In recent years, regulators have consistently urged insurers to adopt holistic strategies that extend far beyond traditional disaster recovery—embedding resilience throughout business operations and the entire software development lifecycle.

This paper aims to offer a comprehensive perspective on resilience, bringing together operational continuity, cyber defence, and third-party risk management. It can serve as a strategic guide for CxOs, outlining how to identify the Minimum Viable Company (MVC), market insights into sector-wide impact tolerance, and anticipate the evolving landscape of regulatory and cyber resilience through 2030.

Minimum Viable Company (MVC) framework

The FCA’s Operational Resilience Policy Statement (PS21/3) challenges insurers to pinpoint their Important Business Services (IBS) and develop strategies for maintaining these during severe disruptions. Though MVC is not named explicitly in PS21/3 (FCA’s Policy Statement on Building Operational Resilience, published in March 2021) organizations are advised to define their “minimum operational footprint,” closely aligning with MVC principles.

Think of the MVC as your organisation’s lifeline: those indispensable services, processes, technologies, and teams that maintain trust and financial stability, even when everything else must be paused.

Most organizations keep their MVC lean, just 15–17% of total business activity, backed by robust lists of mission-critical applications, core infrastructure, key data, and vital third-party relationships. This isn’t just compliance: it’s about identifying a modular, scalable foundation that lets your business isolate issues, recover fast, and keep delivering during systemic risks.

Informed by our extensive work with top UK and global insurance organisations, an indicative list of Core Services typically is:

Further examination of trends in impact tolerance, detailing standard timeframes observed and strategic rationale for core services identified within MVC.

Note: The following ranges are intended as guidance, reflecting our market study and regulatory advisory. Actual tolerances may vary based on factors such as the jurisdictions involved, the organization’s risk profile, and its financial capacity.

Regulatory trends: 2025–2030 outlook

As the insurance industry navigates evolving operational demands, it is equally crucial to anticipate the shifting regulatory landscape that will define the coming years. The following outlook highlights the major regulatory trends projected for 2025 through 2030, outlining key compliance requirements and anticipated changes that will shape the UK insurance sector’s risk management and reporting frameworks.

It is important to recognise that as regulations in this area continue to develop, UK regulators such as the FCA and PRA are moving towards greater alignment with major European frameworks, including the EU Digital Operational Resilience Act (DORA) and the Network and Information Security (NIS) Directive.

This alignment reflects a recognition of the interconnectedness of financial markets and critical services across borders, and the need for consistent, elevated standards of operational and cyber resilience.

The FCA and PRA have issued consultations and guidance signalling their intent to integrate core DORA and NIS principles—such as enhanced third-party risk management, harmonised incident reporting obligations, and sector-wide resilience testing—into the UK’s regulatory regime. This convergence ensures that UK financial institutions, insurers, and service providers are prepared not only for domestic regulatory expectations but also for the demands of operating within a global and digitally integrated market.

Boardroom resilience checklist

In light of these forthcoming regulatory changes and strategic reforms, it is essential for boardrooms to evaluate and reinforce their organisational resilience frameworks. The following checklist is designed to guide leadership teams in proactively assessing their preparedness, ensuring robust governance, and embedding resilience into core decision-making processes.

• MVC coverage: Is your Minimum Viable Company (MVC) clearly defined, mapped, and stress-tested across operations to maintain delivery of essential services
• Impact tolerance benchmarking: Have you validated realistic impact tolerances through scenario analysis, and benchmarked them against peer institutions and regulatory frameworks
• Third-Party risk visibility: Do you maintain real-time insight into key external dependencies, supported by contingency planning and contractual resilience provisions
• Integrated resilience functions: Are your operational resilience, cyber security, third-party risk, and enterprise risk teams aligned in strategy, decision-making, and board reporting to support a cohesive resilience posture
• Incident Response preparedness: Do you have robust mechanisms for multi-channel incident reporting (internal and external) and active regulator engagement, supported by rehearsed playbooks
• Cyber insurance alignment: Is your cyber insurance coverage tailored to your specific risk landscape, and tested against evolving threat scenarios across business-critical assets
• Board accountability: Have board members been trained in resilience and security oversight, and do they receive regular briefings from integrated risk functions to ensure informed governance
• Resilience culture: Is a resilience-aware culture embedded across the organization —from executive leadership to operational teams — fostering proactive risk ownership and continuous improvement
• Regulatory awareness & horizon scanning: Are we tracking global and local regulatory developments (e.g. EU DORA, FCA SS1/21, SEC cyber rules), and ensuring readiness and board-level awareness of compliance obligations

The UK insurance and reinsurance sector is well-capitalised, digitally evolving, and strategically positioned for growth. But resilience (operational, cyber, and third-party) remains the defining factor for long-term success. 

By thoughtfully harmonizing operational resilience strategies across function with leading global standards, organizations can elevate their industry standing and secure enduring stakeholder confidence. This proactive approach not only ensures compliance with a rapidly evolving regulatory landscape but also fortifies the ability to mitigate cross-border risks and respond decisively to unforeseen disruptions. In a world where digital threats and supply chain vulnerabilities transcend geographic boundaries, developing internationally recognised resilience is both a regulatory imperative and a cornerstone of successful, forward-looking business strategy.

In conclusion, executives must embed robust, integrated resilience frameworks for sustained growth and stability. By cultivating a culture of proactive risk management and regulatory awareness, institutions can position themselves at the forefront of operational excellence, prepared not just to withstand challenges, but to transform them into opportunities for long-term success.

Cet article Resilience by design: strategic imperatives for UK General & Reinsurance Insurers (2025 – 2030) est apparu en premier sur RiskInsight.

In this article, we review the latest cybersecurity regulatory updates and the challenges they pose, and we propose two approaches to best manage the accumulation of regulations.

Current landscape: A continuing proliferation of cybersecurity regulations

In Europe, a strengthening of cybersecurity laws and an expansion of scope

In recent years, the European Union has continued its regulatory momentum in cybersecurity and resilience, following the implementation of structuring regulations such as DORA, NIS2, CRA, and the AI Act. These regulations also concern a larger number of actors, particularly with an extension of the regulated sectors.

The first is the DORA regulation. Entered into force in January 2025, it imposes obligations on financial entities to strengthen their digital resilience, focusing on four main areas: ICT risk management, incident management, operational resilience testing, and ICT service provider risk management.

The NIS2 directive, which came into force in October 2024, expands the objectives and scope of NIS1. It now applies to two types of entities:

• Essential Entities (EE) – previously known as Operators of Essential Services (OES) in NIS1. However, the list of applicable sectors has significantly expanded.
• Important Entities (IE) – this new category aims to support the development of digital uses in society. It includes, for example, the manufacturing sector of IT equipment. IEs are considered less critical than EEs, so the obligations imposed on them at the national level will be less stringent.

Meanwhile, the EU also adopted the Directive on the Resilience of Critical Entities (REC), also effective from October 2024. It requires critical infrastructure operators to implement measures to prevent, protect against, and manage risks, ensuring continuity of vital services essential to the Union’s economic and social stability.

The NIS2 and REC directives had to be transposed into national laws by 17 October 2024. As of now, only a few Member States have completed this process. In France, following a first vote in the Senate on 12 March 2025, the bill is now before the National Assembly, with a public session scheduled for mid-September.

To further address cybersecurity risks linked to digital products, the EU adopted the Cyber Resilience Act, effective since 10 December 2024. This regulation applies to both standard digital products (e.g. consumer devices, smart cities) and critical digital products (e.g. firewalls, industrial control systems). It requires these to be free of known vulnerabilities, properly documented, and subject to structured vulnerability management.

Outside the EU, the United Kingdom has also strengthened its regulatory framework. Faced with rising cyberattacks on critical sectors like the NHS and Ministry of Defence and recognizing a lag in legislative adaptation, the UK government presented the Cyber Security and Resilience Bill in April 2025. The bill draws inspiration from NIS2 and aims to boost national resilience against growing cyber threats.

A similar dynamic in Asia

Cybersecurity regulations have also been strengthened in Asia in recent years, particularly in China and Hong Kong.

In China, the Network Data Security Management Regulations came into effect on January 1^st, 2025. It complements, clarifies, and extends the obligations arising from previous regulations (CSL, DSL, PIPL). It covers all electronic data processed via networks, including non-personal data, and is structured around three main axes:

• The protection of personal data, with a focus on explicit consent, transferability, and transparency;
• The management of important data, requiring their identification, documentation, and security;
• The accountability of large digital platforms, subject to enhanced obligations in terms of governance, transparency, and algorithmic ethics.

In Hong Kong, a new measure aimed at strengthening the security of critical infrastructure was adopted on March 19^th, 2025, and is set to come into effect on January 1^st, 2026. The main requirements of the Computer Systems Bill are centered around four themes: an enhanced organizational structure (local presence, cybersecurity unit, change reporting), threat prevention (security plan, annual assessment, audit), incident management (rapid notification, response plan, written report), and reporting obligations to the authorities.

Divergent approaches between the European Union and the United States, complicating compliance management 

A. Weakening of the PCLOB: What future for data transfers between the EU and the United States? 

The agreements for the transfer of personal data between the EU and the United States have experienced several disruptions, marked by the Schrems I and Schrems II rulings, which successively invalidated the transatlantic agreements due to non-compliance with the requirements of the CJEU. Then, in 2023, the European Commission adopted the Data Privacy Framework (DPF), intended to re-establish a compliant legal framework, relying notably on the PCLOB, an independent body responsible for overseeing U.S. intelligence practices. 

However, on January 27^th, 2025, the Trump administration revoked several members of the PCLOB, rendering the body inoperative. This decision undermines the validity of the DPF, pushing companies to revert to Transfer Impact Assessments (TIA), which are complex, costly, and legally uncertain.

Historical Overview of EU-US Relations in Personal Data Transfers

An invalidation of the DPF would once again raise questions about the legal framework for personal data transfers between the EU and the United States. In this context of legal instability, a sustainable solution might emerge from technology rather than law. One such example could be homomorphic encryption, which, although not yet fully mature, represents a promising avenue for ensuring data security, provided that sovereign European solutions are developed.

B. Divergent Approaches to Regulating Artificial Intelligence

In recent years, artificial intelligence has experienced rapid growth, bringing with it new cybersecurity risks and threats. To address these challenges, the European Union and the United States have adopted opposing regulatory approaches.

The European Union has chosen to implement regulations to govern the development of artificial intelligence. The AI Act was adopted in May 2024, imposing security measures to be implemented according to the risk levels of the systems.

The United States, on the other hand, is focusing on a strategy centered on technological competitiveness and industrial sovereignty, with minimal regulation. This approach was formalized with Executive Order 14179 on January 23^rd, 2025, titled “Removing Barriers to American Leadership in Artificial Intelligence” This order mandates the development of an action plan to strengthen the United States’ dominant position in artificial intelligence. It also repeals measures deemed restrictive to innovation and aims to eliminate any ideological bias or social agenda in the development of AI systems.

In this context of strengthening regulations, what approach should be adopted to manage the accumulation of regulations?

The dynamic of strengthening international regulations contributes to a layering of multiple regulations, complicating compliance management, especially for companies with a significant international footprint. Faced with this complexity, two main approaches can be considered, depending on the context, organization, and international footprint of the companies.

Centralized Approach 

The first approach is based on the development of a global framework of measures. This framework can be based on recognized international standards such as ISO/IEC 27001 or NIST CSF 2.0, or on a regulation deemed key and particularly comprehensive. All applicable regulations are then mapped to this framework, ensuring a cross-cutting coverage of obligations through a single standard.

The responsibility for implementing compliance measures is carried out by central or local teams, depending on the nature of the measures, with always strong control at the central level.

This approach is particularly suitable for companies with a centralized organization and information system, and with a limited international footprint.

Decentralized Approach 

The second approach favors a decentralized organization of compliance, relying on local teams. In this framework, a global regulatory framework is defined at the central level, which constitutes a minimum compliance base for all regions. It generally covers 85 to 90% of the requirements of all regulations that can be found at the local level.

However, in this approach, the aim is not to complete the global framework based on the analysis of all local regulations. The responsibility for adjusting to local or regional requirements lies with local CISOs, who ensure compliance with local measures, particularly the 10 to 15% of measures not covered in the global framework. This organization allows for differentiated implementation according to regions, while maintaining a central normative framework.

This model is particularly suited to decentralized structures, characterized by strong local autonomy and an extensive international footprint. It offers greater agility in the face of regulatory changes, relying on a fine understanding of national contexts, while reducing the central management burden.

Practical Case of Supporting a Client with a Strong International Presence 

A recently implemented cybersecurity program within an international group illustrates a decentralized approach with strong group control.

The compliance framework, defined by the headquarters, is based on security objectives founded on threat scenarios and relies on a common foundation integrating the main applicable regulations. This foundation is structured from a multi-framework matrix (DORA, NIS2, ISO 27001). Local entities ensure the operational deployment of the measures defined at the group level, as well as their internal control, under the coordination of a local CISO responsible for consolidating information and ensuring its reporting. The system also provides for local adjustment capabilities, allowing feedback on the central strategy, particularly to avoid potential contradictions with local regulations.

The group CISO plays a transversal supervisory role. They verify that the requirements defined at the central level are well taken into account by the local CISOs, even though the latter are responsible for their implementation. They also ensure that the deployed systems are aligned with both group requirements and local regulations. Their role is not to challenge local choices but to verify their coherence with the global framework.

In terms of control governance, each regulatory requirement, whether local or group-originated, is associated with a specific control. Clear governance between the group and local levels is therefore essential to manage a coherent control catalog, avoid redundancies, and ensure good articulation in the compliance system.

This model ensures a homogeneous security foundation while preserving the flexibility needed to adapt to local regulations. However, it also has certain limitations. Its centralized structure, while ensuring overall coherence, introduces some complexity in daily management, particularly when it comes to evolving the system or quickly integrating new regulatory requirements.

Possibility of Decoupling Information Systems 

Beyond these approaches, some companies choose to decouple their information systems. This decision is made in a context where geopolitical tensions increasingly influence cybersecurity strategies. In this context, the growing importance of sovereignty and protectionism in cybersecurity regulations creates contradictions between regulations, making it difficult, if not impossible, to ensure the compliance of a single information system with regulations from different geographic areas.

Decoupling addresses these issues by providing dedicated infrastructures, applications, and teams for different geographic areas, typically the US, EU, and Asia, with strict filtering between zones.

Towards a Phase of Consolidation and Rationalization? 

In this context, we seem to be heading towards a phase of regulatory consolidation, with the implementation of recently adopted texts and a slowdown in the publication of new regulations. However, developments could still occur to consider the emergence of new technologies, particularly quantum computing.

Moreover, in the face of increasing regulatory complexity in the EU, the European Commission seems to be initiating a new phase of rationalization, aiming to lighten certain obligations deemed unsuitable. This desire for rationalization is notably reflected in a targeted project to ease GDPR requirements for SMEs.

Another avenue for simplification involves the establishment of mutual recognition mechanisms between regulations in different countries. Regulatory compliance for companies could then be simplified, provided that states explicitly integrate this logic into their national regulations. France, for example, is considering integrating this mechanism into the bill on the resilience of critical infrastructures and the strengthening of cybersecurity. However, mutual recognition could lead to a risk of regulatory dumping: some companies might choose the least stringent frameworks to reduce the cost and complexity of compliance, to the detriment of security.

This principle is not entirely new: the GDPR already recognizes third countries as having an “adequate” level of protection (e.g., Japan, Canada, Argentina), thus facilitating data transfers with these countries.

[1] https://www.weforum.org/publications/global-cybersecurity-outlook-2025/

Cet article Navigating Cybersecurity Compliance: Managing the Complexity of Expanding Regulatory Layers est apparu en premier sur RiskInsight.

In the context where the digital transformation of the healthcare sector is accelerating, the protection of health data is an increasingly critical issue. In 2021, our article “Health Data Host Certification: Two Years Already!” by Laurent Guille and Alexandra Cuillerdier, provided a promising initial assessment of the HDS framework. Faced with growing concerns related to data sovereignty and cybersecurity, a redesign was necessary. This evolution towards HDS v2, which came into effect in 2024, marks a turning point in the approach to health data hosting in France, strengthening the protection and sovereignty of health data in an ever-evolving digital context. 

HDS v1: a first structuring but perfectible framework 

Since its introduction in 2018, the HDS framework has helped structure and professionalize the health data hosting sector. However, this first version of the framework had certain limitations. In particular, the initial framework presented gray areas regarding data sovereignty, especially concerning the location and control of health data. Additionally, the rapid evolution of cyber threats and technologies required a substantial update of security requirements to maintain a level of protection adapted to current risks. 

Overhaul of the Technical and Security Framework 

On the technical side, the new requirements of the ISO 27001:2023 standard are adopted within the new version of HDS. This update integrates security risk management adapted to new digital contexts, as well as new controls related to cybersecurity. The other normative references are rationalized. References to ISO 20000-1, ISO27017, and ISO27018 standards disappear in the HDS v2 framework, while 31 specific requirements are directly integrated into the framework, which also relies on the ISO/IEC-17021-1:2015 standard to govern conformity assessment. This new version also clarifies the articulation with the requirements of the SecNumCloud framework to facilitate obtaining HDS certification for hosts already qualified with SecNumCloud. 

A Major Strengthening of Digital Sovereignty 

One of the most significant developments in HDS v2 concerns the strengthening of digital sovereignty. The new framework now requires that the physical hosting of health data be carried out exclusively within the territory of the European Economic Area (EEA). This requirement reinforces guarantees in terms of data protection and contributes to the emergence of an ecosystem of European players in the field of digital health. 

This is complemented by enhanced transparency, which also becomes a central issue of the framework, with two major obligations: 

• Hosts must now publish on their website a map of any data transfers to countries outside the EEA, thus allowing data subjects and healthcare actors to have clear visibility on the journey of their data; 

• In the case of remote access to data from a third country or submission to non-European legislation that does not ensure an adequate level of protection within the meaning of Article 45 of the GDPR, the host must inform its clients in the contract. In particular, it must specify the associated risks and detail the technical and legal measures implemented to limit them. 

Strengthening of Contractual Requirements 

Subcontracting supervision receives particular attention in HDS v2. The associated measures are reinforced, and hosts must now: 

• Precisely detail the certified hosting activities in their contracts; 

• Maintain complete transparency regarding their subcontracting chain; 

• Ensure that their subcontractors comply with the same requirements for data security and location; 

• Implement mechanisms to control and audit their subcontractors. 

These new contractual obligations aim to ensure better control of the value chain and greater transparency for data controllers. 

Practical Consequences for the Ecosystem 

For health data hosts, these evolutions of the framework imply an adaptation of their infrastructures to guarantee the location of data within the EEA. They also require an upgrade of their security measures to meet the requirements of the 2023 version of the ISO 27001 standard and the review of contracts, both with their clients and with their subcontractors. 

Perspectives and Implementation 

This new modernized version of the HDS framework addresses the growing challenges of security, sovereignty, and transparency. Its implementation is spread over approximately two years, with immediate application for new certifications from November 16, 2024, and a transition period until May 16, 2026, for hosts already certified under HDS v1. 

In the longer term, several questions arise regarding the evolution of the framework. At a time when the NIS 2 directive already includes healthcare providers and the pharmaceutical industry among its essential sectors of activity, while classifying the manufacturing of medical devices and in vitro diagnostics in its important sectors, the emergence of HDS 2 raises a question: could European cooperation lead to an even more integrated framework for health data protection and harmonize practices across the continent? 

Cet article Evolution of the HDS Framework – Towards Enhanced Security and Sovereignty  est apparu en premier sur RiskInsight.

In this article, we will detail the impacts of AI on the compliance of processing with major regulatory principles and on the security of treatments which new risks are weighed. We will then share our vision of a PIA tool adapted to answer questions and challenges reworked by the arrival of AI in the processing of personal data.

The impact of AI on data protection principles

Although AI has been developing rapidly since the arrival of generative AI, it is not new in businesses. What is new is the efficiency gains of the solutions, the offer of which is more extensive than ever, and especially in the multiplication of use cases that are transforming our activities and our relationship to work.

These gains are not without risks on fundamental freedoms and more particularly on the right to privacy. Indeed, AI systems require massive amounts of data to function effectively, and these databases often contain personal information. These large volumes of data are subsequently subject to multiple calculations, analyses and complex transformations: the data ingested by the AI ​​model becomes from this moment inseparable from the AI ​​solution [1]. In addition to this specificity, we can mention the complexity of these solutions which reduces the transparency and traceability of the actions carried out by them. Thus, from these different characteristics of AI, results in a multitude of impacts on the ability of companies to comply with regulatory requirements regarding the protection of personal data.

Figure 1: examples of impacts on data protection principles.

In addition to Figure 1, three principles can be detailed to illustrate the impacts of AI on data protection as well as the new difficulties that professionals in this field will face:

1. Transparency: Ensuring transparency becomes much more complex due to the opacity and complexity of AI models. Machine learning and deep learning algorithms can be “black boxes”, where it is difficult to understand how decisions are made. Professionals are challenged to make these processes understandable and explainable, while ensuring that the information provided to users and regulators is clear and detailed.
2. Principle of Accuracy: Applying the principle of accuracy is particularly challenging with AI because of the risks of algorithmic bias. AI models can reproduce or even amplify biases present in training data, leading to inaccurate or unfair decisions. Professionals must therefore not only ensure that the data used is accurate and up-to-date, but also put in place mechanisms to detect and correct algorithmic bias.
3. Shelf life: Managing data retention becomes more complex with AI. Training AI models with data creates a dependency between the algorithm and the data used, making it difficult or impossible to dissociate the AI ​​from that data. Today, it is virtually impossible to make an AI “forget” specific information, making compliance with data minimization and retention principles more difficult.

New risks raised by AI

In addition to the impacts on the compliance principles discussed just now, AI also produces significant effects on the security of processing, thus changing approaches to data protection and risk management.

The use of artificial intelligence then highlights 3 types of risks to the security of treatments:

• Traditional risks: Like any technology, the use of artificial intelligence is subject to traditional security risks. These risks include, for example, vulnerabilities in infrastructure, processes, people and equipment. Whether it is traditional systems or AI-based solutions, vulnerabilities in data security and access management persist. Human error, hardware failure, system misconfigurations or insufficiently secured processes remain constant concerns, regardless of technological innovation.
• Amplified risks: Using AI can also exacerbate existing risks. For example, using a large language model, such as Copilot, to assist with everyday tasks can cause problems. By connecting to all your applications, the AI ​​model centralizes all data into a single access point, which significantly increases the risk of data leakage. Similarly, imperfect user identity and rights management will lead to increased risks of malicious acts in the presence of an AI solution capable of accessing and analyzing documents that are illegitimate for the user with singular efficiency.
• Emerging risks: Like the risks related to the duration of storage, it is becoming increasingly difficult to dissociate AI from this training data. This can sometimes make the exercise of certain rights, such as the right to be forgotten, much more difficult, leading to a risk of non-compliance.

A changing regulatory context

With the global proliferation of AI-powered tools, various players have stepped up their efforts to position themselves in this space. To address the concerns, several initiatives have emerged: the Partnership on AI brings together tech giants like Amazon, Google, and Microsoft to promote open and inclusive research on AI, while the UN organizes the AI ​​for Good Global Summit to explore AI for the Sustainable Development Goals. These initiatives are just a few examples among many others aimed at framing and guiding the use of AI, thus ensuring a responsible and beneficial approach to this technology.

Figure 2: examples of initiatives related to the development of AI.

The most recent and impactful change is the adoption of the AI ​​Act (or RIA, European regulation on AI), which introduces a new requirement in the identification of personal data processing that must benefit from particular care: in addition to the classic criteria of the G29 guidelines, the use of high-risk AI will systematically require the performance of a PIA. As a reminder, the PIA is an assessment that aims to identify, evaluate and mitigate the risks that certain data processing operations may pose to the privacy of individuals, in particular when they involve sensitive data or complex processes. Thus, the use of an AI system will always require the performance of a PIA.

This new legislation completes the European regulatory arsenal to supervise technological players and solutions, it complements the GDPR, the Data Act, the DSA or the DMA. Although the main objective of the AI ​​Act is to promote ethical and trustworthy use of AI, it shares many similarities with the GDPR and strengthens existing requirements. For example, we can cite the reinforced transparency requirements or the mandatory implementation of human supervision for AI systems, supporting the GDPR’s right to human intervention.

A necessary adaptation of tools and methods

In this evolving context where AI and regulations continue to develop, regulatory monitoring and the adaptation of practices by the various stakeholders are essential. This step is crucial to understand and adapt to the new risks related to the use of AI, by integrating these developments effectively into your AI projects.

In order to address the new risks induced by the use of AI, it becomes necessary to adapt our tools, methods and practices in order to respond effectively to these challenges. Many changes must be taken into account, such as:

• improving the processes for exercising rights;
• the integration of an adapted Privacy By Design methodology;
• upgrading the information provided to users;
• or the evolution of PIA methodologies.

In the rest of this article, we will illustrate this last need in terms of PIA using the new internal PIA² tool designed by Wavestone and born from the combination of its privacy and artificial intelligence expertise and fueled by numerous field feedback. The tool’s objective is to guarantee optimal management of risks to the rights and freedoms of individuals linked to the use of artificial intelligence by offering a methodological tool capable of finely identifying the risks on the latter.

A new PIA tool for better control of Privacy risks arising from AI

Carrying out a PIA on AI projects requires more in-depth expertise than that required for a traditional project, with multiple and complex questions related to the specificities of AI systems. In addition to these control points and questions that are added to the tool, the entire methodology for implementing the PIA is adapted within Wavestone’s PIA².

As an illustration, stakeholder workshops are expanding to new players such as data scientists, AI experts, ethics officers or AI solution providers. Mechanically, the complexity of data processing based on AI solutions therefore requires more workshops and a longer implementation time to finely and pragmatically identify the data protection issues of your processing.

Figure 3: representation of the different stages of PIA².

PIA² strengthens and complements the traditional PIA methodology. The tool designed by Wavestone is thus made up of 3 central steps:

1. Preliminary analysis of treatment

To the extent that AI poses risks that may be significant for individuals and in a context where the AI ​​Act requires the implementation of a PIA for high-risk AI solutions processing personal data, the first question a DPO must ask is to identify whether or not they need to carry out such an analysis. Wavestone’s PIA² tool therefore begins with an analysis of the traditional G29 criteria requiring the implementation of a PIA and is then supplemented with questions associated with identifying the level of risk of the AI. The analysis is traditionally completed with a general study of the processing. This study, supplemented with specific knowledge points on the AI ​​solution, its operation and its use case, serves as a foundation for the entire project (note that the AI ​​Act also requires that such information be present in the PIA relating to high-risk AI). At the end of this study, the DPO has an overview of the personal data processed, how the personal data circulates within the system and the different stakeholders.

2. Data protection assessment

The compliance assessment then allows to examine the organization’s compliance with the applicable data protection regulations. The objective is to examine in depth all the practices implemented in relation to the legal requirements, while identifying the gaps to be filled. This assessment focuses on the technical and organizational measures adopted to comply with the regulations and secure personal data within an AI system. This part of the tool has been specially developed to meet the new issues and challenges of AI in terms of compliance and security, taking into account the new constraints and standards imposed on AI systems. This assessment includes both classic control points of a PIA and those from the GDPR and is supplemented by specific questions associated with AI which have benefited from the field feedback observed by our AI experts.

3. Risk remediation

After having listed the state of the project’s compliance and identified the gaps present, it is possible to assess the potential impacts on the rights and freedoms of the persons concerned by the processing. An in-depth study of the impact of AI on the various compliance and security elements was carried out to feed this PIA² tool. This approach, operated by Wavestone, although optional, allowed us to gain an ease of carrying out the PIA by allowing automation of our PIA² tool. This tool automatically proposes specific risks linked to the use of AI within the processing, according to the answers filled in parts 1 and 2. Once the risks have been identified, it is then necessary to carry out their traditional rating by assessing their likelihood and their impacts.

Still with this automation in mind, Wavestone’s PIA tool also automatically identifies and proposes corrective measures adapted to the risks detected. Some examples: solutions such as the Federated Learning, Homomorphic encryption (which allows encrypted data to be processed without decrypting it) and the implementation of filters on inputs and outputs can be suggested to mitigate the identified risks. These measures help to strengthen the security and compliance of AI systems, thus ensuring better protection of the rights and freedoms of the data subjects.

Once these three major steps have been taken, it will be necessary to validate the results and implement concrete actions to guarantee compliance and the risks linked to AI.

Thus, when a treatment involves AI, risk reduction becomes even more complex. Constant monitoring of the subject and support from experts in the field become essential. At present, many unknowns remain, as evidenced by the position of certain organizations still in the study phase or the positions of regulators that remain to be clarified.

To better understand and manage these challenges, it becomes essential to adopt a collaborative approach between different expertise. At Wavestone, our expertise in artificial intelligence and data protection has had to cooperate closely to identify and respond to these major issues. Our work analyzing AI solutions, new related regulations and data protection risks has clearly highlighted the importance for DPOs to benefit from increasingly multidisciplinary expertise.

Acknowledgements

We would like to thank Gaëtan FERNANDES for his contribution to this article.

Notes

[1]: Although experiments aim to offer a form of reversibility and the possibility of removing data from AI, such as machine unlearning, these techniques remain fairly unreliable today.

Cet article AI and personal data protection: new challenges requiring adaptation of tools and procedures est apparu en premier sur RiskInsight.

In order to manage this evolution, the European Union has adopted the Payment Services Directive. In its second version (PSD2), published in 2015, this directive was set to create and regulate the Open Banking sector. The goal was to enable users to provide an access to their banking and accounts data to innovative new actors such as aggregators and payment initiation providers, while ensuring security and competition at a sufficient level in the payment services ecosystem.

Unfortunately, PSD2 limits have started to show, including:

• Unharmonized legislations leading to « Forum shopping » which is a legally grey practice consisting, for a payment services provider, to choose their incorporation country based on the local legislation that would be most favourable to them.
• A gap that was not sufficiently closed between banks, which are in a privileged position to provide payment services to consumers, and third-party providers that depend on them.
• Fraud, with methods changing along with the payment markets, and for which PSD2 provision are now considered as insufficient.

Therefore, the European Union has introduced a draft for a 3rd version of the directive, the so-called PSD3, on June 28th, 2023. A final version is expected for late 2024 or early 2025. The text will be enforceable 18 months after publication, which would be somewhere around Q3 2026.

How will PSD3 be introduced?

Upon reading the draft, it is clear that where PSD2 has introduced completely new and structuring concepts like the notion of Open Banking or Strong Customer Authentication, PSD3 is aiming at updating existing concepts. As indicated on the European commission website, it is

« an evolution, not a revolution ».

The format changes: PSD3 is introduced with a regulation called PSR (Payment Services Regulation). Its content is using a lot of elements already present in either PSD2 or its RTS (Regulatory Technical Standards). The novelty here is in the type of legislation: it is a regulation, which is directly applicable in member states, contrary to directives, which need to be translated into local law. This is one of the solutions the EU has adopted to tackle the previously mentioned harmonization issue.

The regulatory framework for e-money also finds itself simplified. The practical issues caused by the existing differentiation between online payments, regulated by PSD2, and the use of e-money, regulated by the 2009 Electronic Money Directive (EMD) will disappear since PSD3 now covers both types of services.

Additionally, PSD3 brings a few clarifications in its definitions. Though these are not technically new changes, here are some of them:

• Deposit accounts, such as savings accounts, are now explicitly excluded from the definition of payment accounts.
• Aggregators are now defined by their capacity to collect and consolidate banking information on payment accounts and the like, regardless of whom the aggregated information is destined to.
• Multifactor authentication relies on multiple factors in classically defined categories (knowledge, inherence, possession), but it is now clarified that to count as an MFA, authentication factors need not belong to different categories, they only need to be independent (defined as: compromission of one does not affect security of the other).

What will the various payment service providers have to do to comply to PSD3?

Key PSD3 evolutions are technical changes with the aim to protect consumers against fraud.

Therefore, payment services providers will have to develop and provide new services for their users. A first example is an access permissions dashboard enabling them to monitor in real time who is allowed to access their banking and payment account information. Another example is the payee’s name verification service, wherein the name of a payment recipient is compared to the receiving account holder name, and the result of that comparison is made available to the payer to try and prevent identity theft.

Likewise, PSD3 has some provisions planned for strong customer authentication accessibility. All banks will have to be able to provide an adequate strong authentication means for all their users, including people with disabilities, the elderly, people with poor technological skills or without smartphone etc.

The addition of a new actor will shift the repartition of compliance responsibilities: this actor is the Technical Services Provider. They will inherit part of the compliance and audit responsibilities, especially in the case where strong customer authentication is delegated by the bank to their third-party solution.

What will be the impact of those changes?

Through the aforementioned PSD3 changes, banks and other payment services providers are incited to share and exchange information to fight against fraud: some dispositions are already taken to be able to do so while complying with GDPR.

Especially for the payee’s name verification service, Open Banking APIs will have to be updated to allow this verification by the payer’s bank. Since this operation is quite complex, and even more so when the transfer is supposed to be instant, the associated article will enter in force 2 years after the rest of the regulation (not before Q3 2028).

Users will also see new features appear, meaning some time will be needed for them to adapt and get familiar with those features. Some level of support will have to be set up for all involved parties, including users but also customer support teams, to foster a correct understanding and adoption of these features by users.

If the final text is published before early 2025, companies from the payment sector will have until Q3 2026 to achieve compliance with PSD3 and PSR.

It is essential to start considering these changes starting today and ensure a certain level of regulatory watch to stay informed of the various texts (including RTS, guidelines) that will be published by both the European Commission and the European Banking Authority.

[1] 2023 annual report, French Observatory for the security of payment means

Cet article Shift towards the 3rd Payment Services Directive: what will the impacts be? est apparu en premier sur RiskInsight.

To arrive at this favorable vote, the European Parliament had to face heavy opposition from lobbyists, in particular certain AI companies, which, until now, could benefit from a very large panel of training data, without worrying about Copyright. Some governments, like French, have also tried to block it the act. In the case of the French State, they feared that regulations could slow down the development of French Tech.

On December 9, 2023, the Parliament and the Council agreed on a text, after three days of “marathon talks” and months of negotiations. An almost record number of 771 amendments were integrated into the text of the law, this is more than required for the passing of GDPR, which displays the difficulties encountered in the adoption of the AI Act.

The regulation on artificial intelligence (AI Act) was approved on March 13, 2024 by the European Parliament, then on May 21, 2024 by the European Council. This is the final step in the decision-making process, paving the way for the implementation of the act. As it is a regulation, it is directly applicable to all EU member countries. The next deadlines are given in Figure 6, at the end of this article.

Figure 1: Timeline of adoption of the AI ​​Act

Who are the stakeholders and supervisory authorities?

The AI ​​Act essentially concerns five main types of actors: suppliers, integrators, importers, distributors, and organizations using AINaturally, suppliers, distributors, and user organizations are the most targeted by regulation.

Each EU state is responsible for “the application and implementation of the regulation” and must designate a national supervisory authority. In France, the CNIL could be a good candidate[1] which created, in January 2023, an “Artificial Intelligence Service”.

A new hierarchy of risks that brings cybersecurity requirements.

The AI ​​Act defines an AIS as an automated system that is designed to operate at different levels of autonomy and that, based on input data, infers recommendations or decisions that can influence physical or virtual environments.

AISs are classified into four levels according to the risk they represent: unacceptable risks, high risks, limited risks, and low risks.

Figure 2: Risk classification, requirements and sanctions

1. AISs at unacceptable risk are those generating risks that contravene EU values ​​and undermine fundamental rights. These AISs are quite simply prohibited; they cannot be marketed within the EU or exported. The various risks deemed unacceptable and therefore leading to an AIS being prohibited are cited in the figure below. Marketing this type of AIS is punishable by a fine of 7% of the company’s annual turnover or €35 million.

Figure 3: Use cases of unacceptable risks                 

2. High risk AISs present a risk of negative impact on security or fundamental rights. These include, for example, biometric identification or workforce management systems. They are the target of almost all of the requirements mentioned in the text of the AI Act. For these AISs, a declaration of conformity and their registration in the EU database are required. In addition, they are subject to cybersecurity requirements which are presented in Figure 4. Failure to comply with the given criteria is sanctioned at a maximum of 3% of the company’s annual turnover or €15 million in fine.
3. Limited risk AISs are AI systems interacting with natural persons and being neither at unacceptable risk nor at high risk. For example, we find deepfakes with artistic or educational purposes. In this case, users must be informed that the content was generated by AI. A lack of transparency can be penalized at €7.5M or 1% of turnover.
4. Low risk AISs are those that do not fall into the categories cited above. These include, for example, video game AI or spam filters. No sanctions are provided for these systems, they are subject to the voluntary application of codes of conduct and represent the majority of AIS currently used in the EU.

Cybersecurity requirements addressed to high-risk AISs.

Although the AI ​​Act Regulation is not solely focused on cybersecurity, it sets a number of requirements in this area:

Figure 4: The AI ​​Act’s cybersecurity requirements

We have identified seven main categories:

Risk Management: The text imposes, for high-risk AISs, a risk management system which takes place throughout the life cycle of the AIS. It must provide, among other things, for the identification and analysis of current and future risks and the control of residual risks.

Security by Design: The AI ​​Act requires high-risk AISs to take into account the level of risk. Risks must be reduced “as much as possible through appropriate design and development”. The regulation also mentions the control of feedback loops in the case of an AIS which continues its learning after being placed on the market.

Documentation: Each AIS must be accompanied by technical documentation which proves that the requirements indicated in Annex 4 of the law are respected. In addition to this technical documentation addressed to national authorities, the AI ​​Act requires the drafting of instructions for use that can be understood by users. It contains, for example, the measures put in place for system maintenance and log collection.

Data Governance: The AI ​​Act regulates the choice of training data[2] on the one hand and the security of user data on the other. Training data must be reviewed so that it does not contain any bias[3] or inadequacy that could lead to discrimination or affect the health and safety of individuals. This data must be representative of the environment in which the AIS will be used. For the protection of personal data, the resolution of problems linked to bias (presented earlier), to the extent that it cannot be handled otherwise, serves as the only exemption for access to sensitive data (origins, beliefs policies, biometric or health data, etc.). This access is subject to several confidentiality obligations and the deletion of this data once the bias is corrected.

Record Keeping: Automatic logging is part of the cyber requirements of the AI ​​Act. The latter must, throughout their life cycle, identify the relevant elements for the identification of risk situations and to enable the facilitation of post-market surveillance.

Resilience: The AI ​​Act requires high-risk AIS to be resistant to attempts by outsiders to alter their use or performance. The text emphasizes in particular the risk of “poisoning” of data[4]. Additionally, redundant technical solutions, such as backup plans or post-failure safety measures, must be integrated into the program to ensure the robustness of high-risk AI systems.

Human Monitoring: The AI ​​Act introduces an obligation for human monitoring of AIS. This begins with a design adapted to human surveillance and control. Then, it is required that the design of the model ensures that no action or decision is taken by the deployment manager without the approval of two competent individuals, with a few exceptions.

The new case for general-purpose AI: specific requirements.

Since the April 2021 bill, negotiations have led to the appearance of a new term in the regulation: that of Gen AI or “general purpose AI model”. The latter is defined in the text as an AI model that exhibits significant generality and is capable of competently performing a wide range of distinct tasks. These models form a very distinct category of AIS and must meet specific requirements. The new chapter V of the regulation is dedicated to them. There are mainly bonds of transparency towards the EU, suppliers and users as well as respect for copyright. Finally, suppliers must designate an agent responsible for compliance with these requirements. But the new version of the AI ​​Act also introduced a new concept: that of Gen AI with “systemic risk”, which are the most regulated.

What is systemic risk Gen AI?

The AI ​​Act defines “systemic risk” as “a high-impact risk of general-purpose AI models, having a significant impact on the European Union market due to their scope or negative effects on the public health, safety, public security, fundamental rights or society as a whole, which can be spread on a large scale.” Concretely, a Gen AI is considered to present a systemic risk if it has a high impact capacity according to the following criteria:

1. A quantity of calculation used for its training greater than 10^25 FLOPS[5] ;
2. A decision by the Commission based on various criteria defined in Annex XIII such as the complexity of the model parameters or its reach among businesses and consumers.

What measures should be implemented?

If the AIS falls into these categories, it will have to comply with numerous requirements, particularly in terms of cybersecurity. For example, Section 55(1a) requires providers of these AISs to implement adversarial testing of models with a view to identifying and mitigating systemic risk. In addition, systemic risk Gen AIs must present, in the same way as high-risk AISs, an appropriate level of cybersecurity protection and protection of the physical infrastructure of the model. Finally, like the GDPR with personal data breaches, the AI ​​Act requires, in the event of a serious incident, to contact the AI ​​Office[6] as well as the competent national authority. Corrective measures to resolve the incident must also be communicated.

The following diagram summarizes the different requirements based on the general-purpose AI model:

Figure 5: The requirements of the different GenIA models

Is it possible to ease certain requirements?

In the case of a general-purpose AI model that does not present systemic risk, it is possible to significantly reduce the obligations of the regulation by making it free to consult, modify and distribute (Open Source[7]). In this case, the provider is obliged to respect the copyrights and to make available to the public a sufficiently detailed summary of the content used to train the AI ​​model.

On the other hand, a Gen AI with systemic risk will necessarily have to respect the requirements set out above. However, it is possible to request a reassessment of your AI model by proving that it no longer presents a systemic risk in order to get rid of the additional requirements. This re-evaluation is possible twice a year and is validated by the European Commission on objective criteria (Annex XIII).

How to prepare for AI Act compliance?

To prepare well, you should respect the risk-based approach which is imposed by the text. The first step is to do the inventory of its use cases, in other words, identify all AISs that the organization develops or employs. Secondly, it is about classifying your AISs by risk level (for example through a heat map). The applicable measures will then be identified according to the risk level of the AIS. The AI ​​Act also requires the implementation of a security integration process in AI projects which allows, as with any project, to assess the risks of the project in relation to the organization and to develop a relevant plan to remediate these risks.

To initiate compliance with applicable measures, it is appropriate to start by updating existing documentation and tools, in particular:

• Security Policies to define requirements specific to AI security;
• Evaluation questionnaire the sensitivity of projects targeting questions relevant to AI projects;
• Library of risk scenarios with attacks specific to AI;
• Library of security measures to be inserted into AI projects.

What are the next steps?

Figure 6: Implementation timeline of the AI ​​Act

 —

[1] The CNIL and its European equivalents could use their experience to contribute to more harmonized governance (between Member States and between the texts themselves).

[2] Training data: Large set of example data used to teach AI to make predictions or decisions.

[3] Bias: Algorithmic bias means that the result of an algorithm is not neutral, fair or equitable, whether unconsciously or deliberately.

[4] Data poisoning: Poisoning attacks aim to modify the AI system’s behavior by introducing corrupted data during the training (or learning) phase.

[5] FLOPS: Unit of measurement of the power of a computer corresponding to the number of floating point operations it performs per second, for example, GPT-4 was trained with a computing power of the order of 10^ 28 FLOPs compared to 10^22 for GPT-1.

[6] AI Office: European organization responsible for implementing the regulation. As such, he is entrusted with numerous tasks such as the development of tools or methodologies or even cooperation with the various actors involved in this regulation.

[7] Open Source: AI models that allow their free consultation, modification and distribution are considered under a free and open license (Open Source). Their parameters and information on the use of the model must be made public.

Cet article Cybersecurity at the Heart of the AI ​​Act: Key Elements for Compliance est apparu en premier sur RiskInsight.

This regulatory challenge extends well beyond China’s borders, raising fundamental questions about how to comply with divergent local regulations in the context of centralised global information systems.

In this article, we explore technological measures to address the concerns of many CIOs about the PIPL law.

1/ PIPL raises broader risks than just compliance risks, highlighting a trend towards decoupling operations

The PIPL is part of China’s digital sovereignty strategy and raises cross-functional issues that go far beyond IT and cyber security. We note that “80% of French companies operating in China have had to adapt their global operations by decoupling certain processes in China[1]“. At the root of this trend are risks such as espionage, compromise of intellectual property or regulatory non-compliance.

A decoupled business process must be accompanied by IT decoupling. IT decoupling is the act of separating a part of an IS to make it more flexible and modular. This allows the decoupled components to operate independently of the central system.

Before starting work to comply with the PIPL law, companies need to ask themselves 3 essential questions:

• Should we maintain a presence in China? A decision at Executive Committee level needs to be made in the light of a strategic analysis assessing the cost/benefit ratio in relation to the current risks. For example, some suppliers refuse to expand their activities in China to avoid losing control of their source code.
• If so, should I decouple my IT architecture to mitigate the risks? It is essential to highlight this study in relation to potential changes in the regulatory landscape to ensure long-term compliance.
• How do I operate and secure a decentralised system? IT and cyber restructuring should be planned according to the different architectural choices made: how should IAM be managed? How can SOC supervision be set up on a decentralised system?

2/ Putting in place a “privacy-by-design” IS architecture

The varied nature of the rules governing the storage and processing of personal data raises a question: is it possible to adapt an IS to facilitate compliance work? Is a “privacy-by-design” architecture realistic?

There are 3 possible scenarios, depending on the company’s risk appetite and strategic positioning:

• First, we have our centralised IS (the one we all know). By pooling resources, we can deliver the same service on the same scale and achieve economies of scale. However, Chinese data must be subject to a specific transfer, approved by the CAC (Cyberspace Administration of China). To control and monitor this transfer, all data flows in and out of China could pass through a single gateway (also facilitating emergency isolation, such as Red Buttons). The risk of regulatory non-compliance is controlled at the time of implementation, but can easily drift over time (operational change, application change, new Chinese amendment, etc.).
• Then we have a partially decentralised IS (where the Chinese application instance is decoupled). Data is stored and processed in China using a specific Cloud tenant or an on-premise infrastructure. Application links persist between China and the rest of the world, and data may be transferred from time to time (depending on the regulatory constraints in force). Chinese data is kept separate from the rest, making it easier to ensure the security and confidentiality of personal data.
• Finally, we have a decoupled IS, with an independent local authority. This option is certainly the most advanced, ensuring the highest level of compliance. However, it drastically increases operating costs (local teams, local infrastructure, etc.): this position is difficult to maintain if the company is committed to reducing IT and/or cyber costs. This architecture also provides significant resilience in the event of geopolitical crises, making it easier to execute an exit plan. Recent examples of geopolitical tensions include the Russian[2] [3] subsidiaries Carlsberg and Danone, which were nationalised by Russia, and the war in Ukraine, which led to numerous carve-outs, such as that of Heineken[4].

Should I choose a Cloud Service Provider (CSP) in China?

Alibaba Cloud has long been the preferred Cloud Provider because of the variety of services it offers compared with non-Chinese CSPs. Although this difference between Chinese and non-Chinese CSPs is tending to disappear, Alibaba Cloud could remain the preferred choice: as a Chinese provider, this CSP would be well advised to adapt quickly to any new Chinese regulatory requirements.

How should data transfer be managed?

In a centralised and partially decentralised architecture, data continues to be transferred. Depending on the sensitivity of the data transferred, we can implement data anonymisation or use confidential computing, an increasingly mature technology that guarantees data confidentiality during processing.

However, some cases do not necessarily require data to be transferred. This is the case with certain decentralised learning methods for AI that are “privacy-by-design” (e.g. bagging, federated learning, etc.): the systems are trained locally, and only the learning is transferred.

3/ What can we do in this climate of uncertainty, both in the short and long term?

Short term: a pragmatic risk-based approach  

The compliance strategy must be the result of a pragmatic, risk-based approach, in order to minimise the impact on operations. The main steps are as follows:

1. Make an inventory of all the data affected: what data and how is it used? How is the data stored, transferred, and processed? How are data access rights managed? Are there any external dependencies with suppliers?
2. Assess the risks associated with the data and its use. The format and content of the study must comply with CAC standards.
3. Arbitrate a compliance strategy: draw up a compliance strategy based on the 3 scenarios detailed in the previous sections, depending on the sensitivity and criticality of the application data in question.
4. Implement technical measures: implement security and confidentiality measures (decoupling, encryption, pseudonymisation, anonymisation, access controls, etc.).
5. Monitor and maintain compliance: establish a regular monitoring process to maintain compliance with the PIPL.

Long term: should I be preparing to decouple my IS in China?

PIPL compliance strategy should consider long-term trends, current geopolitical tensions and China’s increasing emphasis on data protection and sovereignty (and uncertainty of current laws).

The cybersecurity regulatory landscape has become denser and more complex in recent years, recalling one of the futures envisaged by the Cyber Campus[5]. Ultra-regulation, linked to the tightening of regulations with the aim of restoring digital confidence, could lead to regulatory incompatibilities and numerous non-compliances or fines.

Fortunately, we are not yet at this stage. However, we must anticipate this trend: PIPL compliance must be a case study forming part of an in-depth reflection on decoupling (with varying levels of separation depending on the situation). This trend towards decoupling could become essential on a wider scale in the next ten years.

[1] CCI France CHINE : Enquête sur les entreprises en Chine, Printemps 2022 https://www.ccifrance-international.org/le-kiosque/n/enquete-sur-les-entreprises-francaises-en-chine-printemps-2022.html#:~:text=Enqu%C3%AAte%20sur%20les%20entreprises%20fran%C3%A7aises%20en%20Chine%20%2D%20Printemps%202022,-25%20mai%202022&text=Avec%20p.

[2] Le Monde, 26/07/2023, « Danone : comment le piège russe s’est refermé sur le géant français des produits laitiers » https://www.lemonde.fr/economie/article/2023/07/26/danone-comment-le-piege-russe-s-est-referme-sur-le-geant-francais-des-produits-laitiers_6183438_3234.html

[3] Le Temps, 19 juillet 2023, « Après Danone et Carlsberg, la Russie se dirige vers la nationalisation d’autres filiales de groupes étrangers » https://www.letemps.ch/economie/apres-danone-et-carlsberg-la-russie-se-dirige-vers-la-nationalisation-d-autres-filiales-de-groupes-etrangers

[4] Les Echos, 25 août 2023, « Heineken se retire définitivement de Russie » https://www.lesechos.fr/industrie-services/conso-distribution/heineken-se-retire-definitivement-de-russie-1972549

[5] Horizon Cyber 2030 : perspectives et défis, Campus Cyber https://campuscyber.fr/resources/anticipation-des-evolutions-de-la-menace-a-venir/

Cet article PIPL: is information system decoupling necessary to comply with protectionist local laws? est apparu en premier sur RiskInsight.

Your company operates in China. You compile personal data relating to your Chinese employees and transfer them to your headquarters for HR purposes. You also collect personal information on Chinese customers buying products on your website and make it accessible to global departments outside of China. Since the coming into effect of China’s Personal Information Protection Law (PIPL) in November 2021, you may constantly have been wondering if your cross-border data transfers comply to China’s data privacy regulations.

A complex and uncertain system of laws governing data transfers outside of China

In fact, PIPL is only one of many Chinese data protection laws.  It builds on top of both China’s Cybersecurity Law (CSL, 2017) and China’s Data Security Law (DSL, 2021). It applies to any organization processing personally identifiable information from China in China and abroad. Under PIPL, international data transfers are possible following an approval from the Cyberspace Administration of China (CAC). The article 38 of PIPL offers four ways of getting this approval, some of them subsequently completed by five additional measures and guidelines (2022-2023)[1] detailing how to comply and who is concerned.

In a nutshell, if you engage in the cross-border data transfer of a relatively small volume of personal information, you have two options: get certified by a designated institution in accordance with the regulations of the CAC, or sign a contract with the overseas recipient of the data in line with the standard contract formulated by the CAC.

In other cases, you need to pass a security assessment organized by the CAC. This is the highest bar of compliance and applies to companies who are critical information infrastructure operators (CIIO), handle personal information of more than one million people, export personal information of 100,000 people or “sensitive” personal information of 10,000 people, or export “important” data. This gives the CAC room for interpretation, possibly qualifying any data as “important”. Furthermore, in all the above-mentioned cases, the CAC reserves the right to overview all cross-border data transfers and stop them based on a large spectrum of justifications.

Besides a complex and constantly evolving regulatory landscape leaving China’s authorities with many options to oppose a data transfer, you are burdened with two additional facts on your way to compliance. First, the procedures for getting approval from the CAC may be time-consuming, in particular the rigorous security assessment by the CAC. Second, even if you manage to get the CAC’s approval for a data transfer, you still need to obtain consent from the people whose data are being transferred as well (article 39 of PIPL).

With all this information, you may have been confused when drafting your PIPL compliance strategy. To this day, you may not be sure if your data transfers comply, and even if compliance is possible at all.

An upcoming easing of cross-border data transfer requirements

Interestingly, Chinese authorities have recently recognized the challenges faced when exporting data from China. China’s State Council has officially identified cross-border data transfers as one of 24 areas to improve in order to attract foreign investment to China[2]. Therefore, in September 2023, the CAC issued a draft proposition of exemptions from the cross-border data transfer mechanism[3].

You could be freed from the above-mentioned article 38 procedures (security assessment, certification, or specific contract) in the following cases, which were under public discussion until mid-October:

• You could transfer employee data from China if this was necessary for human resources management in accordance with law and lawfully formulated collective contracts
• You could transfer customer data from China for the purpose of entering into and performing a contract to which the customer is a party, such as cross-border e-commerce, cross-border remittance, air ticket booking and visa processing
• You could transfer personal information from China in order to protect the life, health and property safety of people in emergencies
• You would only need to do a CAC security assessment for
  • transfers of data for more than one million people, likely beyond the cases mentioned above
  • “important” data transfers, where data are not considered “important” unless you have officially been notified of the contrary

This is great news. It means that in many cases, you could continue transferring personal information from China without administrative burden and without risking non-compliance and associated fines.

However, it is currently unclear when these exceptions would be enacted, if at all, and what the final list could look like. Besides, the CAC highlighted two issues that you would still be confronted to. First, specific consent from people whose data are being transferred internationally would still be required under PIPL if consent is the legal basis for the data processing – which may be the case for most processing cases outside of the execution of a contract. Second, and more importantly, the CAC would keep the right to overview all cross-border data transfers, investigate high-risk transfers and even stop them altogether.

So if you think that you may soon once again be able to transfer a good part of your China-generated personal information abroad without constraints, you may not be right.  

Keeping data in China, the safest long-term compliance strategy

Working with all this information, how to prepare a good compliance strategy related to China’s personal information protection laws?

On the legal side, you face laws that are complex to understand, constantly evolving, and subject to interpretation by the authorities. Unlike with the GDPR, you can’t tell if you are compliant as of now, and even less in the coming months and years.

Add to this the technical side: in global companies, information circulates. Data reside in both universal platforms for global operations, including HR and customer management, and interconnected local systems. It will be a challenge just to identify all personal information and figure out associated data flows before any specific protection measures can be discussed.

Besides, let’s not forget that the stakes are high: in case of non-compliance, the CAC can restrict your data transfers, fine your company and executives, and even force your business to close in China.

You should take advantage of the fact that the CAC currently focuses on adapting rather than enforcing its personal information protection laws and consider a more long-term compliance strategy. This strategy may consist in ensuring that data actually stay in China instead of being systematically transferred to your headquarters.

In the long term, China undeniably aims for digital sovereignty. Among the many laws published by countries to regulate cyber space and protect personal data, PIPL is unique in that it significantly challenges the information system model of global companies, which consists in a centralized IT concentrating information from all locations. But in a world where geopolitical tensions intensify, we can expect even more calls for IT protectionism.

Therefore, you should see your PIPL compliance strategy reflections as a case study for decoupling of your information system, which you may soon be confronted to at a bigger scale.

[1] 2022: Measures of Security Assessment for Data Export

2022: Practice Guide for Cybersecurity Standards – Outbound Transfer Certification Specification V2.0 for Cross-border Processing of Personal Information (Exposure Draft)

2023: Information Security Technology – Certification Requirements for Cross-border Transmission of Personal Information (Exposure Draft) 

2023: Measures on the Standard Contract for Outbound Transfer of Personal Information

2023: Guidelines for Filing of Standard Contract for Outbound Transfer of Personal Information (First Edition)

2023: Regulations on Standardizing and Promoting Cross-Border Data Flows

[2]  国务院关于进一步优化外商投资环境加大吸引外商投资力度的意见

[3] Provisions on Standardizing and Promoting Cross-Border Data Flows (Draft for Comment) 

Cet article Impact of PIPL evolution on your privacy compliance strategy est apparu en premier sur RiskInsight.

A denser and more complex cybersecurity regulatory landscape

The first attempts to regulate personal data protection and cybersecurity remained partial until the early 2000s, being driven mainly by the United States and the European Union.  Initially, they focused on the protection of personal data, in France with the Loi Informatique et Libertés (1978) and in the United States with sector-specific regulations: the Privacy Act (1974) for the public sector, the Health Insurance Portability and Accountability Act for the healthcare sector (1996) and the Gramm-Leach-Bliley Act (1999) for the financial sector.

The first cybersecurity regulations were introduced in the financial sector in the early 2000s, with the aim of improving the security of the services provided. Notable regulations include the Sarbanes-Oxley Act (2002), in the USA, reinforcing corporate transparency in terms of internal control, and the Payment Services Directive (2007) in the European Union, regulating the security of online payments and transactions.

Since the early 2010s, more structuring regulations have emerged to form an initial cyber regulatory base in the same regions. These regulations are mainly focused on critical infrastructure protection, with France’s Loi de Programmation Militaire de 2013-2018 (2013), the USA’s National Cyber Security and Critical Infrastructure Protection Act (2014), but also the Network and Information Security 1 Directive (2016) enacted by the European Union.

It wasn’t until the late 2010s that the desire to regulate the cyber space became more global. As many countries followed in the footsteps of the United States and the European Union, stricter cyber regulations began to emerge, with far-reaching impacts on information systems. This can be seen in the arrival of major personal data protection regulations around the world: the General Data Protection Regulation (GDPR, 2018) in Europe, the California Consumer Privacy Act (CCPA, 2020) in California, the Personal Data Protection Law (PDPL, 2020) in Brazil, the Personal Information Protection Law (PIPL, 2021) in China, or the Personal Data Law (2022) in Russia.

Other regulations aimed at protecting information systems are multiplying, with the Cybersecurity Law in China (2017), the NYCRR 500 Cybersecurity Regulations for the State of New York (2017), or the new iteration of the NIS Directive (2023) and DORA in Europe.

Evolution of cybersecurity regulatory landscape[2]

Added to this complex cybersecurity regulatory landscape is a vast ecosystem of cybersecurity requirements and standards, with different levels of constraint: regulatory requirements stemming from cyber or other regulations, mandatory requirements, recommendations or even requirements with contractual value. In this context, it is essential to identify all applicable requirements and the level of constraint they impose.

Types of cybersecurity requirements and standards, beyond cyber regulations

A cybersecurity regulatory compliance strategy adapted to the new paradigm

With the global cybersecurity regulatory landscape becoming increasingly complex, compliance cannot be thought of solely as total compliance with all applicable regulatory requirements. Faced with detailed, costly and sometimes contradictory requirements, it is becoming necessary to implement risk-based cyber compliance strategies. The definition of these strategies will be based on a study of the existing level of regulatory compliance, an assessment of the effort and complexity of the measures required to comply with each regulation, and a consideration of the risks associated with potential non-compliance, both in terms of sanctions and IS protection. This analysis, far from seeking to escape the law, aims to identify the benefit/risk of activities, and may lead to redirecting activities, limiting their scope, or acting in concert with the ecosystem to evolve requirements.

To implement such a strategy, it is first essential to identify all applicable regulations, and to set up a regulatory watch to keep alongside regulatory developments and related news. A two-tiered organisation must then be set up to manage cyber regulatory compliance.

A first level of overall management aimed at providing a high-level overview: a global analysis of the level of cyber compliance must be carried out. This can be based on a recognised cybersecurity standard such as NIST or ISO 27001 for security requirements. For requirements relating to the protection of personal data, GDPR is a good foundation, since most international regulations on this topic are derived from it. The NIST privacy and ISO privacy standards are also solid references in this field. These benchmarks can be mapped onto the main applicable regulations, and advantage can be taken of existing synergies between regulations, as illustrated by the two examples below.

To complete this analysis, an audit plan should be drawn up to assess compliance with key local regulations in greater detail.

A second level of “local” management, on a geographical or business line scale, aimed at ensuring local regulatory compliance in each of the regions where the Group is present. This requires first of all the implementation of a local watch to identify and know precisely the regulations and associated news. This is followed by a detailed analysis of the level of compliance with local regulations, the identification of specifics needed to ensure the right level of compliance, and the feedback of these elements to the Group to ensure the overall management of compliance actions.

Protection regulations call into question the need to separate information systems

Complying with a multitude of cybersecurity regulations is becoming a real challenge for companies with an international presence and centralised information systems. This is due to the stacking up of these regulations, sometimes with incompatible or contradictory provisions, but also to the emergence of requirements with far-reaching impacts on information systems.

This is the case, for example, with China’s PIPL regulations, and in particular Article 40, which stipulates that the transfer of data outside China will only be authorized if processing complies with the security assessment established by the Chinese authorities. This regulation will apply above a certain volume of personal data (not yet specified by the Chinese authorities).

Incompatibilities between regulations have also arisen between the United States and the European Union. This is illustrated by the invalidation of the U.S. Privacy Shield[3] by the European Court of Justice, its Schrems rulings calling into question the ability of U.S. Cloud hosts to process the personal data of their European customers in line with European requirements.

Against this backdrop of heightened cybersecurity and personal data protection requirements, emphasised by the protection intentions of certain countries, it may become necessary to study the need to separate globalised and centralised information systems by considering separation into several geographical zones, which could be:

• A zone comprising the USA and the UK
• A second zone centered on China
• A third zone made up of the European Union and GDPR-relevant[4]

Depending on their regulatory reality and potential developments, other countries or regions could be attached to one or other of these three zones.

In the future, the information systems of these different zones could rely more heavily on the sovereign clouds that are currently being developed.

Constraints that can even lead to the closure of a region’s operations

We’re even seeing a number of companies halting or postponing the launch of activities in certain countries where the regulatory constraints and associated risks of sanctions are too great in relation to the business challenges and strategy of the company. This is particularly the case in certain US states, and in Europe, where some major players are putting the brakes on their development because of the RGPD (e.g. Google’s open AI/ Bard, or Meta’s launch of Thread).

What’s next for 2023 and beyond?

The complex regulatory landscape will continue to expand in the months and years ahead. Both in new areas (AI, product security) and in existing areas, such as critical infrastructure.

On the “critical infrastructure” front, after the first phases of regulations focused on personal data protection, the authorities have been looking at critical infrastructure protection, which continues with the NIS2 directive in particular. Adopted on November 10, 2022 and soon to be implemented into French law, it aims to reduce disparities between member states, strengthen cybersecurity in a context of increasing digitalisation, and establish security measures to improve the level of security of critical infrastructures within EU member states.

A new phase is now taking shape, during which regulations will focus on the safety of digital products, with in particular:

• The AI Act, a European regulation aimed at defining a common frame of reference for the development and use of Artificial Intelligence (AI). Against a backdrop of lightning acceleration in the uses of AI, new regulations are also set to emerge around the world, and particularly in China, where measures have already been taken and led to the closure of 55 applications and 4,200 sites between January and March 2023[5].
• The Cyber Resilience Act (C.R.A), another European regulation, which aims to strengthen the security of digital products by imposing measures to be respected by manufacturers right from the product design stage. Not to mention the recent announcement by the White House of the “Cyber trust mark” initiative, which targets the same objective but with a different approach[6].

The regulatory stakes are not about to diminish, and cyber teams need to be prepared. At the very least, it will be necessary to strengthen links with the business lines concerned, as well as with legal teams. The most mature companies in this field have set up legal departments within their cyber teams, to exchange information with the various legal departments. This may not necessarily be necessary, depending on the organization of each structure, but it can also be a guarantee of strong mobilization.

In all cases, the challenge for companies will be to transform these often mandatory regulatory requirements into a competitive advantage for their business, not by punitive, minimal compliance, but rather by taking ownership of the subject and transforming these practices in a way that can be leveraged externally.

[1] https://blog.checkpoint.com/2023/01/05/38-increase-in-2022-global-cyberattacks/

[2] Non-exhaustive list of cybersecurity regulations

[3] https://www.cnil.fr/fr/invalidation-du-privacy-shield-les-suites-de-larret-de-la-cjue

[4] Countries complying with the level of protection required by the EU https://www.cnil.fr/fr/la-protection-des-donnees-dans-le-monde

[5] https://www.01net.com/actualites/comment-les-lois-chinoises-tres-strictes-risquent-de-nuire-a-lia-made-in-china.html  

[6] https://arstechnica.com/information-technology/2023/07/the-cyber-trust-mark-is-a-voluntary-iot-label-coming-in-2024-what-does-it-mean/

Cet article Cyber regulatory landscape: challenges and prospects est apparu en premier sur RiskInsight.

Definition of electronic voting

Electronic voting is a dematerialised, self-counting voting system in which voters use electronic devices to record their votes.

The system can be used remotely via internet voting, or in person where voters can visit polling stations equipped with voting machines.

History of electronic voting in France

The first traces date back to…1969!

The French Minister of the Interior, Raymond Marcellin, had the use of 100% mechanical voting machines authorised[i]. Due to major breakdown and the failure to reduce fraud, these machines fell into disuse, but the amendment made to the electoral code remained.

Use in professional elections

In the 2018 French public sector professional elections, 5.15 million public employees were asked to vote using an electronic voting solution.

In 2022, 5.6 million public employees in the three branches of the civil service are called upon to vote for their union representatives in the representative bodies. The ballot took place from the 1^st to the 8^th of December 2022. This was precedent in several respects, including the generalisation of electronic voting in the civil service and the establishment of new bodies for social dialogue[ii].

Experiments underway for voting by French citizens abroad

For the 2017 elections, the Ministry of Foreign Affairs and International Development had developed an online voting platform for French citizens living abroad to participate in the legislative elections.

Types of voting in French organisations

Since 2018 in the French private sector, it became compulsory for companies with more than 11 employees to hold elections for members of the staff delegation within the social and economic committees (CSE), by secret ballot

In all cases, the employer should inform the workforce every four years (unless the industry agreement provides for a shorter period of between two and four years) by posting notices of the elections.

How electronic voting works in the context of professional elections

Prior to the vote, the employer must call the professional elections specifying the date, place, and voting method (paper, electronic, or hybrid).

The organisation of elections is generally based on one or more centralised polling stations and regional polling stations, depending on the volume of votes and voters. The polling station members are trained, the solution is assessed, and test elections are held.

Once the solution has been validated it goes into production, and the election can begin:

1. The electoral lists are drawn up and unions or employees can check and report any errors or omissions.
2. Candidates can campaign to the voters and present their program.
3. On the day of the opening of the vote, the solution is sealed using private encryption keys, where 1/3 is held by the corporate administration and 2/3 by the trade unions.
4. Voters then vote according to the designated timetable, the polling stations monitor the counting of votes and assist the voters, the supervision unit monitors the process and manages any incidents, and the provider company is mobilised if necessary.
5. On the closing day of the elections, the integrity of the ballot box (urn) is checked, and the unsealing is carried out by the administration and the trade unions.
6. The counting of the votes is then carried out under the control of the centralising polling stations.
7. The results of the elections should be communicated to the voters, publicly displayed, and sent to the labour inspector (“Inspecteur du travail”).
8. The ballot box is sealed again, and the entire solution (including copies of source and executable programs, voting materials, vote count, results and backup files and files that keep track of interventions on the system) is archived under seal for a minimum of 2 years.
9. In the event of a dispute, an appeal may be lodged with the labour inspector or the district court.

What are the opportunities and risks in electronic voting?

Opportunities

Ease of implementation of the ballot

Electronic voting is generally more efficient to implement than paper voting, requiring less manual work for preparation (printing of propaganda posters, logistics, etc.), counting and reporting of results. This leads to a reduction in costs and an improvement in the efficiency of the electoral process.

Reducing the carbon footprint

Electronic voting greatly reduces the dependence on paper printing for electoral lists, propaganda documents, and especially ballot papers. It also drastically reduces travel depending on the geographical organisation of the company.

According to a study by Kercia[iv], the carbon footprint of a postal vote is more than twice that of an electronic vote.

Maximising participation and elected bodies with a broader electoral base

Electronic voting allows for greater voter participation.

A study conducted in Switzerland in 2011 showed that turnout increased by 2.2%[v] in cantons that implemented e-voting compared to those that did not use this method. Similarly, a study in Estonia in 2014 found that the use of e-voting increased voter turnout by 3-4%[vi].

Voters can vote remotely without having to physically travel to the polling station. This can increase voter turnout, especially in the context of the widespread use of remote work post-COVID-19.

Agreements with a stronger democratic basis

E-voting can help to strengthen social dialogue due to wider outreach and greater accessibility for voter participation. The results of elections are more convincing by increasing the participation in the polls.

Risks

Alteration of results

Electronic voting systems can be vulnerable to attacks such as the usurpation of voter accounts, multiple votes by the same voter in the same election, or the compromise of ballots.

Protection of personal data

The implementation of e-voting platforms should consider the risk of excessive collection of sensitive personal data such as voters’ political opinions.

Voters’ personal information may also be stored on vulnerable servers, exposing this data to the risk of compromised voting secrecy or data leakage.

Transparency of voting operations

It can be difficult for each stakeholder to understand how votes are recorded and how the results are tabulated, leading to mistrust of the solution and the election results.

These risks must be considered and mitigated in order to drastically reduce the probability of occurrence and/or their impact on the smooth running of the elections.

How to comply with the regulations?

CNIL deliberation 2019-053 of 25 April 2019

The CNIL (National Commission for Information Technology and Civil Liberties) deliberation n°2019-053 of 25 April 2019[vii] simplifies and clarifies the texts of 2010 and 2018. The process is as follows:

1. Choice of security level (1, 2 or 3) according to a questionnaire provided by the CNIL[viii].
2. Implementation of a test voting platform (iso-production) prior to the elections, with support from the independent expert in the event of questions relating to the conformity of the technical and organisational choices to be made.
3. Independent assessment of the solution to evaluate the compliance of the solution with the security objectives: depending on the defined risk level, the security objectives are more or less strict. These are cumulative, e.g., if a risk level of 3 is defined, the objectives of levels 1, 2 and 3 must be met.

Decree 2011-595 (public sector)

A regulation has been added to the CNIL deliberation 2019-053 for the public service and certain parastatal sector companies[ix] :

In addition to the CNIL security objectives, 18 articles composing this decree must be respected and checked by the independent expert. The control points include for example:

• “At least 2/3 of the keys are allocated to the list delegates and at least 1 key is allocated to the president of the polling station or his representative.”
• “The sealing is carried out by the combination of at least 2 encryption keys, including the one of the president of the polling station or his representative and the one of at least one list delegate”
• “A process ensures that the voters’ list is only modified by the addition of a ballot electronical paper, which is issued by an authenticated voter casting the vote.”
• “Each voter shall be provided at least fifteen days before the first day of the election with a means of authentication enabling him or her to participate in the election – the confidentiality of this means of authentication shall be guaranteed”
• “A process ensures that the electronic ballot box (urn) is only modified by the vote of an authenticated voter”

Independent expertise

Obligation

“Any data controller implementing an electronic voting system, in particular via the Internet, must have its solution assessed by an independent expert, whether the voting solution is managed internally or provided by a service provider.” – CNIL Deliberation 2019-053

Modalities

When?

This expertise must be carried out:

• Prior to the implementation of the electronic voting system
• In the event of a design change to the existing electronic voting system
• For every new election using the electronic voting system, even if it has already been audited

By whom?

By an independent expert, who must:

• Be an IT (Information Technology) specialist in security
• Not having an interest in the company that created the voting solution or in the organisation responsible for processing
• If possible, have experience in analysing voting systems, having assessed the voting systems of at least two different providers.

Why?

To ensure compliance with the fundamental principles governing electoral operations:

• The secrecy of the ballot
• The personal and free nature of voting
• The sincerity of the electoral operations
• Effective monitoring of the vote by the electoral commission
• A posteriori control by the election judge

Typical working approach

Our vision of independent expertise is illustrated by the main steps described in this chapter.

Initialisation and framing

To initiate the mission, a kick-off meeting is organised with the project contacts.

The purpose of this meeting is to introduce the teams, define the milestones and project schedule, specify the service monitoring procedures, the communication procedures between the parties (encryption of exchanges, etc.), collect the existing documentation, and set up the committee procedure.

Audit of the solution and expert support

This central phase of the assessment is based on a theoretical and practical analysis:

• Control of project documentation and specifications
  • From the “paper” phase onwards, it is necessary to ensure that all the points of compliance are present and in line with the regulations in force: technologies used and updates of the latter, hosting of the solution, physical security, architecture and high availability, partitioning between ballots, sealing and encryption techniques, means of compiling, correlating, communicating and deleting electoral lists, voter authentication scheme, etc.
• Support in expertise and safety advice
  • This involves providing ad hoc expertise on subjects relating to the legal and regulatory framework during the design and implementation phase of the solution and processes (g., choice of authentication factors, process for storing sealing keys, etc.).
• Technical audit of the solution
  • Architecture review to check the compliance of physical and logical partitioning, security of flows, hosting, high availability, etc.
  • Audit of the organisation and processes such as sealing, authentication communication, archiving, etc.
  • Technical configuration review of the key servers of the solution
  • Audit of the source code and encryption mechanisms of the solution based, among other security frameworks, on the RGS[x] (Référentiel Général de Sécurité)
  • Black-box and grey-box penetration testing of voting portals and the supervision back-office

Observation of test elections

This phase aims to simulate an election to check the correct application of the protocol and the processes verified beforehand on field:

• Validation of the compliance monitoring process
  • In this step, the aim is to verify that the technique used for the verification of the non-alteration of the system (fingerprinting) works.
• Checks on the solution on field
  • It is a matter of ensuring, in vivo, that all the points mentioned in terms of security and regulations are in place, for example through the analysis of application and system logs, or “random” checks: presence of temporary files containing sensitive information, capacity to collect data, etc.
• Expertise support during the voting process and assistance in adapting procedures in case of unforeseen events

Accompaniment during the actual election

The same checks as during the test elections are carried out, and specifically:

• System integrity check: Fingerprinting of essential system components (libraries, code, encryption libraries, etc.) and comparison of the fingerprints with those obtained beforehand.
• Compliance with the regulatory framework: sealing process, access, and use of encryption/decryption keys, counting process, etc.

What are the pitfalls and how can they be avoided?

Limited access to systems

The high expertise market context of voting solutions may make vendors reluctant to share confidential information about their technology, such as source code, in the interests of industrial secrecy, which may limit the ability of experts to assess system compliance.

In order to avoid this pitfall, it is essential to implement regular communication and full transparency of the actions of the independent expert. Guarantees must be provided for the protection of the confidentiality of the data collected and processed via processes and an IS certified by SMSI or II 901[xi] (French norm for “Restricted Distribution” classified information).

Furthermore, we recommend that independent experts are flexible in their organisation, for example by agreeing to consult the source code exclusively on the provider’s premises.

Finally, it should be recalled that CNIL deliberation 2019-053 requires the service provider to make available “the source code corresponding to the version of the software actually implemented ” to the independent expert.

Distrust of trade unions and voters

Trade unions and voters can legitimately question the independence of the expert and the guarantees provided by the expertise, leading to mistrust of the electronic voting solution.

These fears are well-founded and must be addressed through transparency and the provision of factual and verifiable evidence for each observation reported during the assessment.

Furthermore, no findings should be ambiguous, conditional, or omitted.

Finally, it is essential to present the limits of the expertise exercise, and the logical impossibility of providing a 100% guarantee that the system cannot be attacked.

Interpretation of the regulations

The available regulations are not always clear and explicit, including

• Non-standard architectures are not subject to specific rules
  • Ex: An architecture based on an IS straddling the SaaS (Software as a Service) solution publisher and the employer’s IS
• Some terms may be ambiguous
  • g.: “A voter’s vote must be an atomic operation” – atomicity being a functional rather than a technical notion, e.g., Internet communication protocols do not allow the entire ballot to be contained in a single network packet

The application of security standards and frameworks (such as RGS), direct consultation with the CNIL, and the implementation of a solution that responds to the risk in substance are all ways of remedying this pitfall.

Conclusion and recommendations

To make the most of the independent expertise and to factualise it, we recommend combining the regulatory compliance approach with a risk-oriented approach, based on the technical audit (penetration tests, configuration reviews, etc.) in a logic of practical and pragmatic securing of the solution within the regulatory framework.

This exercise can only be carried out effectively and efficiently if all project stakeholders, including the publisher and trade unions, are involved and made aware of the project as early as the design phase.

Finally, it is necessary to bear in mind that e-voting is a constantly evolving technology. It is likely that new methods and technologies will emerge in the future, leading to an evolution of the regulations. Therefore, technical and regulatory monitoring is and will remain an essential subject for election organisers, publishers, and independent expertise companies alike.

For any information or quotation request on the subject of the independent expertise of electronic voting systems, we invite you to contact us via the following form: https://www.wavestone.com/fr/contact/

We wish you every success in organising your professional elections!

[i] https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000000511691/

[ii]h ttps://www.economie.gouv.fr/elections-professionnelles-2022-quelques-minutes-pour-quatre-annees

[iii] https://fr.wikipedia.org/wiki/Comit%C3%A9_social_et_%C3%A9conomique

[iv]h ttps://www.kercia.com/vote-electronique

[v]h ttps://www.admin.ch/gov/fr/accueil/documentation/communiques.msg-id-37639.html

[vi]h ttps://www.smartmatic.com/fr/actualites/article/lestonie-atteint-des-taux-records-de-vote-par-internet-grace-a-une-nouvelle-technologie/

[vii] https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000038661239

[viii] https://www.cnil.fr/fr/securite-des-systemes-de-vote-par-internet-la-cnil-actualise-sa-recommandation-de-2010

[ix] https://www.legifrance.gouv.fr/loda/id/JORFTEXT000024079803/

[x] https://www.ssi.gouv.fr/entreprise/reglementation/confiance-numerique/le-referentiel-general-de-securite-rgs/

[xi] https://www.ssi.gouv.fr/guide/recommandations-pour-les-architectures-des-systemes-dinformation-sensibles-ou-diffusion-restreinte/

Cet article Independent expertise of electronic voting systems est apparu en premier sur RiskInsight.

To sum up, the Operational Resilience Maturity Assessment Framework is a tool that measures the level of operational resilience of an organization.

What is Operational Resilience?

We believe that Operational Resilience (OpRes) is a young but increasingly unavoidable issue for our clients, especially for those in the financial sector. The United Kingdom has been a pioneer in this field, with an Operational Resilience Framework coming into force in March 2022, imposed by the Bank of England, the Prudential Regulation Authority (PRA) and the Financial Conduct Authority (FCA). Similarly, the European Union is set to follow suit, with its Digital Operational Resilience Act (DORA). The underlying principle for both legal frameworks is the acknowledgement that many events, both internal and external, can disrupt the activities of banks and other organizations.

Operational resilience therefore involves different sources of threats: from third parties (partners, suppliers, or service providers), pandemics, power failures, fire, to name but a few. From an organisational point of view, resilience is very often a program driven by the Head of Operational Resilience, the IT department or the risk division, and less often by a CISO.

Why did you create this tool? What problem does it solve for clients?

Under pressure from regulators, our clients have launched programs to increase their level of resilience, and therefore have had to measure their maturity level, both before and after these programs. Compliance is a good starting point, but it doesn’t go far enough! The idea of our Operational Resilience Maturity Assessment Framework is to provide a tool that encompasses both these new guidelines, and the best practices observed in the field. The tool is useful because it:

• Measures the maturity of an organization, in terms of the methodologies and processes in place to address Operational Resilience.
• Reports on the actual resilience capabilities at a given moment by analysing the tools and capabilities in place.
• Facilitates the formalisation of a risk reduction plan and the management of resilience by highlighting the main areas that require more investment.
• Integrates all Wavestone’s field experience in resilience from all our offices! Especially in the UK, where Operational Resilience is more advanced than the European Union countries, we have been working on resilience projects for over 3 years.

It assesses the organisation’s processes and operational implementation with a form consisting of ninety questions spanning twelve major topics. For each question, a resilience score between 0 and 5 is assigned, and a list of evidence is provided to support this score.

Customers are always keen to benchmark, and this has been incorporated into the assessment. Everything has been thought out to standardise the evaluations and thus allow clients to position themselves in the market; it’s a real value-add!

As the regulatory landscape matures, we’ve identified a need to maintain a global view; firms must implement Horizon Scanning functions to stay ahead of regulators and the competition. Therefore, working in conjunction with our maturity assessment tool, we have an Operational Resilience Regulatory Radar which maps regulations across the globe according to the same themes. It is a live document, updated every quarter that provides a holistic view of OpRes regulation and allows the user to compare by both geography and topic.

Can you tell us about the last time you used it?

The trigger for the creation of the Operational Resilience Maturity Assessment was a UK project supporting a major bank. Initially, we provided a 360° analysis of their resilience during which we developed our first assessment framework. With it, we were able to establish four maturity levels of resilience: 1) “Insufficient”, 2) “Compliant”, 3) “Good Level” and 4) “Leader”. We were then able to position them on these 4 levels and provide relevant advice and feedback accordingly.

Recently, we received a second assignment from another banking company, providing an opportunity to modify the assessment and make it more precise and extensive. We also modified our list of proofs that are used to position an organization against the correct maturity level, and added a 5th level of maturity, “The Pioneer”.

Currently, we use this framework in the financial sector, which has a high level of maturity given the regulatory constraints and the sensitivity of the data it processes. For clients in other sectors, we would adapt the levels to align with the overall maturity of the market.

Any final thoughts?

We think we can go even further in assessing resilience in a few years. The more feedback we get from the field, the more precise we will be on the required conditions to reach a level. For example, a player will be considered mature if it has the capacity to rebuild its AD in 3 hours. Just like on the CyberBenchmark. The next step would therefore be to define quantitative and/or qualitative indicators… And the only way to do this is to continue to confront the framework with reality!

Although everything can be improved, we are still very proud of this tool which was built in collaboration with our customers and experts, and has already proved its worth.

Cet article [INTERVIEW] Operational resilience, how to recover after an attack! est apparu en premier sur RiskInsight.

The use of digital certificates on information systems has been around for over 20 years. It is a proven practice based on standardised technologies and regulations governing several of its use cases. A digital certificate can be considered as a “digital” identity card of its owner, using asymmetric cryptography to authenticate its owner and enable them to perform data encryption and digital signature operations. A digital certificate may belong to several types of holders and serve to cover various use-cases.

Historically, digital certificates were used in limited areas within an information system, mainly for two reasons:

• First, the use of cryptography, particularly asymmetric, reduces equipment performance (primarily using computing capacity).
• Secondly, the level of cyber threats in the past was relatively low compared to the current level.

Thus, the use of digital certificates was not always justified regarding information system security challenges and the hardware resources required to avoid performance degradation.

For several years, technological developments have significantly improved the performance of computers, thereby enabling the use of digital certificates for an increasing number of holder types, and to cover increasingly diverse use cases to address the growing level of cyber threats and protection needs. At the same time, there is also improvement in maturity of technologies associated with the use of digital certificates, such as PKI systems that issue digital certificates, cryptographic hardware to secure private keys (e.g. Hardware Security Module (HSM), smartcards, etc.), or even more specific software to better manage certain use cases (e.g. Card Management System (CMS), Key Management System (KMS) etc.).

The emergence of Certificate Lifecycle Management (CLM) products

The growth of both usage and the number of digital certificates in recent years have highlighted new issues for several stakeholders within an organization: operations teams, who deploy digital certificates on infrastructure components or business applications and manage their lifecycle; security teams and architects, who are responsible for defining and enforcing digital certificate usage policies within the organization and preventing deviations; and the business units that use certificates on their applications, which may experience availability issue if certificates are expired. These issues are exacerbated by current strong evolution in technological environment, that challenges the maturity of existing infrastructures (particularly PKI) and gives rise to a new family of products, the “Certificate Lifecycle Management” tools, to complement existing products in this area.

The following three chapters detail the issues and difficulties that CLM solutions attempt to address.

The difficulty of managing digital certificates

Let’s take an example of an operations team in charge of several servers or applications. To obtain a digital certificate for a server, this team has to create a request to their organization’s PKI following associated processes, and then install it on the relevant equipment. For every 1 to 3 years, they have to remember to renew it before it expires by repeating the certificate request process with the PKI. Multiply this by the thousands of infrastructure digital certificates that may exist within large organizations, and there will be following consequences:

• Teams spending a lot of time requesting and installing digital certificates on equipment, especially if the processes require multiple approvals to meet internal or external compliance requirements.
• Teams not well trained with the usage of digital certificate , with a high risk of error in installed certificates, at best delaying service implementation and at worst introducing security vulnerabilities to target equipment.
• A very high risk of forgetting to renew a certificate before it expires, causing a disruption to the related service. The level of impact will depend on the service and can potentially reach the highest level for an organization.

Based on our experience working with our clients, the risk of forgetting to renew certificates is very common. For example, Microsoft forgot to renew a certificate for Microsoft Teams in 2020, causing service downtime for about 3 hours⁽¹⁾.

Cyber risk associated with improper use of digital certificates

Security teams and architects define and implement compliance rules regarding the use of digital certificates and associated processes. To comply with these rules, operations teams may find managing the lifecycle time-consuming, thus they may not always follow the certificate request processes from their organization’s PKI:

• Either by bypassing them to obtain certificates from the “official” PKI in a sneaky way, with fewer security checks on the legitimacy of the request, and fewer traceability elements for audit purposes;
• Or by installing “rogue” certificates, self-signed or obtained from a “non-official” PKI/Certification Authority, with the risk of introducing technical vulnerabilities to the information system that could be exploited by an attacker.

During our audit assignments for our clients, we often discover the use of “unofficial” certificates that are very difficult to identify exhaustively. This lack of control over digital certificates used in an information system represents a challenge for security teams to manage cyber risk and deploy appropriate security solutions.

A fast-evolving technological environment

As mentioned earlier in this article, for several years now the use of digital certificates has become more widespread, and the products on the market have become more matured. The regulatory framework (e.g. eIDAS⁽²⁾) has followed this trend by regulating several trust services based on the use of digital certificates (e.g. electronic signature, timestamping etc.).

Today, some more recent technological trends are making the use of digital certificates even more essential, while introducing new constraints:

• The increasing use of microservices architectures, especially in “Zero Trust” deployments, requires securing communications between these services using mutual authentication with digital certificates. The number of these certificates therefore continues to grow within information systems, which increases the difficulties outlined in the previous two chapters.
• Continuous Integration/Continuous Development (CI/CD) practices and the automation of deployments using “DevOps” tools are also increasingly adopted by information system departments. These approaches require end-to-end automation of service deployment, including certificate installation. To address this constraint, it is essential to rely on technologies that automate the certificates lifecycle management and interface with PKI solutions.

With these findings in mind, CLM solution is here to help saving time for teams managing digital certificates, improving efficiency, enhancing the security level of the information system, reducing service interruptions on business applications and offering innovation opportunities to development teams.

Services provided by CLM products

To address these issues and the growing demand for effective certificate lifecycle management, several vendors have developed so-called CLM (Certificate Lifecycle Management) solutions. A CLM solution is a software designed to help organizations automating the lifecycle of their fleet of certificates. These solutions first provide tools to discover digital certificates deployed on the information system and provide effective reporting in a unified interface. This feature is very useful for discovering “unofficial” certificates. CLM solutions can also interact with numerous PKI environments to consolidate certificate management under a single tool. They offer various dashboards and features enabling organizations to have an overview of their certificates, to handle them (e.g. applying renewal and automation policies, alerts on non-compliant certificates etc.), and they use connectors to integrate themselves into organizations’ existing needs and workflows (DevOps, ticketing, etc.). CLM solutions, therefore, position themselves at the centre of the IS to achieve maximum efficiency on tracking digital certificates.

Using dedicated management tools, rather than manual tracking, for certificate lifecycle management can reduce certificate-related incidents by 90% and reduce incident processing time by 50%, according to Gartner⁽³⁾.

To choose the most suitable CLM solution for an organization, as they do not offer the same functional coverage, the following four areas must be evaluated:

• Certificate discovery: any use of a CLM solution begins with the discovery of certificates present on the organization’s information systems. These discoveries have several objectives: gathering of all an organization’s certificates in a common interface regardless of the issuing certification authority, discovering unknown certificates that were not previously tracked, collecting information on each certificate to identify the proportions of compliant and non-compliant certificates, and visualising the certificate fleet in the form of dashboards highlighting all important information (e.g. number of certificates, upcoming expirations, compliance with chosen security rules etc.). The discovery of server certificates can be done in two ways to adapt to the potential security measures implemented within an IT system: a centralized discovery scan from the CLM solution with incoming network flows into the organization’s servers, or a decentralized discovery scan relying on the installation by an employee on each server that will perform a local search and report data back to the CLM solution (outgoing network flows from servers only).
• Automation and connectors: the main goal of a CLM solution is to allow its users to avoid manual management of certificates, as it is time-consuming, resource-consuming, and prone to human errors. Once discovery scans are completed, an organization can use various tools to create workflows that automate the certificate lifecycle. For example, it is possible to automatically renew all certificates from a chosen certification authority by replacing them with certificates issued by another authority, which would be very useful during a PKI migration. CLM solutions can also automate certificate revocation at the end of their lifecycle, as well as the request and installation of the next certificate. The automated management of a large fleet of certificates necessarily involves a configuration phase that can take time, but the benefits in saving time, resource, and enhancing security justify this investment. To achieve this, CLM solutions integrate via connectors with many PKIs on the market, infrastructure components using digital certificates, or CMDBs. Connectors also enable CLM solutions to interact with ticketing tools, MDM or UEM solutions for terminal management, and to manage certificates in DevOps environments (e.g. Terraform, Kubernetes, Docker etc.).
• Governance: organizations can create compliance rules regarding certificates and their issuance modes. These rules aim to control future certificate issuance and help identifying existing certificates that do not comply with them (e.g. self-signed certificates, small key size, untrusted certification authority etc.). All these rules are fully customizable. CLM solutions also allow segregation of rights according to roles (administrators, users, auditors, etc.), geographic zones, teams, or any other attribute.
• Alerting: This is an important aspect of CLM solutions because automating a fleet of certificates takes several months (or even years). Alerting allows certificates with workflows not yet automated to be processed and thus serves as a safety net in case of renewal is forgotten. Alerts can take different forms, for example notifications within the solution, emails sent to administrators, notifications on Teams/Slack, opening tickets on ServiceNow or Jira. To identify the recipient of alerts, solutions can rely on the information collected by the PKI during the initial request for certificates, cross-reference certificate information with that of a CMDB, or use AI features to “guess” the team or person to notify when precise information cannot be found in available data sources.

The CLM solutions market is growing rapidly, with the new features being added regularly, and more areas being covered. It would not be surprising if this type of solution were to manage the cryptographic key lifecycle in general, beyond just digital certificates, and thus complete the current KMS solutions as they do today with PKI solutions.

The CLM solutions market is currently experiencing significant growth

The CLM solutions market consists of both historical players (often already being active in areas such as PKI or machine identities and offering a wide range of services outside of CLM solutions) and emerging players that can be classified as pure players, who have started to develop their CLM service in recent years and for whom this segment represents most of their activities. Below is a list of actors that are often found on the market (presented in alphabetical order):

Appviewx: an American company founded in 2004 based in New York. In addition to its CERT+ certificate lifecycle management solution, Appviewx offers a Cloud PKI and IAM service.

DigiCert : an American company created in 2003 based in Lehi, Utah. Digicert is a public certification authority that provides electronic certificates and PKI services to organizations. To complement its PKI offering, Digicert has launched its certificate lifecycle management solution: CertCentral.

Digitalberry: a French company founded in 2014 based in Marseille. The company’s CLM solution, Berrycert, was released in 2021. Digitalberry also offers a data traceability solution based on the blockchain and a security key management solution. Digitalberry is part of the 2020⁽⁴⁾ and 2021⁽⁵⁾ French cybersecurity start-up radar developed by Wavestone in collaboration with Bpifrance.

Entrust: an American company founded in 1994 based in Minneapolis, Entrust is a historical player in the PKI field. Entrust’s Certificate Hub is a solution dedicated to certificate lifecycle management. This solution is added to other digital security solutions available on-premise and as a Service: PKI, HSM, KMS, IAM; and also to Entrust’s physical and digital passport and identity document issuance solutions.

Evertrust: a French company founded in 2017 based in Paris, Evertrust released the first version of its CLM solution called Horizon in 2018. They also offer an internal certification authority (Stream) and an OCSP responder services. Evertrust is part of the 2021⁽⁵⁾ and 2022⁽⁶⁾ French cybersecurity start-up radar developed by Wavestone in collaboration with Bpifrance.

Keyfactor: an American company founded in 2001 based in Cleveland. Keyfactor left its PKI consulting segment in 2014 to become a solution provider, including Keyfactor Command which is the company’s CLM solution. In 2021, Keyfactor acquired Primekey to complement its offer with a PKI solution.

Sectigo: an American company created in 1998 based in Roseland, New Jersey. Sectigo is a public certification authority that provides certificates and PKI services to organizations. Sectigo has developed its CLM solution called Sectigo Certificate Manager to offer complementary services to its PKI business.

Venafi: an American company founded in 2000 based in Salt Lake City. Venafi offers the TLS Protect solution to manage an organization’s certificate lifecycle. Venafi also offers PKI, KMS, and code signing services.

Conclusion

Regardless of the industry, any organization reaching a certain size will face the increasing number of digital certificates to manage and the associated risks in terms of management and security.

It is therefore important to address this issue as soon as possible in order to evaluate how to take advantage of a CLM solution, to improve the security level of its information system and to simplify the day-to-day work of its teams, as shown by Wavestone’s CISO radar which highlights the use of these products in the “trending” category⁽⁷⁾.

Bibliography

⁽¹⁾ https://www.theverge.com/2020/2/3/21120248/microsoft-teams-down-outage-certificate-issue-status

⁽²⁾ https://www.riskinsight-wavestone.com/2016/10/eidas-route-vers-europe-de-confiance-numerique/

⁽³⁾ https://www.gartner.com/en/documents/3969998

⁽⁴⁾ https://www.wavestone.com/fr/insight/radar-2020-startups-cybersecurite-francaises/

⁽⁵⁾ https://www.wavestone.com/fr/insight/radar-startups-cybersecurite-2021/

⁽⁶⁾ https://www.wavestone.com/fr/insight/radar-startups-cybersecurite-2022/

⁽⁷⁾ https://www.wavestone.com/fr/insight/radar-rssi-2023/

Cet article Lifecycle management of digital certificates: what are the challenges and how to address them? est apparu en premier sur RiskInsight.

The European Union published the Digital Operational Resilience Act, or “DORA”, on December 27^th, 2022, and it entered into force on January 16^th, 2023. It sets new rules for financial entities and their ICT third-party service providers in terms of ICT resilience. Compliance to the text will be mandatory starting January 17^th, 2025.

The Digital Operational Resilience Act aims at simplifying and improving the resilience of financial service organisations by establishing a robust regulatory framework and oversight body. As previously shared in details, in our article Decrypting DORA: what does it mean for resilience of financial organisations?, it introduces requirements across five pillars: 

• ICT risk management
• ICT-related incident management, classification and reporting​
• Digital Operational resilience testing
• Managing of ICT third-party risk​
• Information and intelligence sharing (optional)

Main DORA topics and articles applying to financial entities
(article references between brackets)​

When analysing the content of the regulation and while taking into account the current maturity of the financial sector, the complexity largely differs depending on the topic addressed. As ICT frameworks are already a best practice widely adopted within the financial services sector, the effort will mainly focus on bringing more consistency across the organization. Similarly, ICT-related incident management has already integrated within its processes and tools numerous regulatory constraints in terms of classification and notification. Consequently, integrating the DORA requirements should not present major difficulties.

Nevertheless, meeting the requirements to be compliant will still have its challenges… And opportunities!

An ambitious regulation that puts the finger on known fragilities

The first challenge for many organisations will be to onboard the top management in the initiative. As DORA appoints them as accountable for monitoring, approving, reviewing, and setting the direction in terms of operational resilience, their involvement is key to the success of a potential program. Early onboarding will allow to gain precious time in identifying and validating critical functions in the scope, prioritizing the main threat scenarios, and set the pace on the topic. However, this will imply for the teams to carefully think about the proper and comprehensible KPIs and KRIs to report on the operational resilience level of the organization. As much as possible, give them quickly an overview of the regulation content and their expected role in this context!

The second challenge will be to raise the bar in terms of third-party risk management. Large organisations often have hundreds, if not thousands of third-party providers implying a fastidious sorting to focus on the most critical. Third-party operational resilience risk management mainly relies today on integrating steps within the purchasing processes and, in the end, including specific clauses within the contracts. DORA asks for more with responsibility falling on financial services to make sure third-party compliance to these requirements are met. It also requires working on potential exit strategies and joint testing where relevant. This step up may define a shift in how business is done with suppliers in the future and should be anticipated by the concerned third parties to be able to provide proofs of their operational resilience risk management.

Finally, testing is a crucial point and a challenge within DORA. Organisations will need to structure and regularly test their resilience to continually assess risks and the suitability of their resilience strategies. It requires to gain a strategic vision on the topic, which rarely pre-exists as the tests are often managed in silos (vulnerability tests, penetration tests, business continuity tests…). In this context, they will also need to ensure the proper coverage of their critical functions over the years within the testing approach. Organizations are also expected to conduct threat-led penetration tests in live production every three years at least and potentially including ICT third-party providers.

Overcoming these challenges will not be an easy journey. It is key to start working on these topics quickly as they will ask for true changes for the concerned organizations. Obviously, a detailed gap analysis with the regulation requirements is a good starting point.

Resilience first, compliance second?

Clearly, a regulation such as DORA brings along opportunities for those who will try to see beyond the compliance constraints.

First, the regulation introduces a holistic approach to ICT risk management that could bring more consistency across the organizations. It could constitute a first step in putting together a unified framework, allowing a better assessment of the organization’s ICT risks and simplifying overall reporting to the top management. It could also initiate the idea of a converged governance on ICT risk management gathering cybersecurity, business continuity and IT service continuity. 

Second and foremost, it is a unique opportunity to work on your real resilience level by asking yourself complex questions. If you were to face a no-IT situation tomorrow, would your organization survive? Would your existing capabilities fully cover the needs that such situation asks for? And are you confident that your resilience solution would work on D-day?

Cet article <strong><u>DORA: challenges and opportunities</u></strong> est apparu en premier sur RiskInsight.

The success of these standards has been widely observed both in France and on an international scale for many years and shows no signs of decline. For instance, the 2022 ISO annual survey showed a 19% increase in ISO 27001 certifications worldwide from 2020 to 2021, and a 44% increase in France.

After nearly 10 years of effective and loyal service from their previous major version, dating from 2013, the third edition of the ISO 27001 and ISO 27002 standards was published in 2022. What changes have been made and how does this affect our analysis of the Information Security landscape?

The first obvious change reflects the evolution of the “Information Security” field over the decade: “cybersecurity” and “privacy” are now part of the standards’ titles:

• ISO/IEC 27001:2022 Information security, cybersecurity, and privacy protection — Information security management systems — Requirements
• ISO/IEC 27002:2022 Information security, cybersecurity, and privacy protection — Information security measures

The evolution of security measures (Annex A): the main change in ISO 27001 

The new edition of the ISO 27001 standard presents very few alterations in its body: the few changes mainly clarify or make explicit some clauses of the standard without changing their content.

Some changes will require limited alterations to the ISMS, such as:

• The explicit obligation to document the objectives of the ISMS and to monitor their achievements (clauses 6.2 d) and g))
• The need to plan ISMS changes (clause 6.3): this clause could be covered, for example, by extending the ISMS improvement management process to any ISMS change, or by relying directly on the organization’s change management process
• The reinforcement of the obligation to control externally provided processes that contribute to the application of the selected requirements or to the achievement of the ISMS objectives, by extending it to externally provided products and services (clause 8.1)
• The possibility of choosing which expectations of “interested parties” (customers, management, employees, etc.) the ISMS must meet (clause 4.2 c)): the standard now allows the exclusion of certain expectations. This clause thus allows the prioritization of certain expectations or choice between mutually exclusive expectations. This change will probably require increased transparency towards the interested parties to inform them of the decisions taken. It should be noted that the management review will now have to take into account changes of the interested parties’ expectations (clause 9.3.2 e)), in addition to the feedback from interested parties previously required.

Nevertheless, the main evolution of the ISO 27001 standard is Annex A. This annex provides a catalog of security measures – the measures being detailed in the new version of ISO 27002 -, which provides additional information and implementation recommendations for each of them.

Updates to this Annex A can thus be studied in the new version of ISO 27002.

A modernized version of ISO 27002, which is easier to use

The update of ISO 27002 is simplified, modernized, and easier to use.  

First, the standard benefits from a simplified organization: previously divided into 14 chapters (some with somewhat convoluted titles…), security measures are now grouped into 4: organizational measures, people-related measures, physical measures, and technological measures.  

This edition also gives rise to a (new) reduction in the number of security measures, from 114 to 93 (133 measures were included in the initial version from 2005). The content of the measures globally remains close to the previous version, but they have been reorganized. The changes are summarized below:

Note that Annex B details the correspondence between the requirements of the old and new versions of the standard: this will be a very useful tool for organizations in the transition phase (at least for updating the risk management plan and the statement of applicability).

11 new measures have been added to the standard, addressing some of the shortcomings of the previous version as well as alterations in recent years:

• Three measures reinforce data protection: the deletion of non-essential or expired information (Information Deletion), prevention of information leakage (Data Leakage Prevention) and the masking of sensitive information (Data Masking). It should be noted that the standard neither obliges nor limits the application of these measures to personal data: each organization is free to choose whether or not to apply these measures according to its risk assessment and to apply them to the categories of information that are appropriate to its context.
• The operational resilience component has also been strengthened by four measures: the integration of intelligence on threats related to information security (Threat Intelligence), monitoring of abnormal behavior on information systems to detect security incidents (Monitoring Activities), monitoring of physical access and intrusion detection (Physical Security Monitoring) and the integration of digital operational resilience for  organizational business continuity (ICT Readiness for Business Continuity).
• A single measure dedicated to the security of cloud services (Information Security for use of Cloud Services) has been introduced, inviting organizations to define a process for managing these services from subscription to termination, integrating their chosen security measures.
• The three complementary measures strengthen IS protection at different levels:
  • A measure related to the hardening and protection of configurations (Configuration Management)
  • A measure related to the security of developments (Secure Coding)
  • A measure aimed at defining a filtering policy for Internet access (Web Filtering)

Another major new feature (only present in ISO 27002) to facilitate the appropriation and use of the standard, is the implementation of a description of each measure, which presents five attributes that can contain one or more values among the following:

• Type of security measure: #Preventive, #Detective and #Corrective
• Information security properties: #Confidentiality, #Integrity, #Availability
• Cybersecurity concepts: #Identify, #Protect, #Detect, #Respond, #Recover
• Operational Capabilities: #Governance, #Asset_management, #Information_protection, #Human_resource_security, #Physical_security, #System_and_network_security, #Application_security, #Secure_configuration, #Identity_and_access_management, #Threat_and_vulnerability_management, #Continuity, #Supplier_relationships_security, #Legal_and_compliance, #Information_security_event_management, #Information_security_assurance
• Security domain: #Governance_and_Ecosystem, #Protection, #Defense, #Resilience

For example, the new Threat Intelligence metric covers the three security criteria #Confidentiality, #Integrity and #Availability.

These attributes facilitate analysis beyond a simple chapter-by-chapter approach, and thus provide real value: for example, the cybersecurity concepts correspond to the dimensions of the NIST (National Institute of Standards and Technology) Cybersecurity Framework (CSF), an internationally recognized standard widely used by organizations. The reconciliation of ISO 27002 and NIST CSF measures will thus be possible, meeting the constraints of many organizational functions (regulatory, audits, reporting, etc.).

The operational capabilities are the closest to the 14 chapters of the previous version of the standard: these operational capabilities can thus facilitate the organization of the IS Security Policy and the associated repository by limiting the impacts on a repository aligned with the previous version.

Overall, these attributes offer greater flexibility to organizations that can now build their security repository more freely according to their contexts and requirements.

Transitioning to the 2022 version

For organizations already certified to ISO 27001, the transition effort will be linked to changes in security measures, as the alterations to the ISO 27001 content require only a limited investment. However, the following actions will need to be undertaken:

1. Update the ISMS Manual:
   • Clarify interested parties’ expectations and which ones are addressed by the ISMS
   • Update the ISMS improvement management process to include ISMS change management
   • Insert a process summary diagram to show the interactions between processes
2. Document the security objectives and implement indicators to monitor their achievements
3. Ensure that performance and efficiency criteria are defined for each process
4. Ensure that externally provided products and services are included in the ISMS (or integrated into it, as appropriate)
5. Include in the management review the changes of interested parties’ expectations, by identifying those that are covered by the ISMS

In order to address the evolution of these measures, the next update of organizations’ information security risk assessments and risk treatment plans should measure the compliance of the ISMS with the new measures and organize and plan the implementation of any new measures selected. The statement of applicability will then have to be reorganized and updated to integrate the new measures.

The IS Security Policy (including the associated repositories: charters, directives, processes, procedures, standards…) will also have to evolve to consider the evolution of ISO 27001 Annex A. The use of attributes and Annex B of ISO 27002 will facilitate this change for all organizations.

In terms of timing, as ISO 27001:2022 was published in October 2022, organizations can now require ISO 27001:2022 certification. However, it is still possible to apply for ISO 27001:2013 certification until October 2023. From November 2023 onwards, any new certification will be based on the 2022 version of the standard.

For ISMS which are already certified ISO 27001, the transition period is 3 years maximum to switch to the 2022 version.

The specific case of organizations certified as Health Data Hosts (HDS)

Since April 1^st, 2018, organizations based in France and hosting personal health data according to the conditions detailed in Article L1111-8 of the French Public Health Code must have a Health Data Host (HDS) certification, requiring as a prerequisite an ISO 27001 certification.

As the standard has not changed since it came into effect, the HDS certification requirements are still based on the 2013 version of the ISO 27001 standard. The call for comments made at the end of 2022 on the draft of the new HDS standard nevertheless integrates the new version of ISO 27001 (although the table of reference documents still points to ISO 27001:2013). The future HDS certification standard, which is expected to come into effect in April 2023, will therefore be based on the new version of the ISO 27001 standard.

It should be noted that the evolution of the HDS standard will also clarify some of the hard points of HDS certification mentioned in our previous articles, such as the scope of application of activity 5 “Administration and operation of the information system containing health data”.

Conclusion

These new versions of the ISO 27001 and ISO 27002 reference standards thus enable information security measures to be adapted to recent changes in the field, so that organizations can benefit from the most up-to-date arsenal for dealing with their information security risks.

While a growing number of regulations are based on these standards, such as the obligation of ISO 27001 certification for Health Data Hosts in France or for Essential Services Operators in Belgium, this new version allows organizations to reinforce their level of maturity without forcing them to make loss-making investments during the transition phase. These investments will be mainly focused on the consideration of new security measures relevant to the treatment of the organization’s security risks.

Cet article The Evolution of the ISO 27001 and ISO 27002 Standards: Impacts on Organizations est apparu en premier sur RiskInsight.

The NIS directive is the first initiative of EU-wide legislation on cybersecurity. Its goal is to ensure a high and common level of security for European information systems and networks. To achieve this objective the directive focuses on four key points:

• Consolidating the member states’ national cybersecurity capabilities
• Creating a political and organizational cooperation framework on cybersecurity across the EU,
• Ensuring the cybersecurity of operators of essential services (OES). OES are private or public entities providing essential services for the maintenance of economic and societal activities. The provision of these services depends on network and information systems.
• Ensuring the cybersecurity of digital service providers (DSP). DSPs are defined as “any service normally provided for remuneration, at a distance by electronic means and at the individual request of a recipient of services”[1]. Three types of services are mentioned in the NIS Directive: Cloud computing services, online marketplace and online search engines.

On the one hand, the security of operators of essential services is a sovereign prerogative of states while onn the other hand, the role of the EU is to ensure the proper functioning of the European market. In order to reconcile these two objectives, the NIS directive clearly states that: “This Directive should be without prejudice to the possibility for each Member State to take the necessary measures to ensure the protection of the essential interests of its security, to safeguard public policy and public security, and to allow for the investigation, detection and prosecution of criminal offences.”[2]. Each country can therefore adapt the legislative text to fit its priorities and strategic objectives as well as to guarantee its security and that of its networks and information systems. The NIS directive, however, sets common requirements in terms of; transposition of the directive into national legislation, of sectors concerned, of risk identification, of supervision, of implementation of technical and organisational measures, of cyber incident notification, and of sanctions in case of non-compliance.

This analysis brings together elements on the transposition of the NIS directive in each of the 27 member states of the European Union, as well as in the United-Kingdom and Switzerland. It highlights the various approaches and underlines the similarities and differences between countries, especially in the context of the upcoming evolution of the legislative text. Indeed, a proposal to revise the NIS directive has been adopted by the European Commission in December 2020 and aims at replacing the original text.

An achieved transposition for certain themes…

Different types and numbers of legislative texts to transpose the NIS

The transposition of the NIS occurred in all the national legislations of EU member states. However, there is heterogeneity in the type of legislative text adopted. In most countries, the transposition takes the form of a law (twenty-two countries), to which thirteen countries have added at least on other legislative text (ordinance, decree, regulation, amendment or ministerial decision). In two countries, the transposition took place in each sectoral law which increases the number of legislative texts (four texts or more).

A general implementation of cyber incident notification processes

All countries managed to implement cyber incident notification processes. Once again, there are various approaches depending on the country.

There are six different procedures for transmitting alerts during a cyber incident:

• In the first case (nine countries), the operator of essential services must first notify the competent national authority of the occurrence of a cyber incident,
• A second process (ten countries) exists in which the first point of contact is the CSIRT, the Computer Security Incident Response Team, also called CERT (Computer Emergency Response Team),
• In a lower number of cases (three countries), the OES must notify the competent sectoral authority,
• The notification of cyber incident is carried out via a secure platform in four countries.
• Even less frequently (two countries), the single point of contact (SPOC) has to be alerted.
• Finally, for one country (Hungary), the OES alerts an event management centre.

In addition, all member states must notify the point of contact of a member state, if it is also affected by the cyber incident, and must inform the public when necessary.

To comply with the constraints imposed by the NIS, certain states have even gone further

The NIS directive initially applies to the following sectors: transport, energy, health, drinking water, banking, finance, and digital. In the transposition, more than half of the analysed countries added other essential sectors and sub-sectors in addition to the seven previously mentioned. They are listed below, sorted by frequency of occurrence :

• Austria, Croatia, Cyprus, Lithuania, Malta, Slovakia, Spain and Switzerland also mention public administration,
• Cyprus, Estonia, Germany, Lithuania, the Netherlands, Slovakia, Spain and Switzerland add information and communication technologies and IT.
• Estonia, France, Germany, Hungary, Lithuania, Slovenia, Spain, Switzerland add
• The Czech Republic, Lithuania, the Netherlands, Spain complete the list with industry.
• Estonia, Germany and Switzerland also mention heating and housing.
• Lithuania and Slovakia subjoin defence, Switzerland national security.
• Lithuania and Slovenia add the protection of the environment.
• France is the only one to add education.
• Spain is the only one to mention space and research centres.

… However, the variation needs to be finalized on other themes.

Strong disparities on state supervision

Several categories and different levels of control are exercised by authorities to certify compliance with the NIS. The strong disparities concern in particular the authorities ensuring the control (national or sectoral authority) as well as the expected level of control (supervision, inspection, audit, evaluation…): there is no consensus around the process to adopt. Moreover, six countries do not provide any information on the type of supervision implemented.

Heterogeneous level and diffusion of security measures

Except for six countries for which no information has been given on the type of security measures implemented, there are two main approaches:

• The security measures are directly mentioned in the body of the legislative text(s) transposing the NIS (eleven countries),
• They are enumerated in; a guide, a list of recommendations, an online publication and established by different entities (government, regulation, decree…) in twelve countries.

For the measures included in the body of the legislative text(s), there are similarities on their organisation:

• The international norm ISO27001 and the cybersecurity framework NIST are used as models to establish the security measures in respectively four and two countries.
• The same six categories (security of systems and installations, handling of incidents, business continuity management…) are used in four countries.

Different amount and format of penalties

The financial penalty for not complying with the directive varies in the different countries and can range from less than a 100k€ to 20M€ maximum (except for Finland which has not implemented any sanctions). Most countries have chosen to apply a fine of less than 200k€ (eighteen countries) whereas four countries have decided that the maximum should be beyond 1M€. It should also be noted that the sanctions are likely to accumulate in the event of multiple non-conformities, which does not make the overall maximum amount of a sanction a certainty.

Imprisonment sentences have been implemented in two countries (Belgium and Cyprus).

Finally, four countries have not yet communicated the penalties in case of non-compliance.

Conclusion

The goal of the NIS directive was to address the unequal levels of security of networks and information systems within the European Union. To achieve it, it has now been transposed in all the member states. This has led to the creation of a common security framework while also leaving the possibility for states to ensure their security and the protection of their essential and strategic interests. Indeed, each country designates its operators of essential services and chooses the sectors it deems the most strategic to protect. In addition, the transposition of the directive as well as the supervision and cyber incident notification processes are carried out by the authority deemed competent. This is non dependantwhether national or sectoral, whether it is the CSIRT or the single point of contact. This flexibility makes it possible for the NIS to adapt to the organisation of all member states. There are visible similarities creating groupings between the countries, as well as major dissimilarities. These leave room for many variations and make the comparison relevant and rich.

A proposal to revise the NIS directive  was adopted in December 2020, but its provisional calendar has not yet been communicated. However, its main objectives has  been listed and includes reaching a higher level of cybersecurity and more homogeneous processes within the EU, while further increasing the cooperation between member states. The revision of the NIS directive revolves around;

• the abandonment of the distinction between OES and DSPs
• the designation of OES by the Directive and not the states
• the creation of a new European network for major cyber incidents
• imposition of CSIRTs supportive of entities,
• the control by the states of the technical and organisational measures implemented (for risk analysis and crisis management).

These changes will be detailed further in a new article.

Sources :

Directive Network and Information System – Article ANSSI Link: Link to the article on NIS Directive

Directive (EU) 2016/1148 of the European Parliament and of the Council of 6 July 2016 concerning measures for a high common level of security of network and information systems across the Union Link : Link to the NIS Directive

On Digital Service Providers (DSPs) – ANSSI Article – May 23rd 2018 Link : Link to the article on DSPs

On Operators of Essential Services (OES) – ANSSI Article Link : Link to the article on OES

Proposal for a DIRECTIVE OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on measures for a high common level of cybersecurity across the Union, repealing Directive (EU) 2016/1148 Link: Link to the proposal of the revised NIS Directive

[1] Directive (EU) 2015/1535 of the European Parliament and of the Council of 9 September 2015.

[2] Directive (UE) 2016/1148 of the European Parliament and of the Council of 6 July 2016.

Cet article While preparing the NIS 2, update of the European overview of NIS transposition by the Member States…toward convergence ? est apparu en premier sur RiskInsight.

Why Digital Operational Resilience Act (DORA)?

DORA is part of an EU-wide “Digital Finance Package”, aimed at making sure the financial sector can leverage opportunities brought by technology and innovation whilst mitigating the new risks associated. This package involves regulation on crypto assets, blockchain technology, and digital operational resilience.  

With the Digital Operational Resilience Act, the EU aims to make sure financial organisations mitigate the risks arising from increasing reliance on ICT systems and third parties for critical operations. Organisations need to be able to “withstand, respond and recover” from the impacts of ICT incidents, thereby continuing to deliver critical and important functions and minimising disruption for customers and for the financial system. This means establishing robust measures and controls on systems, tools and third parties, having the right continuity plans in place, and testing their effectiveness.  

This global, large scope regulation is coming in to rationalise an increasingly fragmented regulatory landscape on the topic, with a number of local regulatory initiatives in member states and smaller scope EU guidelines on related topics (e.g. testing requirements, management of ICT third party dependencies, cyber resilience). Setting up a global regulatory framework will ensure there are no overlaps or gaps in regulation and maintain good conditions for competition in the single market.  

DORA also fits into a worldwide trend in regulation on resilience for the financial sector, pioneered by the Bank of England’s (FCA and PRA) consultation papers on operational resilience and impact tolerances, and followed by principle-based papers on operational resilience from the Bank of International Settlements (BIS) and the Federal Reserve.  

DORA in a nutshell: what does it change?

Contrary to the FCA/PRA, the Federal Reserve and the BIS, DORA focuses on solely resilience to ICT-related incidents and introduces very specific and prescriptive requirements. It is not just a set of guidelines but rather criteria, templates and instructions that will shape how financial organisations manage ICT risk. It demonstrates that EU regulators want to be very hands-on on the topic, with a lot of reporting, communication and assessments that need to happen frequently, enabled by standardised MI and reporting.  

DORA introduces requirements across five pillars:  

• ICT risk management 
• ICT incident reporting 
• Digital Operational resilience testing 
• ICT third-party risk management  
• Information and intelligence sharing 

Some of the requirements are straight-forward and largely built on what is already being done in organisations (for example, the risk management framework that needs to be developed is similar to industry standards like NIST); but some are also challenging and will mean organisations need to launch some work to be compliant. We have summarised the requirements and these key challenges to start addressing now for each of the 5 pillars.  

1. ICT risk management

Why? Ensure specific measures and controls are in place to limit the disruption to the market and to consumers caused by incidents, and ensure accountability of the management body on ICT risk management.   

Key requirements: Firms will need to follow governance principles around ICT risk, with a focus on accountability of the management body. They will need to identify their risk tolerance for ICT risk, based on the risk appetite of the organisation and the impact tolerance of ICT disruptions. They will also need to have a risk management framework in place that includes identification of critical and important functions, risks associated and a mapping of the ICT assets that underpin them; as well as specific protection, prevention, detection, response and recovery plans and capabilities, continuous improvement processes and metrics, and a crisis communication strategy with clear roles and responsibilities.  

Biggest challenge: As part of the continuous improvement processes, DORA introduces compulsory training on digital operational resilience for the management body but also for the whole staff, as part of their general training package.  

2. ICT incident reporting

Why? Harmonise and centralise reporting of incidents to enable the regulator to react fast to avoid spreading of the impact, and to promote collective improvement and firms’ knowledge of current threats to the market. 

Key requirements: DORA introduces a standard incident classification methodology with a set of specific criteria (number of users affected, duration, geographical spread, data loss, severity of impact on ICT systems, criticality of services affected, economic impact) with thresholds that are yet to be published. Following this methodology, incidents classified as major will have to be reported to the regulator within the same business day, following a certain template. Follow-up reporting will also be required after a week, and after a month. These reports will all be anonymised, compiled, and released regularly to the whole community.  

Biggest challenge: Firms will need to change their incident classification methodology to fit with the requirements. They will also need to set up the right processes and channels to be able to notify the regulator fast in case a major incident occurs. Based on what gets classified as “major”, this might happen frequently. To help organisations prepare, we anticipate that the incident classification methodology will align with the ENISA Reference Incident Classification Taxonomy.  

3. Digital Operational Resilience testing

Why? Ensure that financial entities test the efficiency of the risk management framework and measures in place to respond to and recover from a wide range of ICT incident scenarios, with minimal disruption to critical and important functions, in a way that is proportionate to their size and criticality for the market. 

Key requirements: With DORA, all firms must put in place a comprehensive testing programme, including a range of assessments, tests, methodologies, practices and tools, with a focus on technical testing. The most critical firms will also have to organise a large-scale threat-led live penetration test every 3 years (red team type exercise), performed by independent testers, covering critical functions and services and involving EU-based ICT third parties. The scenario will have to be agreed by the regulator in advance and firms will receive a compliance certificate upon completion of the test. More guidance for these tests, as well as the criteria which defines a critical firm, will be published in 2021. 

Biggest challenge: It is likely that critical firms will need to organise this threat-led penetration test by the end of 2024 and this type of test requires a lot of preparation. The fact that it needs to involve critical ICT third parties will also mean they need to be involved in the preparation. Firms that believe they will be in scope (might be firms already in the scope of NIS regulation) should start thinking about the scenario as soon as possible to enable validation with the regulator at least 2 years before the deadline.  

4. ICT third party risk management

Why? Ensure that financial organisations have an appropriate level of controls and monitoring of their ICT third parties, especially the ones that underpin critical functions; and set up specific oversight on providers that are critical to the market as a whole.  

Key requirements: With this regulation, the EU introduces requirements on both financial organisations and critical ICT providers.  

• Financial organisations will need to have a defined multi-vendor ICT third-party risk strategy and policy owned by a member of the management body. They will need to compile a standard register of information that contains the full view of all their ICT third-party providers, the services they provide and the functions they underpin; and report on changes to this register to the regulator once a year. They will need to assess ICT service providers according to certain criteria before entering a contract (e.g. security level, concentration risk, sub-outsourcing risks), and they will need to plan for an exit strategy in case of failure of a provider. DORA also contains guidelines for contract contents and reasons for termination of contract, which has to be linked to a risk or evidence of non-compliance at the provider level.  
• Under a new Oversight Framework, critical providers will be the subject of annual assessments against resilience requirements such as availability, continuity, data integrity, physical security, risk management processes, governance, reporting, portability, testing… These assessments will be performed directly by the regulator and will result in penalties for non-compliance.  

Biggest challenge: Collating information on all ICT vendors (not only the most critical), with the services provided and functions they underpin for the register of information will be a very big task for large financial organisations that typically rely on thousands of big and small providers and legacy contract management systems that make it difficult to mine data from.  

5. Information and intelligence sharing

Why? Promote sharing of information and intelligence on cyber threats between financial organisations to enable them to be better prepared.  

Key requirements: DORA introduces guidelines on setting up information sharing arrangements between firms for cyber threats, including confidentiality requirements and the need to notify the regulator.  

Biggest challenge: We do not see any particular challenge in this space as many organisations already have such agreements in place. It will be an opportunity to make local initiatives, networks or associations visible and encourage more companies to become part of them.  

What happens next?

DORA is currently going through the EU legislative process and it is expected to take 6-12 months before it becomes law. A few questionable topics might lead to some debates and slow down the process, especially on third-party management: restrictive criteria for organisations to terminate contracts, banned non-EU based critical third parties, penalty system and financing of the Oversight framework by the critical providers. There are also details that still need to be published to clarify some of the requirements (e.g. templates, criticality criteria and thresholds…), which might also create some debates.  

Once DORA is passed, firms should have one year to get into compliance with most of the requirements (i.e. probably by the end of 2022 – but this one-year deadline is short and we anticipate it may shift to 18 months following market feedback) and 3 years to organise a large-scale penetration test if required (i.e. probably by the end of 2024).  

In order to be ready, we recommend organisations take the following steps in 2021:  

• Perform a maturity assessment against the DORA requirements, with associated gap analysis and mitigation plan to reach compliance by the end of 2022 
• Begin thinking about a scenario for the large-scale penetration test, aiming to get it validated by the regulator by mid-2022 
• Start work on consolidation of the register of information for all ICT third party providers 

Cet article Decrypting DORA: what does it mean for Resilience of financial organisations? est apparu en premier sur RiskInsight.

OSE, acteur clef des services essentiels économiques et sociétaux belges

Si votre organisation a été désignée comme OSE, c’est parce qu’elle fournit un ou plusieurs services essentiels au maintien d’activités sociétales et économiques critiques, pour la Belgique, et plus largement pour l’Union Européenne (UE). En effet, la Directive Européenne NIS publiée en 2016 (security of network and information systems – UE 2016/1148), a pour objectif d’assurer un niveau commun élevé de sécurité des réseaux et des systèmes d’information au sein de l’UE. Cette directive a été transposée dans le droit belge en mai 2019 et permet de désigner une entité publique ou privée comme OSE si elle répond aux critères suivants :

Depuis novembre 2019, les notifications de désignation s’établissent dans les secteurs de l’énergie, du transport aérien et de la finance. Le secteur de la santé, quant à lui, a annoncé qu’aucun OSE ne sera désigné en 2020.

Votre entreprise coche toutes ces cases ? Sachez que l’autorité sectorielle peut ajouter des critères spécifiques afin de juger du degré de criticité des services : par exemple, la part de marché de l’entreprise, ou l’ampleur de la zone géographique susceptible d’être touchée par un incident. (Loi 2019-04-07/15. Art.13).

Quelles obligations après sa notification ?

Être désigné OSE implique de protéger les systèmes d’information qui permettent la fourniture du ou des services essentiels identifiés. Sécuriser un service essentiel revient à s’assurer de la disponibilité, la confidentialité et l’intégrité des systèmes d’information dont il est tributaire (Loi 2019-04-07/15. Art.24). Pour ce faire, la Belgique demande aux OSE de faire certifier leurs systèmes d’information critiques à la norme ISO 27001 (Loi 2019-04-07/15. Art.22). Cette norme demande la création d’un Système de Management de la Sécurité de l’Information (SMSI) avec la mise en œuvre de processus et de mesures de sécurité.

Les principales étapes et échéances de la loi NIS belge

La Loi du 7 avril 2019 établissant un cadre pour la sécurité des réseaux et des systèmes d’information d’intérêt général pour la sécurité publique, dite Loi NIS belge, prévoit un délai de mise en conformité en 3 ans et 2 mois et demi maximum après la notification de désignation de l’OSE. La loi prévoit ainsi différentes étapes et échéances précises :

3 mois après la désignation, l’OSE doit fournir :

• Une description détaillée des systèmes d’information dont ses services essentiels sont tributaires. La toute première chose à faire est donc de délimiter le périmètre des services essentiels au niveau business et IT, (Loi 2019-04-07/15. Art.16)
• Un point de contact (Loi 2019-04-07/15. Art.23)

Au plus tard 12 mois après la notification de désignation : l’OSE initie une Politique de Sécurité Informatique (PSI) (rt.21) et réalise un premier audit interne sous 3 mois.

24 mois après le premier audit interne (soit environ 3 ans après la notification de désignation), c’est le grand jour : un audit externe doit être conduit en vue de l’obtention de la certification ISO 27001.

Comment se déroule une mise en conformité ISO 27001 ?

Comme tout système de management, le SMSI doit garantir l’application de la méthode PDCA « Plan-Do-Check-Act », aussi appelée « Roue de Deming », pour assurer l’amélioration continue des performances. 6 activités fondamentales se dégagent de la norme ISO 27001 :

De manière pragmatique, la norme ISO 27001 requiert des livrables et des validations à plusieurs étapes clefs du processus de mise en conformité. Ci-dessous, nous vous proposons une chronologie des actions à réaliser avec les livrables associés, ainsi qu’une estimation du temps nécessaire pour chaque étape du parcours de mise en conformité.

Plus précisément, les étapes se déroulent comme suit :

1 – Définition du périmètre (sous quelques semaines) : c’est la première étape clef pour déterminer le domaine d’application sur lequel les exigences de la norme vont porter. L’étendue du service essentiel est alors définie d’un point de vue business et IT, détaillant les activités, les équipes et les systèmes concernés.

2 – Phase de cadrage du SMSI (entre 2 et 6 mois) :

• 2.1 – Réaliser le bilan de conformité en comparant, sur le périmètre identifié, les pratiques réalisées aux exigences des normes ISO 27001 et ISO 27002 afin de relever les écarts. Le résultat de cette étape donne à la fois le niveau global de maturité de sécurité du périmètre et la feuille de route de mise en conformité par volet sécurité.
• 2.2 – Conduire l’analyse de risques. Cette étape se concrétise en trois actions.
• A – Définir la méthodologie de l’analyse de risques (si celle-ci n’existe pas). Afin de pouvoir piloter les risques dans la durée, elle doit être reproductible (mise à jour annuelle et en cas de changement majeur sur le périmètre). La méthodologie définit des échelles de probabilité, d’impact, et des seuils d’acceptation des risques en fonction des enjeux business et IT présents sur le périmètre du service essentiel.
• B – Conduire la 1ère analyse de risques sur le périmètre du service essentiel. Sur la base d’entretiens avec des interlocuteurs business et IT, l’analyse permet à la fois d’identifier les enjeux, les menaces et les vulnérabilités pour déterminer les risques du périmètre et permettre la définition du plan de traitement des risques.
• C – Déterminer le Plan de Traitements des Risques (PTR) destiné à organiser l’implémentation des mesures de sécurité. En collaboration avec l’équipe sécurité, les propriétaires de risques sont identifiés et doivent, pour chaque risque, décider du traitement (réduction, transfert ou acceptation) et valider le plan d’action associé. L’ensemble de ces mesures identifiées constitue le Plan de Traitement des Risques (PTR), établissant les traitements prioritaires à réaliser, en estimant notamment les ressources nécessaires et le planning de mise en oeuvre. Après validation des actions du PTR, le niveau de risques résiduels est alors complété dans l’analyse de risques.
• 2.3 – Valider le périmètre de certification. Cette étape met fin à la phase de cadrage et se concrétise par deux livrables : un descriptif précis du service essentiel du point de vue business et IT et la déclaration d’applicabilité (DdA). La DdA correspond à la liste des mesures de sécurité de la norme ISO 27002 retenues pour répondre aux besoins de mise en conformité du SMSI selon les enjeux et les risques identifiés. Pour les mesures non retenues, l’OSE doit justifier l’exclusion de ces mesures. La DdA sert par la suite de référentiel pour les audits.

3 – Phase d’implémentation (entre 9 mois et 2 ans selon le périmètre défini et le niveau de maturité de sécurité existant)

• 3.1 – Définir la PSI (Politique de Sécurité des Systèmes et des Réseaux d’Information). Ce document a deux fonctions : il sert à la fois à lister les grands objectifs de sécurité de l’information établis par l’organisation sur un périmètre donné ainsi que les mesures à mettre en place pour les réaliser, mais il fait aussi office de preuve d’engagement de l’entreprise à satisfaire les exigences de la norme et à œuvrer pour l’amélioration continue du SMSI. Ce document, une fois émis, doit être disponible et diffusé au sein de l’organisation et doit également être mis à disposition de toutes les parties prenantes.
• 3.2 – Définir, documenter et mettre en œuvre les processus clefs ISO 27001 : gestion des risques, gestion de l’exploitation, gestion des incidents, communication et sensibilisation, gestion du référentiel documentaire, gestion de l’amélioration continue, etc. Des pratiques à définir avec une attention particulière à les intégrer dans le contexte existant pour une meilleure appropriation par les équipes.
• 3.3 – Mettre en œuvre les chantiers sécurité selon le PTR
• 3.4 – Conduire un premier cycle de contrôle, à savoir : suivre les indicateurs de performance dans un tableau de bord et mesurer l’atteinte des objectifs de sécurité, réaliser des audits internes sur les périmètres à forts enjeux afin d’identifier les écarts entre les pratiques et les exigences de la norme et du référentiel du SMSI. Enfin, assurer la ou les premières revues de direction pour présenter les résultats du SMSI, valider les orientations et prendre les décisions pour traiter les non-conformités et opportunités d’amélioration continue (agenda prévu par la norme)
• 3.5 – Piloter l’amélioration continue du SMSI jusqu’à l’audit externe : au fur et à mesure des incidents, des résultats du tableau de bord et de ceux des audits internes, l’OSE identifie les non-conformités résiduelles et détecte les opportunités d’amélioration continue à faire valider par l’équipe SMSI

4 – Audit externe : c’est l’évaluation décisive pour l’obtention de la certification. Cette étape se décompose de façon prévisible en 3 actions : préparer les équipes à l’audit externe, participer à l’audit externe et… obtenir la certification !

L’audit externe est mené par un organisme de certification qui examine, sur la base des référentiels de la loi NIS belge (Loi 2019-04-07/15), de la norme ISO 27001, de la PSI et de la DdA validée par l’OSE, que les pratiques et la documentation sont bien conformes aux exigences indiquées et effectivement appliquées selon le principe de l’amélioration continue des systèmes de management.

Vous en savez désormais plus sur la Loi NIS belge et la norme ISO 27001, on espère que vous vous sentez plus armé pour mettre en oeuvre votre SMSI. Dans un prochain article, vous découvrirez quelques conseils issus de nos retours d’expérience pour réussir votre certification ISO 27001 et la maintenir dans la durée.

Cet article OSE belges : comment réussir votre mise en conformité NIS et obtenir votre certification ISO 27001 ? est apparu en premier sur RiskInsight.

Deux ans après, quel bilan ?

L’un des principaux changements induit par la certification est la délivrance des certificats HDS par un organisme indépendant accrédité par le Comité Français d’Accréditation (COFRAC), et non plus par l’Agence des Systèmes d’Information Partagés de Santé (ASIP Santé), devenue l’Agence du Numérique en Santé (ANS) fin 2019. Sept organismes ont franchi le pas et sont désormais accrédités. Ces organismes avaient tout intérêt à se mobiliser rapidement pour anticiper les nouvelles demandes de certification ISO 27001 et HDS et ainsi augmenter leur part de marché.

Et la demande est importante ! Au 21/02/2020, 89 organisations ont déjà obtenu la certification HDS, soit près de 4 certifiés par mois. Parmi elles, certaines disposaient déjà d’un agrément Hébergeur de Données de Santé.

Figure 1. Répartition des organisations certifiées Hébergeur de Données de Santé (HDS)

Sans surprise, la majorité des acteurs ayant obtenu la certification HDS sont des entreprises proposant des services d’hébergement et d’infogérance, incluant des fournisseurs cloud internationaux, et des éditeurs de logiciels. Ils représentent à eux seuls 83% des certifiés. Poussés principalement par des motivations économiques, ces acteurs mettent tous les arguments de leur côté pour conserver leurs clients et élargir leur portefeuille aux organisations ne souhaitant pas se lancer dans l’aventure de la certification HDS.

D’autres sociétés telles que des fournisseurs d’équipements biomédicaux ou de biotechnologies, des groupements de santé (Groupement d’Intérêt Public, Groupement de Coopération Sanitaire) ainsi qu’une mutuelle ont également franchi le cap, mais restent précurseurs dans leur domaine d’activité.

Et les établissements de santé ?

À date, seuls 3 groupements d’établissements de santé privés sont certifiés HDS, mais ce chiffre pourrait augmenter très prochainement. En effet, les Groupements Hospitaliers de Territoire (GHT) sont en cours de mise en œuvre de leur Système d’Information convergent, projet qui devrait s’étendre sur une durée plus longue qu’initialement anticipée dans de nombreux GHT. Ainsi qu’évoqué dans notre précédent article, ces travaux peuvent ainsi amener l’établissement support d’un GHT à héberger des données de santé pour le compte des autres établissements. Deux choix s’offrent alors à lui :

• Obtenir la certification HDS. C’est l’option vers laquelle devraient se tourner la plupart des établissements de taille importante. En effet, la taille de leur DSI leur permet généralement de réaliser le projet et d’offrir le service à long terme au GHT. Afin de se laisser le temps d’obtenir la certification HDS, certains d’entre eux optent pour un hébergement temporaire des applications mutualisées chez un acteur déjà certifié ou encore agréé HDS ;
• Externaliser l’hébergement des données de santé chez un acteur certifié. Cette option sera notamment plébiscitée par les établissements de taille limitée, pour qui l’investissement associé à une certification parait disproportionné. Ces établissements pourront par exemple privilégier un hébergement auprès d’acteurs certifiés HDS de taille comparable, qui seront plus à même de s’adapter à leurs besoins, et qui auront l’habitude de travailler avec des établissements de la santé.

Quels sont les principaux chantiers d’une mise en conformité HDS ?

La certification HDS reposant en premier lieu sur une certification ISO 27001, les recommandations de mise en œuvre de nos précédents articles restent applicables. Au-delà de la mise en place du Système de Management de la Sécurité de l’Information (SMSI) et d’un fort accompagnement au changement, les chantiers complémentaires reposent sur des exigences de l’ISO 20000-1 et de l’ISO 27018, ainsi que sur quelques exigences spécifiques santé. Ces chantiers de mise en conformité HDS d’un SMSI peuvent être
répartis en trois domaines :

Figure 2. Chantiers de mise en conformité HDS d’un Système de Management de la Sécurité de l’Information (SMSI)

Pour les organisations déjà certifiées ISO 27001 ou se conformant déjà aux normes ISO précitées, l’effort à fournir pour obtenir la certification HDS est moindre, et peut s’apparenter à un « quick win ».

Pour celles possédant un agrément HDS, la marche à franchir peut rester assez haute. En plus de la formalisation d’un référentiel documentaire plus conséquent que pour l’agrément, le contrôle de la conformité de l’ensemble du périmètre (ou « domaine d’application » au sens de l’ISO 27001) et de la démarche d’amélioration continue par un organisme indépendant spécialisé représente une difficulté additionnelle, gage de la valeur de cette certification.

Enfin, pour les organisations ne disposant d’aucun des accélérateurs précédents, l’effort à fournir dépendra du niveau de maturité vis-à-vis du référentiel de certification.

Quels financements pour les établissements de santé ?

Aujourd’hui, aucun financement direct des projets de certification ou d’externalisation n’est proposé. Cependant, grâce au programme HOP’EN, successeur du programme Hôpital Numérique, 420 millions d’euros sont prévus pour permettre aux GHT de financer la modernisation de leur SI. Ils pourront ainsi se tourner vers ces financements pour la construction de leur SI convergent. Tout comme son prédécesseur, le programme HOP’EN définit des indicateurs permettant aux établissements de mesurer leur maturité vis-à-vis des prérequis et des sept domaines fonctionnels. Une boite à outils a été publiée par l’Agence Nationale d’Appui à la Performance des établissements sanitaires et médico-sociaux (ANAP) pour faciliter l’atteinte des prérequis.

Comment sécuriser l’obtention de la certification ?

En fonction de la maturité de l’organisation, un projet de certification peut représenter une charge et des investissements lourds dans la durée, aussi bien lors du projet qu’à son issue pour assurer le maintien des certifications les années suivantes. Afin de sécuriser l’atteinte de l’objectif, certaines organisations optent pour une stratégie de certification en deux temps : pour commencer, elles se concentrent sur la certification ISO 27001, puis s’attèlent dans un second temps à la certification HDS. Ce choix comporte de nombreux avantages :

• Sécuriser l’obtention de chaque certification en limitant le nombre de nouvelles exigences à respecter et ainsi limiter le risque de non-conformité ;
• Faciliter la conduite du changement et l’appropriation des exigences à atteindre par les équipes : se concentrer sur un référentiel à la fois permet de simplifier la mise en place des nouveaux processus et nouvelles règles de sécurité en réduisant l’ampleur du changement à chaque étape ;
• Se laisser du temps pour mener à bien les chantiers de mise en conformité. Cette option permet de répartir les charges et investissements à réaliser sur une plus longue période. Cela est valable en particulier pour les chantiers techniques de mise en conformité cités précédemment, qui peuvent être particulièrement onéreux et chronophages.

Une seconde bonne pratique pour sécuriser cette certification est de réaliser un audit à blanc, c’est-à-dire un audit préparatoire mais réalisé dans les conditions réelles d’un audit de certification HDS. L’organisation y trouvera deux principaux apports :

• Obtenir l’avis d’un auditeur, indépendant vis-à-vis de l’équipe projet et de l’auditeur de certification, quant à ses chances d’obtenir la certification. L’auditeur aidera également à peaufiner et corriger les derniers détails avant le démarrage de l’audit de certification ;
• Préparer et entrainer les équipes à l’exercice de l’audit, et en particulier les aider à préparer les réponses et preuves à présenter à l’auditeur.

Des évolutions à venir ?

Après moins de 2 ans d’existence, le référentiel s’apprête à subir de grosses modifications. En effet, l’Asip Santé a annoncé en avril dernier la volonté de retirer l’activité 5 du référentiel de certification. Cette activité, concernant l’administration et l’exploitation du système d’information contenant les données de santé, a suscité débat. En effet, les activités d’infogérance pouvant être dissociées des activités d’hébergement, il peut s’avérer difficile voire impossible pour un acteur ne réalisant que les activités d’infogérance d’être consulté sur les choix réalisés en termes de sécurité de l’hébergement, et ainsi de respecter l’intégralité des exigences du référentiel. Les exigences liées à l’activité 5 devraient donc être proposées sous un nouveau format à l’avenir, afin de s’adapter davantage aux activités d’infogérance.

De nombreux établissements de santé, à l’instar des infogérants et les éditeurs de logiciels de santé, espèrent eux aussi un assouplissement du référentiel de certification HDS. Les exigences imposant l’atteinte d’un niveau de sécurité élevé pour la protection des données à caractère personnel, la marche à franchir peut s’avérer très haute pour les établissements. Ainsi, certains d’entre eux ont fait le choix de ne viser que la certification ISO 27001 pour le moment. L’évolution des exigences pour les établissements de santé reste également à surveiller, après l’annonce par la Direction Générale de l’Offre de Soins (DGOS) d’une certification des systèmes d’information hospitaliers en 2020, vouée à centraliser toutes les exigences liées à l’informatisation des établissements de santé.

Une autre évolution majeure possible concerne les GHT et leur obligation réglementaire d’héberger leur SI convergent auprès d’un hébergeur certifié HDS. Cette obligation ne perdure en effet que tant qu’un GHT reste constitué de personnes morales indépendantes. Cette obligation pourrait ainsi devenir caduque en cas constitution d’« établissements publics de santé territoriaux » en lieu et place des GHT, ainsi que proposé dans le récent rapport de l’Inspection Générale des Affaires Sociales (IGAS). Ce changement reste néanmoins peu probable à court et moyen terme.

Ces possibles évolutions ne semblent aujourd’hui pas affecter les demandes de certification ISO 27001, dont le volume continue de croître en France ainsi qu’anticipé dans notre précédent article, avec une croissance de 27% des certificats ISO 27001 entre 2017 et 2018 selon les derniers chiffres publiés par l’ISO. Cette croissance devrait logiquement se poursuivre sur les années à venir.

Cet article Certification Hébergeur de Données de Santé : deux ans déjà ! est apparu en premier sur RiskInsight.

But what exactly is ISO 27701?

The International Standard Organisation (ISO) published in August 2019 its standard ISO 27701, which is an extension of ISO 27001 and is intended to specify and define the processes, objectives and measures to be implemented for the protection of personal data and privacy.

Creating and maintaining a Privacy Protection Management System

Like ISO 27001 standard (the reference for IT security), which aims to create an Information Security Management System (ISMS), its extension ISO 27701 aspires to create a System of Privacy Protection Management.

To do this, the standard amends and supplements the processes, requirements and security measures of ISO 27001 and ISO 27002 with specific recommendations for the processing of personal data.

However, it does not only expand the ISO 27001 and ISO 27002 but also adds specific new requirements that are well known to privacy stakeholders (consent management, transparency, minimization, etc.).

In this context, being ISO 27001 certified is a prerequisite for obtaining ISO 27701 certification.

This parameter mechanically narrows down potential candidates for certification, and makes the effort to provide more consistent: review of existing documents, necessary collaboration between the initial WSIS teams and the new PIMS actors, etc.

Despite this effort, the application of this standard offers an excellent opportunity for organizations to further intertwine processes and teams related to cybersecurity and privacy (e.g. linking the processes of Security Integration in Projects and Privacy by Design).

ISO 27701 certified does not mean GDPR compliant

It is important to note that an ISO 27701 certification is not synonymous with GDPR compliance. Indeed, the main purpose of the standard is to establish worldwide principles and rules around Privacy, in a common language. That said, it should be recalled that national authorities (such as the CNIL) participated in the development of the standard and welcomed its publication.

But then, what are the adherences between the ISO 27701 content and the GDPR content?

Regarding the fundamental principles of the GDPR (consent, rights, legality, etc.), the new standard develops a set of requirements covering all the GDPR topics. As the standard is intended to be international, it remains by nature less precise than the GDPR on some topics (i.e. no precision of the deadline to be respected for notifying the authority). It is therefore the responsibility of PIMS to carry out a gap analysis in order to understand what adjustments need to be made to comply with applicable laws.

In addition, concerning personal data security, the adaptations of the requirements of ISO 27001 and ISO 27002 provide a comprehensive repository for organizations that can be used as a basis for compliance with article 32 of the GDPR (dedicated to data security).

… but it can become the strongest credibility mark in personal data protection and privacy on the market.

The main stake for a company in seeking ISO 27701 certification is to give credibility to its Privacy management system and give confidence to stakeholders (business partners, customers, suppliers, employees, authorities…) that the fundamental principles of privacy protection are considered.

The 27701 “stamp” could quickly become a known and internationally recognized pledge of trust. Like ISO 27001, this new standard ISO 27701 could become an essential criterion in tendering phases.

In this perspective, Matthieu Grall of the National Commission for Data Protection (CNIL) states that with “(…) the increase in the number of complaints and sanctions related to confidentiality and data protection, it is obvious that such a standard was necessary. In addition, organizations must demonstrate to the authorities, and their partners, customers and collaborators that they are trustworthy. However, this standard will greatly contribute to inspiring this confidence. ”

Concretely, for whom and why?

The publication of this standard represents an opportunity for several types of organizations:

• In a B2B relationship: a strong pledge of trust vis-à-vis business partners in the context of a collaboration involving the processing of personal data (i.e. a company managing payroll or carrying out communication or marketing operations on behalf of large organizations).
• In a B2C relationship: the certification of a key perimeter of a company that processes the personal data of its customers en masse (i.e. a distributor in the context of its loyalty program, an insurer in the context of its contractual activities…) can eventually become a significant vector of trust vis-à-vis the customers themselves but also vis-à-vis the authorities.
• Within companies: the standard represents a new benchmark that companies can use to develop a clear and shared audit framework. ISO 27701 certification can also represent a way for DPOs and Privacy teams to make tangible the efforts made with their top management.

While there is still uncertainty about its widespread adoption (particularly due to the 27001 certification barrier), there is no doubt that it can quickly establish itself as a confidence-building measure as well as a new standard for internal audit and control.

The fact remains that the emergence of this standard is a new leap forward with regard to the protection of personal data, on an international scale.

Cet article ISO 27701: one more compliance text or the long-awaited international framework for privacy protection? est apparu en premier sur RiskInsight.

Ressentez-vous une préoccupation des citoyens concernant leur vie privée ?

Ce n’est pas vraiment une préoccupation à ce stade, sauf pour une minorité, environ 5 à 10% de la population d’après certains sondages. Cette minorité comprend la manipulation commerciale dont elle est l’objet et, conséquemment, le poids du ciblage dans son comportement. Le constat intéressant est qu’aujourd’hui ce ne sont plus spécifiquement les « geeks » qui prennent conscience de cette manipulation, mais des profils de plus en plus variés. Cela se traduit pour la grande majorité par un agacement de la population, parfois même une exaspération liée à la sensation d’être un produit. La puissance des géants devient dérangeante, les big tech sont en train de devenir les méchants.

Comment cette évolution se traduit-elle depuis l’entrée en vigueur du RGPD ?

Je ressens une meilleure compréhension des enjeux de protection de la vie privée, notamment lorsque je donne mon pitch. Je pense que les réactions que je récolte sont un bon échantillonnage de l’ère du moment. Il y a 4 ans, je passais parfois pour un fou : « la confidentialité, ça n’intéresse personne », « le modèle GAFA c’est le seul qui fonctionne pour internet », etc. Aujourd’hui, ce n’est plus du tout le cas : c’est un marqueur énorme, très tangible.

Que propose Cozy Cloud pour les aider ?

Aujourd’hui, nos données ne sont déjà pas sous notre contrôle, mais elles sont également dispersées. Ainsi, l’usage que l’on peut en tirer est limité, voire freiné. La vie numérique se fragmente du fait de sa diversification : vie scolaire, parcours de santé, interactions avec les pouvoirs publics, objets connectés, etc. Toutes ces données circulent dans des écosystèmes étanches les uns par rapport aux autres, et cela crée une friction : c’est l’enfer des mots de passe, téléchargements, synchronisations, back-ups, etc. De ce fait, la force d’Apple consiste à créer une intégration, un maillage entre toutes ces données : l’utilisateur reçoit une invitation dans ses mails, elle est ajoutée sur son agenda, qui se synchronise avec son smartphone, lequel conduira bientôt sa voiture à destination… En interconnectant toutes ces données, Apple est devenue l’une des premières valeurs boursières !

Le fait d’ôter de la friction entre ces écosystèmes étanches et d’ajouter de la simplicité aux usages numériques a donc une valeur énorme. Une barrière persiste : l’isolation des données les unes par rapport aux autres. Pour un numérique utile, pratique, commode et personnalisé, il faut réunir les données.

En Europe, le système politique donne à l’individu une place centrale : aujourd’hui, grâce au RGPD, l’individu dispose d’un droit à la portabilité. C’est un droit fort pour l’usager, ainsi qu’un véritable levier pour Cozy Cloud et pour tous ceux qui se veulent des tiers de confiance. Il ne s’agit pas d’un droit de téléchargement, mais véritablement d’un droit au transfert pour l’utilisateur. Ce droit modifie totalement les règles du jeu.

Grâce à ce droit, l’individu est rendu légitime pour réconcilier les données : il dispose, d’une part des logins et mots de passe, d’autre part de la légitimité légale. En appuyant Cozy Cloud sur cette double légitimité, nous offrons à l’individu une plateforme numérique personnelle, dont il garde le contrôle, et dans laquelle il peut centraliser toutes ses données et accéder à de nouveaux services numériques.

Concrètement, quels services proposez-vous aux individus ?

Cozy Cloud, ce n’est pas seulement un coffre-fort « statique » comme on en voit beaucoup. L’utilisateur centralise ses données sur un cloud personnel pour pouvoir y adosser ses services, rajouter des usages et effectuer des croisements entre ses données. Nous appelons cela du « transverse data » : croiser les données issues de sources diverses. L’utilisateur peut par exemple faire le lien entre sa facture d’électricité et un débit sur son compte en banque : nous créons ainsi une véritable fluidité.

De plus, la plateforme permet à l’utilisateur de communiquer avec ses divers fournisseurs, qui se trouvent aujourd’hui dans des univers séparés : désormais, un login et un mot de passe uniques permettent d’échanger avec les différents fournisseurs.

Enfin, la solution permet la mise en place de services numériques à domicile. A l’heure actuelle, il faut laisser collecter la donnée pour pouvoir bénéficier d’un service ; par exemple, EDF envoie chaque mois des centaines de prélèvements automatiques sans savoir lesquels vont être bloqués in fine. L’information qui permettrait d’anticiper ces prélèvements infructueux existe mais EDF ne peut y accéder car cela reviendrait à accéder aux soldes bancaires de ses clients. Cela représente un coût important en frais de gestion, de traitement, de suivi et provoque des frictions dans la relation client. Avec la solution de Cozy Cloud, l’utilisateur récupère et consolide dans sa plateforme ses données bancaires, sa facture et la date de son prochain prélèvement ; de son côté, Cozy Cloud développe un protocole permettant de faire des calculs sur les données présentes dans la plateforme. Ainsi, l’algorithme d’EDF, qui a accès à la donnée mais ne la collecte pas, peut prédire que le prélèvement va être bloqué. De son côté, la banque peut par exemple faire une offre commerciale, et différer le prélèvement. Cette offre se base sur l’accès à une donnée très personnelle, qui relève de notre intimité numérique. Pourtant, jamais EDF ne reçoit la donnée : celle-ci ne sort pas du coffre numérique de l’individu et n’est donc pas dévoilée.

Comment sont gérés les accès et habilitations dans Cozy Cloud ?

C’est un peu similaire à ce que l’on peut retrouver sur nos smartphones : une fenêtre pop-up s’ouvre, par exemple pour demander l’accès à notre liste de contacts. L’accès d’une application à nos données facilite alors de nombreuses actions, par exemple la saisie d’un mail en local. Mais le transfert de données vers l’extérieur pose un véritable problème.

La fenêtre pop-up de Cozy Cloud propose deux options à l’usager : soit un usage local, soit un usage partagé de la donnée.

Quel est l’apport de votre solution pour les organisations ?

Cozy Cloud se fonde sur deux business models successifs.

Tout d’abord, nos clients ce sont de grands comptes, les « brick and mortars », qui bénéficient d’une confiance historique, menacés par les puissances du numérique. Ils veulent se repositionner à l’ère du numérique et valoriser cet asset de confiance : c’est donc du B2B2C. Cozy Cloud est aux « brick and mortars » ce qu’est Android pour le serveur, soit un service valorisant un hardware.

Le second business model interviendra une fois que la plateforme conciliera plusieurs acteurs-clés, tels que les banques ou les opérateurs de télécommunications : Cozy Cloud pourra s’adresser à une partie significative de la population. Il deviendra alors opérateur d’interactions digitales, dans une logique de partage de revenu avec les différents clients. En effet, Cozy Cloud gère l’écosystème et les contrats : lorsqu’un « brick and mortar » signe un contrat, tous les clients de Cozy peuvent bénéficier de sa donnée, avec l’accord de l’utilisateur. Le revenu lié à un client en particulier est matérialisé par la donnée apportée et la commission payée à Cozy Cloud.

Plus concrètement, quelle valeur ajoutée leur proposez-vous ?

On peut valoriser la donnée sans la monétiser pour autant : ce qui a de la valeur, ce n’est pas la donnée en tant que telle, c’est plutôt l’interaction créée entre les données, lorsque celle-ci est pertinente. Les organisations doivent le comprendre. Nous nous positionnons comme un opérateur d’interactions digitales.

Par exemple, lorsqu’un utilisateur achète une télévision à la Fnac, il reçoit la facture dans son cloud personnel ; ainsi son assurance peut lui communiquer des informations utiles, de type « votre nouvelle télé est bien assurée pour le dégât des eaux ». Cette interaction crée de la valeur pour l’assuré, mais également pour l’assureur. Dans ce contexte, l’organisation valorise son rôle de tiers de confiance en offrant davantage de services, mais peut également développer un nouveau métier. Celui-ci consiste, non plus à sécuriser de la donnée, mais à créer un écosystème de services à valeur ajoutée pour l’entreprise, mais aussi utile pour l’utilisateur. Si nous reprenons l’exemple d’EDF et de la banque, l’interaction rendue possible par Cozy Cloud engendre pour EDF un gain d’argent et de temps, qui se monétise. La plateforme Cozy devient ainsi un opérateur d’interactions digitales, somme toute plus intelligentes, tout en restant sous le contrôle des particuliers.

Cette solution pourrait sembler aller à l’encontre de technologies telles que le big data ou le machine learning de prime abord ; en réalité, jamais les entreprises n’auraient pu collecter de telles données et les ajouter à leur base de données. Cela leur permet de ne pas être définitivement désintermédiées, mais au contraire d’accéder à davantage de données.

Cela ne paraît pas nécessairement évident au premier abord : comment les convaincre ?

Il ne s’agit définitivement pas de convaincre les 30 000 PME et grands groupes français. Notre solution s’adresse à des acteurs qui sont aujourd’hui challengés par les nouveaux entrants du numérique. Aujourd’hui, le constat est sans équivoque : les GAFA connaissent mieux les clients des « brick and mortars » que les « brick and mortars » ne les connaissent eux-mêmes. Quand Facebook dépose un brevet sur l’évaluation de risque de crédit bancaire, ce n’est pas parce que Facebook est devenu un banquier : c’est simplement que Facebook a compris qu’il connaissait mieux les clients des banques que les banques elles-mêmes. Et ainsi, Facebook peut devenir banquier, tout comme il peut devenir opérateur d’énergie, de mobilité, de médias, etc. Du fait de l’intimité numérique qu’entretiennent les GAFA avec leurs usagers, ils s’approprient progressivement des verticales métiers.

En revanche, les « brick and mortars » bénéficient d’une confiance historique : banques, télécommunications, assurances mutualistes, pouvoir publics, etc. Nos clients sont des grands comptes, menacés par les puissances du net, qui veulent se repositionner à l’ère du numérique et valoriser cet asset qu’est la confiance. Nous leur proposons de tenir cette position de tiers de confiance, mais également de tirer de nouveaux usages de cette capacité de stockage.

Dans un premier temps, les organisations peuvent avoir la fausse impression de se faire prendre leurs données. Dans la réalité, Cozy Cloud vient les aider à développer des outils et usages plus intelligents. Soit ces organisations ouvrent le pas, et c’est une bonne chose pour elle, soit c’est Google qui le fera…

Cet article Vie Privée à l’ère du Numérique – Interview de Benjamin ANDRE (Cozy Cloud) est apparu en premier sur RiskInsight.

“Qwant, le moteur de recherche qui respecte votre vie privée”

Qu’est-ce que Qwant ?

Qwant est une société française avec des capitaux franco-allemands, dont le premier produit est un moteur de recherche possédant deux particularités. La première est qu’il respecte la vie privée de ses utilisateurs : il ne laisse pas de cookies et ne collecte aucune donnée personnelle. La deuxième est qu’il est souverain et européen. Il couvre les langues européennes et répond à la nécessité stratégique d’avoir un moteur de recherche en Europe car chacune des grandes puissances mondiales possède son propre moteur de recherche. En somme, Qwant se positionne comme un acteur numérique responsable avec un business model raisonnable et éthique.

Qui sont les utilisateurs de Qwant ?

Il est forcément difficile de les identifier. Nous avons des fichiers de logs, pour savoir quelles sont les requêtes qui sont envoyées, savoir là où ont cliqué les utilisateurs et pour comptabiliser les requêtes. Mais parce que nous ne collectons pas de données personnelles, nous ne pouvons pas savoir, par exemple, si une visite sur un site correspond à une première visite ou non.

Globalement, la connaissance que nous avons sur nos utilisateurs provient de sondages. Nous nous rendons ainsi compte que nos utilisateurs sont plus souvent des hommes que des femmes et sont plutôt avancés techniquement. En revanche, les âges des utilisateurs de Qwant sont très disparates.

Quelle était la genèse du projet ?

Je suis arrivé il y a seulement un an mais je connais le président Éric Léandri depuis 4 ans. Avec ses associés, il a d’abord établi le constat d’un important manque de souveraineté numérique alors même que notre économie numérique est basée sur la récolte de données personnelles. Celles-ci permettent de fournir des services personnalisés et de le financer par une publicité ciblée. Qui dit publicité ciblée dit collecte d’un maximum d’information sur la personne connectée.

De notre côté, nous estimons que cette solution n’est pas viable ! Pour instaurer une société numérique éthique et pérenne, il est nécessaire d’établir une relation de confiance avec les utilisateurs. L’exemple de l’affaire Cambridge Analytica tend à montrer que le numérique est aujourd’hui toxique pour nos sociétés.

En utilisant uniquement de la publicité non ciblée, comment vous rémunérez-vous ?

Nous proposons des publicités contextuelles : lorsqu’un utilisateur recherche le terme « vélo », une publicité liée au « vélo » va apparaître. Les informations personnelles, telles que le genre ou l’âge, ne sont pas connues. Paradoxalement, nous observons que le nombre de clics sur la publicité est plus élevé ; le gain lié aux publicités est donc proportionnellement plus élevé. Google a suivi ce business model jusqu’en 2006, époque à laquelle sa valorisation était de 10 milliards d’euros.

Aujourd’hui Qwant n’est pas dans une position de leader par rapport au reste des acteurs ; qu’est-ce qui pourrait changer la donne demain ?

Je vais répondre à côté volontairement : nous cherchons évidemment à obtenir davantage de part de marché. Pour être économiquement pérenne, nous avons besoin d’obtenir 15% du marché en France et 10% sur l’ensemble de l’Europe. Ça serait déjà formidable parce que le marché est énorme et que ça nous suffirait amplement pour vivre et pour que nos actionnaires soient ravis. Je pense que c’est essentiel de rappeler ça ; nous ne pouvons pas dire avec assurance que Qwant n’arrivera jamais à détrôner Google, mais nous pouvons toujours essayer.

Un business model respectueux de la vie privée, est-ce nécessairement un modèle sans aucune collecte de données à caractère personnel ?

Pas nécessairement. Ce qui est certain, c’est qu’il y a avant tout un besoin de repenser le système. Il a des innovations nécessitant la collecte de données qui ne fonctionneront pas sans un changement de dispositif. Je pense par exemple à notre filiale, Qwant Care, qui utilise l’IA sur des données médicales. Nous avons misé sur l’importance du médecin comme intermédiaire de confiance. Le patient va confier ses données médicales au médecin qui va les anonymiser grâce à un identifiant aléatoire avant de les envoyer à Qwant Care pour les faire analyser. Nous renvoyons un résultat et c’est au médecin de réécrire le nom du patient sur le dossier puis de le remettre au patient lors du diagnostic. L’existence d’un tiers de confiance peut constituer un premier pas dans ce sens.

Qwant ne mémorise pas l’historique de navigation, mais seulement les requêtes sans distinction de l’utilisateur. Il peut donc tout de même faire des suggestions dans la barre de recherche. Si vous tapez Donald, vous allez avoir Donald Duck et Donald Trump. Ce système peut cependant s’avérer handicapant car très peu d’utilisateurs utilisent les marques pages et les favoris. C’est néanmoins ce qui permet de ne stocker aucune donnée personnelle. Pour y remédier, nous mettons en place le « learning to rank » : en comptabilisant le nombre de clics par résultat de recherche nous parvenons à réorganiser l’ordre d’apparition des résultats de recherche selon les préférences utilisateurs. Sur la page de recherche Qwant, les résultats n’affichent que le titre et un extrait du contenu : l’amélioration de l’algorithme est donc basée sur l’intuition de l’utilisateur et l’intelligence collective. Par ailleurs, nous travaillons sur un nouvel outil, appelé Masq, qui enregistre les recherches en local sur l’ordinateur ou le mobile. Avec cet outil, l’utilisateur pourra avoir également des suggestions personnalisées, basées sur son propre historique de navigation, sans que Qwant ne l’enregistre sur ses serveurs.

Le problème est qu’en tant qu’utilisateur, nous ne sommes pas vraiment éduqués à l’utilisation de nos appareils. Lorsque vous achetez un Android, vous avez l’impression qu’il faut immédiatement un compte Gmail : ce n’est pas vrai mais c’est prévu pour que vous ouvriez un compte Gmail et rentriez dans l’engrenage. En réalité, nous pouvons faire plein de choses sans compte Gmail. De notre côté, nous avons annoncé un partenariat avec Wiko pour proposer un smartphone équipé de Firefox mais dont le moteur de recherche par défaut est Qwant au lieu de Chrome. Avec ce smartphone, vous pourrez initier votre Wiko sans aucune donnée personnelle. Seul l’opérateur saura qui vous êtes.

RGPD et prise de conscience collective

Le RGPD et la multiplication des scandales autour du respect de la vie privée ont-ils généré une prise de conscience des citoyens ?

Bien sûr, nous remarquons une certaine prise de conscience : le RGPD est un sujet de discussion et les derniers scandales ont eu une véritable valeur pédagogique (ce que nous avons d’ailleurs pu constater avec la hausse importante de fréquentation de Qwant suite à la médiatisation de l’affaire Cambridge Analytica). Néanmoins, la sensibilité au respect de la vie privée numérique reste encore trop peu développée à mon sens.

Dans ce cas, qu’est-ce qui a évolué dans la perception des citoyens ?

Les gens commencent à mieux percevoir ce que font les géants du numérique et les problèmes que cela pose, mais de façon encore trop timide. J’ai publié un livre dans ce sens il y a deux ans et demi (N.D.R.L. : Surveillance:// : Les libertés au défi du numériques : comprendre et agir, aux éditions C&F). Dans ce livre, je faisais œuvre d’éducation : faire comprendre le business model des géants du numérique, définir le logiciel libre et expliquer comment se protéger de la surveillance.

Ma démarche consiste, non pas à faire peur aux gens, mais à leur expliquer les choses. Je donne plus d’une centaine de conférences par an où j’explique de façon quasi-systématique le business model des géants de l’internet. Ce que les individus ne réalisent pas, c’est qu’ils sont utilisateurs des services proposés par ces entreprises et non pas les clients : le véritable client est l’annonceur publicitaire.

Comment aller plus loin dans cette prise de conscience ?

Malheureusement, très peu de gens sont formés au numérique alors même que le passage de l’administration au numérique apporte une pression sur toutes les tranches de la société. Tout le monde est obligé de s’y mettre malgré ce manque d’accompagnement. Par exemple ils ont souvent des difficultés à différencier un navigateur d’un moteur de recherche. L’application Qwant est un navigateur avec un moteur de recherche ; c’est comme confondre TF1 et Panasonic…

Je suis toujours étonné que l’on me pose des questions sur le compteur Linky par exemple. Cela ne représente rien en termes de vie privée par rapport à la collecte de données personnelles par les géants d’internet. Globalement, la notion de numérique est abstraite pour beaucoup. J’aime faire le parallèle avec les travaux de Louis Pasteur sur les microbes. Des micro-organismes invisibles à l’œil nu présents dans l’air sont à l’origine de maladies. Cette découverte a pu faire grandement baisser le nombre de décès dans les hôpitaux par l’adoption de simples gestes d’hygiène. Et bien aujourd’hui, ce qu’il nous manque dans le numérique, c’est la compréhension des concepts qui se cachent derrière et l’adoption généralisée de réflexes d’hygiène numérique…

Quel avenir pour les moteurs de recherche avec cette prise de conscience ?

Je pense personnellement que le numérique tel qu’il est aujourd’hui est dangereux : nous préparons un big Brother, ou dans le meilleur des cas un big Mother, c’est-à-dire une maman dont nous serions dépendants car elle saura tout de nous. J’ai un très fort attachement à la liberté individuelle et au libre choix de chacun ; il ne me paraît pas bon que quelqu’un ou une entreprise sache tout sur tout le monde et l’utilise via l’intelligence artificielle pour faire des suggestions aux individus. Des nombreuses dystopies découlent de ce modèle.

Facebook connaît par exemple l’opinion exacte de chacun de ses utilisateurs sur les Gilets Jaunes : vous n’en parlez pas forcément mais vous avez été confrontés à du contenu dont Facebook sait si vous l’avez liké, commenté positivement ou négativement, partagé, regardé jusqu’au bout. Leur business model consiste à faire passer de la publicité engageante, éventuellement politique, et d’analyser les réactions. Facebook a ainsi permis à la fois l’émergence de ce mouvement et de ses opposants, car c’est un endroit qui facilite le fait de se plaindre ou de critiquer. En revanche, rien n’y est fait pour apaiser et trouver des solutions raisonnables, car le contenu ne serait pas assez engageant pour l’algorithme de recommandation de Facebook. Dans un contexte d’élections, la capacité de Facebook de cibler les personnes selon des critères très précis, initialement pour leur vendre des produits ou de la publicité adaptée à leurs préférences, en devient même effrayante. Cumulé à cela, notons qu’il n’y a aucune obligation de véracité sur le contenu proposé par Facebook ; les manipulations sont donc aisées et courantes…

Quel avenir pour la vie privée dans le numérique ?

A titre personnel, quel est votre rapport à la vie privée et au numérique ?

Je suis informaticien, j’ai appris à programmer seul à 14 ans, j’en ai 52 aujourd’hui. J’ai commencé plus tôt que les autres, je suis en fait un vieux natif du numérique. Etant passionné, je suis resté longtemps aveugle sur les enjeux liés à la vie privée. Je voyais tout le potentiel de l’informatique : j’ai découvert le micro-ordinateur personnel à partir de 1980, qui a été un outil de libération dont nous ne pouvons plus nous passer aujourd’hui. Puis internet est arrivé avec cette capacité à mettre les personnes en relation, à leur donner accès au savoir. Au début, je n’ai pas cru à Wikipédia ; aujourd’hui je suis contributeur aussi bien en termes financiers qu’en contenu : ce n’est pas un outil parfait mais il rend des services incroyables. Puis le smartphone est arrivé : nous avons notre ordinateur en poche, connecté à Internet sans fil. Et, enfin, nous assistons à la révolution du logiciel libre : par exemple avec un code développé par des bénévoles, Firefox a atteint les 500 millions d’utilisateurs. Bref, le numérique est l’aventure de ma vie.

Plus tard, j’ai découvert la problématique des données personnelles. Chez Google, les salariés ont toujours eu une responsabilité écrasante et l’obligation de générer un revenu sans cesse croissant. Puis, Facebook est arrivé avec un produit différent mais en utilisant le même business model à destination des mêmes clients : les annonceurs. Pour moi, Google a une culture éthique et morale que nous ne retrouvons pas du tout chez Facebook, mais ils se sont laissé entrainer dans une logique de course au bénéfice constante contre Facebook. Il faut tirer la sonnette d’alarme pour contrer cette dérive.

Je reste persuadé qu’Internet, le micro-ordinateur, le numérique avec le smartphone, ont un potentiel fabuleux, mais la décentralisation est la condition pour protéger la vie privée. Je pense également que logiciel propriétaire n’est pas dans l’intérêt du citoyen ; pourtant Qwant en propose aussi. Il n’y a aucun contrôle sur les logiciels propriétaires, ils fonctionnent selon une logique de marché qui ne laisse pas de vraie possibilité de choisir, surtout lorsque nous ne sommes pas suffisamment éduqués pour le faire.

C’est pour cette raison que j’ai lancé les « meet-ups » pour la décentralisation d’Internet, il y a cinq ans maintenant. Aujourd’hui, les gens ne sont pas éduqués sur le numérique. Lorsque vous allez choisir un téléphone, vous devriez hésiter entre un iPhone, relativement cher pour une sécurité maîtrisée, et un Android, beaucoup moins sécurisé vis-à-vis de Google. Dans la réalité, la plupart d’entre nous focalisent leurs critères de choix sur des détails esthétiques sans prendre en compte le respect de la vie privée et la sécurité de ses données.

A votre sens, quelles sont les clés pour redonner confiance aux citoyens dans les services que le numérique peut leur proposer ?

Notre volonté est de positionner Qwant dans une nouvelle génération de service, éthique et, je l’espère, pérenne, grâce à la collecte d’un minimum de données. La minimisation de la quantité de données collectées est une notion très intéressante du RGPD. Sur votre smartphone, Facebook vous demande l’accès à vos contacts, à vos SMS, à votre agenda et télécharge tout instantanément. Pourquoi ont-ils besoin de savoir qui j’appelle par téléphone ? Nous en sommes même arrivés à créer une application « privacy flashlight » car beaucoup d’applications « flashlight » demandaient l’accès à vos contacts ! Je pense que nous sommes dans une crise de confiance, et chez Qwant, nous voulons vraiment incarner une nouvelle génération de services respectueux de la donnée en suivant une optique de minimisation dans l’esprit du RGPD.

La collecte généralisée et systématique des données, telle que l’effectue Google, va à l’encontre des principes de minimisation de la collecte et de décentralisation du stockage de la donnée. En réalité, les nouvelles technologies peuvent être rendues compatibles avec la protection de la vie privée : en opérant des changements d’architecture, en développant des outils en open source, en stockant les données de façon chiffrée et locale, rien n’empêche de continuer à synchroniser entre eux de façon chiffrée les appareils d’un même utilisateur.

 « Un citoyen sur trois dit qu’il est prêt à payer pour des services protecteurs de la donnée ». Est-ce que nous nous dirigeons vers des outils proposant une version payante qui respecte votre vie privée et une version indirectement payante via la collecte des données personnelles ? Nous ferions alors face à deux mondes s’écartant progressivement l’un de l’autre…

Ce risque existe déjà. En raison du prix très élevé des iPhones, Apple n’a pas besoin de monétiser et de rentabiliser nos données personnelles. A l’inverse, Android est un mouchard de poche, un cheval de Troie voué à la collecte de la donnée personnelle, via les applications Google Maps, Google Contact, Gmail, etc.

A côté de cela, Dan Ariely démontre dans ses études l’attrait irrésistible de la gratuité. Au sein de l’université dans laquelle il enseigne, il a mené l’expérience de proposer à un stand des truffes Lindt à 26 centimes et des chocolats bon marché à 1 centime : par défaut la majorité choisissent la truffe Lindt même si elle est plus chère car c’est un meilleur rapport qualité/prix. En revanche, quand il a diminué le prix d’un centime, et que le chocolat bon marché est alors devenu gratuit, la grande majorité des personnes l’ont alors choisi au détriment de la truffe à prix cassé. Il est très difficile de lutter contre la gratuité ; si Qwant était payant, il n’y aurait pas beaucoup d’utilisateurs…

Cet article Vie Privée à l’ère du Numérique – Interview de Tristant NITOT (Qwant) est apparu en premier sur RiskInsight.

Bilan d’un an de RGPD

Wavestone : Le RGPD a-t-il permis la prise de conscience escomptée ?

Gwendal Le Grand : Le RGPD est entré en application le 25 mai 2018 et c’est un texte que tout le monde s’est approprié : les organisations, les particuliers et les autorités de protection des données.

Les citoyens ont tiré parti de leurs droits et les ont davantage exercés auprès des organisations. En résulte une augmentation significative du nombre de plaintes : si on regarde les chiffres publiés dans notre rapport annuel, la CNIL a reçu 11 077 plaintes sur l’année dernière, soit une augmentation de 32% par rapport à l’année précédente, qui se poursuit cette année encore.

Du côté des entreprises, il est obligatoire d’avoir un DPO dans certains cas. Avant l’entrée en application du RGPD, on avait 5 000 correspondants informatique et libertés ; aujourd’hui on a déjà 16 000 DPO, représentant 50 000 organismes au total et il existe environ 700 structures en France qui proposent des prestations de DPO mutualisé. Pour citer un chiffre emblématique : en un mois, « L’atelier RGPD », notre MOOC, a vu la création de plus de 27 000 comptes, dont plus de 10% ont reçu l’attestation de réussite. Cela signifie qu’ils ont regardé toutes les vidéos et ont passé un petit test avec succès à la fin. Le nombre de visites sur le site de la CNIL est également marquant : il est passé à 8 millions en 2018, un chiffre non négligeable pour une autorité administrative indépendante, et une augmentation de 80% par rapport à l’année précédente.

Du coté des organisations professionnelles, nous avons reçu le 25 mai 2018 une plainte collective de la part de La Quadrature du Net et de NOYB et de l’association NOYB de Max Schrems qui travaille sur les grands acteurs de l’internet. Ces plaintes collectives ont donné lieu à la plus grosse sanction infligée par la CNIL en janvier 2019. On peut donc dire que tous, particuliers, entreprises, organismes de représentation des utilisateurs, se sont approprié le texte.

Nous travaillons également avec nos homologues au niveau européen. Un système d’information nous permet notamment d’échanger sur les cas transfrontaliers nécessitant de la coopération entre autorités nationales.

Du côté de l’adaptation du cadre national, tout s’est mis en place progressivement : la loi qui vient en préciser les marges de manœuvres, le décret d’application qui vient préciser la loi et l’ordonnance de réécriture de la loi.

Wavestone : Quel est le niveau d’avancement des entreprises dans la mise en conformité de votre prisme ?

Gwendal Le Grand : Au niveau des entreprises, la question de la protection des données a tendance à monter au plus haut niveau de la gouvernance, comme les COMEX ou les conseils d’administration. Un nombre important d’organisations a également désigné des DPO (délégués à la protection des données) ; certaines petites structures découvrent la protection des données à l’occasion du coup de projecteur donné par le RGPD et notamment l’effet dissuasif des sanctions qui peuvent désormais aller jusqu’à 20M€ ou 4% du chiffre d’affaire mondial de l’entreprise.

Wavestone : D’ailleurs, quels sont les sujets qui suscitent le plus de plaintes de la part des individus ?

Gwendal Le Grand : A date, les plaintes reçues par la CNIL restent assez « traditionnelles ». Elles sont surtout liées à la volonté de maîtrise des données à disposition en ligne (déréférencement, suppression de contenu sur des blogs, sur des sites de presse, ou sur des réseaux sociaux, etc.). On réceptionne aussi beaucoup de plaintes liées à la prospection commerciale et aux questions RH. Sur ce dernier point, ce sont en particulier les activités de surveillance qui font l’objet de plaintes : surveillance au travail, surveillance d’activité ou vidéosurveillance sur le lieu de travail. Petit à petit les problématiques relatives à ces nouveaux droits montent mais c’est quelque chose qui se fait doucement avec une courbe d’apprentissage au niveau des plaintes.

Wavestone : Au niveau des contrôles et sanctions, quel bilan tirez-vous ?

Gwendal Le Grand : La CNIL a des missions d’accompagnement, mais également des pouvoirs de contrôle et de sanction renforcés avec le RGPD ; ces deux missions sont complémentaires. En 2018, nous avons effectué 310 contrôles (en ligne, sur place, sur pièces).

En réalité, les possibilités de se mettre en conformité sont assez nombreuses avant d’arriver à la sanction elle-même. Celle-ci intervient uniquement en dernier recours. Habituellement, lorsqu’un organisme est contrôlé, on collecte ses pièces numériques, on les analyse. La plupart des contrôles donnent lieu à des échanges avec les organismes concernés et des clôtures. En cas de manquement de mise en conformité, une mise en demeure est envoyée à l’organisme. Puis il dispose d’un certain temps, à l’issue duquel, s’il ne s’est toujours pas mis en conformité, la CNIL rentre dans une procédure de sanction, qui peut aboutir notamment à une sanction pécuniaire. Il existe également une procédure de sanction accélérée.

En 2018, 11 sanctions ont été prononcées. À la suite du RGPD, le montant des sanctions est devenu plus important . Ainsi, pendant très longtemps la sanction pécuniaire maximale que pouvait infliger la CNIL s’élevait à 150 000€ ; elle est passée à 3 millions d’euros avec la loi pour une république numérique en 2016 ; puis à 20 millions d’euros ou 4% du chiffre d’affaires mondial avec le RGPD en 2018.

Wavestone : Les sanctions ont augmenté mais restent dans des volumes se comptant en dizaines ou centaines de milliers d’euros. Peut-on envisager de voir des sanctions de plusieurs millions d’euros dans les prochaines années ?

Gwendal Le Grand : Il y a eu en janvier une sanction de 50 millions d’euros, qui concernait un grand acteur de l’internet (NDLR : Google). Les autorités activent progressivement les nouveaux plafonds permis par le RGPD, au fur et à mesure que la procédure de contrôle se développe.

Wavestone : Comment ce type de sanction va-t-il être géré au niveau européen ? Est-ce qu’une sanction peut être répétée par les autorités des autres pays ?

Gwendal Le Grand : Le RGPD prévoit un système de guichet unique ; les organisations peuvent donc s’organiser pour avoir un établissement principal de référence, c’est-à-dire une autorité de protection des données unique en tant qu’interlocuteur au niveau européen. Concernant la sanction du mois de janvier, nous avons échangé avec nos homologues au moment des contrôles : il n’y avait pas d’établissement principal de cet organisme-là sur le territoire européen, ce qui permettait de dire que chaque autorité était compétente en ce qui la concernait sur son territoire. La CNIL était donc légitime à prendre une décision de sanction vis-à-vis de cet acteur-là. Le montant de la sanction a ensuite été ajusté, notamment en fonction de l’assiette des utilisateurs français.

Wavestone : Justement, à l’international, quel bilan ?

Gwendal Le Grand : Le but est de réussir la diplomatie de la donnée avec nos homologues au niveau CEPD, groupe des CNIL européennes, comme sur le plan international. On discute d’ores et déjà avec un certain nombre d’Etats ou de régions du monde, qui, dans la vague du RGPD, cherchent à se doter aussi de lois nationales ou régionales. Nous avons notamment travaillé avec des partenaires asiatiques, avec les Etats-Unis, et dans le cadre de la convention 108 du conseil de l’Europe. Ce sont des travaux qui sont bien évidemment amenés à se poursuivre.

Wavestone : Ce qu’on anticipe c’est un texte qui fasse référence pour des textes à venir dans le monde ?

Gwendal Le Grand : En matière de champ territorial, le RGPD s’applique aux organisations en Europe ou ciblant des utilisateurs européens. C’est une sorte de standard pour la confiance sur la question de la protection des données personnelles. En dehors du territoire européen, beaucoup d’acteurs s’intéressent au RGPD, car les européens sont leurs premiers clients. Derrière, c’est évidemment un gage de confiance pour eux vis-à-vis des échanges qu’ils peuvent avoir avec les acteurs dans leur région du monde.

Wavestone : Selon vous, le RGPD a-t-il modifié la relation entre les entreprises et leurs clients historiques (exercice de droits, modifications des usages, etc.) ?

Gwendal Le Grand : Au niveau de la CNIL, on ne voit pas forcément l’intégralité de la chaîne. On peut cependant constater qu’un certain nombre d’entreprises affichent la protection des données comme un avantage concurrentiel. Au-delà des aspects de conformité et de sanction potentielle, l’enjeu de ce texte est également de renforcer la confiance dans les services proposés par les entreprises, et indirectement de leur ouvrir des opportunités de développement économique.

Perspectives

Wavestone : Quels sont selon vous les points clés pour les entreprises afin de conserver une dynamique de conformité dans le temps ?

Gwendal Le Grand : Nous allons vraiment chercher à mettre en place une gouvernance de la donnée au niveau des entreprises : c’est une opportunité pour elles, aussi bien pour protéger les données que pour restaurer la confiance vis-à-vis de tout l’écosystème de leurs clients et de leurs entreprises partenaires. Le RGPD a mis en lumière les enjeux de cybersécurité : la gestion efficace et la sécurisation des données sont autant de questions essentielles à l’heure où nos sociétés sont devenues dépendantes de l’économie numérique. Dans ce sens, c’est également une opportunité pour les entreprises. Le RGPD mentionne ainsi la nécessité de mettre en place des mesures de sécurité techniques, organisationnelles, proportionnées au risque pesant sur les données personnelles.

Désormais, avec le RGPD, les entreprises doivent, dans certains cas, notifier la CNIL et les personnes concernées des éventuelles violations de données à caractère personnel. Pour y parvenir, les entreprises ont mis en place un système à trois niveaux. Premièrement, elles doivent tenir un registre de tous les incidents de sécurité qui touchent à la donnée personnelle.

Ensuite, elles doivent notifier à la CNIL sous 72h toute violation de données. Ces notifications servent essentiellement à faire monter le niveau de maturité des entreprises sur les questions de cybersécurité, et à leur apprendre à se préparer, à mettre en place un système de détection et de prise de décision, à maîtriser leurs risques et à réagir efficacement en cas d’incident.

Enfin elles sont tenues de les notifier aux personnes concernées en cas de risque élevé. Cette dernière obligation a des conséquences opérationnelles : appels de clients en masse, impact réputationnel. Ces notifications servent notamment à ce que les personnes se protègent, soient plus vigilantes (par exemple aux attaques de phishing), ou modifient leur mot de passe. L’objectif de ce système à trois niveaux est donc réellement d’aider les personnes à se protéger et les entreprises à améliorer leur niveau de maturité sur les questions de cybersécurité.

L’article 35 du RGPD concerne également les questions de cybersécurité ; il indique que la réalisation d’analyses d’impact sur la protection des données est nécessaire pour tous les traitements susceptibles d’engendrer des risques élevés pour les personnes. L’analyse d’impact est une analyse de risque évaluant les impacts sur les personnes et sur les entreprises, de façon formalisée et incluant un plan d’action. Le RGPD initie vraiment le passage d’une logique de formalités administratives préalables (déclarations) à une logique de conformité en continu avec une amélioration constante et une réévaluation, révision et mise à jour régulière du plan d’action.

Wavestone : Nous réfléchissons beaucoup sur le droit à la portabilité. C’est un des droits dont on a le plus parlé quand le texte a été voté, pourtant aujourd’hui c’est peut-être le droit qui est le moins exercé au quotidien chez nos clients. Partagez-vous ce constat ? Comment l’expliquez-vous ?

Gwendal Le Grand : Le droit à la portabilité est l’un des nouveaux droits du RGPD ; il est donc normal de constater une courbe d’apprentissage.

De plus, ce n’est pas un droit absolu. Il ne s’applique donc pas pour toutes les bases légales du traitement, mais seulement lorsque celui-ci se base sur le consentement de la personne ou sur un contrat. Les autres bases légales sont écartées du droit à la portabilité.

Il s’applique aux données que vous avez fournies à un service direct ou indirect. Les lignes directrices du CEPD (N.D.R.L. Comité Européen de la Protection des Données, qui a pris la suite du G29), expliquent dans quelles conditions s’applique le droit à la portabilité. Nous avions communiqué l’année dernière au mois de mai 2018 sur le fait que notre priorité dans les actions de contrôle et de mise en conformité se concentrait plutôt sur les droits existants, car nous étions conscients qu’il y aurait une courbe d’apprentissage sur les nouveaux droits. Mais nous commençons à recevoir des plaintes de personnes ayant des difficultés à exercer leur droit à la portabilité. Il faut comprendre que la CNIL intervient en bout de chaîne : en général, les personnes s’adressent d’abord au responsable de traitement, puis à nous quand ils n’ont pas de réponse ou que celle-ci ne leur semble pas satisfaisante.

Wavestone : Avez-vous des exemples de bonnes pratiques ou de bons élèves autour de la manière d’utiliser les données à caractère personnel de manière conforme ?

Gwendal Le Grand : On en voit bien sûr. Nous proposons sur le site linc.cnil.fr une cartographie d’outils et de pratiques. Ce n’est pas de la certification de produit, mais de l’analyse des pratiques annoncées par plusieurs acteurs. Nous cherchons à capitaliser sur les bonnes pratiques que nous voyons au quotidien, afin de pouvoir les citer en exemple. Nous proposons aussi un site sur le design de la protection des données (design.cnil.fr), qui a pour objectif de créer une communauté des designers et d’échanger les bonnes pratiques sur la protection des données. Il contient un kit de développement respectueux de la loi informatique et libertés, avec des exemples anonymisés et génériques : « j’ai besoin d’informer les personnes sur le traitement de données … », « ce n’est pas une bonne manière de faire parce que… », « avec ce type de présentation-là, c’est une bonne manière d’informer les personnes parce que… ». Des instruments de certification pourront être activés ultérieurement.

Wavestone : A votre sens, quels sont les défis à venir pour vous dans les mois et les années à venir ?

Gwendal Le Grand : Dans notre rapport annuel, la mise en œuvre opérationnelle du RGPD apparaît comme l’enjeu majeur à venir pour la CNIL, notamment pour rehausser le niveau de confiance dans l’économie numérique.

Nous proposons un plan d’action de sensibilisation  des petites collectivités comprenant l’édition d’un guide, la partiicpation de la CNIL au salon de smaires en novembre 2019 et la création d’un module complémentaires de cours en ligne gratuit pour les collectivités . nous allons également renforcer l’inter-régulation avec d’autres autorités sur les questions de régulation du numérique : l’autorité de la concurrence, le CSA, l’ARCEP, l’HADOPI. De notre point de vue, la priorité est le développement d’une expertise sur les contrôles de la CNIL. Notre régulation est pluridisciplinaire : technologique, juridique, mais également éthique. Nous voulons notamment être en capacité d’anticiper et de maîtriser toutes les évolutions technologiques. Les sujets cruciaux pour nous sont les droits des personnes, les sous-traitants et la collecte de données bancaires. Nous communiquons sur ces sujets, en nous adressant à la fois aux personnes en garantissant leurs droits et aux entreprises en leur expliquant les règles à suivre.

Nous produirons également de nouveaux outils. Sur le plan réglementaire, nous voulons proposer de nouveaux cadres de référence, c’est-à-dire de nouveaux instruments compatibles avec le RGPD et les différentes réglementations. Sur le plan technique, nous travaillons déjà beaucoup sur les questions de design de service innovant, notamment sur l’inscription des utilisateurs à un service : finalement, pour que le consentement soit valide, il faut que la personne soit bien informée de la façon dont vont être traitées ses données. En janvier 2019, nous avons créé un cahier « Innovation et prospective » intitulé « La forme des choix », disponible sur notre site ; nous voulons poursuivre ces travaux avec les designers. Ils ont un rôle très important à jouer dans la qualité de l’information des personnes dont les données vont être traitées.

Cet article Vie Privée à l’ère du Numérique – Interview de Gwendal Le Grand (CNIL) est apparu en premier sur RiskInsight.

Les résultats de notre benchmark sur la protection de la vie privée dans les entreprises

Le benchmark effectué auprès de 24 entreprises françaises et internationales révèle que :

Des efforts importants ont été fournis sur la protection de la vie privée !

Les organisations ont mené des actions concrètes : nommer un DPO, compléter un registre des traitements, dérouler les DPIA, mettre à jour les formulaires de collecte de données, instaurer des processus de gestion des demandes d’exercice de droits, lancer des campagnes de sensibilisation, mettre à jour les contrats, identification des transferts, etc. La question peut alors se poser : la crise de confiance repose-t-elle sur la mauvaise perception des efforts fournis ?

Cependant, les organisations sont confrontées à des difficultés pour assurer une conformité durable. Les processus mis en place sont pour la plupart manuels et la perception du volet protection de la vie privée par les collaborateurs comme une « contrainte » ne permettront pas de pérenniser la démarche au-delà des programmes de conformité. Un risque : voir les efforts fournis perdus dans le temps….

Ainsi, trois challenges s’offrent désormais aux organisations :

Repenser le système d’information autour de la donnée

Sur le terrain, dans les organisations « historiques », l’architecture du système d’information est orientée service ou calquée sur l’organisation interne et ne permet donc pas une approche globale centrée sur la donnée. Cela crée de nombreuses difficultés opérationnelles dans le cadre du RGPD : gestion des consentements, des exercices de droits, suppression des données…

• 55% des organisations du panel sont contraintes de gérer les consentements par silo ;
• 33% des organisations du panel parviennent à garantir la suppression de l’intégralité des données d’un client dans le cadre d’un droit à l’oubli ;
• 19% des organisations du panel sont parvenues à entièrement automatiser la suppression des données à termes de leurs durées de conservation.

De ce fait, les processus mis en place dans l’urgence de la conformité sont encore très artisanaux, il s’agit désormais de réorganiser le système d’information autour de points de vérité omnicanal pour faciliter l’industrialisation. L’étude propose un focus sur un accélérateur dans la mise en place d’un tel dispositif : le Customer IAM avec l’interview d’un expert Wavestone.

Mettre en place une gouvernance de la donnée cohérente, transverse et intégrant le volet vie privée

La mise en place d’une gouvernance de la donnée est une priorité stratégique pour les organisations. Cependant, face à l’urgence de la mise en conformité au RGPD, les organisations n’ont pas nécessairement eu le temps de traiter de front cette valorisation et les impératifs liés à la protection des données personnelles. Il s’agit donc de repenser la stratégie de collecte, d’utilisation et de valorisation des données dans le respect de la règlementation pour adopter l’approche « smart data », qui reste peu appropriée à date.

Cela s’illustre par le fait que :

• 16% des organisations du panel ont lancé une campagne de renouvellement des consentements (11% sur certains consentements, 5% sur l’intégralité des consentements) ;
• 50% des organisations du panel ont mis en place des processus permettant de vérifier que la donnée collectée est limitée, appropriée et pertinente par rapport à son utilisation.

L’étude propose un focus sur les opportunités qu’offre la pseudonymisation aux organisations par rapport à une anonymisation des données ou une simple suppression à terme de leur durée de conservation.

Faire de la protection des données personnelles un réflexe au quotidien

96% des organisations du panel ont inséré une étape d’évaluation des risques pour la vie privée dans leurs méthodologies projet… Mais 33% d’entre elles n’estiment pas qu’elle soit suffisante pour assurer une conformité dans la durée. Autre constat, seulement 25% des organisations du panel considère avoir une équipe « privacy » adaptée au besoin réel.

Pour contrer cela, l’étude livre quelques bonnes pratiques pour promouvoir la valeur ajoutée de la démarche et embarquer les métiers dans la privacy : sensibilisation, responsabilisation, privacy agile, positionnement en accompagnateur de l’innovation…

Aller plus loin et se démarquer sur la protection de la vie privée

Les banques sont historiquement placées parmi les acteurs bénéficiant le plus de la confiance des citoyens. En 2016, 51% des interrogés plaçaient la banque en première position en termes de tiers de confiance… Mais, comme le démontre le schéma ci-contre, aujourd’hui, les banques ont chuté au 8ème rang des acteurs de confiance. 10% des sondés positionnent même les banques comme le type d’organisation envers lequel ils ont le moins confiance.

Preuve que la conformité à la règlementation n’est pas la condition nécessaire et suffisante pour gagner ou maintenir la confiance des citoyens. Il est temps pour les organisations de faire de cet enjeu majeur une opportunité pour innover.

Cette partie de l’étude livre quelques focus sur des pistes pour innover sur la protection de la vie privée : pour en faire un différentiateur commercial (renforcement de la relation client grâce à la mise en place d’un privacy center, opter pour une stratégie marketing orientée privacy), la monnayer ou en faire la base de nouveaux business models.

Cet article Conformité au RGPD : où en sont les entreprises ? est apparu en premier sur RiskInsight.

L’étude « Vie privée à l’ère du numérique » dont les chiffres clés sont résumés ci-dessous et dans un second article à paraître prochainement, vient guider les entreprises dans l’adoption de cette approche. Celle-ci s’appuie sur un sondage international mené auprès de 3620 citoyens, d’un état des lieux de conformité au RGPD sur un panel de 24 entreprises et plusieurs interviews : Gwendal Le Grand, directeur des technologies et de l’innovation à la CNIL, de Tristan Nitot, VP advocacy chez Qwant, un moteur de recherche qui ne collecte aucune donnée à caractère personnel et Benjamin André, co-fondateur de Cozy Cloud, une solution permettant aux organisations de s’investir dans le self-data.

2/3 des citoyens assimilent la vie privée à la maîtrise de leurs données sur le net

La vie privée est une préoccupation mondiale : 94% des sondés la considère comme important (soit une augmentation de 19% par rapport au 1^er sondage mené sur ce thème en 2016) : ce chiffre traduit une prise de conscience inédite des citoyens. Les sondés associent notamment la protection de la vie privée au fait de pouvoir choisir les tiers qui collectent et manipulent leurs informations, avant même de savoir quelles données sont collectées et pour quels usages. La donnée financière reste la donnée la plus citée par nos sondés comme donnée perçue comme privée, alors qu’elle n’est généralement pas considérée comme tel dans les démarches privacy des entreprises (les données biométriques, de santé, religieuses, sexuelles, voire d’habitudes de vie les devancent souvent). Au contraire, certaines données comme les habitudes de vie ou la géolocalisation sont perçues comme peu sensibles par nos sondés.

Une confiance envers les organisations qui diminue !

32% des sondés considèrent qu’ils font moins confiance aux entreprises quant à l’utilisation faite de leurs données qu’il y a un an. Constat particulièrement étonnant en Europe : le RGPD, a provoqué une crise de confiance !

En Europe (Royaume-Uni inclus), environ 36% des sondés font moins confiance aux entreprises. Un comble avec l’entrée en vigueur du RGPD, censée redonner la maîtrise de leurs données personnelles aux citoyens Européens. Du fait de la complexité renvoyée, des violations désormais publiques et des différents scandales, les citoyens sont plus méfiants, perdent confiance et sont moins enclins à partager leurs données.

25% des sondés sont réfractaires au partage de leurs données, quelle que soit l’utilisation qui en est faite ! Lorsqu’il s’agit d’évaluer la pertinence de l’utilisation des données, les réponses varient peu pour des usages aussi différents que de la prospection commerciale ou de la vidéosurveillance, confirmant que l’utilisation faite des données n’est pas le sujet de leurs préoccupations.

Cependant, 3 types de comportements se détachent vis-à-vis des données :

• 45% de la population peut être qualifiée de « privacy comfortable ». Cette catégorie accepte le partage de ses données comme contrepartie pour avoir accès à de nouveaux usages digitaux.
• 30% de la population peut être qualifiée de « privacy in doubt ». Cette catégorie comprend l’intérêt du partage de ses données mais a besoin d’un cadre clair pour accorder sa confiance. Une conformité au RGPD et une communication claire et transparente peut les convaincre de partager leurs données.
• 25% de la population peut être qualifiée de « privacy absolutists ». Cette catégorie est particulièrement réfractaire au partage de ses données. L’enjeu clé de l’ère de la confiance est clair : limiter le développement de cette catégorie de réfractaires en mettant en œuvre des solutions convaincantes permettant au plus grand nombre de partager ses données en toute confiance.

Notamment grâce au RGPD, les citoyens qui reprennent le pouvoir !

Cela se traduit de différentes manières :

• 1/3 des sondés déclarent avoir déjà demandé à une organisation de cesser de leur envoyer de la communication par email ou SMS. Parce qu’ils sont méfiants, les citoyens adoptent une nouvelle posture, plus offensive, pour conserver la maîtrise de leurs données. Ils ne veulent les confier qu’aux tiers qu’ils estiment de confiance.
• 1 sondé sur 2 déclare avoir déjà exercé ses droits dans l’année passée. Et de manière offensive car s’ils ne reçoivent pas de réponse satisfaisante, les citoyens se plaignent auprès de leur autorité de contrôle. « En 2018, la CNIL a réceptionné un total de 11077 plaintes sur l’année, soit une augmentation de 32% par rapport à l’année précédente » indique Gwendal Le Grand, Directeur des technologies et de l’innovation, CNIL, l’une des personnalités interviewées dans le cadre de l’étude. Pour ces plaintes, ils s’associent parfois entre eux et si le cadre réglementaire le permet avec des associations de consommateurs afin de gagner en force de frappe. Ce type de plainte collective a donné lieu aux 40 millions d’amende infligés à Google par la CNIL en janvier 2019.
• 1/3 des sondés affirme qu’il serait prêt à payer pour bénéficier d’une protection accrue de leurs données et pour des services davantage protecteurs de leurs données.

A ce sujet, il semble qu’un mouvement soit bien enclenché au-delà des frontières de l’Europe. En Chine et aux Etats-Unis, une moyenne de 18% des citoyens déclarent avoir déjà payé pour accéder à un service de protection supplémentaire, contre 5% uniquement en Europe (incluant le UK). Les citoyens Européens seraient donc moins consommateurs de services payants protecteurs de leur vie privée. Est-ce dû à un retard de l’offre dans le domaine ? Une non-connaissance des solutions existantes ou un sentiment de protection apporté par la réglementation ? Ou simplement, les citoyens européens sont-ils réfractaires à l’idée de payer pour protéger leur vie privée ?

En analysant les secteurs pour lesquels les citoyens sont ou seraient le plus enclins à payer pour un service protégeant leurs données, il en ressort que les réseaux sociaux, les services sur internet et les banques sont les secteurs les plus concernés. De réelles opportunités pour ces secteurs.

L’étude révèle également un véritable attrait pour l’anonymat. Cela s’illustre notamment par le fait que les sondés positionnent les données de contact dans le top 3 des données les plus privées (avant les données de santé ou de localisation !). Cela se traduit dans les usages : on observe le développement des profils anonymes (type mode incognito pour 27%, suppression des cookies pour 47%). Voire même des mesures plus radicales : 26% de la population a arrêté d’utiliser certains services afin de protéger et garder la maîtrise de ses données.

Cet article Quelle importance accordée par les citoyens au respect de leur vie privée ? est apparu en premier sur RiskInsight.

Les cookies, vrais ou faux amis ?

Qui sont les cookies ?

Le cookie est un fichier texte (combinaison de chiffres et de lettres d’une taille maximale de 4 KB) déposé par un service web sur l’appareil – smartphone, tablette ou PC – de l’utilisateur. Ces informations permettent de reconnaître l’utilisateur au-delà d’une première visite ainsi que ses paramètres. Il existe de nombreuses catégories de cookies. Par exemple, certains cookies sont strictement nécessaires au bon fonctionnement d’une page web (ex. load balancing, session de l’utilisateur ou facilitation du shopping en ligne lors de l’ouverture de plusieurs sessions) ou permettent de produire des statistiques, dans ce cas, leur usage relève de l’intérêt légitime du responsable de traitement et ne nécessite donc pas la collecte d’un consentement (cf. délibération de la CNIL du 4 juillet 2019 relative à l’utilisation des cookies et traceurs). D’autres cookies ont pour objectif de mieux connaître l’utilisateur via l’analyse de sa navigation ou de ses habitudes de consommation. Ils nécessitent alors le recueil d’un consentement de la part de l’utilisateur dans la mesure où leur absence n’altère en rien le bon fonctionnement du site. Ces derniers – et plus particulièrement les “cookies tiers” ou “cookies de suivi” – interrogent quant au respect de la vie privée dans la mesure où ils permettent de suivre la navigation d’un utilisateur lors de ses visites de différents sites web, une activité également connue sous le terme “tracking”, qui permet de déduire des habitudes et de modes de vie des utilisateurs plus ou moins intrusives (centres d’intérêt, habitudes de consommation, lieux de vie ou mobilité, fréquentation de centre de soin, opinion politique, orientation sexuelle, sensibilité religieuse, etc.).

Ainsi, la CNIL distingue les catégories de cookies suivantes :

Attention, certains cookies de mesures d’audience peuvent être exemptés de consentement en fonction du choix et du paramétrage de la solution de mesure d’audience associée. Pour plus d’information sur les solutions de mesures d’audience nécessitant ou pas le consentement, se référer ici.

Les cookies comme réponse à des enjeux métiers dans un environnement concurrentiel

Si ces outils sont si utilisés aujourd’hui, c’est d’abord et avant tout parce qu’ils répondent à des besoins métiers, notamment pour les directions marketing/commerciales ou de la communication. D’une part, ils permettent d’offrir une expérience personnalisée en définissant ou en associant un “profil utilisateur” à leurs clients ou prospects. Pour que les campagnes marketing soient plus précises (mieux ciblées) ou pour toucher un plus grand nombre de personnes susceptibles d’être intéressées par le produit / service, ces entreprises ont souvent besoin d’enrichir leurs bases avec des cookies tiers et des segments marketing. Pour cela, elles s’appuient sur des prestations « clé en main » fournies par des régies publicitaires dont l’un des métiers est de vendre d’immenses bases de données de cookies (Criteo, RelevanC).

De manière générale on observe que les organisations qui utilisent ces cookies ont mis en place des outils permettant à l’utilisateur de décider lui-même s’il souhaite les accepter ou non en fonction de leurs finalités. Mais certaines pratiques sont loin d’être totalement transparentes…

Le pixel invisible ou espion, une technologie méconnue de l’utilisateur

Qu’est-ce qu’un pixel ?

Le pixel invisible (ou espion) est parfois utilisé comme une alternative au cookie dans la mesure où son usage ne peut techniquement pas être bloqué par un navigateur. Il s’agit d’un graphique (1×1 pixel) qui est téléchargé lors de la consultation d’une page web ou lors de l’ouverture d’un email. Ce pixel est généralement masqué ou si petit qu’il est impossible à voir. Sa fonction est de collecter des informations sur l’utilisateur (adresse IP, type d’appareil, version du navigateur, résolution d’écran, etc.)[1] ou de permettre le dépôt d’un cookies tiers permettant de renvoyer ces informations à un serveur.

Si la plupart des sites mentionnent l’utilisation de pixels et permettent à l’utilisateur de gérer ses préférences, la très grande majorité utilisateurs ignorent à quoi ils servent. De plus, il arrive que ces pixels soient présents dans le contenu d’emails sans que le(s) destinataire(s) n’en soit informé(s). Non visibles et encore très peu soumis au recueil du consentement, le pixel continue enregistre quantité de données à caractère personnel pouvant porter atteinte à la vie privée du destinataire. Que dit la réglementation et jusqu’où s’applique-t-elle ?

[1] L’ajout d’un script Javascript permet de recueillir des informations complémentaires à propos de l’utilisateur qui en est très rarement informé (ex. système d’exploitation, localisation approximative, etc.).

Le RGPD définit des obligations claires à respecter

Les données à caractère personnel collectées et traitées par les traceurs qui peuvent ensuite être utilisées pour en déduire des habitudes et de modes de vie des utilisateurs sont soumises au RGPD qui définit des exigences claires quant à leur utilisation. Préalablement au dépôt de cookies ou traceurs sur des terminaux, les acteurs du numérique doivent respecter, entre autres, les obligations suivantes sous peine de ne pas être en conformité :

1. Informer l’utilisateur de la mise en œuvre de traceurs et cookies utilisés et leur(s) finalité(s) précise(s) dans un bandeau rédigé en des termes simples et compréhensibles
2. Recueillir le consentement de l’utilisateur ou de lui fournir la possibilité de s’y opposer (nb. ce consentement est valable 13 mois maximum)
3. Respecter l’activation par l’utilisateur du paramètre DoNotTrack offert par certaines récentes versions de navigateurs

Attention : jusqu’en juillet 2019, la CNIL considérait que la poursuite de la navigation vallait accord au dépôt de Cookies sur le terminal utilisateur. Cette pratique, qualifiée de « soft opt-in » a depuis été révisée par CNIL (voir ici).

En conclusion, des efforts restent à réaliser pour aller vers plus de transparence et de pédagogie vis-à-vis des utilisateurs pour qu’ils puissent choisir de faire l’objet d’une navigation personnalisée respectueuse de la vie privée.

Un an après l’entrée en application du RGPD, les traceurs – incluant les cookies et les pixels – sont généralement bien gérés par les entreprises lors de la navigation web. En effet, la plupart des sites mettent à disposition des utilisateurs un bandeau d’information, une politique relative à l’utilisation des données à caractère personnel et un outil de gestion des cookies, incluant les pixels, pour que l’utilisateur puisse gérer ses préférences (opt-out lorsque le consentement n’est pas nécessaire) et consentements sur ces sites. Néanmoins, l’information relative à l’usage de ces traceurs à des fins de traitement marketing (ciblage, profilage) ne fait pas toujours la distinction entre les cookies et les pixels, ce qui ne permet pas l’information claire et transparente de l’utilisateur. Pour finir, l’information quant à l’utilisation de pixels dans les emails est presque inexistante (ou alors accessible après plusieurs clics !) ne permettant pas d’assurer la transparence envers les destinataires. Bien qu’elles ne permettent pas d’endiguer le dépôt de traceurs, des solutions telles que l’effacement régulier de l’historique de navigation ou de moteur de recherche ou telles que l’installation d’extensions (ex.  NoScript, Ghostery, Adblock Plus et bien d’autres encore pour la navigation, PixelBlock, Ugly Email pour la messagerie) peuvent être mises en œuvre par les utilisateurs pour limiter la collecte de leurs données à caractère personnel.

Cet article Traceurs et vie privée : quels efforts à faire pour une navigation respectueuse de la vie privée ? est apparu en premier sur RiskInsight.

So, how can consumers rebuild confidence, especially to a level where they are ready to share their data and preferences?

Several major e-commerce players (ASOS, Adidas, etc.) seem to be making transparency a strong thread in their strategy, in particular by giving customers the ability to manage and control their own data. This usually involves a Privacy Center—a personal space where users can view and manage their personal information, adjust preferences and consents, and easily make use of their rights. But should this solution be adopted by all retail players?

Why are privacy centers often considered as the ideal transparency solution?

Privacy Centers have the advantage of empowering users to be in control of and manage the personal data they entrust to a company. Making users masters of their own data provides a guarantee of trust and transparency on the company’s part.

This part of the ASOS Privacy Center allows users to choose the types of communication they wish to receive. This example illustrates the granularity possible in the personalization of content, all the while remaining within the limits drawn by the GDPR.

A Privacy Center provides users with a single point of interaction on Data Privacy. This single interface enables all of its communication channels (internet, in-store, after-sales service, etc.).

Through clear and tailored communications (written in terms that everybody can understand—not in legal language), Privacy Centers highlight companies’ efforts to protect their users’ personal data  and enable customers to better control their choices.The company can then rebuild a relationship of trust with its customers, which, in turn, encourages them to share both their data and preferences.

What are the obstacles in establishing a Privacy Center?

Installing a Privacy Center within an organization’s existing IS is complex. It requires a perfect interconnection between the customer interfaces (mobile, website, physical, etc.) and the various existing client databases (the view of the customer being rarely completely unified). By “interconnection,” we mean information that a user enters on an interface (for example, the choice of the option,  “I don’t want to receive publicity by email”) is used to systematically inform all relevant systems. In fact, the complexities of each company’s IS mean that such interconnections are rare—as well as time consuming and expensive to deploy from a technical point of view.

However, the communication challenges between different interfaces don’t depend solely on the ISD. There’s still a need for a company’s business functions to help bring these customer databases together. It’s quite common in retail for stores to , or for several brands, with different positions in the market, to coexist within the same group. As a result, interconnecting uses and interfaces is a complex—even unwanted—operation. Setting up a Privacy Center, then, is often born of pursuing a more integrated marketing and digital strategy.

Lastly, Privacy Centers can generate a paradox: despite the intention being to boost trust, a company might not necessarily want customers to take too much advantage of it. For example, we can imagine that marketing and digital teams may not want to make it simpler to exercise consumer rights or withdraw consent, as this could result in the loss of existing accounts and potential prospects. Privacy Centers are therefore a better fit for organizations pursuing a “less but better” approach to customer management because they allow them to get to know (through preferences, contacts types, frequencies, etc.) a smaller number of customers and prospects more closely—i.e. the ones that agree to share their data.

The Privacy Center: future ideal or present-day panacea?

Retail players don’t all pursue the same digital strategies or have the same degree of digital maturity. Some are already mature: developed e-commerce channels, websites, mobile applications, linked physical and telephone channels, , etc. This is the case for pure digital players or market leaders who have (re)built their entire business strategy based on the digital user experience. For them, deploying a Privacy Center doesn’t mean a complete overhaul of the IS, or the lens through which they view customer relations. It can therefore be considered in the short term.

For others, a digital strategy is still to be deployed or even developed. This is especially the case for more traditional retailers, where physical or telephone channels are still at the heart of the sales process. For them, establishing  a Privacy Center today seems rather premature. A clear digital strategy must be defined, and its effective implementation and the associated development of the IS assured, before a customer interface of this type can be envisaged.

In summary, Privacy Centers should be seen as a “final destination” rather than an immediately and uniformly applicable solution. And, they represent a destination designed to improve customer trust by enabling users to control their data and communicate clearly on what can be done with it. But, for such communication to be possible, a cleardata strategy for using the data needs to have been defined. And, for control of the data to be a realistic option,

In conclusion then, it seems that deploying Privacy Centers across all e-commerce sites isn’t an immediate goal for 2019. However, the exemplary nature of the approach, and the strong differentiation it drives in the trust relationship with customers, should Privacy Centers become a “standard” in the retail sector in years to come. And that’s something we all need to prepare for!

Adidas Privacy Center

[1]Our sample: 3,620 individuals (603 in Belgium, 600 in China, 605 in France, 612 in Germany, 600 in the UK, and 600 in the US)

Cet article Privacy Centers: a panacea for customer relations? est apparu en premier sur RiskInsight.

Des start-ups qui aident les particuliers à protéger leur vie privée

Selon la CNIL, 9 Français sur 10 sont préoccupés par l’exploitation de leurs données personnelles. Des start-ups proposent aux individus des applications de contrôle des données personnelles disponibles sur Android ou IOS :

• Skeep permet de gérer l’accès aux données personnelles sur les réseaux sociaux et les newsletters.
• L’application mobile Fair&Smart est un « personal data store » au sein duquel le particulier peut effectuer ses requêtes auprès d’une entreprise au titre du RGPD.
• Les cookies publicitaires et analytiques auxquels sont rattachés des données personnelles sont soumis à une obligation d’information et de consentement de l’internaute par le RGPD. La start-up Audito l’a bien compris et a mis au point l’application Cookie Check où les particuliers peuvent consulter les caractéristiques des cookies des sites visités et sélectionner ceux qu’ils souhaitent garder ou supprimer.

Des start-ups qui assistent les entreprises dans leur mise en conformité RGPD

Depuis les débuts du RGPD, les grandes entreprises préparent leur mise en conformité au règlement.

Les grands comptes veulent disposer d’outils logiciels adaptés pour leur Data Protection Officer (DPO) et leurs employés. Le RGPD impose un Data Protection Officer aux administrations, aux grandes entreprises et aux PME collectant des données personnelles. Les PME et ETI inscrivent peu à peu la mise en conformité réglementaire sur leur liste des priorités. Les logiciels d’accompagnement réglementaire de start-ups comme Didomi, Visions ou encore Smart GDPR arment les entreprises face aux exigences du RGPD.

Leurs logiciels SaaS de gouvernance de données incluent des fonctionnalités incontournables :

• Le registre des traitements de données personnelles de l’entreprise
• La collecte des consentements des individus
• Le suivi des violations de données 
• L’accès à la documentation légale relative à la mise en conformité au RGPD

La plupart des start-ups détectées vont au-delà de ces fonctionnalités pour se faire une place sur le marché. Elles proposent des modules subsidiaires : des outils de calcul et de modélisation des risques, des simulations d’audit, des MOOCs pour DPO par exemple. Qualitadd, Datae et Smart GDPR rentrent dans cette catégorie de start-ups qui ont su enrichir leur offre.

Des solutions de sécurité standards mais des démarches de création novatrices

Les grandes entreprises veulent avant tout maîtriser leur risque de conformité. Les start-ups françaises répondent à cette attente par une large offre de logiciels. Dans la majorité des cas, elles manquent cependant d’innovation sur le plan technologique car les logiciels développés sont des plateformes SaaS classiques adaptées à la protection de données. En revanche, les démarches de création des start-ups sont parfois audacieuses.

Quand la fonction métier commande l’édition d’un logiciel :

En 2018, le cabinet d’avocats Staub & Associés spécialisé en droit de l’informatique et des données personnelles s’est associé à un éditeur de logiciel pour produire une plateforme de pilotage de la mise en conformité au RGPD Data Legal Drive.

Deux ans plus tôt, la start-up DPO consulting a émergé des expériences professionnelles de DPO de sa fondatrice et de ses employés. Face à l’inflation réglementaire, le cabinet de conseil DPO consulting a édité son propre logiciel pour Data Protection Officer. Le cabinet se compose également de DPO qui assurent la gouvernance de données d’entreprises en externe en s’appuyant sur le logiciel myDPO.

La commercialisation d’un logiciel maison incluse dans la fonction métier booste le chiffre d’affaires de ces cabinets.

Quand les start-ups ciblent des dispositions du RGPD : 

La start-up Onecub a fait un choix stratégique innovant en axant sa solution sur un droit : le droit à la portabilité. Le compte Onecub permet d’importer et exporter des données d’un service à l’autre gratuitement. Onecub s’adresse aux particuliers en facilitant le transfert de données personnelles entre entreprises et/ou administrations via la blockchain.

La start-up Fair&Smart quant à elle se concentre sur la protection des données personnelles dans la relation-client. Elle propose deux solutions B2C de collecte des requêtes et des consentements utilisateurs en complément de son application.

Quand les start-ups proposent un package de conformité RGPD complet : 

La start-up Datae accompagne les entreprises, de leur gestion interne des données personnelles à l’auditabilité par la CNIL sur l’application du RGPD. Le logiciel Datae présente les fonctionnalités classiques d’un logiciel de gouvernance RGPD, auxquelles peuvent s’ajouter des prestations complémentaires des équipes de la start-up en audit juridique, audit technique et suivi par un DPO externe.

Les solutions de sécurité mises en œuvre par les start-ups reflètent les statistiques globales du radar 2018 Wavestone : 70% des start-ups cybersécurité en France réadaptent des solutions existantes. Le segment de la Privacy ne se distingue pas par l’émergence de nouvelles solutions ou de nouveaux usages notables. Certaines start-ups misent sur l’apport d’une prestation de conseil ou de simulations d’audit pour consolider leur offre logicielle. A l’avenir, les start-ups souhaitant s’insérer sur ce segment en France devront trouver des solutions différenciantes. La pléthore de logiciels de gouvernance RGPD laisse de l’espace pour des solutions techniques innovantes.

Cet article Des start-ups opportunistes et audacieuses sans être réellement innovantes sur le segment privacy est apparu en premier sur RiskInsight.

Tout d’abord, fin septembre 2018 a été publié l’arrêté fixant les règles de sécurité et délais à respecter par les opérateurs de service essentiels (OSE) sur leurs SI essentiels (SIE).

Ensuite, le 9 novembre 2018 les dernières notifications ont été envoyées par l’ANSSI à une première vague d’Opérateurs de Services Essentiels, portant ainsi le nombre d’OSE à 122, chiffre qui sera amené à augmenter dans les mois et années à venir.

C’est donc l’occasion de décrypter la NIS dans sa déclinaison française, d’identifier les principales exigences émises par l’ANSSI et sous quels délais celles-ci devront être respectées par les OSE.

Des règles majoritairement inspirées de la LPM

La directive NIS demande à chaque Etat de définir et d’imposer le respect des bonnes pratiques de sécurité aux OSE et FSN. En France, c’est l’ANSSI qui a été responsable de cette définition, à l’instar de la LPM. Il est donc légitime de se demander dans quelle mesure les règles NIS sont alignées sur les règles LPM.

Des différences de forme sont tout d’abord à noter : les règles NIS sont au nombre de 23 réparties au sein de 4 chapitres (Gouvernance, Protection, Défense, Résilience), contre 20 pour la LPM sans chapitre particulier. Ensuite, ces règles ont été publiées au sein d’un unique arrêté trans-sectoriel, alors que la LPM avait mené à la publication d’un arrêté par secteur d’activité. Autre différence, les délais de mise en application des règles NIS sont communs à tous les secteurs et sont publics, là où les délais pour la LPM varient selon les secteurs et sont en diffusion restreinte.

Néanmoins, les règles NIS restent fortement inspirées (voire pour certaines intégralement reprises) des règles LPM : cartographie, configuration des composants, filtrage, comptes d’administration, SI d’administration, identification, droits d’accès, maintien en conditions de sécurité, journalisation, corrélation et analyse de journaux, réponse aux incidents de sécurité, traitement des alertes et également gestion de crise.

De nouvelles règles font leur apparition ; les règles relatives aux analyses de risques et aux audits de sécurité étaient en fait incorporées dans la règle LPM relative à l’homologation. La règle relative à la sécurité physique et environnementale est quant à elle une réelle nouveauté. De même, certaines règles existantes font l’objet de précisions sans pour autant apporter de modifications structurantes, notamment pour encadrer la façon de traiter certains cas particuliers (SIE exposé sur Internet, etc.).

Finalement, les principales différences portent sur l’assouplissement de certaines règles :

• Indicateurs : les trois thématiques retenues par les règles LPM sont maintenues par les règles NIS (maintien en conditions de sécurité, droits d’accès / authentification et administration des ressources), mais le nombre d’indicateurs total passe de 10 à 6.
• Détection : l’obligation d’utiliser des sondes qualifiées et opérées par un prestataire qualifié PDIS est remplacée par l’utilisation de sondes opérées conformément au référentiel PDIS, sans obligation de qualification
• De manière générale, les règles NIS n’imposent pas le recours à des prestataires dûment qualifiés PASSI (Prestataire d’Audit de la Sécurité des Systèmes d’Information), PDIS (Prestataire de Détection d’Incidents de Sécurité) ou PRIS (Prestataire de Réponse aux Incidents de Sécurité) mais recommandent de s’inspirer des bonnes pratiques que ces référentiels définissent.

Figure 1 : 80% de similarités entre les règles LPM et les règles NIS en France

Les règles NIS, malgré des différences de forme, sont donc globalement similaires à celles de la LPM, ce qui n’est pas surprenant puisqu’elles répondent au même objectif, celui de renforcer le niveau de sécurité des acteurs nationaux clés.

Un planning de mise en conformité ambitieux

Des actions concrètes à réaliser très rapidement

Les délais de mise en application sont publics. Concrètement, les premières actions attendues de chaque OSE après sa désignation sont les suivantes :

• Dans un délai de 2 mois, identification du correspondant auprès de l’ANSSI et communication de ses coordonnées
• Dans un délai de 3 mois, identification des SIE (Systèmes d’Information Essentiels) et transmission de la liste à l’ANSSI. Si le premier réflexe est souvent de vouloir définir le périmètre le plus restreint possible, et ainsi limiter les impacts, il faut garder à l’esprit que l’application partielle de certaines règles peut devenir un véritable casse-tête en raison de l’imbrication des SIE avec le reste du SI.
• Dans un délai de 3 mois, mise en place du processus de traitement des alertes. Objectif : se mettre rapidement en capacité de recevoir les alertes de l’ANSSI et savoir réagir en conséquence.

2 ans pour se mettre en conformité et réaliser l’homologation la 3^ème année.

Pour l’ensemble des autres règles, les délais sont tout aussi précis et ambitieux :

Figure 2 : règles NIS, 2 ans pour se mettre en conformité et une année supplémentaire pour l’homologation

Conclusion

En synthèse, il est important pour les entreprises notifiées d’anticiper dès la phase de cadrage que la mise en conformité NIS va amener des chantiers avec des investissements financiers et humains parfois conséquents. Notamment, les chantiers qui traiteront du « SI Administration », de « l’Homologation », ou encore les chantiers d’urbanisme nécessaires pour le cloisonnement des SIE, etc.

Autant de sujets qui bénéficieront de la maturité du marché impulsée depuis plusieurs années entre autres par la LPM.

Cet article Directive européenne NIS : quelles mesures de sécurité pour les opérateurs de services essentiels en France ? est apparu en premier sur RiskInsight.

Misconception #2 — GDPR means that data must be anonymized

People often confuse anonymization, pseudonymization, and encryption. Aside from the fact that these techniques are very different, and are used in very different scenarios, none of them is mandatory under the GDPR. Some, however, are strongly recommended.

Anonymization enables data to be removed from the GDPR’s scope

Personal data means data associated with an identifiable, person.

Data is considered anonymous when the person concerned is no longer identifiable by any means whatsoever and , i.e. no data or data set can be traced back to the person’s identity. The data, then, is no longer personal data.

Pseudonymization and encryption are not the same as anonymization: see below.

Anonymization is not required by RGPD

In the whole of the GDPR, anonymization is mentioned only in a recital. This says that anonymous data, , is not subject to the regulation.[i]

Figure 1 / An example of anonymization using four columns, where the following techniques are applied: substitution on the first and last names, blurring (random variations that retain the overall average) on age, and shuffling on the postal codes. Having done this, the data can still be used for application testing (because its business significance is intact) and for certain statistical analyses (because the distribution has been maintained).

Anonymizing data, in GDPR terms, is as effective as erasing it.

However, while erasure may involve one attribute only (for example, a person who exercises their right to have their email address erased), anonymization has to cover all recorded data, i.e. all data that could allow a person to be identified. Indeed, it makes no sense to anonymize certain attributes (for example, first and last name) of a record while leaving the others unmodified (for example, email address, postal address, etc.).

To note: anonymization can never be considered absolute or 100% guaranteed! In particular, the residual re-identification risk must be taken into account because, by applying a more detailed analysis, an attacker may be able to determine a person’s identity with a high degree of probability. This risk will always exist and must be quantified. [ii]

Anonymization is efficient for precise use cases

As anonymization is, by definition, irreversible, it cannot generally be applied to production data used by business processes, because these would then be unusable. Therefore, what justifies anonymization rather than erasure of data is when it is to be used for:

• statistical analysis (for example, for marketing purposes);
• tests carried out during the software development cycle (in non-production environments: unit tests, integration, qualification, and acceptance testing).

Another use case is where a system does not allow data to be physically deleted. To erase it in this case, logical deletion and data destruction should be carried out, i.e. the application of a basic anonymization technique that consists of replacing the data with values that have no meaning (for example, replacing alphanumeric values by Xs and numbers by 0s or 9s). Of course, this technique makes statistical analysis or functional tests impossible.

Anonymization techniques are very varied and depend on the type of data and its intended use. There are numerous tools available in this maturing market.

Pseudonymization: an effective means of protection

In summary, pseudonymization consists of reversibly splitting people’s identifying data, using non-explicit pseudonyms (for example, random character strings) as the means of effecting the correspondence. This limits exposure to non-identifying, or quasi-identifying, data.

But pseudonymizing is not anonymizing! Indeed:

• it is reversible: you can find a person’s identity by using the correspondence table;
• data that is left unmodified can be quasi-identifying, which means that more detailed analysis could be used to achieve identification.

A technology mature for specific sectors, promoted by GDPR

Pseudonymization itself is not mandatory, but it is considered a valid technique for securing data—and securing data is mandatory! [iii] ^{, [iv]}

Pseudonymization, as well as its variants such as tokenization and hashing, are generally implemented in production to mask personal data as a function of the user’s role; the aim is simply to limit the exposure of personal data and, thus, the risks of leakage and attack. In contrast with anonymization, the market here is more mature (in particular, solutions have been developed in PCI-DSS contexts); but it doesn’t automatically follow that the same solutions represent the best choices for both anonymization and pseudonymization.

Encryption: an essential means of protection, but one that has its limits

Encryption is the reversible transformation of data—making it unreadable by applying an encryption function. The operation can be reversed only by using the encryption key, which is held by the relevant company or person. This greatly reduces the impact of data leakage.

Again, it should be noted that encryption is not anonymization! It can be reversed: key holders can access the data.

Encryption is promoted by GDPR

Encryption may mean that there is no need to report a data leak, when the leaked data is encrypted.[v]

Encryption itself is not mandatory, but it is considered a valid technique for securing data—and securing data is mandatory! [iii]

Encryption has been in widespread use for years and is standard in most data storage and transfer technologies. In an ideal world we’d see this practice extended to all environments: production and non-production, individual and shared storage spaces, etc. However, the impact of doing this is not negligible: in production, encryption has an impact on real-time flows because encryption-decryption operations take time and reduce performance; outside production environments, access to databases is, , granted to many different players (developers, testers, , etc.) who explore their contents directly and manually, something that makes encryption, as a general approach, difficult.

None of these techniques—anonymization, pseudonymization, or encryption—are imposed by the GDPR. They are, however, all suggested or recommended—but in specific cases, and to meet particular needs. Anonymization, which is irreversible, makes it possible to remove data from the GDPR’s scope, generally for the purposes of application testing or statistical analysis; to do this it must preserve the business significance and distribution of the data. In production, on-the-fly pseudonymization is used to limit data exposure to what is strictly necessary, according to the needs of the user who will access it: certain values are reversibly replaced by others that have no meaning. Lastly, the more widely used technique of encryption reversibly encrypts the values in a database, reducing the impact of any data leak because the data can be decrypted only by its key holders.

Protecting the data we hold is essential, but does that allow us to retain it indefinitely? It is commonly believed that the GDPR specifies a maximum time for data retention. This belief will be addressed in a third and final article in this series.

[i] Recital 26

[ii] An example of an attack for journalistic purposes: Oberhaus, D. (08/11/2017). “Votre historique de navigation privée n’est pas vraiment privé.” Available at: https://motherboard.vice.com/fr/article/wjj8e5/votre-historique-de-navigation-privee-nest-pas-vraiment-prive [FR], accessed 01/08/2018.

[iii] Recital 28

[iv] Article 32, Paragraph 1

[v] Article 34, Paragraph 3

[vi] Article 32, Paragraph 1

Cet article Three misconceptions about GDPR obligations (2/3) est apparu en premier sur RiskInsight.

La France finalise les textes pour se mettre en conformité avec la directive européenne NIS (Network and Information Security), avec trois textes qui transposent la directive dans le droit national Français, et un quatrième qui sera publié sous peu.

Quels ont été les choix de transposition de la directive NIS dans le droit national Français ? Et quelles seront les entreprises soumises à cette nouvelle législation et les impacts pour celles-ci ?

La transposition dans le droit national français

Pour entrer en vigueur, chaque Etat membre de l’Union européenne doit transposer la directive NIS dans son droit national, avec une date butoir fixée au 09 mai 2018 : spécification des mesures de sécurité à mettre en place, définition des procédures de notification, sanctions applicables…

La France respecte globalement ce calendrier, avec trois textes qui définissent en grande partie les modalités d’application de la directive NIS sur son territoire national :

• La loi n° 2018-133 du 26 février 2018 qui présente les mesures de transposition de la directive NIS dans la législation nationale,
• Le décret n° 2018-384 du 23 mai 2018 qui détaille les modalités d’application des obligations législatives, et liste les secteurs, les types d’opérateur et les services essentiels concernés,
• L’arrêté du 13 juin 2018 qui fixe les modalités de déclarations des incidents de sécurité.

Pour que la transposition de la directive européenne dans la législation Française soit complète, un dernier arrêté fondamental va être publié, et viendra préciser les mesures de sécurité à mettre en œuvre par les opérateurs de services essentiels. Il fera écho à la lettre de mise en demeure par la commission européenne, qui avait jugé la France en retard sur l’exhaustivité de la transposition dans le droit national, tout comme 16 autres Etats membres.

OSE et FSN : deux grandes typologies d’acteurs concernés

La loi française rappelle les deux grandes typologies d’acteurs concernés par la directive européenne : les Opérateurs de Services Essentiels (OSE) et les Fournisseurs de Services Numériques (FSN).

Opérateurs de services essentiels : la France élargit la liste des secteurs concernés

Les OSE sont les entités qui délivrent des services essentiels au fonctionnement de la nation, notamment au travers de leur Système d’Information Essentiel (SIE). Le décret n° 2018-384 complète la liste de la directive, en y ajoutant les secteurs de l’assurance, de la logistique, des produits pharmaceutiques, des services sociaux (partie paiement des prestations), de l’éducation et de la restauration collective dans les environnements sensibles.

Liste des secteurs d’activités concernés pour les OSE

(L’icône  précise les secteurs ajoutés par la législation Française par rapport à la Directive NIS)

La désignation des OSE sera effectuée par arrêtés du Premier Ministre d’ici novembre 2018, en lien avec les OSE, les Ministères concernés et l’ANSSI. La liste des OSE sera par la suite régulièrement actualisée, à minima tous les deux ans.

Fournisseurs de services numériques : la France veille à la bonne désignation des représentants

Les FSN sont les entités qui fournissent directement des services en ligne, de type sites d’e-commerce, moteurs de recherche ou services cloud, notamment utilisés par les OSE. Les Etats membres n’ont pas vocation à dresser la liste des FSN à l’échelle de leur territoire, mais la France pose pour autant un cadre en indiquant que les entreprises qui emploient moins de cinquante salariés et dont le chiffre d’affaire annuel n’excède pas 10 millions d’euros ne sont pas concernées.

Liste des secteurs d’activités concernés pour les FSN

En complément de la directive NIS, la France inscrit dans sa loi n° 2018-133 (Chapitre III, article 11) qu’un FSN établi hors de l’Union Européenne, qui offre ses services sur le territoire national et qui n’a désigné aucun représentant dans un autre Etat membre de l’Union européenne, procède à la désignation d’un représentant établi sur le territoire national auprès de l’ANSSI. La France se positionne ainsi en gardienne de la bonne application de la directive NIS en ce qui concerne les FSN, dans la mesure où un FSN qui tarderait à désigner un représentant en Europe serait donc légalement contraint de le faire en France.

Les exclusions : ne pas cumuler les exigences légales

Afin de ne pas surcharger de législations les acteurs déjà soumis à des règlementations plus contraignantes, la loi mentionne dans ses articles 2 et 5 la liste d’exclusions suivante :

• Les OSE ou les FSN soumis à des exigences sectorielles au moins aussi contraignantes que la présente législation, en particulier les OIV (Opérateurs d’Importance Vitale) sur leur SIIV (Système d’Information d’Importance Vitale) car déjà soumis aux exigences apportées par la Loi de Programmation Militaire,
• Les opérateurs de réseaux ou de services de communications électroniques, notamment car déjà soumis aux exigences du code des postes et des communications électroniques,
• Les prestataires de services de confiance soumis aux exigences du règlement eIDAS sur l’identification électroniques et les transactions électroniques.

Une législation plus stricte pour les OSE que pour les FSN

Le droit national Français traite des mêmes thématiques pour les OSE et les FSN, mais dans une approche différente : même si une base commune est définie, les OSE devront respecter une liste précise de mesures de sécurité, tandis que les FSN seront sur une approche par les risques (précisée par le règlement UE- 2018/151 du 30 janvier 2018), restant libres de prendre les mesures techniques et organisationnelles qu’ils jugent appropriées et proportionnées, et seront plutôt gérés à l’échelle européenne.

Une base commune d’obligations à respecter…

En premier lieu, l’identification d’un représentant de l’entreprise, qui sera le point de contact unique de l’ANSSI pour traiter les réceptions et les transmissions d’information,

Ensuite, la déclaration des réseaux et des systèmes d’information nécessaires à la fourniture du services essentiels / numériques, y compris ceux dont l’exploitation est confiée à des tiers. Au-delà d’un simple inventaire ou cartographie des actifs, les enjeux seront :

• De lister les éléments nécessaires à la délivrance des services essentiels / numériques, afin de ne pas imposer les mesures de sécurité sur un périmètre trop étendu de l’entreprise,
• D’exiger la mise en application de la règlementation sur les systèmes opérés par les tiers, en leur communiquant les mesures à implémenter, en révisant les contrats de sous-traitance, voir en auditant leur conformité.

Puis la déclaration des incidents de sécurité sans délai auprès de l’ANSSI (qu’il est conseillé de formaliser dans un processus), lorsqu’ils sont susceptibles d’avoir un impact significatif sur le service, en terme du nombre d’utilisateur impactés, de la zone géographique touchée, de la durée de l’incident… L’ANSSI pourra alors épauler l’entreprise sur le traitement de l’incident, notamment en activant le réseau des CSIRT.

Et enfin, l’obligation de se soumettre à des contrôles du respect des obligations ci-dessus, et qui devront faire l’objet de conventions et de rapports formalisés. Le 1^er ministre indiquera si ces contrôles seront effectués par l’ANSSI ou l’un des prestataires de services qualifiés PASSI (dans ce dernier cas, l’entreprise choisira le prestataire sur la liste qui lui sera communiquée).

… Mais des obligations complémentaires structurantes pour les OSE.

Contrairement à la liberté laissée aux FSN sur la manière de sécuriser leur services numériques, les OSE devront mettre en œuvre une démarche de sécurisation de leur SIE selon 4 grands principes imposés, qui seront bientôt détaillés par le futur arrêté :

• Gouvernance de la sécurité, via l’élaboration de politique de sécurité et d’homologation du SIE,
• Protection des SIE, avec la sécurité de l’architecture, de l’administration et des accès au SI,
• Défense des SIE, avec la détection et le traitement des incidents de sécurité,
• Résilience des SIE, notamment au travers de la gestion de crise.

Les opérations de contrôle pourront être déclenchées sans condition par le 1^er ministre pour les OSE, alors qu’elles ne seront menées chez les FSN que si le 1^er ministre est informé du non-respect d’une des obligations qui leur incombent.

Quels impacts financiers associés cette législation ?

Tout d’abord, la législation précise clairement que les OSE et les FSN devront financer leurs différentes actions de mise en conformité, mais également les contrôles demandés par l’ANSSI.

Ensuite, en cas de manquement à leurs obligations, les dirigeants des OSE et des FSN pourront écoper d’amendes, avec des montants supérieurs pour les OSE par rapport aux FSN :

L’ordre de grandeur et le principe des amendes sont quant à eux plus proches de ceux apportés par la Loi de Programmation Militaire que ceux du Règlement Général sur la Protection des Données (RGPD).

Quelles sont les prochaines étapes ?

La publication de l’arrêté qui précisera les règles de sécurité pour les OSE, indispensable pour compléter la transposition de la directive NIS dans le droit national Français. Il permettra de jauger le niveau de sécurisation souhaité par l’état Français, et d’en déduire l’effort de mise en conformité des SIE.

D’ici au mois de novembre, la désignation progressive des OSE, qui auront alors :

• Deux mois pour communiquer les coordonnées de leur représentant à l’ANSSI,
• Trois mois pour formaliser et transmettre la liste et la description des réseaux et systèmes d’information pour lesquels l’existence d’incidents pourrait gravement affecter la continuité des services essentiels au fonctionnement de la société ou de l’économie.

Pour les FSN, la désignation d’un représentant, avec deux cas possibles :

• Si le siège se situe en Union Européenne, déclaration auprès de l’autorité de l’Etat où se situe le siège,
• Si le siège se situe hors de l’Union Européenne, déclaration auprès d’une autorité d’un Etat membre où le FSN exerce son activité.

Les acteurs concernés par la directive NIS sont consultés en France et en Europe depuis plus d’un an et sont informés de leur potentielle désignation. Ils ne seront donc pas surpris le moment venu. Ces derniers peuvent d’ores et déjà lancer les premières actions de mise en conformité : identification du périmètre concerné, inventaire des réseaux et système d’information qui le composent, formalisation du processus de déclaration des incidents de sécurité aux autorités.

Des modalités de mise en œuvre qui restent à préciser aux niveaux national et local

Une fois que le dernier arrêté concernant les mesures de sécurité pour les OSE sera publié, le cadre législatif et règlementaire Français posera des bases claires d’application de la directive NIS, par ailleurs cohérentes avec les différentes règlementations déjà en place sur le sujet.

En revanche, des questions restent à trancher au niveau européen pour faciliter la gestion des acteurs transfrontaliers : rattachement d’un OSE à plusieurs Etats membres ? Désignation d’une autorité de référence ? Communications et hiérarchie entre autorités nationales ?… Autant d’enjeux à adresser rapidement par le groupe de coopération dédié à NIS, en place depuis février 2017.

Cet article Directive européenne NIS : quelle transposition dans le droit français et quel impact pour les entreprises ? est apparu en premier sur RiskInsight.

Idée reçue #3 – Il y a une durée maximale de conservation des données

Cette durée n’est pas fixée de manière absolue par le RGPD en mois ou en années. La règle est toujours la même : les données ne peuvent être conservées que si elles sont utilisées pour un traitement qui est couvert par une justification (contrat, consentement, obligation légale…).[1]^,[2] Si la justification tombe (par exemple par retrait du consentement ou fin d’un contrat) pour un traitement donné, la donnée ne peut plus être utilisée pour ce traitement. Si aucun autre traitement n’utilise ces données, celles-ci doivent être effacées immédiatement, ou pour le dire comme le règlement, « dans les meilleurs délais »[3].

Les données peuvent être conservées tant qu’elles servent à au moins un traitement couvert par une justification !

Il existe de nombreux cas où la fin d’une justification, comme l’arrêt d’un contrat, ne va pas impliquer la suppression des données, car une autre justification est présente. Par exemple, si mon contrat téléphonique prend fin, l’opérateur peut être amené à conserver les données dans le cadre de mon contrat internet que j’ai conclu avec lui. Il est des cas également où la société a un intérêt, voire l’obligation, de conserver certaines données, par exemple pour archivage : c’est le cas par exemple des CV de candidats non retenus, des bulletins de paie ou encore des relevés d’information des assureurs.

Il existe néanmoins dans certains cas, et pour certaines catégories de données, une durée de conservation maximale autorisée ou minimale requise

Ces durées ne sont pas indiquées dans le RGPD. Il peut exister des durées spécifiques à certaines catégories de données, propres à la nature de la donnée en question, et découlant d’autres textes de loi, comme le Code de la Sécurité Sociale (ex. : prescription des paiements de l’assurance maladie, décomptes), le Code du Travail (ex. : conservation des bulletins de paie), le Code Civil (ex. : prescription d’un contrat de travail), ou encore des textes relatifs à des secteurs spécifiques, comme le Code des Assurances (ex. : prescription d’un contrat d’assurance vie). Il s’agit souvent de durées minimales, au bout desquelles une prescription autorise l’effacement des données.

De plus, la CNIL a défini, dans le contexte législatif précédent le RGPD, des Normes Simplifiées, spécifiant souvent des durées de conservation maximale, par exemple dans le domaine de la relation commerciale[4], ou encore dans le recrutement[5]. Ces documents n’ont plus de valeur juridique[6] depuis l’entrée en vigueur du RGPD, mais en attendant la production de nouveaux référentiels basés sur le RGPD, ils peuvent continuer à servir de guide, afin de définir une durée de conservation qui satisfasse aux besoins de l’entreprise tout en n’étant pas abusive vis-à-vis des personnes concernées.

Il existe donc deux raisons qui peuvent nécessiter l’effacement d’une donnée :

• la caducité d’une base légale[7] (retrait du consentement, fin du contrat, écoulement de la durée légale minimale de conservation, etc.), sans qu’aucun autre traitement licite ne justifie la conservation de la donnée ;[8]
• l’écoulement de la durée maximale de conservation pour les données qui y sont soumises (par exemple les durées définies par la CNIL), là aussi sans qu’aucun autre traitement licite ne justifie la conservation de la donnée.

C’est pour ces raisons que le RGPD impose que la durée de conservation soit maîtrisée, notamment par la mise en place – recommandée – d’un délai butoir, au bout duquel on réviserait la licéité du traitement et de la conservation.[9]^,[10] Pour reprendre les mots du considérant 39 : « afin de garantir que les données ne sont pas conservées plus longtemps que nécessaire, des délais devraient être fixés par le responsable du traitement pour leur effacement ou pour un examen périodique », à sa discrétion.

Une implémentation du délai butoir centralisée avec la gestion des bases légales

Nous voyons bien ci-dessus les parallèles entre la gestion des bases légales et les durées de conservation : en effet, il s’agit dans les deux cas de gérer les situations où un événement (par exemple le retrait d’un consentement ou la fin d’une durée légale de conservation) nécessite de revoir les justifications qui permettent de conserver une donnée, et d’effacer cette donnée si plus aucune justification ne la couvre.

La complexité supplémentaire avec les durées de conservation est qu’elles sont définies au cas par cas par différentes lois sur certaines catégories de données, qu’elles sont tantôt maximales, tantôt minimales, et qu’elles courent à partir d’un élément déclencheur. Dans tous les cas, il convient de les gérer de façon centralisée avec les bases légales, étant donné que pour les deux il va falloir créer des règles de gestion applicables aux données d’une personne identifiée conduisant éventuellement à leur effacement.

Là où la gestion peut différer, c’est que dans les cas des durées de conservation, l’on peut procéder :

• soit de façon événementielle: l’écoulement de la durée de conservation définie par le responsable du traitement entraîne directement la suppression de la donnée,
• soit de façon planifiée, à une fréquence à définir : par exemple avec une purge mensuelle ou trimestrielle où l’on supprimerait tous les CV de candidats avec qui il n’y a plus eu de contact depuis 2 ans.

Dans tous les cas, une gestion automatisée nécessite évidemment de tracer de manière précise les actions (ex. : contacts avec le candidat) et de relier les données aux bases légales qui justifient leur conservation afin de ne pas supprimer des données qui ne le devraient pas (exemple pour un assureur : suppression au bout des 10 ans légaux d’un contrat d’assurance et des données de la personne associée, alors qu’elle a un autre contrat en cours ou que l’on a son consentement pour un autre traitement).

Figure 1 / Exemple de règle de gestion pour gérer une durée de conservation liée à un contrat

Enfin, les durées de conservation, tout comme les bases légales justifiant chaque traitement, doivent être définies par le métier et les directions juridique ou de la conformité, afin que la DSI puisse les implémenter en concevant les règles de gestions appropriées. Ces règles de gestion devraient gérer de façon similaire et croisée les éventuelles actions automatiques sur la donnée découlant des durées de conservation et celles découlant des bases légales (fin de contrat, consentement), afin notamment que des données ne soient pas supprimées inutilement.

Le RGPD ne spécifie pas de durée en tant que telle, mais demande que soient définies, mesurées et maîtrisées des durées de conservation, qui dans certains cas sont définies par d’autres lois. Ce travail nécessite une collaboration entre les services juridiques ou conformité d’une part et les métiers (ou MOA) d’autre part. L’implémentation, quant à elle, nécessite d’intégrer ces durées de conservation aux mêmes règles de gestion que celles qui régissent les bases légales, comme en cas de retrait du consentement ou de fin d’un contrat.

[1] Voir notre article précédent Idée reçue #1 – Le consentement est obligatoire 

[2] « conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées », Article 5, paragraphe 1, point e)

[3] Article 17, paragraphe 1

[4] CNIL (11/07/2013). Norme Simplifiée NS-056 « Fiche clients-prospects des assureurs ». Disponible à l’adresse : https://www.cnil.fr/fr/declaration/ns-056-fichier-clients-prospects-des-assureurs, consultée le 18/09/2018

[5] Fiche explicative de la CNIL : CNIL (octobre 2016). « Travail & données personnelles – Le recrutement et la gestion du personnel ». Disponible à l’adresse : https://www.cnil.fr/sites/default/files/atoms/files/_travail-vie_privee_recrutement_gestion_du_personnel.pdf, consultée le 25/04/2018.

[6] CNIL. « Les normes et les dispenses de déclaration ». Disponible à l’adresse : https://www.cnil.fr/fr/liste-des-normes-et-des-dispenses, consultée le 18/09/2018

[7] Voir notre article précédent Idée reçue #1 – Le consentement est obligatoire

[8] Article 5, paragraphe 1, point e)

[9] Considérant 39

[10] Article 30, paragraphe 1, point f)

Cet article 3 idée reçues sur les obligations du RGPD (3/3) est apparu en premier sur RiskInsight.

Nous avons mené un benchmark afin d’évaluer comment les entreprises ont interagi avec le grand public Pour cela, un panel d’une trentaine d’entreprises dont les services sont régulièrement utilisés par le grand public a été sondé avec les comptes personnels des auteurs.

Toutes les entreprises n’ont pas communiqué sur le RGPD

54% des entreprises du panel ont eu une communication proactive envers leurs clients. Si le grand public a eu l’impression d’être déjà fortement sollicité, il aurait pu recevoir davantage de communication. Parmi ces 54%, la moitié a envoyé un e-mail, l’autre moitié ayant préféré afficher un pop-up ou un message d’avertissement sur leur site web ou application mobile.

Par ailleurs, l’envoi d’e-mail sur le RGPD a certes permis aux entreprises de communiquer rapidement sur le sujet, mais cette communication était souvent générique et aurait pu être adaptée au client (intégration dans le parcours client, personnalisation des communications, etc.)

La mise en place du RGPD n’impose pas de communiquer autour du 25 mai

Les entreprises doivent informer leurs clients des traitements effectués lors de la collecte des données. Pour autant, le règlement n’impose pas de communiquer sur la mise en œuvre du RGPD en tant que telle.

Ainsi, celles qui ont communiqué autour du 25 mai dernier l’ont fait pour diverses raisons :

• Certaines ont effectivement vu dans le RGPD une occasion de renforcer la confiance accordée par leurs clients. Elles leur ont donc envoyé des e-mails marketés pour présenter leur nouvelle charte sur la protection des données.
• D’autres, encouragées par leurs services conformité, ont envoyé un e-mail au contenu juridique pour être certaines d’être conformes, notamment sur l’obligation de transparence.

Par ailleurs, certaines entreprises qui ne respectaient pas correctement le droit à l’information ont profité de cette communication pour se mettre en conformité.

Enfin, dans certains secteurs, l’envoi d’une première communication a déclenché un effet similaire chez les concurrents dans les jours suivants.

La portée même des messages, a parfois été être contre-productive. En, effet le RGPD exige une communication claire et lisible. Or les communications reçues étaient souvent complexes, juridiques et peu accessibles pour le grand public, contrairement à ce qui est imposé par le règlement. Plus ironiquement, certains clients ont découvert l’existence de leurs comptes personnel dans ces entreprises en recevant l’e-mail… auquel ils ont répondu en exerçant leur droit à l’oubli. Enfin, il est fort à parier que peu de clients aient lu l’ensemble des e-mails reçus sur le sujet.

Une communication centrée sur leur nouvelle charte de protection des données à caractère personnel…

94% des entreprises du panel ont soit mis à jour leur charte de protection des données à caractère personnel, soit en ont créé une nouvelle. D’une entreprise à l’autre, les chartes se composent des mêmes parties clés, à l’exception de la partie sécurité des données, présente dans seulement 11% des chartes. Cette partie est pourtant essentielle, puisqu’elle doit présenter les mesures adoptées par l’entreprise pour sécuriser les données de leurs clients.

Le contenu de chaque partie diverge d’une charte à l’autre. Certaines chartes restent très génériques et n’apportent pas de précisions sur les traitements réalisés, les acteurs qui traitent nos données, les tiers à qui elles sont transférées, les durées de conservation des données, les droits exerçables, et les aspects liés à la sécurité. D’autres, plus rares, apportent des réponses complètes aux utilisateurs qui permettent d’éclairer pleinement son choix sur le traitement de ses données. Un grand nombre de ces chartes devra être amélioré par la suite pour être plus précises et répondre au besoin de transparence.

A la lecture de ces documents, a l’instar des e-mails envoyés, il est possible de distinguer des objectifs distincts pour les chartes :

• Les chartes plutôt juridiques et techniques qui permettent aux entreprises de répondre stricto sensu à l’exigence de transparence ;
• Les chartes dont la lecture et la compréhension sont accessibles au grand public. Elles sont par exemple accompagnées de vidéos ou d’un glossaire facilitant leur compréhension. Certaines de ces chartes proposent même plusieurs niveaux de lecture plus ou moins détaillés qui permettent au lecteur de ne creuser que les points qui l’intéressent.

Sur le long terme, il est fort probable que toutes les chartes tendront vers la seconde catégorie et que leur rédaction soit non plus confiée aux services juridiques, mais aux services marketing et commercial.

… et parfois pour renouveler les consentements

20% des entreprises ayant communiqué en ont également profité pour lancer une campagne de renouvellement des consentements. Ceux-ci portaient essentiellement sur de la communication commerciale. La plupart des entreprises ayant déjà adopté les bonnes pratiques de la CNIL sur la collecte des consentements, seules les entreprises pratiquant jusqu’à maintenant l’opt-out ou ne différenciant pas leur propre communication de celle de leurs partenaires ont renouvelé leurs consentements.

À noter que si la majorité des entreprises gère les consentements liés à la communication commerciale, ce n’est généralement pas le cas pour d’autres types de consentements. En effet, les consentements spécifiques aux activités des entreprises, telles que la reconnaissance faciale, la géolocalisation pour les entreprises du secteur des transports, l’accès aux contacts ou appareil photo pour les messageries, sont gérés uniquement par les entreprises du secteur du numérique (GAFA notamment). Quant aux consentements liés aux données dites sensibles, ils n’apparaissent nulle part, même chez les entreprises susceptibles d’en utiliser comme certains sites de rencontres.

Une gestion des consentements en ligne hétérogène

92% des entreprises ont sur leur site un espace dédié aux données à caractère personnel permettant de gérer a minima le consentement sur la communication commerciale. Néanmoins, deux types d’espaces se dégagent : la page de gestion des préférences commerciales et le privacy center.

La page de gestion des préférences commerciales permet à l’utilisateur de gérer des consentements relatifs à la communication commerciale (être contacté pour les nouvelles offres internes ou par des partenaires, recevoir des newsletters). Néanmoins, la gestion de ce type de consentement est souvent proposée depuis longtemps par les entreprises.

20% des entreprises sont allées plus loin et on mis en place un espace en ligne dédié à la gestion des données à caractère personnel de leurs clients sur leur site web. Au sein de cet espace, aussi appelé Privacy Center, les clients peuvent modifier leurs données, exercer directement leurs droits, contacter le DPO, ou gérer finement l’ensemble des consentements. Les GAFAs (notamment Google et Facebook) sont les plus avancés dans ce domaine. Cela leur a permis d’automatiser en grande partie la réponse aux demandes d’exercice de droits et la gestion des consentements. Ils permettent ainsi à leurs utilisateurs de contrôler quasi instantanément les paramètres de protection de leur vie privée.

De manière générale, la mise en place d’un privacy center est une bonne pratique. Chaque Privacy Center devra néanmoins être plus ou moins étoffé en fonction du métier de l’entreprise et des données traitées. Par exemple, le Privacy Center de Google sera nécessairement plus étoffé que celui d’une entreprise de vente de vêtements par exemple.

Une gestion des cookies elle aussi hétérogène

De même que pour les consentements, les entreprises proposent un niveau de gestion des cookies hétérogène. Ainsi, 49% des entreprises n’offrent pas la possibilité de modifier les consentements relatifs aux cookies.

De plus, parmi les entreprises qui offrent la possibilité de modifier les consentements sur les cookies, un quart d’entre elles renvoient vers la gestion des cookies directement au sein du navigateur. Elles se reposent ainsi sur les navigateurs web qui n’offrent souvent pas la possibilité de gérer des consentements selon les exigences requises.

13% des entreprises du panel, essentiellement dans le secteur du numérique offrent finalement aux utilisateurs la possibilité de contrôler les cookies directement depuis l’interface de leur site web. Ce chiffre va très probablement augmenter dans les mois à venir.

À noter que si la CNIL autorise les entreprises à déléguer la gestion des consentements des cookies dans les navigateurs web, il est plus simple de le faire directement dans l’interface des sites du point de vue de l’utilisateur.

Un quart des entreprises ne permettent pas d’exercer les droits par voie électronique…

Nous avons également intégré dans l’enquête des demandes de droit d’accès.

22% des entreprises du panel ne permettent pas l’exercice des droits par voie électronique mais uniquement en courrier papier, même si elles collectent les données par voie électronique. Or la loi Informatique et Liberté, mise à jour par la Loi Lemaire en 2016, impose aux entreprises de permettre à toute personne d’exercer ses droits par voie électronique, si ses données avaient été collectées également par voie électronique. Trois quarts des entreprises interrogées respectent cette loi en offrant la possibilité à l’utilisateur d’exercer ses droits par voie électronique, que ce soit via son privacy center, un formulaire en ligne ou encore par e-mail.

Pour recevoir et qualifier les demandes d’exercice de droits, 50% des entreprises profitent des ressources techniques et humaines de leurs services clients. Les autres ont préféré assigner l’activité à un département dédié.

…et le temps de traitement des demandes est souvent supérieur à 1 mois

La loi Informatique et Libertés imposait un délai de deux mois pour répondre à une demande d’exercice de droit. L’article 12 du RGPD accorde un délai d’un mois à compter de la réception de la demande, ce délai pouvant être allongé de deux mois en fonction de la complexité de la demande.

28% des entreprises ne réagissent pas suite à une demande, c’est-à-dire n’accusent pas réception des demandes ou ne demandent pas une preuve d’identité. Pour les entreprises qui répondent aux demandes : 69% n’envoient pas les données à caractère personnel de l’utilisateur dans un délai de 1 mois à compter de la demande.

Par ailleurs, pour les entreprises du panel, le délai d’un mois ne commence à courir le plus souvent qu’au moment de l’accusé de réception, suite au contrôle d’identité. Pour certaines entreprises, la demande d’une pièce d’identité ou sa vérification peut prendre plusieurs semaines, ce qui implique un délai de traitement de la demande trop long.

Concernant le contrôle d’identité, une seule entreprise du panel n’a pas vérifié l’identité du demandeur.

Parmi celles qui vérifient l’identité du demandeur, 70% le font à l’aide d’une copie d’une pièce d’identité. Ce moyen de vérification de l’identité est donc le plus courant, même s’il est imparfait. En effet, d’un côté cette pratique ne couvre pas totalement le risque d’usurpation d’identité. De l’autre, elle génère parfois des interrogations de la part des demandeurs qui ne comprennent pas pourquoi l’entreprise a besoin d’une pièce d’identité pour répondre à la demande. Il est alors nécessaire de faire preuve de pédagogie sur ce sujet.

Certaines entreprises vérifient l’identité par connexion du demandeur à son espace personnel à l’aide de l’identifiant et du mot de passe, pas appel téléphonique, ou questions d’identification (principalement les GAFA, les entreprises du secteur du numérique et quelques banques).

Enfin concernant l’envoi des données du demandeurs, les moyens sont très variés et il est difficile d’établir dès à présent des grandes tendances. Ainsi, certaines entreprises ont envoyé les données ainsi :

• Capture d’écran du CRM dans une pièce jointe d’un email
• Envoi d’une clé USB chiffrée par courrier
• Envoi des données par courrier en recommandé avec accusé de réception
• Téléchargement d’une archive depuis un serveur sécurisé
• Téléchargement d’une archive chiffrée et transmission du mot de passe par téléphone
• Envoi des données dans un PDF en pièce jointe d’un email

De manière générale, si les données issues des CRM sont bien envoyées, les données produites à partir des informations du client ne sont souvent pas transmises au demandeur. En effet, les réponses ne comportent pas les informations liées aux préférences par exemple ou autres données tirées d’analyses ou d’études des profils.

Le marché n’est pas prêt !

Le marché s’est mis en marche et a déjà adopté un certain nombre de bonnes pratiques, il n’est pas encore prêt. De nombreux éléments tel que les chartes, les privacy centers, la gestion des cookies, le traitement des demandes ont été lancés avec une approche tactique et juridique. Ces éléments devront certainement évoluer dans les prochains mois afin d’intégrer une approche plus centrée sur le client et en rendant les dispositifs réellement opérationnels.

Enfin, cette étude cible la face émergée de l’iceberg : ce qui est visible du client. Cette face, certainement prioritaire n’est pas totalement prête. Quand est-il maintenant de la phase immergée, les processus internes des entreprises ?  Nous reprenons la suite de cette enquête avec ce nouveau prisme. Nous en mettrons les résultats en ligne à la rentrée !

Cet article Au lendemain du RGPD, où en est le marché ? est apparu en premier sur RiskInsight.

Under the French Military Programming Act (MPL), certification is a mandatory procedure that applies to Vitally Important Operators (VOI). It helps to manage the issues and security levels for all Vitally Important Information Systems (VIIS)

Certification is a core issue to the MPL compliance strategy, because it provides a concrete and operational means of breaking down the MPL’s requirements while reducing security risks.

ANSSI—The French National Cybersecurity Agency—has produced a guide that describes the key steps in certification. These steps are:

• Defining a certification strategy (a scoping document describing how to achieve certification)
• Performing a risk analysis on a VIIS
• Conducting a certification audit
• The certification decision
• Post-certification monitoring

The approval decision must be made by the Certification Authority (CA), which is the legal entity responsible for certifying VIIS. It is assisted by the Certification Commission, an internal group of experts responsible for doing the preparatory work for the certification decision.

The information required to make the decision is compiled in the certification file. This allows the Certification Commission to attest to the level of security and accept the residual risks. Ultimately then, it is the Certification Commission that attests to the fact that the risks are being properly managed.

An approach to quickly assess existing VIIS

Retro-certification: how to certify VIIS already in production

For existing VIIS, the certification model is different, although the objectives remain the same. An assessment of existing VIIS is the starting point for certification, and performing a dry-run audit (or using a previous audit report) serves to speed up the gathering of information and the identification of risks.

Conversely, the security measures have to be applied to a history that can be challenging to transpose. Compensatory measures therefore have to be identified, prioritized, and implemented.

This retrospective certification, or retro-certification, must enable the business to consider the risks in an exhaustive fashion, and prioritize the actions, in order to reduce them to an acceptable level by making the necessary investments.

While it’s important to design the certification process such that it has the capacity to process future VIIS, it is mostly for existing VIIS that VOI are actually busy with, and retro-certification is, therefore, a priority.

Adopting a test & learn approach

In order to define and deploy a certification procedure within the framework of the MPL, VOI can define an initial pilot stage to test and refine the process before using it—at full scale—on a VIIS.

The objective of this pilot phase is to compare the methodology and the reality on the field, with the aim of validating the approach and the steps defined (procedures, people who need to be involved, etc.). Taking such approach highlights areas of difficulty (related to IS administration, partitioning, patch management, etc.), and enables a concrete and achievable remediation plan to be put together.

The choice of pilot VIIS is essential in anticipating the problems that will be encountered. It makes sense to choose a pilot VIIS that is representative of all the other VIIS (typical size, limited interactions, etc.).

Demonstrating the security level generated by the MPL

Among the various work streams and projects triggered by the MPL, it’s the certification program that enables security to be strengthened effectively. This can be achieved not just by highlighting security at high level both internally (with senior management and those with accountability for certification) and externally (with ANSSI and the government), but also by quantifying the degree of risk reduction required (through risk analysis) and achieved (through audit).

Achieving certification enables actual risks to be communicated, and the players involved to be made responsible and aware (particularly senior management—as a result of interactions with those accountable for certification).

All the activities undertaken for MPL compliance are compiled in a certification file, which gives them a practical reality. This includes observations about security, obstacles encountered, and an overview of the complexity involved in compliance.

The certification file must be made available to ANSSI. The file represents a showcase for ANSSI with respect to the VOI’s compliance with the MPL—and it pays not to cut corners! The VOI must demonstrate the gains made in security and the clear validation of the theoretical responses to compliance.

Maintaining a high level of security over time

Creating a certification mindset

Certification doesn’t end when the certification decision has been made and the system put into production. This only marks the start of the risk-management process. It’s then a question of maintaining momentum, increasing visibility, and ensuring the ongoing management of security. Certification must be renewed at least every three years, or during periods of major change to the VIIS, something that forces a reconsideration of whether the VIIS is actually secure in the way described in the risk analysis.

Therefore, for an existing VIIS, a process needs to be set up to monitor and identify security-related changes to it. This must be carried out in the context of an organizational structure, for example with a named person holding the responsibility to identify and assess any changes. This person, can, in particular, establish a list of key events, for example: changes to the level of exposure of the VIIS, the arrival of new Service Providers, functional developments in the VIIS, or modifications to infrastructure or operational management); these will provide a basis for assessing any requirements for the system to be overhauled.

The establishment of a certification governance committee ensures a degree of momentum in the certification process. Updating the methodology for integrating security into projects enables new projects to be taken into account, risk management to be applied from the beginning, and advance preparation for VIIS compliance.

Providing a clear and understandable framework for application owners

Application owners are key players in maintaining security and certification over time. This is not just because they have a good overview of their VIIS, but also because they are aware of developments to it. If their attitude is one of fear of the MPL, this can lead to a poor approach to security. Conversely, a good understanding of MPL issues, certification, and continuous improvement, can enhance VIIS security.

Special attention should be paid to supporting application owners, and raising their awareness about security in general, and the certification process in particular. To achieve a win-win approach, and improve security over time, you must bring application owners together and get their buy-in.

Security certification: an approach that enhances risk management over time

Beyond essential regulatory requirements, the MPL has to be seen as a catalyst that can enhance risk management within a VOI: from operational level, through application owners, right up to the senior management.

After taking the first step of overhauling and implementing risk-reduction measures on an existing VIIS, certification ensures that levels of security are maintained right across it. Given this, it’s vital that the players involved remain engaged over time to ensure that the initial momentum is maintained.

Cet article Security certification: the key to complying with the french military programming Law (MPL) est apparu en premier sur RiskInsight.

Affirmation des grandes orientations sécurité, précisions importantes et nouvelles préconisations : cet article propose une synthèse objective des changements apportés dans cette récente version, afin d’en faciliter l’appropriation par les acteurs du SI et de sa sécurité, et guider de potentielles évolutions dans la pratique de l’administration.

Une nouvelle version reposant sur les retours terrains

L’administration d’un SI est, en raison des missions qui lui sont associées (installation et paramétrage des systèmes, mises à jour, supervision…) et des capacités qu’elle délivre à ses exécutants (capacités d’action étendues sur les biens, accès direct aux données sensibles…), une composante fondamentale de la stratégie de sécurisation d’un système.

Un premier guide sur le sujet fut diffusé par l’ANSSI en 2015, et a servi de cadre de référence pour des entreprises et administrations afin d’appuyer leurs chantiers de mise en conformité, par exemple dans le cadre des homologations de sécurité de leur système. Depuis, l’ANSSI a échangé avec les différents acteurs du monde du SI et de sa sécurité, bénéficié de retours d’expérience concernant l’interprétation et l’adoption de ce guide et constaté sur le terrain (à travers audits, entretiens et études documentaires notamment) son implémentation effective.

Si elle ne bouleverse pas la ligne directrice, cette nouvelle version apporte de nombreuses clarifications et précisions d’importance sur les orientations fondamentales de l’ANSSI et couvre certains non-dits, le tout dans une approche plus didactique et claire permettant une meilleure appropriation par les publics visés : les sections sont réorganisées, parfois épurées, et souvent accompagnées de schémas de principe facilitant la compréhension concrète des attendus. Elle propose également quelques compléments sur l’état de l’art et la maturité de certaines solutions spécifiques.

Des orientations fondamentales confirmées

Au global, les niveaux d’exigence sont conformes à ceux de la première version et les objectifs fondamentaux y sont confirmés : maximiser la protection du SI d’administration et la protection du SI administré en cas de compromission du SI d’administration, suivant le principe régulièrement mis en exergue de « défense en profondeur ».

Entre autres, l’ANSSI réaffirme la nécessité :

• D’employer des postes dédiés à l’administration (ou, si une dégradation importante du niveau de sécurité peut être accepté, des contextes dédiés sur un même support physique), durcis, cloisonnés de tout autre système, et dont le disque est chiffré (R9-R14)
• De privilégier le principe de précaution prévalant en matière de virtualisation. La complexité des solutions de virtualisation et la difficulté à évaluer ou maîtriser leurs mécanismes de cloisonnement engendrent des réserves importantes sur leur utilisation en contexte sensible (R7)
• D’une authentification forte, ne se limitant pas à un simple mot de passe, de comptes dédiés pour les administrateurs et de l’application stricte du principe de moindre privilège pour leurs activités (R27, R29, R36, R39)
• D’un Maintien en Conditions de Sécurité (MCS) / Patch management rigoureux sur tous les systèmes, et tout particulièrement sur les composants d’administration (R42)
• D’un chiffrement de l’intégralité des flux d’administration, selon les recommandations du RGS (R24).

Des précisions importantes apportées

Plus que des nouvelles mesures, l’ANSSI détaille plusieurs d’entre elles pour éviter les erreurs d’interprétation et assurer une mise en phase avec l’état de l’art :

• La réalisation d’une analyse de risques et sa révision régulière sont recommandées dès le début du guide (R4), preuve supplémentaire que celui-ci est construit dans une approche plus globale de la SSI
• La notion de zones de confiance est définie très explicitement, et la relation par défaut « une zone de confiance métier = une zone d’administration dédiée » est avancée sans ambiguïté (R5, R22)
• Si le cloisonnement SI métier / SI d’administration apparaissait déjà dans la première version, le nouveau guide insiste à de nombreuses reprises, schémas à l’appui, sur toutes les dimensions à prendre en compte, certaines étant potentiellement négligées : réseau physique, infrastructures serveur et stockage et leurs interfaces physiques, annuaires…doivent être dédiés au réseau d’administration (R15, R18, R19, R28, R29). Aucune mutualisation ne peut être mise en œuvre.
• Les outils d’administration installés localement sur les postes sont à éviter, en ce qu’ils diminuent potentiellement leur maîtrise (R22)
• L’utilisation de produits qualifiés par l’ANSSI fait l’objet d’un rappel important : pour chacun, il est nécessaire de prendre garde à la version de produit qualifiée, et à la cible de sécurité définie lors de cette démarche, possiblement en déphasage avec l’usage réalisé (R6)
• Les pratiques liées au nomadisme sont l’objet d’une position plus appuyée, insistant sur l’importance de maîtriser entièrement les postes concernés (R48 à R50). De plus, la notion d’évaluation du “niveau de confiance” des différentes populations d’administration est explicitement avancée dans ce cadre (R51), généralisant la distinction internes/prestataires du précédent guide.
• Considérant le besoin de connexion du poste d’administration vers le poste bureautique, l’ANSSI émet un avis relatif aux logiciels de connexion répondant à cet usage : aujourd’hui, aucun produit du marché ne répond aux exigences de sécurité associées, et ne peut être considéré « de confiance » (section 4.2)
• De la même façon, l’ANSSI exprime des réticences quant aux solutions désignées comme « bastions » par différents éditeurs aujourd’hui, et qui n’offrent a priori pas de gages de sécurité suffisants, ou mènent à des usages non conformes aux profils de sécurité qu’ils sont en mesure de fournir (section 12.1). L’usage de simples « rebonds » peut alors être à privilégier.

La place plus importante et appuyée de ces mesures montre l’importance qu’elles revêtent aujourd’hui aux yeux de l’ANSSI, et indique que d’importants efforts peuvent encore être nécessaires pour leur adoption sur de nombreux systèmes.

Quelques “nouveautés”, prévenant les écueils parfois rencontrés

S’il n’apporte pas de changement majeur, ce nouvel opus apporte quelques nouveautés sur des points précis. Certaines relèvent de l’explicitation de mesures qui n’étaient pas clairement exposées dans le guide précédent :

• La restriction, pour l’administration du SI, à l’utilisation d’équipements entièrement maîtrisés (R8), excluant les dispositifs personnels (BYOD)
• L’importance de disposer de documentation et cartographie exhaustives des systèmes (R3), bien que le rôle des administrateurs dans sa constitution et son maintien ne soit pas précisé.
• La nécessité de changer les mots de passe par défaut des équipements (R34)
• Le besoin de sauvegarder, au même titre que sur le périmètre métier, les données et composants du SI d’administration, et de réaliser des tests de restauration (R45)
• La notion « d’administration du SI d’administration » à prendre en compte, avec des standards à minima aussi exigeants, comprenant notamment des postes et serveurs dédiés (section 12.4)

D’autres préconisations nouvelles reposent sur un socle déjà présent dans la première version du guide, mais font l’objet de compléments importants, menant potentiellement à de nouveaux chantiers :

• L’importance de la gestion des habilitations spécifique des administrateurs est rappelée, et l’utilisation de groupes et de référentiels d’habilitations est désormais clairement recommandée (R40), afin d’apporter clarification et allègement considérable de ce processus
• Les comptes, s’ils doivent être dédiés à l’administration, doivent également être distincts entre les différents domaines techniques (section 7.1)
• Le rôle des administrateurs fait toujours d’eux des plaques tournantes de la sécurité des SI, mais le guide indique désormais que « pour toute question relative à la sécurité des systèmes d’information (SSI), un administrateur doit pouvoir s’adresser à des référents internes de l’entité » (section 2.2). Dans la précédente version, ce soutien à l’administrateur n’apparaissait pas et pouvait le laisser apparaître comme seul responsable de la sécurisation
• Des moyens d’échanges (mail, messagerie instantanée…) entre administrateurs au sein même du SI d’administration sont recommandés (R53), afin d’éviter les contournements et fuites de données potentielles parfois envisagés lorsque ces fonctionnalités sont absentes : passage par un serveur non prévu à cet effet ou, pire, détour par l’environnement bureautique

Enfin, un seul point discuté dans la première version disparaît : Le dispositif de diode n’est plus évoqué, au profit d’un système d’échanges hors SI d’administration répondant mieux aux besoins fonctionnels de l’administration, en ce qu’il permet des échanges bidirectionnels, et assurant un certain niveau de sécurité (au niveau réseau et logiciel, et non plus matériel).

Les mesures de sécurité associées restent cependant pertinentes dans certains contextes, où des risques spécifiques doivent être couverts.

Une mise à jour bienvenue

Sans provoquer de changement fondamental sur les principes de l’administration sécurisée, ce guide oriente bien plus clairement les acteurs concernés du SI. La précision de la pensée de l’ANSSI sur de tels sujets est en particulier primordiale pour les entreprises et administrations gestionnaires de systèmes sensibles : les principes exposés guideront une partie importante des interactions avec ces entités, et in fine les décisions d’homologation.

En plein compte-à-rebours règlementaire, notamment en ce qui concerne les OIV et la LPM, la diffusion de ce nouveau guide est l’occasion de conforter son interprétation des recommandations et les orientations prises pour la sécurité de chaque SI, ou à défaut de (re)considérer des chantiers fondamentaux non encore menés et répondre au contexte sécurité actuel.

Cet article Administration sécurisée : que dit le nouveau guide ANSSI ? est apparu en premier sur RiskInsight.

C’est dans ce contexte que l’on entend régulièrement des interprétations inexactes du texte, qui d’anodines peuvent se révéler dangereuses. Elles peuvent en effet induire les décideurs à mener des actions inadaptées ou oublier certains points de mise en conformité, laissant l’entreprise exposée à des sanctions ou à une dégradation de son image de marque.

Nous proposons dans cette série de 3 articles de déconstruire 3 idées reçues sur le RGPD :

• Idée reçue #1 – Le consentement est obligatoire
• Idée reçue #2 – Le RGPD impose d’anonymiser les données
• Idée reçue #3 – Il y a une durée maximale de conservation des données.

Idée reçue #1 – le consentement est obligatoire

Le recueil du consentement n’est pas obligatoire, il existe de nombreux autres éléments qui peuvent justifier un traitement de données à caractère personnel (DCP). Parmi les plus courants pour une entreprise, on trouve notamment l’exécution d’un contrat ou une obligation légale. Ce n’est donc pas un consentement qui est nécessaire au traitement des DCP d’une personne, mais plus largement une justification, c’est-à-dire la base légale du traitement.[i] De plus, le traitement est strictement lié à une ou plusieurs finalités, pour lesquelles l’utilisateur peut donner son consentement.

Ce qui compte, c’est donc le triangle Donnée-Justification-Traitement :

Ce triangle est indépendant et insécable :

• Indépendant / Il est indépendant des autres triangles. Le fait qu’on ait obtenu un consentement pour une donnée et une finalité n’implique pas qu’on puisse traiter la même donnée pour une finalité différente, ni une autre donnée pour la finalité.
• Insécable / Les trois piliers du triangle sont tous trois porteurs donc indissociables :
  • Si de fait le traitement devient caduc ou si les données ne sont plus nécessaires au traitement, et que les données ne sont couvertes par aucun autre triangle, il faut effacer les données.[ii].
  • Si la justification devient caduque (fin d’un contrat ou retrait du consentement par exemple), il faut cesser le traitement et, si les données ne sont couvertes par aucun autre triangle,il faut effacer les données.[iii]

Une gestion centralisée des données personnelles, pour le client et pour le back-office

Dans le cadre de la conformité au RGPD, il convient de se doter d’un « système de gestion des données personnelles » gérant de manière uniformisée toutes les justifications, ou du moins les plus courantes : les clauses contractuelles, le consentement et les obligations légales notamment.

Cet angle de vue centré client imposé par le RGPD implique d’avoir au sein du SI une vision Client Unique / Golden Record, afin de gérer de manière unifiée des données d’un même client qui seraient éclatées dans de nombreux référentiels éventuellement décorrélés.

Ce système se décline d’une part en un front-office, permettant au client d’accéder de manière centralisée à ses données détenues par l’entreprise et exercer ses droits sur celles-ci : consentement, contrats, droit à l’oubli, portabilité, rectification, traitements autorisés, etc.

Figure 1 – Le portail de gestion de ses données personnelles de Google

D’autre part, le back-office consiste en un Référentiel Données-Justification-Traitement, où le triangle ci-dessus serait matérialisé sous la forme d’une table avec le triplet Données-Justification-Traitement, ainsi que quelques autres attributs (dont la référence – identifiant unique, clé étrangère… – à la personne concernée).

La modélisation en Référentiel Données-Justification-Traitement faciliterait :

• en écriture, la création de nouvelles justifications (par exemple un consentement) et leur suppression ;
• en lecture, la vérification automatique de la possibilité de traitement d’une DCP pour une finalité identifiée, par l’existence d’un triplet valide en base (il peut en exister plusieurs) et pour le client l’accès, requis par le RGPD à toutes les données le concernant et les traitements associés.

Figure 2 – Exemple de cas où deux justifications peuvent couvrir en partie les mêmes données

NB : Le consentement doit être tracé et historisé (les valeurs successives doivent être gardées pour d’éventuelles vérifications rétrospectives) : une attention particulière devra être portée à la traçabilité (au sens piste d’audit) de ce Référentiel Données-Justification-Traitement.

Il convient donc pour une société souhaitant gérer efficacement ses justifications pour traiter des données personnelles de se munir de ce système centralisé, permettant d’une part au client, côté front-office, d’exercer ses droits (consentement, oubli, portabilité, information…), et d’autre part à la société, côté back-office, d’avoir une vue claire des données qu’elle traite pour chaque client et de la justification qui l’autorise à les traiter, quelle qu’elle soit (contrat, consentement, obligation légale…).

Au-delà d’encadrer précisément ce qui autorise le traitement des données, le RGPD impose également des mesures de sécurité contre les fuites et les vols de données, notamment via des techniques comme l’anonymisation, la pseudonymisation et le chiffrement. Dans le prochain article nous proposons d’éclaircir la portée et le rôle de chacune de ces techniques bien distinctes.

[i] Article 6, paragraphe 1

[ii] Article 5, paragraphe 1, point e)

[ii] Article 5, paragraphe 1, point e)

Cet article 3 idées reçues sur les obligations du RGPD (1/3) est apparu en premier sur RiskInsight.

Cet article RGPD – Que va-t-il se passer après le 25 mai 2018 ? est apparu en premier sur RiskInsight.

Rappel des faits

Cambridge Analytica est un cabinet spécialisé dans l’analyse de données ; l’entreprise a pour ambition de disposer d’une large base de données d’utilisateurs et ainsi revendre ses analyses et le profilage de différentes personnes à ses clients.

Dès lors, Aleksandr Kogan, psychologue sous contrat de prestation pour Cambridge Analytica, crée une petite application Facebook contenant un quiz de personnalité. Afin de réaliser ce test de personnalité, les utilisateurs de l’application doivent donner accès à leurs données Facebook ainsi que celles de leurs « amis » au psychologue. Il indique toutefois à Facebook et aux utilisateurs que leurs données ne sont collectées qu’à des fins de recherche.

Très rapidement, Kogan collecte les données Facebook de 87 millions de personnes à partir d’une base de 270 000 utilisateurs de son application. Kogan transmet ensuite à Cambridge Analytica l’ensemble de sa base de données à des fins de catégorisation en différents profils, trompant ainsi les utilisateurs sur l’utilisation de leurs données.

Qu’est ce qui pose problème dans ce transfert de données à Cambridge Analytica ?

En analysant cette affaire au regard des principes du RGPD, le fameux règlement européen sur la protection des données à caractère personnel qui entre en vigueur le 25 mai prochain, deux points majeurs posent problème pour la protection de la vie privée dans ce transfert de données à Cambridge Anaytica :

1. Le détournement de finalité de l’usage des données
2. L’absence de consentement pour transférer ces données à Cambridge Analytica

Le détournement de la finalité de l’usage des données

En effet, lors de la collecte initiale des données, Aleksandr Kogan indiquait que ces données ne seraient utilisées qu’à des fins de recherche académique. En pratique, Cambridge Analytica a utilisé cette base de données pour faire du profilage des personnes concernées et proposer des campagnes publicitaires ciblées à la demande de ses clients. Les utilisateurs ont donc vu leurs données utilisées à des fins qu’ils n’avaient pas envisagées, engendrant un vrai sentiment d’intrusion dans la vie privée.

L’absence de consentement sur le transfert des données

Autant les utilisateurs du quiz de personnalité avaient donné leur consentement pour que leurs données soient transmises à un tiers, autant les « amis » de ces utilisateurs n’ont jamais consenti explicitement à cela. C’est donc tout le système de gestion des consentements utilisateurs de Facebook qui est en cause.

En 2015, cette « faille » a été révélée à Facebook qui l’a corrigée par la suite. Cette approche de correction a posteriori est la posture adoptée par Facebook depuis des années. Rappelons que le modèle initial du site était très ouvert, avec la possibilité de voir les profils de tous à sa création. Petit à petit, les paramètres de confidentialité sont arrivés pour la plupart suite à des incidents ultérieurs.

Une prise de conscience aux Etats-Unis sur la nécessité de protéger la vie privée des personnes

80% des personnes concernées par cette fuite de données sont des citoyens américains. Cette affaire a de nombreuses répercussions aux Etats-Unis. Surtout, les autorités américaines tout comme le grand public prennent conscience de la nécessité de protéger la vie privée des citoyens américains. Ainsi, Mark Zuckerberg, CEO de Facebook, a été auditionné au Sénat américain (une première pour lui, plus habitué à faire témoigner ses lieutenants) pour s’expliquer sur le scandale ; mais ce sont aussi les pratiques et le business model de Facebook qui sont remis en cause au Sénat (par exemple pendant l’intervention du Sénateur Richard Blumenthal lors des auditions de Mark Zuckerberg).

Des voix s’élèvent aussi aux Etats-Unis pour demander un durcissement des lois sur la protection des données personnelles, notamment sur l’obligation de collecter le consentement pour certains traitements de données à caractère personnel. Certains voudraient même que le RGPD européen soit transposé dans la législation américaine. Ainsi, deux sénateurs américains ont déjà proposé un projet de loi nommé CONSENT Act qui reprend quelques grands principes du RGPD (opt-in ou consentement actif obligatoire, notification des autorités de contrôle et de personnes concernées en cas de fuite de données, transparence, etc.).

C’est donc une véritable prise de conscience qui s’opère aux Etats-Unis sur le sujet de la protection des données personnelles. C’est un changement majeur dans un pays qui traditionnellement a une faible sensibilité sur ces sujets.

Les utilisateurs doivent rester vigilants sur leurs consentements donnés sur Facebook

Plus largement, c’est aussi la gestion des consentements des utilisateurs de Facebook qui fait débat. Même si Facebook propose désormais un nouveau centre de confidentialité qui permet de gérer finement les consentements accordés à chaque application, l’utilisateur doit rester vigilant quant aux consentements qu’il a donné. En accordant un consentement assez permissif à une application Facebook, celle-ci pourra réaliser des opérations qui auront un impact important sur la vie privée de l’utilisateur sans que cela ne soit interdit par la loi (au sens du RGPD).

Alors que l’entrée en vigueur du RGPD au 25 mai prochain approche à grand pas, cette affaire tombe à point nommé pour rappeler la nécessité de prendre en compte les enjeux de protection de la vie privée.

Et Facebook réagit donc fortement, en mettant en avant les principes du RGPD durant ses auditions au Congrès mais aussi en déclenchant une campagne de publicité ad hoc et en avertissant tous ses utilisateurs quant aux changements dans la gestion des consentements. Cela sera-t-il suffisant pour restaurer la confiance et être en conformité aux nouvelles réglementations ? L’avenir nous le dira mais le chemin promet d’être long

Cet article Cambridge Analytica, quels enseignements peut-on en tirer ? est apparu en premier sur RiskInsight.

Que dit véritablement ce nouveau règlement ? Comment risque-t-il d’impacter les entreprises ? Faut-il vraiment s’en inquiéter ? Autant de questions que nous nous proposons d’aborder dans cet article

Une date d’application encore floue

Les objectifs du texte sont clairs :

• Compléter le GDPR sur le sujet de la confidentialité des communications électroniques
• Renforcer le contrôle des utilisateurs sur leurs données à caractère personnel traitées par les fournisseurs de communications électroniques

Si le texte contient ainsi différentes dispositions qui visent les communications électroniques ils visent également la gestion des cookies, le marketing non sollicité, etc. De cette façon, la commission européenne souhaite adapter la règlementation aux nouveaux types de communication, en particulier aux nouveaux acteurs, les fournisseurs de service Over-The-Top (OTT) tels que Messenger ou What’s App qui passent par Internet pour proposer leurs services. Cependant par voie de conséquences le périmètre d’application est beaucoup plus large d’application : presse en ligne, site de e-commerce, opérateur télécom traditionnel, … sont soumis à ce règlement.

Dans sa version initiale, le règlement E-privacy devait s’appliquer comme le RGPD (Règlement Général sur la Protection des Données), le 25 mai 2018. Pourtant, le Parlement européen vient tout juste de lancer les négociations avec le Conseil de l’Union européenne en adoptant une première version du règlement. La date de mise en application initiale ne sera donc pas tenue et devrait être repoussée de plusieurs mois. Si, de fait, cela laisse un peu de temps avant de se mettre en conformité, certains éléments du texte peuvent et doivent d’ores et déjà être anticipés.

Un texte aux forts impacts techniques

Le texte n’a pas encore été adopté dans sa version finale mais on peut d’ores et déjà visualiser les grandes orientations de ce texte. La première est la suppression des bandeaux d’acceptation des cookies à finalité commerciale présents actuellement sur la quasi-totalité des sites web. A la place, la Commission souhaite que le consentement de l’utilisateur soit recueilli directement dans les paramètres du navigateur web.

Concrètement, cela signifie pour les navigateurs le développement de solutions de centralisation du consentement et pour les entreprises l’obligation de s’équiper de moyens permettant de capter l’information auprès du navigateur. L’enjeu pour l’entreprise sera donc de réussir à s’interfacer avec les différentes versions de navigateurs pour accéder au consentement de l’utilisateur. Au-delà des aspects techniques, une telle disposition crée un intermédiaire entre le service et son client ; difficilement tolérable pour les fournisseurs de services.

On peut dès maintenant noter l’ambiguïté que pose cette nouvelle répartition des rôles au profit des navigateurs. En effet, centraliser le consentement dans leurs paramètres pourrait permettre aux navigateurs de privilégier certains éditeurs de sites web notamment dans la présentation des choix aux utilisateurs et ainsi rendre possible l’éviction de certains acteurs. Plus globalement, il est risqué de laisser la gestion des données personnelles à quelques acteurs dominants comme les GAFA souvent visées par ailleurs pour certains de leurs traitements de données. Cette problématique est transposable sur les smartphones.

Il s’agit d’ailleurs d’un des nouveaux enjeux liés à cette règlementation : la capacité des entreprises à adapter leurs services et leurs traçages en fonction du consentement de l’utilisateur. Cela signifiera parfois de repenser le parcours client pour permettre à l’utilisateur refusant les cookies d’accéder aux services.

Ces premiers impacts laissent présager une implémentation technique compliquée pour les entreprises qui vont se mettre en conformité E-privacy et représente même un véritable danger pour certains business. En effet, en remaniant en profondeur l’utilisation des cookies webs, le secteur de la presse, comme indiquée dans l’introduction, dont les revenus reposent en partie sur la publicité ciblée, va devoir revoir une partie de sa démarche commerciale en ligne. Plus globalement, l’E-privacy risque de freiner les élans d’investissement et d’innovation de nombreuses entreprises qui se lancent dans des programmes de digitalisation.

Un message : la base légale du profiling est le consentement

Le règlement tel qu’écrit aujourd’hui possède encore de nombreuses zones de flou : Où devra se faire la gestion des consentements spécifiques : au niveau du navigateur ou du site web ? Comment déterminer, selon leur finalité, quels sont les cookies impactés par la demande de consentement ? …

Par ailleurs, le règlement ne semble pas prendre en compte les réalités technologiques des terminaux mobiles et des écosystèmes d’application qui diffèrent techniquement de celles liées à l’internet fixe. Aujourd’hui, il existe peu de solutions permettant aux acteurs qui dépendent des systèmes d’exploitation de se conformer aux exigences du règlement E-privacy

Enfin, les discussions et les premiers éclaircissements sur ce règlement, écartent le recours à l’intérêt légitime pour les traitements de profiling. Cette précision n’est pas un détail. Si le règlement E-privacy le confirme, les entreprises qui ne l’ont pas fait seront obligées d’intégrer le consentement dans leur parcours client pour pouvoir les cibler, les données collectées dans le cadre de ce traitement deviendront portables… Autant d’impacts qui doivent être anticiper dès aujourd’hui.

Se préparer dès aujourd’hui à l’arrivée de l’E-privacy

La question est d’autant plus importante lorsqu’on sait que les sanctions sont les mêmes que pour le GDPR (20M€ et 4% du CA). Deux éléments semblent indispensables à ce stade :

• Mettre en place une veille: a l’instar du GDPR un programme de mise en conformité sera nécessaire. Avoir identifier en amont les impacts ne pourra être qu’un accélérateur
• Anticiper certains impacts: Intégrer d’ores et déjà la philosophie du texte dans ces traitements réduira l’effort de mise en conformité à terme

Cet article E-privacy, il est urgent d’attendre est apparu en premier sur RiskInsight.

So why should we care about Records Management? Records Management matters now more than ever with the incoming General Data Privacy Regulation (GDPR). It is a unique opportunity to turn a compliance issue into a business enabler by taking matters at a strategic level: by mapping out what data your company holds, where it is stored, and how it is processed, you accomplish many positive outcomes. First, you comply with Data Protection laws, which is the primary driver ahead of May 2018 when GDPR comes into force. But you also bring clarity to the Business as to what they do, you bring clarity to Information Security as to what they protect, and you bring clarity to clients and partners as to what information you hold about them and what you do with it. This in turn enables your company to save on storage costs and information security costs because you can now differentiate essential information that needs to be kept, maintained and protected, from information that is not required or that requires less protection. Your customers will welcome your transparency and control as they become more demanding in terms of respecting their privacy and understanding why you require such information.

So where should you start? You shouldn’t feel the need to hire a department full of Records Management experts to achieve your goals. You will find that employees that have been around for several years have a deep knowledge and understanding of how your company works. You can leverage their expertise through targeted interviews as you build your strategy.

The 3 steps to creating and implementing your Records Management strategy are as follows:

1. Create a Records Management Policy for your company
2. Create a register of applications and vendors in use by your company (which can be based on your service catalogue)
3. Implement the Records Management Policy across your applications and vendors – this is where you will realize savings and efficiencies

Records management policy

Every business has legal, regulatory and operational reasons for keeping records. For example, you could be recording customer phone conversations with your customer service for training and quality purposes (business reason), because of a regulatory requirement when selling financial products (MiFID), or because of legislation.

The Records Management Policy will synthesize these business, regulatory and legal purposes for keeping records during the course of doing business.

Each Business Unit should be able to tell you what type of data they process and where it is held, so that the Policy can be built from the ground-up efficiently through a round of targeted interviews with long-standing employees or key business managers.

Once you have an inventory of types of records processed by your business, you then need to balance legal, regulatory and business imperatives for choosing the retention period for each record type: regulation will usually force a floor retention period (for example keep phone conversation audio records for 5 years minimum with MiFID II). Legislation will either force a minimum or a maximum retention period (e.g. Data Protection Act states you should not keep personal data for longer than required for the stated business purpose).

The combination of the record types, their retention periods and the purposes for which these records are held form your Records Management Policy.

Register of applications and vendors

Once you have a Records Management Policy, you will need to align your IT systems so they support the implementation of the Policy. Thus, you need to build a top-down view by collecting the list of applications in use in your company through your IT and sourcing team. This will be your starting point. You should then cross-reference this list with the Information Security team to check it corresponds to applications they see end-users requesting access to. Finally, you can further corroborate this list with Business Heads which will usually be aware of any shadow IT applications there may be. The final list thus complied will support the implementation of your Records Management Policy. You can take advantage of the completeness of this list to feedback Information Security and Sourcing to plug in gaps you may have uncovered, which will help reduce risk of data loss through unsupervised vendors or systems.

You will then need to map the IT systems to the records they hold and that you have identified in your Records Management Policy. This will help to implement your Records Management Policy.

Implementation of your Records Management Policy

Having a Records Management Policy and a mapping of your data is only a compliance tick-box exercise if you don’t follow through with implementation. Additionally, this step is where you will realise any savings and efficiencies. A good example is back-up tapes. If you can agree that the purpose of back-up tapes is only for network restoration in case of major disaster recovery, and you state it in your policy, then you can confidently state in your policy that their retention period should be, for example, no more than a week for daily tapes, no more than a month for weekly tapes, no more than a year for monthly tapes, and no more than 3 years for end-of-year tapes. Applying this will save you a lot of storage space and will bring clarity of purpose for your operations team. Certainly, you must in parallel define in your policy what other records will serve for satisfying record keeping obligations from a business, regulatory and legal perspective.

Companies that do not have a Records Management policy will struggle to agree on retention periods, and will tend to over-store records, which leads to unnecessary costs and even raises the risk of liability: old back-up tapes, to stick to this example, might not be encrypted or readable in current technology media, so that they are no longer of use to the business. If they get stolen, however, the data might still be exploitable and lead to reputation damage if not litigation for the firm.

Once you have a Records Management strategy in place and being implemented, you can review your Information Security, Legal, Compliance and Business strategies to align with the data you know you own and the operations around it. This will bring added benefits beyond the Records Management realm: focus Information Security Resources on areas of sensitive data, identify high risk operations currently being performed and change them to a lower risk alternative or drop them altogether if the business case is negative.

It is now clearer what businesses stand to gain from having a clear Records Management strategy: better compliance with data protection laws, heightened operational efficiency, and more focused and efficient information security. To maximize the benefits of a Records Management strategy, it should also be integrated with the Information Security, Legal, Compliance and Business strategies to enable the business to operate in an efficient, compliant and secure environment going forward.

Cet article How to turn Records Management into a business asset est apparu en premier sur RiskInsight.

The NIS directive: a major piece of legislation

At a national level, the directive requires the establishment of a cybersecurity strategy and the establishment of a CSIRT, along with an authority figure to oversee these matters. For companies, it introduces two new areas of responsibility for two different types of players:

• Operators of Essential Services must implement technical and organizational measures to manage network and information system security risks
• Digital Service Providers are required to notify the appropriate authority of security incidents

The need for a robust and standardized approach

The NIS Directive is the security counterpart to the European Digital Single Market strategy, which was launched in 2015 and aims to turn digital systems into an engine of growth. Business and consumer trust is essential to this project: because without trust, there will be no growth!

European countries are becoming increasingly dependent on digital and information systems while their networks are becoming ever-more interconnected. This interconnectivity is both a strength and a weakness because an information system’s level of security is only as good as its weakest link.

However, there are marked differences when it comes to Member States because to date, cybersecurity issues have been handled at national level.

It is this inherent systemic risk that Europe is seeking to remedy with the NIS Directive, which is the first piece of European legislation to govern cybersecurity practices in a cross-sectoral manner.

The NIS Directive  differs from regulations designed to deal with specific issues, such as the GDPR. Though often associated with the NIS Directive, the GDPR does not have the same objectives –  its scope is solely about the protection of personal data. Conversely, the directive aims to ensure a base level of cybersecurity through the implementation of security standards and a requirement to give notice when incidents occur (whether they are personal-data related or not). Having said that, a cyber-attack often involves both areas, and it doesn’t make sense to not(?) consider the two pieces of legislation when thinking about compliance.

A transposition process already in motion

As the text is a directive and not a regulation, each Member State has to transpose the directive’s provisions into its own national legislative framework.

Many countries have already announced their first steps:

• The UK has confirmed that it plans to transpose the text, despite Brexit; the levels of penalties provided for in the text, which are particularly heavy, have recently been announced;
• Poland has announced the opening of a new national center dedicated to cybersecurity (NC Cyber);
• Belgium has set out six flagship measures to strengthen cybersecurity: a reaction to WannaCry, a global cyber-attack that paralyzed many businesses in recent months;
• The Czech Republic (Czehia) has amended its cybersecurity laws to take account of more critical sectors and comply with the directive’s requirements;
• Italy has revised its National Plan for Cyber Protection and Digital Security to align with the directive’s provisions;
• Croatia has set up a working group to determine how the directive will be transposed;
• Sweden has already revealed some of the details of its transposition, such as the levels of penalties and the bodies responsible for implementation.

In several respects, the text is very “non-directive” –  setting out objectives but not specifying how they should be achieved. It will be up to each country to work out its own interpretation and draw up the concrete measures that will meet the objectives.

The challenge, therefore, is to reduce the degree of difference between European countries, while standardizing the levels of cybersecurity to a greater extent by avoiding large differences so that players operating in several countries don’t face undue complexity..

To achieve this goal, collaboration is taking place at the EU level:

• A review of the remit of ENISA (the European agency in charge of network and information security) is being considered with the aim of, among other things, giving it the powers needed to carry out directive-related activities.
• A Cooperation Group made up of national representatives, ENISA, and the European Commission, will provide strategic direction;
• A network of CSIRTs will also be active and able to ensure that good practice is communicated and exchanged, as well as supporting Member States on directive-related matters.

How should you prepare for the directive coming into effect ?

Or, more specifically, how can you prepare for this new legislation now and what plan of action will you need to have in place? In practice, that depends on the type of entity in view (an OES or DSP).

For Digital Service Providers (DSPs), a standardized approach is needed: Member States cannot impose additional security or notification requirements and, therefore, for this type of player the directive is closer to an EU regulation. This particular treatment, compared with OESs, arises from the cross-border nature of their activities and the fact that many are foreign companies without bases in Europe.  DSPs will have to appoint an entity which is based in a member state to be their official representative on NIS-related issues (as required by Article 18 of the directive). Thus, it is essential that each Member State has the same requirements, ensuring that future decisions to  enter an EU country are not influenced by uneven interpretation of these criteria.

The obligations for DSPs are somewhat less onerous. For example, they are obliged to notify regulator about an incident only in cases where they have access to the information needed to assess its impact against the criteria defined in the directive (Article 16).

It is already time for DSPs to begin the process of compliance since the implementing acts were published In August of 2016.

For the Operators of Essential Services (OESs) in France, there are two main scenarios.

First, let’s consider the operators already identified as VIOs—Vitally Important Operators—under the French Military Programming Act. For them, the issue of compliance is less significant given that the Act already introduces numerous obligations. The directive probably will not impose more onerous requirements. Some elements such as reporting may be adapted, but there are no major changes in sight.

However, the scope of the directive is likely to be wider than that of the Act, and some operators within the critical sectors defined by each state under the directive will need to begin complying. Member States have until November 2018 to designate operators as “OESs” based on the criteria defined in the text. This list will then be reviewed by the European Commission in May 2019.

Those involved will then have to ensure that they monitor legislation in order to follow developments in the transposition process, which is important because Member States have the power to impose measures that go beyond the common, base-level requirements set out in the directive.

Much of the development of the directive’s provisions must now be carried out by Member States: the specification of the security measures to be put in place, the definition of notification procedures, the penalties to be applied—not to mention the designation of critical sectors and OESs in each country.

The upshot of all this is a genuine renewal of the European cybersecurity legislative landscape, with the primary aim of increasing standardization of IS security levels between Member States—a process that will prove interesting to follow.

Cet article The EU NIS directive: what are the issues and how can you prepare for it? est apparu en premier sur RiskInsight.

Corporate accounts: essential but complex targets

The economic fabric of France relies heavily on big groups that have substantial investment capacity. For start-ups seeking to market their cyber-security offers, these are the prime customers. However, the rigid and complex processes of these large companies constitute a major obstacle for start-ups.

After all the pitfalls involved in identifying the multiple budget holders in the structure (ISSM, architect, expert, IT Manager, purchasing, etc.), it remains very difficult to sign the first contract. The purchasing process can take from three to six months, and is too complex for the way that start-ups operate, with them being asked for proof of profitability, years and years of experience, and references from other customers – impossible for the first contracts.

This situation is exacerbated for cyber-security as start-ups often cannot count on the innovation hubs created by the corporate accounts to facilitate their exchanges with the innovation ecosystem. On the one hand, because start-ups struggle to convince businesses of the benefits provided by their proposed solutions, and on the other because the innovation teams have difficulty understanding the practical benefits given the specific nature of the issues. Feedback on successes shows that cyber-security departments in the corporate accounts often have to be the driving force, or even develop the relationships with the cyber start-ups themselves.

Attitudes that must change within the large companies

Once contact has been established, there remains the step of carrying out tests in live conditions (Proof of Concept). It’s an example of the difficulty that start-ups have in competing with the established cyber-security developers in the corporate world. These tests are needed to evaluate the effectiveness of the new solution. The big developers, with substantial financial resources, offer ‘PoCs’ free of charge to their customers, who in turn have become used to these ‘free’ tests carried out for their benefit.

For start-ups, however, the situation is different as their working capital requirements are acute and carrying out such tests free-of-charge can endanger their very existence!

It is therefore necessary for the big groups to have suitable budgets, often in the order of only a few thousand euros, to test the innovative solutions proposed by the start-ups.

Positive feedback from interactions between start-ups and corporate accounts in France

However, successful collaboration between start-ups and corporate accounts shows that these two worlds can work together. And the effort made pays back in a big way. Start-ups like Alsid and Idecsi thus benefit from the testimony of large customers that are in a position to reassure other companies and the investors.

A French cyber-security ecosystem that values innovation

In France, the presence of an ecosystem that regularly promotes innovation by including corporate accounts and start-ups is highly visible: the “Assises de la Sécurité” with the Prize for Innovation, the International Cyber-security Forum (FIC) with the Innovative SME prize, and the competition devoted to cyber-security in the banking industry, jointly organized by Société Générale and Wavestone. These initiatives help to highlight cyber-security innovations, as well as promoting direct contact between the different players. They contribute to creating the relationship of trust needed for the corporate accounts to invest in the solutions proposed by start-ups.

The importance of having a French offer for digital sovereignity

Cyber-security is a global issue but also affects national security. The benefits of having reliable products in this area is obvious.

Even if much remains to be done to guarantee digital sovereignty, the initiatives of certain French start-ups have made it possible to import concepts that initially existed only in other countries. This is the case, for example, with Bug Bounty’s platforms. In France, three start-ups, Bug Bounty Factory, Bug Bounty Zone and Yogosha offer services in this field. Over time, this could make it possible to retain knowledge of sensitive vulnerabilities within Europe or indeed in France.

It is important to note that the French domestic market for cyber-security is largely driven by players in the defense sector, both public and private, who invest and help start-ups to grow. But these growth opportunities are, at the same time, an obstacle to exports and make it more difficult to communicate references.

Tomorrow, successfully growing beyond national borders

The research sector is becoming structured

Research in cyber-security is also very active in France with many  laboratories being involved and some leading-edge initiatives. The Allistene grouping, which includes INRIA, CEA, CNRS and a number of higher education institutions is just one example. Prominent chairs have been devoted to cyber-security issues and its practical applications, for example for autonomous vehicles. Together with the initiatives launched the big companies, this all adds up to the creation of fertile ground for numerous start-ups to bloom and grow.

Overcoming purely French considerations to grow internationally

France has much talent in terms of cyber-security, fertile ground to facilitate the emergence of start-ups, and a market that can support these structures. But this very positive situation must not be allowed to mask the principal difficulty currently faced by our start-ups: achieving international success and growth.

Apart from a few success stories, such as Qualys in the past, and more recently Linkurious in the United States, French start-ups struggle to go beyond their own borders. They face barriers in terms of their ability to communicate effectively in English, the weakness of French customer references, legal issues, and also psychological barriers to expatriation. Whereas the quality of French cyber-security specialists is widely acknowledged, the quality of the start-ups remains unknown.

Breaking through this glass ceiling requires joint initiatives with the government, large companies, and the strong entrepreneurial spirit of start-up founders.

Let’s start working together, pooling all our strengths, so that this becomes a reality in years to come.

Cet article Cyber-security start-ups in France, a booming ecosystem (2/2) est apparu en premier sur RiskInsight.

La directive NIS : un texte majeur

Au niveau national, la directive requiert notamment l’établissement d’une stratégie cybersécurité et la mise en place d’un CSIRT ainsi que d’une autorité en charge de ces sujets. Pour les entreprises, elle introduit deux volets d’obligation pour deux types d’acteurs :

• Les Opérateurs de Services Essentiels doivent mettre en œuvre des mesures techniques et organisationnelles pour gérer les risques menaçant la sécurité des réseaux et et des systèmes d’information
• Les Fournisseurs de Services Numériques sont tenus de notifier les incidents de sécurité à l’autorité compétente

La nécessité d’orientations fortes et communes

La directive NIS est le pendant sécurité de la stratégie européenne du Marché Unique Numérique, lancée en 2015, qui vise à faire du numérique un moteur de la croissance : la confiance des entreprises et des consommateurs est indispensable pour ce projet, car sans confiance, pas de croissance !

Les pays européens sont de plus en plus dépendants du numérique et des systèmes d’information, et leurs réseaux sont de plus en plus reliés. Et cette interconnectivité fait leur force comme leur faiblesse, puisque le niveau de sécurité d’un système d’information est équivalent à celui de son point le plus faible.

Or, on observe une très forte hétérogénéité entre les Etats Membres au regard de ces enjeux, étant donné que la prise en charge de la cybersécurité se faisait jusqu’ici au niveau national.

C’est à ce risque systémique que l’Europe cherche à remédier avec la directive NIS. Il s’agit de la première législation européenne régissant les pratiques cybersécurité de façon cross-sectorielle.

Elle se démarque des textes spécifiques à une problématique particulière, tels que le GDPR. Souvent associé à la directive NIS, il n’a pourtant pas les mêmes objectifs puisqu’il se concentre sur le seul périmètre de la protection des données personnelles tandis que la directive vise à assurer un certain niveau de cybersécurité via la définition de standards de sécurité et la notification des incidents (qu’ils touchent à des données personnelles ou non). Reste qu’une cyber-attaque mettra souvent en jeu les deux domaines, et qu’il fait donc sens de ne pas considérer ces deux textes séparément lors de la mise en conformité.

Un processus de transposition déjà engagé

Le texte étant une directive et non un règlement, il est nécessaire que chaque Etat Membre transpose ces orientations dans son cadre législatif national.

De nombreux pays ont déjà annoncé des premières mesures s’inscrivant dans le cadre de la directive :

• Le Royaume-Uni a confirmé son intention de transposer le texte malgré le Brexit ; le montant des pénalités prévues dans le texte vient d’être communiqué et celles-ci sont particulièrement importantes
• La Pologne a annoncé l’ouverture d’un nouveau centre national dédié à la cybersécurité (NC Cyber) ;
• La Belgique a présenté six mesures phares pour renforcer la cybersécurité, à la suite de WannaCry, cyberattaque mondiale qui a paralysé de nombreuses entreprises le mois dernier ;
• La République Tchèque a amendé sa loi cybersécurité pour prendre un compte plus de secteurs critiques et se conformer aux exigences de la directive ;
• L’Italie a révisé son Plan National pour la Cyber Protection et la Sécurité Digital, en accord avec les orientations données par la directive ;
• La Croatie a mis en place un groupe de travail pour préciser les modalités de transposition de la directive ;
• La Suède a d’ores et déjà fourni des détails sur la transposition, tels que l’ordre de grandeur des pénalités applicables, ou encore les entités responsables de la mise en œuvre.

Sur un certain nombre d’aspects, le texte est très peu directif et fixe des objectifs sans imposer de moyens. Il est du ressort de chaque pays de travailler à l’interprétation et de définir des mesures plus concrètes permettant l’atteinte de ces objectifs.

L’enjeu est donc d’atténuer l’hétérogénéité entre les pays européens et de parvenir à lisser le niveau de cybersécurité en limitant les écarts trop importants, afin de réduire la complexité de mise en conformité pour les acteurs présents dans plusieurs pays.

Pour ce faire, une collaboration structurée s’organise à l’échelle de l’UE :

• Une révision du mandat de l’ENISA, l’agence européenne en charge de la sécurité des réseaux et de l’information, est à l’étude, avec entre autres l’objectif de lui donner la latitude nécessaire à l’accomplissement des missions relatives à la directive ;
• Un Groupe de Coopération, composé de représentants nationaux ainsi que de l’ENISA et la Commission Européenne, donnera des orientations stratégiques ;
• Un réseau de CSIRT s’organise aussi, et sera en mesure d’assurer la communication et l’échange de bonnes pratiques, ainsi que d’appuyer les Etats Membres pour les sujets relatifs à la directive.

Comment se préparer à l’arrivée de la directive ?

Concrètement, comment anticiper dès maintenant ce nouveau texte et quel plan d’actions déployer ? Cela dépend en pratique du type de structure (OSE ou FSN).

Concernant les fournisseurs de service numériques (FSN), une approche harmonisée est requise : les Etats Membres ne peuvent pas imposer d’autres exigences liées à la sécurité ou aux notifications, et en ce sens, la directive se rapproche d’un règlement pour ce type d’acteur. Cette singularité par rapport aux OSE provient du caractère transfrontalier de leurs activités et du fait que beaucoup sont des entreprises étrangères non implantées sur le territoire européen, qui devront désigner un représentant basé dans un Etat Membre pour être l’interlocuteur attitré concernant les questions liées à NIS (Article 18 de la directive). Il est donc essentiel que chaque pays impose les mêmes obligations, dans l’objectif d’éviter que le choix du pays d’implantation ne soit orienté par ce critère.

Les obligations pour les FSN sont d’ailleurs un peu moins contraignantes : par exemple, ils ne sont dans l’obligation de notifier un incident que s’ils ont accès aux informations nécessaires pour évaluer son impact au regard des critères définis dans la directive (Article 16).

D’ici le 9 août prochain, la Commission Européenne publiera les actes d’exécution et il sera alors possible de commencer le processus de mise en conformité.

Pour les Opérateurs de Services Essentiels (OSE), en France, il y a deux principaux cas de figure.

D’abord, les opérateurs déjà identifiés comme OIV, opérateurs d’importance vitale, dans le cadre de la Loi de programmation militaire française (LPM). Pour eux, l’enjeu de mise en conformité est moins significatif, puisque la LPM introduit déjà de nombreuses obligations ; la directive n’en introduira probablement pas de plus exigeantes. Quelques éléments tels que le reporting pourraient être à adapter, mais il n’y a pas de changement majeur à prévoir.

Toutefois le périmètre de la directive est susceptible d’être plus large que celui de la LPM, et certains opérateurs des secteurs critiques définis par chaque Etat devront alors commencer leur mise en conformité. Les Etats Membres ont jusqu’à novembre 2018 pour désigner les OSEà partir des critères définis dans le texte. La liste des opérateurs désignés sera ensuite passée en revue par la Commission Européenne en mai 2019.

Les structures concernées devront ensuite mettre en place une veille juridique pour suivre l’évolution du processus de transposition, puisque pour les OSE, les Etats Membres sont en droit d’imposer des mesures allant au-delà du socle commun défini par la directive.

Beaucoup de chantiers restent maintenant à mener par les Etats Membres : spécification des mesures de sécurité à mettre en place, définition des procédures de notification, sanctions applicables, sans oublier la désignation des secteurs critiques et des OES par chaque pays.

On assiste ainsi à un véritable renouveau du paysage législatif de la cybersécurité en Europe visant avant tout à homogénéiser le niveau de sécurité des SI entre états membres, dont il sera intéressant de suivre l’évolution.

Cet article Directive NIS : quels enjeux et comment s’y préparer ? est apparu en premier sur RiskInsight.

Notre retour d’expérience s’appuie sur un échantillon correspondant à nos interventions auprès de 20 grands comptes présents internationalement (Banques, Assurances, Transports, Énergie, Services, Grande distribution, etc.) et près de 40 donneurs d’ordre.

Suite à notre premier article sur la charge nécessaire et les principaux chantiers identifiés, revenons sur les budgets et l’année écoulée. 

Des budgets en constante augmentation

Le RGPD est un nouveau sujet. La protection de la vie privée ne l’est pas. La Loi Informatique et Libertés existe par exemple depuis 1978. Cet historique a dans un premier temps fait croire (à tort) à un bon niveau de conformité des organisations et limité la crainte d’un risque important de sanctions.

Les programmes ont donc mis du temps à se lancer (souvent pas avant fin 2016 pour de nombreux programmes, réellement au premier semestre 2017 pour les autres) et avec des réserves budgétaires faibles. L’avancement des états des lieux, des analyses d’écarts et de la complexité des mesures à mettre en oeuvre amène nos clients à augmenter régulièrement et très fortement leurs budgets.

Les programmes RGPD se chiffrent aujourd’hui pour de grands groupes internationaux, dans des fourchettes allant de 1 à 5 millions d’euros pour les organisations manipulant un nombre raisonnable de données personnelles et peu mobilisé sur le big data ou le profiling ; jusqu’à des fourchettes entre 20 à 50 millions d’euros lorsque que l’entreprise à plusieurs métiers et de très nombreuses entités/filiales. Pour certains très grands acteurs internationaux, les premiers engagements budgétaires ont même été de plusieurs centaines de millions d’euros, aujourd’hui en cours d’optimisation et de priorisation. Autre facteur de coût, les évolutions en profondeur de multiples applications font grimper rapidement les montants.

Au regard des coûts importants déployés, les directions générales exigent de plus en plus des directions métiers et IT de dé-prioriser d’autres budgets ou de s’appuyer sur les programmes existants pour absorber les chantiers identifiés.

L’impact financier particulièrement important de tels programmes, et la charge nécessaire pour les déployer, implique aujourd’hui que ces programmes revoient le planning initialement envisagé (mai 2018) afin de lisser cette charge et ces budgets dans le temps. Mai 2018, n’est plus une échéance de mise en conformité, mais plutôt la fin de la première étape de la mise en conformité : avoir réalisé les travaux les plus importants à cette date, et disposer d’une feuille de route claire pour la suite.

D’ici mai 2018, comment se mettre en conformité efficacement ?

Quelques règles simples sont à suivre afin de réussir sa mise en conformité :

Piloter utile

Construire une structure de pilotage au niveau du siège ou du groupe qui ne vise pas uniquement à exiger et contrôler mais plutôt à proposer des outils opérationnels aux entités pour les aider dans leur mise en conformité et à produire ces outils rapidement afin de ne pas ralentir ou inhiber les initiatives locales. Par exemple : ne pas attendre fin 2017 pour proposer sa méthode PIA.

Identifier et prioriser les traitements à risque

Certains sont faciles à identifier (manipulation de données de santé, gestion de la fraude…) et d’autres nécessitent expertise et une certaine expérience du sujet (comme par exemple les fichiers RH de « jurisprudence interne », théoriquement anonymisés, et en pratique uniquement déidentifiés directement, et donc souvent facilement ré-identifiants).

Ne pas chercher à analyser tous les traitements d’ici mai 2018

 En effet, constituer un inventaire prend du temps, mais analyser les traitements qui le constituent encore plus (à minima 4 à 5 fois plus de temps). Cette analyse, qui nécessite une forte expérience et expertise en data privacy, ne peut être menée exhaustivement d’ici mai 2018 (pour des raisons de coûts, mais également de manque de ressources sachantes à même de les mener). Il convient donc d’analyser les traitements les plus à risques dans un premier temps (20 à 30% des traitements) et de disposer d’une feuille de route claire pour l’analyse des suivants.

Paralléliser

Le programme ne doit pas être un programme Top Down où les opérationnels attendent des mois des outils et politiques du groupes avant de pouvoir commencer leurs travaux de conformités. Tous les acteurs impliqués (métiers, conformité, IT, CISO, Legal etc.) doivent pouvoir avancer en parallèle et s’alimenter les uns les autres dans une démarche souple et agile. Les équipes IT n’ont pas exemple pas besoin d’attendre que les métiers identifient des durées de rétention et demande à les appliquer dans les systèmes pour identifier les solutions applicables et les outils associés (notamment tokenisation irréversible).

Mutualiser tout ce qui peut l’être

En effet, rien ne sert de réinventer la roue. Les équipes centrales peuvent contribuer à construire et proposer des accélérateurs. Ainsi, plutôt que de demander à toutes les entités de constituer leur inventaire, il est souvent pertinent de proposer un modèle avec les 70 à 80 % de traitements communs à l’ensemble des entités. Le programme s’en trouvera facilité et la charge de mise en conformité réduite de façon importante.

Expliquer, expliquer et ré-expliquer

Le RGDP et sa déclinaison est un sujet complexe, aux multiples ramifi cations et qui sollicitent de nombreux acteurs de l’organisation qui ne connaissaient rien au sujet il y a encore quelques mois. Il faut donc faire preuve d’une pédagogie sans faille et ne pas hésiter à accompagner au plus près les équipes en charge des chantiers afin de les aider à comprendre les exigences et imaginer les solutions.

Faites de la conformité un atout pour votre relation client

Un programme RGPD est avant tout perçu comme une contrainte par les opérationnels. Pour autant, la protection de la vie privée est aujourd’hui un sujet majeur de préoccupation des citoyens que ce soit les clients ou les collaborateurs (idée que nous avons développé dans une précédente publication sur la vie privée dans le numérique avec la vision exclusive des postures de citoyens dans 6 pays :wavestone.com/privacy). Il convient donc d’intégrer le programme au coeur des initiatives autour de la DATA et des chartes associées. La communication autour du programme devra ainsi valoriser les travaux menés afin d’en faire un atout dans la relation clients ou collaborateurs.

Que retenir de cette année écoulée ?

Les programmes ont mis du temps à se lancer, et la prise de conscience des impacts du règlement, de la taille des programmes et des budgets à déployer en a été retardée d’autant plus.

Pour autant, depuis le début de l’année 2017, de nombreux programmes sont maintenant dans leur phase de remédiation et des premières solutions émergent. Mais tous les chantiers ne pourront être terminés pour mai 2018. Les grands comptes internationaux ne seront donc pas tous à 100% conformes en mai 2018, mais les actions majeures et les risques les plus forts seront certainement couverts.

Donc dès à présent, en sus des efforts mis en oeuvre pour déployer le maximum d’actions de remédiation d’ici mai 2018, nos clients s’organisent pour disposer d’une organisation DPO opérationnelle rapidement et que celle-ci dispose des budgets adéquats pour conduire l’ensemble des actions identifiées et mettent en place des processus pérennes, garants de la conformité dans la durée.

Cet article RGPD, 1 an de travaux, quel bilan en tirer ? (2/2) est apparu en premier sur RiskInsight.

Notre retour d’expérience s’appuie sur un échantillon correspondant à nos interventions auprès de 20 grands comptes présents internationalement (Banques, Assurances, Transports, Énergie, Services, Grande distribution, etc.) et près de 40 donneurs d’ordre.

Revenons tout d’abord sur la charge nécessaire, les principaux chantiers et points durs de la mise en conformité au RGPD.

Des programmes importants mobilisant toutes les directions de l’entreprise

Les programmes de mise en conformité au RGPD impliquent très largement dans les entreprises, de quelques dizaines à quelques centaines d’acteurs à chaque fois. Les charges consolidées vont de 3 à 4 ETP (équivalent temps plein) pour les environnements les plus petits et les plus conformes ; jusqu’à plusieurs dizaines d’ETP pour les environnements les plus complexes et les plus éloignés de la cible.

Cette charge est généralement répartie comme suit :

• 15 % pour l’équipe en charge du pilotage du programme, de la coordination et de la communication/formation
• 15 % pour les équipes DPO, risques ou conformité afin de formaliser les politiques, directives et process, définir l’organisation cible, et s’assurer de la conformité des solutions déployées par les équipes métiers et IT
• 5 % pour l’expertise juridique afin d’interpréter le texte, proposer des clauses et mentions légales conformes et arbitrer sur des points juridiques identifiés au cours du projet (notamment les durées de conservation proposées)
• 25 % pour les responsables métiers/business en vue de cartographier leurs processus, les mettre en conformité et faire évoluer les modalités de fonctionnement avec leurs clients et partenaires
• 40 % pour les équipes IT et Digital (dont la filière cybersécurité) afin de faire évoluer les systèmes informatiques existants, intégrer les exigences du RGPD dans les développements en cours et proposer des offres de services pour les solutions IT de conformité (en particulier, anonymisation, exercice des droits et portabilité)

Contrairement à certaines idées préconcues, la charge pour les équipes juridiques et pour le RSSI reste limitée au regard de la charge globale.

En effet, les travaux d’analyse du règlement qui ont occupés les premières semaines des programmes sont aujourd’hui généralement terminés ou presque, et remplacés par des chantiers plus opérationnels où la dimension juridique est plus faible.

Pour les chantiers de cybersécurité, ils se révèlent souvent non directement portés par les programmes RGPD mais plutôt par les programmes Cybersécurité existants. Les coûts IT sont donc plus souvent liés à des problématiques d’exercice des droits, de suppression des données, de portabilité, de surveillance des systèmes, de revue des droits ou de mise sous contrôle du process de la gestion des habilitations pour certains pans du SI, etc.

Cette répartition devrait être stable dans le temps et lors des phases de mise en œuvre des projets. En particulier les équipes autour du DPO vont se focaliser de plus en plus sur un rôle de contrôle et d’accompagnement des projets.

10 chantiers RGPD qui concentrent les investissements…

La mise en œuvre de la conformité au RGDP peut aujourd’hui se synthétiser au travers de 10 chantiers majeurs :

1. L’exercice des droits (accès, suppression,portabilité…) et la capacité à retrouver et à supprimer toutes les données associées à une personne au sein de l’organisation (20 % des coûts, majoritairement IT). Il s’agit du poste principal car il intègre les évolutions à apporter dans les applications du SI.
2. L’accompagnement des projets IT en cours en Privacy By Design (15 %, majoritairement IT et métiers)
3. L’encadrement des transferts (à des tiers ou hors UE) (10 %, majoritairement métiers et juridique)
4. La mise en œuvre de l’information des personnes et la gestion du consentement (10 %, majoritairement métiers et IT)
5. La définition des politiques, directives, méthodologies et outils de conformité et la mise en œuvre d’une organisation autour du DPO (10 %, majoritairement DPO)
6. La mise en œuvre de contrôles et d’audits de conformité (5 %, majoritairement DPO)
7. La construction d’un registre des traitements de données et la définition des règles de conformité associés à chaque traitement (5 %, majoritairement Métier)
8. L’amélioration des mesures de sécurité existantes (5 %, du fait de l’existence de budget cybersécurité permettant de remplir les exigences, majoritairement IT)
9. La formation et la sensibilisation de l’ensemble des acteurs concernés par le sujet (5 %, majoritairement Métiers)
10. Le pilotage du programme (15 %)

…Pour 5 points durs à traiter en priorité

Une fois les cadrages de programme réalisés, les premiers résultats des analyses d’écarts produits, les sujets difficiles émergent. Nous constatons que quel que soit le contexte, le secteur d’activité, la nature des données manipulées ou le niveau de conformité existant, ces 5 points durs ressortent chez la majorité de nos clients :

1. L’application des délais de rétention et du droit à l’oubli au sein des systèmes informatiques existants.
En effet la situation est souvent complexe du fait de choix historiques : données personnelles utilisées comme identifiant unique dans les systèmes de base de données, champs obligatoires techniques non indispensables d’un point de vue business… Ce sujet requiert un investissement pouvant être important sur des applications historiques (généralement de 40 k€ à 200 k€ par application). La contrainte de suppression est parfois quasi impossible à mettre en oeuvre au regard des impacts non maitrisés sur le SI et l’ensemble des données concernées sont souvent difficile à identifier. Ce problème peut être traité au travers d’un remplacement des données par une autre valeur voire par de la tokenisation.

2. La mise en conformité des contrats existants : des volumes de milliers voire de dizaines de milliers de contrats sont rencontrés sur le terrain.
Un effort de collecte, de recensement et d’adaptation qui peut prendre une ampleur importante suivant le degré de décentralisation de la gestion des contrats. Il s’agit alors d’appliquer des solutions simples et efficaces en se concentrant sur l’intégration des clauses RGPD dans les contrats à venir. Et pour l’existant ? Communiquer vos exigences (mentions légales d’information par exemple) aux fournisseurs en demandant l’application d’une exigence légale et pas sur la base d’un engagement contractuel à renégocier.

3. La mise en oeuvre d’une méthodologie d’accompagnement des projets (Privacy By Design) et des outils d’analyse de risques sur la vie privée (PIA) appréhendables en autonomie par les chefs de projets et réalistes en termes de charge et de contraintes.
Même si certaines organisations avaient déjà mis en oeuvre des processus d’intégration de la sécurité dans les projets, il est nécessaire de refondre ces processus et de former les acteurs concernés. Quelles bonnes pratiques ? Construire des méthodes qui visent la simplicité et le pragmatisme plutôt que l’exhaustivité et ne pas vouloir dérouler les méthodologies sur tous les projets en mettant en place un tri initial afin de focaliser l’attention sur les plus sensibles.

4. L’identification de ressources expertes du sujet et à même de contribuer aux chantiers.
Celles-ci sont aujourd’hui extrêmement rares et difficiles à trouver, que ce soit en interne ou auprès de sociétés de services, de cabinets de conseil ou d’avocats. Il convient donc de bien répartir les tâches et ne pas chercher à positionner des experts sur toutes les dimensions du programme et à tous les postes. Les directeurs de programme peuvent par exemple venir de la DSI, les juristes en droit de contrats être formés rapidement à la problématique vie privée, les équipes contrôle interne peuvent aider à l’évolution des processus afférents. En sus, dans des environnements très concernés par des réglementations clients, il conviendra d’intégrer ou partager les initiatives afin de mutualiser au mieux les travaux et livrables produits. À la vue des enjeux et de l’ampleur des programmes, un pilotage rigoureux et réaliste est un pré-requis.

5. L’organisation de l’équipe DPO, et les profils particuliers requis, la plus à même d’apporter expertise juridique, pilotage du programme (qui ira bien au-delà de mai 2018), accompagnement des projets et contrôle des traitements.
Suivant les contextes, le poste de DPO attire à la fois des convoitises dans les filières conformités ou CIL existantes, mais des appréhensions pour des profils qui ne souhaitent pas endosser ce rôle parfois vu comme apporteur de contraintes et relayant rarement des messages positifs. Le pilotage du programme peut donc être confié de façon temporaire à une équipe spécifique, indépendante de la future organisation DPO.

Les chantiers de mise en conformité au RGPD impliquent donc un large panel d’interlocuteurs au sein des entreprises. Cela est d’autant plus nécessaire pour prioriser les chantiers et traiter les points durs tout en respectant les échéances et les contraintes budgétaires. Ces sujets seront traités dans un second article.

Cet article RGPD, 1 an de travaux, quel bilan en tirer ? (1/2) est apparu en premier sur RiskInsight.

The presidential race was marked by a strong emphasis on cybersecurity. The topic, considered during the campaigns as “one of the most important challenges the next president is going to face” (Hilary Clinton, Derry, New Hampshire, February 3, 2016) and “an immediate and top priority,” (Donald Trump, Herndon, Virginia, October 3, 2016) was on the agendas of both final candidates, who expressed a strong willingness to better protect the country’s “cyberspace.” Furthermore, the leakages from various political organizations during the electoral process highlighted the weaknesses of the society against cyber threats.

U.S. critical infrastructure sectors, such as financial services, transportation systems, and energy, will inevitably have a role to play.

The cyber community is now eager to see the new government’s cybersecurity plan. In addition to federal agencies, private institutions that are heavily involved in U.S. critical infrastructure sectors, such as financial services, transportation systems, and energy, will inevitably have a role to play.

Significant efforts have been made to increase cybersecurity in the U.S. and abroad. A common trend is to improve protection of what is generally called critical infrastructure. To that end, the previous U.S. administration launched several governmental initiatives, including the development of the Framework for Improving Critical Infrastructure Cybersecurity by NIST (“NIST Cybersecurity Framework”). The framework is used worldwide aside major standards and is now being updated. In 2016, the Cybersecurity National Action Plan (CNAP), planned to increase the country’s Federal budget for cybersecurity to $19 billion in 2017. In Europe, the Directive on Security of Network and Information Systems (“NIS Directive”) requires Member States to adopt and publish sufficient laws and regulations to protect essential services. This is a global trend which is already visible in many countries such as France with the LPM law and China through the recently enacted Cybersecurity Law. Even international organizations such as NATO are promoting critical infrastructure cybersecurity protection.

Will President Trump focus the country’s cybersecurity program on critical infrastructure?

The two draft Executive Orders released show the new administration is seriously considering the issue.

The first draft Executive Order Strengthening U.S. Cyber Security and Capabilities suggests President Trump will order an extensive review of the country’s weaknesses, strengths, and enemies within an aggressive timeline. The previous administration initiated similar effort less than a month after taking office in 2009, resulting in the rather theoretical Cyberspace Policy Review.

This draft focuses on the following initiatives:

• Vulnerabilities – Review most critical cyber vulnerabilities and submit a list of initial recommendations for enhanced protection of national security systems and most critical infrastructure;
• Adversaries – Review principal cyber adversaries and submit a first report on their identities, capabilities, and vulnerabilities;
• Capabilities – Review relevant cyber capabilities and identify an initial set needing improvements to adequately protect critical infrastructure; review efforts to educate and train the cyber workforce and make recommendations for the future;
• Incentives – Propose options to incentivize private sector adoption of effective cybersecurity measures and submit recommendations.

Leveraging incentives reduces the immediate need for additional regulation or legislation.

While the review of vulnerabilities, adversaries, and capabilities is consistent with actions taken by foreign governments, a more original approach may be taken to ensure adoption of cybersecurity measures by the private sector. Indeed, the focus on Leveraging incentives reduces the immediate need for additional regulation or legislation, which echoes well President Trump’s “Two-for-One” Regulation Executive Order. On the contrary, in Europe, the NIS Directive calls for “effective, proportionate, and dissuasive penalties” to ensure requirements are fulfilled.

Based on currently available information, it is difficult to discern how and to what extent the government would be able to fully execute these initiatives, as they are relatively sweeping in scope. However, the assessment of tangible vulnerabilities and adversaries may indicate a willingness to focus on launching concrete actions.

The second draft Executive Order Strengthening the Cybersecurity of Federal Networks and Critical Infrastructure is similarly ambitious, ordering the government to produce no less than 11 reports and requiring the involvement of the whole executive branch of the Federal Government and critical infrastructure actors.

This draft retains the initiatives on vulnerabilities and capabilities from the first draft, but the scopes are quite different. It suggests more stringent effort will be made on the protection of executive branch and less on critical infrastructure. Among other things, the government here aims to:

• Hold heads of executive departments and agencies accountable for managing cyber risk. This follows a trend already adopted by regulators in the financial services sector, for example through the NYS-DFS 23 NYCRR 500 Cybersecurity Requirements for Financial Services Companies  and the NFA Interpretive Notice on Information Systems Security Programs (ISSP). Bringing accountability to the senior management level is a necessary step toward reinforced focus on cybersecurity and inclusion at the enterprise level, beyond technology departments;
• Generalize the use of the NIST Cybersecurity Framework. While the framework was originally intended for critical infrastructure, it is easy to imagine it applied to federal agencies. It would likely complement and structure the usage of other materials such as the NIST FIPS PUB 200 Minimum Security Requirements for Federal Information and Information Systems and the NIST SP 800-53 Security and Privacy Controls for Federal Information Systems and Organizations, which agencies are already required to leverage under the Federal Information Security Management Act of 2002 (FISMA). It would also increase alignment of practices between the public and private sectors;
• Review executive departments’ and agencies’ risk management practices and actual risk decisions, assess whether they are appropriate and sufficient, as well as develop a plan for improvement. Such effort is consistent with the first draft but this time applies only to the executive branch;
• Develop a plan to modernize IT architecture by transitioning to shared IT services and consolidating network architecture, especially for National Security Systems. Shared IT services allow for increased security through industrialization, and consolidated network architectures are easier to protect and monitor.
• Identify authorities and capabilities to support cybersecurity efforts of entities managing critical infrastructure at greatest risk in case of cyber attack, in collaboration with those entities. The notion of critical infrastructure at greatest risk originates from President Obama’s Executive Order 13636 Improving Critical Infrastructure Cybersecurity;
• Assess the Federal policies and practices efficiency to promote market transparency of cyber risk management. No more incentives here, but a market-driven approach to foster extended cybersecurity measures among the private sector, and no reference to any new regulation;
• Identify and promote initiatives to improve resiliency of core telecommunications infrastructure. Those initiatives, likely at the Internet service provider level, would mainly focus on preventing continuously increasing distributed attacks.

The initiatives described in the two drafts are aligned with general market practices and are headed in the right direction.

Overall, the initiatives described in the two drafts are aligned with general market practices and are headed in the right direction. However, some uncertainty remains on a number of topics such as privacy and protection of PII, and private-public collaboration. Moreover, as American technology companies that have historically stored their data in the U.S. are opening more and more data centers abroad to meet local regulatory requirements, the U.S. will have to define their own data localization requirements.

The challenge for the new administration is to develop unified data protection policies to drive consistent regulations

The U.S. has led the effort in defining modern cybersecurity tools such as the NIST Cybersecurity Framework and the FFIEC Cybersecurity Assessment Tool but now needs to focus on execution. The challenge for the new administration is to develop unified data protection policies to drive consistent regulations, and move from a theoretical approach to concrete results.

If we are to expect actual results, the effort should enable a country-wide response that is transversal and coordinated, with sufficient oversight. Putting in charge a single agency, as announced by White House officials moments before the President’s signature was called off, may well be a first step in that direction. The new administration will have to define clear roles and responsibilities between the public and private sectors, a governance for collaboration, and a strategy to drive implementation.

Beyond this transformation, the upcoming challenge will be on the collaboration with other countries to align with foreign initiatives with a NATO-like approach, with the objective to drive harmonization of standards and requirements for a more efficient approach to cybersecurity. Stakes and expectations are higher than ever.

Cet article The trends of Trump’s Cyber Regulation est apparu en premier sur RiskInsight.

Analytical assessment of a concrete project within the mass retail sector, made possible thanks to the testimony of Armand de Vallois, Consumer goods & distribution expert from Wavestone.

This blog post is a part of a serie of articles which is itself the result of a synthesis on Privacy at the digital age published on our website. 

What changes have occured over the last few years in the mass retail sector?

Over the last decade, we have shifted from a distribution model focusing on costs and volume to a model based upon understanding our customers. Mass distribution is thus a thing of the past, as it completely overlooks the interests of the customer relationship. Nowadays, our model gathers and stores knowledge about our customers, allowing us to develop closer proximity with the customer and loyalty programs which support the frequency and consistency of their purchases.

How should organisations handle such changes?

In recent years, awareness by business stakeholders of the opportunities that come with the high potential of customer data has increased. Nevertheless, resources must be used wisely in supporting the efforts of organisations to get closer to their customers. Data must be collected, handled and reconciled against frameworks which correspond to customer expectations and regulatory requirements. For example, the “opt-in” option is a good way to ensure that customers are well informed and accept the collection and processing of their data. Increasingly, rewards are used as a means for encouraging customers to accept the disclosure of their data. However, this model has its limitations. It is essential to ensure that services are of interest to customers and contribute to the ease of their lives, as well as ensuring that individuals have agreed to provide their data.

Do you have some examples of projects which created apprehension?

The introduction of RFID chips (integrated technology which enables the identification and follow-up of objects or people) in electronic tagging is a good example. Many projects have been launched in the textile industry based on optimising production costs, inventory automation in stores and warehouses as well as the ease of chip insertion into clothes. It is crucial to have real-time knowledge of stock levels and to have reliable information in an omni-channel context, where it is increasingly common to see online purchases made ahead of in-store collections. RFID chips can also contribute to data production based on customer journeys and the actual product itself, for example calculating ratios to record the number of times a product has been tried on in a fitting rooms compared to successful purchases of that product. This type of information is essential in the context of fast fashion in the textile industry. However, such chips are also a cause for concern. For example, salesmen can “potentially” connect a customer to a product (the RFID chips use unique identifiers) and track their activity over the duration of their shop visit (the chipset remains activated).

How did you adress these concerns?

We implemented what we call “Privacy By Design”, which goes beyond strict principles regarding chip use (identification and follow-up of products, not customers) and incorporates several other principles:

• A visible marker showing that clothes are equipped with a RFID chip
• Training sales teams so they are better qualified to respond to customer queries, such as informing customers that chips may be removed by cutting the tags attached to a product, a service offered in stores, or declaring that the company in question will never connect a customer and a chip
• Dedicated webpages for communicating all information required to understand the chip and the data it collects

These are some examples of best practices which are applicable to all projects involving the treatment of sensitive data. We must lead by example when handling and informing individuals about how to handle such data. It is therefore crucial to reassure customers and answer their questions so as to anticipate and alleviate their concerns.

Cet article Privacy and Digital Transformation: the retail relies on a Trust policy est apparu en premier sur RiskInsight.

This blog post is a part of a series of articles which is itself the result of a synthesis on Privacy at the digital age published on our website. 

Many projects aim at digitalising business processes and customer relationships in order to optimise existing processes, introduce customer proximity or offer new services

The following examples, based on Wavestone’s consulting experience, illustrate such trends. Historically, postmen, meter readers and service technicians have worked with paper (address databases, meter-reading or maintenance documentation). Work is organised according to the tasks to be performed and can usually be operated alone and independently throughout the day, before information is collected and consolidated at the end of a work shift.

The dematerialisation of such paper-based processes is intended to help organisations or agents in their activities by collecting data, better organising the work to be performed and sequencing tasks. This digitalisation process occurs in different sectors for specific purposes. For example, in the energy sector, smart meters create innovative opportunities around energy saving and fraud management through the collation of consumption data. In the insurance sector, accumulating data on customer preferences enables the personalisation and customisation of services and the development of additional offerings.

Such developments require the collation and manipulation of masses of personal data.

Cybersecurity alone is not sufficient for protecting digital privacy

To protect personal data so crucial to the digital market, organisations will pursue cybersecurity measures, such as secure transfer protocols or data encryption. However, we may question if such measures are sufficient, while concerns over data misuse, profiling and automated decision-making intensify.

An IT security-oriented approach alone is not sufficient. To address the fears over the respect of privacy, it is essential for organisations to reassure individuals by guaranteeing the non-manipulation of data without their prior knowledge and against their will.

Four Major Principles

The following guiding principles are to be applied in the collation and use of personal data

1- Communicate transparently and explicitly,

informing individuals on the data that is collected about them even if not directly obtained from those concerned. Our survey essentially illustrates this meaning of privacy to citizens: what kind of information is accessible about me, and to whom? It also means sharing the reasons behind data collection and the intended usage. Under no circumstances should data be collected without the purpose of collection disclosed to the persons concerned. Recent sanctions from regulators have illustrated that such activity is always exposed in the media, with heavy reputational impact and lost customer confidence often the damaging consequences. Building a relationship of trust takes years, whereas losing it only takes minutes.

2- Minimise the collection and storage of personal data

Less data collected about an individual means a lower risk of unauthorised and non-compliant use. For existing data, it is possible to process data while minimising risks through the use of “declassifying” techniques such as anonymisation, pseudonymisation (replacing direct identifiers with “codes”), randomisation (randomly generated data which retains the statistical value but conceals the origin) or generalisation of data sets.

Regarding data sharing and exchange, mathematical methods facilitate the exchange of data between two organisations, whilst ensuring data anonymity. When selecting such methods, it is important to assess their limitations. A poorly executed “sensitivity reduction” can still directly lead to the source of original data. For example, this can involve deleting the name but keeping the date of birth, place of birth and address.

Such methods enable organisations to optimise the customer relationship in two ways: by providing a better understanding of the digital customers’ profile and by demonstrating respect for customer privacy. This is the path chosen by Apple through the concept of differential privacy to differentiate from competitors Google and Microsoft.

3- Ensure individuals are in control of their personal data

not by generating value through the access to data, but rather by providing individuals with control over their data, allowing services to develop based on their needs.

This approach, labelled “self-data”, can be applied in the context of an energy consumption optimisation project, an example of which is to ask customers to indicate the temperature in their homes to record the potential cost savings associated with heating reduction. An individual will then be informed of the potential cost savings by autonomously using and managing a self-data Cloud platform, connected to his personal equipment to enable the cross-analysis of data through consultation of his digital thermometer and energy bills.

Use cases for self-data are also subject to research in the insurance sector, with some insurance companies contemplating the complete removal of client spaces to instead install them on self-data Cloud platforms. The insurer will then have access to the data belonging to his client but is no longer in ownership of that data. Beyond self-data, such trends may even lead to the “Green Button” mechanism where individuals explicitly validate access to their data at any time. This principle, albeit difficult to implement in practice, can be restricted to particularly sensitive data, such as health data.

4- Implement a win-win model

by clearly demonstrating the benefits generated by collecting and using data, not only for the organisation but also for individuals. Such benefits can be shared with customers through various means, such as additional services, rebates and compensation.

This approach may even drive the ease in adoption of new uses in an environment where increases in market share carry significant impact.

Ultimately, we are able to identify several levers in motion for building an honourable circle of trust when using an individuals’ data with respect and for the purposes of increasing the level of confidence.

Cet article Privacy within the digital transformation: four major principles est apparu en premier sur RiskInsight.

This blog post is a part of a series of articles which is itself the result of a synthesis on Privacy at the digital age published on our website. 

An increasingly international regulatory framework

The concept of privacy, as understood in history, can be understood across several centuries of legislation. It began taking shape in 1948, inscribed in Article 12 of the Universal Declaration of Human Rights: “No one will be the object of arbitrary interference in his private life (…). Everyone has the right to be protected by law against such interference or attacks”.

Regulation around the protection of personal data is a more recent phenomenon. It is directly linked to the development of information technology and the increased collection of data by organisations. In addition, the market value of data adds a further layer of complexity with the emergence of an international regulatory consensus. Sweden was the first state to establish legislation on the subject in 1973. In France, the “Loi Informatique et Libertés” was enacted in 1978, following debates over the Safari project, aimed at creating a centralised database of information about individuals.

Without reviewing each national law and its timeliness, an analysis of the initiatives implemented on regional scales provides a holistic view of the main privacy trends.

European Union: the state protecting its citizens

The European Union was the first institution to establish legislation on the subject in 1995 with the publication of Directive 1995/46/EC. This first attempt at creating legislative harmony on an institutional and European scale has been followed by the implementation of numerous principles, defined in the law of various Member States, including the establishment of supervisory authorities. This legislation is rooted in the “Guidelines for the Protection of Privacy and Transborder Flows of Personal Data” published by the OECD in 1980, which were non-binding.

In April 2016, the European Union elected to strengthen its legislation with the General Data Protection Regulation (GDPR), which, unlike the 1995 directive, will be directly applicable in the law of the Member States of the European Union.

Its implementation is planned for May 2018, when organisations must ensure their compliance with the requirements of the regulation. Developments will soon take place in e-privacy in the near future, aligning traditional requirements on privacy with more recent developments and innovation, thus addressing the topics of secrecy and correspondence in the digital age. Through such literature, the European Union will adopt the position as a protector of citizen data.

US: Making people aware of their responsilities

There is no specific regulation nor regulator within American law which oversees the collection and use of personal data at a federal level. Instead, the United States operates under a combination of laws which apply to certain sectors or states. Some regulation covers specific categories of personal data, such as financial data or health-related data, while others regulate activities which exploit such data, such as digital marketing. In addition to such regulations, best practices developed by federal agencies and industrial groups are also used as a means of auto-regulation. The Fourth Amendment of the US Constitution can also be referenced for the protection of personal privacy. Finally, laws around consumer protection, while they do not regulate personal privacy, forbid practices around the disclosure of personal data. Nevertheless, American citizens display a certain degree of flexibility regarding the distribution of their personal data.

As shown by the evolution of “Safe Harbor”, differences exist between the American and the European vision. This legal mechanism was implemented to ensure the protection of data transfer between the EU and the USA until October 2015, thereafter invalidated by the Court of Justice of the European Union (CJEU). According to the CJEU, the level of data protection offered by the United States was no longer satisfactory in light of the information leaked by Edward Snowden regarding the global surveillance programme operated by the American government. In February 2016, the United States and the EU drew up a new arrangement, the Privacy Shield, which came into force in August 2016 and is designed to offer better protection for data transfers.

Asia: a situation under development

With respect to data protection, we can categorise Asian countries and territories in two ways. Some are relatively mature on the subject, including South Korea, Singapore, Hong Kong or Taiwan. Until recently, China did not have any specific personal data protection legislation. However, in November 2016, new regulations applicable to operators from June 2017 were implemented. This new regulation will integrate widely agreed principles on respecting personal privacy and will require the storage of personal data on Chinese territory. On the other hand, other countries in the area are yet to implement regulations regarding the protection of personal data on a large scale, despite on-going debates.

Rest of the world: regional initiatives under development

In Africa, the first legislation on the subject was implemented in 2001, in Cape Verde. In 2004, Burkina Faso was the first state to establish a national regulator. At the regional level, the African Union Convention on Cybersecurity and Personal Data Protection, signed by 18 countries in 2014, incorporates notions derived from European legislation, with no legal binding.

In the Middle East, states such as the United Arab Emirates (UAE) and Saudi Arabia do not have specific legislation regarding the protection of personal data. Specific to these countries is the application of Sharia law, stating that damage can be claimed if the disclosure of personal data leads to abuse or damage.

In South America, several countries implement independent regulators. Moreover, they benefit from constitutional guarantees regarding personal data protection. This is particularly the case in Uruguay and Argentina, two countries recognised by the European Union as providing sufficient levels of data protection.

Cet article Privacy: which legal frameworks should be implemented on an international scale? est apparu en premier sur RiskInsight.

A consistent vision on an international scale

The countries selected for the survey, namely France, Italy, Germany, China, the United States and the United Kingdom, were selected on the basis of their socio-economic environments and the diversity of regulatory frameworks concerning privacy protection. These elements can influence the perception and opinion of citizens regarding the protection of personal data. However, despite initial contextual differences, we observed through collected responses that the theme of privacy is perceived in a relatively similar way across the surveyed countries.

Among the majority of respondents were younger generations, often perceived as “digital” citizens and more intrigued by the subject of privacy in a digital world.

Indeed, there are differences and particularities: notably in how German respondents place particular importance ahead of their counterparts on the definition of privacy relating to personal freedom. Responses from the United States demonstrate less confidence in public institutions. Generally, however, there is greater global awareness among individuals about privacy and personal data topics. This can be explained by the borderless nature of data and the digital world, with the digital citizen expecting his or her privacy to be respected regardless of borders. This observation reinforces the importance of respecting privacy in digital projects, regardless of the country and population in question.

From freedom to control: evolution of the meaning of “privacy”

Privacy is traditionally seen as the possibility for an individual to retain some form of anonymity in his or her activities and to have the ability to isolate oneself in order to best protect his or her interests. It is intimately linked to the notion of freedom. However, analysis of the survey results shows that this notion tends to disappear in favour of the control of information. We have proposed to our respondents to select one or more definitions that relate to either notion.

The most frequently selected responses relate to control. This pattern is confirmed by observing the intermediate proposals. For example, “having control over the type of information collected about you” is a more widely selected response (more than half) than “having moments alone, without being monitored by others”, relating to freedom.

It is also important to provide customers and employees with assurance that they have control over their data. This is possible by providing individuals with simple and autonomous means of access.

All personal data are viewed as sensitive in the eyes of citizens

When questioned about the level of sensitivity, the panel showed slight differences in their responses. Citizens considered most of the proposed types of data as sensitive. They did not perceive that leakage of certain data types could have serious or even irreversible consequences (e.g. health data), in contrast to other data types (e.g. financial data), for which most countries have already implemented regulatory frameworks which protect individuals (for example, rapid reimbursement in the event of fraud). This demonstrates that, regardless of the type of personal data handled by a project, special attention must be given at least to the communication of protection levels.

Trust varies greatly from one sector of activity to another

We asked respondents to indicate which type(s) of organisation(s) they trusted the most with regard to using their personal data for previously authorised use. We can differentiate between three main groups of actors.

• Firstly, the actors grouped under the category of “institutions” command the highest level of trust among respondents. / This includes public institutions, semi-public institutions or entities from the traditional economy with which individuals have historically shared a relationship of trust. This is particularly the case given how such institutions have processed sensitive data throughout their history (medical data, etc.). We also find significant differences within this category, with more than half of respondents claiming to trust banks with the processing of their data. Image and reputation are therefore crucial for banks, which serve to meet customer expectations in the aim of retaining their position as the number one trusted partner.
• Secondly, an intermediate category encompasses the actors of daily life such as transport operators and energy suppliers. Such B2C actors carry out swift digital transformation and benefit from the existing relationship of trust.
• Thirdly and finally are actors in the digital economy, whether web giants or technology firms.

Mistrust towards such companies can be attributed to the amount of data they collect and use on individuals, as well as recent high-profile prosecution cases related to such use. However, this result reveals a paradox. Despite this evident lack of trust, individuals continue to frequently use the services provided by these actors, due in part to a lack of alternative, as well as the information entrusted seeming to be, often wrongly, harmless and insignificant in the eyes of the individual.

New technologies raising fears

The panel highlights four technologies most likely to put their privacy in danger, according to respondents. What do they all have in common? Making it possible to collect data without this activity being under the control of the persons concerned. This would, for certain individuals, equate to a form of surveillance. On the other hand, technologies which provide citizens with the ability to choose the data they share, such as connected objects or Cloud services storing private information, are considered less risky in terms of privacy and therefore do not feature as any of the four technologies.

Although not traditionally thought of as “sensitive”, data on individual behaviours and actions are now viewed as a significant stumbling block between customer expectations about the respect for privacy and the increasingly personalised customer relationship.

Citizens who take action to protect their digital privacy

More than half of respondents claimed that they had made certain changes to their online behaviour in order to better protect their data. This illustrates a heightened level of awareness by individuals concerning the protection of their privacy. It is worth analysing how the means individuals take to ensure such protection. Our respondents described the measures they took, divided into two categories:

• Measures to limit the amount/ type of data provided: provision of inaccurate/incomplete information when creating an account, such as the use of a nickname or discarding non-mandatory fields or the use of anonymous accounts…
• Measures to improve the security of the data provided: increasing the level of security of online accounts such as strengthening passwords, changing passwords regularly, checking access rights and being more attentive when sharing personal information over the Internet…
• In addition to such measures, we find more extreme solutions. This ranges from the complete closure of accounts on social networks, exclusive use of trusted and tested sites or technologies, to deleting history and cookies with every use of search engines.

While these individual initiatives can contribute to increasing the protection of privacy, they may conflict with new uses and innovation promoted by organisations, thus limiting or even preventing the personalisation of the customer relationship.

The survey methodology

The survey was carried out among a 1587 respondents’ sample with people from 6 different countries: Germany, China, the United States, France, Italy and the United Kingdom. Answers have been analyzed by two Wavestone’s offices: Paris and Luxembourg. The respondents’ sample has been provided by a tierce organization (SSIS). The Wavestone research department is familiar with this structure because they used to work together on surveys on behalf of the European Commission. Before the emailing campaign, quizzes have been conceptualized and translated by Wavestone. The sample has been defined in order to ensure its representativeness. The panel needed to be representative of the targeted population without any gender and socio-professional category discrimination. Besides, the two selection criteria were that people need to be adults and they must have an Internet access. The survey was conducted from July to August 2016 and analysed from September to December of the same year. The final version has been finally published at the beginning of 2017. All the data from this survey have been anonymized. The data collection has been made for statistical purposes only.

Cet article What does privacy mean in a digital world? est apparu en premier sur RiskInsight.

Dans le monde d’aujourd’hui, le principe de la vie privée est en pleine évolution, tout comme le rôle qu’elle peut jouer au sein de la transformation numérique.

Au sein de Wavestone, nous avons la conviction que les organisations privées comme publiques doivent savoir utiliser les données personnelles pour devenir des champions du numérique, mais tout en maintenant le lien de confiance qui les unit à leurs employés et à leurs clients, la transparence étant pour nous la clé de voûte du maintien de cette confiance.

À travers cette publication, nous avons cherché à éclairer les différentes facettes de ce sujet complexe pour permettre à chaque organisation de trouver son propre positionnement face au défi de la vie privée dans le numérique.

Retrouvez notre synthèse sur la vie privée et la confiance numérique en cliquant ici.

Cet article La vie privée à l’ère numérique : au-delà de la conformité, un enjeu de confiance est apparu en premier sur RiskInsight.