Dans un contexte où la transformation numérique du secteur de la santé s’accélère, la protection des données de santé est un enjeu toujours plus critique. En 2021, notre article « Certification Hébergeur de Données de Santé : deux ans déjà ! », par Laurent Guille et Alexandra Cuillerdier, dressait un premier bilan prometteur du référentiel HDS. Face à la croissance des enjeux liés à la souveraineté des données et à la cybersécurité, une refonte s’imposait. Cette évolution vers HDS v2, entrée en vigueur en 2024, marque un tournant dans l’approche de l’hébergement des données de santé en France, en renforçant la protection et la souveraineté des données de santé dans un contexte numérique en constante évolution. 

HDS v1 : un premier cadre structurant mais perfectible 

Depuis son introduction en 2018, le référentiel HDS a contribué à structurer et professionnaliser le secteur de l’hébergement des données de santé. Cependant, cette première version du référentiel présentait certaines limitations. En particulier, le cadre initial présentait des zones d’ombre concernant la souveraineté des données, notamment sur la localisation et le contrôle des données de santé. En outre, l’évolution rapide des menaces cyber et des technologies imposait une mise à jour substantielle des exigences de sécurité pour maintenir un niveau de protection adapté aux risques actuels. 

Refonte du cadre technique et sécuritaire 

Sur le plan technique, les nouvelles exigences de la norme ISO 27001:2023 sont adoptées au sein de la nouvelle version de HDS. Cette mise à jour intègre une gestion des risques de sécurité adaptée aux nouveaux contextes numériques, ainsi que de nouveaux contrôles liés à la cybersécurité. 

Les autres références normatives sont quant à elles rationnalisées. Les références aux normes ISO 20000-1, ISO27017 et ISO27018 disparaissent dans le cadre d’HDS v2 tandis que 31 exigences spécifiques sont directement intégrées dans le référentiel, qui s’appuie également sur la norme ISO/IEC-17021-1:2015 pour encadrer l’évaluation de la conformité. Cette nouvelle version vient également préciser l’articulation avec les exigences du référentiel SecNumCloud afin de faciliter l’obtention de la certification HDS pour les hébergeurs déjà qualifiés SecNumCloud. 

Un renforcement majeur de la souveraineté numérique 

L’une des évolutions les plus marquantes d’HDS v2 concerne le renforcement de la souveraineté numérique. Le nouveau référentiel impose désormais que l’hébergement physique des données de santé soit réalisé exclusivement sur le territoire de l’Espace Économique Européen (EEE). Cette exigence vient renforcer les garanties en termes de protection des données et contribue à l’émergence d’un écosystème d’acteurs européens dans le domaine de la santé numérique. 

Elle est complétée par le renforcement de la transparence, qui devient également un enjeu central du dispositif, avec deux obligations majeures : 

• Les hébergeurs doivent désormais publier sur leur site internet une cartographie des éventuels transferts de données vers des pays hors EEE, permettant ainsi aux personnes concernées et aux acteurs de santé d’avoir une visibilité claire sur le parcours de leurs données ;
• En cas d’accès distant aux données depuis un pays tiers ou de soumission à une législation extra-européenne n’assurant pas un niveau de protection adéquat au sens de l’article 45 du RGPD, l’hébergeur doit en informer ses clients dans le contrat. Il doit notamment préciser les risques associés et détailler les mesures technique et juridiques mises en œuvre pour les limiter.

Renforcement des exigences contractuelles 

L’encadrement de la sous-traitance fait l’objet d’une attention particulière dans HDS v2. Les mesures associées sont renforcées et les hébergeurs doivent désormais notamment : 

• Détailler précisément les activités d’hébergement certifiées dans leurs contrats ;
• Maintenir une transparence totale sur leur chaîne de sous-traitance ;
• S’assurer que leurs sous-traitants respectent les mêmes exigences de sécurité et de localisation des données ;
• Mettre en place des mécanismes de contrôle et d’audit de leurs sous-traitants.

Ces nouvelles obligations contractuelles visent à garantir une meilleure maîtrise de la chaîne de valeur et une plus grande transparence pour les responsables de traitement. 

Conséquences pratiques pour l’écosystème 

Pour les hébergeurs de données de santé, ces évolutions du référentiel impliquent une adaptation de leurs infrastructures pour garantir la localisation des données dans l’EEE. Elles nécessitent également une mise à niveau de leurs mesures de sécurité pour répondre aux exigences de la version 2023 de la norme ISO 27001 et la revue des contrats, tant avec leurs clients qu’avec leurs sous-traitants. 

Perspectives et mise en œuvre 

Cette nouvelle version modernisée du référentiel HDS permet de répondre aux enjeux croissants de sécurité, de souveraineté et de transparence. Sa mise en œuvre s’échelonne sur environ deux ans, avec une application immédiate pour les nouvelles certifications à partir du 16 novembre 2024, et une période de transition jusqu’au 16 mai 2026 pour les hébergeurs déjà certifiés HDS v1. 

À plus long terme, plusieurs questions se posent sur l’évolution du dispositif. À l’heure où la directive NIS 2 intègre déjà les prestataires de soins de santé et l’industrie pharmaceutique parmi ses secteurs d’activité essentiels, tout en classant la fabrication de dispositifs médicaux et de diagnostic in vitro dans ses secteurs importants, l’émergence d’HDS 2 soulève une question : la coopération européenne pourrait-elle aboutir à un cadre encore plus intégré pour la protection des données de santé et harmoniser les pratiques à l’échelle du continent ? 

Cet article Evolution du référentiel HDS – Vers une sécurité et une souveraineté renforcées  est apparu en premier sur RiskInsight.

Sensibiliser à la cybersécurité pour intégrer des comportements sûrs dans le quotidien

Pour que vos collaborateurs adoptent les bonnes pratiques en matière de cybersécurité, vous devez mettre en place un programme solide de sensibilisation à la cybersécurité, axé sur vos problématiques clés. Par le biais d’actions positives, concrètes et variées, il doit susciter leur engagement tout en respectant leurs particularités. Concrètement, il s’agit de mettre en place un programme qui répond à vos ambitions et qui vise à la fois :

• Un changement de comportement efficace
• Le développement d’une culture de la sécurité dans votre organisation

Pour vous aider à construire de la meilleure manière votre programme, nous avons développé une méthodologie : TAMAM.

TARGET : fixer des objectifs concrets et mesurables

AUDIENCE : adapter l’approche en fonction des personnes ciblées

MESSAGE : choisir un message concis, positif, qui appelle à l’action

ACTIONS : mettre en place des actions efficaces, concrètes et variées

MESURES : évaluer l’impact du programme sur les comportements

Cet article vous expose les principes, les enjeux et le rôle que TAMAM joue pour vous accompagner !

Mais posons tout d’abord quelques éléments de contexte quant à la sensibilisation à la cybersécurité…

Pourquoi cliquent-ils toujours sur ces e-mails de phishing ?!

• Notre parcours de sensibilisation à la cybersécurité a commencé il y a plus de 15 ans. À l’époque, les choses étaient bien différentes. C’était l’époque des nouveaux programmes de sensibilisation, menés par des responsables de la cybersécurité nouvellement nommés, avec peu de moyens et pourtant un objectif clé : dire aux gens ce qu’ils doivent faire pour protéger les systèmes d’information. Rien de plus, rien de moins. C’était l’époque des 10 meilleures pratiques, des choses à faire et à ne pas faire, des formations de masse, etc.

• Une fois énoncés, ces messages étaient considérés comme des connaissances communes et appliqués par tout le monde ; et c’est ainsi que la sensibilisation a été reléguée au second plan et n’était plus une priorité pour les responsables de la cybersécurité. C’était la période difficile de l’insuffisance et des coupes budgétaires.

• Puis sont arrivés le nombre croissant de cyberattaques et le RGPD. Avec de nouveaux risques est apparu un nouvel appétit pour la sensibilisation et l’éducation des utilisateurs. La sensibilisation à la cybersécurité était de nouveau à l’ordre du jour, mais avec des moyens et des intérêts variables. Au fil des années, elle est restée parmi les sujets de cybersécurité, mais avec une grande variabilité entre les organisations en matière d’efficacité et d’efficience.

• Et nous voici maintenant en 2023, et les mêmes questions demeurent : « J’ai tout essayé mais il y a encore des gens qui ne perçoivent pas les risques – que puis-je faire ? » ; « J’ai besoin de garder mes collaborateurs intéressés par le sujet, que pouvez-vous proposer de nouveau ? ». Au fond, ce que l’on constate, c’est simplement un manque de considération de l’efficacité du programme de sensibilisation : il semblait atteindre un plafond de verre. Des efforts ont été faits, des investissements ont été réalisés, mais peu de changements ont eu lieu. Pourquoi ? Parce que les efforts et les investissements sont vains s’ils ne visent pas à modifier efficacement les comportements et, en fin de compte, à instaurer une culture de la cybersécurité. Mais comment y parvenir ? C’est l’objet de cet article.

Comment impliquer tous vos collaborateurs dans la cybersécurité ?

Sur la base de ces éléments de contexte, nous avons élaboré une méthode pour construire un programme efficace de sensibilisation à la cybersécurité. Nous voulions que ce modèle soit personnalisable afin qu’il puisse être appliqué à chaque organisation, quels que soient sa taille, sa maturité, son budget ou sa culture. Il ne s’agit pas d’un modèle unique, mais d’une structure de base à adapter à chaque organisation.

Target

Comme pour tout, vous devez commencer par le “pourquoi”. Cela sert à définir les objectifs : une cible à atteindre, une vision de l’endroit où aller et un chemin pour y parvenir, ce qui est essentiel pour avoir une chance de réussir.

Ces objectifs doivent être ciblés sur vos batailles prioritaires, c’est-à-dire sur le changement que vous voulez voir dans votre organisation. Ils ne représentent pas seulement de bonnes intentions comme “sensibiliser mes employés”. Il s’agit de comportements précis que vous voulez voir tous les jours. Par exemple, si le phishing est l’une de vos principales préoccupations : “Comment éduquer mes employés à signaler les tentatives et les incidents de phishing ?”. Ainsi, vous voyez votre cible et le moyen de l’atteindre.

Des objectifs précis permettent également d’obtenir des résultats mesurables. Lorsque vous les définissez, vous retenez généralement les indicateurs clés de performance et les mesures que vous utiliserez pour évaluer leur succès. En règle générale, si vous êtes incapables de trouver une mesure pour votre objectif, cela signifie qu’il est plus illusoire que réalisable.

Enfin, vous vous devez de partager ces objectifs avec vos employés. De cette façon, vous les faites participer activement au changement de comportement que vous attendez d’eux. En leur donnant les règles du jeu, vous leur permettez de jouer et de gagner la partie avec vous, car la cybersécurité est un gain collectif.

Cette première étape est largement survolée, et rares sont les organisations qui prennent le temps nécessaire pour réfléchir à leur véritable cible en matière de sensibilisation à la cybersécurité. Pourtant, elle est le point de départ essentiel. Comme pour tout voyage : on ne peut atteindre la maison d’un ami que si l’on connaît son adresse.

Audience

Qui voulez-vous atteindre exactement ? Votre public, ce sont les personnes qui ont besoin de sensibilisation, de formation et d’éducation. Une identification claire de ce public vous aidera à définir une approche adéquate. Pour connaître leurs besoins, vous devez commencer par répartir les personnes en groupes – principalement en fonction de leur place dans l’organisation, de leur proximité avec le sujet, de leur exposition aux risques que vous voulez prévenir, de leur rôle, etc. Ces clusters peuvent regrouper les nouveaux arrivants, le personnel externe, les ambassadeurs locaux, le personnel informatique, etc.

Pour chacun de ces groupes, votre rôle sera d’évaluer leur niveau actuel de maîtrise des différents objectifs définis. Il s’agit en fait de réaliser un gap de compétences pour savoir quels sujets nécessitent plus d’attention. Ces informations seront essentielles pour adapter le programme aux besoins de ces personnes et à leur niveau actuel de maîtrise.

Message

C’est le moment de trouver cette phrase d’accroche qui restera dans la tête ! Les personnes à qui vous allez communiquer vos messages reçoivent de nombreuses autres sollicitations pour diverses causes (RSE, règles, valeurs, etc.). D’où l’importance de sélectionner judicieusement vos messages et de rester concis. Le temps et l’attention disponibles sont limités, c’est pourquoi il est préférable de sélectionner quelques messages qui abordent les risques clés et les objectifs importants.

Le ton utilisé est aussi crucial car il doit être adapté à la culture organisationnelle : les messages drôles fonctionnent dans certains environnements, tandis que les messages sérieux fonctionnent mieux dans d’autres. Quel que soit le ton utilisé, les messages devront être positifs et appeler à l’action. Oubliez les injonctions négatives (“ne pas”) et adoptez les actions positives (“agir”).

Avec ces trois premières étapes en tête (Target, Audience et Message), vous avez la base de votre programme de sensibilisation à la cybersécurité :  vous savez ce que vous voulez dire, à qui, afin d’atteindre des comportements définis.

Actions

Il est temps d’identifier les actions que vous allez pouvoir mettre en place dans ce cadre. Ici, il faut rester concentrés et pragmatiques, et penser à l’efficacité de l’action choisie pour atteindre vos objectifs. La créativité et l’innovation sont sûrement importantes pour maintenir une certaine motivation, mais elles ne constituent pas le seul facteur de réussite. Pour que les collaborateurs soient impliqués dans leur apprentissage, la cybersécurité doit être concrète : cela passe par des activités ou cas d’application qui les rapprochent de leur vie quotidienne.

Une fois les actions identifiées, la manière dont elles sont mises en œuvre est également essentielle. Les ressources, les personnes et l’organisation doivent être adéquates pour faire passer les messages sélectionnés.

• Qui en est le porteur ? Interne ou externe ?
• Comment peuvent-ils être répétés de manière différente (stimulus pratique, visuel, oral, etc.) ?
• Sous quels angles et avec quelles activités aborder ces questions pour sensibiliser les collaborateurs de la manière la plus adéquate ?

En bref, avec quelques messages, il vous faut construire différentes activités, à différents moments, avec différentes approches, pour ancrer ces comportements dans leur vie quotidienne.

Mesures

Enfin, l’ensemble de ce programme doit être évalué : a-t-il réellement permis de changer les comportements des collaborateurs ? C’est nécessaire pour la Direction qui demandera de voir la valeur apportée à son investissement, mais aussi pour l’équipe de sensibilisation qui voudra montrer les résultats tangibles de ses efforts.

Dans votre démarche de sensibilisation, vous devez vous concentrer sur son efficacité, au-delà de la mise en œuvre elle-même. Trop souvent, les organisations se concentrent sur le nombre d’activités réalisées ou le nombre de personnes touchées par le programme. Mais ces chiffres permettent rarement de comprendre le changement de comportement qui s’opère (ou non).

Pour élaborer votre plan d’évaluation, et afin d’obtenir une compréhension globale de la réalisation de vos objectifs, il est pertinent d’utiliser à la fois des mesures quantitatives et des retours qualitatifs de la part des collaborateurs. Cela nécessitera peut-être de nouvelles méthodes de collecte de ces informations – comme l’implication du service d’assistance, ou même l’obtention de nouvelles données du SOC (Security Operations Center) – mais le résultat apportera une valeur considérable à votre programme. En effet, cette évaluation vous permettra de le revoir et de le maintenir continuellement adapté à vos objectifs, qui peuvent également faire l’objet d’adaptations si le contexte organisationnel change.

Une dernière chose. Si vous voulez créez de l’engouement autour de la sensibilisation à la cybersécurité : communiquez vos réalisations et célébrez les victoires ! Vous le méritez.

Prenez la première lettre de ces 5 principes et vous obtenez TAMAM. Ce n’est pas un hasard si ce mot se traduit par “tout va bien” en turc. TAMAM, c’est ce que vous attendez de vos collaborateurs : qu’ils soient alignés avec vos objectifs et partants pour vous suivre vers de bonnes pratiques cyber et des comportements plus sûrs.

Par où commencer ?

Maintenant que vous avez une meilleure compréhension des différentes étapes pour construire un programme solide de sensibilisation à la cybersécurité, vous vous posez peut-être les questions suivantes : où en suis-je et comment parvenir à mettre en place un tel programme au sein de mon organisation ?

Pour commencer, il faut probablement prendre du recul pour examiner votre niveau de maturité actuel en matière de sensibilisation à la cybersécurité. Pour gagner en maturité, vous devrez avoir une compréhension claire et honnête de la manière dont votre organisation aborde ce sujet.

Quoiqu’il en soit, la puissance du TAMAM réside dans sa capacité à être utilisé quel que soit votre niveau de maturité, car ses principes sont adaptables à de nombreuses situations.

TAMAM : vous vous lancez ?

Quand vous utilisez TAMAM, vous :

• Posez un objectif clair et précis à atteindre
• Adaptez l’approche en fonction des besoins des différents publics
• Définissez les quelques messages à communiquer sur ces objectifs
• Sélectionnez la meilleure façon de communiquer ces messages par des activités efficaces
• Évaluez cette efficacité afin d’adapter l’approche et affiner le programme

Cet article n’est qu’un aperçu de ce que TAMAM peut apporter à votre programme de sensibilisation à la cybersécurité. Contactez-nous pour comprendre comment notre méthode peut vous aider à renforcer vos efforts de sensibilisation !

Contactez-nous

Cet article TAMAM ou comment sensibiliser à la cybersécurité est apparu en premier sur RiskInsight.

Nous détaillerons dans cet article les impacts de l’IA sur la conformité des traitements aux grands principes réglementaires mais aussi sur la sécurité des traitements sur laquelle pèsent de nouveaux risques. Nous partagerons ensuite notre vision d’un outil de PIA adapté afin de répondre à des questionnements et enjeux remaniés par l’arrivée de l’IA dans les traitements de données personnelles.

L’impact de l’IA sur les principes de protection des données

Bien que l’IA se développe rapidement depuis l’arrivée de l’IA générative, elle n’est pas nouvelle dans les entreprises. Les nouveautés résident dans les gains d’efficacité des solutions, dont l’offre est plus étoffée que jamais, et surtout dans la multiplication des cas d’usages qui viennent transformer nos activités et notre rapport au travail.

Ces gains ne sont pas sans risques sur les libertés fondamentales et plus particulièrement sur le droit à la vie privée. En effet, les systèmes d’IA nécessitent des quantités massives de données pour fonctionner efficacement, et ces bases de données contiennent souvent des informations personnelles. Ces larges volumes de données font par la suite l’objet de multiples calculs, analyses et transformations complexes : les données ingérées par le modèle d’IA deviennent à partir de ce moment indissociables de la solution d’IA^[1]. Outre cette spécificité, nous pouvons mentionner la complexité de ces solutions qui diminue la transparence et la traçabilité des actions opérées par celles-ci. Ainsi, de ces différents aspects caractéristiques de l’IA, en résulte une multitude d’impacts sur la capacité des entreprises à se conformer aux exigences réglementaires en matière de protection des données personnelles.

Figure 1 : exemples d’impacts sur les principes de protection des données.

En complément de la Figure 1, trois principes peuvent être détaillés pour illustrer les impacts de l’IA sur la protection des données ainsi que les nouvelles difficultés auxquelles les professionnels de ce domaine seront confrontés :

1. Transparence: Assurer la transparence devient bien plus complexe en raison de l’opacité et de la complexité des modèles d’IA. Les algorithmes de machine learning et de deep learning peuvent être des « boîtes noires », où il est difficile de comprendre comment les décisions sont prises. Les professionnels doivent relever le défi de rendre ces processus compréhensibles et explicables, tout en garantissant que les informations fournies aux utilisateurs et aux régulateurs soient claires et détaillées.
2. Principe d’exactitude: Appliquer le principe d’exactitude est particulièrement difficile avec l’IA en raison des risques de biais algorithmiques. Les modèles d’IA peuvent reproduire ou même amplifier les biais présents dans les données d’entraînement, ce qui conduit à des décisions inexactes ou injustes. Les professionnels doivent donc non seulement s’assurer que les données utilisées sont précises et à jour, mais aussi mettre en place des mécanismes pour détecter et corriger les biais algorithmiques.
3. Durée de conservation: La gestion de la durée de conservation des données devient plus complexe avec l’IA. L’entraînement des modèles d’IA avec des données crée une dépendance entre l’algorithme et les données utilisées, rendant difficile, voire impossible, de dissocier l’IA de ces données. Aujourd’hui, il est pratiquement impossible de faire « oublier » à une IA des informations spécifiques, ce qui complique la conformité avec les principes de minimisation des données et de durée de conservation.

Les nouveaux risques soulevés par l’IA

Outre les impacts sur les principes de conformité abordés à l’instant, l’IA produit également des effets significatifs sur la sécurité des traitements, modifiant ainsi les approches en matière de protection des données et de gestion des risques.

L’utilisation de l’intelligence artificielle fait alors ressortir 3 types de risques sur la sécurité des traitements :

• Risques traditionnels: Comme toute technologie, l’utilisation de l’intelligence artificielle est sujette à des risques de sécurité traditionnels. Ces risques incluent, par exemple, des failles au niveau des infrastructures, des processus, des personnes et des équipements. Qu’il s’agisse de systèmes traditionnels ou de solutions basées sur l’IA, les vulnérabilités en matière de sécurité des données et de gestion des accès persistent. Les erreurs humaines, les pannes matérielles, les mauvaises configurations de systèmes ou les processus insuffisamment sécurisés demeurent des préoccupations constantes, indépendamment de l’innovation technologique.
• Risques amplifiés: L’utilisation de l’IA peut également exacerber des risques déjà existants. Par exemple, l’utilisation d’un grand modèle de langage, comme Copilot, pour assister dans les tâches quotidiennes peut poser des problèmes. En se connectant à toutes vos applications, le modèle d’IA centralise toutes les données en un seul point d’accès, ce qui augmente considérablement le risque de fuite de données. De la même manière, une gestion des identités et des droits des utilisateurs imparfaite aboutira à des risques accrus d’actes malveillants en présence d’une solution d’IA capable d’accéder et d’analyser avec une efficacité singulière à des documents illégitimes pour l’utilisateur.
• Risques émergents: De la même manière que pour les risques liés à la durée de conservation, il devient de plus en plus difficile de dissocier l’IA de ces données d’entrainements. Cela peut parfois rendre l’exercice de certains droits comme le droit à l’oubli bien plus difficile, entrainant un risque de non-conformité.

Un contexte réglementaire en mutation

Avec la prolifération mondiale des outils basés sur l’intelligence artificielle, divers acteurs ont intensifié leurs efforts pour se positionner dans ce domaine. Pour répondre aux préoccupations, plusieurs initiatives ont vu le jour : le Partnership on AI réunit des géants technologiques comme Amazon, Google, et Microsoft pour promouvoir une recherche ouverte et inclusive sur l’IA, tandis que l’ONU organise l’AI for Good Global Summit pour explorer l’IA au service des objectifs de développement durable. Ces initiatives ne sont que des exemples parmi de nombreuses autres initiatives visant à encadrer et guider l’utilisation de l’IA, assurant ainsi une approche responsable et bénéfique de cette technologie.

Figure 2 : exemples d’initiatives liées au développement de l’IA.

Le changement récent et le plus impactant est l’adoption de l’AI Act (ou RIA, règlement européen sur l’IA), qui introduit une nouvelle exigence dans l’identification des traitements de données à caractère personnel devant bénéficier d’un soin particulier : en plus des critères classiques des lignes directrices du G29, l’utilisation d’une IA à haut risque nécessitera systématiquement la réalisation d’une PIA. Pour rappel, le PIA est une évaluation qui vise à identifier, évaluer et atténuer les risques que certains traitements de données peuvent poser à la vie privée des individus, en particulier lorsqu’ils impliquent des données sensibles ou des processus complexes​​. Ainsi, l’utilisation d’un système d’IA requerra souvenant la réalisation d’un PIA.

Cette nouvelle législation complète l’arsenal réglementaire européen pour encadrer les acteurs et solutions technologiques, elle vient en complément du RGPD, du Data Act, du DSA ou encore du DMA. Bien que l’objectif principal de l’AI Act soit de promouvoir une utilisation éthique et digne de confiance de l’IA, elle partage de nombreuses similitudes avec le RGPD et renforce les exigences existantes. Nous pouvons par exemple citer les exigences renforcées en matière de transparence ou bien la mise en place obligatoire d’une surveillance humaine pour les systèmes d’IA, soutenant le droit à l’intervention humaine du RGPD.

Une adaptation nécessaire des outils et méthodes

Dans ce contexte évolutif où l’IA et les réglementations continuent de se développer, la veille réglementaire et l’adaptation des pratiques par les différents acteurs sont essentielles. Cette étape est cruciale pour comprendre et s’adapter aux nouveaux risques liés à l’utilisation de l’IA, en intégrant ces évolutions efficacement au sein de vos projets d’IA.        

Afin d’adresser les nouveaux risques induits par l’utilisation de l’IA, il devient nécessaire d’adapter nos outils, méthodes et pratiques afin de répondre efficacement à ces défis. De nombreux changements doivent être pris en compte, tels que :

• l’amélioration des processus d’exercice des droits ;
• l’intégration d’une méthodologie Privacy By Design adaptée :
• la mise à niveau des mentions d’information fournis aux utilisateurs ;
• ou encore l’évolution des méthodologies de PIA.

Nous illustrerons dans la suite de cet article ce dernier besoin en matière de PIA à l’aide du nouvel outil interne PIA² conçu par Wavestone et né de la jonction de ses expertises Privacy et en intelligence artificielle, et qui a été alimenté par de nombreux retours terrain. Son objectif est de garantir une gestion optimale des risques pour les droits et libertés des personnes liés à l’utilisation de l’intelligence artificielle en offrant un outil méthodologique capable d’identifier finement les risques sur ces-derniers.

Un nouvel outil de PIA au service d’une meilleure maîtrise des risques Privacy issus de l’IA

La réalisation d’un PIA sur des projets d’IA exige une expertise plus pointue que celle requise pour un projet classique, avec des questionnements multiples et complexes liés aux spécificités des systèmes d’IA. Outre ces points de contrôles et questionnements qui s’ajoutent à l’outil, c’est toute la méthodologie de déclinaison du PIA qui se trouve adaptée au sein du PIA² de Wavestone.

A titre d’illustration, les ateliers avec les parties prenantes s’élargissent à de nouveaux acteurs tels que les data scientists, des experts en IA, des responsables éthiques ou les fournisseurs de solutions d’IA. Mécaniquement, la complexité des traitements de données reposant sur des solutions d’IA requière donc davantage d’ateliers et un temps de mise en œuvre plus important pour cerner finement et pragmatiquement les enjeux de protection des données de vos traitements.

Figure 3 : représentation des différentes étapes du PIA².

Le PIA² renforce et complète la méthodologie de PIA traditionnelle. L’outil conçu par Wavestone est ainsi constitué de 3 étapes centrales :

1. Analyse préliminaire du traitement

Dans la mesure où l’IA revêt des risques pouvant être significatifs pour les personnes et dans un contexte où l’AI Act vient exiger la réalisation d’un PIA pour les solutions d’IA à haut risque traitant de données à caractère personnel, le premier questionnement d’un DPO est d’identifier son besoin ou non de réaliser une telle analyse. L’outil PIA² de Wavestone s’ouvre donc sur une analyse des critères traditionnels du G29 venant requérir la mise en œuvre d’un PIA et est ensuite complétée de questionnements associés à l’identification du niveau de risque de l’IA. L’analyse se complète classiquement d’une étude générale du traitement. Cette étude complétée de points de connaissance précis sur la solution d’IA, de son fonctionnement et de son cas d’usage, servant de fondation à l’ensemble du projet (notons que l’AI Act vient également exiger que de telles informations soient présentes dans le PIA portant sur des IA à haut risque). A l’issue de cette étude, le DPO dispose d’une vue d’ensemble des données personnelles traitées, de la manière dont les données personnelles circulent au sein du système et des différentes parties prenantes.

2. Evaluation de la protection des données

L’évaluation de conformité permet ensuite d’examiner la conformité de l’organisation vis-à-vis des réglementations applicables en matière de protection des données. L’objectif est d’examiner en profondeur toutes les pratiques mises en place par rapport aux exigences légales, tout en identifiant les lacunes à combler. Cette évaluation se concentre sur les mesures techniques et organisationnelles adoptées pour se conformer aux réglementations et sécuriser les données personnelles au sein d’un système d’IA. Cette partie de l’outil a été spécialement développée pour répondre aux nouveaux enjeux et défis de l’IA en termes de conformité et de sécurisation, prenant en compte les nouvelles contraintes et normes imposées aux systèmes d’IA. Cette évaluation comporte à la fois des points de contrôle classiques d’un PIA et issues du RGPD et se complète des questionnements spécifiques associés à l’IA qui ont profité des retours terrains observés par nos experts en IA.

3. Remédiation des risques

Après avoir recensé l’état de la conformité du projet et identifié les lacunes présentes, il est possible d’évaluer les impacts potentiels sur les droits et libertés des personnes concernées par le traitement. Une étude approfondie de l’impact de l’IA sur les différents éléments de conformité et de sécurité a été effectuée pour nourrir cet outil de PIA². Cette approche opérée par Wavestone, si elle est optionnelle, nous a permis de gagner en facilité de réalisation du PIA en permettant une automatisation de notre outil PIA² qui propose automatiquement des risques spécifiques liés à l’utilisation de l’IA au sein du traitement, en fonction des réponses remplies en parties 1 et 2. Les risques étant identifiés, il convient ensuite de réaliser leur traditionnelle cotation en évaluant leur vraisemblance et leurs impacts.

Toujours dans cette optique d’automatisation, l’outil PIA de Wavestone identifie et propose également automatiquement des mesures correctives adaptées aux risques détectés. Quelques exemples : des solutions comme le Federated Learning, le chiffrement homomorphique (qui permet de traiter des données chiffrées sans les déchiffrer) et la mise en place de filtres sur les entrées et sorties peuvent être suggérées pour atténuer les risques identifiés. Ces mesures permettent de renforcer la sécurité et la conformité des systèmes d’IA, assurant ainsi une meilleure protection des droits et libertés des personnes concernées.

Une fois ces trois grandes étapes franchies, il sera nécessaire de faire valider les résultats et de mettre en œuvre des actions concrètes pour garantir la conformité et les risques liés à l’IA.

Ainsi, lorsqu’un traitement implique de l’IA, la réduction des risques devient encore plus complexe. Une veille constante sur le sujet et l’accompagnement d’experts dans le domaine deviennent indispensables. À l’heure actuelle, de nombreuses inconnues subsistent, comme en témoigne la posture de certains organismes encore en phase d’étude ou des positions des régulateurs qui restent à préciser.

Pour mieux appréhender et gérer ces défis, il devient alors essentiel d’adopter une approche collaborative entre différentes expertises. Chez Wavestone, nos expertises en intelligence artificielle et en protection des données ont dû coopérer étroitement pour cerner et répondre à ces enjeux majeurs. Nos travaux d’analyse des solutions d’IA, des nouvelles réglementations afférentes et des risques en matière de protection des données ont nettement mis en lumière l’importance pour les DPO de bénéficier d’une expertise toujours plus pluridisciplinaire.

Remerciements

 Nous remercions Gaëtan FERNANDES pour son travail dans la rédaction de cet article.

Notes

[1] : Bien que des expérimentations ambitionnent d’offrir une forme de réversibilité et la possibilité de retirer les données de l’IA, comme le désapprentissage machine, ces techniques restent encore assez peu fiables aujourd’hui.

Cet article IA et protection des données personnelles : de nouveaux enjeux demandant une adaptation des outils et des procédures est apparu en premier sur RiskInsight.

Ce défi réglementaire s’étend bien au-delà des frontières chinoises et soulève des questions structurantes : comment se conformer à des réglementations locales qui divergent dans un contexte de systèmes d’information globaux et centralisés ?

Dans cet article, nous explorons des mesures technologiques pour répondre aux préoccupations de nombreuses DSI sur la loi PIPL.

1/ PIPL soulève des risques plus larges que de simples risques de non-conformité, mettant en avant une tendance de découplage des opérations

La loi PIPL s’inscrit dans la stratégie de souveraineté digitale de la Chine et soulève des impacts transverses, bien plus larges que l’IT ou la cybersécurité. Nous observons que « 80% des entreprises françaises implantées en Chine ont dû adapter leurs opérations globales en découplant certains processus en Chine »[1]. A l’origine de cette tendance, nous retrouvons des risques tels que le risque d’espionnage, celui la compromission de la propriété intellectuelle ou celui de non-conformité réglementaire.

Un processus métier découplé doit être accompagné par un découplage IT. Un découplage IT est le fait de séparer une partie d’un SI de manière à la rendre plus flexible et modulaire. Cela permet aux composants découplés de fonctionner de manière indépendante du système central.

Avant de commencer les travaux de mise en conformité à la loi PIPL, les entreprises doivent se poser 3 questions essentielles : 

• Faut-il maintenir une présence en Chine ? Un arbitrage à l’échelle du Comité Exécutif doit être fait à la lumière d’une analyse stratégique évaluant le rapport coût / bénéfice par rapport aux risques actuels. Par exemple, certains fournisseurs refusent d’étendre leurs activités en Chine pour éviter de perdre la main sur leurs codes sources ;
• Le cas échéant, faut-il découpler mon architecture IT pour atténuer les risques ? Il est essentiel de mettre en relief cette étude par rapport aux évolutions potentielles du paysage réglementaire pour assurer une conformité pérenne ;
• Comment opérer et sécuriser un système décentralisé ? Une restructuration IT et cyber est à prévoir selon les différents choix architecturaux retenus : comment gérer l’IAM ? Comment mettre en place une supervision SOC sur un système décentralisé ?

2/ Mettre en place une architecture SI « privacy-by-design »

L’hétérogénéité des règles liées au stockage et au traitement des données personnelles soulève une question : est-il possible d’adapter un SI afin de faciliter les travaux de mise en conformité ? Une architecture « privacy-by-design » est-elle réaliste ?

3 scénarios peuvent être retenus selon l’appétence au risque et le positionnement stratégique de l’entreprise :

• D’abord, nous avons notre SI centralisé (celui que nous connaissons tous). La mutualisation des ressources permet de délivrer un même service à l’échelle et des économies d’échelle sont réalisées. Néanmoins, les données chinoises doivent faire l’objet d’un transfert particulier, approuvé par la CAC (Cyberspace Administration of China). Pour encadrer et surveiller ce transfert, tous les flux entrants et sortants de Chine pourraient passer par une unique gateway (facilitant également les isolations d’urgence, tels que les Red Buttons). Le risque de non-conformité réglementaire est contrôlé au moment de la mise en place, mais peut facilement dériver dans le temps (changement opérationnel, changement applicatif, nouveau amendement chinois, etc.).
• Ensuite, nous avons un SI partiellement décentralisé (celui où l’instance applicative chinoise est découplée). Les données sont stockées et traitées en Chine avec un tenant Cloud spécifique ou une infrastructure on-premise. Des liens applicatifs persistent entre la Chine et le reste du monde et des données peuvent être transférées ponctuellement (selon les contraintes réglementaires en vigueur). Les données chinoises sont séparées du reste, facilitant la sécurisation et la confidentialité des données personnelles.
• Enfin, nous avons un SI découplé, avec une instance locale indépendante. Cette option est certainement la plus avancée, assurant le plus haut niveau de conformité. Néanmoins, cela augmente de manière drastique les coûts d’exploitation (équipes locales, infrastructures locales, etc.) : cette position est difficile à tenir si l’entreprise s’est engagée dans une réduction des coûts IT et/ou cyber. Cette architecture permet également une résilience importante en cas de crises géopolitiques, facilitant l’exécution d’un exit plan. Dans les exemples récents de tensions géopolitiques, nous pouvons citer les filiales russes Carlsberg et Danone qui ont été nationalisées par la Russie[2] [3], ou la guerre en Ukraine qui a entraîné de nombreux carve out, comme celui de Heineken[4].

Un Cloud Service Provider (CSP) est-il à privilégier en Chine ?

Alibaba Cloud a longtemps été le Cloud Provider privilégié du fait de la variété des services proposés par rapport aux CSP non chinois. Même si cette différence entre les CSP chinois et non chinois tend à se gommer, Alibaba Cloud pourrait rester le choix privilégié : en tant que prestataire chinois, ce CSP aurait tout intérêt à s’adapter rapidement à toute nouvelle exigence réglementaire chinoise.

Comment encadrer le transfert des données ?

Dans l’architecture centralisée et partiellement décentralisée, des données continuent à transiter. Selon la sensibilité des données transférées, nous pouvons mettre en place une anonymisation des données ou utiliser le confidential computing, une technologie qui gagne en maturité et qui permet de garantir la confidentialité des données durant son traitement.

Cependant, certains cas ne nécessitent pas forcément de devoir transférer des données. C’est le cas avec certaines méthodes d’apprentissage décentralisées pour l’IA qui sont « privacy-by-design » (e.g. bagging, federated learning, etc.) : les systèmes sont entraînés localement, et seul l’apprentissage est transféré.

3/ Que faire dans ce climat d’incertitude, à court et à long terme ?

Court terme : une approche pragmatique par les risques

La stratégie de conformité doit résulter d’une approche pragmatique, basée sur les risques, afin de minimiser les impacts sur les opérations. Les principales étapes sont les suivantes :

1. Inventorier toutes données impactées : quelles sont les données et leurs usages ? Comment les données sont stockées, transférées et traitées ? Comment sont gérés les droits d’accès aux données ? Y-a-t-il des dépendances externes avec des fournisseurs ?
2. Evaluer les risques associés et à leur utilisation. Le format et le contenu de l’étude doivent être aux standards de la CAC.
3. Arbitrer une stratégie de conformité : élaborer une stratégie de conformité sur les 3 scénarios détaillés dans les parties précédentes, selon la sensibilité et la criticité des données applicatives en question.
4. Mettre en œuvre des mesures techniques : mettre en place des mesures de sécurité et de confidentialité (le découplage, le chiffrement, la pseudonymisation, l’anonymisation, les contrôles d’accès, etc.)
5. Superviser et maintenir la conformité : établir un processus de suivi régulier pour maintenir la conformité avec la PIPL.

Long terme : dois-je me préparer à découpler mon SI en Chine ?

Une mise en conformité PIPL doit s’inscrire dans une stratégie long terme, considérant la variabilité des tensions géopolitiques et de la volonté de la Chine de renforcer son contrôle sur la protection des données et sa souveraineté digitale.

Nous observons une densification et une cybersécurité sur ces dernières années, rappelant l’un des futurs envisagés par le Campus Cyber[5]. L’ultra-réglementation, liée au durcissement réglementaire dans un objectif de restauration de la confiance numérique, aboutirait à des incompatibilités réglementaires et à de nombreuses non-conformités ou amendes.

Heureusement, nous ne sommes pas encore à ce stade. Il faut cependant anticiper cette tendance : la mise en conformité PIPL doit être une étude de cas faisant partie d’une réflexion approfondie sur le découplage (à des niveaux de séparation variables en fonction des situations). Cette tendance de découplage pourrait devenir essentielle à plus large échelle d’ici une dizaine d’années.

[1] CCI France CHINE : Enquête sur les entreprises en Chine, Printemps 2022 https://www.ccifrance-international.org/le-kiosque/n/enquete-sur-les-entreprises-francaises-en-chine-printemps-2022.html#:~:text=Enqu%C3%AAte%20sur%20les%20entreprises%20fran%C3%A7aises%20en%20Chine%20%2D%20Printemps%202022,-25%20mai%202022&text=Avec%20p.

[2] Le Monde, 26/07/2023, « Danone : comment le piège russe s’est refermé sur le géant français des produits laitiers » https://www.lemonde.fr/economie/article/2023/07/26/danone-comment-le-piege-russe-s-est-referme-sur-le-geant-francais-des-produits-laitiers_6183438_3234.html

[3] Le Temps, 19 juillet 2023, « Après Danone et Carlsberg, la Russie se dirige vers la nationalisation d’autres filiales de groupes étrangers » https://www.letemps.ch/economie/apres-danone-et-carlsberg-la-russie-se-dirige-vers-la-nationalisation-d-autres-filiales-de-groupes-etrangers

[4] Les Echos, 25 août 2023, « Heineken se retire définitivement de Russie » https://www.lesechos.fr/industrie-services/conso-distribution/heineken-se-retire-definitivement-de-russie-1972549

[5] Horizon Cyber 2030 : perspectives et défis, Campus Cyber https://campuscyber.fr/resources/anticipation-des-evolutions-de-la-menace-a-venir/

Cet article PIPL : le découplage des systèmes d’information, une nécessité pour être en conformité avec des lois locales protectionnistes ? est apparu en premier sur RiskInsight.

Votre entreprise exerce ses activités en Chine. Vous compilez des données à caractère personnel concernant vos collaborateurs chinois et les transférez à votre siège social à des fins de ressources humaines. Vous collectez également des informations personnelles sur les clients chinois qui achètent des produits sur votre site web et les rendez accessibles aux métiers situés en dehors de la Chine. Depuis l’entrée en vigueur de la loi chinoise sur la protection des données personnelles (PIPL) en novembre 2021, vous vous demandez peut-être constamment si vos transferts de données hors des frontières chinoises sont conformes à la réglementation chinoise en matière de protection de la vie privée.

Un système de lois complexe et incertain gouvernant les transferts de données hors du territoire chinois

En fait, la loi PIPL n’est qu’une des nombreuses lois chinoises sur la protection des données.  Elle s’ajoute à la loi chinoise sur la cybersécurité (CSL, 2017) et à la loi chinoise sur la sécurité des données (DSL, 2021). Elle s’applique à toute organisation traitant des informations personnelles identifiables provenant de Chine, en Chine et à l’étranger. Sous la PIPL, les transferts internationaux de données ne sont possibles qu’avec un accord de l’Administration du cyberespace de la Chine (CAC). L’article 38 de la PIPL propose quatre façons d’obtenir cet accord, certaines d’entre elles étant ensuite complétées par cinq mesures et lignes directrices supplémentaires (2022-2023)[1] détaillant comment se conformer et qui est concerné.

En résumé, si vous vous engagez dans le transfert international d’un volume relativement faible d’informations personnelles, vous avez deux options : vous faire certifier par une institution désignée conformément aux règlements de la CAC, ou signer un contrat avec le destinataire étranger des données conformément au contrat type formulé par la CAC.

Dans d’autres cas, vous devez passer une évaluation de sécurité organisée par la CAC. Il s’agit de la norme de conformité la plus élevée. Elle s’applique aux entreprises qui sont des opérateurs d’infrastructures d’information critiques (CIIO), qui traitent les données personnelles de plus d’un million de personnes, qui exportent les données personnelles de 100 000 personnes ou les données personnelles « sensibles » de 10 000 personnes, ou qui exportent des données « importantes ». Cela laisse une marge d’interprétation à la CAC, qui peut qualifier n’importe quelle donnée « d’importante ». De plus, dans tous les cas précédemment mentionnés, la CAC se réserve le droit d’examiner tous les transferts de données hors du territoire chinois et de les interrompre sur la base d’un large spectre de raisons.

En plus d’un paysage réglementaire complexe et en constante évolution qui laisse aux autorités chinoises de nombreuses possibilités de s’opposer à un transfert de données, vous devez aussi tenir compte de deux points clefs sur votre route vers la conformité.  Premièrement, les procédures pour obtenir l’approbation de la CAC peuvent prendre du temps, en particulier l’évaluation de sécurité. Deuxièmement, même si vous parvenez à obtenir l’approbation de la CAC pour un transfert de données, vous devez également obtenir le consentement des personnes dont les données sont transférées (article 39 de la LPRP).

Avec toutes ces informations, il est possible que vous ayez été confus lors du draft de votre stratégie de conformité à la loi PIPL. Aujourd’hui encore, vous ne savez peut-être pas si vos transferts de données sont conformes, ni même si la conformité est possible.

Un assouplissement prochain des exigences en matière de transfert de données hors de la Chine

Les autorités chinoises ont récemment reconnu les difficultés rencontrées lors de l’exportation de données depuis la Chine. Le conseil des affaires de l’État Chinois a officiellement identifié les transferts de données hors des frontières chinoises comme l’un des 24 domaines à améliorer pour attirer des investissements étrangers en Chine[2]. Par conséquent, en septembre 2023, la CAC a publié une proposition d’exemptions du mécanisme de transfert international de données[3].

Vous pourriez être libéré des procédures de l’article 38 précédemment mentionnées (évaluation de sécurité, certification ou contrat spécifique) dans les cas suivants, qui ont fait l’objet d’un débat public jusqu’à la mi-octobre :

• Vous pourriez transférer des données concernant vos collaborateurs en Chine si cela est nécessaire pour la gestion des ressources humaines, conformément à la loi et aux contrats collectifs légalement définis.
• Vous pourriez transférer des données concernant vos clients en Chine afin de conclure et d’exécuter un contrat client : commerce en ligne, transfert de fonds, réservation de billets d’avion, obtention d’un visa, etc.
• Vous pourriez transférer des données à caractère personnel depuis la Chine afin de protéger la vie, la santé et la sécurité des personnes et des biens en cas d’urgence.
• Vous ne devriez effectuer une évaluation de sécurité de la CAC que pour :
  • Le transfert de données de plus d’un million de personnes, probablement au-delà des cas mentionnés ci-dessus.
  • Le transfert de données « importantes », sachant que les données ne sont pas considérées comme « importantes » sauf si vous avez été officiellement notifié du contraire.

C’est une très bonne nouvelle. Cela veut dire que dans de nombreux cas vous pourriez continuer à transférer des données depuis la Chine sans charge administrative et sans risquer la non-conformité et les amendes qui en découlent.

Toutefois, on ne sait pas encore quand ces exceptions seront adoptées, si elles le sont, ni à quoi ressemblera la liste finale. Par ailleurs, le CAC a mis en évidence deux problèmes auxquels vous seriez toujours confrontés. Tout d’abord, le consentement spécifique des personnes dont les données sont transférées hors de la Chine serait toujours requis en vertu de la PIPL dans les cas où le consentement est la base juridique du traitement des données – ce qui pourrait s’appliquer à la plupart des traitements en dehors de l’exécution d’un contrat. Deuxièmement, et surtout, la CAC conserverait le droit de contrôler tous les transferts de données hors de la Chine, d’enquêter sur les transferts à haut risque et même de les interrompre complètement.

Ainsi, si vous pensiez pouvoir bientôt à nouveau transférer une bonne partie de vos données générées en Chine à l’international sans contraintes, vous vous trompez probablement.

Garder les données en Chine, la solution la plus sûre à long terme

À partir de toutes ces informations, comment préparer une bonne stratégie de mise en conformité avec les lois chinoises sur la protection des données personnelles ?

Sur le plan juridique, vous êtes confrontés à des lois complexes à comprendre, en constante évolution et sujettes à interprétation par les autorités. Contrairement au RGPD, vous ne pouvez pas savoir si vous êtes en conformité dès maintenant, et encore moins dans les mois et années à venir.

À cela s’ajoute le point de vue technique : dans les entreprises globalisées, l’information circule. Les données résident à la fois dans des plateformes globales de gestion de ressources humaines ou des clients, et dans des systèmes locaux interconnectés. Le simple fait d’identifier toutes les informations personnelles et de déterminer les flux de données associés constituera un véritable défi avant de pouvoir discuter de mesures de protection spécifiques.

De plus, n’oublions pas que les enjeux sont élevés : en cas de non-conformité, le CAC peut restreindre vos transferts de données, infliger des amendes à votre entreprise et à ses dirigeants, voire forcer la fermeture de votre entreprise en Chine.

Vous devriez profiter du fait que la CAC est actuellement concentrée à adapter plutôt qu’à appliquer son règlement sur la protection des données pour considérer une stratégie de conformité à long terme. Cette stratégie peut consister à s’assurer que les données générées en Chine restent en Chine au lieu d’être systématiquement transférées vers votre siège.

Il est indéniable que la Chine vise, au long terme, la souveraineté numérique. Parmi les nombreuses lois implémentées dans différents pays afin de réguler le cyberespace et protéger les données personnelles, la PIPL est unique en ce qu’elle remet en cause de manière significative le modèle du système d’information des entreprises globales, qui consiste en une informatique centralisant les informations de tous les sites. Mais dans un monde où les tensions géopolitiques s’intensifient, on peut s’attendre à ce que les appels au protectionnisme informatique se multiplient.

Par conséquent, vous devriez considérer vos réflexions sur la stratégie de mise en conformité PIPL comme une étude de cas pour le découplage de votre système d’information, auquel vous pourriez bientôt être confrontés à plus grande échelle.

[1] 2022: Measures of Security Assessment for Data Export

2022: Practice Guide for Cybersecurity Standards – Outbound Transfer Certification Specification V2.0 for Cross-border Processing of Personal Information (Exposure Draft)

2023: Information Security Technology – Certification Requirements for Cross-border Transmission of Personal Information (Exposure Draft) 

2023: Measures on the Standard Contract for Outbound Transfer of Personal Information

2023: Guidelines for Filing of Standard Contract for Outbound Transfer of Personal Information (First Edition)

2023: Regulations on Standardizing and Promoting Cross-Border Data Flows

[2]  国务院关于进一步优化外商投资环境加大吸引外商投资力度的意见

[3] Provisions on Standardizing and Promoting Cross-Border Data Flows (Draft for Comment) 

Cet article L’impact de l’évolution de la loi PIPL sur votre stratégie de conformité de protection des données personnelles est apparu en premier sur RiskInsight.

Pour celles qui n’ont pas encore franchi le pas (principalement les ETI et le secteur public), il est essentiel de démarrer au plus vite une réflexion autour des plateformes de collaboration et de communication Cloud. Ceci, afin de pouvoir assurer une continuité du service en cas de force majeure (cyberattaque, catastrophe naturelle ou même pandémie), voire même d’envisager une migration plus conséquente.

Pour cette plateforme de Digital Workplace, une étroite collaboration entre équipe sécurité et workplace sera un prérequis !

Dans cet article, je souhaiterais vous faire part de quelques retours d’expérience concernant le déploiement d’Office 365, la solution de Microsoft qui tend à s’imposer chez les entreprises que nous accompagnons.

Il existe de nombreuses documentations intéressantes sur le sujet sur Internet (« Top 10 des bonnes pratiques » ou « 3 bonnes raisons de raccorder l’application xxx pour assurer votre sécurité… »). Microsoft résume une partie de ces bonnes pratiques dans ces deux articles :

• Feuille de route sécurité Microsoft : 30, 90 jours et au-delà
• 10 principales façons de sécuriser les données Office 365

Aujourd’hui, je ne veux pas refaire ici une liste non-exhaustive de ces bonnes pratiques mais plutôt vous rappeler six points d’attention lors d’une ouverture d’un tel service.

1/ Construire le standard de sécurité, pilier de la future relation entre les équipes sécurité et workplace

Comme pour tout projet de ce type, il faut commencer par évaluer le potentiel du service et voir comment il pourra répondre au besoin initial, via l’élaboration d’un business case. Les possibilités offertes par Office 365 sont multiples : bureautique, messagerie instantanée ou email, visualisation de données développement d’applications sans code, etc.

Côté équipes sécurité, deux choix se présentent : s’opposer à cette migration en raison des risques liés au Cloud américain ou accompagner la réflexion pour créer des nouveaux usages sécurisés.

Dans une grande majorité des cas, le second choix est préféré. Il débute alors une relation tripartite, entre les équipes workplace, la sécurité, les architectes, dont l’objectif sera de construire un service pour les utilisateurs. Un résultat de cette étape pourra être l’élaboration d’un standard de sécurité, issue d’une analyse de risques, définissant les services utilisés et avec la configuration associée.

Parmi les questions à traiter, on retrouve généralement les trois thématiques suivantes :

• Quels usages offrir à en situation de mobilité ? Moyennant quelle authentification ?
• Quels nouveaux services proposer avec les possibilités d’intégration avec les API ?
• Comment partager des documents avec des utilisateurs externes ?

La tendance actuelle consiste à apporter des réponses avec une approche « Zéro trust ». Tout écart au standard de sécurité défini devra être détecté, grâce à la mise en place de tableaux de bord et de la supervision. L’adage « La confiance n’exclut pas le contrôle » n’aura jamais eu autant de sens.

Cette réflexion pourra même être l’occasion de se reposer des questions fondamentales afin de poser des bases cohérentes pour l’environnement de travail. Par exemple, pourquoi laisser l’email, un système vieux de 30 ans, ouvert à tout va et bloquer à l’externe ma messagerie Teams et mes partages SharePoint ? L’amélioration de l’expérience utilisateur ne pourra se faire qu’avec l’uniformisation des pratiques de sécurité.

2/ La protection des données, un sujet avec le vent en poupe

En parallèle de la construction du service, vient le sujet des données qui seront utilisées dans le tenant. Pour le coup, deux questions simples doivent trouver des réponses (souvent complexes).

 Comment protéger mes données ?

Aujourd’hui, les stratégies de protection des données non structurées reposent sur une base commune : le rattachement d’une donnée à un niveau de sensibilité. Cette correspondance entraine des mesures de protection à mettre en place :

• Chiffrement avec des clés maîtrisées par le CSP ou l’organisation ;
• Restriction des droits (ou DRM) ;
• Accès conditionnel avec authentification multi-facteurs ;
• Data Leakage Protection (ou DLP).

Afin de ne pas surprotéger les données et ainsi, éviter de d’amoindrir l’expérience utilisateur, le chiffrement et la restriction des droits peuvent être réservées aux données les plus critiques. Les autres données resteront tout de même maîtrisées grâce à des mesures plus classiques, comme le chiffrement bout en bout et le contrôle du niveau d’exposition.

Un facteur clé pour un tel projet, sera d’en faire un véritable projet d’entreprise, avec un programme de sensibilisation complet dédié à la classification.

Le chiffrement et la restriction des droits peuvent être réservées aux données les plus critiques.

Comment rester conforme avec la réglementation ?

Une organisation peut être soumise à des réglementations locales, liées à ses implémentations, et sectorielles, en fonction de ses activités.

Ces réglementations et directives imposent dans certains cas de véritables obstacles qu’il convient de lever dès le début du projet : rétention des données, archivage légal, géolocalisation, enquête judiciaire, demandes liées à des données à caractère personnel.

Prenons un exemple concret : la Russie. Avec la loi sur les données à caractère personnel de 2015, l’autorité de régulation nationale impose de conserver la source (appelée base primaire) des données de ses citoyens sur le sol russe. En pratique, cela revient à dire que l’Active Directory (base primaire des identités de l’entreprise) de l’entité russe doit rester Russie. De là, les informations pourront être synchronisées avec la GAL (Global Access List) et Azure Active Directory.

Le Trust Center de Microsoft sera très utile pour cette étape.

 L’épineuse question de la gestion du stock

Que faire des données déjà existantes ? Il s’agit d’une problématique complexe, en particulier si l’ouverture d’une solution de collaboration Cloud est liée au décommissionnement des serveurs de fichiers existants.

Tout d’abord, il y a une question technique. Est-ce que le réseau de l’entreprise sera capable de supporter des migrations massives de .pst et de documents ? En particulier, il ne sera pas nécessairement utile de migrer des données qui ne seront pas conforme avec la politique de rétention.

Ensuite, les données historiques peuvent avoir une sensibilité hétérogène et être soumises à diverses réglementation. Un arbitrage sera nécessaire, afin d’arbitrer entre un maintien des données en local, une acceptation du risque et un projet large de classification avant ou après migration.

3/ Le Target Operating Model, garant du maintien de la sécurité dans le temps

Le modèle opérationnel d’un service comme Office 365 définit les responsabilités des acteurs (administrateurs, supports, etc.) et les principes de gestion des objets. Il est complémentaire au standard de sécurité évoqué précédemment, en apportant une vision plus opérationnelle.

Le TOM doit être rédigé préalablement à l’ouverture du service, et mis à jour régulièrement. Il doit inclure à minima les sujets suivants.

 Un modèle d’administration

Microsoft propose par défaut une cinquantaine de rôles d’administration, sans compter les rôles RBAC des services (ex : Exchange et Intune). Une utilisation pertinente de ces rôles et de rôles personnalisés permettra d’éviter d’avoir trop d’Administrateurs Généraux et de suivre le principe du moindre privilège. L’implémentation d’accès Just-in-Time permettra de plus de suivre l’usage réel des rôles, tout en renforçant la sécurité.

Une communauté mi-architecture / mi-sécurité

Comme toute plateforme SaaS, Microsoft fait évoluer régulièrement les fonctionnalités de sa suite collaborative. La mission de cette communauté sera de faire de la veille sur les tendances, afin de maîtriser les nouveaux usages et de garder le contrôle sur le tenant en tenant compte des évolutions.

Le cycle de vie des identités et des espaces partagés

Une gestion laissée libre des espaces partagés (Teams, SharePoint) peut entrainer une explosion du nombre d’espaces ne respectant pas le standard de sécurité. Les rapports des éditeurs de solution de Data Discovery sont assez frappants. Pour éviter cela, il est nécessaire de fixer un cycle de vie des espaces partagés. Ces règles peuvent inclure une convention de nommage, des politiques de rétention, une durée de vie, des principes quant à la gestion des droits.

La mise en place d’un portail unique pour la création de ces espaces permettra d’implémenter ces bonnes pratiques, tout en favorisant l’expérience utilisateur.

Les rapports des éditeurs de solution de Data Discovery sont assez frappants en ce qui concerne l’exposition des données en raison du manque de gouvernance.

De même, un cycle de vie pour les objets Azure AD (incluant utilisateurs invités, groupes de sécurité, groupes Office 365 et applications) doit être défini et outillé. Voici deux exemples qui méritent d’être traités : la délégation des API est laissé ouverte et laisse la porte à des fuites de données massives ; les utilisateurs invités à collaborer ne sont jamais supprimés. Pour cela, deux stratégies sont possibles :

1. Création d’un Custom Automation Engine décorrélé de l’IAM, via une application maison développée en PowerShell ;
2. Intégration d’un connecteur Powershell / Graph API à la solution IAM en place afin de présenter une gestion complète des objets en faisant abstraction de leur hébergement direct.

4/ Abordez le sujet de l’identité des utilisateurs avec un regard neuf

Pilier fondateur du SaaS, le sujet de l’identité doit être abordé avec un œil neuf afin de considérer toutes les possibilités et les risques des fournisseurs d’identités (ou IdP) SaaS. En particulier, il est impensable en 2020 de considérer Azure Active Directory comme un simple Contrôleur de domaine dans le Cloud.

Trois approches sont possibles pour la source des identités accédant à Office 365.

La dissociation des identités, un quick-win mais compliqué d’un point de vue utilisateur

Il est possible de dissocier les identités local et Cloud si l’AD local n’est plus disponible ou pour décorréler l’espace de travail Cloud du SI historique. Ce scénario n’est évidemment pas en faveur d’une expérience optimale, mais peut-être un atout précieux en cas de crise ou de compromission avérée du SI.

L’utilisation de l’identité locale dans le Cloud, une stratégie classique

Afin de concilier sécurité et expérience utilisateur, il est nécessaire d’utiliser la même identité entre les applications historiques et ce nouveau service. Pour cela, trois scénarios techniques sont disponibles :

• Fédération des identités : Cette solution historique est très largement utilisée par les grandes entreprises françaises frileuses à l’idée d’héberger les mots de passe dans le Cloud et souhaitant avoir du SSO ;
• Synchronisation des Hash des mots de passe (Password Hash Sync en anglais ou PHS) : Cette solution, recommandée par Microsoft et par l’équivalent britannique de l’ANSSI, est implémentée une grande majorité des clients de Microsoft. Cette solution peut également être utilisée en tant que dispositif de secours lorsque le service de fédération n’est plus disponible ;
• Authentification directe (Password Through Authentication ou PTA) : Cette solution apporte la meilleure expérience utilisateur mais a l’inconvénient de faire transiter le mot de passe par Azure AD.

Migrer son référentiel d’identité dans le Cloud, une vision à plus long terme

Avant ou après migration, il pourra être opportun d’envisager de migrer complètement la source des identités dans le Cloud (qu’il s’agisse d’Azure AD ou d’une solution tierce), afin de profiter des nouvelles possibilités. Il reste aujourd’hui plusieurs prérequis devant être levés, comme la gestion des imprimantes, des GPO et des terminaux.

5/ Ouvrir progressivement les services, pour favoriser une adoption maîtrisée

Il est toujours plus facile d’ouvrir un nouveau service que de revenir en arrière pour des raisons de sécurité. Ouvrir massivement les différents services de la suite collaborative a l’avantage d‘offrir un maximum de cas d’usages, mais peut provoquer plusieurs effets de bords.

Tout d’abord, les services non officiellement supportés et laissés à la main des utilisateurs à des fins de tests représentent un risque certain. Ils doivent être configurés et durcis. Dans certains cas, il peut même être préférable de désactiver les licences correspondantes.

Ensuite, un lancement maîtrisé des outils permettra de maîtriser les coûts pendant les premiers mois ou années de la transition. En effet, les licences Microsoft représentant une certaine charge, il est possible d’optimiser les licences non utilisées.

La conduite du changement est également un aspect clé à considérer ; pour favoriser l’expérience utilisateur certes, mais également pour favoriser sécurité des données. Il est essentiel d’avoir une feuille de route et un parcours utilisateur clairement définis. Une adoption accompagnée permettra de poser les bases d’une gouvernance propre des espaces partagés et des données (tant en termes d’exposition que de protection).

Il sera utile d’envisager de créer une communauté d’évangélistes et d’utilisateurs afin de conserver une dynamique dans l’adoption des nouvelles fonctionnalités apportées par Microsoft. Un système de uservoice pourrait être un atout ; l’idéal étant d’être à l’écoute des besoins des utilisateurs et prioriser en fonction les prochaines ouvertures.

6/ Les licences, nerf de la guerre d’Office 365 et de la sécurité

Les solutions SaaS sont généralement soumises à un modèle de licences facturées mensuellement. Le choix des licences Microsoft 365 doit être le fruit une réflexion globale. Il ne peut rester l’apanage des équipes workplace, et être déterminé par le seul besoin de collaboration et de communication.

En effet, le choix du niveau de licensing conditionnera la stratégie de sécurisation du tenant. Ce choix aura plus largement des impacts sur la stratégie de sécurisation de l’environnement de travail.

Microsoft se positionne de plus en plus comme challenger des fournisseurs de solutions sécurité, étant le seul à proposer une suite aussi complète.

Le licensing des options sécurité est à traiter dès le début du projet, et à chaque renouvellement. Il sera moins onéreux d’inclure un paquet de licences dès le départ que de commander en urgence des licences AAD P1 pour en urgence du MFA.

Dans cette stratégie à définir, il pourra être opportun de cibler des personae pour adapter les exigences de sécurité à leur profil (VIP, admin, population médicale, etc.), via une approche par les risques.

Cette démarche, présentée ici pour Office 365, peut être généralisée à tout service SaaS (Solution as a Service), voire service IaaS (Infrastructure as a Service) ou PaaS (Platform as a Service).

Cet article Comment migrer son environnement de travail sereinement vers Office 365 est apparu en premier sur RiskInsight.

Penser un projet Smart City avec la cybersécurité

Il est fondamental d’intégrer les aspects cybersécurité dès le démarrage d’un projet Smart City. En effet, le réaliser plus tard dans le projet pourra s’avérer plus complexe et couteux, avec le risque de ne pas en traiter / pouvoir traiter tous les risques.

Ceci nécessite de repenser l’organisation du projet vis-à-vis de la donnée et de la gouvernance de la sécurité : les principes de sécurité doivent être définis à l’échelle globale du projet et pris en compte par chacun des sous projets composant la Smart City, en fonction de leurs contraintes. Cela est d’autant plus vrai que les Smart Cities impliquent un grand nombre d’acteurs aux cœurs de métier, aux moyens et à la maturité cybersécurité différents. Une vision globale et partagée est indispensable pour s’assurer que chaque élément traite la donnée avec le niveau de sécurité adéquat.

Il convient ensuite de définir les grands principes d’architecture et d’interopérabilité, selon les contraintes inhérentes à la Smart City, liées à l’Edge Computing et au déploiement d’objets en milieu hostile. La résilience du système doit être au cœur des exigences de sécurité, la chute ou la compromission d’un élément ne devant pas entrainer la chute de la totalité du système.

A cet effet, des standards communs doivent être adoptés, en s’appuyant sur des frameworks spécifiques comme ETSI ou OneM2M. Ces derniers augmentent les chances de maintenir des systèmes interopérables évolutifs. Plus généralement, le NIST ou la norme ISO 27002 sont des référentiels de cybersécurité éprouvés sur lesquels il serait intéressant de s’appuyer.

Le mode de développement doit être agile, en intégrant une vision sur le long terme pour anticiper les nouveaux cas d’usage, et en jalonnant court afin de délivrer rapidement les premiers services. La cybersécurité doit être incluse dans les processus de développement, par la définition d’Evil User Stories, permettant d’identifier et de prendre en compte les risques à chaque évolution des services ou du SI, et par la nomination d’experts cybersécurité dans un rôle de support et de validation.

La définition et le maintien d’un niveau de sécurité satisfaisant passera plus que jamais par l’intégration rigoureuse de la sécurité dans toutes les phases du projet, cela pouvant induire des investissements humain et technologique plus importants mais nécessaires.

Protéger les données critiques et régulées

Etant donnée la propension de la Smart City à collecter et traiter de grandes quantités de données, leur protection passera en premier lieu par l’identification des données et des actifs critiques.

La majorité des services proposés par la Smart City sont à destination des citoyens. Par conséquent, des données identifiantes et ainsi potentiellement sensibles vont être collectées. Par ailleurs, une perte de disponibilité ou d’intégrité de certains services pourront avoir de graves répercussions étant donné que certaines composantes du SI ont une prise directe sur le monde physique. Les Smart Cities n’échappent pas aux réglementations, notamment au Règlement Général sur la Protection des Données (RGPD), mais aussi selon les usages au Référentiel Général de Sécurité (RGS), à la Loi de Programmation Militaire (LPM) ou à la directive européenne Network and Information Security (NIS), dont les exigences en matière de protection des données devront être intégrées dans les programmes.

Des niveaux de classification de la sensibilité de la donnée doivent donc être formalisés afin de permettre la priorisation des actions et la mise en place de cadres de traitement des données critiques adaptés tels que le chiffrement et l’anonymisation.

Le problème de l’accès aux données devra aussi être posé. Les acteurs de la Smart City sont nombreux et il sera nécessaire de segmenter la « vision » qu’ils pourront avoir du SI. Cela passera par une phase préalable de définition des profils d’habilitations, nécessaires au respect du principe de moindre privilège, associée à une revue régulière de leurs affectations afin de s’assurer qu’elles soient toujours légitimes.

Opérer sur des environnements de confiance

Le projet Smart City s’appuiera nécessairement sur différents socles techniques et organisationnels. Si ces socles sont au Système d’Information ce que les fondations sont à une maison, il est aisé de comprendre qu’il sera difficile de bâtir quoi que ce soit si cette base est fragile.

Comme toujours, ces socles techniques doivent être couverts par les mesures fondamentales de la sécurité : mise en place de bulles de confiance, durcissement des systèmes, patch management, sécurisation des comptes à privilèges et de leur usage, etc.

Par ailleurs, un système d’information à la surface d’attaque aussi large que celui de la Smart City devra nécessairement rompre avec le modèle de sécurité traditionnel dit « château-fort », en jouant davantage sur des aspects de cloisonnement et de contrôle d’accès à la donnée elle-même. La conformité des actifs au sein du système d’information devra être évaluée continuellement en s’appuyant sur des référentiels de configuration et de durcissement communs. Les systèmes et applications exposés doivent faire l’objet de contrôles et audits, particulièrement pendant la phase de développement, mais aussi pendant la phase d’exploitation.

Par ailleurs, la continuité et la reprise d’activité devront être au cœur de la stratégie de sécurité. Des plans devront être formalisés, mais aussi testés, incluant à la fois les considérations techniques comme la résilience des différents systèmes, incluant la capacité à restaurer des systèmes indépendamment des autres, mais aussi organisationnelles par la réalisation d’exercices de gestion de crise.

Enfin, la Smart City impliquant un grand nombre d’acteurs, toutes les parties prenantes devraient garantir la mise en œuvre de moyens significatifs dans la protection des systèmes d’information impliqués et se conformer aux exigences de la politique de sécurité du projet. Pour cela, ils devront être engagés contractuellement, à minima par l’inclusion d’exigences de sécurité dans les contrats, mais aussi par la formalisation et la mise en œuvre de plans d’assurance sécurité, notamment pour les prestataires les plus critiques. Des contrôles réguliers pourront être commandités afin de s’assurer du maintien du niveau de sécurité dans le temps et adresser les futurs scénarios de risque.

Détecter, réagir et partager

La Smart City ne peut se passer d’un service de détection et de traitement des incidents de sécurité.

Il conviendra de collecter les traces de l’activité sur les systèmes et rechercher les signaux faibles. Face au nombre important d’évènements à traiter, il sera indispensable de définir les risques dont on souhaite se prémunir et de s’appuyer sur des solutions de corrélation afin de faciliter ces recherches. L’utilisation d’outils d’automatisation permettra d’effectuer un premier tri des faux positifs, facilitant le travail des analystes dans la qualification des alertes de sécurité.

La construction du service de détection et de réaction pourra se faire en s’appuyant sur les référentiels PDIS et PRIS. On pourra au besoin recourir à des fournisseurs externes qualifiés sur ces deux services.

Le recours à des services de Cyber Threat Intelligence apportera un gain important d’efficacité dans la création et l’enrichissement des règles de détection du SOC. En effet, il sera ainsi possible d’adopter une posture de détection proactive en effectuant une veille sur les attaques ayant ciblé des Smart Cities et des modes opératoires utilisés. Ceci présentera également l’avantage d’améliorer l’efficacité du service de réaction par l’économie d’un temps d’investigation précieux.

Enfin, le processus de traitement des incidents de sécurité significatifs et majeurs ne pourra se faire sans la formalisation d’une cellule de gestion de crise, composée d’acteurs aux rôles bien définis et formés à cet exercice. Un point d’attention particulier sera porté sur le dispositif de communication externe, la « gravité » d’une crise dépendant autant de l’événement qui en est à l’origine que de la perception qu’en a le monde extérieur.

En conclusion, et comme nous l’avons vu au travers de ces deux articles, la Smart City est une évolution qui s’impose d’elle-même dans une époque où se mêlent à la fois des enjeux démographiques, écologiques et économiques. Ses promesses sont séduisantes, mais le cadre de mise en œuvre peut susciter certaines craintes.

Comme pour n’importe quelle transformation numérique, la garantie d’un niveau de sécurité en adéquation avec les enjeux du projet passera nécessairement par l’identification des failles et des risques de sécurité qu’elle engendre.

A l’ère des cyberguerres et des cybermenaces, la Smart City devrait être considérée comme un Fournisseur de Service Numérique, au sens de la directive NIS, et être protégée par les mesures de sécurité adaptées à ce statut.

La proposition de services sécurisés, respectueux des données de leurs usagers est une condition sine qua none au succès d’un projet Smart City, dont les bénéfices n’auront d’égal que l’ampleur de l’impact d’une cyberattaque réussie.

Cet article Les enjeux de Cybersécurité autour de la Smart City (2/2) est apparu en premier sur RiskInsight.

Deux ans après, quel bilan ?

L’un des principaux changements induit par la certification est la délivrance des certificats HDS par un organisme indépendant accrédité par le Comité Français d’Accréditation (COFRAC), et non plus par l’Agence des Systèmes d’Information Partagés de Santé (ASIP Santé), devenue l’Agence du Numérique en Santé (ANS) fin 2019. Sept organismes ont franchi le pas et sont désormais accrédités. Ces organismes avaient tout intérêt à se mobiliser rapidement pour anticiper les nouvelles demandes de certification ISO 27001 et HDS et ainsi augmenter leur part de marché.

Et la demande est importante ! Au 21/02/2020, 89 organisations ont déjà obtenu la certification HDS, soit près de 4 certifiés par mois. Parmi elles, certaines disposaient déjà d’un agrément Hébergeur de Données de Santé.

Figure 1. Répartition des organisations certifiées Hébergeur de Données de Santé (HDS)

Sans surprise, la majorité des acteurs ayant obtenu la certification HDS sont des entreprises proposant des services d’hébergement et d’infogérance, incluant des fournisseurs cloud internationaux, et des éditeurs de logiciels. Ils représentent à eux seuls 83% des certifiés. Poussés principalement par des motivations économiques, ces acteurs mettent tous les arguments de leur côté pour conserver leurs clients et élargir leur portefeuille aux organisations ne souhaitant pas se lancer dans l’aventure de la certification HDS.

D’autres sociétés telles que des fournisseurs d’équipements biomédicaux ou de biotechnologies, des groupements de santé (Groupement d’Intérêt Public, Groupement de Coopération Sanitaire) ainsi qu’une mutuelle ont également franchi le cap, mais restent précurseurs dans leur domaine d’activité.

Et les établissements de santé ?

À date, seuls 3 groupements d’établissements de santé privés sont certifiés HDS, mais ce chiffre pourrait augmenter très prochainement. En effet, les Groupements Hospitaliers de Territoire (GHT) sont en cours de mise en œuvre de leur Système d’Information convergent, projet qui devrait s’étendre sur une durée plus longue qu’initialement anticipée dans de nombreux GHT. Ainsi qu’évoqué dans notre précédent article, ces travaux peuvent ainsi amener l’établissement support d’un GHT à héberger des données de santé pour le compte des autres établissements. Deux choix s’offrent alors à lui :

• Obtenir la certification HDS. C’est l’option vers laquelle devraient se tourner la plupart des établissements de taille importante. En effet, la taille de leur DSI leur permet généralement de réaliser le projet et d’offrir le service à long terme au GHT. Afin de se laisser le temps d’obtenir la certification HDS, certains d’entre eux optent pour un hébergement temporaire des applications mutualisées chez un acteur déjà certifié ou encore agréé HDS ;
• Externaliser l’hébergement des données de santé chez un acteur certifié. Cette option sera notamment plébiscitée par les établissements de taille limitée, pour qui l’investissement associé à une certification parait disproportionné. Ces établissements pourront par exemple privilégier un hébergement auprès d’acteurs certifiés HDS de taille comparable, qui seront plus à même de s’adapter à leurs besoins, et qui auront l’habitude de travailler avec des établissements de la santé.

Quels sont les principaux chantiers d’une mise en conformité HDS ?

La certification HDS reposant en premier lieu sur une certification ISO 27001, les recommandations de mise en œuvre de nos précédents articles restent applicables. Au-delà de la mise en place du Système de Management de la Sécurité de l’Information (SMSI) et d’un fort accompagnement au changement, les chantiers complémentaires reposent sur des exigences de l’ISO 20000-1 et de l’ISO 27018, ainsi que sur quelques exigences spécifiques santé. Ces chantiers de mise en conformité HDS d’un SMSI peuvent être
répartis en trois domaines :

Figure 2. Chantiers de mise en conformité HDS d’un Système de Management de la Sécurité de l’Information (SMSI)

Pour les organisations déjà certifiées ISO 27001 ou se conformant déjà aux normes ISO précitées, l’effort à fournir pour obtenir la certification HDS est moindre, et peut s’apparenter à un « quick win ».

Pour celles possédant un agrément HDS, la marche à franchir peut rester assez haute. En plus de la formalisation d’un référentiel documentaire plus conséquent que pour l’agrément, le contrôle de la conformité de l’ensemble du périmètre (ou « domaine d’application » au sens de l’ISO 27001) et de la démarche d’amélioration continue par un organisme indépendant spécialisé représente une difficulté additionnelle, gage de la valeur de cette certification.

Enfin, pour les organisations ne disposant d’aucun des accélérateurs précédents, l’effort à fournir dépendra du niveau de maturité vis-à-vis du référentiel de certification.

Quels financements pour les établissements de santé ?

Aujourd’hui, aucun financement direct des projets de certification ou d’externalisation n’est proposé. Cependant, grâce au programme HOP’EN, successeur du programme Hôpital Numérique, 420 millions d’euros sont prévus pour permettre aux GHT de financer la modernisation de leur SI. Ils pourront ainsi se tourner vers ces financements pour la construction de leur SI convergent. Tout comme son prédécesseur, le programme HOP’EN définit des indicateurs permettant aux établissements de mesurer leur maturité vis-à-vis des prérequis et des sept domaines fonctionnels. Une boite à outils a été publiée par l’Agence Nationale d’Appui à la Performance des établissements sanitaires et médico-sociaux (ANAP) pour faciliter l’atteinte des prérequis.

Comment sécuriser l’obtention de la certification ?

En fonction de la maturité de l’organisation, un projet de certification peut représenter une charge et des investissements lourds dans la durée, aussi bien lors du projet qu’à son issue pour assurer le maintien des certifications les années suivantes. Afin de sécuriser l’atteinte de l’objectif, certaines organisations optent pour une stratégie de certification en deux temps : pour commencer, elles se concentrent sur la certification ISO 27001, puis s’attèlent dans un second temps à la certification HDS. Ce choix comporte de nombreux avantages :

• Sécuriser l’obtention de chaque certification en limitant le nombre de nouvelles exigences à respecter et ainsi limiter le risque de non-conformité ;
• Faciliter la conduite du changement et l’appropriation des exigences à atteindre par les équipes : se concentrer sur un référentiel à la fois permet de simplifier la mise en place des nouveaux processus et nouvelles règles de sécurité en réduisant l’ampleur du changement à chaque étape ;
• Se laisser du temps pour mener à bien les chantiers de mise en conformité. Cette option permet de répartir les charges et investissements à réaliser sur une plus longue période. Cela est valable en particulier pour les chantiers techniques de mise en conformité cités précédemment, qui peuvent être particulièrement onéreux et chronophages.

Une seconde bonne pratique pour sécuriser cette certification est de réaliser un audit à blanc, c’est-à-dire un audit préparatoire mais réalisé dans les conditions réelles d’un audit de certification HDS. L’organisation y trouvera deux principaux apports :

• Obtenir l’avis d’un auditeur, indépendant vis-à-vis de l’équipe projet et de l’auditeur de certification, quant à ses chances d’obtenir la certification. L’auditeur aidera également à peaufiner et corriger les derniers détails avant le démarrage de l’audit de certification ;
• Préparer et entrainer les équipes à l’exercice de l’audit, et en particulier les aider à préparer les réponses et preuves à présenter à l’auditeur.

Des évolutions à venir ?

Après moins de 2 ans d’existence, le référentiel s’apprête à subir de grosses modifications. En effet, l’Asip Santé a annoncé en avril dernier la volonté de retirer l’activité 5 du référentiel de certification. Cette activité, concernant l’administration et l’exploitation du système d’information contenant les données de santé, a suscité débat. En effet, les activités d’infogérance pouvant être dissociées des activités d’hébergement, il peut s’avérer difficile voire impossible pour un acteur ne réalisant que les activités d’infogérance d’être consulté sur les choix réalisés en termes de sécurité de l’hébergement, et ainsi de respecter l’intégralité des exigences du référentiel. Les exigences liées à l’activité 5 devraient donc être proposées sous un nouveau format à l’avenir, afin de s’adapter davantage aux activités d’infogérance.

De nombreux établissements de santé, à l’instar des infogérants et les éditeurs de logiciels de santé, espèrent eux aussi un assouplissement du référentiel de certification HDS. Les exigences imposant l’atteinte d’un niveau de sécurité élevé pour la protection des données à caractère personnel, la marche à franchir peut s’avérer très haute pour les établissements. Ainsi, certains d’entre eux ont fait le choix de ne viser que la certification ISO 27001 pour le moment. L’évolution des exigences pour les établissements de santé reste également à surveiller, après l’annonce par la Direction Générale de l’Offre de Soins (DGOS) d’une certification des systèmes d’information hospitaliers en 2020, vouée à centraliser toutes les exigences liées à l’informatisation des établissements de santé.

Une autre évolution majeure possible concerne les GHT et leur obligation réglementaire d’héberger leur SI convergent auprès d’un hébergeur certifié HDS. Cette obligation ne perdure en effet que tant qu’un GHT reste constitué de personnes morales indépendantes. Cette obligation pourrait ainsi devenir caduque en cas constitution d’« établissements publics de santé territoriaux » en lieu et place des GHT, ainsi que proposé dans le récent rapport de l’Inspection Générale des Affaires Sociales (IGAS). Ce changement reste néanmoins peu probable à court et moyen terme.

Ces possibles évolutions ne semblent aujourd’hui pas affecter les demandes de certification ISO 27001, dont le volume continue de croître en France ainsi qu’anticipé dans notre précédent article, avec une croissance de 27% des certificats ISO 27001 entre 2017 et 2018 selon les derniers chiffres publiés par l’ISO. Cette croissance devrait logiquement se poursuivre sur les années à venir.

Cet article Certification Hébergeur de Données de Santé : deux ans déjà ! est apparu en premier sur RiskInsight.

Cette réflexion doit permettre de couvrir les risques principaux que sont la fuite de données et l’accès aux données par des administrateurs, Microsoft et des personnes ou des applications tierces.

Un nouveau modèle de gouvernance imposé par Microsoft

Office 365 est une solution de communication et de collaboration SaaS. En tant que telle, la plateforme est en constante évolution, contrairement aux solutions historiques dites « on-premise » : de nouvelles fonctionnalités ou paramétrages apparaissent, sont modifiés tandis que d’autres disparaissent ; on peut citer la disparition annoncée de Skype en 2021 ou la fin du support de l’authentification legacy pour Exchange Online en 2020. Le rythme de cette livraison continue, « continuous delivery » en anglais, est imposée par Microsoft sans contrôle possible, ce qui nécessite un tout nouveau modèle de gouvernance.

L’intégration des changements ne peut plus se faire en mode projet, mais doit suivre un processus établi. Dans ce modèle, les équipes workplace et sécurité doivent travailler main dans la main et être représentées dans l’ensemble des comités projets et d’architecture, et ce dès la conception des cas d’usages de la plateforme. Ces équipes également auront pour responsabilité commune de veiller à la bonne santé et à la conformité réglementaire de la plateforme.

L’équipe sécurité ainsi voit son périmètre évoluer : elle n’a plus la main sur les outils de sécurité et peut, voire doit, avoir un rôle de business enabler afin d’accompagner la migration vers le Cloud en proposant de nouveaux usages (ex : ouverture d’un service maîtrisé d’échange de fichiers à l’externe). Une organisation adéquate doit être mise en place ; on pourrait même envisager d’avoir un Security officer dédiée à la plateforme au plus près des métiers, ayant pour rôle de conseiller les projets, de suivre la configuration de la plateforme, d’assurer le suivi des alertes de sécurité, etc.

Un autre sujet à traiter concerne la délégation de l’administration. Il n’est pas envisageable d’avoir près de 20 Administrateurs Généraux pour un tenant O365, même si cela n’est pas une situation si rare. La mise en place d’une solution de délégation d’administration des comptes utilisateurs et des objets doit être envisagée, via la mise en place d’une interface ou d’un connecteur basé sur PowerShell ou Graph API. Ce traitement devra permettre de gérer l’ensemble de objets tout en tenant compte des logiques métiers. Autour de cette nouvelle gouvernance, doivent s’articuler les piliers de la sécurité ci-dessous :

• La gestion des identités ;
• La maîtrise des services et des usages ;
• Le contrôle du bon respect des politiques de l’entreprise.

La gestion des identités au cœur du sujet

Dans une solution conçue pour permettre une collaboration interne ou externe, avec une utilisation ATAWAD (Any Time, Any Where, Any Device), la gestion de l’identité et donc des authentifications est le cœur de la gestion plateforme.  Comme pour tout projet, la phase de définition de qui peut accéder à quoi, quand et où est fondamentale.

Sur Office 365, on retrouve trois types d’utilisateurs ayant chacun des niveaux de privilèges différents : les administrateurs, les utilisateurs internes et les invités (externes invités à collaborer sur un fichier ou au sein d’un Groupe O365 ou d’un site SharePoint).

Pour chacun de ces types de comptes, l’implémentation des mesures de sécurité définies va être pleine de défis. Outre l’incontournable authentification multi-facteur, mise en valeur par la fuite de données ayant touché Deloitte en 2017 se posent notamment les problématiques essentielles de la maîtrise des accès des administrateurs (rôles personnalisés ou prédéfinis, accès permanent ou ponctuel etc.) et du cycle de vie des utilisateurs invités (rien n’étant clairement défini par défaut). La question du coût des licences Azure AD Premium ou d’un outil tiers va être élément majeur de la discussion.

À noter également, Office 365 permet à des applications externes, de communiquer avec ses APIs. L’application externe peut alors agir au nom d’un utilisateur avec ses droits propres ou d’un administrateur avec des privilèges plus élevés. Ces applications peuvent provenir de différents magasins d’applications (comme AppSource ou AAD) ou être développées localement. La gestion des permissions accordées à ces applications doit faire preuve d’un point d’attention pour les entreprises. En effet, à travers les APIs, il est très facile d’imaginer une fuite de données massives en cas de dupe d’un utilisateur (ex : cas d’une application requérant des permissions non nécessaires, comme celui de l’accès aux mails).

Une maîtrise des services et des usages indispensable mais délaissée

Une fois les accès à Office 365 sous contrôle, le sujet suivant est de maîtriser l’usage qui en est fait. Il n’est pas rare d’observer que des services, non priorisés lors de la migration vers le Cloud (Power BI, Teams, Flow, accès aux API etc.) sont laissés accessibles avec leur configuration par défaut. Les deux raisons avancées sont généralement de favoriser l’adoption et le manque de temps à consacrer à ces services non prioritaires. En plus du paramétrage du service, il est également indispensable de définir des règles précises autour des usages afin de clarifier qui peut faire quoi et quand (ex : gestion des habilitations SharePoint, création des Groupes). L’idéal étant bien sûr de mettre en place des mesures techniques (paramétrages généraux ou configuration via PowerShell) cohérentes avec la politique définie.

L’absence de sécurisation de ces services laisse toutefois là porte ouverte à de potentielle fuites de données : transfert automatique vers l’extérieur, exposition sur Internet ou encore perte de contrôle la donnée. Comme écrit plus haut, la gouvernance doit prendre en compte la sécurité dès la conception des futurs usages. Les services doivent être analysés et testés sur des populations réduites. En effet, il sera toujours plus facile d’ouvrir une fonctionnalité, que de restreindre un usage déjà bien répandu. Dans le deuxième cas, il sera nécessaire de faire une analyse d’impact, de bricoler une solution de contournement et de sensibiliser largement les utilisateurs. Des actions qui peuvent nécessiter un investissement important et qui pourraient être évitées.

Le suivi des services ne doit pas s’arrêter à la fin de l’adoption des utilisateurs. Les équipes sécurité et workplace auront ainsi la charge de faire un suivi des évolutions d’Office 365 (programme Evergreen, mise en place d’une veille, suivi des blogs Microsoft, …) afin d’évaluer les nouvelles opportunités et menaces.

Le contrôle du bon respect des politiques de l’entreprise

Le dernier pilier, et pas le moindre, consiste en l’implémentation des politiques de sécurité de l’entreprise. Cela passe notamment par la mise en place d’outils de sécurité : protection de l’information, anti-malware, supervision et alerting.

Concernant la sécurité d’Office 365, on peut différencier 3 niveaux de maturité aujourd’hui. Les moyens mis en place vont être conditionnés par les expertises disponibles (les ressources étant limitées sur le marché) et le budget (dépendant notamment de la stratégie de l’entreprise de gestion des licences Microsoft) :

• Niveau 1 – Maîtrise des identités, des services et utilisation du Centre de Sécurité et de Conformité : l’entreprise met en place les solutions de sécurité natives du Security Center et du Compliance Center (incluant notamment Office DLP, Exchange Online Protection, eDiscovery) accessibles avec des licences basiques ;
• Niveau 2 – Développement d’ « outils maisons »: l’entreprise crée un ensemble de scripts simples ou tableaux de bords, en s’appuyant sur Graph API, Security Graph API et PowerShell, pour mettre en place des contrôles et des mesures de sécurité adaptés à son contexte (ex : gestion du cycle de vie des utilisateurs invités) ;
• Niveau 3 –Utilisation d’outils de sécurité avancée : l’entreprise met en place des solutions additionnelles pour renforcer le niveau de sécurité : outils permettant de lutter contre les fuites de données, d’analyser les malwares sur les mails, de revoir les droits, de détecter comportements anormaux ou encore de durcir l’utilisation de la plateforme en fonction du contexte.

La maîtrise des services Office 365, de leurs usages et des fonctionnalités natives de sécurité est indispensable, et doit précéder toute réflexion concernant l’ajout d’un outil de sécurité supplémentaire, qui ne couvrirait pas les failles existantes et ne ferait qu’ajouter de la complexité.

Exemple de contrôles de notre méthodologie d’Audit Office 365

Office 365 est un cas intéressant de l’ouverture des applications métiers sur Internet via le Cloud. Cette évolution requière d’adapter le modèle de sécurité historique de l’entreprise, en tendant vers le modèle de la compagnie aérienne avec l’adoption du Cloud.

La sécurisation d’Office 365 ne doit toutefois pas omettre celle des briques on-premise nécessaires au fonctionnement de la plateforme le cas échéant, comme c’est le cas généralement pour l’authentification qui est portée par l’ADFS.

Cet article Un Office 365 sécurisé, une perle rare ? est apparu en premier sur RiskInsight.

Le projet de loi, créé à la base pour modifier un projet de loi de 1986, le «Stored Communication Act», permet aux États-Unis de forcer les fournisseurs de services américains  à transmettre les données de leurs clients stockées à l’étranger de manière beaucoup plus rapide. Il faut en moyenne dix mois pour obtenir les données, une durée improductive pour les enquêtes menées par les États-Unis. Le projet de loi vise à permettre aux autorités américaines (du shérif à la CIA) à accéder à des données hébergées par des entreprises américaines sans passage devant un juge. Les grandes entreprises technologiques, qui ont soutenu le projet de loi devant le Sénat, pourront s’opposer à une demande si :

• Le client ou l’abonné n’est pas américain ou ne réside pas aux États-Unis (section 3.2.b.h.2.i), et
• Le transfert obligerait le fournisseur à enfreindre les réglementations du pays hébergeant les données (section 3.2.b.h.2.ii)

Cette demande sera alors portée devant un tribunal américain qui pourra alors casser ou non la demande de transfert de données. Sa décision sera basée, entre autres, sur la validité des informations apportées, de l’intérêt de la requête pour les Etats-Unis et de l’envergure et les chances d’application de la violation de loi dans le pays étranger. Le caractère public du recours n’est pas précisé, en particulier la capacité des entreprises à communiquer sur ces contestations. Aujourd’hui, il nous parait probable que les grands acteurs américains utilisent ce recours pour garder la confiance de leurs clients.

Afin d’éviter d’enfreindre les réglementations des pays concernés, les États-Unis pourront passer des accords bilatéraux avec ces États, qui, en échange de leur bonne volonté, pourront accéder aux données sur le territoire américain.

Aux États-Unis, le CLOUD Act reste contesté pour les risques hérités par les potentiels accords avec les pays étrangers. Le fait que le pouvoir exécutif soit à même de mettre en place les accords mutuels inquiète la population américaine, qui craint que des puissances étrangères se servent du Cloud Act pour aller fouiller dans leurs données sans garde-fou.

Quelles conséquences pour les clients européens ?

Alors que les géants de la technologie (Facebook, Google, Microsoft, Apple) ont soutenu le projet de loi (les autorités américaines s’abstenant de les approcher pour un accès backdoor et fournissant un cadre clair pour exercer le transfert de données), ces réglementations peuvent être inquiétantes pour la privacy des clients des entreprises ciblés. Cette loi pourrait laisser les clients sans droit de regard, ni information sur l’accès à leurs données par les autorités américaines.

Cependant, les clients européens dont les données sont traitées en Europe pourraient être bientôt protégés par le Règlement Général sur la Protection des Données (RGPD). Les articles 45 et 48 du règlement qui entrera bientôt en vigueur définissent un ensemble de règles claires pour permettre le transfert vers des pays tiers. Selon Frank Jennings (avocat de renom sur les sujets cloud), l’European Data Protection Board, en charge de l’implémentation du RGPD, sera en charge de décider si les saisies dans le cadre du CLOUD Act constituent une mesure nécessaire à la sauvegarde de la sécurité nationale américaine, ou si la demande ne respecte pas la nouvelle réglementation.  Cela pourrait obliger les États-Unis à négocier avec l’UE ou ses États membres les conditions de tels transferts, et donc à protéger leurs citoyens contre les transferts illégitimes. Les clients américains resteraient toutefois sous la portée du CLOUD Act.

Des négociations doivent commencer entre la Commission européenne et les Etats-Unis. Les dirigeants de l’UE ont déjà critiqué le projet de loi américain pour son adoption précipitée, ce qui risque de compliquer les négociations. Entre-temps, une centaine d’organisations de la société civile ont pressé le Conseil de l’Europe à rendre publiques les négociations prévues lors de la « Convention sur la cybercriminalité » (ou « Convention de Budapest »).

Les lois de confidentialité, un atout pour les entreprises ?

Alors que le RGPD a pu préoccuper une bonne partie des entreprises sur le changement que cela impliquerait pour leurs systèmes d’information et que la directive « E-Privacy » se prépare, il pourrait être intéressant de voir le rapport à la réglementation évoluer dans le monde des affaires. Les lois de «data privacy » pourraient, dans un futur proche ou lointain, être considérées comme une aide à la protection de leurs données et au maintien de la confiance des clients.

Dans un monde où les questions de confidentialité des données deviennent de plus en plus importantes (Cambridge Analytica, Google Home Mini), les protections sur les données des clients peuvent être un argument décisif lors du choix entre des offres compétitives. Le positionnement des fournisseurs américains sur les questions de Privacy et de protection des données est attendu impatiemment.

Que faire aujourd’hui ?

Pour conclure, les nouvelles réglementations sur la privacy restent assez ambiguës et peuvent même se heurter sur certains points. La principale conclusion reste que les Européens devraient être mieux protégés par le RGPD face au CLOUD Act, si les fournisseurs américains dénoncent les requêtes abusives et que les tribunaux en charge de valider la demande jouent leurs rôles. Les clients non européens, quant à eux, ne seraient pas plus protégés en hébergeant leurs données en Europe.

En attendant l’entrée en vigueur de nouvelles lois traitant de la confidentialité et les éventuelles saisies des données, vous pouvez prendre des mesures pour protéger vos données personnelles et commerciales contre les écoutes d’outre-mer et autres menaces potentielles :

1. Clarifier avec votre fournisseur dans quelles conditions il pourrait être amené à donner accès à vos données, sans oublier de prendre en compte les traités d’assistance judiciaire mutuelle (Mutual Legal Assistance Treaties).
2. Définir ou revoir votre stratégie d’hébergement suivant le type de données, la nationalité du fournisseur et la location de l’hébergement
3. Privilégier l’hébergement de données dans des datacenters européens ou dans des pays disposant de règles bien établies en matière de confidentialité des données.
4. Choisir un fournisseur français ou européen permet d’éviter les risques du CLOUD Act. En contractualisant qu’il n’utilise pas de sous-traitants américains (directement ou indirectement) !

Cet article CLOUD Act : vos données sont-elles mieux protégées ? est apparu en premier sur RiskInsight.

L’écosystème dans lequel évolue la donnée est, quant à lui, en constante complexification. En effet, les systèmes d’information, en pleine transformation, s’ouvrent sur l’extérieur et s’interconnectent avec différents services Cloud publics, constituant de nouvelles portes de sortie pour les données de l’entreprise.

Les événements menant à une fuite de données sont nombreux : négligence d’un employé, fraude interne, piratage par un tiers… Les moyens d’exfiltration eux aussi sont multiples : emails, Shadow IT, clés USB, imprimantes… En cas d’incident avéré, les conséquences peuvent être significatives. Les médias n’hésitent pas relayer avec insistance les cas de piratages menant à des fuites de données d’une grande entreprise, ce qui écornera durablement l’image de la marque. Les pertes financières liées sont également importantes, induites par les sanctions prévues des différents régulateurs et faisant suite à la perte de confiance des clients et partenaires.

 Le SI aujourd’hui, un écosystème complexe ouvrant de nombreuses voies à des fuites de données

Le DLP, un chantier rarement considéré mais à la portée de tous

Ce challenge de taille que constitue la lutte contre les fuites de données n’est cependant pas insurmontable. Certaines entreprises, et notamment les banques, ont pris de l’avance sur le sujet vis-à-vis d’autres secteurs d’activité, en déployant des outils prévenant la fuite des données appelés Data Leak Prevention (DLP, ou Data Loss Protection). Ces outils permettent notamment de suivre les données considérées comme sensibles et d’y appliquer des règles visant à contrôler les flux de données conformément aux politiques définies. Ces règles peuvent s’appliquer au niveau du terminal (poste de travail, serveur, etc.), de l’application (Office 365, etc.) ou du réseau (proxy, etc.).

La mise en œuvre de telles solutions nécessite cependant de mener un projet à part entière faisant intervenir à la fois le département de Sécurité de l’Information et les Directions métier. La complexité de cette réalisation sera modulée par trois facteurs principaux :

En effet, les problématiques à traiter et les solutions techniques à implémenter durant le projet dépendront des objectifs fixés par l’entreprise en termes de couverture du risque de fuites de données, ainsi que du niveau actuel des pratiques et méthodes de classification.

Il est par ailleurs impératif, lors de la mise en œuvre des solutions de DLP, de préserver l’expérience des utilisateurs, ces derniers ne devant pas voir leurs activités impactées par les mécanismes de protection. Les objectifs de sécurité devront ainsi nécessairement prendre en compte les besoins métiers, qui peuvent notamment impliquer l’échange d’informations sensibles avec l’extérieur.

Les bons tuyaux pour la réussite d’un projet DLP

Premièrement, la sélection de l’outil de DLP devra se baser sur les objectifs définis au lancement du projet concernant la structure des données à protéger et les canaux d’échange à analyser.

Certaines solutions du marché ont atteint un niveau de maturité avancé permettant de détecter si une donnée est sensible, quels que soient la structure de la donnée et le canal de transmission. La détection de données structurées est plus simple du fait que leur caractérisation est plus simple (par exemple : le nombre de chiffres est défini pour un numéro de sécurité sociale ou de carte de crédit). Concernant les données non structurées (80% des données selon le Gartner), la détection pourra se baser sur l’analyse des métadonnées introduites par la classification.

Par la suite, le cadrage du projet devra définir et formaliser les 4 grands chantiers caractéristiques d’un projet DLP, les clés du succès pour le déploiement de la solution :

La cartographie des données sensibles et la définition des règles de protection associées

Dans le cas où l’entreprise aurait déjà établi une cartographie répertoriant les données et traitements considérés comme sensibles, ainsi que les flux considérés comme légitimes, celle-ci constituera la base sur laquelle le projet DLP s’appuiera pour l’élaboration des politiques de DLP et des règles de protection fines.

Si cette cartographie n’existe pas, le projet DLP ne pourra aboutir sans l’implication forte des métiers sur le sujet. Il s’agira d’identifier avec eux, par Direction et par Activité, les données sensibles et les traitements associés. Cette première réflexion aboutira à la délimitation des traitements et des canaux de stockage et de transmission légitimes, à la fois à l’interne et l’externe de l’entreprise. Ce processus nécessite une collaboration rapprochée avec des contributeurs clés des différentes directions qui pourront lors d’entretiens fournir les informations nécessaires.

L’équipe projet peut alors à ce stade, créer les politiques de DLP associées aux scénarios assimilés à une fuite de données.

Les retours des grands comptes montrent toutefois qu’un facteur clé de la réussite du projet est de savoir choisir ses combats ; il est en effet illusoire de vouloir implémenter – à minima dans un premier temps – l’ensemble des potentielles politiques de DLP. La bonne couverture des données les plus critiques de l’entreprise sera déjà preuve d’un niveau de maturité satisfaisant vis-à-vis de l’état de l’art.

L’identification des contraintes réglementaires et légales s’appliquant aux traitements analysés

Les réglementations concernant les données sensibles, telles que les données à caractère personnel (Loi informatique et liberté, RGPD, etc.) imposent des restrictions particulières sur les traitements autorisés sur ces données. De plus, pour les entreprises évoluant dans un contexte international, des particularités réglementaires locales existent et créent une hétérogénéité quant aux règles à respecter concernant les traitements sur les données.

Pour les aspects de conformité légale, il est important de s’appuyer sur les compétences des départements Légal et Conformité de l’entreprise et des différentes entités internationales, qui pourront valider les analyses et règles de protection appliquées sur les données.

Les principaux points à adresser lors de cette Due diligence réglementaire sont le traitement des données à caractère personnel, la notification des utilisateurs sur les traitements effectués, le lieu de stockage des données analysées et les canaux de transfert utilisés.

La définition du processus de gestion des incidents de fuite de données

La déclinaison opérationnelle des scénarios de DLP précédemment théorisés requiert ensuite de définir les moyens et processus à mettre en œuvre lors de la détection d’une fuite de donnée. Ceux-ci devront bien sûr s’adapter aux processus de gestion des incidents au sein de l’entreprise :

• Qui recevra les alertes liées aux potentielles fuites de données (le SOC dans le cas où il existe, une équipe dédiée liée à une Direction métier, etc.) ?
• Quels moyens mettre en place lors de l’investigation sur le périmètre impacté (ex : dans le cas d’un périmètre sensible, l’enquête doit respecter une certaine confidentialité) ?
• Selon le niveau de criticité, quels niveaux hiérarchique et opérationnel contacter ?

À la différence d’incidents de sécurité techniques, il pourra être pertinent d’intégrer dans le processus des équipes métier ou le responsable sécurité de l’entité concernée afin de définir la criticité d‘une fuite de données et le périmètre impacté. En effet, dans le cas d’une donnée structurée, la criticité peut être évaluée simplement via des grilles de correspondance, mais cette réflexion est d’un tout autre ordre dans le cas de donnée non structurées (ex : email d’un responsable hiérarchique ou document lié à un projet confidentiel).

Un fort sponsorship sera également requis afin que les objectifs et moyens mis en œuvre dans le cadre du DLP soient approuvés par les différentes Directions Métier, le département Ressources Humaines ainsi que les représentants du personnel.

L’implémentation d’un outil adapté aux scénarios définis

En parallèle de la définition de processus de gestion d’incidents, vient la concrétisation du modèle de supervision avec le choix d’un outillage. Outre l’adéquation avec les scénarios de détection définis, l’outil choisi devra respecter un certain nombre de prérequis liés à l’écosystème de l’entreprise et à la Due diligence réglementaire réalisée. Parmi les critères de choix, la solution technique devra notamment :

• S’intégrer avec les outils du SOC (SIEM, etc.) et idéalement avec les autres solutions de sécurité de l’entreprise (proxy, outils de chiffrement / DRM, etc.) ;
• Être adapté à l’environnement métier (plateformes collaboratives, serveurs de fichiers, etc.) ;
• Prendre en compte la diversité du parc informatique et du système d’information dans le cas de déploiement d’agents sur les terminaux.

Par ailleurs, une implémentation efficace d’une stratégie de DLP devra impérativement couvrir l’ensemble des canaux d’échanges et des cas d’usages métiers, afin de ne pas laisser de vannes ouvertes (ex : installer un outil DLP au niveau des serveurs mail et de fichiers tout en laissant les ports USB sans surveillance aucune).

Les 4 piliers du DLP

L’implémentation de la solution ne marque pas la fin du sujet DLP : le processus de Data Leak Prevention devra entrer dans une démarche d’amélioration continue. L’étude des faux positifs et les remontées d’alertes devront aboutir à une revue régulière (à minima tous les 6 mois) afin d’améliorer les scénarios de détection implémentés. Pour cela, il sera intéressant de prévoir dès la genèse du projet cette charge dans les équipes de Run et de commencer avec des scénarios basiques.

Il sera également intéressant d’inscrire les objectifs du projet de Data Leakage Prevention dans un programme plus large traitant de la protection de la donnée, incluant la revue des droits et des habilitations liés aux serveurs de fichiers, l’authentification avec accès conditionnel, l’intégration de la supervision avec le SOC et le chiffrement des fichiers et applicatifs.

Cet article DLP : éviter les fuites, sans colmater les brèches est apparu en premier sur RiskInsight.

La question n’est donc plus de savoir si la donnée peut fuiter (intentionnellement ou non) et être exfiltrée, mais plutôt de savoir comment la sécuriser afin de limiter les impacts en cas de fuite.

Dans ce contexte, les modèles de sécurité doivent s’adapter. Celui du château-fort est largement dépassé, celui de l’aéroport est en passe de l’être. Il devient alors nécessaire d’avoir une protection centrée sur la donnée (ou data-centric). Cette protection doit de plus répondre aux exigences d’expérience utilisateurs des métiers qui rechignent à être impactés dans leurs utilisations quotidiennes.

2 typologies de données distinctes … qui nécessitent une approche différente

Les grands projets de protection de la donnée lancés au sein des grands comptes se sont tous confrontés au même problème : comment connaître le niveau de sensibilité d’une information ? La réponse à cette question est fondamentale car elle est nécessaire pour appliquer un niveau de protection pertinent et éviter les fuites de données.

Il existe aujourd’hui deux typologies de données :

• Les données structurées désignent l’ensemble des informations répondant à un type de format et aisément identifiable en tant que tel : un champ CRM, numéro de sécurité sociale, formulaire Cerfa, adresse mail, ainsi que tout autre donnée pouvant être exprimées sous forme d’expressions régulières (1). Il s’agit communément des informations que l’on retrouve dans les bases de données des applications.
• Les données non structurées, à l’opposé des données non structurées, peuvent prendre n’importe quel type de format (document Office, PDF, image, vidéo, musique, fichier d’une application métier, etc.). Il est à noter qu’une donnée qui au premier abord serait considérée comme structurée (ex : champ téléphone d’un CRM), pourrait ne pas l’être si le respect de la syntaxe n’est implémenté.

Alors qu’il est aisé d’identifier automatiquement une donnée structurée, et d’en décrire la sensibilité selon des grilles prédéfinies ; la problématique est d’un tout autre ordre dans le cas des données non structurées, ces dernières représentant pourtant la plus grande part des données produites quotidiennement par les collaborateurs. Cela se traduit concrètement par l’incapacité des outils de sécurité (ex : Data Loss Prevention ou DLP) à repérer toute fuite ou manipulation suspecte d’informations vitales.

La classification des données non structurées apparaît alors comme la pierre angulaire d’une stratégie de protection de la donnée, via une action manuelle de la part de l’utilisateur final.

Qu’est-ce que la classification ?

Le sujet de la « classification de la donnée » regroupe l’ensemble des processus techniques et organisationnels permettant de catégoriser l’information produite par les collaborateurs d’une organisation. Suivant la catégorisation établie – par niveau de sensibilité (ex : interne, confidentiel, secret, etc.) ou par métiers concernés (ex : RH, R&D, achat, etc.) – la classification permettra de faire rentrer la donnée dans un cadre réglementaire, législatif ou de sécurité.

Historiquement très basiques (case à cocher dans un en-tête ou sur la première page d’un document ou ajout manuel de métadonnées), les solutions de classification se consolident et responsabilisent l’utilisateur en le plaçant au cœur du processus ; lui proposant ainsi une expérience améliorée (interface simple et conseils).

En pratique, les outils de classification offrent des fonctionnalités diverses :

• Pour les nouveaux fichiers, classification à la main de l’utilisateur ou déterminée automatiquement selon des règles prédéfinies (ex : présence de X numéros de sécurité sociales) ;
• Pour les fichiers existants, scan manuel des fichiers présents sur les répertoires locaux ou on-premise selon des règles prédéfinies ;
• Ajout sur le fichier de métadonnées (ou tagging) : ces métadonnées, interprétables par des outils tiers, permettent de donner de visibilité aux outils de supervision, type Data Loss Prevention ;
• Ajout d’éléments de marquage visuels (en tête, pied de page, filigrane) pour sensibiliser les utilisateurs finaux.

Des résultats peu probants à ce jour pour les projets de classification

Bien que les filières RSSI soient sensibles au sujet de la classification et des données et que le sujet soit inscrit au cœur des politiques de la majorité des grandes entreprises – obligation renforcée par les récentes règlementations comme le GDPR ou la LPM qui requièrent de cartographier les données et les usages – peu d’organisations, en dehors des établissement bancaires, ont réussi à mettre en place une stratégie efficace de classification.

Plusieurs raisons peuvent expliquer cette lacune :

• Les utilisateurs finaux n’ont généralement pas la connaissance de la nature des données sensibles ou de leur impact : alors que le niveau de classification le plus élevé (« C4 », « Secret », « Confidentiel », etc.) correspond aux documents susceptibles de mettre en péril une entité voire le Groupe tout entier – ce qui correspond à habituellement 1% des informations –  cette proportion avoisine les 10% dans certaines entités. A l’inverse, il n’est pas rare qu’un utilisateur partage des fichiers contenant des données à caractères personnel sensibles ou des fichiers de mot de passe sans aucun niveau de classification ni aucune protection.
  Ainsi, tout projet de classification des données nécessite un fort accompagnement au changement des utilisateurs finaux avec des messages clairs et des exemples concrets, lui permettant de classifier aisément ses informations. Des rappels récurrents seront également nécessaires pour rappeler les bonnes pratiques. En effet, un utilisateur manipulant au quotidien des données sensibles, pourrait ne plus se rendre compte de l’impact de la divulgation de celles-ci.
• Faute de mettre à disposition de ses utilisateurs des moyens suffisamment ergonomiques, une entreprise ne peut s’attendre à des résultats probants. L’expérience montre en effet que les cases à cocher avec les niveaux de classification dans les pages de garde, les en-têtes ou les pieds de pages ne sont que très peu sélectionnées.
• La classification de l’ensemble des données de l’entreprises est un projet de transformation à part entière, et nécessite un fort engagement des équipes métiers et de la direction si on souhaite la généraliser. Cet engagement doit être d’autant plus important si la stratégie de classification définie impacte les utilisateurs (obligation de classifier les documents, de chiffrer, etc.).

Le retour de la classification sur le devant de la scène

Toutefois, la thématique revient en force au sein des grands comptes, poussée par les programmes de transformation digitale – qui nécessitent de repenser la protection des données – et par les acteurs du marché – qui consolident leurs offres autour du sujet. Certains analystes comme le Gartner, anticipent même le regroupement des solutions de protection de la donnée en une unique solution centrée sur la classification.

Afin d’être un succès, il sera opportun d’allier sensibilisation et ergonomie, afin d’embarquer les utilisateurs finaux dans cette démarche. L’un ne pourra pas aller sans l’autre.

Nous étudierons dans un prochain article comment le marché évolue autour d’acteurs de la sécurité historiques et comment la mise en place d’une stratégie efficace de classification apporte des bases solides pour (re)donner un nouveau souffle à la thématique de la protection des données.  

(1) Une expression régulière, est une chaîne de caractères, répondant à une syntaxe précise. Par exemple, un numéro de téléphone française peut prendre l’un des trois formats suivants : 0123456789, +33123456789 ou 0033123456789.

Cet article La classification, cet incontournable de la protection des données est apparu en premier sur RiskInsight.

Pour éviter ces attaques aux conséquences onéreuses, les entreprises se concentrent bien évidemment sur la sécurisation de leurs infrastructures informatiques critiques, mais les cyber-attaques ne visent pas uniquement les vulnérabilités des réseaux, data centers et postes de travail. Les utilisateurs qu’ils soient internes ou externes à l’organisation sont une cible de choix pour les attaquants, qui usurpent l’identité de l’organisation ciblée afin de réaliser leur méfait.

La présence digitale d’une entreprise : un nouveau facteur de risque

Ces dernières années, la transformation digitale des entreprises s’est caractérisée, entre autres, par un développement exponentiel de la communication externe via le numérique ; les canaux de communication se sont multipliés et renforcés en tant que vecteurs privilégiés d’échange et d’interaction, révolutionnant la relation client et les échanges avec les partenaires. Pour être toujours plus proches près de ces derniers, les entreprises ont favorisé l’utilisation de la communication digitale via :

• Les emails
• La messagerie instantanée
• Les sites web institutionnels et applications web
• Les applications mobiles
• Les réseaux sociaux

Ces médias sont la vitrine de l’entreprise, ils lui permettent de se dépeindre, d’exposer et faire rayonner son image de marque, via les messages, les éléments de langage et l’impact graphique qui lui sont propres. Ils sont la personnification de l’entreprise et renvoient donc directement à sa valeur perçue. De plus, la digitalisation a permis de substituer en grande partie la relation physique par les services numériques, accessibles à toute heure, n’importe où dans le monde et via lesquels l’entreprise donne accès à sa communauté ainsi qu’à ses services et produits, permettant de dynamiser les interactions avec les utilisateurs, toujours plus simples, rapides et personnalisées.

Cette présence digitale accrue ayant permis aux entreprises de développer leur communication ainsi que l’accessibilité à leurs services, les canaux digitaux représentent donc directement l’entreprise et sont l’étendard de son image de marque. Mais il y a bien un revers à cette médaille : cette omniprésence digitale augmente la possibilité pour les attaquants d’usurper l’identité de la société à des fins malveillantes.

La dégradation de l’image de marque : dommage collatéral des cyberattaques

Lors d’une cyberattaque utilisant l’usurpation de l’identité de l’entreprise comme vecteur, les intentions des attaquants peuvent être diverses :

Certaines attaques ont pour objectif direct la décrédibilisation d’une entreprise, mettant ainsi en exergue une certaine incompétence de l’entreprise ou la supériorité d’un groupe malveillant qui souhaite imposer son idéologie antagoniste :

Sur les dernières années, ont eu lieu des cas de défacement de sites internet où le contenu des pages s’est retrouvé modifié pour transmettre de fausses informations et moquer les entreprises afin de nuire à leur image. En 2015, Lenovo en a fait les frais quand le groupe de hackers activistes Lizard Squad s’en est pris à son site web, en redirigeant les visiteurs vers des photos des protagonistes de l’attaque. Il est aussi possible pour les attaquants de publier de fausses informations sur un réseau social après le vol des identifiants du Community Manager. Un des faits marquants de 2017 a été la prise en main du compte Tweeter du ministère de la culture par un plaisantin distillant de nombreux tweets injurieux. Pour les entreprises victimes de ces attaques, les conséquences financières sont à prévoir : suite à ces évènements et annonces, les répercussions sur les ventes et le cours de la bourse sont toujours accompagnées d’un lourd impact sur l’image de marque.

Dans d’autres cas, l’identité de l’entreprise est cette fois détournée par les attaquants cherchant à dérober de l’argent. Dans ce cas, les attaquants se font passer pour l’entreprise afin de réaliser des fraudes visant directement les utilisateurs avec pour but de les duper :

Les arnaques au président sont en augmentation constante et permettent aux attaquants de détourner des sommes d’argent importantes en trompant les employés des directions financières qui pensent devoir exécuter un virement urgent pour un directeur ou membre du COMEX. En France, le préjudice total de cette fraude est estimé à plus de 400 millions d’euros par an.

Les employés des entreprises sont également la cible des campagnes de phishing, qui permettent de déclencher une charge virale contenue dans une pièce jointe ou un lien d’un e-mail paraissant familier. Le but peut être de déployer un cryptolocker pour demander une rançon, ou d’avoir une porte d’entrée sur le système d’information de l’organisation.

Les entreprises sont aussi touchées indirectement quand les campagnes de phishing utilisent leur nom de domaine pour envoyer de faux emails aux clients et leur demandent une mise à jour de leurs informations bancaires ou autres données personnelles pouvant avoir de la valeur.

La grande nouveauté pour la récupération de données client est l’utilisation de fausses apps mobiles imitant une application légitime par son logo et son interface mais agissant comme un logiciel espion (spyware) une fois installée sur le smartphone de l’utilisateur. Ainsi, une fausse application Whatsapp intégrant un malware a été téléchargée plus d’1 millions de fois sur le Google Play store au mois d’octobre 2017.

Dans un monde numérique où la confiance des clients, de plus en plus sensibles aux sujets cyber, se perd facilement, protéger son image et sa marque est donc devenu un enjeu majeur pour les entreprises, au même titre que la protection de ses infrastructures informatiques et ses données. Mais quelles sont les bonnes pratiques à mettre en place pour limiter ces risques d’usurpation ?

Des solutions dédiées et une veille organisée pour mieux se protéger

La protection de l’image de marque d’une entreprise passe ainsi nécessairement par la protection des canaux de communication digitaux. Dépendant de la typologie du canal, différentes actions peuvent être entreprises :

• L’organisation de veille sur les noms de sites web, d’adresses email et de comptes de réseaux sociaux similaires à celui de l’entreprise est une pratique conseillée par l’ANSSI pour lutter contre l’usurpation de la marque, de même que la surveillance des « Dark App store » mettant à disposition des utilisateurs des versions piratées et potentiellement malveillantes d’applications mobiles de l’entreprise.
• La réalisation régulière d’audits et l’utilisation de scanners de vulnérabilité sur les sites institutionnels et les applications mobiles permet l’identification des vulnérabilités qui seraient des points d’entrées lors d’une cyberattaque. Les mesures de correction nécessaires peuvent alors être mises en œuvre pour sécuriser ces médias notamment contre le défacement.
• L’implémentation d’authentification multi-facteurs pour les comptes des administrateurs des services email et des réseaux sociaux permet de réduire le risque d’usurpation de session par le simple vol d’identifiants. Le risque d’une publication ou du partage de contenus malveillants se retrouve ainsi limité, de même que le vol de données sensibles accessibles via les boîtes mails, comme ce fut le cas en 2017 pour le cabinet Deloitte. En effet, plus de 5 millions d’emails contenant des échanges sensibles avec leurs clients ont été dérobés, suite au vol des identifiants d’un de des administrateurs du cabinet
• L’activation de protection comme SPF, DKIM ou DMARC permet d’empêcher l’usurpation des adresses emails de l’entreprise. En effet, ces protocoles permettent de protéger les noms de domaine de l’entreprise en déclarant les adresses IP légitimes pour l’envoi d’emails et en implémentant des mécanismes de signature des emails pour les certifier. Ces protocoles garantissent qu’on ne puisse pas utiliser le nom de domaine de l’entreprise depuis un serveur non déclaré.

L’exposition de l’identité des entreprises ayant été favorisée par la digitalisation, les attaquants et cyber activistes en profitent donc pour attaquer les entreprises et leur écosystème en se faisant passer pour celles-ci. Dans l’ensemble de ces attaques et fraudes, l’attaquant arrive par des moyens plus ou moins complexes à usurper l’identité de l’entreprise pour l’attaquer et à la fragiliser. Une dégradation de l’image de marque d’une entreprise auprès de ses clients mais également du grand public, peut provoquer des pertes financières se chiffrant millions d’euros, auxquels s’ajoutent les pertes faramineuses qu’une attaque paralysant le SI de l’entreprise engendre.

Le sujet de la protection de l’identité digitale des entreprises, quelle que soit sa forme, doit donc être adressé afin qu’elles se prémunissent des fréquentes et coûteuses usurpations dont elles sont victimes.

Cet article Protection de l’identité de l’entreprise, nouveau challenge de la digitalisation est apparu en premier sur RiskInsight.

Les BCR : une adaptation de la loi à la massification des transferts internationaux de données

Toute société désireuse d’exporter des données à caractère personnel (DCP) en dehors de l’UE, vers des pays ne bénéficiant pas d’un statut de type « pays adéquat » (tel l’Argentine ou le Canada), doit s’équiper d’outils juridiques à même de garantir un niveau satisfaisant de protection aux données transférées. Comprendre l’aspect novateur des BCR passe par une revue des outils juridiques existants avant leur création.

L’adhésion aux principes du Safe Harbor

Négociés en 2001 par la Commission Européenne et le Département du Commerce Américain, ils autorisent les entreprises européennes à transférer des données personnelles aux seules sociétés établies aux États-Unis et ayant adhéré à ces principes. Le champ d’application de ce régime reste tout de même limité.

La mise en place de clauses contractuelles types

Les autorités européennes de régulation ont, depuis 2010, rédigé des clauses contractuelles génériques. Cela a permis aux responsables de traitement du monde entier de s’échanger des données à caractère personnel en restant conforme à la législation européenne sans avoir à rédiger un texte sur mesure à chaque transfert comme c’était le cas auparavant. Toutefois, chaque transfert nécessitant la signature d’une de ces clauses, le processus peut rapidement devenir indigeste d’un point de vue administratif.

Si ces outils existent toujours, les BCR apportent une réponse globale aux problématiques de massification de transfert des données à caractère personnel au sein des multinationales. Désormais, un seul instrument juridique permet d’encadrer l’ensemble des transferts réalisés dans n’importe quel pays : leurs périmètres d’application, qu’ils soient géographiques ou matériels, sont extensibles à l’infini.

L’intérêt des BCR : un outil sur mesure pour les multinationales

Jusqu’à fin 2012, les BCR s’adressaient uniquement aux multinationales exportant entre leurs entités propres, un volume conséquent de DCP de différentes natures vers des pays tiers n’assurant pas un niveau de protection « adéquat ». Les BCR ne prenaient alors pas en compte le phénomène d’externalisation. Des BCR sous-traitants ont donc été mises en place le 1^er janvier 2013. La sphère de sécurité de transfert des DCP s’étend désormais  à l’ensemble de l’écosystème, partenaires commerciaux inclus, des multinationales.

Le véritable enjeu des BCR : la mise en place d’une gouvernance dédiée

Les conditions semblent donc réunies pour les BCR permettent aux multinationales de conjuguer conformité et simplicité. Le véritable enjeu pour toute entreprise désireuse de se lancer dans la rédaction et la mise en place de BCR réside, en définitive, dans la gouvernance à mettre en place.

En effet, la mise en application de ces BCR nécessite la mise en place d’un réseau de responsables à la protection des données qualifiés. L’objectif de cette gouvernance dédiée est double : elle permet de veiller au respect des règles internes et gérer les plaintes concernant le traitement des DCP.

La difficulté de mettre en place un tel réseau est proportionnelle à la taille du périmètre défini en amont. Toutefois, dans la plupart des cas, la création d’un réseau dédié ex-nihilo ne semble pas a priori à privilégier. Il serait coûteux à mettre en place, difficile à animer et ne jouirait pas d’une visibilité immédiate. Aussi, s’appuyer sur un réseau de correspondants existant semble être, a contrario, plus approprié. Outre la pertinence des compétences mobilisables (SSI, juridique, compliance, RH…), le degré de maturité des réseaux en question semble être la clé pour faciliter l’adhésion et la mise en œuvre des mesures de conformité.

Les BCR réussissent donc bel et bien à conjuguer la simplification du traitement massif des données à caractère personnel avec efficacité de leur protection. De cette façon, elles illustrent le souci des autorités de régulation à faire preuve de pragmatisme dans l’application de la loi.

On ne doit toutefois pas perdre de vue que la formalisation de ces règles n’est bien qu’une première étape et pousse les multinationales à aller plus loin dans la réflexion autour de la protection des transferts de données à caractère personnel.

Cet article Les Binding Corporate Rules (BCR) font-elles rimer conformité avec simplicité ? est apparu en premier sur RiskInsight.

La sécurité de l’information, un pré-requis sur les canaux numériques

La protection des données est aujourd’hui une préoccupation évidente des clients et usagers. C’est ce que révèle un sondage de l’Economist Intelligence Unit en 2013, dans lequel 90% des sondés affirment penser que leurs données utilisées en ligne peuvent être volées, notamment pour détourner de l’argent. C’est également une préoccupation des pouvoirs publics qui renforcent les obligations en termes de sécurité. Attirer les clients sur les canaux digitaux est  une nécessité pour beaucoup d’entreprises. La sécurité est un prérequis indispensable à cette transition.

D’une part, Il faut rassurer les clients, et pour cela démontrer de manière visible que des mesures de sécurité existent pour protéger les données critiques et éviter notamment les fraudes financières. Une création de compte, une transaction, un changement de RIB… une bonne sécurisation, organisationnelle ou technique, peut conforter les clients dans leur confiance dans le canal numérique.

D’autre part, en cas d’incident, la capacité à bien réagir,  tant  pour résoudre l’incident le plus rapidement possible, que pour communiquer clairement et rassurer les clients concernés est un élément clé. L’évolution de la réglementation autour de la notification des incidents poussera d’ailleurs les organisations à développer ce point.

Enfin, il est important de relayer cette position au travers des acteurs de la relation client sur le terrain (vendeurs, conseillers…) en les sensibilisant pour qu’ils portent également ces messages en magasins, agences, etc.

La sécurité de l’information, un facteur de différenciation et de compétitivité

Démontrer un réel engagement dans la sécurité de l’information peut être un élément différenciant sur le marché. Pour ce faire, des solutions de sécurité avancées peuvent être proposées. Des banques comme Société Générale ou HSBC, proposent ainsi un logiciel à installer gratuitement pour renforcer la sécurité du terminal de l’utilisateur lorsqu’il utilise leur site. D’autres, comme Natwest et Barclays mettent à disposition de leurs clients des moyens d’authentification renforcés.  Au-delà des solutions techniques, certains acteurs vont jusqu’à sensibiliser leurs clients et usagers sur l’importance du respect de bonnes pratiques de sécurité. AXA a ainsi publié le « Le guide du bon sens numérique » et encore Le Groupe La Poste a communiqué sur des bonnes pratiques à adopter sur les réseaux sociaux.

Les services marketing doivent donc travailler en collaboration avec les équipes de sécurité à la fois pour innover et proposer des solutions de sécurité, mais aussi pour écouter et savoir tenir compte des attentes des consommateurs.

La sécurité de l’information, une offre à part entière ?

Et si de centre de coûts, la sécurité devenait une source de gains ? En étant attentifs aux attentes des clients, différentes entreprises se sont posées cette question et lancent aujourd’hui des offres de sécurité en tant que telles..

Plusieurs secteurs se sont d’ores et déjà  lancés : celui de l’assurance par exemple. Cyber-assurance ou encore protection de l’identité numérique, des assurances comme AIG, AXA ou Swiss Life, ont entendu l’intérêt que portent leurs clients à la sécurité de l’information, B2B comme B2C. Autre exemple, les opérateurs télécoms qui proposent un anti-virus avec les abonnements d’accès à Internet. Ou encore, d’autres opérateurs, d’un tout autre secteur, celui des jeux en ligne, mettent à disposition de l’authentification renforcée pour leurs clients.

Ainsi, au-delà d’être un pré-requis  la sécurité de l’information peut devenir un avantage concurrentiel, voire représenter une offre à part entière. C’est à chaque organisation de choisir la posture qu’elle souhaite adopter !

Cet article La sécurité de l’information, au service de la relation client est apparu en premier sur RiskInsight.

Il est aujourd’hui nécessaire d’allier des mesures à la fois techniques et organisationnelles permettant de répondre à deux enjeux cruciaux : la détection (avant l’attaque) et la réaction (après l’attaque).

Un choix technologique et stratégique

Les mesures techniques visent à mettre en place une protection physique par le biais d’équipements de sécurité, pouvant s’opérer à deux niveaux : en amont du SI (au niveau des réseaux de l’opérateur) et directement en frontal (sur le site à protéger).

Plusieurs stratégies sont alors possibles :

• Une protection exclusivement manuelle : il s’agit de la mise en place de filtrages spécifiques par l’opérateur et de la configuration d’équipements de sécurité du SI. Cette stratégie à faible coût, pouvant être qualifiée de « protection par défaut », est aujourd’hui la plus communément utilisée.
• Un « boîtier anti-DDoS » en frontal : proche du SI, ce boîtier sert de « bouclier » et permet une protection immédiate, avec réinjection du trafic légitime. Il nécessite en revanche une expertise interne conséquente etpeut ainsi entraîner d’importants coûts récurrents, en plus des coûts liés à l’investissement . De plus, sans protection en amont du SI, le niveau de protection offert par le boîtier face aux attaques volumétriques est limité à la capacité du lien réseau qui le précède. Utilisé seul, un tel boîtier montre rapidement ses limites.

• Une protection Cloud, en amont : située dans le Cloud ou le réseau opérateur, cette protection permet de bénéficier d’un service et d’une expertise externalisés. Grâce à ses mécanismes de redirection ponctuelle ou permanente, de nettoyage du trafic et de réinjection, elle permet la gestion d’attaques à forte volumétrie. Cette solution entraîne en revanche des coûts élevés et ne permet pas de se protéger contre l’ensemble des différents types d’attaques.

• Une stratégie hybride : il s’agit ici d’allier deux des trois premières stratégies, à savoir une protection distante dite « Cloud » et un boîtier physique, en frontal du SI. Malgré un coût logiquement le plus élevé, les avantages viennent s’additionner et permettent de faire face à l’évolution de la menace. Les attaques à la fois volumétriques et par saturation de table d’état, aux niveaux réseau ou applicatif peuvent ici être maîtrisées et la continuité du service est assurée.

Ce choix de stratégie reste complexe et diffèrera évidemment d’une entreprise à l’autre en fonction des besoins en matière de sécurité. Il dépendra en effet de son niveau d’exposition à la menace et de la gravité des impacts en cas d’attaque.

Des réponses également organisationnelles

Au-delà de la protection physique, il est important d’acquérir un certain nombre de bonnes pratiques permettant une gestion de crise optimale en cas d’attaque.

Ces mesures organisationnelles peuvent être classées en trois étapes chronologiques :

Bien qu’elles soient aujourd’hui démocratisées, inévitables pour la plupart et parfois ravageuses, les attaques par déni de service distribué engendrent des impacts pouvant être relativement maîtrisés, pourvu que la question de la protection ait été traitée à temps par l’entreprise.

Malheureusement, force est de constater que peu d’entreprises ont aujourd’hui procédé à l’acquisition d’une protection adaptée à la menace cybercriminelle actuelle.

L’actualité forte dans ce domaine les sensibilise néanmoins et sera sans doute un catalyseur de la mise en place de ces mesures

Cet article DDoS, quelle stratégie de protection ? est apparu en premier sur RiskInsight.

Pour autant, même une fois cette démarche menée à bout, plusieurs doutes persistent.

Si l’actualité récente a fait éclater l’affaire PRISM , la réalité des accès aux données est pourtant connue depuis de nombreuses années.

 Les risques d’accès aux données sont réels, depuis longtemps

Les quelques années de recul et d’expérience sur le Cloud montrent que les craintes quant à l’accès aux données hébergées à l’étranger sont justifiées.

L’exemple le plus souvent cité est celui du USA PATRIOT Act : sur requête du gouvernement américain et après contrôle par un juge, toute entreprise américaine, ou située sur le sol américain, ainsi que tout citoyen américain (où qu’il soit), se doivent de fournir aux autorités un accès aux données auxquelles ils ont accès. Dans le cas d’une entreprise de droit américain, l’obligation s’étend en dehors du territoire national : si ses infrastructures sont situées en Union Européenne, la loi s’applique.

Le Syntec Numérique a publié un éclairage intéressant sur le sujet en avril 2013. On y précise notamment  qu’un contrôle par un juge peut être réalisé avant la divulgation des données… Ou après, donc trop tard pour l’empêcher.

Cette loi pose donc  en théorie le problème de la confidentialité des données. Dans la réalité, ces craintes se justifient principalement si les données manipulées ont un niveau de sensibilité très élevé : étatiques (administrations, défense, etc.), stratégiques pour l’entreprise dans un environnement à forts enjeux concurrentiels, géopolitiques, etc.

Pour autant, et c’est un aspect moins connu, la majorité des gouvernements mondiaux disposent de prérogatives équivalentes. Le grand cabinet d’avocats Hogan Lovells a publié une étude à ce sujet en 2012, incluant notamment un comparatif des législations de 10 grands pays sur l’accès aux données Cloud : beaucoup (dont la France) disposent de prérogatives similaires, parfois plus larges et moins contrôlées.
Pourquoi alors se focalise-t-on généralement sur le USA Patriot Act ? Principalement car les acteurs majeurs du Cloud sont aujourd’hui américains,  donc soumis à la législation américaine.

Cependant, ne considérer que l’aspect strictement légal est encore trop réducteur : l’entreprise doit également se demander si le pays sur le sol duquel ses  données critiques sont hébergées a des intérêts allant dans le même sens que les siens.

Dans tous les cas, les conseils de juristes spécialisés sont indispensables pour avoir une position précise et adaptée.

 Les fournisseurs français de Cloud computing, solution du problème ?

Sur le papier, stocker ou traiter ses données chez un prestataire de droit français sur le sol français semble la solution idéale…  en théorie seulement.

En effet, de nombreuses fournisseurs français ont des centres de traitement et de stockage dans le monde entier… Même si vos données n’y sont ni stockées ni traitées, ceux-ci pourraient être connectés aux centres situés sur le sol français (et donc permettre d’y donner accès à distance).

Au-delà des données, se pose la question des équipes décentralisées : un Cloud hébergé en France, mais dont les équipes d’administration sont situées aux quatre coins du monde (par exemple pour fournir un support 24/7) doit également faire l’objet d’attentions.

Une fois encore, tous ces risques sont à relativiser : ils ne concernent que les données réellement sensibles.

Entre protections juridiques et solutions techniques, la bonne parade reste encore à trouver

Un moyen de se protéger des divulgations indésirables pourrait consister en l’ajout de clauses contractuelles interdisant à son fournisseur de le faire. Malheureusement, ce dernier risque de ne tenir aucun compte desdites clauses lorsqu’une demande officielle de son gouvernement lui parviendra. Pire, dans le cas des lois américaines, il peut lui être interdit d’avertir le propriétaire des données que celles-ci ont été transmises (il s’agit du principe de gag order).

Dans certains cas, il est possible de prendre certaines précautions très spécifiques. Nous conseillons parfois à nos clients de demander l’isolation de leurs données  dans le datacenter du fournisseur, dans une salle sous alarme dont seule l’entreprise détient la clé. Là encore, cela n’empêchera pas un accès aux données, mais permettra au moins à l’entreprise d’en avoir connaissance.

Une véritable solution pourrait provenir de la technologie : un chiffrement adéquat des données permettrait de s’assurer que même en cas d’accès aux données, celles-ci sont correctement protégées. Cela nécessite des technologies de chiffrement de confiance (par exemple en France, qualifiées par l’ANSSI), afin que les données soient sécurisées sur tout leur parcours : pendant leur transmission sur le réseau, au moment de leur utilisation, et lorsqu’elles sont stockées dans le Cloud.

À ce titre, le chiffrement dit « homomorphique » constitue une perspective d’avenir intéressante…

Cet article Cloud et sécurité : mythes et réalité (partie 2) est apparu en premier sur RiskInsight.

En particulier, la question de la protection des données transmises, traitées et sauvegardées apparaît comme cruciale. Ces points préoccupent aujourd’hui les experts techniques, les managers d’information, et parfois même les directions des entreprises.

Le Cloud est-il sûr ? Que risque-t-on en l’adoptant ? Comment y assurer la sécurité de ses données ?

Un service moins cher n’est pas forcément moins sécurisé

Il faut voir les risques liés au Cloud comme proches de ceux existants sur l’externalisation et la virtualisation avec en particulier la perte de contrôle de ses données et les risques liés aux technologies utilisées (virtualisation des systèmes et des réseaux, automatisation d’un certain nombre de tâches, etc.).

Pourtant, de manière générale, nous constatons en France que le niveau moyen de sécurité des services Cloud est au-dessus du niveau moyen de sécurité des entreprises. Plusieurs facteurs expliquent cela.

Le fait de fournir un service informatique à l’état de l’art (et donc sécurisé) est le métier des acteurs du Cloud. Chez la plupart d’entre eux, la mise en place et le respect des procédures de sécurité fait l’objet d’une attention particulière. Par ailleurs, ils proposent un service industrialisé à de nombreux clients : les bonnes pratiques exigées par l’un peuvent souvent être appliquées à tous.

Ces fournisseurs sont, enfin, plus exposés que la moyenne des entreprises, et ont de vrais enjeux en termes d’image : la découverte de faiblesses de sécurité amène en général à une correction rapide.

Inversement, si un mécanisme de sécurité n’est pas offert par un fournisseur (de base ou en option), il sera malheureusement difficile de l’obtenir : en sécurité comme pour les autres fonctionnalités, les offres Cloud manquent souvent de souplesse.

Attention cependant, contrairement à une idée répandue, toutes les offres Cloud ne se valent pas : de véritables différences peuvent exister d’un fournisseur à un autre.

Des outils dédiés existent pour évaluer ses risques de sécurité

D’un point de vue sécurité, la démarche est celle – classique – de l’analyse de risque. Le but est ici d’accompagner les projets de mise en œuvre ou de migration vers le Cloud, et pas de les interdire.

Dans le cas du Cloud, un outillage spécifique commence à apparaître pour réaliser cette analyse. En France, l’ANSSI (Agence Nationale de  la Sécurité des Systèmes d’Information) a publié  un guide¹ pour accompagner les démarches de type Cloud computing. Au niveau européen, l’ENISA (European Network and Information Security Agency) fournit une analyse² générique mais complète des risques liés au Cloud.

Outre-Atlantique, l’association Cloud Security Alliance regroupant les acteurs majeurs du Cloud a mis au point son outil Cloud Controls Matrix³, qui permet de comparer de nombreux fournisseurs sur des critères de sécurité très précis. Si elle est basée sur les seules déclarations desdits fournisseurs, cette matrice peut néanmoins s’avérer utile.

Les comparaisons théoriques  ne suffisent pas

Il est parfois difficile de distinguer ce qui est présenté de ce qui est fait en réalité en termes de sécurité. Plusieurs critères permettent d’évaluer les fournisseurs.

Ils peuvent tout d’abord se prévaloir de différentes certifications : ISO 27001 (très adoptée et quasiment obligatoire aujourd’hui) et ISAE 3402/SAE 16 (très adoptées également, requises pour les groupes cotés aux États-Unis, dans la ligne de SOX). Des démarches spécifiques existent aussi dans certains domaines, comme pour les données de santé en France, ou PCI-DSS pour les données de cartes bancaires.

Pour autant, ces certifications ne sont pas toujours une assurance d’un niveau de sécurité adapté. Lors de la phase de choix des fournisseurs ou durant le projet, il apparaît nécessaire de poser des questions très précises, sans laisser de place à des réponses trop larges ou ambiguës.

Un certain nombre d’acteurs du Cloud accepteront d’ailleurs de fournir des détails sur le fonctionnement de leur solution, après signature d’un accord de non-divulgation. Des visites de datacenters sont aussi toujours très instructives, et permettent parfois de se forger un avis sur la maturité du niveau de sécurité de l’offre proposée.

Certains fournisseurs sont réticents à fournir des informations très précises préalablement à la signature du contrat, ils peuvent alors proposer l’ajout d’une clause permettant de dénoncer le contrat ultérieurement. Mais attention à ce mécanisme, une fois la mise en œuvre démarrée, faire marche arrière est presque impossible…

Enfin, la possibilité de contrôler le prestataire Cloud est un critère intéressant. Sa capacité à accepter un audit diligenté par ses clients est en effet une preuve de transparence, voire de confiance en son propre niveau de sécurité.

¹ : ANSSI – Externalisation, Cloud Computing : maîtriser les risques pour les systèmes d’information (http://www.ssi.gouv.fr/externalisation/)  

² : ENISA  – Cloud Computing Security Risk Assessment (http://www.enisa.europa.eu/activities/risk-management/)

³ : Cloud Security Alliance – Cloud Controls Matrix (https://cloudsecurityalliance.org/research/ccm/)

Cet article Cloud et sécurité : mythes et réalités (partie 1) est apparu en premier sur RiskInsight.

La cyber-assurance : pour quoi faire ?

Traditionnellement, l’assurance est vue comme une manière de transférer un risque, en permettant de recouvrer une perte en cas d’occurrence de ce risque. Cela implique d’être en mesure de correctement évaluer le risque et la perte associée. S’il est relativement aisé de le faire sur des risques « matures » en matière d’assurance, comme l’incendie par exemple, cela devient beaucoup plus complexe lorsque l’on parle de cybercriminalité. L’interconnexion des SI et leur globalisation rendent difficile l’évaluation des risques et des pertes : quelle valeur pour les informations que l’on m’a dérobées ? Quels impacts pour mes partenaires et mes clients ? Quels coûts pour réparer la faille ?

Ainsi, le souscripteur doit aujourd’hui percevoir la cyber-assurance non pas uniquement comme un moyen de « recouvrer une perte » mais plutôt comme un levier lui permettant de réagir plus vite aux attaques et en diminuer les impacts.

Si elles couvrent en partie les pertes d’exploitation, les offres des cyber-assureurs sont souvent accompagnées d’assistances juridiques et d’expertises sur les investigations techniques ou la gestion de crise. C’est cet apport immédiat d’expertise packagée qui peut intéresser le souscripteur à une offre « cyber-assurance », en complément du recouvrement d’une partie souvent limitée de ses pertes.

La cyber-assurance : pour quels risques ?

Les cyber-assurances permettent de faire face aux risques liés à trois grands enjeux actuels en matière de systèmes d’information.

• L’évolution de la règlementation concernant la protection des données personnelles et la notification en cas de fuite.

Ces deux sujets très liés feront probablement l’objet dans un avenir proche de renforcements législatifs visant à protéger davantage les consommateurs. La notification des fuites peut s’avérer extrêmement coûteuse pour les entreprises. L’obligation de notification est déjà en vigueur en France pour les opérateurs télécoms, et sera sans doute étendue prochainement à l’ensemble des entreprises gérant des données personnelles  en application d’une nouvelle législation européenne. C’est d’ailleurs en grande partie cette obligation qui a fait exploser le marché de la cyber-assurance aux États-Unis.

• L’entreprise étendue, génératrice de nouveaux risques

Les mouvements incessants des entreprises (fusions, cession de certaines activités, …), les interconnexions SI avec des clients et partenaires ou encore le développement du cloud computing sont autant de facteurs qui exposent le SI de l’entreprise à des attaques. Par ailleurs, en cas d’incident avéré, l’entreprise peut être considérée comme responsable de perturbations chez ses clients et partenaires. Attention cependant sur ce point : si un volet responsabilité civile est souvent inclus dans les offres de cyber-assurances, il fait parfois doublon avec les contrats responsabilité civile traditionnellement souscrits, qui couvrent souvent (en France) les dommages immatériels.

• Le développement du e-commerce

De plus en plus d’entreprises vendent aujourd’hui leurs produits sur Internet. L’indisponibilité du portail web de vente peut ainsi générer des pertes importantes de chiffre d’affaires, qu’il peut être relativement facile de chiffrer. Dans ce cas, une cyber-assurance peut jouer pleinement son rôle traditionnel de solution permettant de recouvrer une perte.

En conclusion : dans quels cas prendre une cyber-assurance ?

En conclusion, il est sans doute bon de s’intéresser au sujet de la cyber-assurance si l’entreprise est dans un ou plusieurs des cas suivants :

• Elle est susceptible de faire face à une attaque dont certaines conséquences sont facilement mesurables (sites de e-commerce par exemple). Dans ce cas, l’entreprise cherchera à jouer sur l’aspect « traditionnel » de l’assurance pour recouvrer une perte d’exploitation.
• Elle dispose d’un SI fortement interconnecté avec l’extérieur. Il sera alors utile dans un premier temps de vérifier quelle couverture lui offre son contrat en responsabilité civile (RC) actuel pour indemniser les tiers à qui elle porterait atteinte en cas d’attaque. Au besoin, elle pourra compléter cette couverture par le volet RC d’une cyber-assurance.
• Elle gère de nombreuses données personnelles. Elle sera alors attentive aux évolutions législatives en matière de notification et prendra si possible les devants sur le sujet en commençant à étudier la solution cyber-assurance.
• Elle dispose d’un manque d’expertises sur le sujet de la cybercriminalité et souhaite pouvoir disposer d’une capacité de réaction rapide. Elle s’intéressera alors aux offres packagées des cyber-assureurs, qui lui apporteront en cas de sinistre des experts dans plusieurs domaines (juridique, gestion de crise, forensics, …)

Cet article Cyber-assurance : souscrire ou ne pas souscrire telle est la question ! est apparu en premier sur RiskInsight.

Quels sont les risques induits par le BYOD ?

 Les risques techniques induits par le BYOD sont en grande partie des risques déjà existants pour la majorité des systèmes mobiles.
On peut en distinguer trois types :

• Les risques de perte ou de vol des données de l’entreprise stockées sur les terminaux eux-mêmes.
• Les risques de capture ou de modification de données sur les réseaux auxquels ils se connectent.
• Les risques pesant sur le SI lui-même : il pourrait subir différentes attaques amenant à une infection virale, une perte ou un vol de données, voire une coupure de service.

 La nouveauté réside ici dans le fait que les terminaux sont personnels, et font donc l’objet d’usages qui amplifient les risques : applications personnelles, configurations non maîtrisées par l’entreprise, utilisation en dehors du travail…

 Il apparaît donc nécessaire de trouver des solutions acceptables pour gérer et sécuriser ces usages.

Dans le cas du BYOD, l’ergonomie est aussi un critère de réussite majeur qui ne peut pas être négligé dans le choix de la solution à mettre en œuvre.

 L’approche sécuritaire : ne rien stocker !

Les solutions de déport d’écran permettent à tout type de terminal (ordinateur, tablette, smartphone…) de se connecter à un environnement maîtrisé par l’entreprise. Aucune donnée n’est stockée sur le terminal et les utilisateurs disposent d’un environnement adapté à leurs tâches professionnelles. Ces solutions nécessitent la mise en place d’une infrastructure assez lourde et requièrent une connexion internet rapide pour fonctionner. Leur ergonomie est très dépendante du terminal à partir duquel on se connecte. Les applications de type web sont également une alternative évitant le stockage de données sur le terminal. Accessibles à l’aide d’un navigateur à travers n’importe quelle connexion internet, elles ont l’avantage de ne pas nécessiter d’installation.

 Cependant, elles offrent une expérience utilisateur limitée à certains usages très spécifiques et ne sont pas adaptées aux terminaux de taille réduite comme les smartphones.

 L’approche pragmatique : sécuriser les usages en contrôlant l’ensemble du terminal…

Il s’agit de fournir des solutions permettant de sécuriser les terminaux sans interdire d’y stocker des données professionnelles. Elle se décline en deux types de méthodes techniques.

La première méthode est de maîtriser l’intégralité du terminal, à l’aide d’outils de gestion de flotte (aussi appelés outils de MDM – Mobile Device Management). Ces outils s’apparentent aux solutions de gestion de parc, largement présentes en entreprise pour les postes de travail. Même si le niveau de sécurité de ces solutions dépend fortement du type de terminal, elles sont aujourd’hui industrialisées.

 Elles ne marquent cependant pas de réelle séparation entre les usages (données) personnels et professionnels. Les restrictions de sécurité étant appliquées indifféremment sur l’ensemble du terminal, elles sont perçues par les utilisateurs comme une contrainte imposée dans leur sphère personnelle. À ce titre, elles répondent peu aux problématiques du BYOD.

 …ou en se concentrant sur la partie qui concerne l’entreprise

L’autre méthode de sécurisation des terminaux est plus innovante. Il s’agit d’isoler les données professionnelles des autres données sur le terminal, au sein d’un « silo », qui prend la forme d’une application ou d’un espace dédié. L’entreprise peut ainsi imposer des critères de sécurité adaptés sur ces données – et uniquement sur elles : mot de passe obligatoire, chiffrement des données, etc.

L’utilisateur n’est soumis à ces contraintes que dans le cadre de l’utilisation professionnelle, l’usage du terminal étant tout à fait libre par ailleurs. Ce type de solution a l’avantage d’être relativement indépendant du type de terminal sur lequel on l’installe : le niveau de sécurité est ainsi homogène même sur une flotte hétérogène.

 D’autres bonnes pratiques facilitent le BYOD

 Quelle que soit l’orientation retenue, un certain nombre de bonnes pratiques pour la sécurité des infrastructures restent de mise : le contrôle d’accès et de conformité au réseau (NAC), la gestion des traces (par exemple pour les accès internet réalisés avec les terminaux), ou encore l’utilisation d’un wifi dédié lorsque les collaborateurs sont dans les locaux.

Ces infrastructures, si elles ne permettent pas directement la mise en place du BYOD, sont en tout cas des éléments facilitateurs à son adoption et son extension.

Cet article BYOD : la sécurité n’est plus un frein ! est apparu en premier sur RiskInsight.

Toutes les organisations sont aujourd’hui susceptibles d’être concernées pas des failles, voire des attaques, liées aux données à caractère personnel qu’elles manipulent. Les multiples exemples relayés ces dernières années par les médias l’illustrent : condamnation de la CNIL, failles révélées dans le SI, plaintes d’utilisateurs,… Même si une application scrupuleuse de la loi participe à la diminution du risque, elle ne peut garantir l’absence d’incident.

De ce fait, les organisations manipulant des données personnelles ne doivent plus se demander si ce type d’incident pourrait arriver, mais plutôt quand il va survenir et quels en seront les impacts.

La crise « données personnelles » doit être anticipée et préparée

Le récent « bug Facebook »  l’illustre bien, les impacts seront d’autant plus importants aujourd’hui que le grand public est attentif à ces problématiques.

Pour rappel, lors de l’activation de la nouvelle page Timeline, certains utilisateurs se sont plaints de la publication de messages privés sur leur mur. Une faille a d’abord été soupçonnée.. Après enquête de la CNIL, il s’agit d’anciennes publications de mur à mur quela Timeline a fait ressortir. Quelle que soit la cause, la réaction démesurée des utilisateurs à la possible publication non maîtrisée de données qu’ils considèrent comme privées montre bien la sensibilité quasi-épidermique du public sur le sujet.

Les multiples prises de position des utilisateurs, de la presse, ainsi que de la classe politique illustrent à quel point cette problématique est devenue médiatique. La ministre déléguée à l’économie numérique, Fleur Pellerin, a conseillé hâtivement de porter plainte si la faille était avérée. De son côté la CNIL, considérant que la confusion des utilisateurs est sans doute liée aux changements unilatéraux et récurrents des paramètres de vie privée en 2009 et2010, a demandé à Facebook de lui transmettre les mesures que l’entreprise américaine comptait mettre en œuvre afin de respecter ses recommandations.

Facebook s’est bien entendu défendu de toute « atteinte à la vie privée », expliquant avant la CNIL l’origine de la confusion. La rapidité de la prise de parole n’a cependant pas empêché que l’image du site et la confiance de certains utilisateurs ne soient écornées.

Cet exemple a permis de mettre en lumière que l’incident de confidentialité (fuite, mauvais traitements) de données personnelles est devenu un type de crise à traiter par les organisations. Elles doivent dès lors amender leurs dispositifs de gestion de crise afin d’y intégrer les dispositions propres à ce type de sujet (processus de détection et de qualification spécifique, experts juridique mobilisables, …). En particulier, au regard de la nouvelle, et forte sensibilité du public, une attention toute particulière devra être portée à la maîtrise de la communication de crise. Le « bug Facebook » l’a montré, la crise peut davantage être liée à la communication autour de l’évènement qu’à la faille en elle-même.

Il reviendra alors au Correspondant Informatique et Libertés de mobiliser les différents acteurs concernés (responsable du processus de crise, département relation client, service juridique, experts sécurité) au sein de groupes de travail afin de définir les processus et dispositifs à mettre en place le jour « J » (moyens d’alertes, plan de communication, …).

Le projet de règlement européen relatif  à la protection des données personnelles rendra d’ailleurs ces aspects d’autant plus essentiels, l’obligation de notification de toute fuite de données personnelles devant se traiter au sein d’un dispositif ad-hoc impliquant l’entreprise mais aussi des acteurs externes, afin d’éviter que la crise prenne une ampleur préjudiciable pour les personnes concernées et l’entreprise.

Seule une analyse de risques permettra d’anticiper au mieux la crise

Pour anticiper et traiter au mieux ces crises, l’organisme devra se poser la question des risques afférents à la manipulation des données personnelles, et construire des plans d’actions proportionnels aux impacts anticipés.

Cette démarche, en ligne avec les exigences de la loi informatique et libertés (cf. article 34 : Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement) et certainement du futur règlement européen, pourra être menée à l’aide des méthodes classiques d’analyse de risques bien connues des Responsable de la Sécurité des SI (les guides « Gérer les risques » et « Mesures pour traiter les risques » publiés par la CNIL pourront également être utilisés).

L’enjeu vis-à-vis de ces données personnelles ne sera donc plus uniquement de se conformer aux exigences de la loi mais bien d’identifier les risques potentiels et les crises probables. Il reviendra alors à l’organisme de traiter en priorité les traitements comportant le plus de risques, notamment ceux pouvant la mettre en péril en cas de fuite de données personnelles.

Cet article Protection des données personnelles : la conformité à la loi ne suffit plus ! est apparu en premier sur RiskInsight.

L’économie comportementale

L’économie comportementale est un champ d’étude couramment utilisé en tant qu’outil de politique publique, qui cherche à comprendre le comportement humain. Au Royaume-Uni, cette attitude est désormais baptisée « Nudge theory 2 » ou « théorie du coup de pouce » – et le Cabinet du Premier ministre comprend même une unité « Nudge ». Elle est le fruit de la réalisation que la « carotte » n’est pas seulement plus puissante que le « bâton » : elle est également plus efficace du point de vue économique. Le but de cette théorie du « coup de pouce » est de faire en sorte que le changement de comportement ne soit pas simplement temporaire ; en le transformant en habitude, faisant de lui « la norme » et une action subconsciente. En substance, il s’agit du plus large éventail de mesures incitatives qui puissent être conçues pour accroître la probabilité des résultats souhaités.

Le nom, l’image et la réputation d’une personne sont, pour la plupart des gens, des atouts qu’ils apprécient et veulent maintenir à un niveau élevé. C’est là l’une des caractéristiques de la nature humaine sur laquelle joue la théorie du coup de pouce. Celle-ci s’efforce en effet de puiser parmi les méthodes qui ont un impact sur l’estime de soi d’une personne, les manières d’encourager les personnes à faire « ce qu’il faut » parce qu’elles le veulent et non pas parce qu’elles y sont forcées. L’autre facteur clé est que l’homme est un animal social. Nous avons tendance à rendre la pareille à nos semblables, à rivaliser pour attirer le partenaire et à imiter le comportement les uns des autres.

Les réseaux de personnes ont tendance à instancier et renforcer les comportements. La connectivité croissante du monde des médias sociaux numériques renforce l’importance de ces tendances comportementales et offre de nouveaux outils de réseau extrêmement puissants pour influencer et orienter les comportements.

Mais qu’est-ce que tout cela peut bien avoir à voir avec la protection de l’information ?

Le gouvernement et les entreprises cherchent activement à protéger leurs informations contre la perte, le vol ou la copie, et aussi contre les conséquences qui en découlent pour la valeur commerciale et la violation du droit. La protection est assurée par la technologie et les processus, mais l’un des facteurs essentiels de son efficience est le comportement humain. Traditionnellement, les professionnels de la sécurité ont eu tendance à mettre en évidence des comportements et des résultats médiocres pour illustrer un problème et ensuite recourir au renforcement négatif pour influencer le comportement. Si cela peut fonctionner dans certaines cultures, dans bon nombre de cas il s’agit d’une attitude contre-productive. La puissance de l’imitation et de la conformité tend à inciter les gens à accepter et à se laisser influencer par le comportement commun. Lorsqu’un comportement déplacé est cité comme étant la norme, les gens ont tendance à l’accepter, voire à l’imiter. De nombreuses expériences ont démontré cette tendance.

Quels outils existent pour contribuer aux programmes de protection de l’information ?

Notre but, avec un programme de protection de l’information, est de changer les valeurs des gens pour aboutir à une transformation du comportement quant à leur utilisation des documents, des dossiers et des fichiers. Ce sous-ensemble de supports est considéré comme important pour la valeur et la réputation des entreprises – et souvent pour la conformité au droit.

Le changement de valeurs se traduit ensuite en comportement acceptable qui constitue la norme qu’imitent les autres, de telle sorte que les comportements deviennent « ce qui se fait ici ».

Le défi est que les comportements qui présentent une valeur intrinsèque élevée n’ont aucune garantie de réussir, d’être choisis ou d’être imités. Il n’existe pas de relation automatique entre une initiative visant un objectif connu et l’ingénierie des réseaux sociaux cherchant à atteindre cet objectif. Par exemple, un comportement alternatif peut être perçu comme plus attirant.

Toutefois, la première étape de la démarche consiste à prendre la défense de la valeur de l’objectif que l’on s’est fixé – en protégeant l’information, qui constitue peut-être un « joyau de la couronne », sur les valeurs essentielles de l’entreprise et, par conséquent, les valeurs essentielles de ses salariés. Les hommes et les organisations ont tendance à vouloir faire « ce qu’il faut » et à se comporter de manière raisonnable. Le problème est plus de surmonter l’inertie initiale et de transformer le comportement de manière permanente. L’utilisation de solutions techniques qui ne sont ni simples ni faciles à utiliser est une démarche fortement dissuasive qui peut augmenter considérablement la probabilité d’un échec.

La plupart des individus ne sont pas précis et ne calculent pas les avantages en tant que tels. Ils ont plutôt tendance à approximer et à ressentir si une chose est attrayante et désirable et ne présente pas un trop grand nombre d’inconvénients. Nous devons tenir compte de ce mode de pensée intuitif et en tirer parti. Les réseaux sociaux sur lesquels ces individus sont présents jouent un important rôle d’influence. Voici quelques facteurs que nous jugeons importants :

– La réciprocité est très importante. Les vendeurs de voitures qui réussissent exploitent parfois cela en laissant entendre qu’ils vous ressemblent. S’ils remarquent que votre cravate est celle de votre club de golf, ils vous parlent de golf ; à la vue de la tenue de foot de votre fils, ils vous révèlent qu’ils soutiennent la même équipe. Il est donc important d’intégrer et de relier les résultats souhaités de la protection de l’information à d’autres aspects qui sont déjà recherchés au sein de l’entreprise.

– Identifiez les influenceurs des réseaux sociaux. Certaines personnes, du fait de leur position hiérarchique ou par consensus, sont très appréciées et suivies par tous. Ces personnes doivent adhérer aux idées et aux comportements. Les personnes qui exercent une réelle influence ne sont peut-être pas celles que vous pensez. Expérimentez cela et essayez différents réseaux, tant formels qu’informels, au sein de l’entreprise.

– Encouragez les comportements souhaités. Tout comportement que nous encourageons est jeté dans un océan d’idées et d’informations, qui toutes luttent pour la reconnaissance et la notoriété ; les idées doivent par conséquent être encouragées de manière stimulante. Cette affirmation est illustrée par un exemple récent : la Barclays utilisait un livret illustré écrit par des auteurs célèbres. S’agissant d’une approche nouvelle, cela suscitait fatalement l’intérêt.

– Classez les performances autour de certains résultats spécifiques. Par exemple :

• Exhaustivité de la classification des documents
• Exhaustivité de la protection des documents (documents d’un type donné / contenu protégé par chiffrement)
• Robustesse des mots de passe
• Résistance à l’ingénierie sociale – où les principaux détails sont donnés dans un  test d’ingénierie sociale
• Résistance aux attaques de phishing

– Utiliser les tableaux de classement au niveau du service ou de l’individu. Cela met à profit la tendance à la compétitivité, qui à son tour a été utilisée par des plates-formes de ludification pour identifier les personnes présentant les comportements souhaités. Il est important de remercier les personnes qui présentent les comportements souhaités, en puisant dans un mouvement de réciprocité. Les gens, même ceux qui a priori ne le souhaitent pas, ont tendance à retourner les faveurs qui leur sont accordées. Dans son livre Influence, Robert Cialdini explique comment les gens se sentiront redevables s’ils reçoivent un stylo bas de gamme dans un courrier sollicitant un don de bienfaisance, comment ils se montreront bienveillants s’ils arrivent à marquer un point dans une discussion et comment ils rendront la pareille à ceux qui les apprécient.

Conclusion

La transformation du comportement humain est une composante essentielle de tout programme de protection de l’information. Les facteurs qui suscitent un changement de comportement doivent être influencés par la réalité des tendances comportementales des êtres humains et deviennent le centre d’intérêt de nouveaux champs d’études basés sur l’économie comportementale et la psychologie évolutionniste.

Ces études et leur application pratique dans les politiques publiques et les programmes de formation ou d’entreprise, comportent de nombreux enseignements pertinents pour les professionnels de la sécurité de l’information.

[Article traduit de l’anglais] 

Cet article S’appuyer sur les comportements sociaux de groupe pour une protection de l’information plus efficace est apparu en premier sur RiskInsight.

Fin 2009, le ministère marocain de l’Industrie, du Commerce et des Nouvelles Technologies a lancé un vaste programme visant à développer l’usage de la technologie numérique au sein du royaume. Celui-ci a conduit notamment à une informatisation croissante des PME et de l’administration et à une meilleure accessibilité de la population à Internet.

En parallèle de cela, les dispositifs législatifs communautaires contraignent fortement l’échange de données entre l’Europe et ses voisins, complexifiant  le développement d’activités d’offshoring au Maroc.

Il devenait donc indispensable, d’une part, d’apporter au citoyen les garanties indispensables face à une hausse de l’informatisation et aux inquiétudes que cela peut générer (atteintes à la vie privée, spams commerciaux, etc.), et, d’autre part, de constituer un terrain favorable à l’afflux de capitaux internationaux.

C’est là tout l’objet de la loi 09-08 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel, équivalent marocain de la Loi Informatique et Libertés française.

Pour les entreprises, outre le respect d’une nouvelle obligation légale, il s’agit dès lors de maintenir puis faciliter les échanges avec ses partenaires européens et de protéger son image, voire de faire de son souci de la protection de la vie privée un véritable atout concurrentiel.

Que dit cette loi ?

Afin de faciliter sa reconnaissance par l’Union Européenne, le législateur marocain s’est grandement inspiré des textes communautaires et en particulier français en la matière. On retrouve ainsi dans ce texte les mêmes principes que dans ses homologues européens :

• Un traitement de données à caractère personnel doit avoir une finalité précise, à laquelle il convient de se tenir, et une durée de mise en œuvre limitée, en fonction de la finalité. Un strict principe de proportionnalité doit ainsi être respecté : seules les données permettant l’atteinte de la finalité fixée doivent être manipulées.
• Les traitements doivent faire l’objet d’une déclaration ou d’une demande d’autorisation, en fonction de leur sensibilité.
• Ils doivent être sécurisés, en particulier pour éviter tout vol ou fuite de données.
• Ils doivent être mis en œuvre en toute transparence. Les personnes concernées doivent être informées et ont un droit de regard sur l’utilisation de leurs données.

Une commission dédiée, la Commission Nationale de contrôle de la protection des Données à caractère Personnel (CNDP) est ainsi instaurée pour assurer le respect de cette loi.

Cette similarité des principes entraine bien sûr les mêmes difficultés pratiques, en particulier liées au champ d’application extrêmement étendu des définitions : la grande majorité des traitements mis en œuvre par les entreprises et administrations s’avèrent en effet être des traitements de données à caractère personnel.

Quelles conséquences concrètes pour les entreprises marocaines ?

Les entreprises marocaines ne disposent plus aujourd’hui que d’un lapse de temps réduit pour mettre en conformité l’ensemble de leurs pratiques. De manière concrète, elles ont un certain nombre d’actions à réaliser. Elles doivent ainsi inventorier l’ensemble des traitements, effectuer les évolutions nécessaires, notamment pour respecter le principe de proportionnalité, réaliser les déclarations, faire un bilan de sécurité et lancer les actions nécessaires, y compris auprès des sous-traitants, mettre en œuvre les modalités d’information des personnes, etc. Un terme devra de plus sans doute être mis à un certain nombre de pratiques de démarchage, celui n’étant plus autorisé que dans un cadre précis.

Au-delà de ce projet de mise en conformité, il conviendra sans doute de refondre un certain nombre de processus de l’entreprise, notamment les processus projet, et ainsi d’assurer un maintien dans le temps du niveau de conformité atteint.

D’ores et déjà, la réflexion est plus qu’amorcée au sein de nombreux organismes. Sous la pression d’un grand public de plus en plus averti et d’un paysage concurrentiel de plus en plus mature, le niveau d’exigence en matière de conformité ne fera que croître.

Par ailleurs, au fur et à mesure que la pédagogie laissera place à la sanction, il est fort à parier que les exigences de la loi iront en se durcissant. Par conséquent, bien plus que de se mettre en conformité à une nouvelle loi, il s’agit de se familiariser dès aujourd’hui, à son rythme, avec ce qui permettra demain de répondre à des impératifs bien plus grands et bien plus pressants.

Cet article Protection des données à caractère personnel : le Maroc renforce son arsenal juridique (avec la Loi 09-08) est apparu en premier sur RiskInsight.

Un nouvel enjeu pour la sensibilisation à la sécurité de l’information : la génération Y pousse la porte des entreprises

La sensibilisation n’est pas un chantier sur lequel on peut se reposer une fois la première campagne achevée ! Comme toute campagne de prévention, des « piqûres de rappel » doivent être faites régulièrement, en variant la manière de communiquer pour assurer l’assimilation des messages dans la durée sans provoquer de lassitude.

Par ailleurs, il est nécessaire de prendre en compte les nouveaux arrivants dans l’entreprise, qui n’ont pas reçu la sensibilisation initiale. Et il ne faut pas oublier que ces nouveaux arrivants sont majoritairement une population avec laquelle le niveau de risque pour la sécurité de l’information augmente : la fameuse génération Y.

Les « digital natives », suréquipés, connectés en permanence, rendent de plus en plus perméable la frontière entre l’entreprise et leur vie personnelle. Leurs usages exposent largement les informations qu’ils manipulent : données personnelles, mais aussi professionnelles ! Et selon le Connected World Technology report de Cisco, 70% des jeunes employés admettent ne pas respecter les politiques de sécurité bien qu’ils en aient connaissance.  Plus exigeants que les générations X et baby-boomers, ils sont moins réceptifs à des campagnes de communication traditionnelles que leur aînés sur des sujets avec lesquels ils se sentent familiers, et ont encore plus besoin d’être convaincus et motivés.

La gamification pour renforcer l’engagement et la motivation des collaborateurs

Face à ce nouvel enjeu, il est nécessaire de diversifier les méthodes et outils de sensibilisation pour assurer leur efficacité. La gamification, phénomène récent, apparaît comme un nouvel outil prometteur pour laquelle de plus en plus d’éditeurs  (Bunchball, Badgeville, Gamify…) proposent des solutions. Elle a pour principe l’application des mécanismes et de la dynamique du jeu à des activités non ludiques : points, niveaux, badges, challenges, statuts sont utilisés pour engager les gens, déclencher la motivation et changer les comportements (par exemple dans le domaine de la protection des données)

Initialement utilisée auprès des clients à des buts marketing (Flying Blue, Accor, Starbucks…)  ou communautaires (Foursquare, Farmville, Nike+…), elle peut se transposer aisément au monde de l’entreprise et être un outil puissant pour accompagner les campagnes de sensibilisation, conduire le changement ou encore améliorer les performances. Cette technique rencontre un vif succès auprès de la génération Y aux codes de laquelle elle répond par ses dimensions sociale, ludique et technologique.

Lancer le challenge sécurité !

Il n’y a plus qu’un pas à faire pour l’adapter à la sécurité de l’information en entreprise. En premier lieu, il s’agit de cibler les utilisateurs  et de définir les objectifs. Sur cette base, les compétences (savoir construire un mot de passe complexe…) et actions attendues (changer son mot de passe, suivre une formation, etc.) peuvent être formalisées avant de définir l’univers et les mécanismes de jeu qui seront appliqués. C’est là que résidera toute la dynamique de la démarche et l’adhésion des utilisateurs, il est donc nécessaire de travailler soigneusement cette partie, pour laquelle les solutions du marché offrent de nombreuses possibilités !

Cet article La gamification : une solution pour sensibiliser la génération Y ? est apparu en premier sur RiskInsight.

Même s’il est aujourd’hui peu probable que l’ensemble des collaborateurs soient prêts à acheter eux-mêmes leur matériel avec une subvention de l’entreprise, certains services ou processus peuvent se prêter à ce type d’innovation, en particulier dans les DSI ou pour des sites ayant des activités classiques de gestion, tels que les sièges.

Aujourd’hui 3 grands chantiers se dégagent pour le DSI : la protection du réseau, l’accès aux applications et l’encadrement des pratiques par une charte spécifique.

Comment protéger les informations de l’entreprise lorsque le collaborateur utilise son équipement personnel ?

Lors de la connexion de postes non maîtrisés (et surtout non maîtrisables), il est essentiel de protéger la disponibilité de son réseau. Ceci passe par la mise en œuvre soit d’un contrôle d’accès au réseau local qui isolera les postes dans un espace dédié, soit par la mise en place d’un réseau Wi-Fi parallèle dédié à cet usage. Il sera alors possible d’isoler les postes les uns des autres et de leur donner accès à des services basiques (accès internet par exemple).

Comment faire pour avoir accès aux applications des entreprises ?

Une fois isolé, le poste personnel doit cependant toujours pouvoir accéder aux applications et aux données de l’entreprise. Ceci sans avoir un système d’exploitation compatible (MacOS, Linux, iOS, Android…) et sans avoir la possibilité de faire fuir facilement des informations. La solution la plus simple est la virtualisation du poste de travail et des applications. En utilisant un client de déport d’écran (de type Terminal Service ou Citrix, parfois même en mode web), l’utilisateur pourra se connecter à un poste virtuel, équivalent à un poste classique. Il aura alors accès à l’ensemble des applications depuis cette bulle isolée et maîtrisée par l’entreprise. Même si cette solution n’embrasse pas complètement le modèle BYOD, qui prône l’utilisation des applications natives du poste, elle permet de garantir une compatibilité avec l’existant, un niveau de sécurité acceptable et elle simplifie les habituels casse-têtes de l’accès aux ressources locales (imprimantes, etc.).

De quels moyens dispose le DSI pour sensibiliser ses collaborateurs à ces nouveaux usages ?

Ces solutions ne sont utiles qu’encadrées par une charte d’usage claire et précise, abordant les points acceptés et ceux interdits. Ce document est également nécessaire pour encadrer les nombreux points non directement liés au SI mais plutôt aux aspects RH et juridiques (assurance des équipements, propriétés des données, accès en cas d’investigations/d’incidents…).

L’avènement du BYOD passe certainement par la mise en place de mécanismes encore plus simples, permettant un accès direct aux données. Mais ceci nécessite une protection au plus près des informations et l’évaluation dynamique de la sécurité des équipements utilisés par les applications. Aujourd’hui, ces technologies ne sont malheureusement pas encore assez mûres pour permettre des déploiements larges.

Heureusement des solutions efficaces et disponibles dès aujourd’hui existent pour permettre l’arrivée du BYOD. Cependant, les investissements d’infrastructure sont importants. L’équation économique devra donc être définie et validée dans chaque entreprise en fonction de son existant (contrôle d’accès réseau/ postes virtuels) et des gains apportés par ces usages innovants !

Cet article BYOD et DSI : quelles marges de manœuvre pour sécuriser les données de l’entreprise ? est apparu en premier sur RiskInsight.

 Un nouveau délit : la divulgation d’informations protégées par le secret des affaires

Inspiré du COHEN Act des États-Unis mais aussi d’autres textes européens, ce texte défini la notion « d’informations protégées relevant du secret des affaires d’une entreprise » (Art 325-1) et introduit le délit de divulgation de ces informations (Art 325-2).

Ces informations sont « quel que soit leur support, les procédés, objets, documents, données ou fichiers de nature commerciale, industrielle, financière, scientifique, technique ou stratégique ne présentant pas un caractère public dont la divulgation non autorisée serait de nature à compromettre gravement les intérêts de cette entreprise en portant atteinte à son potentiel scientifique et technique, à ses positions stratégiques, à ses intérêts commerciaux ou financiers ou à sa capacité concurrentielle »Art. 325-1 .

Cette large définition permet de couvrir les différents incidents rencontrés ces dernières années.

Jusqu’ici, en cas de fuites, les responsabilités pouvaient être recherchées pour vol, abus de confiance ou encore violation de propriétés intellectuelles.  Mais il était difficile de faire reconnaître des délits « virtuels » touchant des données immatérielles non reconnues par le code pénal.

Les exemples de jurisprudence sont rares, comme le jugement de juin 2010 du tribunal correctionnel de Clermont-Ferrand. L’ex-employé de Michelin souhaitant vendre des données à la concurrence a été condamné d’abus de confiance, mais sa peine est toute relative : 2 ans de prison avec sursis et 5000 euros d’amendes.

Les peines prévues dans ce nouveau texte sont largement plus dissuasives : 3 ans de prison et 375 000 € d’amendes. Seul regret, la tentative de fuite d’information n’est pas réprimandée. Il est important de préciser que les données identifiées ne seront pas protégées en cas d’investigations de la justice ou encore d’autorité de contrôle comme la CNIL. D’autre part, les journalistes sont également exclus du champ de la loi en cas de recel. Pour finir, les mesures de sécurité devront faire l’objet d’une information des instances représentatives du personnel.

Mais quels vont être les impacts dans les entreprises et comment le RSSI doit-il aborder ce sujet ?

Des impacts non négligeables

Le dispositif qui sera prochainement adopté va nécessiter un travail important dans les grandes organisations. En effet pour que la loi s’applique, les données doivent faire « l’objet de mesures de protection spécifiques destinées à informer de leur caractère confidentiel et à garantir celui-ci » (Art 325-1).

Le texte précise que les mesures seront précisées par décret en conseil d’état. Les premières discussions font état du marquage de l’ensemble des documents, de l’établissement de listes de personnes autorisées à prendre connaissance des informations, d’un stockage des documents papier dans des coffres ou des locaux sécurisés ou encore la mise en place de dispositifs de chiffrement et de codes d’accès.

Des pratiques minimums mais déjà complexes à déployer à large échelle. En effet, même si les données les plus sensibles sont souvent connues instinctivement, il peut être ardu de les identifier dans l’entreprise et à fortiori de les protéger dans son système d’information. Il s’agit d’un travail souvent méticuleux pour bien embrasser l’ensemble des données et tous les cas d’usage associés.

 Une réflexion à entamer dès aujourd’hui

 Il est évident que tout ne devra pas être classifié « secret des affaires » dans une entreprise.  Un bon réglage du « curseur » sera cependant ardu à trouver. Il faudra osciller entre « trop classifier », et donc augmenter les coûts, ou « ne pas assez classifier », et donc prendre de risques de fuites. L’implication des métiers et de la direction sera, encore une fois essentielle, et les efforts des années précédentes dans la réalisation d’analyse de risques s’avèreront très utiles.

Même si de nombreuses étapes législatives restent à franchir, réjouissons-nous cependant de l’avancée que représente ce texte, qui va d’une part aider à la sensibilisation du management et d’autre part apporter enfin une réponse juridique aux nombreux incidents rencontrés ces dernières années !

Cet article Le « secret des affaires » arrive dans notre cadre réglementaire ! Quel impact pour les entreprises ? est apparu en premier sur RiskInsight.

La notion de smart grids renvoie aux réseaux énergétiques, et en particulier électriques,  qui se dotent aujourd’hui de capacités de pilotage et d’intelligence enrichies. Ces réseaux sont capables d’échanger des informations sur toute la chaîne de valeur, de permettre un pilotage au plus près. Ils deviennent ainsi flexibles, plus efficaces, tout en offrant davantage de maîtrise de l’énergie à une échelle locale. Cependant, l’écosystème ne peut tirer profit de ce réseau que lorsque les maillons finaux, consommateurs et producteurs, sont complètement impliqués, en acceptant d’y être liés physiquement via un compteur communicant et en adoptant les différents services proposés. En France comme chez la plupart de nos voisins européens, le marché des smart grids rime principalement avec « électricité ». L’initiative la plus médiatique est celle d’ERDF, avec le compteur Linky.

Quels sont les principaux risques associés à ces équipements ?

On retrouve les risques « classiques » associés à des solutions technologiques innovantes. En effet, ces systèmes sont récents et l’on manque de recul quant à leur interopérabilité, leur fiabilité et le risque d’obsolescence. À titre d’exemple, le système italien de smart metering déployé il y a 10 ans est aujourd’hui remis en cause (utilisation de standards propriétaires, durée de vie faible…). Mais le principal risque est celui de la sécurité des systèmes. En effet, les nouvelles fonctionnalités apportées résident dans la possibilité de communiquer au distributeur des données à caractère personnel, tels que l’identité du consommateur ou sa consommation électrique, des informations sensibles. De plus, l’utilisation de gestionnaire
d’énergie pouvant avoir comme rôle de contrôler les appareils électroménagers et le chauffage, multiplie la sensibilité des données transmises
par le compteur avec des risques de perte de contrôle ou d’utilisation illégale. Dans un monde post-Stuxnet, l’ampleur des dégâts pourrait potentiellement atteindre le blackout au niveau national en cas d’attaque contre le système.

Quels sont les types d’attaques qu’il faut redouter ?

L’aspect communicant du compteur ouvre le chemin à tout type d’attaque comme l’ont montré les exploitations récentes en Allemagne.
L’attaquant, en tant que consommateur / client, peut chercher à reprogrammer son compteur avec un tarif moins cher ou bien leurrer le distributeur vis-à-vis de sa consommation. Par ailleurs, une personne malveillante cherchant à récupérer des informations personnelles pourrait
espionner la vie de ses voisins, changer leurs tarifs ou leur couper l’accès en énergie ! Les attaques peuvent aussi remonter le réseau
amont avec un risque extrême de provoquer des coupures d’électricité sur l’ensemble du territoire ou la volonté d’attaquer les systèmes d’information de CRM afin de collecter des données sur les clients et consommateurs.

Quels sont les points de vigilance à respecter dans le développement et la mise en œuvre des smart grids ?

La standardisation des équipements est un facteur essentiel pour le développement et la mise en œuvre des smart grids notamment à cause de la complexité des écosystèmes matériels et de la diversité des acteurs proposant des solutions. La pédagogie et l’éducation du consommateur, acteur indispensable au succès du smart grid, représentent un second point de vigilance. Enfin, le fournisseur devra rassurer ses clients quant à la transparence du service fourni sans dégradation de la qualité d’approvisionnement (coupure / délestage / baisse de puissance), ni intrusion gênante dans la vie privée (politique de sécurité et de confidentialité). Ceci passe forcément par l’inclusion des bonnes pratiques dans le cycle projet (analyse de risques, liaison avec les autorités, mise en œuvre de systèmes de contrôles robustes avec des capacités de mise à jour, audits réguliers et transparents des systèmes…) et une forte communication avec les acteurs du secteur et les utilisateurs.

Pour lire plus d’articles sur le secteur de l’énergie, cliquez ici.

Cet article Quelles mesures de sécurité pour accompagner les smart grids ? est apparu en premier sur RiskInsight.

La difficulté de la prédictibilité des coûts dans le cloud

Le modèle du cloud nécessite une attention forte pour ne pas perdre au bout de quelques temps les gains économiques escomptés, voire éviter une réelle dérive des coûts. Dans le cloud, comme au sein du SI historique, une gestion fiable des identités est ainsi essentielle pour garantir durablement la maîtrise du nombre d’accédants à ces services.

Bien évidemment, elle vise également à renforcer la protection de l’accès aux informations qui y sont stockées. Elle y est même encore plus indispensable, vu l’absence de garde-fous traditionnellement rencontrés, comme par exemple la « porte d’entrée » Active Directory ou le contrôle d’accès physique.

Gérer les identités dans le cloud : quelles stratégies gagnantes ?

Comment le faire concrètement ? Plusieurs solutions sont envisageables :

–       Gestion manuelle sur le site du service cloud par les équipes de l’entreprise. C’est certes efficace pour lancer rapidement des initiatives cloud, mais il faut prévoir de rencontrer, tout aussi rapidement, toutes les limites bien connues de la gestion manuelle : écart, difficultés de maintien, complexité des revues…

–       Gestion automatisée via un service de provisioning/deprovisioning avec des contrôles a priori (validations) et/ou a posteriori (contrôles et recertifications) : l’accès aux services cloud piloté par les processus et les outils IAM de l’entreprise. Mêmes solutions que dans le SI historique… et mêmes vigilances et bonnes pratiques pour éviter toute désillusion !

–       Gestion automatisée via un service de fédération d’identités : certainement aujourd’hui la solution à privilégier quand cela est possible, puisqu’elle apporte des réponses satisfaisantes aussi bien sur les problématiques de gestion au quotidien qu’en termes d’expérience utilisateur. Après des années de balbutiements où les entreprises n’allaient quasiment jamais plus loin qu’un prototype, les derniers dix-huit mois marquent le réel envol de la fédération avec des réalisations significatives.

–       Gestion automatisée et fédérée par un tiers de confiance, jouant le rôle d’intermédiaire entre l’entreprise et les différents offreurs de services cloud. Des acteurs commencent à se positionner sur ce sujet, mais la classique question de la confiance se pose !

Le cloud : un booster pour les projets IAM

Sujets à traiter, bon sens et bonnes pratiques, priorisation et angles d’attaque, risques et écueils à éviter : la gestion des identités dans le cloud doit relever les mêmes challenges que dans le SI historique.

Et si le cloud était un levier formidable pour d’une part simplifier et fiabiliser les processus et outillages IAM actuels, et d’autre part faire décoller l’usage de nouveaux services IAM de type reporting et recertification ?

Cet article Cloud computing : maîtriser ses coûts grâce à une bonne gestion des identités est apparu en premier sur RiskInsight.

Viviane Reding, juillet 2011

Été 2011 : alors que la presse bruissait des déboires sécuritaires de Sony, Sega ou autres FBI, la profession de foi de la commissaire européenne en charge de la justice est passée relativement inaperçue mais elle présage un réel changement dans les pratiques des entreprises quant à leur gestion des atteintes à la sécurité des données.

Ce changement est une réalité dès aujourd’hui pour les fournisseurs d’accès et les opérateurs télécoms depuis l’adoption du Paquet Télécom et sa déclinaison attendue en droit français.

L’obligation de notification bicéphale du Paquet Télécom : sécurité et données à caractère personnel

Noël 2009 : la Commission Européenne dépose au pied du sapin des législateurs nationaux un volumineux paquet d’exigences. Composé de deux directives, ce Paquet Télécom vient mettre à jour et modifier le précédent paquet de 2002, essentiellement retranscrit dans le droit français via le Code des Postes et des Communications Électroniques (CPCE). Parmi les nouveautés, figure la médiatique obligation de sécurité à travers notamment deux obligations de notification, s’appliquant respectivement à la sécurité des réseaux et à la protection des données à caractère personnel.

Sans doute frémissant encore de la cyberattaque ayant paralysé l’Estonie en 2007, le législateur européen fait en effet de la sécurité des réseaux de communication une obligation inconditionnelle du métier de fournisseur de réseau. Celui-ci est alors tenu de mettre en place un niveau de sécurité adapté au risque existant et de se soumettre à des audits indépendants. A ceci s’ajoute un strict devoir de transparence en la matière vis-à-vis de l’autorité concernée. Ainsi, tout incident de sécurité ayant un impact significatif sur le fonctionnement des réseaux et systèmes devra être porté à sa connaissance, le public n’étant informé que s’il est jugé d’utilité publique de le faire.  Cette obligation est très certainement une première étape vers la création d’un standard de sécurisation européen des réseaux.

La seconde obligation de notification vise quant à elle à inciter les fournisseurs et opérateurs à une vigilance accrue en matière de protection des données. Elle impose ainsi de notifier sans retard indu l’autorité compétente de toute violation de données à caractère personnel, c’est-à-dire de toute violation entrainant accidentellement ou de manière illicite la destruction, la perte, l’altération, la divulgation ou l’accès non autorisé aux données. Les impacts ne sont pas nuls. Ils deviennent même considérables lorsque l’on ajoute que les abonnés ou personnes concernées doivent également être informées dès lors que cette violation peut avoir un impact sur eux

Quid des opérateurs et FAI français ?

En France, une loi votée en mars 2011 autorise le gouvernement à transcrire ce Paquet Télécom dans le droit national via une ordonnance, ce qui devait intervenir avant fin septembre. C’est chose faite depuis hier, l’ARCEP ayant publié sur son site l’Ordonnance le transcrivant en droit français (cf. encadré en fin d’article).

Ainsi, si les modalités doivent encore en être précisées, les notifications de violation de traitement à caractère personnel devront être effectuées auprès de la CNIL, qui appréciera les efforts déployés par les opérateurs et FAI en réponse aux incidents. Elle pourra également les mettre en demeure d’informer leurs abonnés, et sanctionner les entreprises en cas de manquement.

D’ici là les acteurs concernés doivent sans attendre s’assurer que leur gestion de la sécurité leur permet :

• D’assurer un niveau adapté aux risques, y compris sur les périmètres sous-traités à des tiers.
• De détecter et de répondre rapidement aux incidents de sécurité.
• De répondre aux sollicitations de l’autorité compétente et d’être à même de lui démontrer du niveau de sécurité mis en place.
• De gérer une communication de crise efficace et adaptée aux violations de données.

Par ailleurs, il semble dès à présent que les fuites de données chiffrées, et donc rendue inutilisables directement,  n’auront pas à être notifiées aux abonnés. L’inventaire et la cartographie des données à caractère personnel sur le SI des opérateurs apparaissent donc être des chantiers indispensables, en tant que vecteurs de maitrise et donc de sécurité mais également comme première étape d’un programme plus vaste de protection. Celui-ci incluant notamment le chiffrement, mais pas uniquement, la Commission mentionnant très clairement l’utilisation des bonnes pratiques et normes internationalement reconnues et met en avant des principes proches de la norme ISO 27001.

Après les télécoms : à qui le tour ?

2012 ? Et ce qui est vrai pour les opérateurs et FAI le sera sans doute très prochainement également pour les autres secteurs, comme l’attestent les déclarations de la commissaire européenne en charge de la justice. Chez nos voisins américains, allemands, irlandais ou néerlandais notamment, les législations ont fleuri ces dernières années afin d’instaurer une telle transparence.

Le législateur européen n’est pas en reste. Il qui indique dans la longue introduction aux exigences du Paquet Télécom : L’intérêt des utilisateurs à être informés ne se limite pas, à l’évidence, au secteur des communications électroniques, et il convient dès lors d’introduire de façon prioritaire, au niveau communautaire, des exigences de notification explicites et obligatoires, applicables à tous les secteurs

Le sens de l’histoire est ainsi bien à la notification systématique de tout incident de sécurité. Le projet de loi dit Informatique et Libertés (LIL) 3, déjà adopté au Sénat, en France, le confirme.

Que dit l’ordonnance du 25/08/2011?

L’ARCEP publie aujourd’hui sur son site l’Ordonnance transcrivant le paquet Télécom en droit français. S’il est confirmé que les atteintes aux données à caractère personnel devront bien être notifiées à la CNIL, sous peine de 5 ans d’emprisonnement et de 300 000€ d’amende, la notification des failles portant sur la sécurité et l’intégrité des réseaux n’est quant à elle pas directement mentionnée.  En revanche, l’obligation pour les opérateurs de se soumettre la sécurité de leurs installations, services et réseaux à des contrôles imposés par l’État est à présent reprise dans l’article 6 du Code des Postes et Communications Électronique (CPCE). Un décret en Conseil d’État viendra en préciser les modalités d’application.

Cet article Notification des atteintes à la sécurité des données : étape 1, les opérateurs télécoms est apparu en premier sur RiskInsight.

Une nouvelle bataille juridique s’ouvre entre les États-Unis et l’Europe. En jeu cette fois-ci, le Cloud Computing. L’’affiche ? USA Patriot Act Vs. Directive Européenne de protection des données à caractère personnel.

D’un côté, l’USA Patriot Act. Véritable épouvantail de l’externalisation et fer de lance de la lutte antiterroriste US, il autorise les écoutes et la capture de données par les autorités américaines, avec un encadrement judiciaire permettant de le faire à l’insu de leur propriétaire… Il constitue l’argument le plus précieux des opposants de l’hébergement de données aux Etats-Unis.

De l’autre, la Directive européenne pour la protection des données à caractère personnel. Mère européenne de la Loi Informatique et Libertés française, elle encadre fortement le traitement de données en dehors de frontières de l’Union et, plus généralement, leur accès non légitime et non autorisé par le responsable de traitement. Bien plus, elle le rend pénalement responsable de tout accès tiers non signalé aux propriétaires des données.

Au centre, Microsoft. Le géant de Redmond consent des efforts importants pour être en conformité avec les réglementations sur les données à caractère personnel. En particulier, leur adhésion aux principes du Safe Harbor , qui, en dépit de certaines limites, constitue une garantie jugée suffisante par l’Europe pour que soit autorisé le transfert de données à caractère personnel vers une entreprise américaine. D’autre part la mise en place d’un Cloud européen, aux serveurs dédiés et localisés strictement au sein des frontières de l’Union ensuite, offre une solution simple pour la conformité.

A l’origine de la bataille, une conférence dédiée au lancement d’Office 365. Le directeur Royaume-Uni de Microsoft a alors reconnu tout haut ce que bon nombre de spécialistes du secteur murmuraient déjà : son siège social étant domicilié aux Etats-Unis, Microsoft est soumis au droit national… et doit donc appliquer l’USA Patriot Act y compris sur le sol européen.

Et ceci est vrai pour l’ensemble des fournisseurs américains de services de Cloud computing ! Ils pourraient ainsi être amenés à communiquer aux autorités américaines des données de leurs clients européens, en dehors de tout cadre légal national ou communautaire.

Cette transparence soudaine signe-t-elle le début de la fin du Cloud computing made in USA ? ou s’agit-il d’une opportunité de croissance inespérée pour les fournisseurs européens ? Doit-on s’attendre à une migration massive des premiers vers les seconds ?

Ce qui est vécu comme une ingérence américaine sur le terrain législatif communautaire est aujourd’hui examiné par la Commission Européenne, qui s’est saisie du sujet.

Sans préjuger en rien des conclusions des débats d’ores et déjà très animés sur le sujet, cette bataille mérite d’être suivie avec attention.  Et permet de rappeler l’importance d’une analyse de risques, y compris juridiques, avant tout recours à un fournisseur externe…

Cet article La guerre des réglementations aura-t-elle raison du cloud computing? est apparu en premier sur RiskInsight.