposée depuis longtemps par les entreprises.

20% des entreprises sont allées plus loin et on mis en place un espace en ligne dédié à la gestion des données à caractère personnel de leurs clients sur leur site web. Au sein de cet espace, aussi appelé Privacy Center, les clients peuvent modifier leurs données, exercer directement leurs droits, contacter le DPO, ou gérer finement l’ensemble des consentements. Les GAFAs (notamment Google et Facebook) sont les plus avancés dans ce domaine. Cela leur a permis d’automatiser en grande partie la réponse aux demandes d’exercice de droits et la gestion des consentements. Ils permettent ainsi à leurs utilisateurs de contrôler quasi instantanément les paramètres de protection de leur vie privée.

De manière générale, la mise en place d’un privacy center est une bonne pratique. Chaque Privacy Center devra néanmoins être plus ou moins étoffé en fonction du métier de l’entreprise et des données traitées. Par exemple, le Privacy Center de Google sera nécessairement plus étoffé que celui d’une entreprise de vente de vêtements par exemple.

Une gestion des cookies elle aussi hétérogène

De même que pour les consentements, les entreprises proposent un niveau de gestion des cookies hétérogène. Ainsi, 49% des entreprises n’offrent pas la possibilité de modifier les consentements relatifs aux cookies.

De plus, parmi les entreprises qui offrent la possibilité de modifier les consentements sur les cookies, un quart d’entre elles renvoient vers la gestion des cookies directement au sein du navigateur. Elles se reposent ainsi sur les navigateurs web qui n’offrent souvent pas la possibilité de gérer des consentements selon les exigences requises.

13% des entreprises du panel, essentiellement dans le secteur du numérique offrent finalement aux utilisateurs la possibilité de contrôler les cookies directement depuis l’interface de leur site web. Ce chiffre va très probablement augmenter dans les mois à venir.

À noter que si la CNIL autorise les entreprises à déléguer la gestion des consentements des cookies dans les navigateurs web, il est plus simple de le faire directement dans l’interface des sites du point de vue de l’utilisateur.

Un quart des entreprises ne permettent pas d’exercer les droits par voie électronique…

Nous avons également intégré dans l’enquête des demandes de droit d’accès.

22% des entreprises du panel ne permettent pas l’exercice des droits par voie électronique mais uniquement en courrier papier, même si elles collectent les données par voie électronique. Or la loi Informatique et Liberté, mise à jour par la Loi Lemaire en 2016, impose aux entreprises de permettre à toute personne d’exercer ses droits par voie électronique, si ses données avaient été collectées également par voie électronique. Trois quarts des entreprises interrogées respectent cette loi en offrant la possibilité à l’utilisateur d’exercer ses droits par voie électronique, que ce soit via son privacy center, un formulaire en ligne ou encore par e-mail.

Pour recevoir et qualifier les demandes d’exercice de droits, 50% des entreprises profitent des ressources techniques et humaines de leurs services clients. Les autres ont préféré assigner l’activité à un département dédié.

…et le temps de traitement des demandes est souvent supérieur à 1 mois

La loi Informatique et Libertés imposait un délai de deux mois pour répondre à une demande d’exercice de droit. L’article 12 du RGPD accorde un délai d’un mois à compter de la réception de la demande, ce délai pouvant être allongé de deux mois en fonction de la complexité de la demande.

28% des entreprises ne réagissent pas suite à une demande, c’est-à-dire n’accusent pas réception des demandes ou ne demandent pas une preuve d’identité. Pour les entreprises qui répondent aux demandes : 69% n’envoient pas les données à caractère personnel de l’utilisateur dans un délai de 1 mois à compter de la demande.

Par ailleurs, pour les entreprises du panel, le délai d’un mois ne commence à courir le plus souvent qu’au moment de l’accusé de réception, suite au contrôle d’identité. Pour certaines entreprises, la demande d’une pièce d’identité ou sa vérification peut prendre plusieurs semaines, ce qui implique un délai de traitement de la demande trop long.

Concernant le contrôle d’identité, une seule entreprise du panel n’a pas vérifié l’identité du demandeur.

Parmi celles qui vérifient l’identité du demandeur, 70% le font à l’aide d’une copie d’une pièce d’identité. Ce moyen de vérification de l’identité est donc le plus courant, même s’il est imparfait. En effet, d’un côté cette pratique ne couvre pas totalement le risque d’usurpation d’identité. De l’autre, elle génère parfois des interrogations de la part des demandeurs qui ne comprennent pas pourquoi l’entreprise a besoin d’une pièce d’identité pour répondre à la demande. Il est alors nécessaire de faire preuve de pédagogie sur ce sujet.

Certaines entreprises vérifient l’identité par connexion du demandeur à son espace personnel à l’aide de l’identifiant et du mot de passe, pas appel téléphonique, ou questions d’identification (principalement les GAFA, les entreprises du secteur du numérique et quelques banques).

Enfin concernant l’envoi des données du demandeurs, les moyens sont très variés et il est difficile d’établir dès à présent des grandes tendances. Ainsi, certaines entreprises ont envoyé les données ainsi :

• Capture d’écran du CRM dans une pièce jointe d’un email
• Envoi d’une clé USB chiffrée par courrier
• Envoi des données par courrier en recommandé avec accusé de réception
• Téléchargement d’une archive depuis un serveur sécurisé
• Téléchargement d’une archive chiffrée et transmission du mot de passe par téléphone
• Envoi des données dans un PDF en pièce jointe d’un email

De manière générale, si les données issues des CRM sont bien envoyées, les données produites à partir des informations du client ne sont souvent pas transmises au demandeur. En effet, les réponses ne comportent pas les informations liées aux préférences par exemple ou autres données tirées d’analyses ou d’études des profils.

Le marché n’est pas prêt !

Le marché s’est mis en marche et a déjà adopté un certain nombre de bonnes pratiques, il n’est pas encore prêt. De nombreux éléments tel que les chartes, les privacy centers, la gestion des cookies, le traitement des demandes ont été lancés avec une approche tactique et juridique. Ces éléments devront certainement évoluer dans les prochains mois afin d’intégrer une approche plus centrée sur le client et en rendant les dispositifs réellement opérationnels.

Enfin, cette étude cible la face émergée de l’iceberg : ce qui est visible du client. Cette face, certainement prioritaire n’est pas totalement prête. Quand est-il maintenant de la phase immergée, les processus internes des entreprises ?  Nous reprenons la suite de cette enquête avec ce nouveau prisme. Nous en mettrons les résultats en ligne à la rentrée !

Cet article Au lendemain du RGPD, où en est le marché ? est apparu en premier sur RiskInsight.

Idée reçue #2 – le RGPD impose d’anonymiser les données

On confond souvent l’anonymisation, la pseudonymisation, le chiffrement… Outre le fait que ces techniques sont bien distinctes et interviennent dans des cas de figure très différents, aucune d’elles n’est obligatoire d’après le RGPD. Certaines sont toutefois fortement recommandées.

L’anonymisation permet de soustraire les données au périmètre du RGPD

Des données à caractère personnel sont des données concernant une personne physique identifiable.

Des données sont considérées comme anonymes lorsque la personne concernée n’est plus identifiable, de manière irréversible et par quelque moyen que ce soit, c’est-à-dire qu’aucune donnée ou ensemble de données ne permet de remonter à son identité. Ce ne sont alors plus des données à caractère personnel.

Une pseudonymisation ou un chiffrement ne sont pas une anonymisation : voir ci-dessous.

L’anonymisation n’est pas imposée par le RGPD

Dans tout le RGPD, l’anonymisation n’est citée que dans un considérant. Il y est écrit que toute donnée anonyme, c’est-à-dire dont la personne n’est plus identifiable, n’est pas soumise au règlement.[i]

Figure 1 / Exemple d’anonymisation sur 4 colonnes, où sont appliquées les techniques : dictionnaire sur nom et prénom, floutage (variation aléatoire conservant la moyenne) sur l’âge, permutation sur les codes postaux. Ainsi les données sont utilisables pour des tests applicatifs (signifiance métier conservée) et pour certaines analyses statistiques (distribution conservée).

Anonymiser des données, au sens du RGPD, a la même efficacité que les effacer.

Toutefois, si l’effacement peut concerner un seul attribut (par exemple si la personne exerce son droit à l’oubli sur son adresse e-mail), l’anonymisation quant à elle doit concerner tout l’enregistrement, c’est-à-dire la totalité des données permettant d’identifier une personne. En effet, cela n’a pas de sens d’anonymiser certains attributs (par exemple nom et prénom) d’un enregistrement et laisser les autres en clair (adresse e-mail, adresse postale…).

Attention : l’anonymisation n’est jamais garantie ou absolue ! Il faut notamment tenir compte du risque de réidentification résiduel, car avec une analyse plus ou moins poussée, un attaquant pourra peut-être retrouver avec une certaine probabilité l’identité d’une personne. Ce risque existera toujours et il faut le mesurer.[ii]

L’anonymisation est pertinente pour des cas d’usage précis

L’anonymisation étant par définition irréversible, elle ne peut en général pas s’appliquer à des données en production utilisées par des processus métier, car celles-ci seraient alors inutilisables. Ainsi, ce qui peut justifier une anonymisation plutôt qu’un effacement est l’utilisation de ces données pour :

• des analyses statistiques (par exemple à des fins marketing) ;
• des tests dans le cycle de développement logiciel (environnements hors production : tests unitaires, intégration, qualification, recette).

Il existe un autre cas d’utilisation, qui correspond au cas où un système ne prévoit pas la suppression physique des données. Alors, pour les effacer, il conviendra de procéder à une suppression logique et à une destruction des données, c’est-à-dire l’application d’une technique d’anonymisation basique qui consiste à remplacer les données par des valeurs sans signification (par exemple les valeurs alphanumériques par des « X » et les nombres par des 0 ou des 9). Cette technique rend bien sûr impossibles les analyses statistiques ou les tests fonctionnels.

Les techniques d’anonymisation sont très variées et dépendent du type de données et de l’utilisation à laquelle elles sont destinées. De nombreux outils existent sur un marché en cours de maturation.

La pseudonymisation : un moyen de protection efficace

En bref, la pseudonymisation consiste à scinder de manière réversible les données identifiantes des autres, en utilisant comme pivot des pseudonymes non explicites (par exemple des chaînes de caractères aléatoires) pour faire la correspondance. Cela permet de limiter l’exposition à des données non identifiantes ou quasi-identifiantes.

Mais pseudonymiser n’est pas anonymiser ! En effet :

• c’est réversible : avec la table de correspondances on peut retrouver la personne ;
• des données restées en clair peuvent être quasi-identifiantes, c’est-à-dire permettre l’identification par une analyse plus ou moins complexe.

Une technique mature pour certains secteurs spécifiques, encouragée par le RGPD

La pseudonymisation n’est pas obligatoire, mais est considérée comme une technique valable permettant de sécuriser les données, et ça, c’est obligatoire ![iii]^,[iv]

La pseudonymisation, ainsi que ses variantes comme la tokenisation et le hachage, sont généralement implémentées en production afin de masquer les données à caractère personnel (DCP) en fonction des rôles de l’utilisateur, dans le but simplement de limiter l’exposition des DCP et ainsi les risques de fuite et d’attaque. Contrairement à l’anonymisation, c’est un marché plus mature (des solutions se sont notamment développées dans le cadre de PCI-DSS), mais ce ne sont pas forcément les mêmes solutions qui excellent dans les deux domaines de l’anonymisation et de la pseudonymisation.

Le chiffrement : un moyen de protection indispensable, mais avec ses limites

Le chiffrement est une transformation réversible des données, les rendant illisibles par application d’une fonction de chiffrement. Cette fonction peut être inversée uniquement grâce à la clé de chiffrement, détenue par l’entreprise ou par la personne concernée. Cela permet de réduire fortement l’impact d’une fuite de données.

Là encore, chiffrer n’est pas anonymiser ! C’est réversible : les détenteurs de la clé peuvent accéder aux données.

Le chiffrement encouragé par le RGPD

Le chiffrement peut permettre de ne pas avoir à communiquer une fuite de données lorsque les données ayant fuité sont chiffrées.[v]

Le chiffrement n’est pas obligatoire, mais est considéré comme une technique valable permettant de sécuriser les données, et ça, c’est obligatoire ![vi]

Une pratique mature et répandue mais qui ne s’applique pas à tous les environnements

Le chiffrement est largement répandu depuis des années et est proposé en standard dans la plupart des technologies de stockage et de transfert de données. Idéalement, l’on souhaiterait étendre cette pratique à tous les environnements, production, hors production, espaces de stockage individuels ou partagés… Toutefois, ses impacts ne sont pas anodins : en production, le chiffrement a un impact sur les flux temps réel, car les opérations de chiffrement-déchiffrement prennent du temps et réduisent la performance ; hors production, les accès aux bases de données sont par nature accordés à de nombreux acteurs (développeurs, testeurs, MOA…) qui les explorent directement et manuellement, ce qui rend la généralisation du chiffrement difficile.

Aucune de ces techniques, anonymisation, pseudonymisation et chiffrement, n’est imposée par le RGPD. Toutefois, elles sont toutes suggérées ou recommandées, mais dans des cas précis et pour répondre à des besoins bien distincts. L’anonymisation, irréversible, permet de soustraire des données au périmètre du RGPD, généralement pour des usages de test applicatif ou d’analyse statistique : elle doit pour cela conserver le sens métier et la distribution des données. La pseudonymisation sert, en production, à limiter à la volée l’exposition des données au strict nécessaire en fonction de l’utilisateur qui y accède, en remplaçant de manière réversible certaines valeurs par d’autres sans signification. Enfin, le chiffrement, plus répandu, chiffre de manière réversible les valeurs en base, rendant toute fuite de données moins impactante, les données étant déchiffrées uniquement en lecture par les détenteurs de la clé.

Protéger les données en notre possession est une chose indispensable, mais cela nous autorise-t-il à les conserver indéfiniment ? L’on entend souvent que le RGPD spécifie un temps de conservation maximum des données. Cette idée reçue sera abordée dans le 3^ème et dernier article de cette série.

[i] Considérant 26

[ii] Exemple d’une attaque à des fins journalistiques : Oberhaus, D. (11/08/2017). « Votre historique de navigation privée n’est pas vraiment privé ». Disponible à l’adresse : https://motherboard.vice.com/fr/article/wjj8e5/votre-historique-de-navigation-privee-nest-pas-vraiment-prive, consultée le 08/01/2018.

[iii] Considérant 28

[iv] Article 32, paragraphe 1

[v] Article 34, paragraphe 3

[vi] Article 32, paragraphe 1

Cet article 3 idées reçues sur les obligations du RGPD (2/3) est apparu en premier sur RiskInsight.

Affirmation des grandes orientations sécurité, précisions importantes et nouvelles préconisations : cet article propose une synthèse objective des changements apportés dans cette récente version, afin d’en faciliter l’appropriation par les acteurs du SI et de sa sécurité, et guider de potentielles évolutions dans la pratique de l’administration.

Une nouvelle version reposant sur les retours terrains

L’administration d’un SI est, en raison des missions qui lui sont associées (installation et paramétrage des systèmes, mises à jour, supervision…) et des capacités qu’elle délivre à ses exécutants (capacités d’action étendues sur les biens, accès direct aux données sensibles…), une composante fondamentale de la stratégie de sécurisation d’un système.

Un premier guide sur le sujet fut diffusé par l’ANSSI en 2015, et a servi de cadre de référence pour des entreprises et administrations afin d’appuyer leurs chantiers de mise en conformité, par exemple dans le cadre des homologations de sécurité de leur système. Depuis, l’ANSSI a échangé avec les différents acteurs du monde du SI et de sa sécurité, bénéficié de retours d’expérience concernant l’interprétation et l’adoption de ce guide et constaté sur le terrain (à travers audits, entretiens et études documentaires notamment) son implémentation effective.

Si elle ne bouleverse pas la ligne directrice, cette nouvelle version apporte de nombreuses clarifications et précisions d’importance sur les orientations fondamentales de l’ANSSI et couvre certains non-dits, le tout dans une approche plus didactique et claire permettant une meilleure appropriation par les publics visés : les sections sont réorganisées, parfois épurées, et souvent accompagnées de schémas de principe facilitant la compréhension concrète des attendus. Elle propose également quelques compléments sur l’état de l’art et la maturité de certaines solutions spécifiques.

Des orientations fondamentales confirmées

Au global, les niveaux d’exigence sont conformes à ceux de la première version et les objectifs fondamentaux y sont confirmés : maximiser la protection du SI d’administration et la protection du SI administré en cas de compromission du SI d’administration, suivant le principe régulièrement mis en exergue de « défense en profondeur ».

Entre autres, l’ANSSI réaffirme la nécessité :

• D’employer des postes dédiés à l’administration (ou, si une dégradation importante du niveau de sécurité peut être accepté, des contextes dédiés sur un même support physique), durcis, cloisonnés de tout autre système, et dont le disque est chiffré (R9-R14)
• De privilégier le principe de précaution prévalant en matière de virtualisation. La complexité des solutions de virtualisation et la difficulté à évaluer ou maîtriser leurs mécanismes de cloisonnement engendrent des réserves importantes sur leur utilisation en contexte sensible (R7)
• D’une authentification forte, ne se limitant pas à un simple mot de passe, de comptes dédiés pour les administrateurs et de l’application stricte du principe de moindre privilège pour leurs activités (R27, R29, R36, R39)
• D’un Maintien en Conditions de Sécurité (MCS) / Patch management rigoureux sur tous les systèmes, et tout particulièrement sur les composants d’administration (R42)
• D’un chiffrement de l’intégralité des flux d’administration, selon les recommandations du RGS (R24).

Des précisions importantes apportées

Plus que des nouvelles mesures, l’ANSSI détaille plusieurs d’entre elles pour éviter les erreurs d’interprétation et assurer une mise en phase avec l’état de l’art :

• La réalisation d’une analyse de risques et sa révision régulière sont recommandées dès le début du guide (R4), preuve supplémentaire que celui-ci est construit dans une approche plus globale de la SSI
• La notion de zones de confiance est définie très explicitement, et la relation par défaut « une zone de confiance métier = une zone d’administration dédiée » est avancée sans ambiguïté (R5, R22)
• Si le cloisonnement SI métier / SI d’administration apparaissait déjà dans la première version, le nouveau guide insiste à de nombreuses reprises, schémas à l’appui, sur toutes les dimensions à prendre en compte, certaines étant potentiellement négligées : réseau physique, infrastructures serveur et stockage et leurs interfaces physiques, annuaires…doivent être dédiés au réseau d’administration (R15, R18, R19, R28, R29). Aucune mutualisation ne peut être mise en œuvre.
• Les outils d’administration installés localement sur les postes sont à éviter, en ce qu’ils diminuent potentiellement leur maîtrise (R22)
• L’utilisation de produits qualifiés par l’ANSSI fait l’objet d’un rappel important : pour chacun, il est nécessaire de prendre garde à la version de produit qualifiée, et à la cible de sécurité définie lors de cette démarche, possiblement en déphasage avec l’usage réalisé (R6)
• Les pratiques liées au nomadisme sont l’objet d’une position plus appuyée, insistant sur l’importance de maîtriser entièrement les postes concernés (R48 à R50). De plus, la notion d’évaluation du « niveau de confiance » des différentes populations d’administration est explicitement avancée dans ce cadre (R51), généralisant la distinction internes/prestataires du précédent guide.
• Considérant le besoin de connexion du poste d’administration vers le poste bureautique, l’ANSSI émet un avis relatif aux logiciels de connexion répondant à cet usage : aujourd’hui, aucun produit du marché ne répond aux exigences de sécurité associées, et ne peut être considéré « de confiance » (section 4.2)
• De la même façon, l’ANSSI exprime des réticences quant aux solutions désignées comme « bastions » par différents éditeurs aujourd’hui, et qui n’offrent a priori pas de gages de sécurité suffisants, ou mènent à des usages non conformes aux profils de sécurité qu’ils sont en mesure de fournir (section 12.1). L’usage de simples « rebonds » peut alors être à privilégier.

La place plus importante et appuyée de ces mesures montre l’importance qu’elles revêtent aujourd’hui aux yeux de l’ANSSI, et indique que d’importants efforts peuvent encore être nécessaires pour leur adoption sur de nombreux systèmes.

Quelques « nouveautés », prévenant les écueils parfois rencontrés

S’il n’apporte pas de changement majeur, ce nouvel opus apporte quelques nouveautés sur des points précis. Certaines relèvent de l’explicitation de mesures qui n’étaient pas clairement exposées dans le guide précédent :

• La restriction, pour l’administration du SI, à l’utilisation d’équipements entièrement maîtrisés (R8), excluant les dispositifs personnels (BYOD)
• L’importance de disposer de documentation et cartographie exhaustives des systèmes (R3), bien que le rôle des administrateurs dans sa constitution et son maintien ne soit pas précisé.
• La nécessité de changer les mots de passe par défaut des équipements (R34)
• Le besoin de sauvegarder, au même titre que sur le périmètre métier, les données et composants du SI d’administration, et de réaliser des tests de restauration (R45)
• La notion « d’administration du SI d’administration » à prendre en compte, avec des standards à minima aussi exigeants, comprenant notamment des postes et serveurs dédiés (section 12.4)

D’autres préconisations nouvelles reposent sur un socle déjà présent dans la première version du guide, mais font l’objet de compléments importants, menant potentiellement à de nouveaux chantiers :

• L’importance de la gestion des habilitations spécifique des administrateurs est rappelée, et l’utilisation de groupes et de référentiels d’habilitations est désormais clairement recommandée (R40), afin d’apporter clarification et allègement considérable de ce processus
• Les comptes, s’ils doivent être dédiés à l’administration, doivent également être distincts entre les différents domaines techniques (section 7.1)
• Le rôle des administrateurs fait toujours d’eux des plaques tournantes de la sécurité des SI, mais le guide indique désormais que « pour toute question relative à la sécurité des systèmes d’information (SSI), un administrateur doit pouvoir s’adresser à des référents internes de l’entité » (section 2.2). Dans la précédente version, ce soutien à l’administrateur n’apparaissait pas et pouvait le laisser apparaître comme seul responsable de la sécurisation
• Des moyens d’échanges (mail, messagerie instantanée…) entre administrateurs au sein même du SI d’administration sont recommandés (R53), afin d’éviter les contournements et fuites de données potentielles parfois envisagés lorsque ces fonctionnalités sont absentes : passage par un serveur non prévu à cet effet ou, pire, détour par l’environnement bureautique

Enfin, un seul point discuté dans la première version disparaît : Le dispositif de diode n’est plus évoqué, au profit d’un système d’échanges hors SI d’administration répondant mieux aux besoins fonctionnels de l’administration, en ce qu’il permet des échanges bidirectionnels, et assurant un certain niveau de sécurité (au niveau réseau et logiciel, et non plus matériel).

Les mesures de sécurité associées restent cependant pertinentes dans certains contextes, où des risques spécifiques doivent être couverts.

Une mise à jour bienvenue

Sans provoquer de changement fondamental sur les principes de l’administration sécurisée, ce guide oriente bien plus clairement les acteurs concernés du SI. La précision de la pensée de l’ANSSI sur de tels sujets est en particulier primordiale pour les entreprises et administrations gestionnaires de systèmes sensibles : les principes exposés guideront une partie importante des interactions avec ces entités, et in fine les décisions d’homologation.

En plein compte-à-rebours règlementaire, notamment en ce qui concerne les OIV et la LPM, la diffusion de ce nouveau guide est l’occasion de conforter son interprétation des recommandations et les orientations prises pour la sécurité de chaque SI, ou à défaut de (re)considérer des chantiers fondamentaux non encore menés et répondre au contexte sécurité actuel.

Cet article Administration sécurisée : que dit le nouveau guide ANSSI ? est apparu en premier sur RiskInsight.

C’est dans ce contexte que l’on entend régulièrement des interprétations inexactes du texte, qui d’anodines peuvent se révéler dangereuses. Elles peuvent en effet induire les décideurs à mener des actions inadaptées ou oublier certains points de mise en conformité, laissant l’entreprise exposée à des sanctions ou à une dégradation de son image de marque.

Nous proposons dans cette série de 3 articles de déconstruire 3 idées reçues sur le RGPD :

• Idée reçue #1 – Le consentement est obligatoire
• Idée reçue #2 – Le RGPD impose d’anonymiser les données
• Idée reçue #3 – Il y a une durée maximale de conservation des données.

Idée reçue #1 – le consentement est obligatoire

Le recueil du consentement n’est pas obligatoire, il existe de nombreux autres éléments qui peuvent justifier un traitement de données à caractère personnel (DCP). Parmi les plus courants pour une entreprise, on trouve notamment l’exécution d’un contrat ou une obligation légale. Ce n’est donc pas un consentement qui est nécessaire au traitement des DCP d’une personne, mais plus largement une justification, c’est-à-dire la base légale du traitement.[i] De plus, le traitement est strictement lié à une ou plusieurs finalités, pour lesquelles l’utilisateur peut donner son consentement.

Ce qui compte, c’est donc le triangle Donnée-Justification-Traitement :

Ce triangle est indépendant et insécable :

• Indépendant / Il est indépendant des autres triangles. Le fait qu’on ait obtenu un consentement pour une donnée et une finalité n’implique pas qu’on puisse traiter la même donnée pour une finalité différente, ni une autre donnée pour la finalité.
• Insécable / Les trois piliers du triangle sont tous trois porteurs donc indissociables :
  • Si de fait le traitement devient caduc ou si les données ne sont plus nécessaires au traitement, et que les données ne sont couvertes par aucun autre triangle, il faut effacer les données.[ii].
  • Si la justification devient caduque (fin d’un contrat ou retrait du consentement par exemple), il faut cesser le traitement et, si les données ne sont couvertes par aucun autre triangle,il faut effacer les données.[iii]

Une gestion centralisée des données personnelles, pour le client et pour le back-office

Dans le cadre de la conformité au RGPD, il convient de se doter d’un « système de gestion des données personnelles » gérant de manière uniformisée toutes les justifications, ou du moins les plus courantes : les clauses contractuelles, le consentement et les obligations légales notamment.

Cet angle de vue centré client imposé par le RGPD implique d’avoir au sein du SI une vision Client Unique / Golden Record, afin de gérer de manière unifiée des données d’un même client qui seraient éclatées dans de nombreux référentiels éventuellement décorrélés.

Ce système se décline d’une part en un front-office, permettant au client d’accéder de manière centralisée à ses données détenues par l’entreprise et exercer ses droits sur celles-ci : consentement, contrats, droit à l’oubli, portabilité, rectification, traitements autorisés, etc.

Figure 1 – Le portail de gestion de ses données personnelles de Google

D’autre part, le back-office consiste en un Référentiel Données-Justification-Traitement, où le triangle ci-dessus serait matérialisé sous la forme d’une table avec le triplet Données-Justification-Traitement, ainsi que quelques autres attributs (dont la référence – identifiant unique, clé étrangère… – à la personne concernée).

La modélisation en Référentiel Données-Justification-Traitement faciliterait :

• en écriture, la création de nouvelles justifications (par exemple un consentement) et leur suppression ;
• en lecture, la vérification automatique de la possibilité de traitement d’une DCP pour une finalité identifiée, par l’existence d’un triplet valide en base (il peut en exister plusieurs) et pour le client l’accès, requis par le RGPD à toutes les données le concernant et les traitements associés.

Figure 2 – Exemple de cas où deux justifications peuvent couvrir en partie les mêmes données

NB : Le consentement doit être tracé et historisé (les valeurs successives doivent être gardées pour d’éventuelles vérifications rétrospectives) : une attention particulière devra être portée à la traçabilité (au sens piste d’audit) de ce Référentiel Données-Justification-Traitement.

Il convient donc pour une société souhaitant gérer efficacement ses justifications pour traiter des données personnelles de se munir de ce système centralisé, permettant d’une part au client, côté front-office, d’exercer ses droits (consentement, oubli, portabilité, information…), et d’autre part à la société, côté back-office, d’avoir une vue claire des données qu’elle traite pour chaque client et de la justification qui l’autorise à les traiter, quelle qu’elle soit (contrat, consentement, obligation légale…).

Au-delà d’encadrer précisément ce qui autorise le traitement des données, le RGPD impose également des mesures de sécurité contre les fuites et les vols de données, notamment via des techniques comme l’anonymisation, la pseudonymisation et le chiffrement. Dans le prochain article nous proposons d’éclaircir la portée et le rôle de chacune de ces techniques bien distinctes.

[i] Article 6, paragraphe 1

[ii] Article 5, paragraphe 1, point e)

[ii] Article 5, paragraphe 1, point e)

Cet article 3 idées reçues sur les obligations du RGPD (1/3) est apparu en premier sur RiskInsight.

Cet article RGPD – Que va-t-il se passer après le 25 mai 2018 ? est apparu en premier sur RiskInsight.

Rappel des faits

Cambridge Analytica est un cabinet spécialisé dans l’analyse de données ; l’entreprise a pour ambition de disposer d’une large base de données d’utilisateurs et ainsi revendre ses analyses et le profilage de différentes personnes à ses clients.

Dès lors, Aleksandr Kogan, psychologue sous contrat de prestation pour Cambridge Analytica, crée une petite application Facebook contenant un quiz de personnalité. Afin de réaliser ce test de personnalité, les utilisateurs de l’application doivent donner accès à leurs données Facebook ainsi que celles de leurs « amis » au psychologue. Il indique toutefois à Facebook et aux utilisateurs que leurs données ne sont collectées qu’à des fins de recherche.

Très rapidement, Kogan collecte les données Facebook de 87 millions de personnes à partir d’une base de 270 000 utilisateurs de son application. Kogan transmet ensuite à Cambridge Analytica l’ensemble de sa base de données à des fins de catégorisation en différents profils, trompant ainsi les utilisateurs sur l’utilisation de leurs données.

Qu’est ce qui pose problème dans ce transfert de données à Cambridge Analytica ?

En analysant cette affaire au regard des principes du RGPD, le fameux règlement européen sur la protection des données à caractère personnel qui entre en vigueur le 25 mai prochain, deux points majeurs posent problème pour la protection de la vie privée dans ce transfert de données à Cambridge Anaytica :

1. Le détournement de finalité de l’usage des données
2. L’absence de consentement pour transférer ces données à Cambridge Analytica

Le détournement de la finalité de l’usage des données

En effet, lors de la collecte initiale des données, Aleksandr Kogan indiquait que ces données ne seraient utilisées qu’à des fins de recherche académique. En pratique, Cambridge Analytica a utilisé cette base de données pour faire du profilage des personnes concernées et proposer des campagnes publicitaires ciblées à la demande de ses clients. Les utilisateurs ont donc vu leurs données utilisées à des fins qu’ils n’avaient pas envisagées, engendrant un vrai sentiment d’intrusion dans la vie privée.

L’absence de consentement sur le transfert des données

Autant les utilisateurs du quiz de personnalité avaient donné leur consentement pour que leurs données soient transmises à un tiers, autant les « amis » de ces utilisateurs n’ont jamais consenti explicitement à cela. C’est donc tout le système de gestion des consentements utilisateurs de Facebook qui est en cause.

En 2015, cette « faille » a été révélée à Facebook qui l’a corrigée par la suite. Cette approche de correction a posteriori est la posture adoptée par Facebook depuis des années. Rappelons que le modèle initial du site était très ouvert, avec la possibilité de voir les profils de tous à sa création. Petit à petit, les paramètres de confidentialité sont arrivés pour la plupart suite à des incidents ultérieurs.

Une prise de conscience aux Etats-Unis sur la nécessité de protéger la vie privée des personnes

80% des personnes concernées par cette fuite de données sont des citoyens américains. Cette affaire a de nombreuses répercussions aux Etats-Unis. Surtout, les autorités américaines tout comme le grand public prennent conscience de la nécessité de protéger la vie privée des citoyens américains. Ainsi, Mark Zuckerberg, CEO de Facebook, a été auditionné au Sénat américain (une première pour lui, plus habitué à faire témoigner ses lieutenants) pour s’expliquer sur le scandale ; mais ce sont aussi les pratiques et le business model de Facebook qui sont remis en cause au Sénat (par exemple pendant l’intervention du Sénateur Richard Blumenthal lors des auditions de Mark Zuckerberg).

Des voix s’élèvent aussi aux Etats-Unis pour demander un durcissement des lois sur la protection des données personnelles, notamment sur l’obligation de collecter le consentement pour certains traitements de données à caractère personnel. Certains voudraient même que le RGPD européen soit transposé dans la législation américaine. Ainsi, deux sénateurs américains ont déjà proposé un projet de loi nommé CONSENT Act qui reprend quelques grands principes du RGPD (opt-in ou consentement actif obligatoire, notification des autorités de contrôle et de personnes concernées en cas de fuite de données, transparence, etc.).

C’est donc une véritable prise de conscience qui s’opère aux Etats-Unis sur le sujet de la protection des données personnelles. C’est un changement majeur dans un pays qui traditionnellement a une faible sensibilité sur ces sujets.

Les utilisateurs doivent rester vigilants sur leurs consentements donnés sur Facebook

Plus largement, c’est aussi la gestion des consentements des utilisateurs de Facebook qui fait débat. Même si Facebook propose désormais un nouveau centre de confidentialité qui permet de gérer finement les consentements accordés à chaque application, l’utilisateur doit rester vigilant quant aux consentements qu’il a donné. En accordant un consentement assez permissif à une application Facebook, celle-ci pourra réaliser des opérations qui auront un impact important sur la vie privée de l’utilisateur sans que cela ne soit interdit par la loi (au sens du RGPD).

Alors que l’entrée en vigueur du RGPD au 25 mai prochain approche à grand pas, cette affaire tombe à point nommé pour rappeler la nécessité de prendre en compte les enjeux de protection de la vie privée.

Et Facebook réagit donc fortement, en mettant en avant les principes du RGPD durant ses auditions au Congrès mais aussi en déclenchant une campagne de publicité ad hoc et en avertissant tous ses utilisateurs quant aux changements dans la gestion des consentements. Cela sera-t-il suffisant pour restaurer la confiance et être en conformité aux nouvelles réglementations ? L’avenir nous le dira mais le chemin promet d’être long

Cet article Cambridge Analytica, quels enseignements peut-on en tirer ? est apparu en premier sur RiskInsight.

Que dit véritablement ce nouveau règlement ? Comment risque-t-il d’impacter les entreprises ? Faut-il vraiment s’en inquiéter ? Autant de questions que nous nous proposons d’aborder dans cet article

Une date d’application encore floue

Les objectifs du texte sont clairs :

• Compléter le GDPR sur le sujet de la confidentialité des communications électroniques
• Renforcer le contrôle des utilisateurs sur leurs données à caractère personnel traitées par les fournisseurs de communications électroniques

Si le texte contient ainsi différentes dispositions qui visent les communications électroniques ils visent également la gestion des cookies, le marketing non sollicité, etc. De cette façon, la commission européenne souhaite adapter la règlementation aux nouveaux types de communication, en particulier aux nouveaux acteurs, les fournisseurs de service Over-The-Top (OTT) tels que Messenger ou What’s App qui passent par Internet pour proposer leurs services. Cependant par voie de conséquences le périmètre d’application est beaucoup plus large d’application : presse en ligne, site de e-commerce, opérateur télécom traditionnel, … sont soumis à ce règlement.

Dans sa version initiale, le règlement E-privacy devait s’appliquer comme le RGPD (Règlement Général sur la Protection des Données), le 25 mai 2018. Pourtant, le Parlement européen vient tout juste de lancer les négociations avec le Conseil de l’Union européenne en adoptant une première version du règlement. La date de mise en application initiale ne sera donc pas tenue et devrait être repoussée de plusieurs mois. Si, de fait, cela laisse un peu de temps avant de se mettre en conformité, certains éléments du texte peuvent et doivent d’ores et déjà être anticipés.

Un texte aux forts impacts techniques

Le texte n’a pas encore été adopté dans sa version finale mais on peut d’ores et déjà visualiser les grandes orientations de ce texte. La première est la suppression des bandeaux d’acceptation des cookies à finalité commerciale présents actuellement sur la quasi-totalité des sites web. A la place, la Commission souhaite que le consentement de l’utilisateur soit recueilli directement dans les paramètres du navigateur web.

Concrètement, cela signifie pour les navigateurs le développement de solutions de centralisation du consentement et pour les entreprises l’obligation de s’équiper de moyens permettant de capter l’information auprès du navigateur. L’enjeu pour l’entreprise sera donc de réussir à s’interfacer avec les différentes versions de navigateurs pour accéder au consentement de l’utilisateur. Au-delà des aspects techniques, une telle disposition crée un intermédiaire entre le service et son client ; difficilement tolérable pour les fournisseurs de services.

On peut dès maintenant noter l’ambiguïté que pose cette nouvelle répartition des rôles au profit des navigateurs. En effet, centraliser le consentement dans leurs paramètres pourrait permettre aux navigateurs de privilégier certains éditeurs de sites web notamment dans la présentation des choix aux utilisateurs et ainsi rendre possible l’éviction de certains acteurs. Plus globalement, il est risqué de laisser la gestion des données personnelles à quelques acteurs dominants comme les GAFA souvent visées par ailleurs pour certains de leurs traitements de données. Cette problématique est transposable sur les smartphones.

Il s’agit d’ailleurs d’un des nouveaux enjeux liés à cette règlementation : la capacité des entreprises à adapter leurs services et leurs traçages en fonction du consentement de l’utilisateur. Cela signifiera parfois de repenser le parcours client pour permettre à l’utilisateur refusant les cookies d’accéder aux services.

Ces premiers impacts laissent présager une implémentation technique compliquée pour les entreprises qui vont se mettre en conformité E-privacy et représente même un véritable danger pour certains business. En effet, en remaniant en profondeur l’utilisation des cookies webs, le secteur de la presse, comme indiquée dans l’introduction, dont les revenus reposent en partie sur la publicité ciblée, va devoir revoir une partie de sa démarche commerciale en ligne. Plus globalement, l’E-privacy risque de freiner les élans d’investissement et d’innovation de nombreuses entreprises qui se lancent dans des programmes de digitalisation.

Un message : la base légale du profiling est le consentement

Le règlement tel qu’écrit aujourd’hui possède encore de nombreuses zones de flou : Où devra se faire la gestion des consentements spécifiques : au niveau du navigateur ou du site web ? Comment déterminer, selon leur finalité, quels sont les cookies impactés par la demande de consentement ? …

Par ailleurs, le règlement ne semble pas prendre en compte les réalités technologiques des terminaux mobiles et des écosystèmes d’application qui diffèrent techniquement de celles liées à l’internet fixe. Aujourd’hui, il existe peu de solutions permettant aux acteurs qui dépendent des systèmes d’exploitation de se conformer aux exigences du règlement E-privacy

Enfin, les discussions et les premiers éclaircissements sur ce règlement, écartent le recours à l’intérêt légitime pour les traitements de profiling. Cette précision n’est pas un détail. Si le règlement E-privacy le confirme, les entreprises qui ne l’ont pas fait seront obligées d’intégrer le consentement dans leur parcours client pour pouvoir les cibler, les données collectées dans le cadre de ce traitement deviendront portables… Autant d’impacts qui doivent être anticiper dès aujourd’hui.

Se préparer dès aujourd’hui à l’arrivée de l’E-privacy

La question est d’autant plus importante lorsqu’on sait que les sanctions sont les mêmes que pour le GDPR (20M€ et 4% du CA). Deux éléments semblent indispensables à ce stade :

• Mettre en place une veille: a l’instar du GDPR un programme de mise en conformité sera nécessaire. Avoir identifier en amont les impacts ne pourra être qu’un accélérateur
• Anticiper certains impacts: Intégrer d’ores et déjà la philosophie du texte dans ces traitements réduira l’effort de mise en conformité à terme

Cet article E-privacy, il est urgent d’attendre est apparu en premier sur RiskInsight.

Pourquoi le sujet du Records Management nous intéresse-t-il si particulièrement ? Il a grandement gagné en importance ces deux dernières années avec la publication du RGPD (Règlement général sur la protection des données, ou GDPR en anglais). Ce règlement est en réalité une opportunité pour les entreprises de transformer un sujet de conformité en un indéniable atout métier qui doit être traité aux niveaux les plus stratégiques.

Avoir une cartographie des données de l’entreprise, détaillant leurs lieux de stockage, les finalités des traitements associés et les processus auxquels elles sont associées permettra d’améliorer les résultats opérationnels et sera l’une des clés pour améliorer la performance des entreprises.

La première étape de la formalisation du Records Management passe bien évidement la mise en conformité au RGPD. Les actions menées apporteront de la clarté aux métiers sur leurs activités, de l’information sur ce qui doit être protégé au département traitant de la Sécurité, de l’information aux clients sur le traitement de leurs données. Ces derniers n’en seront que plus satisfaits dans un contexte où la transparence et le contrôle de l’information relatif à leurs données sont des facteurs clés de la confiance accordée à l’entreprise et de sa valeur perçue.

Cette cartographie des données sera alors un vecteur pour la réduction des coûts de stockage et de sécurité de l’information. En effet, les informations essentielles et critiques devant être maintenues et protégées seront clairement identifiées et différenciées de celles qui ne le sont pas et ne nécessiteront pas de mécanismes de protection onéreux.

Par où commencer ? Il n’est pas nécessaire de faire appel à une armée d’experts en Records Management pour atteindre les objectifs fixés. Il s’avère que les métiers et leurs employés, ayant acquis un précieux savoir au fil des années sur le fonctionnement de l’entreprise, ses traitements et processus seront les plus grands atouts dans la définition du Records Management.

Trois étapes sont nécessaires pour définir et implémenter une stratégie de Records Management (ou Data Management) pour les entreprises :

1. Créer une politique de Records Management
2. Créer un registre des applications et et des partenaires en usage au sein de l’entreprise (registre pouvant être basé sur le catalogue de services)
3. Implémenter la politique de Records Management sur les applications et services identifiés afin de gagner en efficacité et faire des économies

La politique de Records Management

Chaque métier a des raisons différentes (légales, réglementaires, opérationnelles, etc.) de conserver des archives et ces données. Par exemple, un service client pourrait avoir la nécessité d’enregistrer les conversations téléphoniques à des fins de qualité ou de formation, de la même manière que dans un contexte de transaction financière elle devra enregistrer les conversations téléphoniques de ses employés, pour être en conformité avec la réglementation (MiFID).

La politique de Records  Management devra donc couvrir l’ensemble de ces besoins.

Chaque entité se doit d’être en mesure de préciser les types de données traitées, ainsi que les caractéristiques de son stockage, afin que la politique puisse être construite efficacement suite à des entretiens ciblés avec des responsables métiers expérimentés.

Une fois l’inventaire des différents types d’archivages obtenus, il conviendra de peser les différents impératifs (légaux, réglementaires et opérationnels) pour déterminer la période de rétention adéquate pour chacun des types d’archivages :

• La réglementation impose habituellement une durée minimale (par exemple, l’enregistrement audio des conversations est de 5 ans minimum avec MiFID II) ;
• La législation fixe de son côté une durée de rétention minimale ou maximale (par exemple, la CNIL demande de ne pas conserver les données personnelles plus longtemps que le temps nécessaire au traitement).

La politique de Records Management doit ainsi contenir le type des données archivées, les durées et raisons de rétention.

Le registre des applications et des partenaires

Une fois la politique de Records Management définie, la prochaine étape sera de la décliner sur les différents Systèmes d’Information de l’entreprise. Pour cela, la première brique de cette implémentation sera la construction d’une vue descendante (top-down en anglais) de l’ensemble des applications en service, via une consultation globale des équipes IT, RH, métiers et de sourcing. La revue de ces applications par les équipes Sécurité et de Direction sera alors nécessaire pour deux raisons :

• Vérifier que cette liste est cohérente avec les applications ajoutées dans le radar des équipes Sécurité suite aux demandes des utilisateurs ;
• Donner de la visibilité sur le Shadow IT en usage.

Cette liste finalisée et revue sera alors un ciment solide pour l’implémentation de la politique de Records Management de l’entreprise. L’organisation pourra ainsi tirer parti de la complétude de cette liste pour échanger régulièrement avec les équipes IT, RH, métiers et de sourcing, permettant de réduire le risque de perte de données au travers d’applications ou de partenaires non supervisés.

Il sera par la suite nécessaire de cartographier les systèmes d’information avec les différents types d’archives, leurs impératifs et leurs caractéristiques de rétention afin de pouvoir implémenter la politique de Records Management.

Implémentation de la politique de Records Management

Avoir défini sa politique de Records Management, la cartographie des archives dans le SI n’aura été qu’un exercice de conformité réglementaire si elle n’est pas appliquée par la suite. C’est effectivement l’implémentation de la politique qui apportera toute la valeur ajoutée en termes de performance et d’économies pour l’organisation.

Un exemple parlant est celui des sauvegardes de restauration. Il est possible de définir comme seule finalité pour ces sauvegardes la restauration des données perdues en cas d’incident majeur sur le réseau de l’entreprise. Dans ce cas, il faudra alors décrire dans la politique que la durée de rétention est d’une semaine pour les sauvegardes journalières, pas plus d’un mois pour les sauvegardes hebdomadaires, pas plus d’un an pour les sauvegardes mensuelles, etc. Mettre en place ce type de politique permettra d’économiser énormément d’espace de stockage et apportera de la clarté sur la gestion des sauvegardes aux équipes opérationnelles. Evidemment, il faut en parallèle ségréguer les enregistrements devant rester sauvegardés plus longuement pour des raisons opérationnelles, réglementaires et légales.

Les entreprises n’ayant pas défini de politique de Records Management auront des difficultés à valider les périodes de rétention pour les différents traitements. Elles auront également tendance à définir des périodes de rétention trop longues générant des coûts inutiles et induisant potentiellement un risque légal pour l’entreprise. Pour reprendre l’exemple des sauvegardes de restauration, si ces données sont stockées sans protection (chiffrement par exemple) et volées alors qu’elles n’avaient plus d’intérêt pour leur finalité initiale de restauration, elles seront exploitables par un tiers malveillant et leur divulgation implique divers risques pour l’entreprise.

Une fois l’implémentation de la politique de Records Management lancée, il est recommandé de revoir les diverses stratégies de l’entreprise liées à celle-ci : Sécurité de l’information, juridique, conformité, métier, etc. afin de les aligner et de les compléter grâce à cette nouvelle connaissance sur les données et traitements de l’entreprise. Des bénéfices additionnels pourront en être tirés au-delà du domaine du Records Management : concentration de la sécurité de l’information sur les données sensibles, identification des traitements les plus à risque pour l’entreprise afin de les sécuriser, d’en identifier une alternative moins sensible, voire de les interrompre en cas de fort impact potentiel dû à un manque de conformité.

Les gains que l’entreprise peut espérer d’une stratégie de Records Management claire et formalisée sont maintenant plus évidents : conformité avec les réglementations et lois sur la protection des données, meilleure performance opérationnelle, et actions de sécurité de l’information mieux ciblées. Afin de maximiser ces bénéfices, il est important d’intégrer le juridique, la conformité, la sécurité de l’information et la stratégie métier dans cette initiative : ils créeront les synergies nécessaires à la réussite du projet.

Cet article Comment faire du Records Management un atout pour les entreprises? est apparu en premier sur RiskInsight.

Dans le contexte de la Loi de Programmation Militaire (LPM), l’homologation est une procédure obligatoire qui s’applique aux Opérateurs d’Importance Vitale (OIV). Elle permet de maîtriser les enjeux et le niveau de sécurité de chaque Système d’Information d’Importance Vitale (SIIV).

L’homologation est au cœur de la stratégie de mise en conformité LPM, car elle permet de décliner de manière concrète et opérationnelle les règles de la LPM tout en réduisant les risques de sécurité.

L’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) a décrit dans un guide les grandes étapes de l’homologation. Ainsi les étapes majeures d’une homologation sont :

• La définition de la stratégie d’homologation (document de cadrage décrivant les détails de réalisation de l’homologation)
• La réalisation d’une analyse de risques sur le SIIV
• La conduite d’un audit d’homologation
• La décision d’homologation
• Le suivi a posteriori de l’homologation

Cette décision doit être prise par l’autorité d’homologation (AH), personne morale portant la responsabilité de l’homologation pour un SIIV. Elle est aidée par la commission d’homologation, groupe d’experts internes chargé de préparer la décision d’homologation.

Les informations nécessaires à la prise de décision sont regroupées dans le dossier d’homologation. Cela permet à la commission d’homologation d’attester la connaissance du niveau de sécurité et d’accepter les risques résiduels. In fine, la commission d’homologation atteste que le niveau de risque est maîtrisé.

Une démarche à éprouver au plus vite sur les SIIV existants

Rétro-homologation : comment homologuer les SIIV déjà en service ?

Dans le cadre d’un SIIV déjà existant, le paradigme de l’homologation est différent, même si les objectifs restent les mêmes. L’analyse de l’existant constitue le point de départ de l’homologation, et la réalisation d’un audit à blanc (ou l’utilisation d’un rapport d’audit précédent) sert d’accélérateur dans la collecte d’information et dans l’identification des risques.

A l’inverse, les mesures de sécurité devront être appliquées sur un historique parfois lourd à transformer. Des mesures compensatoires doivent dès lors être identifiées, priorisées et mises en œuvre

Cette homologation a posteriori, ou rétro-homologation, doit permettre au métier d’assurer une prise en compte exhaustive des risques, et de prioriser les actions pour réduire les risques à un niveau acceptable, en mobilisant les budgets adéquats.

Même s’il est important de définir une procédure d’homologation en capacité de traiter les nouveaux SIIV à venir, ce sont surtout les SIIV existants qui occupent les OIV à l’heure actuelle, et la rétro-homologation est prioritaire.

Adopter une approche projet test & learn

Afin de définir et déployer une procédure d’homologation sur son périmètre LPM, l’OIV peut définir un pilote initial, pour roder et perfectionner le processus, avant de l’industrialiser sur l’ensemble des SIIV.

L’objectif de cette phase pilote est de confronter la méthodologie à la réalité terrain, dans une optique de validation de la démarche et des étapes définies (procédures, interlocuteurs à solliciter, etc.). Cette approche fait ressortir les points de difficultés (SI d’administration, cloisonnement, patch management, …), et permet d’apporter un plan de remédiation concret et réalisable.

Le choix du SIIV pilote est primordial pour pouvoir anticiper les problématiques qui vont être rencontrées. Ainsi, il est préférable de choisir un SIIV pilote représentatif de l’ensemble des autres SIIV (taille moyenne, interactions limitées, etc.).

Démontrer la sécurité apportée par la LPM

Au sein des différents chantiers et projets engendrés par la LPM, celui de l’homologation permet de concrétiser le renforcement effectif de la sécurité. Non seulement en mettant en visibilité la sécurité de manière interne à un haut niveau (DG, autorité d’homologation) et de manière externe (ANSSI, État), mais également en mesurant la réduction des risques exigée (analyse de risques) et réalisée (audit).

La réalisation de l’homologation permet de communiquer sur les risques réels, d’identifier, de sensibiliser et de responsabiliser les acteurs concernés (en particulier la Direction au travers du rôle de l’autorité d’homologation).

L’ensemble des actions de mise en conformité LPM est regroupé dans le dossier d’homologation, et porte une réalité pratique. On y retrouve notamment les constats de sécurité, les points bloquants et un aperçu du degré de complexité de la mise en conformité.

Le dossier d’homologation doit être à la disposition de l’ANSSI. À ce titre, il constitue la vitrine de l’OIV vis-à-vis de la l’ANSSI pour la LPM, et gagne à ne pas être bâclé ! Il doit démontrer les acquis de sécurité et la validation concrète des réponses théoriques de mise en conformité.

Assurer le maintien de la sécurité dans le temps

Créer une dynamique d’homologation

Une homologation ne s’arrête pas lorsque la décision d’homologation est prononcée et le système mis en production. Cette étape ne marque que le commencement du management des risques. Il s’agit par la suite d’animer, de mettre en visibilité et d’assurer un contrôle permanent de la sécurité. L’arrêté précise que l’homologation doit être renouvelée au minimum tous les 3 ans, où lors d’évolutions majeures sur le SIIV, qui remettent en cause le contexte sécurité du SIIV tel que décrit dans l’analyse de risques.

Pour les SIIV existants, il est donc nécessaire de mettre en place un processus pour contrôler et détecter les évolutions du contexte de sécurité du SIIV. Cela doit notamment s’appuyer sur une organisation, par exemple avec un acteur en charge de détecter et d’évaluer ces évolutions de contexte. Il peut notamment établir une liste d’événements déclencheurs (par exemple : changement d’exposition du SIIV, arrivée de prestataires, évolution fonctionnelle du SIIV, modification d’infrastructure ou de gestion opérationnelle) qui servira de base à l’évaluation du besoin de renouvellement.

La mise en place du comité de gouvernance de l’homologation permet d’assurer une animation du processus d’homologation. La mise à jour de la méthodologie d’Intégration de la Sécurité dans les Projets permet de capter les nouveaux projets, d’y appliquer le management des risques dès le début du projet et d’anticiper la mise en conformité d’un SIIV.

Poser un cadre clair et compréhensible pour les propriétaires applicatifs

Les propriétaires applicatifs représentent des acteurs clés dans le maintien de la sécurité et de l’homologation dans le temps. Non seulement car ils possèdent une bonne vision de leur SIIV, mais également car ils en perçoivent les évolutions. S’ils ont « peur » de la LPM, cela peut amener à une mauvaise implémentation de la sécurité. Au contraire, une bonne compréhension des enjeux de la LPM, de l’homologation et de l’amélioration continue est bénéfique pour la sécurité du SIIV.

Il est recommandé de prêter une attention particulière sur l’accompagnement et la sensibilisation des propriétaires applicatifs à la sécurité en général, et à l’homologation en particulier. Dans une démarche gagnant-gagnant, il faut embarquer et fédérer les propriétaires applicatifs pour bonifier la sécurité dans le temps.

L’homologation de sécurité, une démarche permettant d’approfondir la maîtrise des risques dans la durée

Au-delà de la contrainte réglementaire pure, la LPM doit être considérée comme un formidable accélérateur permettant d’approfondir la maitrise des risques au sein de l’Opérateur d’Importance Vitale, depuis les équipes opérationnelles, les propriétaires applicatifs et jusqu’à la Direction.

Après une première étape de mise à niveau et de mesures de réduction des risques sur les SIIV existants, l’enjeu de l’homologation est d’assurer le maintien dans le temps du niveau de sécurité sur le périmètre des SIIV. A ce titre, il est nécessaire d’animer dans le temps les différentes instances, afin de conserver la dynamique initiale.

Cet article L’homologation de sécurité, clé de voute de la mise en conformité LPM est apparu en premier sur RiskInsight.

La directive NIS : un texte majeur

Au niveau national, la directive requiert notamment l’établissement d’une stratégie cybersécurité et la mise en place d’un CSIRT ainsi que d’une autorité en charge de ces sujets. Pour les entreprises, elle introduit deux volets d’obligation pour deux types d’acteurs :

• Les Opérateurs de Services Essentiels doivent mettre en œuvre des mesures techniques et organisationnelles pour gérer les risques menaçant la sécurité des réseaux et et des systèmes d’information
• Les Fournisseurs de Services Numériques sont tenus de notifier les incidents de sécurité à l’autorité compétente

La nécessité d’orientations fortes et communes

La directive NIS est le pendant sécurité de la stratégie européenne du Marché Unique Numérique, lancée en 2015, qui vise à faire du numérique un moteur de la croissance : la confiance des entreprises et des consommateurs est indispensable pour ce projet, car sans confiance, pas de croissance !

Les pays européens sont de plus en plus dépendants du numérique et des systèmes d’information, et leurs réseaux sont de plus en plus reliés. Et cette interconnectivité fait leur force comme leur faiblesse, puisque le niveau de sécurité d’un système d’information est équivalent à celui de son point le plus faible.

Or, on observe une très forte hétérogénéité entre les Etats Membres au regard de ces enjeux, étant donné que la prise en charge de la cybersécurité se faisait jusqu’ici au niveau national.

C’est à ce risque systémique que l’Europe cherche à remédier avec la directive NIS. Il s’agit de la première législation européenne régissant les pratiques cybersécurité de façon cross-sectorielle.

Elle se démarque des textes spécifiques à une problématique particulière, tels que le GDPR. Souvent associé à la directive NIS, il n’a pourtant pas les mêmes objectifs puisqu’il se concentre sur le seul périmètre de la protection des données personnelles tandis que la directive vise à assurer un certain niveau de cybersécurité via la définition de standards de sécurité et la notification des incidents (qu’ils touchent à des données personnelles ou non). Reste qu’une cyber-attaque mettra souvent en jeu les deux domaines, et qu’il fait donc sens de ne pas considérer ces deux textes séparément lors de la mise en conformité.

Un processus de transposition déjà engagé

Le texte étant une directive et non un règlement, il est nécessaire que chaque Etat Membre transpose ces orientations dans son cadre législatif national.

De nombreux pays ont déjà annoncé des premières mesures s’inscrivant dans le cadre de la directive :

• Le Royaume-Uni a confirmé son intention de transposer le texte malgré le Brexit ; le montant des pénalités prévues dans le texte vient d’être communiqué et celles-ci sont particulièrement importantes
• La Pologne a annoncé l’ouverture d’un nouveau centre national dédié à la cybersécurité (NC Cyber) ;
• La Belgique a présenté six mesures phares pour renforcer la cybersécurité, à la suite de WannaCry, cyberattaque mondiale qui a paralysé de nombreuses entreprises le mois dernier ;
• La République Tchèque a amendé sa loi cybersécurité pour prendre un compte plus de secteurs critiques et se conformer aux exigences de la directive ;
• L’Italie a révisé son Plan National pour la Cyber Protection et la Sécurité Digital, en accord avec les orientations données par la directive ;
• La Croatie a mis en place un groupe de travail pour préciser les modalités de transposition de la directive ;
• La Suède a d’ores et déjà fourni des détails sur la transposition, tels que l’ordre de grandeur des pénalités applicables, ou encore les entités responsables de la mise en œuvre.

Sur un certain nombre d’aspects, le texte est très peu directif et fixe des objectifs sans imposer de moyens. Il est du ressort de chaque pays de travailler à l’interprétation et de définir des mesures plus concrètes permettant l’atteinte de ces objectifs.

L’enjeu est donc d’atténuer l’hétérogénéité entre les pays européens et de parvenir à lisser le niveau de cybersécurité en limitant les écarts trop importants, afin de réduire la complexité de mise en conformité pour les acteurs présents dans plusieurs pays.

Pour ce faire, une collaboration structurée s’organise à l’échelle de l’UE :

• Une révision du mandat de l’ENISA, l’agence européenne en charge de la sécurité des réseaux et de l’information, est à l’étude, avec entre autres l’objectif de lui donner la latitude nécessaire à l’accomplissement des missions relatives à la directive ;
• Un Groupe de Coopération, composé de représentants nationaux ainsi que de l’ENISA et la Commission Européenne, donnera des orientations stratégiques ;
• Un réseau de CSIRT s’organise aussi, et sera en mesure d’assurer la communication et l’échange de bonnes pratiques, ainsi que d’appuyer les Etats Membres pour les sujets relatifs à la directive.

Comment se préparer à l’arrivée de la directive ?

Concrètement, comment anticiper dès maintenant ce nouveau texte et quel plan d’actions déployer ? Cela dépend en pratique du type de structure (OSE ou FSN).

Concernant les fournisseurs de service numériques (FSN), une approche harmonisée est requise : les Etats Membres ne peuvent pas imposer d’autres exigences liées à la sécurité ou aux notifications, et en ce sens, la directive se rapproche d’un règlement pour ce type d’acteur. Cette singularité par rapport aux OSE provient du caractère transfrontalier de leurs activités et du fait que beaucoup sont des entreprises étrangères non implantées sur le territoire européen, qui devront désigner un représentant basé dans un Etat Membre pour être l’interlocuteur attitré concernant les questions liées à NIS (Article 18 de la directive). Il est donc essentiel que chaque pays impose les mêmes obligations, dans l’objectif d’éviter que le choix du pays d’implantation ne soit orienté par ce critère.

Les obligations pour les FSN sont d’ailleurs un peu moins contraignantes : par exemple, ils ne sont dans l’obligation de notifier un incident que s’ils ont accès aux informations nécessaires pour évaluer son impact au regard des critères définis dans la directive (Article 16).

D’ici le 9 août prochain, la Commission Européenne publiera les actes d’exécution et il sera alors possible de commencer le processus de mise en conformité.

Pour les Opérateurs de Services Essentiels (OSE), en France, il y a deux principaux cas de figure.

D’abord, les opérateurs déjà identifiés comme OIV, opérateurs d’importance vitale, dans le cadre de la Loi de programmation militaire française (LPM). Pour eux, l’enjeu de mise en conformité est moins significatif, puisque la LPM introduit déjà de nombreuses obligations ; la directive n’en introduira probablement pas de plus exigeantes. Quelques éléments tels que le reporting pourraient être à adapter, mais il n’y a pas de changement majeur à prévoir.

Toutefois le périmètre de la directive est susceptible d’être plus large que celui de la LPM, et certains opérateurs des secteurs critiques définis par chaque Etat devront alors commencer leur mise en conformité. Les Etats Membres ont jusqu’à novembre 2018 pour désigner les OSEà partir des critères définis dans le texte. La liste des opérateurs désignés sera ensuite passée en revue par la Commission Européenne en mai 2019.

Les structures concernées devront ensuite mettre en place une veille juridique pour suivre l’évolution du processus de transposition, puisque pour les OSE, les Etats Membres sont en droit d’imposer des mesures allant au-delà du socle commun défini par la directive.

Beaucoup de chantiers restent maintenant à mener par les Etats Membres : spécification des mesures de sécurité à mettre en place, définition des procédures de notification, sanctions applicables, sans oublier la désignation des secteurs critiques et des OES par chaque pays.

On assiste ainsi à un véritable renouveau du paysage législatif de la cybersécurité en Europe visant avant tout à homogénéiser le niveau de sécurité des SI entre états membres, dont il sera intéressant de suivre l’évolution.

Cet article Directive NIS : quels enjeux et comment s’y préparer ? est apparu en premier sur RiskInsight.

Notre retour d’expérience s’appuie sur un échantillon correspondant à nos interventions auprès de 20 grands comptes présents internationalement (Banques, Assurances, Transports, Énergie, Services, Grande distribution, etc.) et près de 40 donneurs d’ordre.

Suite à notre premier article sur la charge nécessaire et les principaux chantiers identifiés, revenons sur les budgets et l’année écoulée. 

Des budgets en constante augmentation

Le RGPD est un nouveau sujet. La protection de la vie privée ne l’est pas. La Loi Informatique et Libertés existe par exemple depuis 1978. Cet historique a dans un premier temps fait croire (à tort) à un bon niveau de conformité des organisations et limité la crainte d’un risque important de sanctions.

Les programmes ont donc mis du temps à se lancer (souvent pas avant fin 2016 pour de nombreux programmes, réellement au premier semestre 2017 pour les autres) et avec des réserves budgétaires faibles. L’avancement des états des lieux, des analyses d’écarts et de la complexité des mesures à mettre en oeuvre amène nos clients à augmenter régulièrement et très fortement leurs budgets.

Les programmes RGPD se chiffrent aujourd’hui pour de grands groupes internationaux, dans des fourchettes allant de 1 à 5 millions d’euros pour les organisations manipulant un nombre raisonnable de données personnelles et peu mobilisé sur le big data ou le profiling ; jusqu’à des fourchettes entre 20 à 50 millions d’euros lorsque que l’entreprise à plusieurs métiers et de très nombreuses entités/filiales. Pour certains très grands acteurs internationaux, les premiers engagements budgétaires ont même été de plusieurs centaines de millions d’euros, aujourd’hui en cours d’optimisation et de priorisation. Autre facteur de coût, les évolutions en profondeur de multiples applications font grimper rapidement les montants.

Au regard des coûts importants déployés, les directions générales exigent de plus en plus des directions métiers et IT de dé-prioriser d’autres budgets ou de s’appuyer sur les programmes existants pour absorber les chantiers identifiés.

L’impact financier particulièrement important de tels programmes, et la charge nécessaire pour les déployer, implique aujourd’hui que ces programmes revoient le planning initialement envisagé (mai 2018) afin de lisser cette charge et ces budgets dans le temps. Mai 2018, n’est plus une échéance de mise en conformité, mais plutôt la fin de la première étape de la mise en conformité : avoir réalisé les travaux les plus importants à cette date, et disposer d’une feuille de route claire pour la suite.

D’ici mai 2018, comment se mettre en conformité efficacement ?

Quelques règles simples sont à suivre afin de réussir sa mise en conformité :

Piloter utile

Construire une structure de pilotage au niveau du siège ou du groupe qui ne vise pas uniquement à exiger et contrôler mais plutôt à proposer des outils opérationnels aux entités pour les aider dans leur mise en conformité et à produire ces outils rapidement afin de ne pas ralentir ou inhiber les initiatives locales. Par exemple : ne pas attendre fin 2017 pour proposer sa méthode PIA.

Identifier et prioriser les traitements à risque

Certains sont faciles à identifier (manipulation de données de santé, gestion de la fraude…) et d’autres nécessitent expertise et une certaine expérience du sujet (comme par exemple les fichiers RH de « jurisprudence interne », théoriquement anonymisés, et en pratique uniquement déidentifiés directement, et donc souvent facilement ré-identifiants).

Ne pas chercher à analyser tous les traitements d’ici mai 2018

 En effet, constituer un inventaire prend du temps, mais analyser les traitements qui le constituent encore plus (à minima 4 à 5 fois plus de temps). Cette analyse, qui nécessite une forte expérience et expertise en data privacy, ne peut être menée exhaustivement d’ici mai 2018 (pour des raisons de coûts, mais également de manque de ressources sachantes à même de les mener). Il convient donc d’analyser les traitements les plus à risques dans un premier temps (20 à 30% des traitements) et de disposer d’une feuille de route claire pour l’analyse des suivants.

Paralléliser

Le programme ne doit pas être un programme Top Down où les opérationnels attendent des mois des outils et politiques du groupes avant de pouvoir commencer leurs travaux de conformités. Tous les acteurs impliqués (métiers, conformité, IT, CISO, Legal etc.) doivent pouvoir avancer en parallèle et s’alimenter les uns les autres dans une démarche souple et agile. Les équipes IT n’ont pas exemple pas besoin d’attendre que les métiers identifient des durées de rétention et demande à les appliquer dans les systèmes pour identifier les solutions applicables et les outils associés (notamment tokenisation irréversible).

Mutualiser tout ce qui peut l’être

En effet, rien ne sert de réinventer la roue. Les équipes centrales peuvent contribuer à construire et proposer des accélérateurs. Ainsi, plutôt que de demander à toutes les entités de constituer leur inventaire, il est souvent pertinent de proposer un modèle avec les 70 à 80 % de traitements communs à l’ensemble des entités. Le programme s’en trouvera facilité et la charge de mise en conformité réduite de façon importante.

Expliquer, expliquer et ré-expliquer

Le RGDP et sa déclinaison est un sujet complexe, aux multiples ramifi cations et qui sollicitent de nombreux acteurs de l’organisation qui ne connaissaient rien au sujet il y a encore quelques mois. Il faut donc faire preuve d’une pédagogie sans faille et ne pas hésiter à accompagner au plus près les équipes en charge des chantiers afin de les aider à comprendre les exigences et imaginer les solutions.

Faites de la conformité un atout pour votre relation client

Un programme RGPD est avant tout perçu comme une contrainte par les opérationnels. Pour autant, la protection de la vie privée est aujourd’hui un sujet majeur de préoccupation des citoyens que ce soit les clients ou les collaborateurs (idée que nous avons développé dans une précédente publication sur la vie privée dans le numérique avec la vision exclusive des postures de citoyens dans 6 pays :wavestone.com/privacy). Il convient donc d’intégrer le programme au coeur des initiatives autour de la DATA et des chartes associées. La communication autour du programme devra ainsi valoriser les travaux menés afin d’en faire un atout dans la relation clients ou collaborateurs.

Que retenir de cette année écoulée ?

Les programmes ont mis du temps à se lancer, et la prise de conscience des impacts du règlement, de la taille des programmes et des budgets à déployer en a été retardée d’autant plus.

Pour autant, depuis le début de l’année 2017, de nombreux programmes sont maintenant dans leur phase de remédiation et des premières solutions émergent. Mais tous les chantiers ne pourront être terminés pour mai 2018. Les grands comptes internationaux ne seront donc pas tous à 100% conformes en mai 2018, mais les actions majeures et les risques les plus forts seront certainement couverts.

Donc dès à présent, en sus des efforts mis en oeuvre pour déployer le maximum d’actions de remédiation d’ici mai 2018, nos clients s’organisent pour disposer d’une organisation DPO opérationnelle rapidement et que celle-ci dispose des budgets adéquats pour conduire l’ensemble des actions identifiées et mettent en place des processus pérennes, garants de la conformité dans la durée.

Cet article RGPD, 1 an de travaux, quel bilan en tirer ? (2/2) est apparu en premier sur RiskInsight.

Notre retour d’expérience s’appuie sur un échantillon correspondant à nos interventions auprès de 20 grands comptes présents internationalement (Banques, Assurances, Transports, Énergie, Services, Grande distribution, etc.) et près de 40 donneurs d’ordre.

Revenons tout d’abord sur la charge nécessaire, les principaux chantiers et points durs de la mise en conformité au RGPD.

Des programmes importants mobilisant toutes les directions de l’entreprise

Les programmes de mise en conformité au RGPD impliquent très largement dans les entreprises, de quelques dizaines à quelques centaines d’acteurs à chaque fois. Les charges consolidées vont de 3 à 4 ETP (équivalent temps plein) pour les environnements les plus petits et les plus conformes ; jusqu’à plusieurs dizaines d’ETP pour les environnements les plus complexes et les plus éloignés de la cible.

Cette charge est généralement répartie comme suit :

• 15 % pour l’équipe en charge du pilotage du programme, de la coordination et de la communication/formation
• 15 % pour les équipes DPO, risques ou conformité afin de formaliser les politiques, directives et process, définir l’organisation cible, et s’assurer de la conformité des solutions déployées par les équipes métiers et IT
• 5 % pour l’expertise juridique afin d’interpréter le texte, proposer des clauses et mentions légales conformes et arbitrer sur des points juridiques identifiés au cours du projet (notamment les durées de conservation proposées)
• 25 % pour les responsables métiers/business en vue de cartographier leurs processus, les mettre en conformité et faire évoluer les modalités de fonctionnement avec leurs clients et partenaires
• 40 % pour les équipes IT et Digital (dont la filière cybersécurité) afin de faire évoluer les systèmes informatiques existants, intégrer les exigences du RGPD dans les développements en cours et proposer des offres de services pour les solutions IT de conformité (en particulier, anonymisation, exercice des droits et portabilité)

Contrairement à certaines idées préconcues, la charge pour les équipes juridiques et pour le RSSI reste limitée au regard de la charge globale.

En effet, les travaux d’analyse du règlement qui ont occupés les premières semaines des programmes sont aujourd’hui généralement terminés ou presque, et remplacés par des chantiers plus opérationnels où la dimension juridique est plus faible.

Pour les chantiers de cybersécurité, ils se révèlent souvent non directement portés par les programmes RGPD mais plutôt par les programmes Cybersécurité existants. Les coûts IT sont donc plus souvent liés à des problématiques d’exercice des droits, de suppression des données, de portabilité, de surveillance des systèmes, de revue des droits ou de mise sous contrôle du process de la gestion des habilitations pour certains pans du SI, etc.

Cette répartition devrait être stable dans le temps et lors des phases de mise en œuvre des projets. En particulier les équipes autour du DPO vont se focaliser de plus en plus sur un rôle de contrôle et d’accompagnement des projets.

10 chantiers RGPD qui concentrent les investissements…

La mise en œuvre de la conformité au RGDP peut aujourd’hui se synthétiser au travers de 10 chantiers majeurs :

1. L’exercice des droits (accès, suppression,portabilité…) et la capacité à retrouver et à supprimer toutes les données associées à une personne au sein de l’organisation (20 % des coûts, majoritairement IT). Il s’agit du poste principal car il intègre les évolutions à apporter dans les applications du SI.
2. L’accompagnement des projets IT en cours en Privacy By Design (15 %, majoritairement IT et métiers)
3. L’encadrement des transferts (à des tiers ou hors UE) (10 %, majoritairement métiers et juridique)
4. La mise en œuvre de l’information des personnes et la gestion du consentement (10 %, majoritairement métiers et IT)
5. La définition des politiques, directives, méthodologies et outils de conformité et la mise en œuvre d’une organisation autour du DPO (10 %, majoritairement DPO)
6. La mise en œuvre de contrôles et d’audits de conformité (5 %, majoritairement DPO)
7. La construction d’un registre des traitements de données et la définition des règles de conformité associés à chaque traitement (5 %, majoritairement Métier)
8. L’amélioration des mesures de sécurité existantes (5 %, du fait de l’existence de budget cybersécurité permettant de remplir les exigences, majoritairement IT)
9. La formation et la sensibilisation de l’ensemble des acteurs concernés par le sujet (5 %, majoritairement Métiers)
10. Le pilotage du programme (15 %)

…Pour 5 points durs à traiter en priorité

Une fois les cadrages de programme réalisés, les premiers résultats des analyses d’écarts produits, les sujets difficiles émergent. Nous constatons que quel que soit le contexte, le secteur d’activité, la nature des données manipulées ou le niveau de conformité existant, ces 5 points durs ressortent chez la majorité de nos clients :

1. L’application des délais de rétention et du droit à l’oubli au sein des systèmes informatiques existants.
En effet la situation est souvent complexe du fait de choix historiques : données personnelles utilisées comme identifiant unique dans les systèmes de base de données, champs obligatoires techniques non indispensables d’un point de vue business… Ce sujet requiert un investissement pouvant être important sur des applications historiques (généralement de 40 k€ à 200 k€ par application). La contrainte de suppression est parfois quasi impossible à mettre en oeuvre au regard des impacts non maitrisés sur le SI et l’ensemble des données concernées sont souvent difficile à identifier. Ce problème peut être traité au travers d’un remplacement des données par une autre valeur voire par de la tokenisation.

2. La mise en conformité des contrats existants : des volumes de milliers voire de dizaines de milliers de contrats sont rencontrés sur le terrain.
Un effort de collecte, de recensement et d’adaptation qui peut prendre une ampleur importante suivant le degré de décentralisation de la gestion des contrats. Il s’agit alors d’appliquer des solutions simples et efficaces en se concentrant sur l’intégration des clauses RGPD dans les contrats à venir. Et pour l’existant ? Communiquer vos exigences (mentions légales d’information par exemple) aux fournisseurs en demandant l’application d’une exigence légale et pas sur la base d’un engagement contractuel à renégocier.

3. La mise en oeuvre d’une méthodologie d’accompagnement des projets (Privacy By Design) et des outils d’analyse de risques sur la vie privée (PIA) appréhendables en autonomie par les chefs de projets et réalistes en termes de charge et de contraintes.
Même si certaines organisations avaient déjà mis en oeuvre des processus d’intégration de la sécurité dans les projets, il est nécessaire de refondre ces processus et de former les acteurs concernés. Quelles bonnes pratiques ? Construire des méthodes qui visent la simplicité et le pragmatisme plutôt que l’exhaustivité et ne pas vouloir dérouler les méthodologies sur tous les projets en mettant en place un tri initial afin de focaliser l’attention sur les plus sensibles.

4. L’identification de ressources expertes du sujet et à même de contribuer aux chantiers.
Celles-ci sont aujourd’hui extrêmement rares et difficiles à trouver, que ce soit en interne ou auprès de sociétés de services, de cabinets de conseil ou d’avocats. Il convient donc de bien répartir les tâches et ne pas chercher à positionner des experts sur toutes les dimensions du programme et à tous les postes. Les directeurs de programme peuvent par exemple venir de la DSI, les juristes en droit de contrats être formés rapidement à la problématique vie privée, les équipes contrôle interne peuvent aider à l’évolution des processus afférents. En sus, dans des environnements très concernés par des réglementations clients, il conviendra d’intégrer ou partager les initiatives afin de mutualiser au mieux les travaux et livrables produits. À la vue des enjeux et de l’ampleur des programmes, un pilotage rigoureux et réaliste est un pré-requis.

5. L’organisation de l’équipe DPO, et les profils particuliers requis, la plus à même d’apporter expertise juridique, pilotage du programme (qui ira bien au-delà de mai 2018), accompagnement des projets et contrôle des traitements.
Suivant les contextes, le poste de DPO attire à la fois des convoitises dans les filières conformités ou CIL existantes, mais des appréhensions pour des profils qui ne souhaitent pas endosser ce rôle parfois vu comme apporteur de contraintes et relayant rarement des messages positifs. Le pilotage du programme peut donc être confié de façon temporaire à une équipe spécifique, indépendante de la future organisation DPO.

Les chantiers de mise en conformité au RGPD impliquent donc un large panel d’interlocuteurs au sein des entreprises. Cela est d’autant plus nécessaire pour prioriser les chantiers et traiter les points durs tout en respectant les échéances et les contraintes budgétaires. Ces sujets seront traités dans un second article.

Cet article RGPD, 1 an de travaux, quel bilan en tirer ? (1/2) est apparu en premier sur RiskInsight.

Décryptage dans le domaine des ressources humaines, avec le témoignage de Jean-Christophe Procot et Hervé Commerly, expert Ressources Humaines chez Wavestone.

Ce billet de blog fait partie d’une série d’articles issue d’une synthèse sur la vie privée à l’ère numérique publiée sur notre site web.

Comment est perçue la notion de vie privée entre les collaborateurs et leur employeur ?

C’est une notion qui a très fortement évolué ces dernières années. Pour l’employeur, la vie privée de son collaborateur est le plus souvent le temps qu’il ne consacre pas à son travail. Pour l’employé,la notion de vie privée se conjugue également avec la souplesse dans les conditions de travail (fluctuation des horaires, diminution du contrôle, télétravail) et une limite dans les informations dont l’employeur dispose sur lui. Sur la base de sa conception de la vie privée, et pour améliorer celle de ses collaborateurs, l’employeur a de plus en plus cherché à assister ses collaborateurs dans leur vie quotidienne grâce à la mise en place de divers services : services de pressing, crèche et restaurant d’entreprise,assurances complémentaires, etc. Mais cette assistance nécessite que l’employeur connaisse de plus en plus d’éléments sur la vie privée du collaborateur : composition familiale, habitudes alimentaires en période de fête religieuse, etc.

Qu’est-ce qui explique cette réticence ?

Il faut comprendre que l’employeur souhaite de plus en plus collecter des données pour améliorer la connaissance de ses collaborateurs. Il souhaite les conserver plus longtemps, catégoriser les collaborateurs,automatiser ou faciliter des prises de décisions et mieux piloter la performance. L’employeur recherche d’ailleurs de plus en plus de données non communiquées directement par le collaborateur mais collectées auprès de tiers : réseaux sociaux,précédents employeurs, managers, don-nées issues des outils de travail, etc. L’employé, comme le client, s’inquiète de cette évolution car, je dirais presque par définition, l’employé suspecte son employeur de vouloir le surveiller. Le collaborateur se demande alors comment il peut conserver la maîtrise sur sa vie privée si son employeur collecte toutes ces informations, si celles-ci ne proviennent pas nécessairement de lui et de son choix assumé de les communiquer et si son employeur les corrèle entre elles pour prendre des décisions dont il n’a pas conscience.

Un projet récent fait-il directement échos à ces inquiétudes ?

Le projet du gouvernement français d’introduction d’un impôt prélevé à la source (c’est-à-dire sur le salaire du collaborateur par l’employeur) est un bon exemple. Cette évolution vise à simplifier la vie des citoyens en évitant les paiements différés qui peuvent produire des situations difficiles (par exemple, une baisse de revenus ne permettant plus de payer l’impôt de l’année précédente) et améliorer le recouvrement des impôts pour l’État (l’employeur étant perçu comme plus fiable pour collecter l’impôt). Pour autant, des citoyens ont rapidement exprimé des inquiétudes vis-à-vis des informations que leur employeur pouvait apprendre sur eux. Une déclaration d’impôts peut comporter de nombreuses informations sur la vie privée : situation maritale, enfants, revenus annexes, assistance de personnes en difficultés, dons, etc. L’objectif est donc de s’assurer que la finalité des données communiquées sera limitée au prélèvement des impôts et que l’accès à ces données sera bien encadré. L’employé souhaite s’assurer que ses données ne seront pas utilisées à d’autres fins, par exemple faire varier ses augmentations par rapport à un collègue au regard de ses autres revenus.

Et quelles évolutions émergentes en matière de gestion des ressources humaines vont-elles avoir un impact sur la protection des données personnelles ?

Plusieurs tendances majeures se dégagent :

• L’arrivée du big data ans les activités de recrutement, en particulier de sourcing, qu’il convient d’encadrer en s’assurant de notre légitimité à collecter ces données ;
• La multiplication du décisionnel pour la gestion des carrières (constitution d’arbres de succession ou identification des key people par exemple)avec des prises de décisions automatisées, sujet sur lequel le régulateur est assez sensible ;
• La mobilité avec l’introduction de plus en plus fréquente de nouveaux terminaux mobiles professionnels,ne facilitant pas la séparation entre la donnée produite dans un cadre privé et celle produite dans un cadre professionnel. La question du « droit à la déconnexion » est également régulièrement posée.

Cet article Evolution de la gestion des ressources humaines : quels impacts sur la protection des données personnelles ? est apparu en premier sur RiskInsight.

Décryptage d’un projet concret dans le domaine de la distribution, avec le témoignage d’Armand de Vallois, expert Biens de consommation et distribution chez Wavestone.

Ce billet de blog fait partie d’une série d’articles issue d’une synthèse sur la vie privée à l’ère numérique publiée sur notre site web.

Quels changements ont eu lieu ces dernières années dans le monde de la distribution ?

Nous sommes passés depuis une dizaine d’années d’un modèle qui privilégiait les coûts et les volumes à un modèle qui souhaite davantage connaître ses clients. On abandonne ainsi un métier de distribution de masse, où l’on ne se souciait plus de la proximité client (la caisse automatique ayant illustré cette tendance à son paroxysme), pour entrer toujours plus dans un modèle où la connaissance client, la proximité et la fidélisation doivent concourir à améliorer la fréquence et le nombre d’achats.

Comment faut-il alors appréhender ces évolutions ?

Les  acteurs  du  commerce  ont  pris conscience ces dernières années que la donnée est une ressource dotée d’un très grand potentiel. Mais cette ressource doit avant tout être bien utilisée, c’est-à-dire valorisée comme il se doit pour répondre aux enjeux de proximité client. Les données doivent ainsi être collectées, manipulées, rapprochées dans un cadre en ligne avec les attentes du consommateur et les exigences du régulateur. On pense par exemple à la notion « d’opt-in », ou comment s’assurer que le client est informé et qu’il accepte la collecte de ses données et ce qu’il en sera fait. De plus en plus souvent, la gratification (ou reward) est utilisée pour encourager le client à accepter de communiquer ses données. Mais ce modèle a ses limites. Il convient alors de s’assurer que les services envisagés auront du sens pour les clients, qu’ils contribuent à leur simplifier la vie, et que le client aura alors le souhait de fournir ses données.

Avez-vous un exemple d’un projet ayant provoqué des inquiétudes ?

L’introduction des puces RFID (technologie intégrée permettant notamment l’identification et le suivi d’objets ou de personnes) pour l’étiquetage électronique me semble un bon exemple. Dans le textile, au regard des coûts de production du produits, de la facilité d’introduction de la puce dans les étiquettes, et des gains importants concernant l’automatisation des inventaires en rayons ou en entrepôts, de nombreux projets ont été lancés. Dans un contexte d’omnicanalité où l’achat sur internet précède le retrait en rayon, connaître son stock en temps réel et disposer d’une information fiable est un élément essentiel de la promesse client. Les puces RFID peuvent également contribuer à produire des données sur les parcours clients en traçant les mouvements d’un produit dans un magasin afin de, par exemple, produire des ratios sur le nombre de produits essayés en cabine au regard du nombre réellement vendus. Dans un contexte de fast fashion du textile, où il est essentiel de savoir très vite ce qui marche ou non et pourquoi, ces informations deviennent cruciales. Mais cette puce introduit également une inquiétude sur le fait que, « potentiellement », le vendeur pourrait lier une personne à un produit (la puce RFID ayant un identifiant unique) et le suivre dans le temps dans ses magasins (la puce restantactive). Pour plusieurs projets que nous avons suivis, des citoyens se sont mobilisés afin que les technologies envisagées n’empiètent pas sur la vie privée.

Comment avez-vous répondu à ces inquiétudes ?

Nous avons mis en place ce que l’on appelle du Privacy By Design. Au-delà de principes stricts sur l’utilisation des puces (identifier et suivre un produit et non un client), plusieurs autres principes ont été établis :

• Un marquage visible informant que le vêtement contient une puce RFID ;
• Une formation des vendeurs du magasin afin qu’ils sachent répondre aux questions  des  clients,  par exemple sur le fait qu’il est possible d’enlever la puce en coupant l’étiquette (service proposé par le magasin) ou que l’entreprise ne fait jamais de lien entre la puce et le client ;
• La mise en œuvre d’un site internet spécifique afin de communiquer l’ensemble des informations nécessaires à la compréhension des puces et des données manipulées.

Il faut certainement retenir de ces projets une bonne pratique applicable à tout projet où des données sensibles sont manipulées : nous nous devons d’être exemplaires concernant ce qui est fait des données et la manière dont nous en informons les individus. Il convient de rassurer afin de lever les craintes et répondre, en les anticipant, aux interrogations.

Cet article Vie privée et transformation numérique : le retail mise sur une stratégie de confiance est apparu en premier sur RiskInsight.

Ce billet de blog fait partie d’une série d’articles issue d’une synthèse sur la vie privée à l’ère numérique publiée sur notre site web. 

La donnée personnelle, vecteur incontournable de la transformation des processus métiers et de la relation client

Plusieurs exemples issus des retours d’expériences de consultants Wavestone, illustrent le rôle de la donnée dans la transformation des processus traditionnels. Un postier, un releveur de compteurs, ou un technicien de maintenance travaille historiquement avec du papier (pour les bases d’adresses, la documentation de maintenance ou les parcours de relève). Il organise son travail en fonction des tâches à réaliser et intervient généralement seul et de façon autonome pendant la journée avant de consolider les informations produites en fin de journée.

La dématérialisation de ces processus papiers a vocation à aider l’organisation ou l’agent dans ses activités en collectant certaines données, par exemple en lui permettant de mieux organiser son travail et l’enchaînement des tâches (données de localisation et parcours d’intervention géolocalisé). Cette vague de digitalisation se produit dans différents secteurs d’activités pour des besoins spécifiques : dans l’énergie, l’avènement des compteurs communicants voulu par le régulateur ouvre de nombreuses opportunités d’innovations dans la gestion de la fraude et l’économie d’énergie grâce à la collecte des données de consommation ; dans l’assurance, l’accumulation de données concernant les préférences client permet la personnalisation des services et la proposition d’offres complémentaires ; ou encore dans la distribution et les ressources humaines, comme le montrent les entretiens des pages suivantes.

L’ensemble de ces évolutions nécessite de collecter et de manipuler de nombreuses données personnelles.

La cybersécurité ne suffit pas à protéger la vie privée numérique

Pour protéger ces données personnelles essentielles aux nouveaux usages digitaux, les entreprises ont souvent recours à la cybersécurité, au travers de mesures telles que l’utilisation de protocoles de transfert sécurisés ou le chiffrement des données. Mais est-ce suffisant, alors que les craintes liées à l’utilisation abusive des données, au profilage ou à l’automatisation des décisions ne font que s’amplifier ?

Certainement pas. Une approche uniquement technique ne portera pas ses fruits. Pour répondre aux craintes engendrées par le respect de la vie privée, il est essentiel de rassurer les individus en leur donnant l’assurance de ne pas croiser, exploiter ou échanger leurs données à leur insu et contre leur volonté.

Quatre grands principes de respect de la vie privée

Les principes suivants sont à appliquer dans la collecte et l’utilisation des données personnelles.

1 – Communiquer de manière transparente et explicite

en informant sur les données collectées, même si elles n’ont pas été obtenues directement auprès des personnes concernées. Notre enquête l’illustre, c’est aujourd’hui le sens de la privacy pour les citoyens : quelles sont les informations accessibles, et à qui. Cela passe aussi par le partage des motivations de la collecte des données et des usages envisagés avec celles-ci. En aucun cas il ne faut considérer qu’une donnée puisse être collectée pour une finalité non avouable auprès de la personne concernée. Les récentes sanctions des régulateurs nous ont montré que cette information finit toujours par ressortir dans les médias, et que l’impact en termes de confiance et de durabilité de la relation client est fort. Construire une relation de confiance nécessite des années, la perdre quelques minutes.

2 – Minimiser et désensibiliser les données personnelles collectées et stockées.

Plus le nombre de données collectées sera limité, plus les risques d’usages détournés et de non-conformité seront faibles. Pour les données existantes, il est possible de les exploiter en minimisant les risques par l’utilisation de techniques de désensibilisation telles que l’anonymisation, la pseudonymisation (remplacer des identifiants directs par des « codes »), la randomisation (mélange aléatoire de données qui conservent leurs valeurs statistiques mais font perdre le lien avec les personnes) ou de généralisation des jeux de données.

En ce qui concerne le partage et l’échange de données, des méthodes mathématiques permettent d’échanger des données entre deux organisations tout en garantissant leur caractère anonyme. Il est important au moment du choix de ces méthodes d’évaluer aussi leurs limites, une désensibilisation mal faite pouvant quand même permettre d’identifier des personnes (suppression du nom mais conservation de la date de naissance, du lieu de naissance et de l’adresse par exemple).

Ces méthodes permettent une double optimisation de la relation client pour l’entreprise (en fournissant une meilleure connaissance du profil digital de la clientèle) et du respect de la vie privée des clients. C’est une approche qu’Apple met en avant via le concept de differential privacy pour se différencier de Google ou encore de Microsoft.

3 – Garantir aux individus le contrôle sur leurs données personnelles

en ne se basant plus sur l’accès aux données afin de générer de la valeur, mais en laissant aux individus le contrôle de leurs données pour leur permettre de générer un service adapté à leur besoin.

Cette approche qualifiée de self-data est, par exemple, appliquée dans le cadre d’un projet d’optimisation de consommation énergétique, où un cas d’usage vise à permettre au consommateur de renseigner la température de son habitat pour lui indiquer les économies qu’il pourrait réaliser en réduisant le chauffage. Il obtient l’estimation du montant économisé en utilisant lui-même une plate-forme cloud de self-data, géré par le particulier, qui se connecte à ses équipements personnels pour croiser de manière intelligente les données de son thermomètre connecté, de ses factures d’énergie…

Le self-data est également à l’étude dans le secteur de l’assurance, où certains acteurs envisagent de supprimer complètement leurs espaces clients pour les installer sur une plate-forme cloud de self-data : l’assureur a accès aux données de son client mais n’en est plus propriétaire. Au-delà du self-data, cette tendance peut même aller jusqu’à la logique du « Green Button » où l’individu valide l’accès à ses données à chaque fois de manière explicite. Ce principe, complexe à mettre en œuvre, peut être réservé à des données particulièrement sensibles (santé, etc.).

4 – Mettre en place un modèle Win-Win

affichant clairement les bénéfices engendrés par la collecte et l’utilisation des données, non seulement pour l’organisation, mais aussi pour les individus. Ces bénéfices pouvant être partagés avec les clients sous diverses formes (services additionnels, réduction, rémunération…).

Cette approche peut même être un levier d’adoption des nouveaux usages dans un contexte où la prise de part de marché est cruciale.

En définitive, plusieurs leviers majeurs sont à l’œuvre dans l’établissement d’un cercle vertueux permettant d’utiliser respectueusement les données des individus et d’augmenter le niveau de confiance

Cet article Respect de la vie privée dans la transformation numérique : les 4 grands principes est apparu en premier sur RiskInsight.

Ce billet de blog fait partie d’une série d’articles issue d’une synthèse sur la vie privée à l’ère numérique publiée sur notre site web. 

Un cadre réglementaire de plus en plus international

Le concept de vie privée, évoqué dès l’Antiquité, est présent depuis plusieurs centaines d’années dans différents textes de loi. Il a pris corps à partir de 1948, en étant inscrit au sein de l’article 12 de la Déclaration Universelle des Droits de l’Homme : « Nul ne sera l’objet d’immixtions arbitraires dans sa vie privée (…). Toute personne a droit à la protection de la loi contre de telles immixtions ou de telles atteintes ».

La réglementation autour de la protection des données personnelles est beaucoup plus récente. Cette notion est directement liée au développement de l’informatique et de la collecte croissante de données par les organisations et les entreprises. De plus, la valeur marchande de la donnée est un enjeu supplémentaire qui complexifie l’émergence d’un consensus réglementaire international. La Suède est le premier État à avoir légiféré sur le sujet en 1973. En France, la « Loi Informatique et Libertés » a été promulguée en 1978 à l’issue des débats suscités par le projet Safari visant à créer une base de données centralisée des individus.

Sans passer en revue chacune des lois nationales et leur actualité, l’analyse des initiatives mises en œuvre à des échelles régionales permet de dresser un portrait des grandes tendances à l’œuvre en termes de protection de la vie privée.

Union Européenne : l’Etat protège les citoyens

L’Union Européenne a été la première institution à légiférer sur le sujet à une large échelle en 1995 avec la publication de la directive 1995/46/CE. Ce premier effort d’harmonisation législative au niveau de l’Union Européenne a mis en place différents principes ensuite déclinés dans le droit des différents États membres, parmi lesquels l’instauration d’autorités de contrôle dans chacun d’entre eux. Il puise ses racines dans les « Lignes directrices régissant la protection de la vie privée et les flux transfrontaliers de données de caractère personnel » publiées par l’OCDE en 1980, qui étaient sans valeur contraignante.

En avril 2016, l’Union Européenne a fait le choix de renforcer sa législation avec le Règlement Général sur la Protection des Données (ou GDPR en anglais, comme nous y ferons référence), qui sera, à la différence de la directive de 1995, directement applicable dans le droit des États membres de l’UE.

La mise en œuvre effective étant prévue pour mai 2018, les organisations et entreprises devront donc d’ici cette date s’assurer de leur conformité aux différents points du règlement. Des travaux vont également s’engager prochainement sur la e-privacy afin d’aligner les exigences classiques sur la vie privée dans les moyens de communication aux évolutions et innovations récentes, faisant ainsi entrer le set des correspondances dans l’ère numérique. L’Union Européenne adopte via ces textes une posture de protection par l’état des données de ses citoyens.

Etats-Unis : une responsabilisation des citoyens  avant tout

Dans le droit américain, il n’existe pas de loi ni de régulateur unique au niveau fédéral régulant la collecte et l’utilisation des données personnelles. À la place, les États-Unis disposent d’un assemblage de lois s’appliquant à certains secteurs ou États. Certaines visent des catégories particulières de données personnelles, comme les données financières ou de santé, tandis que d’autres régulent les activités faisant usage de ces données, comme le marketing digital. En parallèle de ces lois, les bonnes pratiques développées par les agences fédérales et groupements industriels sont également utilisées à des fins d’auto-régulation. Le 4e amendement à la Constitution peut également être invoqué en défense de la vie privée. Enfin, les lois de protection du consommateur, bien que ne régissant pas directement la vie privée, ont déjà interdit des pratiques considérées comme illégitimes impliquant la divulgation de données personnelles. Néanmoins, les citoyens américains conservent une certaine latitude quant au partage de leurs données personnelles.

Il existe donc des différences entre la vision américaine et la vision européenne, comme le montre l’évolution du Safe Harbor. Ce dispositif légal garantissait la protection des transferts de données entre l’UE et les États-Unis jusqu’en octobre 2015, date à laquelle la Cour de Justice de l’Union Européenne (CJUE) l’a invalidé. Le niveau de protection des données offert par les États-Unis n’était plus satisfaisant selon la CJUE, notamment à la lumière des informations révélées par Edward Snowden concernant les écoutes pratiquées par le gouvernement américain. En février 2016, États-Unis et Europe ont mis en place un nouveau dispositif, le Privacy Shield, visant à protéger davantage les transferts de données, qui est finalement entré en vigueur en août 2016.

Asie : une situation hétérogène mais en développement

Force est de constater que l’Asie abrite deux profils de pays. Certains pays font preuve d’une maturité certaine sur ce sujet, à l’image de la Corée du Sud, Singapour, Hong Kong ou de Taiwan. La Chine ne disposait pas jusqu’à récemment de législation spécifique protégeant les données personnelles, mais elle a publié en novembre 2016 un texte de loi qui sera applicable dès juin 2017 aux opérateurs réseaux au sens large. Cette nouvelle réglementation intégrera certains principes communément admis du respect de la vie privée et exigera également le stockage des données personnelles sur le territoire chinois. En regard, dans beaucoup d’autres pays de la zone, la protection des données personnelles n’est pas encore entrée dans les mœurs même si des réflexions sont en cours.

Reste du monde : des initiatives régionales de développement

En Afrique, la première législation date de 2001 et est cap-verdienne. En 2004, le Burkina Faso est le premier État à instaurer un régulateur national. Au niveau régional, la Convention de l’Union Africaine sur la cybersécurité et la protection des données à caractère personnel, signée en 2014 par 18 pays, reprend des notions directement issues de la législation européenne, sans leur donner de valeur contraignante.

Au Moyen-Orient, plusieurs États comme les Émirats Arabes Unis (EAU) et l’Arabie Saoudite n’ont pas de législation spécifique protégeant les données personnelles. La particularité de ces deux pays réside dans le fait qu’en cas de vide juridique, la charia prévaut. Or le droit islamique prévoit la possibilité de demander des dommages et intérêts si la divulgation abusive de données personnelles a occasionné un préjudice.

En Amérique du Sud, plusieurs pays bénéficient de garanties constitutionnelles concernant la protection des données personnelles et disposent de régulateurs indépendants. C’est le cas de l’Argentine et l’Uruguay, pays reconnus par la Commission Européenne comme assurant un niveau de protection adéquat des données.

Cet article Vie privée : quel cadre juridique à l’échelle internationale ? est apparu en premier sur RiskInsight.

Une vision homogène à l’échelle l’internationale

Les pays retenus pour l’enquête, à savoir l’Allemagne, la Chine, les États-Unis, la France, l’Italie, et le Royaume-Uni, ont été choisis sur la base de leurs environnements socio-économiques et de leur diversité de cadres réglementaires concernant la protection de la vie privée. Ces éléments sont à même d’influencer la perception et les opinions des citoyens concernant la protection des données personnelles. Toutefois, malgré ces différences de contexte initiales, nous avons pu observer au travers des réponses collectées que la thématique de la vie privée est perçue d’une manière relativement homogène dans les différents pays étudiés.

Parmi les personnes ayant répondu à l’enquête, les jeunes générations, plus digitalisées et qui sont souvent les plus intéressées par le sujet de la vie privée dans un monde numérique, sont majoritaires.

Bien sûr, il existe certaines différences et sensibilités particulières : ainsi, les sondés originaires d’Allemagne ont-ils accordé proportionnellement plus de poids aux définitions de la vie privée ayant trait à la liberté que ceux originaires d’autres pays. Les réponses provenant des États-Unis affichent, pour leur part, une confiance moins grande dans les institutions publiques. Néanmoins, de manière générale, on note une véritable prise de conscience globale des individus liée à la vie privée et aux données personnelles. Celle-ci peut s’expliquer par le caractère transfrontalier du monde numérique et de la donnée, le citoyen numérique souhaitant faire respecter sa vie privée indépendamment des frontières. Cette observation renforce l’importance de la prise en compte du respect de la vie privée dans les projets numériques, quels que soient le pays et la population concernés.

De la liberté à la maîtrise : l’évolution du sens de la « vie privée »

La vie privée est traditionnellement perçue comme la possibilité pour un individu de conserver une forme d’anonymat dans ses activités et de disposer d’une capacité à s’isoler pour protéger ses intérêts. Elle est donc intimement liée à la notion de liberté. Mais l’analyse des résultats du panel montre que cette notion tend à disparaître au profit de la maîtrise des informations. Nous avons proposé à nos sondés de sélectionner une ou plusieurs définitions ayant davantage trait à l’une ou l’autre de ces deux notions.

Les réponses les plus fréquemment choisies ont toutes trait à la maîtrise. Cette tendance se confirme si l’on observe les propositions intermédiaires : « avoir le contrôle sur le type d’informations collectées sur vous » est davantage plébiscité (plus de la moitié des réponses) que « avoir ses moments seul, sans devoir subir l’attention d’autrui », relatif à la liberté.

Dans tout projet faisant appel aux données, il sera alors important de donner aux clients et aux collaborateurs l’assurance qu’ils disposent de cette maîtrise, en prévoyant des modes d’accès simples et en autonomie.

Toutes les données sensibles aux yeux des citoyens

Interrogé sur les niveaux de sensibilité, le panel a fait ressortir de très faibles différences, les citoyens considérant la plupart des types de données proposés comme relativement sensibles. Ils n’ont pas perçu que des fuites de certains types de données peuvent avoir des conséquences lourdes, voire irréversibles (données de santé par exemple), contrairement à d’autres (données financières par exemple) pour lesquelles la plupart des pays ont mis en place un cadre réglementaire protégeant les individus (remboursement rapide en cas de fraude). Ce constat montre que quelles que soient les données personnelles manipulées dans le cadre d’un projet, une attention particulière devra y être portée, a minima dans la communication sur les niveaux de protection.

Une confiance qui varie fortement d’un pays à l’autre

Nous avons demandé aux sondés d’indiquer le ou les type(s) d’organisations en lesquels ils avaient le plus confiance dans l’utilisation de leurs données personnelles pour un usage préalablement autorisé. On observe une réelle différenciation entre trois grandes familles d’acteurs :

• En première position, les acteurs regroupés sous la catégorie des institutions sont ceux qui suscitent le plus la confiance des sondés. Il s’agit d’institutions publiques, semi-publiques ou de l’économie traditionnelle avec qui les individus ont un lien de confiance historique, d’autant qu’elles traitent depuis toujours des données sensibles (données médicales…). À noter que l’on observe de vraies différences au sein même de cette catégorie, les banques arrivant en tête avec plus de la moitié des sondés déclarant leur faire confiance pour le traitement de leurs données. L’enjeu en termes d’image est donc particulièrement fort pour les acteurs du secteur bancaire : ils se devront d’être à la hauteur des attentes de leurs clients s’ils veulent conserver leur place de partenaire de confiance numéro un.
• En deuxième place, une catégorie intermédiaire englobant les acteurs de la vie quotidienne : opérateurs de transport, fournisseurs d’énergie… Ces acteurs historiques du B2C sont en train de mener leur transformation numérique à marche forcée et peuvent tirer les fruits de cette confiance déjà présente.
• En troisième et dernière position, les acteurs de l’économie numérique, qu’il s’agisse de géants du web ou d’entreprises technologiques.

La défiance des individus à leur égard peut s’expliquer par la quantité de données collectées et utilisées par ces tech-companies et les condamnations récentes de celles-ci liées à l’utilisation qu’elles en font. Cependant ce résultat souligne un paradoxe. Malgré ce manque de confiance criant, les individus continuent d’utiliser massivement les services fournis par ces acteurs, en partie par manque d’alternative mais aussi parce que les informations confiées peuvent paraître, souvent à tort, anodines.

Des nouvelles technologies qui suscitent des craintes

Le panel met en lumière 4 technologies, les plus susceptibles de mettre en danger leur vie privée selon les sondés. Leur point commun ? Elles permettent toutes de collecter des données sans que cette collecte ne puisse être maîtrisée par les personnes concernées. Elles seraient donc, pour certaines personnes, synonymes de surveillance. À contrario, des technologies où le citoyen a la capacité de choisir quelles données il partage, comme les objets connectés ou certains services cloud permettant de stocker des informations privées, sont considérées comme moins risquées pour leur vie privée, et n’entrent donc pas dans ce top 4.

Bien que non traditionnellement considérées comme sensibles, les données sur les comportements et les agissements de chacun sont donc aujourd’hui l’objet de l’attention des individus, et constituent un point d’achoppement non négligeable entre une relation client toujours plus personnalisée et les attentes desdits clients en termes de respect de leur vie privée.

Des citoyens qui agissent pour protéger leur vie privée numérique

Plus de la moitié des sondés déclarent ainsi avoir modifié certains de leurs comportements pour mieux protéger leurs données. Ce changement illustre la prise de conscience des individus quant à la protection de leur vie privée. Il est également intéressant d’étudier comment les individus procèdent pour mettre en place cette protection. Nos sondés ont décrit des mesures concrètes qui peuvent être réparties en deux catégories :

• Mesures visant à limiter la quantité/ le type de données fournies : fourniture d’informations inexactes/ incomplètes lors de la création d’un compte (utilisation de pseudonyme ou non-remplissage des champs non obligatoires), utilisation de comptes anonymes…
• Mesures visant à renforcer la sécurité des données fournies : hausse du niveau de sécurité de leurs comptes en ligne (renforcement du mot de passe, changements de mots de passe plus réguliers, révision des droits d’accès…), attention accrue lors du partage de données personnelles sur internet…
• En marge de ces mesures on trouve également quelques solutions plus extrêmes : fermeture complète de compte sur les réseaux sociaux, utilisation exclusive de sites ou de technologies testés et de confiance, suppression de l’historique et des cookies après chaque utilisation des navigateurs de recherche.

À noter que si ces initiatives individuelles peuvent contribuer à améliorer la protection de la vie privée, elles risquent toutefois d’entrer en conflit avec les nouveaux usages et innovations promus par les organisations et entreprises, et donc de limiter, voire d’empêcher, la personnalisation de leur relation avec celles-ci.

Methodologie de l’enquête

L’enquête a été réalisée auprès d’un panel constitué de 1 587 répondants basés dans 6 pays différents : Allemagne, Chine, Etats-Unis, France, Italie, et Royaume-Uni. Les  réponses ont été analysées par les équipes de Wavestone Paris et Luxembourg.  L’échantillon de répondants a été fourni par un tiers (SSIS) avec lequel les équipes de recherche Wavestone collaborent depuis plusieurs années, notamment dans la conduite d’enquêtes destinées à la Commission Européenne. Les questionnaires ont été conçus et traduits par Wavestone puis envoyés par email. Le panel a été sélectionné pour assurer sa représentativité vis-à-vis de la population des pays ciblés sans discrimination de genre ou de catégorie socio-professionnelle, les deux critères de sélections étant qu’il s’agisse de personnes majeures et disposant d’un accès à Internet. L’enquête a été conduite entre juillet et août 2016 et analysée de septembre à décembre 2016 pour une publication en début d’année 2017. Les données de cette enquête ont été rendues anonymes : la collecte est uniquement statistique.

Cet article Dans un monde numérique : quelle vie privée ? est apparu en premier sur RiskInsight.

Dans le monde d’aujourd’hui, le principe de la vie privée est en pleine évolution, tout comme le rôle qu’elle peut jouer au sein de la transformation numérique.

Au sein de Wavestone, nous avons la conviction que les organisations privées comme publiques doivent savoir utiliser les données personnelles pour devenir des champions du numérique, mais tout en maintenant le lien de confiance qui les unit à leurs employés et à leurs clients, la transparence étant pour nous la clé de voûte du maintien de cette confiance.

À travers cette publication, nous avons cherché à éclairer les différentes facettes de ce sujet complexe pour permettre à chaque organisation de trouver son propre positionnement face au défi de la vie privée dans le numérique.

Retrouvez notre synthèse sur la vie privée et la confiance numérique en cliquant ici.

Cet article La vie privée à l’ère numérique : au-delà de la conformité, un enjeu de confiance est apparu en premier sur RiskInsight.

En particulier, le chapitre IV de la LPM donne plus de pouvoirs au Premier ministre et à l’ANSSI en matière de sécurité et de défense des systèmes d’information. Ce texte responsabilise pour la première fois les OIV quant à la sécurisation de leurs systèmes d’information d’importance vitale (SIIV).

Depuis mi-2016, les OIV se voient préciser secteur par secteur ce que l’État attend officiellement d’eux, via la publication d’arrêtés sectoriels. Les secteurs « produits de santé », « gestion de l’eau » et « alimentation » ont ainsi ouvert le bal le 23 juin dernier pour une entrée en vigueur le 1er juillet 2016, suivis le 11 août par le « transport terrestre », le « transport maritime et fluvial », le « transport aérien », l’ « énergie électrique », le « gaz naturel » et les « hydrocarbures pétroliers », pour une entrée en vigueur au 1er octobre. Le 28 novembre 2016, les secteurs « finances », « industrie », « communications électroniques » et « audiovisuel et information »ont clôturé l’année pour une entrée en vigueur au 1er janvier 2017. En six mois 13 arrêtés ont décliné la LPM, ne laissant plus que quelques secteurs et sous-secteurs à couvrir dans les mois à venir.

Cet article vise, en respectant le secret de la défense nationale, à partager nos retours d’expérience liés aux projets de mise en conformité qui ont marqué l’actualité ces derniers mois.

Cinq idées clés pour une mise en conformité à la LPM réussie

L’entrée en application de la LPM mène nécessairement à un investissement conséquent de la part des OIV, ne serait-ce que pour décliner la notion de SIIV sur leur périmètre, démontrer leur conformité à chacune des règles et aligner leurs processus et corpus documentaire sur le formalisme imposé par la LPM.

De par ses relations privilégiées avec l’ANSSI et son rôle sur la SSI au sein de son entreprise, le RSSI est l’acteur légitime pour piloter et animer cette mise en conformité. De la mobilisation des acteurs à la généralisation des principes de sécurité, en passant par le cadencement des chantiers et la construction de cibles acceptées par tous, quels sont les facteurs clés de réussite ?

1. Par où commencer ? Dresser la liste des SIIV

Tous les OIV doivent déclarer leurs SIIV à l’ANSSI dans un délai de 3 mois à compter de l’entrée en vigueur de l’arrêté les concernant. Il est important de noter que les exigences portent uniquement sur les SIIV, et non sur l’ensemble du SI de l’OIV. L’identification des SIIV doit par conséquent être un chantier réalisé avec le plus grand soin pour être conforme à la loi tout en limitant les impacts au maximum.

Au-delà des typologies de SI éligibles (proposées en annexe III de chaque arrêté), l’analyse doit partir des missions d’importance vitale (MIV) confiées par l’État à l’OIV. Elles sont listées dans les Directives Nationales de Sécurité (DNS), en possession de l’Officier de Sécurité de l’OIV puisque c’est un document classifié Confidentiel Défense. Des rencontres avec les métiers permettront ensuite d’affiner la compréhension des processus et de leur transcription sur le SI en termes d’applications.

L’enjeu est ici de définir une méthode systématique et une justification rigoureuse sur les critères d’inclusion et d’exclusion des applications potentiellement éligibles.

D’autre part, nos retours d’expérience sur l’identification des SIIV montrent que la logique « d’importance vitale » diffère entre une vision de l’entreprise (qui vise à assurer sa propre survie) et celle de l’État (qui vise à assurer la sécurité des citoyens). Concrètement, les systèmes commerciaux assurant les ventes ou la facturation, ne sont souvent pas répertoriés dans la liste des SIIV.

Les applications d’importance vitale représentent aujourd’hui au maximum 3% du parc applicatif de nos clients grands comptes sur le volet SI de gestion. Les SIIV sont quant à eux constitués de l’ensemble des applications concourant à un même processus d’importance vitale.

2. Recenser les écarts et dessiner des premières cibles

L’analyse d’écart doit elle aussi débuter au plus vite, sans attendre la stabilisation de la liste des SIIV.

Certes des subtilités techniques seront présentes, mais des tendances devraient rapidement apparaître sur les nombreux thèmes transverses tels que la supervision SSI, les cartographies, les principes d’authentification voire la gestion des correctifs de sécurité. Cela, en particulier sur les SI industriels, n’est pas sans poser des interrogations assez importantes.

Ici, l’enjeu est double : anticiper le macro-budget qui sera nécessaire à la mise en conformité et l’inscrire dans l’exercice de prévision budgétaire pluriannuel. Expliquer la LPM aux futurs porteurs d’actions et les mobiliser autour de l’identification de cibles qui pourraient répondre aux différentes exigences.

Il est crucial de ne pas traiter la mise en conformité règle par règle : selon les cas, certaines cibles d’apparence plus complexe permettent de couvrir plusieurs règles à la fois, diminuant ainsi l’investissement nécessaire au global. Ce constat est d’autant plus fort sur la protection des systèmes, où les principes de cloisonnement, les pratiques d’administration et les mécanismes d’authentification sont très liés.

3. Favoriser la pratique à la théorie

Les situations où il est difficile de faire converger les différentes approches sont légions dans ce type de programme. Aussi, le passage à la pratique est souvent le meilleur des alliés :

• La réalisation d’un audit à blanc technique et organisationnel permettra d’obtenir des réponses factuelles et détaillées et ainsi de débloquer les éventuelles analyses d’écart fastidieuses ;
• De même, la réalisation d’une homologation sur un SIIV pilote permettra à la fois de préciser le processus d’homologation et le contenu du dossier et fluidifiera d’autant les autres homologations ;
• Enfin, la mise en œuvre sur un SIIV pilote des principes de sécurisation retenus permettra de concrétiser les modalités d’implémentation spécifiques et transverses et d’affiner les modèles initialement retenus, avant généralisation. Il permettra en particulier d’identifier précisément les besoins relatifs aux systèmes transverses (administration, surveillance, contrôle d’accès…).

4. Paralléliser les chantiers

Les délais associés aux différentes règles sont très ambitieux. Aussi, il est indispensable de traiter en parallèle tous les sujets qui peuvent l’être.

C’est notamment le cas de la formalisation des guides de durcissement, des évolutions de la PSSI, des processus d’intégration de la sécurité dans les projets, des modifications au niveau des clauses contractuelles et des processus de sélection des fournisseurs, etc.

5. Tirer parti de la complémentarité des équipes

La LPM aborde le sujet de la cybersécurité au travers d’une loi et en l’inscrivant dans le dispositif SAIV. Les interlocuteurs sont donc tout aussi nombreux que variés : les dirigeants dans la mesure où la responsabilité pénale de l’OIV est engagée, les responsables de la sûreté garants du bon maintien du dispositif SAIV, les RSSI interlocuteurs habituels de l’ANSSI, les responsables de la conformité, les métiers en regard des missions d’importances vitales qu’ils peuvent porter, les DSI au vu des impacts potentiels sur le SI, les achats sur la gestion des fournisseurs, les équipes techniques opérant le SI au quotidien, etc.

Face à cette multitude d’interlocuteurs et d’approches parfois radicalement opposées, il est impératif de voir au-delà de la complexité apparente : cette situation est surtout l’occasion de mobiliser un nombre inédit d’acteurs autour de la cybersécurité et d’ainsi actionner des leviers jusque-là souvent inaccessibles. Il est notamment plus facile d’obtenir les ressources nécessaires à la bonne réussite du programme lorsqu’autant d’enjeux sont réunis.

Un paysage cybersécurité modelé en profondeur

Les cadrages menés jusqu’à présent par les OIV démontrent une forte volonté de prendre en compte la LPM le plus en amont possible, avec au sein des grands comptes que nous accompagnons, plusieurs dizaines de millions d’euros budgétés pour les années à venir.

Par ailleurs, la LPM a démontré l’intérêt de la cybersécurité à des décideurs historiquement peu mobilisés sur ce sujet, que ce soit au sein des OIV ou de leurs fournisseurs. Gageons que cette prise de conscience annonce une sécurisation pérenne des SIIV et des SI plus largement.

Un autre aspect structurant et positif de la LPM est à noter : afin de répondre aux besoins des OIV, le marché est incité à se structurer autour des thématiques cybersécurité. Il sera donc plus facile, pour les OIV mais aussi les autres entreprises d’avoir recours à des fournisseurs respectant les bonnes pratiques de sécurité.

Dans tous les cas, l’enjeu à venir pour les OIV est de ne surtout pas réduire la cybersécurité aux programmes LPM mais bien au contraire de les utiliser comme accélérateur pour leurs autres projets, sous peine de délaisser leurs SI critiques non considérés comme vitaux pour la survie de la nation (et ils sont nombreux). Cet équilibre est crucial pour assurer une cybersécurité servant à la fois l’État mais aussi les entreprises concernées.

Consultez notre synthèse LPM via le site officiel du cabinet, www.wavestone.com.

Cet article Réussir sa mise en conformité à la loi de programmation militaire est apparu en premier sur RiskInsight.

Retour sur ce règlement et sur ce projet de mise en conformité avec Didier Lefèvre (DSI, CSN) et Yannick Thomassier (DSSI, Real.Not, opérateur de l’IGC du CSN).

Que pensez-vous de ce nouveau règlement ?

Yannick Thomassier : Avant ce règlement, il existait la directive 1999/93/CE mais un audit effectué dix ans après sa mise en place a mis en lumière ses limites. La réflexion initiée alors par la Commission au Parlement européen dans sa communication du 26 août 2010 (Une stratégie numérique pour l’Europe) est claire : « […] la Commission a désigné la fragmentation du marché du numérique, le manque d’interopérabilité et l’augmentation de la cybercriminalité comme les principaux obstacles au cercle vertueux de l’économie numérique ». Le règlement européen se veut remédier à certaines lacunes de la directive 1999/93/CE en imposant une même base légale à tous les États membres. Cependant le règlement n’a pas été pour le moment assorti des actes d’exécution nécessaires à une transposition technique unique au sein de l’Europe. Chaque État membre doit donc décider de la façon dont il l’appliquera et ainsi fixer ses propres règles. Ceci correspond finalement au schéma d’implémentation que nous connaissons actuellement avec la directive 1999/93/CE. En cela le règlement n’a pas encore complètement rempli ses promesses.

Didier Lefèvre : Néanmoins, une des vertus d’eIDAS est qu’il vise à établir une référence sur l’ensemble de la chaine de confiance. Ceci est une amélioration par rapport à la directive 1999/93/CE qui n’adressait qu’un spectre réduit, à savoir la signature électronique.

Pourquoi vous lancez-vous aujourd’hui dans cette mise en conformité eIDAS ?

YT : Nous sommes dans l’obligation de nous mettre en conformité dans la mesure où la signature des notaires est une signature qualifiée.

Quelles sont les opportunités que représente ce règlement pour vous ?

YT : Nous y voyons un intérêt pour le développement de la signature dans le Cloud. L’utilisation de la carte à puce pour signer des actes notariés est un premier pas vers la dématérialisation, mais celle-ci reste encore très contraignante. Or aujourd’hui, l’usage informatique ne se limite plus à un ordinateur, mais il inclut les smartphones, les tablettes, etc. Le notaire est de plus en plus mobile, et il doit être capable de signer via ces dispositifs afin de se démarquer et répondre aux besoins de ses clients. Le règlement eIDAS est une formidable opportunité d’offrir d’autres moyens de signature qualifiée.

Quelles sont la/les principale(s) difficulté(s) que vous avez rencontrée(s) ?

YT : Le planning. Nous avons opté pour une anticipation maximale de cette mise en conformité, car le changement est un processus fastidieux et très long : il faut compulser de nombreux documents, définir de nouveaux processus, mettre en œuvre parfois de nouveaux produits et faire concorder le tout dans un planning qui respecte les jalons fixés dans le règlement lui-même. D’autant plus qu’en tant que professionnel du droit, nous nous devons d’être prêts au bon moment.

Quels conseils donneriez-vous à ceux qui souhaiteraient se lancer dans un projet de conformité similaire ?

YT : Il y a principalement deux points sur lesquels il faut être vigilant. D’une part, il est nécessaire de faire preuve d’agilité face à un nouveau règlement, soumis à de potentielles évolutions. Le corpus documentaire technique français par exemple n’est pas encore figé. D’autre part il faut se mettre en ordre de marche assez rapidement afin de préparer l’audit de certification dans de bonnes conditions.

Comment voyez-vous le futur concernant ce règlement européen ?

YT : L’implémentation technique du règlement eIDAS est sujette à l’interprétation de la part des organes de contrôle nationaux. Cela pourrait impacter son déploiement. Il pourrait donc il y avoir une phase 2 au règlement afin d’en clarifier l’implémentation et rendre ainsi son déploiement homogène au sein de l’Europe.

Et pour la suite ?

YT : Nous espérons obtenir notre qualification eIDAS dans les temps. Rendez-vous le 1er juillet 2017 !

Cet article Nouveau règlement eIDAS : retour sur un projet de mise en conformité est apparu en premier sur RiskInsight.