Pourtant, le volet IAM « Identity and Access Management » est souvent relégué au second plan dans les Programmes de mise en conformité LPM/NIS mis en œuvre par les Opérateurs d’Importance Vitale (OIV) / Opérateurs de Service Essentiel (OSE).

Comment comprendre cette situation et quelles leçons en tirer pour construire sa feuille de route IAM pour ses infrastructures critiques ?

L’IAM est un des piliers du volet cybersécurité de la LPM/NIS

Les mesures IAM à mettre en place sur les infrastructures critiques sont décrites dans les quatre règles suivantes :

Auxquelles il convient d’ajouter la règle portant sur les indicateurs (règle 20 pour la LPM et règle 4 pour NIS).

Les bonnes pratiques IAM habituelles à appliquer à tous les accès

Les exigences des trois premières règles reprennent les bonnes pratiques habituelles à appliquer à la gestion des comptes et des droits, tant pour les utilisateurs physiques que pour les processus automatiques accédant aux infrastructures critiques :

• Gérer le cycle de vie des utilisateurs, notamment les mutations et départs
• Affecter les droits selon le principe du moindre privilège
• Revoir (ou recertifier) régulièrement les droits affectés, a minima annuellement
• Contrôler et auditer les droits
• Attribuer des comptes et des moyens d’authentification strictement nominatifs

Le cadre ci-dessous résume les règles concernées :

Ces règles fixent un cadre mais laissent une grande liberté aux Opérateurs pour les décliner dans leur contexte.

Des comptes d’administration dédiés et soumis aux mêmes exigences

La quatrième règle (n°14 LPM et n°11 NIS) traite spécifiquement des comptes d’administration, destinés aux seuls personnels en charge de l’administration des infrastructures critiques : installation, configuration, maintenance, supervision, etc. L’exigence forte est la mise en place de comptes d’administration dédiés à la réalisation des opérations d’administration.

Au-delà du principe de moindre privilège explicitement mentionné, les comptes d’administration doivent respecter les mêmes exigences que les autres comptes telles que décrites précédemment.

Des indicateurs à produire pour surveiller les comptes à risque élevé

Enfin, la règle sur les indicateurs prévoit la définition de plusieurs indicateurs concernant la gestion des comptes présentant un niveau de risque élevé :

• Pourcentage de comptes partagés
• Pourcentage de comptes privilégiés
• Pourcentage de ressources dont les éléments secrets ne peuvent pas être modifiés

Au vu de ces exigences, l’intégration des infrastructures critiques dans les outils IAM (ci-après appelés « l’IAM ») de l’Opérateur apparaît comme la réponse nécessaire ; à compléter par l’application de mesures de durcissement (suppression, désactivation ou changement de mot de passe des comptes par défaut).

NB : les exigences LPM et NIS étant très similaires, nous emploierons par la suite le terme « OIV » pour désigner aussi bien les Opérateurs d’Importante Vitale et les Opérateurs de Service Essentiel, et le terme « SIIV » pour désigner les Systèmes d’Informations d’Importance Vitale et les Systèmes d’Informations Essentiels.

Pourtant, les Opérateurs hésitent encore à raccorder leurs infrastructures critiques à l’IAM

Les règlementations LPM et NIS ont accéléré la mise en place et le déploiement de solutions de bastion d’administration afin de sécuriser les accès d’administration. Cependant, bien que ces projets soient nécessaires, ils ne permettent de répondre que très partiellement aux exigences évoquées précédemment.

Ces règlementations devraient pourtant être un bon driver pour les projets IAM, mais les Opérateurs sont confrontés à deux principaux problèmes :

• La complexité d’intégration des systèmes industriels avec l’IAM – pour les Opérateurs industriels.
• Le risque induit par le raccordement des infrastructures critiques à l’IAM.

Des systèmes industriels complexes à intégrer

Les systèmes industriels présentent en effet des spécificités qui, d’une part complexifient le raccordement à un outil IAM, et d’autre part le rendent moins indispensable. Car, de façon générale :

• le nombre d’utilisateurs est limité ;
• ces systèmes sont cloisonnés, voire isolés du réseau d’entreprise ;
• la maturité sécurité des éditeurs et constructeurs est en retrait, les capacités d’interfaçage sont réduites, tant pour la gestion des comptes que pour la délégation d’authentification ;
• la granularité des droits d’accès est faible, se limitant souvent à autoriser l’accès ou non à l’ensemble du système, et non fonctionnalité par fonctionnalité.

Une intégration potentiellement génératrice de risques

Mais, au-delà de ces considérations propres aux systèmes industriels, les Opérateurs sont parfois réticents à mettre en place cette intégration, car elle est perçue comme génératrice de risques. En effet, si l’outil IAM ne présente pas un niveau de sécurité à la hauteur des règlementations, il pourrait paradoxalement constituer un point d’entrée sur les SIIV et ainsi amener de nouvelles vulnérabilités : création de compte ou attribution de droit illégitime, suppression malveillante de tous les comptes, etc.

Quant à mettre en place un IAM entièrement dédié au périmètre SIIV, cela représente un investissement très conséquent, parfois disproportionné, et qui ne permet pas de tirer tous les avantages d’un IAM mutualisé, par exemples les liens avec les sources autoritaires comme le SI RH.

Différentes approches d’intégration IAM permettent de répondre aux exigences règlementaires en maintenant un niveau de cloisonnement élevé

Dès lors, comment répondre efficacement aux exigences de la LPM et de la directive NIS ? Comment tirer parti des services proposés par les outils IAM sans ouvrir de nouvelle porte sur les infrastructures critiques ?

Nous distinguons différentes approches pour intégrer un système avec les outils IAM.

L’approche « délégation », à l’état de l’art mais fortement couplée

La première approche consiste à déléguer l’authentification et l’autorisation à l’IAM, en l’occurrence au service d’authentification et de contrôle d’accès, via un protocole de Fédération d’Identités (SAML2, OpenID Connect / OAuth2) ou via un raccordement Active Directory / LDAP.

Cette solution permet une gestion des comptes et des accès à l’état de l’art, mais rend le SIIV totalement dépendant de ce service et l’expose aux risques évoqués précédemment. Même en situation de crise, une isolation du SIIV serait difficilement envisageable.

Cette approche est donc plutôt à réserver aux applications qui fonctionnent déjà sur ce principe, typiquement les applications du SI de gestion avec un grand nombre d’utilisateurs. Pour les systèmes industriels, la solution à privilégier est de conserver le service d’authentification au sein du SIIV et d’opter pour une autre approche.

L’approche « provisioning », avec un niveau de couplage à ajuster au contexte

Cette approche consiste à conserver un système d’authentification et de contrôle d’accès propre au SIIV mais provisionné – c’est-à-dire alimenté – par l’IAM : les comptes et droits des utilisateurs sont stockés dans un référentiel interne au SIIV, et la solution IAM les gère au travers d’un connecteur. En fonction du niveau d’isolation souhaité, ce connecteur peut prendre différentes formes :

• Un connecteur automatique, permettant à l’IAM d’écrire directement les informations sur les comptes et accès dans le SIIV. Une isolation temporaire devient possible, en situation de crise ou en cas de détection d’activité anormale (par exemple : suppression massive de tous les comptes). Mais rien n’empêche un utilisateur malveillant ayant la main sur l’IAM de se donner accès au SIIV.
• Des ordres transmis aux administrateurs du SIIV (par ticket ITSM ou par mail) qui réalisent les actions manuellement. Un « sas » d’isolation est ainsi maintenu entre l’IAM et le SIIV, avec une étape de contrôle par les administrateurs.

Cette approche permet de bénéficier des processus de gestion des identités et des accès : validation et traçabilité des demandes d’accès, retrait des comptes et droits en cas de mutation ou de départ, etc. tout en préservant un degré de cloisonnement du SIIV.

L’approche « revue », orientée contrôle a posteriori

L’approche « revue » (également appelée « recertification ») se distingue des autres par le fait qu’elle repose sur une logique de contrôle a posteriori plutôt que de gestion a priori. Il s’agit cette fois d’analyser périodiquement les accès déclarés dans le SIIV afin de vérifier s’ils sont toujours légitimes. Cette vérification peut reposer sur un rapprochement des comptes avec un référentiel de collaborateurs (fichier RH, solution IAM, etc.), ou sur une validation explicite de la part des responsables des utilisateurs.

Ce peut être l’occasion de réaliser des contrôles approfondis (par exemple détection de combinaisons toxiques), de produire des indicateurs et des rapports d’audit.

Adapter son projet IAM – Infrastructures critiques à son niveau de maturité et à la typologie du SIIV

Sur la base de ces différentes options, nous proposons ci-dessous des pistes pour construire la feuille de route de mise en conformité LPM/NIS en fonction du niveau de maturité IAM et de la typologie des SIIV concernés.

Conserver la brique d’authentification et autorisation localement dans chaque SIIV

Il est préférable de conserver un référentiel de comptes et de droits d’accès localement dans chaque SIIV. Cependant, pour les systèmes déjà raccordés à un service mutualisé d’authentification et d’autorisation, le système mutualisé peut être conservé mais l’Opérateur doit lui appliquer les mesures prévues par la LPM et NIS : a minima le cloisonnement réseau, le durcissement, le maintien en conditions de sécurité, l’administration depuis un SI d’administration dédié, l’envoi des logs au SIEM, etc.

Dans un environnement de gestion des identités et des accès non mature, commencer par la revue des comptes et des droits

En l’absence d’outillage de gestion IAM mature, le moyen le plus rapide d’atteindre un premier niveau de maîtrise des risques et de conformité est de définir et mettre en œuvre un processus de revue régulière, sur une base a minima annuelle.

Sur un SIIV au nombre d’utilisateurs limité, le processus peut être déroulé manuellement, avec un niveau de qualité acceptable et une charge de travail raisonnable. Mais pour gérer des volumétries plus importantes, un outillage adéquat est à envisager : il facilite le pilotage des campagnes de revue et garantit la traçabilité des décisions. Il constitue en outre une opportunité pour envisager ensuite la mise en place d’un outil de gestion IAM.

Lorsqu’un outil de gestion IAM est en place, le sécuriser pour y raccorder les SIIV

Lorsque l’Opérateur dispose d’un outillage IAM mature, le provisioning des SIIV par l’IAM est recommandé : l’automatisation, la fiabilisation et la maîtrise que permettent les outils doivent compenser les risques induits par le couplage. A condition toutefois de garantir la sécurité de l’IAM : en complément des mesures techniques précédemment évoquées, l’Opérateur doit configurer l’IAM de sorte à ce que seuls les utilisateurs susceptibles d’accéder au SIIV peuvent demander l’accès, que le propriétaire du SIIV valide les demandes d’accès et puisse consulter facilement la liste des utilisateurs autorisés, et enfin que des contrôles permettent de détecter des anomalies sur les comptes et accès.

Le rehaussement de la sécurité profitera d’ailleurs à l’ensemble du Système d’Informations.

Trouver le bon équilibre risques / bénéfices pour construire son projet IAM – Infrastructures critiques

Ces propositions doivent permettre à tout Opérateur de construire sa feuille de route IAM pour ses infrastructures critiques en trouvant le bon équilibre entre les bénéfices apportés, les risques induits et le coût de mise en conformité.

Cet article Quelle approche pour gérer les identités et les accès sur les infrastructures critiques ? est apparu en premier sur RiskInsight.

Le projet de loi, créé à la base pour modifier un projet de loi de 1986, le «Stored Communication Act», permet aux États-Unis de forcer les fournisseurs de services américains  à transmettre les données de leurs clients stockées à l’étranger de manière beaucoup plus rapide. Il faut en moyenne dix mois pour obtenir les données, une durée improductive pour les enquêtes menées par les États-Unis. Le projet de loi vise à permettre aux autorités américaines (du shérif à la CIA) à accéder à des données hébergées par des entreprises américaines sans passage devant un juge. Les grandes entreprises technologiques, qui ont soutenu le projet de loi devant le Sénat, pourront s’opposer à une demande si :

• Le client ou l’abonné n’est pas américain ou ne réside pas aux États-Unis (section 3.2.b.h.2.i), et
• Le transfert obligerait le fournisseur à enfreindre les réglementations du pays hébergeant les données (section 3.2.b.h.2.ii)

Cette demande sera alors portée devant un tribunal américain qui pourra alors casser ou non la demande de transfert de données. Sa décision sera basée, entre autres, sur la validité des informations apportées, de l’intérêt de la requête pour les Etats-Unis et de l’envergure et les chances d’application de la violation de loi dans le pays étranger. Le caractère public du recours n’est pas précisé, en particulier la capacité des entreprises à communiquer sur ces contestations. Aujourd’hui, il nous parait probable que les grands acteurs américains utilisent ce recours pour garder la confiance de leurs clients.

Afin d’éviter d’enfreindre les réglementations des pays concernés, les États-Unis pourront passer des accords bilatéraux avec ces États, qui, en échange de leur bonne volonté, pourront accéder aux données sur le territoire américain.

Aux États-Unis, le CLOUD Act reste contesté pour les risques hérités par les potentiels accords avec les pays étrangers. Le fait que le pouvoir exécutif soit à même de mettre en place les accords mutuels inquiète la population américaine, qui craint que des puissances étrangères se servent du Cloud Act pour aller fouiller dans leurs données sans garde-fou.

Quelles conséquences pour les clients européens ?

Alors que les géants de la technologie (Facebook, Google, Microsoft, Apple) ont soutenu le projet de loi (les autorités américaines s’abstenant de les approcher pour un accès backdoor et fournissant un cadre clair pour exercer le transfert de données), ces réglementations peuvent être inquiétantes pour la privacy des clients des entreprises ciblés. Cette loi pourrait laisser les clients sans droit de regard, ni information sur l’accès à leurs données par les autorités américaines.

Cependant, les clients européens dont les données sont traitées en Europe pourraient être bientôt protégés par le Règlement Général sur la Protection des Données (RGPD). Les articles 45 et 48 du règlement qui entrera bientôt en vigueur définissent un ensemble de règles claires pour permettre le transfert vers des pays tiers. Selon Frank Jennings (avocat de renom sur les sujets cloud), l’European Data Protection Board, en charge de l’implémentation du RGPD, sera en charge de décider si les saisies dans le cadre du CLOUD Act constituent une mesure nécessaire à la sauvegarde de la sécurité nationale américaine, ou si la demande ne respecte pas la nouvelle réglementation.  Cela pourrait obliger les États-Unis à négocier avec l’UE ou ses États membres les conditions de tels transferts, et donc à protéger leurs citoyens contre les transferts illégitimes. Les clients américains resteraient toutefois sous la portée du CLOUD Act.

Des négociations doivent commencer entre la Commission européenne et les Etats-Unis. Les dirigeants de l’UE ont déjà critiqué le projet de loi américain pour son adoption précipitée, ce qui risque de compliquer les négociations. Entre-temps, une centaine d’organisations de la société civile ont pressé le Conseil de l’Europe à rendre publiques les négociations prévues lors de la « Convention sur la cybercriminalité » (ou « Convention de Budapest »).

Les lois de confidentialité, un atout pour les entreprises ?

Alors que le RGPD a pu préoccuper une bonne partie des entreprises sur le changement que cela impliquerait pour leurs systèmes d’information et que la directive « E-Privacy » se prépare, il pourrait être intéressant de voir le rapport à la réglementation évoluer dans le monde des affaires. Les lois de «data privacy » pourraient, dans un futur proche ou lointain, être considérées comme une aide à la protection de leurs données et au maintien de la confiance des clients.

Dans un monde où les questions de confidentialité des données deviennent de plus en plus importantes (Cambridge Analytica, Google Home Mini), les protections sur les données des clients peuvent être un argument décisif lors du choix entre des offres compétitives. Le positionnement des fournisseurs américains sur les questions de Privacy et de protection des données est attendu impatiemment.

Que faire aujourd’hui ?

Pour conclure, les nouvelles réglementations sur la privacy restent assez ambiguës et peuvent même se heurter sur certains points. La principale conclusion reste que les Européens devraient être mieux protégés par le RGPD face au CLOUD Act, si les fournisseurs américains dénoncent les requêtes abusives et que les tribunaux en charge de valider la demande jouent leurs rôles. Les clients non européens, quant à eux, ne seraient pas plus protégés en hébergeant leurs données en Europe.

En attendant l’entrée en vigueur de nouvelles lois traitant de la confidentialité et les éventuelles saisies des données, vous pouvez prendre des mesures pour protéger vos données personnelles et commerciales contre les écoutes d’outre-mer et autres menaces potentielles :

1. Clarifier avec votre fournisseur dans quelles conditions il pourrait être amené à donner accès à vos données, sans oublier de prendre en compte les traités d’assistance judiciaire mutuelle (Mutual Legal Assistance Treaties).
2. Définir ou revoir votre stratégie d’hébergement suivant le type de données, la nationalité du fournisseur et la location de l’hébergement
3. Privilégier l’hébergement de données dans des datacenters européens ou dans des pays disposant de règles bien établies en matière de confidentialité des données.
4. Choisir un fournisseur français ou européen permet d’éviter les risques du CLOUD Act. En contractualisant qu’il n’utilise pas de sous-traitants américains (directement ou indirectement) !

Cet article CLOUD Act : vos données sont-elles mieux protégées ? est apparu en premier sur RiskInsight.

Décryptage dans le domaine des ressources humaines, avec le témoignage de Jean-Christophe Procot et Hervé Commerly, expert Ressources Humaines chez Wavestone.

Ce billet de blog fait partie d’une série d’articles issue d’une synthèse sur la vie privée à l’ère numérique publiée sur notre site web.

Comment est perçue la notion de vie privée entre les collaborateurs et leur employeur ?

C’est une notion qui a très fortement évolué ces dernières années. Pour l’employeur, la vie privée de son collaborateur est le plus souvent le temps qu’il ne consacre pas à son travail. Pour l’employé,la notion de vie privée se conjugue également avec la souplesse dans les conditions de travail (fluctuation des horaires, diminution du contrôle, télétravail) et une limite dans les informations dont l’employeur dispose sur lui. Sur la base de sa conception de la vie privée, et pour améliorer celle de ses collaborateurs, l’employeur a de plus en plus cherché à assister ses collaborateurs dans leur vie quotidienne grâce à la mise en place de divers services : services de pressing, crèche et restaurant d’entreprise,assurances complémentaires, etc. Mais cette assistance nécessite que l’employeur connaisse de plus en plus d’éléments sur la vie privée du collaborateur : composition familiale, habitudes alimentaires en période de fête religieuse, etc.

Qu’est-ce qui explique cette réticence ?

Il faut comprendre que l’employeur souhaite de plus en plus collecter des données pour améliorer la connaissance de ses collaborateurs. Il souhaite les conserver plus longtemps, catégoriser les collaborateurs,automatiser ou faciliter des prises de décisions et mieux piloter la performance. L’employeur recherche d’ailleurs de plus en plus de données non communiquées directement par le collaborateur mais collectées auprès de tiers : réseaux sociaux,précédents employeurs, managers, don-nées issues des outils de travail, etc. L’employé, comme le client, s’inquiète de cette évolution car, je dirais presque par définition, l’employé suspecte son employeur de vouloir le surveiller. Le collaborateur se demande alors comment il peut conserver la maîtrise sur sa vie privée si son employeur collecte toutes ces informations, si celles-ci ne proviennent pas nécessairement de lui et de son choix assumé de les communiquer et si son employeur les corrèle entre elles pour prendre des décisions dont il n’a pas conscience.

Un projet récent fait-il directement échos à ces inquiétudes ?

Le projet du gouvernement français d’introduction d’un impôt prélevé à la source (c’est-à-dire sur le salaire du collaborateur par l’employeur) est un bon exemple. Cette évolution vise à simplifier la vie des citoyens en évitant les paiements différés qui peuvent produire des situations difficiles (par exemple, une baisse de revenus ne permettant plus de payer l’impôt de l’année précédente) et améliorer le recouvrement des impôts pour l’État (l’employeur étant perçu comme plus fiable pour collecter l’impôt). Pour autant, des citoyens ont rapidement exprimé des inquiétudes vis-à-vis des informations que leur employeur pouvait apprendre sur eux. Une déclaration d’impôts peut comporter de nombreuses informations sur la vie privée : situation maritale, enfants, revenus annexes, assistance de personnes en difficultés, dons, etc. L’objectif est donc de s’assurer que la finalité des données communiquées sera limitée au prélèvement des impôts et que l’accès à ces données sera bien encadré. L’employé souhaite s’assurer que ses données ne seront pas utilisées à d’autres fins, par exemple faire varier ses augmentations par rapport à un collègue au regard de ses autres revenus.

Et quelles évolutions émergentes en matière de gestion des ressources humaines vont-elles avoir un impact sur la protection des données personnelles ?

Plusieurs tendances majeures se dégagent :

• L’arrivée du big data ans les activités de recrutement, en particulier de sourcing, qu’il convient d’encadrer en s’assurant de notre légitimité à collecter ces données ;
• La multiplication du décisionnel pour la gestion des carrières (constitution d’arbres de succession ou identification des key people par exemple)avec des prises de décisions automatisées, sujet sur lequel le régulateur est assez sensible ;
• La mobilité avec l’introduction de plus en plus fréquente de nouveaux terminaux mobiles professionnels,ne facilitant pas la séparation entre la donnée produite dans un cadre privé et celle produite dans un cadre professionnel. La question du « droit à la déconnexion » est également régulièrement posée.

Cet article Evolution de la gestion des ressources humaines : quels impacts sur la protection des données personnelles ? est apparu en premier sur RiskInsight.

Décryptage d’un projet concret dans le domaine de la distribution, avec le témoignage d’Armand de Vallois, expert Biens de consommation et distribution chez Wavestone.

Ce billet de blog fait partie d’une série d’articles issue d’une synthèse sur la vie privée à l’ère numérique publiée sur notre site web.

Quels changements ont eu lieu ces dernières années dans le monde de la distribution ?

Nous sommes passés depuis une dizaine d’années d’un modèle qui privilégiait les coûts et les volumes à un modèle qui souhaite davantage connaître ses clients. On abandonne ainsi un métier de distribution de masse, où l’on ne se souciait plus de la proximité client (la caisse automatique ayant illustré cette tendance à son paroxysme), pour entrer toujours plus dans un modèle où la connaissance client, la proximité et la fidélisation doivent concourir à améliorer la fréquence et le nombre d’achats.

Comment faut-il alors appréhender ces évolutions ?

Les  acteurs  du  commerce  ont  pris conscience ces dernières années que la donnée est une ressource dotée d’un très grand potentiel. Mais cette ressource doit avant tout être bien utilisée, c’est-à-dire valorisée comme il se doit pour répondre aux enjeux de proximité client. Les données doivent ainsi être collectées, manipulées, rapprochées dans un cadre en ligne avec les attentes du consommateur et les exigences du régulateur. On pense par exemple à la notion « d’opt-in », ou comment s’assurer que le client est informé et qu’il accepte la collecte de ses données et ce qu’il en sera fait. De plus en plus souvent, la gratification (ou reward) est utilisée pour encourager le client à accepter de communiquer ses données. Mais ce modèle a ses limites. Il convient alors de s’assurer que les services envisagés auront du sens pour les clients, qu’ils contribuent à leur simplifier la vie, et que le client aura alors le souhait de fournir ses données.

Avez-vous un exemple d’un projet ayant provoqué des inquiétudes ?

L’introduction des puces RFID (technologie intégrée permettant notamment l’identification et le suivi d’objets ou de personnes) pour l’étiquetage électronique me semble un bon exemple. Dans le textile, au regard des coûts de production du produits, de la facilité d’introduction de la puce dans les étiquettes, et des gains importants concernant l’automatisation des inventaires en rayons ou en entrepôts, de nombreux projets ont été lancés. Dans un contexte d’omnicanalité où l’achat sur internet précède le retrait en rayon, connaître son stock en temps réel et disposer d’une information fiable est un élément essentiel de la promesse client. Les puces RFID peuvent également contribuer à produire des données sur les parcours clients en traçant les mouvements d’un produit dans un magasin afin de, par exemple, produire des ratios sur le nombre de produits essayés en cabine au regard du nombre réellement vendus. Dans un contexte de fast fashion du textile, où il est essentiel de savoir très vite ce qui marche ou non et pourquoi, ces informations deviennent cruciales. Mais cette puce introduit également une inquiétude sur le fait que, « potentiellement », le vendeur pourrait lier une personne à un produit (la puce RFID ayant un identifiant unique) et le suivre dans le temps dans ses magasins (la puce restantactive). Pour plusieurs projets que nous avons suivis, des citoyens se sont mobilisés afin que les technologies envisagées n’empiètent pas sur la vie privée.

Comment avez-vous répondu à ces inquiétudes ?

Nous avons mis en place ce que l’on appelle du Privacy By Design. Au-delà de principes stricts sur l’utilisation des puces (identifier et suivre un produit et non un client), plusieurs autres principes ont été établis :

• Un marquage visible informant que le vêtement contient une puce RFID ;
• Une formation des vendeurs du magasin afin qu’ils sachent répondre aux questions  des  clients,  par exemple sur le fait qu’il est possible d’enlever la puce en coupant l’étiquette (service proposé par le magasin) ou que l’entreprise ne fait jamais de lien entre la puce et le client ;
• La mise en œuvre d’un site internet spécifique afin de communiquer l’ensemble des informations nécessaires à la compréhension des puces et des données manipulées.

Il faut certainement retenir de ces projets une bonne pratique applicable à tout projet où des données sensibles sont manipulées : nous nous devons d’être exemplaires concernant ce qui est fait des données et la manière dont nous en informons les individus. Il convient de rassurer afin de lever les craintes et répondre, en les anticipant, aux interrogations.

Cet article Vie privée et transformation numérique : le retail mise sur une stratégie de confiance est apparu en premier sur RiskInsight.

Ce billet de blog fait partie d’une série d’articles issue d’une synthèse sur la vie privée à l’ère numérique publiée sur notre site web. 

La donnée personnelle, vecteur incontournable de la transformation des processus métiers et de la relation client

Plusieurs exemples issus des retours d’expériences de consultants Wavestone, illustrent le rôle de la donnée dans la transformation des processus traditionnels. Un postier, un releveur de compteurs, ou un technicien de maintenance travaille historiquement avec du papier (pour les bases d’adresses, la documentation de maintenance ou les parcours de relève). Il organise son travail en fonction des tâches à réaliser et intervient généralement seul et de façon autonome pendant la journée avant de consolider les informations produites en fin de journée.

La dématérialisation de ces processus papiers a vocation à aider l’organisation ou l’agent dans ses activités en collectant certaines données, par exemple en lui permettant de mieux organiser son travail et l’enchaînement des tâches (données de localisation et parcours d’intervention géolocalisé). Cette vague de digitalisation se produit dans différents secteurs d’activités pour des besoins spécifiques : dans l’énergie, l’avènement des compteurs communicants voulu par le régulateur ouvre de nombreuses opportunités d’innovations dans la gestion de la fraude et l’économie d’énergie grâce à la collecte des données de consommation ; dans l’assurance, l’accumulation de données concernant les préférences client permet la personnalisation des services et la proposition d’offres complémentaires ; ou encore dans la distribution et les ressources humaines, comme le montrent les entretiens des pages suivantes.

L’ensemble de ces évolutions nécessite de collecter et de manipuler de nombreuses données personnelles.

La cybersécurité ne suffit pas à protéger la vie privée numérique

Pour protéger ces données personnelles essentielles aux nouveaux usages digitaux, les entreprises ont souvent recours à la cybersécurité, au travers de mesures telles que l’utilisation de protocoles de transfert sécurisés ou le chiffrement des données. Mais est-ce suffisant, alors que les craintes liées à l’utilisation abusive des données, au profilage ou à l’automatisation des décisions ne font que s’amplifier ?

Certainement pas. Une approche uniquement technique ne portera pas ses fruits. Pour répondre aux craintes engendrées par le respect de la vie privée, il est essentiel de rassurer les individus en leur donnant l’assurance de ne pas croiser, exploiter ou échanger leurs données à leur insu et contre leur volonté.

Quatre grands principes de respect de la vie privée

Les principes suivants sont à appliquer dans la collecte et l’utilisation des données personnelles.

1 – Communiquer de manière transparente et explicite

en informant sur les données collectées, même si elles n’ont pas été obtenues directement auprès des personnes concernées. Notre enquête l’illustre, c’est aujourd’hui le sens de la privacy pour les citoyens : quelles sont les informations accessibles, et à qui. Cela passe aussi par le partage des motivations de la collecte des données et des usages envisagés avec celles-ci. En aucun cas il ne faut considérer qu’une donnée puisse être collectée pour une finalité non avouable auprès de la personne concernée. Les récentes sanctions des régulateurs nous ont montré que cette information finit toujours par ressortir dans les médias, et que l’impact en termes de confiance et de durabilité de la relation client est fort. Construire une relation de confiance nécessite des années, la perdre quelques minutes.

2 – Minimiser et désensibiliser les données personnelles collectées et stockées.

Plus le nombre de données collectées sera limité, plus les risques d’usages détournés et de non-conformité seront faibles. Pour les données existantes, il est possible de les exploiter en minimisant les risques par l’utilisation de techniques de désensibilisation telles que l’anonymisation, la pseudonymisation (remplacer des identifiants directs par des « codes »), la randomisation (mélange aléatoire de données qui conservent leurs valeurs statistiques mais font perdre le lien avec les personnes) ou de généralisation des jeux de données.

En ce qui concerne le partage et l’échange de données, des méthodes mathématiques permettent d’échanger des données entre deux organisations tout en garantissant leur caractère anonyme. Il est important au moment du choix de ces méthodes d’évaluer aussi leurs limites, une désensibilisation mal faite pouvant quand même permettre d’identifier des personnes (suppression du nom mais conservation de la date de naissance, du lieu de naissance et de l’adresse par exemple).

Ces méthodes permettent une double optimisation de la relation client pour l’entreprise (en fournissant une meilleure connaissance du profil digital de la clientèle) et du respect de la vie privée des clients. C’est une approche qu’Apple met en avant via le concept de differential privacy pour se différencier de Google ou encore de Microsoft.

3 – Garantir aux individus le contrôle sur leurs données personnelles

en ne se basant plus sur l’accès aux données afin de générer de la valeur, mais en laissant aux individus le contrôle de leurs données pour leur permettre de générer un service adapté à leur besoin.

Cette approche qualifiée de self-data est, par exemple, appliquée dans le cadre d’un projet d’optimisation de consommation énergétique, où un cas d’usage vise à permettre au consommateur de renseigner la température de son habitat pour lui indiquer les économies qu’il pourrait réaliser en réduisant le chauffage. Il obtient l’estimation du montant économisé en utilisant lui-même une plate-forme cloud de self-data, géré par le particulier, qui se connecte à ses équipements personnels pour croiser de manière intelligente les données de son thermomètre connecté, de ses factures d’énergie…

Le self-data est également à l’étude dans le secteur de l’assurance, où certains acteurs envisagent de supprimer complètement leurs espaces clients pour les installer sur une plate-forme cloud de self-data : l’assureur a accès aux données de son client mais n’en est plus propriétaire. Au-delà du self-data, cette tendance peut même aller jusqu’à la logique du « Green Button » où l’individu valide l’accès à ses données à chaque fois de manière explicite. Ce principe, complexe à mettre en œuvre, peut être réservé à des données particulièrement sensibles (santé, etc.).

4 – Mettre en place un modèle Win-Win

affichant clairement les bénéfices engendrés par la collecte et l’utilisation des données, non seulement pour l’organisation, mais aussi pour les individus. Ces bénéfices pouvant être partagés avec les clients sous diverses formes (services additionnels, réduction, rémunération…).

Cette approche peut même être un levier d’adoption des nouveaux usages dans un contexte où la prise de part de marché est cruciale.

En définitive, plusieurs leviers majeurs sont à l’œuvre dans l’établissement d’un cercle vertueux permettant d’utiliser respectueusement les données des individus et d’augmenter le niveau de confiance

Cet article Respect de la vie privée dans la transformation numérique : les 4 grands principes est apparu en premier sur RiskInsight.

Ce billet de blog fait partie d’une série d’articles issue d’une synthèse sur la vie privée à l’ère numérique publiée sur notre site web. 

Un cadre réglementaire de plus en plus international

Le concept de vie privée, évoqué dès l’Antiquité, est présent depuis plusieurs centaines d’années dans différents textes de loi. Il a pris corps à partir de 1948, en étant inscrit au sein de l’article 12 de la Déclaration Universelle des Droits de l’Homme : « Nul ne sera l’objet d’immixtions arbitraires dans sa vie privée (…). Toute personne a droit à la protection de la loi contre de telles immixtions ou de telles atteintes ».

La réglementation autour de la protection des données personnelles est beaucoup plus récente. Cette notion est directement liée au développement de l’informatique et de la collecte croissante de données par les organisations et les entreprises. De plus, la valeur marchande de la donnée est un enjeu supplémentaire qui complexifie l’émergence d’un consensus réglementaire international. La Suède est le premier État à avoir légiféré sur le sujet en 1973. En France, la « Loi Informatique et Libertés » a été promulguée en 1978 à l’issue des débats suscités par le projet Safari visant à créer une base de données centralisée des individus.

Sans passer en revue chacune des lois nationales et leur actualité, l’analyse des initiatives mises en œuvre à des échelles régionales permet de dresser un portrait des grandes tendances à l’œuvre en termes de protection de la vie privée.

Union Européenne : l’Etat protège les citoyens

L’Union Européenne a été la première institution à légiférer sur le sujet à une large échelle en 1995 avec la publication de la directive 1995/46/CE. Ce premier effort d’harmonisation législative au niveau de l’Union Européenne a mis en place différents principes ensuite déclinés dans le droit des différents États membres, parmi lesquels l’instauration d’autorités de contrôle dans chacun d’entre eux. Il puise ses racines dans les « Lignes directrices régissant la protection de la vie privée et les flux transfrontaliers de données de caractère personnel » publiées par l’OCDE en 1980, qui étaient sans valeur contraignante.

En avril 2016, l’Union Européenne a fait le choix de renforcer sa législation avec le Règlement Général sur la Protection des Données (ou GDPR en anglais, comme nous y ferons référence), qui sera, à la différence de la directive de 1995, directement applicable dans le droit des États membres de l’UE.

La mise en œuvre effective étant prévue pour mai 2018, les organisations et entreprises devront donc d’ici cette date s’assurer de leur conformité aux différents points du règlement. Des travaux vont également s’engager prochainement sur la e-privacy afin d’aligner les exigences classiques sur la vie privée dans les moyens de communication aux évolutions et innovations récentes, faisant ainsi entrer le set des correspondances dans l’ère numérique. L’Union Européenne adopte via ces textes une posture de protection par l’état des données de ses citoyens.

Etats-Unis : une responsabilisation des citoyens  avant tout

Dans le droit américain, il n’existe pas de loi ni de régulateur unique au niveau fédéral régulant la collecte et l’utilisation des données personnelles. À la place, les États-Unis disposent d’un assemblage de lois s’appliquant à certains secteurs ou États. Certaines visent des catégories particulières de données personnelles, comme les données financières ou de santé, tandis que d’autres régulent les activités faisant usage de ces données, comme le marketing digital. En parallèle de ces lois, les bonnes pratiques développées par les agences fédérales et groupements industriels sont également utilisées à des fins d’auto-régulation. Le 4e amendement à la Constitution peut également être invoqué en défense de la vie privée. Enfin, les lois de protection du consommateur, bien que ne régissant pas directement la vie privée, ont déjà interdit des pratiques considérées comme illégitimes impliquant la divulgation de données personnelles. Néanmoins, les citoyens américains conservent une certaine latitude quant au partage de leurs données personnelles.

Il existe donc des différences entre la vision américaine et la vision européenne, comme le montre l’évolution du Safe Harbor. Ce dispositif légal garantissait la protection des transferts de données entre l’UE et les États-Unis jusqu’en octobre 2015, date à laquelle la Cour de Justice de l’Union Européenne (CJUE) l’a invalidé. Le niveau de protection des données offert par les États-Unis n’était plus satisfaisant selon la CJUE, notamment à la lumière des informations révélées par Edward Snowden concernant les écoutes pratiquées par le gouvernement américain. En février 2016, États-Unis et Europe ont mis en place un nouveau dispositif, le Privacy Shield, visant à protéger davantage les transferts de données, qui est finalement entré en vigueur en août 2016.

Asie : une situation hétérogène mais en développement

Force est de constater que l’Asie abrite deux profils de pays. Certains pays font preuve d’une maturité certaine sur ce sujet, à l’image de la Corée du Sud, Singapour, Hong Kong ou de Taiwan. La Chine ne disposait pas jusqu’à récemment de législation spécifique protégeant les données personnelles, mais elle a publié en novembre 2016 un texte de loi qui sera applicable dès juin 2017 aux opérateurs réseaux au sens large. Cette nouvelle réglementation intégrera certains principes communément admis du respect de la vie privée et exigera également le stockage des données personnelles sur le territoire chinois. En regard, dans beaucoup d’autres pays de la zone, la protection des données personnelles n’est pas encore entrée dans les mœurs même si des réflexions sont en cours.

Reste du monde : des initiatives régionales de développement

En Afrique, la première législation date de 2001 et est cap-verdienne. En 2004, le Burkina Faso est le premier État à instaurer un régulateur national. Au niveau régional, la Convention de l’Union Africaine sur la cybersécurité et la protection des données à caractère personnel, signée en 2014 par 18 pays, reprend des notions directement issues de la législation européenne, sans leur donner de valeur contraignante.

Au Moyen-Orient, plusieurs États comme les Émirats Arabes Unis (EAU) et l’Arabie Saoudite n’ont pas de législation spécifique protégeant les données personnelles. La particularité de ces deux pays réside dans le fait qu’en cas de vide juridique, la charia prévaut. Or le droit islamique prévoit la possibilité de demander des dommages et intérêts si la divulgation abusive de données personnelles a occasionné un préjudice.

En Amérique du Sud, plusieurs pays bénéficient de garanties constitutionnelles concernant la protection des données personnelles et disposent de régulateurs indépendants. C’est le cas de l’Argentine et l’Uruguay, pays reconnus par la Commission Européenne comme assurant un niveau de protection adéquat des données.

Cet article Vie privée : quel cadre juridique à l’échelle internationale ? est apparu en premier sur RiskInsight.

Une vision homogène à l’échelle l’internationale

Les pays retenus pour l’enquête, à savoir l’Allemagne, la Chine, les États-Unis, la France, l’Italie, et le Royaume-Uni, ont été choisis sur la base de leurs environnements socio-économiques et de leur diversité de cadres réglementaires concernant la protection de la vie privée. Ces éléments sont à même d’influencer la perception et les opinions des citoyens concernant la protection des données personnelles. Toutefois, malgré ces différences de contexte initiales, nous avons pu observer au travers des réponses collectées que la thématique de la vie privée est perçue d’une manière relativement homogène dans les différents pays étudiés.

Parmi les personnes ayant répondu à l’enquête, les jeunes générations, plus digitalisées et qui sont souvent les plus intéressées par le sujet de la vie privée dans un monde numérique, sont majoritaires.

Bien sûr, il existe certaines différences et sensibilités particulières : ainsi, les sondés originaires d’Allemagne ont-ils accordé proportionnellement plus de poids aux définitions de la vie privée ayant trait à la liberté que ceux originaires d’autres pays. Les réponses provenant des États-Unis affichent, pour leur part, une confiance moins grande dans les institutions publiques. Néanmoins, de manière générale, on note une véritable prise de conscience globale des individus liée à la vie privée et aux données personnelles. Celle-ci peut s’expliquer par le caractère transfrontalier du monde numérique et de la donnée, le citoyen numérique souhaitant faire respecter sa vie privée indépendamment des frontières. Cette observation renforce l’importance de la prise en compte du respect de la vie privée dans les projets numériques, quels que soient le pays et la population concernés.

De la liberté à la maîtrise : l’évolution du sens de la « vie privée »

La vie privée est traditionnellement perçue comme la possibilité pour un individu de conserver une forme d’anonymat dans ses activités et de disposer d’une capacité à s’isoler pour protéger ses intérêts. Elle est donc intimement liée à la notion de liberté. Mais l’analyse des résultats du panel montre que cette notion tend à disparaître au profit de la maîtrise des informations. Nous avons proposé à nos sondés de sélectionner une ou plusieurs définitions ayant davantage trait à l’une ou l’autre de ces deux notions.

Les réponses les plus fréquemment choisies ont toutes trait à la maîtrise. Cette tendance se confirme si l’on observe les propositions intermédiaires : « avoir le contrôle sur le type d’informations collectées sur vous » est davantage plébiscité (plus de la moitié des réponses) que « avoir ses moments seul, sans devoir subir l’attention d’autrui », relatif à la liberté.

Dans tout projet faisant appel aux données, il sera alors important de donner aux clients et aux collaborateurs l’assurance qu’ils disposent de cette maîtrise, en prévoyant des modes d’accès simples et en autonomie.

Toutes les données sensibles aux yeux des citoyens

Interrogé sur les niveaux de sensibilité, le panel a fait ressortir de très faibles différences, les citoyens considérant la plupart des types de données proposés comme relativement sensibles. Ils n’ont pas perçu que des fuites de certains types de données peuvent avoir des conséquences lourdes, voire irréversibles (données de santé par exemple), contrairement à d’autres (données financières par exemple) pour lesquelles la plupart des pays ont mis en place un cadre réglementaire protégeant les individus (remboursement rapide en cas de fraude). Ce constat montre que quelles que soient les données personnelles manipulées dans le cadre d’un projet, une attention particulière devra y être portée, a minima dans la communication sur les niveaux de protection.

Une confiance qui varie fortement d’un pays à l’autre

Nous avons demandé aux sondés d’indiquer le ou les type(s) d’organisations en lesquels ils avaient le plus confiance dans l’utilisation de leurs données personnelles pour un usage préalablement autorisé. On observe une réelle différenciation entre trois grandes familles d’acteurs :

• En première position, les acteurs regroupés sous la catégorie des institutions sont ceux qui suscitent le plus la confiance des sondés. Il s’agit d’institutions publiques, semi-publiques ou de l’économie traditionnelle avec qui les individus ont un lien de confiance historique, d’autant qu’elles traitent depuis toujours des données sensibles (données médicales…). À noter que l’on observe de vraies différences au sein même de cette catégorie, les banques arrivant en tête avec plus de la moitié des sondés déclarant leur faire confiance pour le traitement de leurs données. L’enjeu en termes d’image est donc particulièrement fort pour les acteurs du secteur bancaire : ils se devront d’être à la hauteur des attentes de leurs clients s’ils veulent conserver leur place de partenaire de confiance numéro un.
• En deuxième place, une catégorie intermédiaire englobant les acteurs de la vie quotidienne : opérateurs de transport, fournisseurs d’énergie… Ces acteurs historiques du B2C sont en train de mener leur transformation numérique à marche forcée et peuvent tirer les fruits de cette confiance déjà présente.
• En troisième et dernière position, les acteurs de l’économie numérique, qu’il s’agisse de géants du web ou d’entreprises technologiques.

La défiance des individus à leur égard peut s’expliquer par la quantité de données collectées et utilisées par ces tech-companies et les condamnations récentes de celles-ci liées à l’utilisation qu’elles en font. Cependant ce résultat souligne un paradoxe. Malgré ce manque de confiance criant, les individus continuent d’utiliser massivement les services fournis par ces acteurs, en partie par manque d’alternative mais aussi parce que les informations confiées peuvent paraître, souvent à tort, anodines.

Des nouvelles technologies qui suscitent des craintes

Le panel met en lumière 4 technologies, les plus susceptibles de mettre en danger leur vie privée selon les sondés. Leur point commun ? Elles permettent toutes de collecter des données sans que cette collecte ne puisse être maîtrisée par les personnes concernées. Elles seraient donc, pour certaines personnes, synonymes de surveillance. À contrario, des technologies où le citoyen a la capacité de choisir quelles données il partage, comme les objets connectés ou certains services cloud permettant de stocker des informations privées, sont considérées comme moins risquées pour leur vie privée, et n’entrent donc pas dans ce top 4.

Bien que non traditionnellement considérées comme sensibles, les données sur les comportements et les agissements de chacun sont donc aujourd’hui l’objet de l’attention des individus, et constituent un point d’achoppement non négligeable entre une relation client toujours plus personnalisée et les attentes desdits clients en termes de respect de leur vie privée.

Des citoyens qui agissent pour protéger leur vie privée numérique

Plus de la moitié des sondés déclarent ainsi avoir modifié certains de leurs comportements pour mieux protéger leurs données. Ce changement illustre la prise de conscience des individus quant à la protection de leur vie privée. Il est également intéressant d’étudier comment les individus procèdent pour mettre en place cette protection. Nos sondés ont décrit des mesures concrètes qui peuvent être réparties en deux catégories :

• Mesures visant à limiter la quantité/ le type de données fournies : fourniture d’informations inexactes/ incomplètes lors de la création d’un compte (utilisation de pseudonyme ou non-remplissage des champs non obligatoires), utilisation de comptes anonymes…
• Mesures visant à renforcer la sécurité des données fournies : hausse du niveau de sécurité de leurs comptes en ligne (renforcement du mot de passe, changements de mots de passe plus réguliers, révision des droits d’accès…), attention accrue lors du partage de données personnelles sur internet…
• En marge de ces mesures on trouve également quelques solutions plus extrêmes : fermeture complète de compte sur les réseaux sociaux, utilisation exclusive de sites ou de technologies testés et de confiance, suppression de l’historique et des cookies après chaque utilisation des navigateurs de recherche.

À noter que si ces initiatives individuelles peuvent contribuer à améliorer la protection de la vie privée, elles risquent toutefois d’entrer en conflit avec les nouveaux usages et innovations promus par les organisations et entreprises, et donc de limiter, voire d’empêcher, la personnalisation de leur relation avec celles-ci.

Methodologie de l’enquête

L’enquête a été réalisée auprès d’un panel constitué de 1 587 répondants basés dans 6 pays différents : Allemagne, Chine, Etats-Unis, France, Italie, et Royaume-Uni. Les  réponses ont été analysées par les équipes de Wavestone Paris et Luxembourg.  L’échantillon de répondants a été fourni par un tiers (SSIS) avec lequel les équipes de recherche Wavestone collaborent depuis plusieurs années, notamment dans la conduite d’enquêtes destinées à la Commission Européenne. Les questionnaires ont été conçus et traduits par Wavestone puis envoyés par email. Le panel a été sélectionné pour assurer sa représentativité vis-à-vis de la population des pays ciblés sans discrimination de genre ou de catégorie socio-professionnelle, les deux critères de sélections étant qu’il s’agisse de personnes majeures et disposant d’un accès à Internet. L’enquête a été conduite entre juillet et août 2016 et analysée de septembre à décembre 2016 pour une publication en début d’année 2017. Les données de cette enquête ont été rendues anonymes : la collecte est uniquement statistique.

Cet article Dans un monde numérique : quelle vie privée ? est apparu en premier sur RiskInsight.

Cette réflexion avait notamment été initiée par la Commission au Parlement européen dans sa communication du 26 août 2010 (Une stratégie numérique pour l’Europe).  Bien qu’aujourd’hui le règlement reprenne la majeure partie des dispositions de cette directive auxquelles sont apportées quelques modifications, de nouvelles dispositions y sont décrites et viennent renforcer et développer l’acquis qu’elle représente.

Création d’un cadre transnational et intersectoriel

Le principal problème recensé est notamment cité au point (9) du règlement : « Dans la plupart des cas, les citoyens ne peuvent pas utiliser leur identification électronique pour s’authentifier dans un autre État membre parce que les systèmes nationaux d’identification électronique de leur pays ne sont pas reconnus dans d’autres États membres ». Cette non-reconnaissance est due à l’interprétation et à la mise en œuvre technique par chaque État membre de la directive, ce qui amène ainsi  des problèmes d’interopérabilité et des divergences  lors des contrôles effectués. Concernant les services de confiance tels que l’horodatage ou encore le cachet, les divergences pouvaient émaner de l’absence de cadre juridique clair au niveau européen.

C’est pourquoi, l’objectif du règlement eIDAS (electronic IDentification And trust Services) est d’«instaurer un climat de confiance dans l’environnement en ligne » en fournissant un cadre transnational et intersectoriel complet pour des transactions électroniques sûres, fiables et aisées entre citoyens. Ce climat de confiance couvre donc l’identification et l’authentification électroniques, mais également d’autres services de confiance tels que l’horodatage ou encore le recommandé électronique. La mise en place d’un tel cadre permettra d’effectuer des démarches administratives dans tous les pays membres de l’Union et imposera la reconnaissance mutuelle.

Cependant, il est nécessaire de souligner que le règlement reste ouvert puisqu’il laisse la liberté aux pays membres de définir d’autres types de services de confiance à des fins de reconnaissance au niveau national comme des services de confiance qualifiés.

Concrètement, qu’est-ce que eIDAS va changer ?

Un des premiers points notables concerne la mise en conformité en vue d’une qualification eIDAS pour les Prestataires de Services de Confiance (PSCO). Afin d’intégrer la liste des PSCO qualifiés (qui devra être publiée régulièrement) et donc reconnus par les États membres, ils devront respecter un ensemble d’exigences de sécurité (mesures techniques, organisationnelles, etc.). Pour cela, ils devront s’appuyer sur les standards décrivant les mesures à mettre en place : analyse de risques, plan de cessation d’activité, processus de délivrance en face à face, notifications en cas d’atteinte à la sécurité, contrôles, responsabilités, etc. L’interopérabilité technique des systèmes passe donc par la revue des référentiels nationaux, comme le Référentiel Général de Sécurité (RGS) ; et la coopération des pays membres.

Cependant, la qualification reste une démarche volontaire, et un label de confiance UE sera créé pour identifier les PSCO qualifiés. Pour obtenir ce label, les prestataires de services de confiance devront se soumettre à des audits qui attesteront du respect des mesures définies dans les standards adossés au règlement. Il est donc fort probable que dans les mois qui viennent, les PSCO recherchant la qualification eIDAS lancent des projets globaux de mise en conformité comprenant la mise à jour documentaire (PC, DPC, PH, DPH, CGU, etc.), la revue de leur architecture d’Infrastructures de Gestion de Clés (IGC), de leurs gabarits de certificats, etc. À noter que les prestataires qualifiés dans le cadre de la Directive restent qualifiés au sens du règlement jusqu’au renouvellement de leur qualification mais devront passer un audit avant le 1er Juillet 2017 pour renouveler leur qualification.

Parmi les autres points remarquables, nous pouvons citer l’apparition d’un nouveau principe juridique : la signature électronique de personne morale. Le cachet électronique permettra donc aux entreprises et administrations de signer électroniquement en leur nom des documents afin de certifier leur provenance. Concrètement, un juge français ne pourra pas refuser un cachet ou une signature électronique apposé par un italien avec une solution allemande.

Enfin, nous pouvons également souligner l’introduction de la notion de signature qualifiée côté serveur, ce qui permettra notamment le développement de nouvelles offres (en SaaS) ; objectif clairement recherché du règlement eIDAS.

Cet article Confiance numérique: que doit-on attendre du règlement eIDAS ? est apparu en premier sur RiskInsight.

La sécurité de l’information, un pré-requis sur les canaux numériques

La protection des données est aujourd’hui une préoccupation évidente des clients et usagers. C’est ce que révèle un sondage de l’Economist Intelligence Unit en 2013, dans lequel 90% des sondés affirment penser que leurs données utilisées en ligne peuvent être volées, notamment pour détourner de l’argent. C’est également une préoccupation des pouvoirs publics qui renforcent les obligations en termes de sécurité. Attirer les clients sur les canaux digitaux est  une nécessité pour beaucoup d’entreprises. La sécurité est un prérequis indispensable à cette transition.

D’une part, Il faut rassurer les clients, et pour cela démontrer de manière visible que des mesures de sécurité existent pour protéger les données critiques et éviter notamment les fraudes financières. Une création de compte, une transaction, un changement de RIB… une bonne sécurisation, organisationnelle ou technique, peut conforter les clients dans leur confiance dans le canal numérique.

D’autre part, en cas d’incident, la capacité à bien réagir,  tant  pour résoudre l’incident le plus rapidement possible, que pour communiquer clairement et rassurer les clients concernés est un élément clé. L’évolution de la réglementation autour de la notification des incidents poussera d’ailleurs les organisations à développer ce point.

Enfin, il est important de relayer cette position au travers des acteurs de la relation client sur le terrain (vendeurs, conseillers…) en les sensibilisant pour qu’ils portent également ces messages en magasins, agences, etc.

La sécurité de l’information, un facteur de différenciation et de compétitivité

Démontrer un réel engagement dans la sécurité de l’information peut être un élément différenciant sur le marché. Pour ce faire, des solutions de sécurité avancées peuvent être proposées. Des banques comme Société Générale ou HSBC, proposent ainsi un logiciel à installer gratuitement pour renforcer la sécurité du terminal de l’utilisateur lorsqu’il utilise leur site. D’autres, comme Natwest et Barclays mettent à disposition de leurs clients des moyens d’authentification renforcés.  Au-delà des solutions techniques, certains acteurs vont jusqu’à sensibiliser leurs clients et usagers sur l’importance du respect de bonnes pratiques de sécurité. AXA a ainsi publié le « Le guide du bon sens numérique » et encore Le Groupe La Poste a communiqué sur des bonnes pratiques à adopter sur les réseaux sociaux.

Les services marketing doivent donc travailler en collaboration avec les équipes de sécurité à la fois pour innover et proposer des solutions de sécurité, mais aussi pour écouter et savoir tenir compte des attentes des consommateurs.

La sécurité de l’information, une offre à part entière ?

Et si de centre de coûts, la sécurité devenait une source de gains ? En étant attentifs aux attentes des clients, différentes entreprises se sont posées cette question et lancent aujourd’hui des offres de sécurité en tant que telles..

Plusieurs secteurs se sont d’ores et déjà  lancés : celui de l’assurance par exemple. Cyber-assurance ou encore protection de l’identité numérique, des assurances comme AIG, AXA ou Swiss Life, ont entendu l’intérêt que portent leurs clients à la sécurité de l’information, B2B comme B2C. Autre exemple, les opérateurs télécoms qui proposent un anti-virus avec les abonnements d’accès à Internet. Ou encore, d’autres opérateurs, d’un tout autre secteur, celui des jeux en ligne, mettent à disposition de l’authentification renforcée pour leurs clients.

Ainsi, au-delà d’être un pré-requis  la sécurité de l’information peut devenir un avantage concurrentiel, voire représenter une offre à part entière. C’est à chaque organisation de choisir la posture qu’elle souhaite adopter !

Cet article La sécurité de l’information, au service de la relation client est apparu en premier sur RiskInsight.