Où en est le secteur? 

La montée en puissance de Part-IS s’est faite par étapes. Après l’entrée en vigueur progressive des textes en 2022 et 2023, l’année 2025 a été marquée par la préparation des dossiers de conformité et la structuration des SMSI. 

Depuis le 22 février 2026, le règlement d’exécution est pleinement applicable, ce qui signifie que de nouveaux périmètres sont désormais couverts, notamment les activités de maintenance et de réparation à travers la Part-145. Part-IS concerne aujourd’hui l’ensemble de la chaîne opérationnelle, de la conception jusqu’aux opérations et au support. 

Aujourd’hui, les acteurs du secteur concernés par la Part-IS ont pris connaissance du sujet et transmis leur SMSI. Dans ce contexte d’engagement généralisé, l’EASA a, de son côté, ajusté le cadre en précisant et en assouplissant certaines modalités, à travers la mise à jour des AMC et GM de la Part-IS. 

L’EASA prévoit une phase de développement de 18 mois après la date d’applicabilité pour atteindre une mise en œuvre pleinement opérationnelle. Cette progression peut se lire simplement en trois étapes : un dispositif d’abord présent et adapté (P + S), puis opérationnel (O), avant d’atteindre un fonctionnement effectif dans la durée (E).

Les mises à jour EASA : qu’est-ce qui change concrètement ? 

Fin 2025, l’EASA a mis à jour les AMC et GM relatifs à Part-IS et consolidé ces évolutions dans une nouvelle version des Easy Access Rules associée. 

Concrètement, ces évolutions introduisent plusieurs allègements importants : 

• Les organisations déclarées n’ont plus besoin d’une approbation préalable de leur SMSI.
• Pour rappel, les organisations agréées sont soumises à un processus d’approbation formelle par l’autorité (EASA ou autorité nationale). Elles doivent obtenir un agrément, faire approuver leur manuel SMSI et soumettre certaines modifications à validation préalable contrairement aux organisations déclarées, qui sont supervisées a posteriori par l’autorité. Vous pouvez retrouver la liste des organismes déclarés soumis à Part-IS ici. 
• Les modifications du SMSI, lorsqu’elles sont couvertes par une procédure interne définie, ne nécessitent plus de « feu vert » formel de l’autorité : une notification suffit. 
• Le rôle de l’autorité est recentré sur la supervision et l’audit, plutôt que sur une logique d’approbation systématique. 

Cependant, les attentes restent les mêmes : le SMSI (SGSI au sens du règlement) doit être robuste, cohérent, traçable, et réellement appliqué. L’allègement apporté par la mise à jour des AMC et GM est donc administratif et non opérationnel. 

Sur le terrain, cela résonne avec les premiers retours de l’OSAC sur les SMSIs : la gouvernance autour de ce dernier apparaît comme un point central. Les autorités portent une attention accrue à la dimension cybersécurité que doivent avoir les acteurs identifiés. La qualité du document est également scrutée, non seulement sur le fond, mais aussi sur la forme (structure, cohérence…). 

Les cinq chantiers du secteur pour passer Part‑IS à l’échelle 

Au‑delà de ces premiers retours, nous avons pu observer lors de nos accompagnements que la mise en œuvre de Part-IS fait émerger cinq défis chez la plupart des acteurs : gouvernance & coordination, validation de l’inventaire, finalisation des analyses de risques, formation des responsables et équipes, contraintes RH et contrôle des personnes. 

Mais le plus chronophage reste l’analyse de risques, en particulier pour les grandes organisations multi‑sites. Celle‑ci ne peut plus être uniquement centralisée, et doit être déclinée localement, intégrer les réalités de chaque site, les chaînes fonctionnelles, ainsi que les sous‑traitants. Cette approche holistique est exigeante, mais indispensable pour démontrer une application cohérente de Part‑IS. 

Une approche pragmatique pour passer à l’échelle 

Face à ces enjeux, la clé réside dans l’anticipation du déploiement. Un SMSI efficace repose sur un socle commun solide, mais aussi sur des outils concrets permettant une déclinaison locale : modèles, guides, méthodes d’analyse de risques adaptées aux réalités opérationnelles. 

La réussite de Part-IS repose sur la coordination entre les équipes cybersécurité, les équipes métiers et les fonctions qualité et conformité. Part-IS n’est pas une couche supplémentaire : c’est un cadre transverse qui structure durablement la gestion du risque cyber au service de la sécurité aérienne. 

En conclusion 

En 2026, Part-IS entre en phase d’application. La consolidation des AMC/GM fixe un terrain clair et allège la charge administrative par rapport à la 1ère monture. 

En complément, ces mises à jour fin 2025 ont notamment étendu le périmètre de la Part‑IS aux prestataires d’assistance en escale via le règlement délégué (UE) 2025/22 amendant le (UE) 2022/1645, applicable à compter du 27 mars 2031. Pas d’impact opérationnel immédiat en 2026, mais un signal utile pour anticiper la cartographie des interfaces, sans urgence à court terme. 

Cet article Part-IS en 2026 : du cadre réglementaire à la réalité du terrain est apparu en premier sur RiskInsight.

Dans cet article, nous faisons le point sur les dernières actualités réglementaires cybersécurité et les challenges qu’elles engendrent, et nous vous proposons deux approches pour gérer au mieux l’empilement des réglementations.

Etat des lieux : Des réglementations cybersécurité toujours plus nombreuses

En Europe, un renforcement des réglementations cybersécurité associé à un élargissement du périmètre d’applicabilité

Ces dernières années, l’Union Européenne a poursuivi sa dynamique de réglementation en matière de cybersécurité et de résilience, avec l’entrée en vigueur de réglementations structurantes telles que DORA, NIS2, le CRA ou encore l’IA Act. Ces réglementations concernent également un plus grand nombre d’acteurs, avec une extension des secteurs régulés.

La première est le règlement DORA. Entré en vigueur en janvier 2025, il impose aux entités financières des obligations visant à renforcer leur résilience numérique, en se concentrant sur quatre grands axes : la gestion des risques liés aux TIC, la gestion des incidents, les tests de résilience opérationnelle et la gestion des risques liés aux prestataires de services TIC.

La directive NIS2, entrée en vigueur en octobre 2024, vient quant à elle élargir les objectifs et le périmètre d’application de NIS1. Elle s’applique désormais à deux types d’entités :  

• Les Entités Essentielles (EE), déjà présentes sous le nom d’Opérateur de Services Essentiels (OES) dans NIS1. La liste des secteurs d’activités concernés a cependant été élargie.
• Les Entités Importantes (EI). La construction de cette dernière catégorie vise à accompagner le développement des usages numériques dans la société. Elle concerne par exemple le secteur de la fabrication d’équipements informatiques. Les EI sont considérés comme moins critiques que les EE, les obligations qui leur sont imposées par les transpositions nationales seront donc moins contraignantes.

Dans le même temps, l’UE s’est également dotée de la directive sur la Résilience des Entités Critiques (REC), entrée en vigueur en octobre 2024 comme NIS2. Cette directive impose aux infrastructures critiques de mettre en place des mesures de prévention, de protection et de gestion des risques afin de garantir la continuité des services vitaux pour la stabilité économique et sociale de l’Union.  

Les directives NIS 2 et REC devaient être transposées dans les législations nationales au plus tard le 17 octobre 2024. À ce jour, seuls quelques États membres ont achevé ce processus. En France, après un premier vote au Sénat le 12 mars 2025 les débats ont désormais rejoint l’Assemblée nationale. Prochaine étape : une lecture en séance publique est prévue pour la mi-septembre.  

En complément, pour répondre à la montée des cybermenaces liées aux produits numériques, l’Union européenne a adopté le Cyber Resilience Act, en vigueur depuis le 10 décembre 2024. Ce texte s’applique aux produits avec éléments numériques (produits de consommation, smart cities, logiciels non essentiels) et aux produits critiques avec éléments numériques (pare-feux, systèmes de contrôle industriels, logiciels essentiels). Il impose notamment qu’ils soient conçus sans vulnérabilités connues, accompagnés d’une documentation claire et soumis à une gestion rigoureuse des failles.

Au-delà des frontières de l’UE, le Royaume-Uni a également renforcé son cadre réglementaire, conscient que le rythme législatif n’avait pas suivi l’évolution rapide des technologies et faisant face à une recrudescence des cyberattaques visant des infrastructures critiques, telles que le NHS ou le ministère de la Défense. Le gouvernement britannique a ainsi présenté en avril 2025 le Cyber Security and Resilience Bill, un projet de loi inspiré de la directive NIS2 et visant à renforcer la résilience du pays face à l’intensification des menaces numériques.

Une dynamique similaire constatée en Asie

Les réglementations cybersécurité se sont également renforcées en Asie ces dernières années, en particulier en Chine et à Hong-Kong.

En Chine, le Network Data Security Management Regulations est entré en vigueur le 1^er janvier 2025. Il vient compléter, préciser et étendre les obligations issues des précédentes réglementations (CSL, DSL, PIPL). Il couvre toutes les données électroniques traitées via des réseaux, y compris les données non personnelles et s’articule autour de trois axes majeurs : 

• La protection des données à caractère personnel, avec un accent sur le consentement explicite, la portabilité et la transparence ; 
• La gestion des données importantes, imposant leur identification, documentation et sécurisation ;
• La responsabilisation des grandes plateformes numériques, soumises à des obligations renforcées en matière de gouvernance, de transparence et d’éthique algorithmique.

À Hong Kong, un nouveau dispositif visant à renforcer la sécurité des infrastructures critiques a été adopté le 19 mars 2025 et devrait entrer en vigueur le 1er janvier 2026. Les principales exigences du Computer Systems Bill s’articulent autour de quatre thématiques : une structure organisationnelle renforcée (présence locale, unité cybersécurité, déclaration des changements), la prévention des menaces (plan de sécurité, évaluation annuelle, audit), la gestion des incidents (notification rapide, plan de réponse, rapport écrit), ainsi que des obligations de reporting auprès des autorités.

Des approches divergentes entre l’Union Européenne et les Etats-Unis, qui viennent complexifier la gestion de la conformité

A. Affaiblissement du PCLOB : quel avenir pour les transferts de données entre UE et Etats-Unis ?

Les accords pour les transferts de données à caractère personnel entre l’UE et les États-Unis ont connu plusieurs ruptures, marquées par les arrêts Schrems I et Schrems II, qui ont successivement invalidé les accords transatlantiques en raison du non-respect des exigences de la CJUE. Puis, en 2023, la Commission européenne adopte le Data Privacy Framework (DPF), censé rétablir un cadre juridique conforme en s’appuyant notamment sur le PCLOB, organe indépendant chargé de contrôler les pratiques de renseignement américaines.

Cependant, le 27 janvier 2025, l’administration Trump révoque plusieurs membres du PCLOB, rendant l’organe inopérant. Cette décision fragilise la validité du DPF, poussant les entreprises à revenir aux Transfert Impact Assessments (TIA), complexes, coûteux et incertains sur le plan juridique.

Historique sur les relations UE-USA en matière de transferts de données à caractère personnel

Une invalidité du DPF soulèverait à nouveau des questions quant à l’encadrement juridique des transferts de données à caractère personnel entre UE et Etats-Unis. Dans ce contexte d’instabilité juridique, une solution durable pourrait émerger de la technologie plutôt que du droit. Cela pourrait par exemple être le chiffrement homomorphique qui, bien que peu mature, constitue une piste prometteuse pour garantir la sécurité des données, à condition de développer des solutions européennes souveraines.

B. Des approches divergentes pour l’encadrement de l’intelligence artificielle

L’intelligence artificielle a connu ces dernières années un essor fulgurant, avec lequel apparaissent aussi de nouveaux risques et menaces cybersécurité. Pour répondre à ces enjeux, l’Union européenne et les États-Unis adoptent des approches réglementaires opposées.

L’Union Européenne a choisi la mise en œuvre d’une réglementation pour encadrer le développement de l’intelligence artificielle. L’AI Act a ainsi été adopté en mai 2024, et vient imposer des mesures de sécurité à mettre en œuvre suivant les niveaux de risques des systèmes.

Les États-Unis, à l’inverse, misent sur une stratégie axée sur la compétitivité technologique et la souveraineté industrielle, avec une réglementation minimaliste. Cette orientation s’est concrétisée avec le décret Executive Order 14179 du 23 janvier 2025, intitulé « Removing Barriers to American Leadership in Artificial Intelligence ». Ce décret impose l’élaboration d’un plan d’action pour consolider la position dominante des États-Unis sur l’intelligence artificielle. Il abroge également les mesures jugées contraignantes pour l’innovation, et entend écarter tout parti pris idéologique ou agenda social dans le développement des systèmes d’intelligence artificielle.

Dans ce contexte de renforcement des réglementations, quelle approche adopter pour gérer l’empilement ?

La dynamique de renforcement des réglementations à l’international contribue à un empilement de multiples réglementations qui rendent complexe la gestion de la conformité, en particulier pour les entreprises ayant une forte empreinte internationale. Face à cette complexité, deux grandes approches peuvent être privilégiées, suivant le contexte, l’organisation et l’empreinte internationale des entreprises.

Approche centralisée

La première approche repose sur l’élaboration d’un référentiel global de mesures. Ce référentiel peut être basé sur des standards internationaux reconnus tels que l’ISO/IEC 27001 ou le NIST CSF 2.0, ou sur une réglementation jugée clé et particulièrement complète. L’ensemble des réglementations applicables est ensuite mappé sur ce référentiel, permettant d’assurer une couverture transverse des obligations par un standard unique.

La responsabilité de la mise en œuvre des mesures de mise en conformité est portée par les équipes centrales ou locales, suivant la nature des mesures, avec toujours un fort contrôle au niveau central.

Cette approche est particulièrement adaptée pour les entreprises disposant d’une organisation et d’un système d’information centralisés, et avec une empreinte internationale limitée.

Approche décentralisée

La deuxième approche privilégie une organisation décentralisée de la conformité, s’appuyant sur les équipes locales. Dans ce cadre, un référentiel réglementaire global est défini au niveau central, qui constitue un socle minimal de conformité pour l’ensemble des régions. Il couvre généralement 85 à 90 % des exigences de l’ensemble des réglementations qu’on pourra retrouver au niveau local.

En revanche, on ne cherche pas, dans cette approche, à compléter le référentiel global sur la base de l’analyse de l’ensemble des réglementations locales. La responsabilité de l’ajustement aux exigences locales ou régionales est portée par les RSSI locaux, qui assurent la conformité aux mesures locales, en particulier les 10 à 15 % de mesures non couvertes dans le référentiel global. Cette organisation permet une mise en œuvre différenciée selon les régions, tout en conservant un cadre normatif central.

Ce modèle est particulièrement adapté aux structures décentralisées, caractérisées par une forte autonomie locale et une empreinte internationale étendue. Il offre une plus grande agilité face aux évolutions réglementaires, en s’appuyant sur la connaissance fine des contextes nationaux, tout en allégeant la charge de pilotage central.

Cas concret de l’accompagnement d’un client fortement implanté à l’international

Un programme de cybersécurité récemment mis en œuvre au sein d’un groupe international illustre une approche décentralisée mais avec un fort contrôle du groupe.

Le cadre de conformité, défini par le siège, repose sur des objectifs de sécurité fondé sur des scénarios de menaces, et s’appuie sur un socle commun intégrant les principales réglementations applicables. Ce socle est articulé à partir d’une matrice multi-référentiels (DORA, NIS2, ISO 27001). Les entités locales assurent le déploiement opérationnel des mesures définies au niveau groupe, ainsi que leur contrôle interne, sous la coordination d’un responsable RSSI local chargé de consolider les informations et d’en assurer la remontée d’information. Le dispositif prévoit également une capacité d’ajustement local, permettant de formuler des remarques sur la stratégie centrale, notamment pour éviter les potentielles contradictions avec les réglementations locales.

Le RSSI groupe joue un rôle de supervision transverse. Il vérifie que les exigences définies au niveau central sont bien prises en compte par les RSSI locaux, même si ces derniers ont la responsabilité de leur mise en œuvre. Il s’assure également que les dispositifs déployés sont alignés à la fois avec les exigences du groupe et avec les réglementations locales. Son rôle n’est pas de remettre en cause les choix locaux, mais d’en vérifier la cohérence avec le cadre global.

En matière de gouvernance des contrôles, chaque exigence réglementaire, qu’elle soit d’origine locale ou groupe, est associée à un contrôle spécifique. Une gouvernance claire entre les niveaux groupe et local est donc indispensable pour gérer un catalogue de contrôles cohérent, éviter les redondances et garantir une bonne articulation dans le dispositif de conformité.

Ce modèle permet de garantir un socle de sécurité homogène, tout en préservant la flexibilité nécessaire à l’adaptation aux réglementations locales. Cependant, il présente également certaines limites. En particulier sa structuration centralisée, bien que garante d’une cohérence globale, induit une certaine lourdeur dans la gestion quotidienne, notamment lorsqu’il s’agit de faire évoluer le dispositif ou d’intégrer rapidement de nouvelles exigences réglementaires.

Possibilité d’un découplage des SI

Au-delà de ces approches, certaines entreprises font le choix d’aller vers un découplage de leurs systèmes d’information. Ce choix est réalisé dans un contexte où les tensions géopolitiques influencent de plus en plus les stratégies cybersécurité. Dans ce contexte, la place croissante de la souveraineté et du protectionnisme dans les réglementations cybersécurité engendre des contradictions entre réglementations et rend difficile, voire impossible, la mise en conformité d’un SI unique à des réglementations de différentes plaques géographiques.

Le découplage vient répondre à ces problématiques en prévoyant des infrastructures, des applications ou encore des équipes dédiées sur les différentes plaques géographiques, généralement US, UE et Asie, avec un filtrage strict entre les zones.

Vers une phase de consolidation et de rationalisation ?

Dans ce contexte, on semble se diriger vers phase de consolidation des réglementations, avec la mise en œuvre des textes récemment adoptés et un ralentissement de la publication de nouvelles réglementations. Des évolutions pourraient tout de même arriver afin de prendre en compte l’émergence de nouvelles technologies, en particulier l’informatique quantique.

Par ailleurs, face à une complexité réglementaire croissante dans l’UE, la Commission européenne semble amorcer une nouvelle phase de rationalisation, visant à alléger certaines obligations jugées inadaptées. Cette volonté de rationalisation se traduit notamment par un projet d’allègement ciblé du RGPD pour les PME-TPE.  

Une autre piste de simplification passe par la mise en place de mécanismes de reconnaissance mutuelle entre réglementations dans différents pays. La conformité réglementaire des entreprises pourrait alors être simplifiée à condition que les Etats intègrent explicitement cette logique dans leur réglementation nationale. La France, par exemple, envisage d’intégrer ce mécanisme dans le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité. Cependant, une reconnaissance mutuelle pourrait engendrer un risque de dumping réglementaire : certaines entreprises pourraient choisir les référentiels les moins exigeants afin de réduire le coût et la complexité de la mise en conformité, au détriment de la sécurité.

Ce principe n’est pourtant pas complètement nouveau : le RGPD reconnaît déjà des pays tiers comme disposant d’un niveau de protection « adéquat » (ex. : Japon, Canada, Argentine), facilitant ainsi les transferts de données avec ces pays.

[1] Global Cybersecurity Outlook 2025 | World Economic Forum

Cet article Réglementations cybersécurité : Comment gérer la complexité d’un empilement réglementaire croissant ? est apparu en premier sur RiskInsight.

Dans un contexte où la transformation numérique du secteur de la santé s’accélère, la protection des données de santé est un enjeu toujours plus critique. En 2021, notre article « Certification Hébergeur de Données de Santé : deux ans déjà ! », par Laurent Guille et Alexandra Cuillerdier, dressait un premier bilan prometteur du référentiel HDS. Face à la croissance des enjeux liés à la souveraineté des données et à la cybersécurité, une refonte s’imposait. Cette évolution vers HDS v2, entrée en vigueur en 2024, marque un tournant dans l’approche de l’hébergement des données de santé en France, en renforçant la protection et la souveraineté des données de santé dans un contexte numérique en constante évolution. 

HDS v1 : un premier cadre structurant mais perfectible 

Depuis son introduction en 2018, le référentiel HDS a contribué à structurer et professionnaliser le secteur de l’hébergement des données de santé. Cependant, cette première version du référentiel présentait certaines limitations. En particulier, le cadre initial présentait des zones d’ombre concernant la souveraineté des données, notamment sur la localisation et le contrôle des données de santé. En outre, l’évolution rapide des menaces cyber et des technologies imposait une mise à jour substantielle des exigences de sécurité pour maintenir un niveau de protection adapté aux risques actuels. 

Refonte du cadre technique et sécuritaire 

Sur le plan technique, les nouvelles exigences de la norme ISO 27001:2023 sont adoptées au sein de la nouvelle version de HDS. Cette mise à jour intègre une gestion des risques de sécurité adaptée aux nouveaux contextes numériques, ainsi que de nouveaux contrôles liés à la cybersécurité. 

Les autres références normatives sont quant à elles rationnalisées. Les références aux normes ISO 20000-1, ISO27017 et ISO27018 disparaissent dans le cadre d’HDS v2 tandis que 31 exigences spécifiques sont directement intégrées dans le référentiel, qui s’appuie également sur la norme ISO/IEC-17021-1:2015 pour encadrer l’évaluation de la conformité. Cette nouvelle version vient également préciser l’articulation avec les exigences du référentiel SecNumCloud afin de faciliter l’obtention de la certification HDS pour les hébergeurs déjà qualifiés SecNumCloud. 

Un renforcement majeur de la souveraineté numérique 

L’une des évolutions les plus marquantes d’HDS v2 concerne le renforcement de la souveraineté numérique. Le nouveau référentiel impose désormais que l’hébergement physique des données de santé soit réalisé exclusivement sur le territoire de l’Espace Économique Européen (EEE). Cette exigence vient renforcer les garanties en termes de protection des données et contribue à l’émergence d’un écosystème d’acteurs européens dans le domaine de la santé numérique. 

Elle est complétée par le renforcement de la transparence, qui devient également un enjeu central du dispositif, avec deux obligations majeures : 

• Les hébergeurs doivent désormais publier sur leur site internet une cartographie des éventuels transferts de données vers des pays hors EEE, permettant ainsi aux personnes concernées et aux acteurs de santé d’avoir une visibilité claire sur le parcours de leurs données ;
• En cas d’accès distant aux données depuis un pays tiers ou de soumission à une législation extra-européenne n’assurant pas un niveau de protection adéquat au sens de l’article 45 du RGPD, l’hébergeur doit en informer ses clients dans le contrat. Il doit notamment préciser les risques associés et détailler les mesures technique et juridiques mises en œuvre pour les limiter.

Renforcement des exigences contractuelles 

L’encadrement de la sous-traitance fait l’objet d’une attention particulière dans HDS v2. Les mesures associées sont renforcées et les hébergeurs doivent désormais notamment : 

• Détailler précisément les activités d’hébergement certifiées dans leurs contrats ;
• Maintenir une transparence totale sur leur chaîne de sous-traitance ;
• S’assurer que leurs sous-traitants respectent les mêmes exigences de sécurité et de localisation des données ;
• Mettre en place des mécanismes de contrôle et d’audit de leurs sous-traitants.

Ces nouvelles obligations contractuelles visent à garantir une meilleure maîtrise de la chaîne de valeur et une plus grande transparence pour les responsables de traitement. 

Conséquences pratiques pour l’écosystème 

Pour les hébergeurs de données de santé, ces évolutions du référentiel impliquent une adaptation de leurs infrastructures pour garantir la localisation des données dans l’EEE. Elles nécessitent également une mise à niveau de leurs mesures de sécurité pour répondre aux exigences de la version 2023 de la norme ISO 27001 et la revue des contrats, tant avec leurs clients qu’avec leurs sous-traitants. 

Perspectives et mise en œuvre 

Cette nouvelle version modernisée du référentiel HDS permet de répondre aux enjeux croissants de sécurité, de souveraineté et de transparence. Sa mise en œuvre s’échelonne sur environ deux ans, avec une application immédiate pour les nouvelles certifications à partir du 16 novembre 2024, et une période de transition jusqu’au 16 mai 2026 pour les hébergeurs déjà certifiés HDS v1. 

À plus long terme, plusieurs questions se posent sur l’évolution du dispositif. À l’heure où la directive NIS 2 intègre déjà les prestataires de soins de santé et l’industrie pharmaceutique parmi ses secteurs d’activité essentiels, tout en classant la fabrication de dispositifs médicaux et de diagnostic in vitro dans ses secteurs importants, l’émergence d’HDS 2 soulève une question : la coopération européenne pourrait-elle aboutir à un cadre encore plus intégré pour la protection des données de santé et harmoniser les pratiques à l’échelle du continent ? 

Cet article Evolution du référentiel HDS – Vers une sécurité et une souveraineté renforcées  est apparu en premier sur RiskInsight.

Ces incidents, communément appelés « attaques de la chaîne d’approvisionnement« , impliquent de cibler les tiers en aval d’une organisation (par exemple, les partenaires, les fournisseurs) pour accéder à des systèmes précieux. Dans le cas de la Bank of America, le tiers compromis responsable de cette violation était Infosys McCamish Systems (IMS), un fournisseur de services de gestion des processus d’assurance.

Cette violation de données fait écho à la tristement célèbre cyberattaque SolarWinds, où les pirates informatiques de Nobelium ont inséré un code malveillant dans la plateforme SolarWinds Orion. Cela leur avait ainsi permis de s’infiltrer dans de nombreux systèmes gouvernementaux, y compris ceux du Département de la sécurité intérieure des États-Unis, du Département d’État, du Commerce et du Trésor, ainsi que des systèmes privés dans le monde entier.

Les architectures informatiques des entreprises n’étant que le reflet de leur réseau complexe de relations commerciales, ces événements nous rappellent brutalement que les organisations ne sont pas des entités isolées, mais plutôt des nœuds de partenaires et de tiers interconnectés et interdépendants. L’atteinte d’une posture de cybersécurité robuste nécessite plus que des efforts individuels ; elle nécessite de cultiver un écosystème sécurisé de partenaires de confiance soigneusement vérifiés pour protéger efficacement toute la chaîne d’approvisionnement nécessaire à la livraison des produits #TPRM.

Cependant, la construction d’un tel écosystème pose des défis. De nombreuses entreprises manquent de ressources pour choisir exclusivement des tiers de premier plan, à la pointe et de confiance ou peuvent manquer de levier pour exiger la transparence de la part des partenaires existants.

Tirant des leçons de la cyberattaque SolarWinds, et dans un contexte de tensions géopolitiques accrues (voir les cyberattaques chinoises sur l’infrastructure américaine à une échelle sans précédent), le Département Américain de la Défense (DoD) a reconnu ce défi et a répondu en développant une solution pour sécuriser l’écosystème de la chaîne d’approvisionnement de la Base Industrielle de Défense (DIB), appelée CMMC.

Le modèle de certification de maturité en cybersécurité (#CMMC) est un cadre exhaustif conçu pour protéger les informations contractuelles fédérales (FCI) et les informations non classifiées contrôlées (CUI), partagées avec les entrepreneurs et sous-traitants du Département de la Défense (DoD) via des programmes d’acquisition.

La publication de la proposition de règlement CMMC 2.0, le 26 décembre 2023, représente la dernière évolution du modèle de cybersécurité CMMC, destiné à remplacer le précédent CMMC 1.0 par une approche plus pragmatique. Suite à sa publication, la réglementation proposée a fait l’objet d’une période de consultation de 60 jours, qui s’est achevée le 26 février 2024. La nouvelle réglementation devrait être finalisée d’ici fin 2024 ou début 2025.

Le CMMC 2.0 vise à protéger les informations sensibles de sécurité nationale en protégeant les informations non classifiées sensibles de la base industrielle de défense (DIB) contre des cyberattaques fréquentes et de plus en plus complexes. Il rationalise les exigences en trois niveaux de conformité et aligne les exigences à chaque niveau sur les normes de cybersécurité du NIST bien connues et largement acceptées. Les exigences de sécurité spécifiques et les types d’évaluation (auto-évaluation, évaluation par un tiers ou évaluation par le DoD) varient en fonction du niveau.

• Fondamental (Niveau 1) : cible les organisations manipulant des FCI (par exemple, des rapports de performance de contrat, des organigrammes). La conformité exige le respect strict des 15 exigences de sécurité énoncées dans la clause FAR 52.204-21, via une auto-évaluation annuelle.
• Avancé (Niveau 2) : cible les organisations manipulant des CUI, y compris des informations techniques contrôlées, des informations de sécurité d’infrastructure critique du DoD, des informations sur la propulsion nucléaire navale, et des informations personnellement identifiables (PII). La conformité exige le respect de 110 exigences de sécurité basées sur le NIST SP 800-171 Rev. 2. Les évaluations sont effectuées par des organisations tierces connues sous le nom d’Organisations d’Évaluation Tierce Partie CMMC (C3PAO) tri-annuellement ou via une auto-évaluation annuelle, en fonction de la sensibilité des CUI sous-jacentes.
• Expert (Niveau 3) : cible les organisations manipulant des CUI pour les programmes du DoD avec la plus haute priorité. La conformité implique le respect des 110 exigences de sécurité basées sur le NIST SP 800-171 Rev 2 et 24 exigences de sécurité supplémentaires basées sur le NIST SP 800-172. Ces organisations subissent des évaluations tri-annuelles menées par le Centre d’Évaluation de la Cybersécurité de la Base Industrielle de la Défense du DoD (DIBCAC).

Les organisations doivent obtenir une certification finale de niveau 2 du CMMC avant de planifier une évaluation de niveau 3 par le DIBCAC.

Les résultats de toutes les évaluations menées sur les organisations de la DIB sont consolidés au sein du Système de Risque de Performance des Fournisseurs (SPRS). Le SPRS (prononcé « Spurs ») est la plateforme web du Département de la Défense qui collecte, traite et récupère les données sur la performance des fournisseurs au sein de la Base Industrielle de Défense, permettant au DoD de cartographier la maturité cyber du réseau d’affaires de la DIB, d’évaluer la performance des fournisseurs et d’évaluer les risques liés aux obligations contractuelles.

En déployant ce modèle de certification obligatoire, le DoD est à l’avant-garde de l’établissement d’un cadre de chaîne d’approvisionnement complet et sécurisé de bout en bout au sein de la DIB, espérant ainsi renforcer la sécurité nationale à long terme des États-Unis. Simultanément, le DoD souligne que la sécurité n’est plus optionnelle ; c’est un aspect intégral des opérations commerciales. Les évaluations CMMC 2.0 devraient être disponibles pour Q4 2024 (une fois que le 32 CFR sera finalisé). Les « prime contractors » attendront des sous-traitants qu’ils soient conformes au CMMC avant Q3 2025, date à laquelle le CMMC 2.0 entrera en vigueur. À partir du 1er octobre 2025, la certification CMMC sera obligatoire au moment de l’attribution du contrat.

Si vous avez besoin d’aide pour naviguer dans le paysage complexe de la conformité au CMMC 2.0 ou si vous avez besoin de soutien dans votre parcours vers la certification, Wavestone est prêt à vous accompagner dans votre parcours. Contactez-nous dès aujourd’hui et transformez votre préparation à la cybersécurité en un avantage stratégique.

Cet article Le DoD Contre-attaque : Comment Renforcer la Cybersécurité de la Chaîne d’Approvisionnement avec le CMMC 2.0 est apparu en premier sur RiskInsight.

Deux ans après, quel bilan ?

L’un des principaux changements induit par la certification est la délivrance des certificats HDS par un organisme indépendant accrédité par le Comité Français d’Accréditation (COFRAC), et non plus par l’Agence des Systèmes d’Information Partagés de Santé (ASIP Santé), devenue l’Agence du Numérique en Santé (ANS) fin 2019. Sept organismes ont franchi le pas et sont désormais accrédités. Ces organismes avaient tout intérêt à se mobiliser rapidement pour anticiper les nouvelles demandes de certification ISO 27001 et HDS et ainsi augmenter leur part de marché.

Et la demande est importante ! Au 21/02/2020, 89 organisations ont déjà obtenu la certification HDS, soit près de 4 certifiés par mois. Parmi elles, certaines disposaient déjà d’un agrément Hébergeur de Données de Santé.

Figure 1. Répartition des organisations certifiées Hébergeur de Données de Santé (HDS)

Sans surprise, la majorité des acteurs ayant obtenu la certification HDS sont des entreprises proposant des services d’hébergement et d’infogérance, incluant des fournisseurs cloud internationaux, et des éditeurs de logiciels. Ils représentent à eux seuls 83% des certifiés. Poussés principalement par des motivations économiques, ces acteurs mettent tous les arguments de leur côté pour conserver leurs clients et élargir leur portefeuille aux organisations ne souhaitant pas se lancer dans l’aventure de la certification HDS.

D’autres sociétés telles que des fournisseurs d’équipements biomédicaux ou de biotechnologies, des groupements de santé (Groupement d’Intérêt Public, Groupement de Coopération Sanitaire) ainsi qu’une mutuelle ont également franchi le cap, mais restent précurseurs dans leur domaine d’activité.

Et les établissements de santé ?

À date, seuls 3 groupements d’établissements de santé privés sont certifiés HDS, mais ce chiffre pourrait augmenter très prochainement. En effet, les Groupements Hospitaliers de Territoire (GHT) sont en cours de mise en œuvre de leur Système d’Information convergent, projet qui devrait s’étendre sur une durée plus longue qu’initialement anticipée dans de nombreux GHT. Ainsi qu’évoqué dans notre précédent article, ces travaux peuvent ainsi amener l’établissement support d’un GHT à héberger des données de santé pour le compte des autres établissements. Deux choix s’offrent alors à lui :

• Obtenir la certification HDS. C’est l’option vers laquelle devraient se tourner la plupart des établissements de taille importante. En effet, la taille de leur DSI leur permet généralement de réaliser le projet et d’offrir le service à long terme au GHT. Afin de se laisser le temps d’obtenir la certification HDS, certains d’entre eux optent pour un hébergement temporaire des applications mutualisées chez un acteur déjà certifié ou encore agréé HDS ;
• Externaliser l’hébergement des données de santé chez un acteur certifié. Cette option sera notamment plébiscitée par les établissements de taille limitée, pour qui l’investissement associé à une certification parait disproportionné. Ces établissements pourront par exemple privilégier un hébergement auprès d’acteurs certifiés HDS de taille comparable, qui seront plus à même de s’adapter à leurs besoins, et qui auront l’habitude de travailler avec des établissements de la santé.

Quels sont les principaux chantiers d’une mise en conformité HDS ?

La certification HDS reposant en premier lieu sur une certification ISO 27001, les recommandations de mise en œuvre de nos précédents articles restent applicables. Au-delà de la mise en place du Système de Management de la Sécurité de l’Information (SMSI) et d’un fort accompagnement au changement, les chantiers complémentaires reposent sur des exigences de l’ISO 20000-1 et de l’ISO 27018, ainsi que sur quelques exigences spécifiques santé. Ces chantiers de mise en conformité HDS d’un SMSI peuvent être
répartis en trois domaines :

Figure 2. Chantiers de mise en conformité HDS d’un Système de Management de la Sécurité de l’Information (SMSI)

Pour les organisations déjà certifiées ISO 27001 ou se conformant déjà aux normes ISO précitées, l’effort à fournir pour obtenir la certification HDS est moindre, et peut s’apparenter à un « quick win ».

Pour celles possédant un agrément HDS, la marche à franchir peut rester assez haute. En plus de la formalisation d’un référentiel documentaire plus conséquent que pour l’agrément, le contrôle de la conformité de l’ensemble du périmètre (ou « domaine d’application » au sens de l’ISO 27001) et de la démarche d’amélioration continue par un organisme indépendant spécialisé représente une difficulté additionnelle, gage de la valeur de cette certification.

Enfin, pour les organisations ne disposant d’aucun des accélérateurs précédents, l’effort à fournir dépendra du niveau de maturité vis-à-vis du référentiel de certification.

Quels financements pour les établissements de santé ?

Aujourd’hui, aucun financement direct des projets de certification ou d’externalisation n’est proposé. Cependant, grâce au programme HOP’EN, successeur du programme Hôpital Numérique, 420 millions d’euros sont prévus pour permettre aux GHT de financer la modernisation de leur SI. Ils pourront ainsi se tourner vers ces financements pour la construction de leur SI convergent. Tout comme son prédécesseur, le programme HOP’EN définit des indicateurs permettant aux établissements de mesurer leur maturité vis-à-vis des prérequis et des sept domaines fonctionnels. Une boite à outils a été publiée par l’Agence Nationale d’Appui à la Performance des établissements sanitaires et médico-sociaux (ANAP) pour faciliter l’atteinte des prérequis.

Comment sécuriser l’obtention de la certification ?

En fonction de la maturité de l’organisation, un projet de certification peut représenter une charge et des investissements lourds dans la durée, aussi bien lors du projet qu’à son issue pour assurer le maintien des certifications les années suivantes. Afin de sécuriser l’atteinte de l’objectif, certaines organisations optent pour une stratégie de certification en deux temps : pour commencer, elles se concentrent sur la certification ISO 27001, puis s’attèlent dans un second temps à la certification HDS. Ce choix comporte de nombreux avantages :

• Sécuriser l’obtention de chaque certification en limitant le nombre de nouvelles exigences à respecter et ainsi limiter le risque de non-conformité ;
• Faciliter la conduite du changement et l’appropriation des exigences à atteindre par les équipes : se concentrer sur un référentiel à la fois permet de simplifier la mise en place des nouveaux processus et nouvelles règles de sécurité en réduisant l’ampleur du changement à chaque étape ;
• Se laisser du temps pour mener à bien les chantiers de mise en conformité. Cette option permet de répartir les charges et investissements à réaliser sur une plus longue période. Cela est valable en particulier pour les chantiers techniques de mise en conformité cités précédemment, qui peuvent être particulièrement onéreux et chronophages.

Une seconde bonne pratique pour sécuriser cette certification est de réaliser un audit à blanc, c’est-à-dire un audit préparatoire mais réalisé dans les conditions réelles d’un audit de certification HDS. L’organisation y trouvera deux principaux apports :

• Obtenir l’avis d’un auditeur, indépendant vis-à-vis de l’équipe projet et de l’auditeur de certification, quant à ses chances d’obtenir la certification. L’auditeur aidera également à peaufiner et corriger les derniers détails avant le démarrage de l’audit de certification ;
• Préparer et entrainer les équipes à l’exercice de l’audit, et en particulier les aider à préparer les réponses et preuves à présenter à l’auditeur.

Des évolutions à venir ?

Après moins de 2 ans d’existence, le référentiel s’apprête à subir de grosses modifications. En effet, l’Asip Santé a annoncé en avril dernier la volonté de retirer l’activité 5 du référentiel de certification. Cette activité, concernant l’administration et l’exploitation du système d’information contenant les données de santé, a suscité débat. En effet, les activités d’infogérance pouvant être dissociées des activités d’hébergement, il peut s’avérer difficile voire impossible pour un acteur ne réalisant que les activités d’infogérance d’être consulté sur les choix réalisés en termes de sécurité de l’hébergement, et ainsi de respecter l’intégralité des exigences du référentiel. Les exigences liées à l’activité 5 devraient donc être proposées sous un nouveau format à l’avenir, afin de s’adapter davantage aux activités d’infogérance.

De nombreux établissements de santé, à l’instar des infogérants et les éditeurs de logiciels de santé, espèrent eux aussi un assouplissement du référentiel de certification HDS. Les exigences imposant l’atteinte d’un niveau de sécurité élevé pour la protection des données à caractère personnel, la marche à franchir peut s’avérer très haute pour les établissements. Ainsi, certains d’entre eux ont fait le choix de ne viser que la certification ISO 27001 pour le moment. L’évolution des exigences pour les établissements de santé reste également à surveiller, après l’annonce par la Direction Générale de l’Offre de Soins (DGOS) d’une certification des systèmes d’information hospitaliers en 2020, vouée à centraliser toutes les exigences liées à l’informatisation des établissements de santé.

Une autre évolution majeure possible concerne les GHT et leur obligation réglementaire d’héberger leur SI convergent auprès d’un hébergeur certifié HDS. Cette obligation ne perdure en effet que tant qu’un GHT reste constitué de personnes morales indépendantes. Cette obligation pourrait ainsi devenir caduque en cas constitution d’« établissements publics de santé territoriaux » en lieu et place des GHT, ainsi que proposé dans le récent rapport de l’Inspection Générale des Affaires Sociales (IGAS). Ce changement reste néanmoins peu probable à court et moyen terme.

Ces possibles évolutions ne semblent aujourd’hui pas affecter les demandes de certification ISO 27001, dont le volume continue de croître en France ainsi qu’anticipé dans notre précédent article, avec une croissance de 27% des certificats ISO 27001 entre 2017 et 2018 selon les derniers chiffres publiés par l’ISO. Cette croissance devrait logiquement se poursuivre sur les années à venir.

Cet article Certification Hébergeur de Données de Santé : deux ans déjà ! est apparu en premier sur RiskInsight.

Cet engouement invite les acteurs historiques et de nouvelles fintechs à se positionner sur le marché des services bancaires en ligne. De nombreuses solutions se déploient aujourd’hui à grande échelle, nécessitant une réglementation adaptée.

La DSP2 et les acteurs financiers

La DSP2, Directive sur les services de paiements 2, s’inscrit dans l’évolution des transactions électroniques. Elle est une nouvelle étape dans la normalisation des échanges financiers après la DSP1 et en parallèle des travaux OpenBanking au Royaume-Uni.

Avec l’évolution du nombre d’acteurs sur le marché, les solutions mises en œuvre pour l’authentification des utilisateurs et la sécurisation des opérations financières se multiplient. Ces solutions peuvent s’appuyer sur des moyens d’échange reconnus comme sécurisés (EBICS, SWIFT…) mais elles ne sont pas les plus aptes à répondre à un besoin de plus en plus important d’accès aux données en temps réel.

Le but de cette directive est d’apporter un cadre réglementaire aux banques et aux acteurs non-bancaires tout en favorisant la concurrence.

Pour cela, la directive circonscrit les prestations réalisées par les acteurs des services de paiements en trois services :

• Le Service d’Information sur les Comptes (« Account Information Service » ou AIS) consiste en l’affichage et l’agrégation des données de solde et des transactions des comptes de paiement.
• L’Initiation de Paiement (« Payment Initiation Service » ou PIS) consiste en la transmission d’un ordre de paiement pour le compte d’un payeur, à son établissement teneur de compte.
• L’Emission d’Instruments de Paiement (« Payment Issuer Instrument Service » ou PIIS) met à la disposition des utilisateurs des moyens de paiement.

Elle impose aux fournisseurs (« Provider ») de ces services un ensemble de règles et d’obligations à remplir. À la condition que ces règles soient appliquées, les AISP, PISP et PIISP auront la possibilité d’accéder gratuitement aux données sur les comptes de paiement de l’utilisateur dans leur établissement teneur de comptes (« Account Servicing Payment Service Provider » ou ASPSP).

Figure 1: Les services du périmètre de la DSP2

L’apport sécuritaire de la DSP2

Pour offrir la possibilité d’accéder aux données des établissements teneur de compte (les banques), la directive impose à ces dernières d’exposer de nouvelles interfaces répondant à un ensemble de mesures de sécurité et permettant la réalisation de ces services.

Figure 2: Exigences sécuritaires de la DSP2

Sous l’impulsion de plusieurs groupes de travail (en particulier le STET et le Berlin Group), la solution retenue est la construction d’API exposant les services des ASPSP, à l’aide des standards Open API adoptés par les géants du Web. En particulier, d’un point de vue sécurité, les standards retenus sont OAuth2 et OpenID Connect.

Identification et authentification des acteurs

En réponse au fonctionnement actuel des agrégateurs, une des mesures d’importance de la directive est l’obligation pour les acteurs bancaires de s’identifier et de s’authentifier entre eux pour réaliser toute opération liée aux comptes de paiement.

En effet, en l’absence d’interface adéquate, les agrégateurs fonctionnent actuellement par « web scraping » qui consiste à simuler la navigation d’un utilisateur sur sa banque en ligne, en rejouant ses secrets de connexion. Cette méthode comporte trois défauts principaux :

• L’agrégateur client n’est pas formellement identifié, empêchant l’établissement teneur de comptes de déterminer s’il s’agit d’un acteur légitime ou non ;
• Les secrets de connexion de l’utilisateur sont transmis et connus par un acteur tiers et ne sont pas gardés confidentiels par l’utilisateur ;
• La traçabilité des opérations n’est pas assurée car il est impossible d’établir la preuve d’origine d’une requête. Plus particulièrement, la granularité d’accès aux services utilisés et informations consultées par un acteur tiers n’est pas possible.

La directive (articles 66 et 67) oblige donc tous les acteurs, notamment AISP et PISP à s’identifier et s’authentifier pour consommer les services. Un consensus s’est établi autour de la réalisation d’une authentification mutuelle par certificat lors de l’établissement de toutes les communications entre un fournisseur de service (TPP) et un établissement teneur de compte (ASPSP).

Renforcement de l’authentification de l’utilisateur

Elément récurrent dans la directive et au cœur de l’un des Regulatory Technical Standards (RTS) définis par l’ABE (Autorité Bancaire Européenne), l’authentification renforcée des utilisateurs est une des mesures structurantes de cette directive.

Aujourd’hui, les solutions s’appuient principalement sur l’utilisation d’un mot de passe (rejouable et sujet au phishing) et sur l’OTP SMS (présentant des risques d’interception) pour l’authentification renforcée. Ces deux méthodes sont très répandues mais présentent des failles de sécurité et sont parfois coûteuses. Les nouveaux services de paiement mobile permettent aussi une identification par l’adresse e-mail ou par le numéro de mobile, non connu de la banque.

Les RTS visent à sécuriser cette authentification de l’utilisateur par la définition d’une authentification renforcée (« Strong Customer Authentication » ou SCA) comme une authentification à deux facteurs indépendants, c’est-à-dire que la compromission de l’un n’entraîne pas la compromission du second. La directive impose que l’établissement teneur de compte fournisse les moyens de réaliser cette authentification renforcée, et que chacun des deux facteurs soit sécurisé sur toute la chaîne de transmission.

Les solutions envisagées pour répondre à ce besoin sont de plusieurs natures :

• Le mot de passe reste un facteur principal aujourd’hui, à condition d’être accompagné d’un second facteur pour l’authentification renforcée.
• Les solutions matérielles, plus sures, présentent l’inconvénient d’un coût supplémentaire : token d’authentification physique, clé ou dispositif FIDO U2F…
• Les solutions logicielles sur smartphone sont en développement constant : notification in-app, token d’authentification logicielle, biométrie à l’aide des capteurs de l’appareil, MobileConnect…

Le lien dynamique, « dynamic linking »

Dans le cas particulier des transactions de paiement, la directive impose qu’un code unique soit généré pour permettre aux acteurs de la transaction d’être, à tout moment du processus d’authentification et d’autorisation, en mesure de retrouver les caractéristiques de la transaction. En particulier, l’utilisateur doit être conscient, durant la totalité du processus, du montant et du bénéficiaire de la transaction qu’il autorise.

Cette mesure est similaire à ce qui est déjà réalisé dans certains cas de paiement en ligne. L’utilisateur est en effet notifié par SMS avec le code OTP correspondant à une transaction unique, de son montant et de l’origine de la demande. Elle généralise donc cet usage et l’impose en condition pour toute transaction de paiement.

Les exemptions à l’authentification forte

Dans la définition du besoin d’authentification forte et les exigences sur la « Strong Customer Authentication », la DSP2 essaie également de maintenir un équilibre avec l’ergonomie de la navigation pour les utilisateurs des services. Pour cela, elle prévoit des cas où les fournisseurs de services de paiement peuvent choisir d’exempter leurs utilisateurs de la réalisation d’une authentification forte.

Les conditions en place pour réaliser ces exemptions sont précisément décrites dans les RTS, notamment suivant les modes de paiement de l’utilisateur. Il est ensuite de la responsabilité des fournisseurs de service de paiement de déterminer, à l’aide d’un score de risque, si une exemption doit être appliquée ou non.

Conclusion

Dans un contexte de digitalisation des services financiers induit par la montée en puissance des fintechs, la Commission Européenne et l’ABE favorisent l’ouverture à la concurrence et donc l’intégration des nouveaux acteurs au sein de l’écosystème des services de paiement. La DSP2 pose un cadre clair pour la sécurisation des services et interconnexions entre acteurs historiques et fintechs. Dans l’état cependant, elle comporte des limitations qui réduisent la portée des mécanismes de sécurité mis en avant. Un prochain article détaillera la nature de ces limitations.

Cet article Sécurité des opérations financières en ligne en 2020 : Quels sont les apports de la DSP2 ? (1/2) est apparu en premier sur RiskInsight.

Tout d’abord, fin septembre 2018 a été publié l’arrêté fixant les règles de sécurité et délais à respecter par les opérateurs de service essentiels (OSE) sur leurs SI essentiels (SIE).

Ensuite, le 9 novembre 2018 les dernières notifications ont été envoyées par l’ANSSI à une première vague d’Opérateurs de Services Essentiels, portant ainsi le nombre d’OSE à 122, chiffre qui sera amené à augmenter dans les mois et années à venir.

C’est donc l’occasion de décrypter la NIS dans sa déclinaison française, d’identifier les principales exigences émises par l’ANSSI et sous quels délais celles-ci devront être respectées par les OSE.

Des règles majoritairement inspirées de la LPM

La directive NIS demande à chaque Etat de définir et d’imposer le respect des bonnes pratiques de sécurité aux OSE et FSN. En France, c’est l’ANSSI qui a été responsable de cette définition, à l’instar de la LPM. Il est donc légitime de se demander dans quelle mesure les règles NIS sont alignées sur les règles LPM.

Des différences de forme sont tout d’abord à noter : les règles NIS sont au nombre de 23 réparties au sein de 4 chapitres (Gouvernance, Protection, Défense, Résilience), contre 20 pour la LPM sans chapitre particulier. Ensuite, ces règles ont été publiées au sein d’un unique arrêté trans-sectoriel, alors que la LPM avait mené à la publication d’un arrêté par secteur d’activité. Autre différence, les délais de mise en application des règles NIS sont communs à tous les secteurs et sont publics, là où les délais pour la LPM varient selon les secteurs et sont en diffusion restreinte.

Néanmoins, les règles NIS restent fortement inspirées (voire pour certaines intégralement reprises) des règles LPM : cartographie, configuration des composants, filtrage, comptes d’administration, SI d’administration, identification, droits d’accès, maintien en conditions de sécurité, journalisation, corrélation et analyse de journaux, réponse aux incidents de sécurité, traitement des alertes et également gestion de crise.

De nouvelles règles font leur apparition ; les règles relatives aux analyses de risques et aux audits de sécurité étaient en fait incorporées dans la règle LPM relative à l’homologation. La règle relative à la sécurité physique et environnementale est quant à elle une réelle nouveauté. De même, certaines règles existantes font l’objet de précisions sans pour autant apporter de modifications structurantes, notamment pour encadrer la façon de traiter certains cas particuliers (SIE exposé sur Internet, etc.).

Finalement, les principales différences portent sur l’assouplissement de certaines règles :

• Indicateurs : les trois thématiques retenues par les règles LPM sont maintenues par les règles NIS (maintien en conditions de sécurité, droits d’accès / authentification et administration des ressources), mais le nombre d’indicateurs total passe de 10 à 6.
• Détection : l’obligation d’utiliser des sondes qualifiées et opérées par un prestataire qualifié PDIS est remplacée par l’utilisation de sondes opérées conformément au référentiel PDIS, sans obligation de qualification
• De manière générale, les règles NIS n’imposent pas le recours à des prestataires dûment qualifiés PASSI (Prestataire d’Audit de la Sécurité des Systèmes d’Information), PDIS (Prestataire de Détection d’Incidents de Sécurité) ou PRIS (Prestataire de Réponse aux Incidents de Sécurité) mais recommandent de s’inspirer des bonnes pratiques que ces référentiels définissent.

Figure 1 : 80% de similarités entre les règles LPM et les règles NIS en France

Les règles NIS, malgré des différences de forme, sont donc globalement similaires à celles de la LPM, ce qui n’est pas surprenant puisqu’elles répondent au même objectif, celui de renforcer le niveau de sécurité des acteurs nationaux clés.

Un planning de mise en conformité ambitieux

Des actions concrètes à réaliser très rapidement

Les délais de mise en application sont publics. Concrètement, les premières actions attendues de chaque OSE après sa désignation sont les suivantes :

• Dans un délai de 2 mois, identification du correspondant auprès de l’ANSSI et communication de ses coordonnées
• Dans un délai de 3 mois, identification des SIE (Systèmes d’Information Essentiels) et transmission de la liste à l’ANSSI. Si le premier réflexe est souvent de vouloir définir le périmètre le plus restreint possible, et ainsi limiter les impacts, il faut garder à l’esprit que l’application partielle de certaines règles peut devenir un véritable casse-tête en raison de l’imbrication des SIE avec le reste du SI.
• Dans un délai de 3 mois, mise en place du processus de traitement des alertes. Objectif : se mettre rapidement en capacité de recevoir les alertes de l’ANSSI et savoir réagir en conséquence.

2 ans pour se mettre en conformité et réaliser l’homologation la 3^ème année.

Pour l’ensemble des autres règles, les délais sont tout aussi précis et ambitieux :

Figure 2 : règles NIS, 2 ans pour se mettre en conformité et une année supplémentaire pour l’homologation

Conclusion

En synthèse, il est important pour les entreprises notifiées d’anticiper dès la phase de cadrage que la mise en conformité NIS va amener des chantiers avec des investissements financiers et humains parfois conséquents. Notamment, les chantiers qui traiteront du « SI Administration », de « l’Homologation », ou encore les chantiers d’urbanisme nécessaires pour le cloisonnement des SIE, etc.

Autant de sujets qui bénéficieront de la maturité du marché impulsée depuis plusieurs années entre autres par la LPM.

Cet article Directive européenne NIS : quelles mesures de sécurité pour les opérateurs de services essentiels en France ? est apparu en premier sur RiskInsight.

La France finalise les textes pour se mettre en conformité avec la directive européenne NIS (Network and Information Security), avec trois textes qui transposent la directive dans le droit national Français, et un quatrième qui sera publié sous peu.

Quels ont été les choix de transposition de la directive NIS dans le droit national Français ? Et quelles seront les entreprises soumises à cette nouvelle législation et les impacts pour celles-ci ?

La transposition dans le droit national français

Pour entrer en vigueur, chaque Etat membre de l’Union européenne doit transposer la directive NIS dans son droit national, avec une date butoir fixée au 09 mai 2018 : spécification des mesures de sécurité à mettre en place, définition des procédures de notification, sanctions applicables…

La France respecte globalement ce calendrier, avec trois textes qui définissent en grande partie les modalités d’application de la directive NIS sur son territoire national :

• La loi n° 2018-133 du 26 février 2018 qui présente les mesures de transposition de la directive NIS dans la législation nationale,
• Le décret n° 2018-384 du 23 mai 2018 qui détaille les modalités d’application des obligations législatives, et liste les secteurs, les types d’opérateur et les services essentiels concernés,
• L’arrêté du 13 juin 2018 qui fixe les modalités de déclarations des incidents de sécurité.

Pour que la transposition de la directive européenne dans la législation Française soit complète, un dernier arrêté fondamental va être publié, et viendra préciser les mesures de sécurité à mettre en œuvre par les opérateurs de services essentiels. Il fera écho à la lettre de mise en demeure par la commission européenne, qui avait jugé la France en retard sur l’exhaustivité de la transposition dans le droit national, tout comme 16 autres Etats membres.

OSE et FSN : deux grandes typologies d’acteurs concernés

La loi française rappelle les deux grandes typologies d’acteurs concernés par la directive européenne : les Opérateurs de Services Essentiels (OSE) et les Fournisseurs de Services Numériques (FSN).

Opérateurs de services essentiels : la France élargit la liste des secteurs concernés

Les OSE sont les entités qui délivrent des services essentiels au fonctionnement de la nation, notamment au travers de leur Système d’Information Essentiel (SIE). Le décret n° 2018-384 complète la liste de la directive, en y ajoutant les secteurs de l’assurance, de la logistique, des produits pharmaceutiques, des services sociaux (partie paiement des prestations), de l’éducation et de la restauration collective dans les environnements sensibles.

Liste des secteurs d’activités concernés pour les OSE

(L’icône  précise les secteurs ajoutés par la législation Française par rapport à la Directive NIS)

La désignation des OSE sera effectuée par arrêtés du Premier Ministre d’ici novembre 2018, en lien avec les OSE, les Ministères concernés et l’ANSSI. La liste des OSE sera par la suite régulièrement actualisée, à minima tous les deux ans.

Fournisseurs de services numériques : la France veille à la bonne désignation des représentants

Les FSN sont les entités qui fournissent directement des services en ligne, de type sites d’e-commerce, moteurs de recherche ou services cloud, notamment utilisés par les OSE. Les Etats membres n’ont pas vocation à dresser la liste des FSN à l’échelle de leur territoire, mais la France pose pour autant un cadre en indiquant que les entreprises qui emploient moins de cinquante salariés et dont le chiffre d’affaire annuel n’excède pas 10 millions d’euros ne sont pas concernées.

Liste des secteurs d’activités concernés pour les FSN

En complément de la directive NIS, la France inscrit dans sa loi n° 2018-133 (Chapitre III, article 11) qu’un FSN établi hors de l’Union Européenne, qui offre ses services sur le territoire national et qui n’a désigné aucun représentant dans un autre Etat membre de l’Union européenne, procède à la désignation d’un représentant établi sur le territoire national auprès de l’ANSSI. La France se positionne ainsi en gardienne de la bonne application de la directive NIS en ce qui concerne les FSN, dans la mesure où un FSN qui tarderait à désigner un représentant en Europe serait donc légalement contraint de le faire en France.

Les exclusions : ne pas cumuler les exigences légales

Afin de ne pas surcharger de législations les acteurs déjà soumis à des règlementations plus contraignantes, la loi mentionne dans ses articles 2 et 5 la liste d’exclusions suivante :

• Les OSE ou les FSN soumis à des exigences sectorielles au moins aussi contraignantes que la présente législation, en particulier les OIV (Opérateurs d’Importance Vitale) sur leur SIIV (Système d’Information d’Importance Vitale) car déjà soumis aux exigences apportées par la Loi de Programmation Militaire,
• Les opérateurs de réseaux ou de services de communications électroniques, notamment car déjà soumis aux exigences du code des postes et des communications électroniques,
• Les prestataires de services de confiance soumis aux exigences du règlement eIDAS sur l’identification électroniques et les transactions électroniques.

Une législation plus stricte pour les OSE que pour les FSN

Le droit national Français traite des mêmes thématiques pour les OSE et les FSN, mais dans une approche différente : même si une base commune est définie, les OSE devront respecter une liste précise de mesures de sécurité, tandis que les FSN seront sur une approche par les risques (précisée par le règlement UE- 2018/151 du 30 janvier 2018), restant libres de prendre les mesures techniques et organisationnelles qu’ils jugent appropriées et proportionnées, et seront plutôt gérés à l’échelle européenne.

Une base commune d’obligations à respecter…

En premier lieu, l’identification d’un représentant de l’entreprise, qui sera le point de contact unique de l’ANSSI pour traiter les réceptions et les transmissions d’information,

Ensuite, la déclaration des réseaux et des systèmes d’information nécessaires à la fourniture du services essentiels / numériques, y compris ceux dont l’exploitation est confiée à des tiers. Au-delà d’un simple inventaire ou cartographie des actifs, les enjeux seront :

• De lister les éléments nécessaires à la délivrance des services essentiels / numériques, afin de ne pas imposer les mesures de sécurité sur un périmètre trop étendu de l’entreprise,
• D’exiger la mise en application de la règlementation sur les systèmes opérés par les tiers, en leur communiquant les mesures à implémenter, en révisant les contrats de sous-traitance, voir en auditant leur conformité.

Puis la déclaration des incidents de sécurité sans délai auprès de l’ANSSI (qu’il est conseillé de formaliser dans un processus), lorsqu’ils sont susceptibles d’avoir un impact significatif sur le service, en terme du nombre d’utilisateur impactés, de la zone géographique touchée, de la durée de l’incident… L’ANSSI pourra alors épauler l’entreprise sur le traitement de l’incident, notamment en activant le réseau des CSIRT.

Et enfin, l’obligation de se soumettre à des contrôles du respect des obligations ci-dessus, et qui devront faire l’objet de conventions et de rapports formalisés. Le 1^er ministre indiquera si ces contrôles seront effectués par l’ANSSI ou l’un des prestataires de services qualifiés PASSI (dans ce dernier cas, l’entreprise choisira le prestataire sur la liste qui lui sera communiquée).

… Mais des obligations complémentaires structurantes pour les OSE.

Contrairement à la liberté laissée aux FSN sur la manière de sécuriser leur services numériques, les OSE devront mettre en œuvre une démarche de sécurisation de leur SIE selon 4 grands principes imposés, qui seront bientôt détaillés par le futur arrêté :

• Gouvernance de la sécurité, via l’élaboration de politique de sécurité et d’homologation du SIE,
• Protection des SIE, avec la sécurité de l’architecture, de l’administration et des accès au SI,
• Défense des SIE, avec la détection et le traitement des incidents de sécurité,
• Résilience des SIE, notamment au travers de la gestion de crise.

Les opérations de contrôle pourront être déclenchées sans condition par le 1^er ministre pour les OSE, alors qu’elles ne seront menées chez les FSN que si le 1^er ministre est informé du non-respect d’une des obligations qui leur incombent.

Quels impacts financiers associés cette législation ?

Tout d’abord, la législation précise clairement que les OSE et les FSN devront financer leurs différentes actions de mise en conformité, mais également les contrôles demandés par l’ANSSI.

Ensuite, en cas de manquement à leurs obligations, les dirigeants des OSE et des FSN pourront écoper d’amendes, avec des montants supérieurs pour les OSE par rapport aux FSN :

L’ordre de grandeur et le principe des amendes sont quant à eux plus proches de ceux apportés par la Loi de Programmation Militaire que ceux du Règlement Général sur la Protection des Données (RGPD).

Quelles sont les prochaines étapes ?

La publication de l’arrêté qui précisera les règles de sécurité pour les OSE, indispensable pour compléter la transposition de la directive NIS dans le droit national Français. Il permettra de jauger le niveau de sécurisation souhaité par l’état Français, et d’en déduire l’effort de mise en conformité des SIE.

D’ici au mois de novembre, la désignation progressive des OSE, qui auront alors :

• Deux mois pour communiquer les coordonnées de leur représentant à l’ANSSI,
• Trois mois pour formaliser et transmettre la liste et la description des réseaux et systèmes d’information pour lesquels l’existence d’incidents pourrait gravement affecter la continuité des services essentiels au fonctionnement de la société ou de l’économie.

Pour les FSN, la désignation d’un représentant, avec deux cas possibles :

• Si le siège se situe en Union Européenne, déclaration auprès de l’autorité de l’Etat où se situe le siège,
• Si le siège se situe hors de l’Union Européenne, déclaration auprès d’une autorité d’un Etat membre où le FSN exerce son activité.

Les acteurs concernés par la directive NIS sont consultés en France et en Europe depuis plus d’un an et sont informés de leur potentielle désignation. Ils ne seront donc pas surpris le moment venu. Ces derniers peuvent d’ores et déjà lancer les premières actions de mise en conformité : identification du périmètre concerné, inventaire des réseaux et système d’information qui le composent, formalisation du processus de déclaration des incidents de sécurité aux autorités.

Des modalités de mise en œuvre qui restent à préciser aux niveaux national et local

Une fois que le dernier arrêté concernant les mesures de sécurité pour les OSE sera publié, le cadre législatif et règlementaire Français posera des bases claires d’application de la directive NIS, par ailleurs cohérentes avec les différentes règlementations déjà en place sur le sujet.

En revanche, des questions restent à trancher au niveau européen pour faciliter la gestion des acteurs transfrontaliers : rattachement d’un OSE à plusieurs Etats membres ? Désignation d’une autorité de référence ? Communications et hiérarchie entre autorités nationales ?… Autant d’enjeux à adresser rapidement par le groupe de coopération dédié à NIS, en place depuis février 2017.

Cet article Directive européenne NIS : quelle transposition dans le droit français et quel impact pour les entreprises ? est apparu en premier sur RiskInsight.

Cet article RGPD – Que va-t-il se passer après le 25 mai 2018 ? est apparu en premier sur RiskInsight.

Le projet de loi, créé à la base pour modifier un projet de loi de 1986, le «Stored Communication Act», permet aux États-Unis de forcer les fournisseurs de services américains  à transmettre les données de leurs clients stockées à l’étranger de manière beaucoup plus rapide. Il faut en moyenne dix mois pour obtenir les données, une durée improductive pour les enquêtes menées par les États-Unis. Le projet de loi vise à permettre aux autorités américaines (du shérif à la CIA) à accéder à des données hébergées par des entreprises américaines sans passage devant un juge. Les grandes entreprises technologiques, qui ont soutenu le projet de loi devant le Sénat, pourront s’opposer à une demande si :

• Le client ou l’abonné n’est pas américain ou ne réside pas aux États-Unis (section 3.2.b.h.2.i), et
• Le transfert obligerait le fournisseur à enfreindre les réglementations du pays hébergeant les données (section 3.2.b.h.2.ii)

Cette demande sera alors portée devant un tribunal américain qui pourra alors casser ou non la demande de transfert de données. Sa décision sera basée, entre autres, sur la validité des informations apportées, de l’intérêt de la requête pour les Etats-Unis et de l’envergure et les chances d’application de la violation de loi dans le pays étranger. Le caractère public du recours n’est pas précisé, en particulier la capacité des entreprises à communiquer sur ces contestations. Aujourd’hui, il nous parait probable que les grands acteurs américains utilisent ce recours pour garder la confiance de leurs clients.

Afin d’éviter d’enfreindre les réglementations des pays concernés, les États-Unis pourront passer des accords bilatéraux avec ces États, qui, en échange de leur bonne volonté, pourront accéder aux données sur le territoire américain.

Aux États-Unis, le CLOUD Act reste contesté pour les risques hérités par les potentiels accords avec les pays étrangers. Le fait que le pouvoir exécutif soit à même de mettre en place les accords mutuels inquiète la population américaine, qui craint que des puissances étrangères se servent du Cloud Act pour aller fouiller dans leurs données sans garde-fou.

Quelles conséquences pour les clients européens ?

Alors que les géants de la technologie (Facebook, Google, Microsoft, Apple) ont soutenu le projet de loi (les autorités américaines s’abstenant de les approcher pour un accès backdoor et fournissant un cadre clair pour exercer le transfert de données), ces réglementations peuvent être inquiétantes pour la privacy des clients des entreprises ciblés. Cette loi pourrait laisser les clients sans droit de regard, ni information sur l’accès à leurs données par les autorités américaines.

Cependant, les clients européens dont les données sont traitées en Europe pourraient être bientôt protégés par le Règlement Général sur la Protection des Données (RGPD). Les articles 45 et 48 du règlement qui entrera bientôt en vigueur définissent un ensemble de règles claires pour permettre le transfert vers des pays tiers. Selon Frank Jennings (avocat de renom sur les sujets cloud), l’European Data Protection Board, en charge de l’implémentation du RGPD, sera en charge de décider si les saisies dans le cadre du CLOUD Act constituent une mesure nécessaire à la sauvegarde de la sécurité nationale américaine, ou si la demande ne respecte pas la nouvelle réglementation.  Cela pourrait obliger les États-Unis à négocier avec l’UE ou ses États membres les conditions de tels transferts, et donc à protéger leurs citoyens contre les transferts illégitimes. Les clients américains resteraient toutefois sous la portée du CLOUD Act.

Des négociations doivent commencer entre la Commission européenne et les Etats-Unis. Les dirigeants de l’UE ont déjà critiqué le projet de loi américain pour son adoption précipitée, ce qui risque de compliquer les négociations. Entre-temps, une centaine d’organisations de la société civile ont pressé le Conseil de l’Europe à rendre publiques les négociations prévues lors de la « Convention sur la cybercriminalité » (ou « Convention de Budapest »).

Les lois de confidentialité, un atout pour les entreprises ?

Alors que le RGPD a pu préoccuper une bonne partie des entreprises sur le changement que cela impliquerait pour leurs systèmes d’information et que la directive « E-Privacy » se prépare, il pourrait être intéressant de voir le rapport à la réglementation évoluer dans le monde des affaires. Les lois de «data privacy » pourraient, dans un futur proche ou lointain, être considérées comme une aide à la protection de leurs données et au maintien de la confiance des clients.

Dans un monde où les questions de confidentialité des données deviennent de plus en plus importantes (Cambridge Analytica, Google Home Mini), les protections sur les données des clients peuvent être un argument décisif lors du choix entre des offres compétitives. Le positionnement des fournisseurs américains sur les questions de Privacy et de protection des données est attendu impatiemment.

Que faire aujourd’hui ?

Pour conclure, les nouvelles réglementations sur la privacy restent assez ambiguës et peuvent même se heurter sur certains points. La principale conclusion reste que les Européens devraient être mieux protégés par le RGPD face au CLOUD Act, si les fournisseurs américains dénoncent les requêtes abusives et que les tribunaux en charge de valider la demande jouent leurs rôles. Les clients non européens, quant à eux, ne seraient pas plus protégés en hébergeant leurs données en Europe.

En attendant l’entrée en vigueur de nouvelles lois traitant de la confidentialité et les éventuelles saisies des données, vous pouvez prendre des mesures pour protéger vos données personnelles et commerciales contre les écoutes d’outre-mer et autres menaces potentielles :

1. Clarifier avec votre fournisseur dans quelles conditions il pourrait être amené à donner accès à vos données, sans oublier de prendre en compte les traités d’assistance judiciaire mutuelle (Mutual Legal Assistance Treaties).
2. Définir ou revoir votre stratégie d’hébergement suivant le type de données, la nationalité du fournisseur et la location de l’hébergement
3. Privilégier l’hébergement de données dans des datacenters européens ou dans des pays disposant de règles bien établies en matière de confidentialité des données.
4. Choisir un fournisseur français ou européen permet d’éviter les risques du CLOUD Act. En contractualisant qu’il n’utilise pas de sous-traitants américains (directement ou indirectement) !

Cet article CLOUD Act : vos données sont-elles mieux protégées ? est apparu en premier sur RiskInsight.

Un nouveau cadre juridique en 2018 pour l’hébergement de données de santé

Le décret Hébergeur de Données de Santé a été publié au Journal Officiel le 28 février 2018. Ce décret vient entériner l’évolution annoncée dans l’ordonnance du 12 janvier 2017 relative à l’hébergement de données de santé à caractère personnel, elle-même permise par la Loi de modernisation de notre système de santé du 26 janvier 2016.

Ce nouveau décret rend obligatoire la certification Hébergeur de Données de Santé pour toute organisation publique ou privée hébergeant des « données de santé à caractère personnel recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi social et médico-social, pour le compte de personnes physiques ou morales à l’origine de la production ou du recueil de ces données ou pour le compte du patient lui-même ».

La certification Hébergeur de Données de Santé sera délivrée par un organisme indépendant, lui-même préalablement accrédité par le Comité Français d’Accréditation (COFRAC) ou l’un de ses équivalents européens. Cette certification viendra sanctionner le caractère conforme du service à l’ensemble des exigences. Comme pour l’agrément, le certificat Hébergeur de Données de Santé restera valable trois ans, mais fera en revanche l’objet d’une surveillance annuelle.

Agrément ou certification, quelles différences ?

Dans le cadre de la procédure d’agrément, le candidat devait constituer un dossier (volumineux !) composé d’un ensemble de formulaires à remplir et de justificatifs à produire, incluant un rapport d’audit de conformité réalisé par une société de son choix.

Plutôt que de définir un énième référentiel, la certification Hébergeur de Données de Santé se base désormais presque exclusivement sur des normes internationales reconnues : la norme ISO 27001 dans son intégralité et des règles issues des normes ISO 27017, ISO 27018 et ISO 20000-1. Quelques exigences spécifiques y sont également ajoutées, portant principalement sur deux aspects :

• La protection des données de santé : protection des sauvegardes externalisées, interdiction d’utiliser les données de santé à d’autres fins que l’exécution de la prestation d’hébergement, traçabilité nominative de l’utilisation des comptes génériques… ;
• La transparence du service : possibilité pour le client de réaliser des audits, rédaction obligatoire d’une procédure de réversibilité incluant les modalités de restitution des données, communication du rapport d’audit de certification à la demande du client…

Passés les gains « habituels » d’une certification ISO 27001, déjà largement évoqués dans nos articles précédents, les exigences ajoutées visent à professionnaliser l’offre de services d’hébergement, à améliorer la transparence de l’hébergeur vis-à-vis de ses clients, à renforcer la sécurité des données de santé et à réaffirmer les droits des personnes concernées par les données traitées, dans la lignée du Règlement Général sur la Protection des Données (RGPD).

Une certification Hébergeur de Données de Santé qui en cache deux

La certification Hébergeur de Données de Santé inclut dorénavant deux certificats distincts, chacun adapté à un type d’activités pouvant être proposées par l’hébergeur :

• Un certificat « Hébergeur infogéreur » ;
• Un certificat « Hébergeur d’Infrastructure physique ».

Le schéma suivant, issu du référentiel d’accréditation Hébergeur de Données de Santé, précise le certificat attendu en fonction des activités d’hébergement de données de santé réalisées.

Activités devant donner lieu à une certification Hébergeur de Données de Santé (schéma issu du référentiel d’accréditation v1.0, consulté le 04/04/2018)

Chaque certificat est requis si au moins une activité du périmètre du certificat est réalisée. Par exemple, un hébergeur proposant la sauvegarde externalisée de données de santé (activité 6) devra disposer du certificat « Hébergeur Infogéreur » : il devra donc respecter les exigences du référentiel de certification Hébergeur de Données de Santé applicables à ce certificat. De manière similaire, un fournisseur assurant la mise à disposition de locaux (activité 1) devra disposer du certificat « Hébergeur d’Infrastructure physique » : il devra de même respecter les exigences applicables à ce certificat.

Chaque hébergeur devra ainsi acquérir un seul ou les deux certificats en fonction des services d’hébergement de données de santé qu’il offrira à ses clients.

Une certification à venir des Hébergeurs de Données de Santé agréés…

Tout agrément Hébergeur de Données Santé délivré demeure valide jusqu’à son échéance (hors retrait ou suspension, comme précédemment). Cette durée sera prolongée de 6 mois en cas d’échéance avant le 31 mars 2019. Passée cette date, tout hébergeur de données de santé devra obtenir la certification Hébergeur de Données de Santé.

Le caractère obligatoire de la certification relancera ainsi le marché français des certifications ISO 27001, aujourd’hui en berne d’après la dernière étude publiée par l’International Standard Organisation (ISO) : en 2016, seuls 209 certificats ISO 27001 valides étaient comptabilisés, contre 227 en 2015.

120 hébergeurs sont aujourd’hui agréés et référencés sur le site de l’ASIP Santé. Bien que certains soient déjà certifiés ISO 27001 (et en supposant que le domaine d’application du Système de Management de la Sécurité de l’Information inclue l’hébergement de données de santé), un complément de certification leur sera nécessaire pour devenir certifiés Hébergeur de Données de Santé. Pour les autres, une certification sur l’ensemble des exigences sera nécessaire : cette évolution devrait à elle-seule entrainer une croissance du marché des certifications ISO 27001 sur les années à venir.

… et de certains établissements des Groupements Hospitaliers de Territoire

Autre conséquence de la loi de Modernisation de notre système de santé, les établissements publics de santé se rassemblent actuellement sous la forme de Groupements Hospitaliers de Territoire (GHT) pour travailler sur un projet médical partagé. Chacun des 135 GHT est organisé autour d’un établissement support, qui assure différentes fonctions pour le GHT, incluant « La stratégie, l’optimisation et la gestion commune d’un système d’information hospitalier convergent » (article 107). Cette exigence impose notamment la mise en place d’applications uniques pour l’ensemble des établissements d’un GHT, et ce pour chaque domaine fonctionnel (dossier patient informatisé, circuit du médicament, biologie, imagerie, etc.).

Deux solutions principales (mais non exclusives) s’offrent par conséquent aux GHT :

• Faire héberger leurs données de santé auprès d’un hébergeur tiers certifié Hébergeur de Données de Santé ;
• Héberger leurs données au sein d’un des établissements du GHT (par exemple l’établissement support).

Dans ce second cas, l’établissement hébergeur devra être certifié Hébergeur de Données de Santé. Alors que la majorité des GHT se posent la question d’aller ou non vers une externalisation de tout ou partie de leur Système d’Information convergent, 57% d’entre eux envisageaient encore fin 2017 d’externaliser l’hébergement. Il est néanmoins probable que de très nombreux GHT choisissent à terme de maintenir leur Système d’Information de Santé au sein du GHT et de certifier l’établissement hébergeur, ce afin de conserver la pleine maîtrise du Système d’Information et des données de santé. Cette orientation devrait s’observer majoritairement parmi les GHT organisés autour d’un établissement support de taille importante (CHU par exemple). Elle induira alors, elle-aussi, une forte croissance du nombre de certificats ISO 27001 délivrés en France.

Un appui financier pour accompagner la transformation des SI des GHT

Afin d’accompagner la construction de leur SI convergent, les GHT peuvent bénéficier de divers soutiens financiers. 20 millions d’euros ont d’ores-et-déjà été investis au travers des Agences Régionales de Santé (ARS), et un appel à projets doté d’une enveloppe de 25 millions d’euros a été annoncé fin 2017 par la Direction Générale de l’Offre de Soin (DGOS). Le programme e-Hôp 2.0, successeur du programme Hôpital Numérique 2012-2017, devait disposer de son côté d’une enveloppe de 400 millions d’euros pour accompagner le développement des SI des établissements de santé jusqu’en 2021. Récemment remplacé par le nouveau programme Hop’EN, l’enveloppe qui sera in fine allouée reste inconnue.

Une partie de ces financements pourra être mise à profit par les GHT pour structurer leur SI convergent, par exemple en finançant le programme d’externalisation auprès d’un hébergeur certifié, ou en finançant la certification Hébergeur de Données de Santé d’un des établissements du GHT.

En faisant évoluer la réglementation liée à l’Hébergement de Données de Santé au moment même où les Groupements Hospitaliers de Territoire structurent leur SI convergent, l’État saisit l’opportunité de renforcer la sécurité des données des patients traitées par les établissements de santé publics. Indirectement, il insuffle une double dynamique de croissance au marché de la certification ISO 27001 en France, qui permettra de standardiser et disséminer les bonnes pratiques de gestion de la sécurité de l’information sur l’ensemble du secteur de la Santé.

Bien qu’issue d’une évolution attendue de longue date, cette croissance risque d’engendrer une explosion des demandes de certification ISO 27001 et Hébergeur de Données de Santé dans les années à venir : le COFRAC et les sociétés qui seront accréditées pour délivrer les certifications Hébergeur de Données de Santé pourront-elles suivre ? Un engorgement pourrait se profiler à l’horizon.

Cet article « Hébergeur de Données de Santé » : la Santé dynamise le marché français des certifications ISO 27001 est apparu en premier sur RiskInsight.

Que dit véritablement ce nouveau règlement ? Comment risque-t-il d’impacter les entreprises ? Faut-il vraiment s’en inquiéter ? Autant de questions que nous nous proposons d’aborder dans cet article

Une date d’application encore floue

Les objectifs du texte sont clairs :

• Compléter le GDPR sur le sujet de la confidentialité des communications électroniques
• Renforcer le contrôle des utilisateurs sur leurs données à caractère personnel traitées par les fournisseurs de communications électroniques

Si le texte contient ainsi différentes dispositions qui visent les communications électroniques ils visent également la gestion des cookies, le marketing non sollicité, etc. De cette façon, la commission européenne souhaite adapter la règlementation aux nouveaux types de communication, en particulier aux nouveaux acteurs, les fournisseurs de service Over-The-Top (OTT) tels que Messenger ou What’s App qui passent par Internet pour proposer leurs services. Cependant par voie de conséquences le périmètre d’application est beaucoup plus large d’application : presse en ligne, site de e-commerce, opérateur télécom traditionnel, … sont soumis à ce règlement.

Dans sa version initiale, le règlement E-privacy devait s’appliquer comme le RGPD (Règlement Général sur la Protection des Données), le 25 mai 2018. Pourtant, le Parlement européen vient tout juste de lancer les négociations avec le Conseil de l’Union européenne en adoptant une première version du règlement. La date de mise en application initiale ne sera donc pas tenue et devrait être repoussée de plusieurs mois. Si, de fait, cela laisse un peu de temps avant de se mettre en conformité, certains éléments du texte peuvent et doivent d’ores et déjà être anticipés.

Un texte aux forts impacts techniques

Le texte n’a pas encore été adopté dans sa version finale mais on peut d’ores et déjà visualiser les grandes orientations de ce texte. La première est la suppression des bandeaux d’acceptation des cookies à finalité commerciale présents actuellement sur la quasi-totalité des sites web. A la place, la Commission souhaite que le consentement de l’utilisateur soit recueilli directement dans les paramètres du navigateur web.

Concrètement, cela signifie pour les navigateurs le développement de solutions de centralisation du consentement et pour les entreprises l’obligation de s’équiper de moyens permettant de capter l’information auprès du navigateur. L’enjeu pour l’entreprise sera donc de réussir à s’interfacer avec les différentes versions de navigateurs pour accéder au consentement de l’utilisateur. Au-delà des aspects techniques, une telle disposition crée un intermédiaire entre le service et son client ; difficilement tolérable pour les fournisseurs de services.

On peut dès maintenant noter l’ambiguïté que pose cette nouvelle répartition des rôles au profit des navigateurs. En effet, centraliser le consentement dans leurs paramètres pourrait permettre aux navigateurs de privilégier certains éditeurs de sites web notamment dans la présentation des choix aux utilisateurs et ainsi rendre possible l’éviction de certains acteurs. Plus globalement, il est risqué de laisser la gestion des données personnelles à quelques acteurs dominants comme les GAFA souvent visées par ailleurs pour certains de leurs traitements de données. Cette problématique est transposable sur les smartphones.

Il s’agit d’ailleurs d’un des nouveaux enjeux liés à cette règlementation : la capacité des entreprises à adapter leurs services et leurs traçages en fonction du consentement de l’utilisateur. Cela signifiera parfois de repenser le parcours client pour permettre à l’utilisateur refusant les cookies d’accéder aux services.

Ces premiers impacts laissent présager une implémentation technique compliquée pour les entreprises qui vont se mettre en conformité E-privacy et représente même un véritable danger pour certains business. En effet, en remaniant en profondeur l’utilisation des cookies webs, le secteur de la presse, comme indiquée dans l’introduction, dont les revenus reposent en partie sur la publicité ciblée, va devoir revoir une partie de sa démarche commerciale en ligne. Plus globalement, l’E-privacy risque de freiner les élans d’investissement et d’innovation de nombreuses entreprises qui se lancent dans des programmes de digitalisation.

Un message : la base légale du profiling est le consentement

Le règlement tel qu’écrit aujourd’hui possède encore de nombreuses zones de flou : Où devra se faire la gestion des consentements spécifiques : au niveau du navigateur ou du site web ? Comment déterminer, selon leur finalité, quels sont les cookies impactés par la demande de consentement ? …

Par ailleurs, le règlement ne semble pas prendre en compte les réalités technologiques des terminaux mobiles et des écosystèmes d’application qui diffèrent techniquement de celles liées à l’internet fixe. Aujourd’hui, il existe peu de solutions permettant aux acteurs qui dépendent des systèmes d’exploitation de se conformer aux exigences du règlement E-privacy

Enfin, les discussions et les premiers éclaircissements sur ce règlement, écartent le recours à l’intérêt légitime pour les traitements de profiling. Cette précision n’est pas un détail. Si le règlement E-privacy le confirme, les entreprises qui ne l’ont pas fait seront obligées d’intégrer le consentement dans leur parcours client pour pouvoir les cibler, les données collectées dans le cadre de ce traitement deviendront portables… Autant d’impacts qui doivent être anticiper dès aujourd’hui.

Se préparer dès aujourd’hui à l’arrivée de l’E-privacy

La question est d’autant plus importante lorsqu’on sait que les sanctions sont les mêmes que pour le GDPR (20M€ et 4% du CA). Deux éléments semblent indispensables à ce stade :

• Mettre en place une veille: a l’instar du GDPR un programme de mise en conformité sera nécessaire. Avoir identifier en amont les impacts ne pourra être qu’un accélérateur
• Anticiper certains impacts: Intégrer d’ores et déjà la philosophie du texte dans ces traitements réduira l’effort de mise en conformité à terme

Cet article E-privacy, il est urgent d’attendre est apparu en premier sur RiskInsight.

Pourquoi le sujet du Records Management nous intéresse-t-il si particulièrement ? Il a grandement gagné en importance ces deux dernières années avec la publication du RGPD (Règlement général sur la protection des données, ou GDPR en anglais). Ce règlement est en réalité une opportunité pour les entreprises de transformer un sujet de conformité en un indéniable atout métier qui doit être traité aux niveaux les plus stratégiques.

Avoir une cartographie des données de l’entreprise, détaillant leurs lieux de stockage, les finalités des traitements associés et les processus auxquels elles sont associées permettra d’améliorer les résultats opérationnels et sera l’une des clés pour améliorer la performance des entreprises.

La première étape de la formalisation du Records Management passe bien évidement la mise en conformité au RGPD. Les actions menées apporteront de la clarté aux métiers sur leurs activités, de l’information sur ce qui doit être protégé au département traitant de la Sécurité, de l’information aux clients sur le traitement de leurs données. Ces derniers n’en seront que plus satisfaits dans un contexte où la transparence et le contrôle de l’information relatif à leurs données sont des facteurs clés de la confiance accordée à l’entreprise et de sa valeur perçue.

Cette cartographie des données sera alors un vecteur pour la réduction des coûts de stockage et de sécurité de l’information. En effet, les informations essentielles et critiques devant être maintenues et protégées seront clairement identifiées et différenciées de celles qui ne le sont pas et ne nécessiteront pas de mécanismes de protection onéreux.

Par où commencer ? Il n’est pas nécessaire de faire appel à une armée d’experts en Records Management pour atteindre les objectifs fixés. Il s’avère que les métiers et leurs employés, ayant acquis un précieux savoir au fil des années sur le fonctionnement de l’entreprise, ses traitements et processus seront les plus grands atouts dans la définition du Records Management.

Trois étapes sont nécessaires pour définir et implémenter une stratégie de Records Management (ou Data Management) pour les entreprises :

1. Créer une politique de Records Management
2. Créer un registre des applications et et des partenaires en usage au sein de l’entreprise (registre pouvant être basé sur le catalogue de services)
3. Implémenter la politique de Records Management sur les applications et services identifiés afin de gagner en efficacité et faire des économies

La politique de Records Management

Chaque métier a des raisons différentes (légales, réglementaires, opérationnelles, etc.) de conserver des archives et ces données. Par exemple, un service client pourrait avoir la nécessité d’enregistrer les conversations téléphoniques à des fins de qualité ou de formation, de la même manière que dans un contexte de transaction financière elle devra enregistrer les conversations téléphoniques de ses employés, pour être en conformité avec la réglementation (MiFID).

La politique de Records  Management devra donc couvrir l’ensemble de ces besoins.

Chaque entité se doit d’être en mesure de préciser les types de données traitées, ainsi que les caractéristiques de son stockage, afin que la politique puisse être construite efficacement suite à des entretiens ciblés avec des responsables métiers expérimentés.

Une fois l’inventaire des différents types d’archivages obtenus, il conviendra de peser les différents impératifs (légaux, réglementaires et opérationnels) pour déterminer la période de rétention adéquate pour chacun des types d’archivages :

• La réglementation impose habituellement une durée minimale (par exemple, l’enregistrement audio des conversations est de 5 ans minimum avec MiFID II) ;
• La législation fixe de son côté une durée de rétention minimale ou maximale (par exemple, la CNIL demande de ne pas conserver les données personnelles plus longtemps que le temps nécessaire au traitement).

La politique de Records Management doit ainsi contenir le type des données archivées, les durées et raisons de rétention.

Le registre des applications et des partenaires

Une fois la politique de Records Management définie, la prochaine étape sera de la décliner sur les différents Systèmes d’Information de l’entreprise. Pour cela, la première brique de cette implémentation sera la construction d’une vue descendante (top-down en anglais) de l’ensemble des applications en service, via une consultation globale des équipes IT, RH, métiers et de sourcing. La revue de ces applications par les équipes Sécurité et de Direction sera alors nécessaire pour deux raisons :

• Vérifier que cette liste est cohérente avec les applications ajoutées dans le radar des équipes Sécurité suite aux demandes des utilisateurs ;
• Donner de la visibilité sur le Shadow IT en usage.

Cette liste finalisée et revue sera alors un ciment solide pour l’implémentation de la politique de Records Management de l’entreprise. L’organisation pourra ainsi tirer parti de la complétude de cette liste pour échanger régulièrement avec les équipes IT, RH, métiers et de sourcing, permettant de réduire le risque de perte de données au travers d’applications ou de partenaires non supervisés.

Il sera par la suite nécessaire de cartographier les systèmes d’information avec les différents types d’archives, leurs impératifs et leurs caractéristiques de rétention afin de pouvoir implémenter la politique de Records Management.

Implémentation de la politique de Records Management

Avoir défini sa politique de Records Management, la cartographie des archives dans le SI n’aura été qu’un exercice de conformité réglementaire si elle n’est pas appliquée par la suite. C’est effectivement l’implémentation de la politique qui apportera toute la valeur ajoutée en termes de performance et d’économies pour l’organisation.

Un exemple parlant est celui des sauvegardes de restauration. Il est possible de définir comme seule finalité pour ces sauvegardes la restauration des données perdues en cas d’incident majeur sur le réseau de l’entreprise. Dans ce cas, il faudra alors décrire dans la politique que la durée de rétention est d’une semaine pour les sauvegardes journalières, pas plus d’un mois pour les sauvegardes hebdomadaires, pas plus d’un an pour les sauvegardes mensuelles, etc. Mettre en place ce type de politique permettra d’économiser énormément d’espace de stockage et apportera de la clarté sur la gestion des sauvegardes aux équipes opérationnelles. Evidemment, il faut en parallèle ségréguer les enregistrements devant rester sauvegardés plus longuement pour des raisons opérationnelles, réglementaires et légales.

Les entreprises n’ayant pas défini de politique de Records Management auront des difficultés à valider les périodes de rétention pour les différents traitements. Elles auront également tendance à définir des périodes de rétention trop longues générant des coûts inutiles et induisant potentiellement un risque légal pour l’entreprise. Pour reprendre l’exemple des sauvegardes de restauration, si ces données sont stockées sans protection (chiffrement par exemple) et volées alors qu’elles n’avaient plus d’intérêt pour leur finalité initiale de restauration, elles seront exploitables par un tiers malveillant et leur divulgation implique divers risques pour l’entreprise.

Une fois l’implémentation de la politique de Records Management lancée, il est recommandé de revoir les diverses stratégies de l’entreprise liées à celle-ci : Sécurité de l’information, juridique, conformité, métier, etc. afin de les aligner et de les compléter grâce à cette nouvelle connaissance sur les données et traitements de l’entreprise. Des bénéfices additionnels pourront en être tirés au-delà du domaine du Records Management : concentration de la sécurité de l’information sur les données sensibles, identification des traitements les plus à risque pour l’entreprise afin de les sécuriser, d’en identifier une alternative moins sensible, voire de les interrompre en cas de fort impact potentiel dû à un manque de conformité.

Les gains que l’entreprise peut espérer d’une stratégie de Records Management claire et formalisée sont maintenant plus évidents : conformité avec les réglementations et lois sur la protection des données, meilleure performance opérationnelle, et actions de sécurité de l’information mieux ciblées. Afin de maximiser ces bénéfices, il est important d’intégrer le juridique, la conformité, la sécurité de l’information et la stratégie métier dans cette initiative : ils créeront les synergies nécessaires à la réussite du projet.

Cet article Comment faire du Records Management un atout pour les entreprises? est apparu en premier sur RiskInsight.

Cependant, de nouvelles réglementations le soumettent à des contraintes de plus en plus fortes telles que le GDPR (General Data Protection Regulation) visant toutes les données à caractère personnel, ou les différentes lois sur la protection des infrastructures critiques des pays. La France est particulièrement en avance aujourd’hui avec la LPM (Loi de Programmation Militaire [lien EN / lien FR ]) qui s’applique aux organisations les plus critiques pour le fonctionnement de l’Etat.

Comment mettre en place un système de détection de plus en plus fin, tout en s’inscrivant dans un cadre réglementaire toujours plus strict ?

Une standardisation des SOC à l’échelle européenne (et mondiale)

Au milieu des années 2000, la mise en place des premiers SOC consistait, dans la plupart des cas, à déployer un collecteur de logs par plaque géographique et à mettre en place une gestion des alertes en central. Cependant, des évolutions réglementaires récentes peuvent imposer des changements d’architecture. En particulier en France dans le cadre de la LPM, l’obligation de mise en place d’un « système de corrélation et d’analyses de journaux » (autrement dit : SOC outillé par un SIEM) s’est accompagnée d’une structuration règlementaire stricte décrite dans le référentiel d’exigences PDIS (Prestataires de Détection des Incidents de Sécurité [lien FR]).

Trois points sont traités en particulier pour la standardisation :

• D’abord, l’organisation de la surveillance : il existe dorénavant une obligation de détection de certains types d’attaques communes et d’implémentation de contrôles faisant suite à des recommandations réalisées via des audits qualifiés suivant le référentiel PASSI (Prestataires d’Audit de la Sécurité de Systèmes d’information [lien EN / lien FR]). L’entreprise doit également mettre en place une cellule de veille permettant de notifier l’ANSSI en cas de compromission du SI d’importance vitale.
• Le second point concerne la sécurisation des actifs du SOC : de nouvelles mesures de sécurisation décrites dans le référentiel de qualification PDIS imposent notamment un durcissement des postes des opérateurs et des administrateurs du SOC (authentification à deux facteurs, limitations des accès à internet…). Ces mesures de sécurité seront vérifiées par l’ANSSI via des audits ou rétroactivement suite à la notification de compromission du SI.
• L’architecture enfin, avec une complexification de celle-ci : un découpage en zones de confiance cloisonnées ainsi qu’un élargissement du périmètre du réseau surveillé sont imposés (outre les « classiques » équipements de sécurité, les serveurs métiers et les terminaux mobiles doivent maintenant aussi être surveillés). Les informations liées à un incident de sécurité (événements, rapports d’analyses et les notifications associées) doivent également être conservées pendant toute la durée de la prestation.

Sécurisation forte et respect des données personnelles : 2 enjeux incompatibles ?

Afin de pouvoir assurer des analyses a posteriori et notamment d’être capable de déterminer l’origine des cyberattaques, de nombreuses données personnelles et critiques doivent être collectées, conservées et exploitées. Pourtant, ces données sont soumises au GDPR qui tend à l’inverse à limiter leur collecte et leurs usages.

La récente amende de l’AGPD (l’autorité de protection des données à caractère personnel en Espagne) à Google met en lumière des problématiques que pourrait rencontrer le SOC concernant le traitement des données à caractère personnel :

• Le droit à la manipulation des données personnelles et le droit à l’oubli des utilisateurs a été la première cause de condamnation de Google. En effet, le GDPR compte offrir aux citoyens européens la possibilité d’accéder, de modifier ou de supprimer leurs données où qu’elles soient stockées (y compris dans le Cloud). Cela signifie, en pratique, que l’entreprise doit connaître exactement la teneur des données collectées par son SOC pour pouvoir en informer les clients, ses employés… Cela signifie également que ceux-ci devraient pouvoir exiger leur suppression à tout moment. Cependant, le GDPR semble indiquer qu’il est possible de conserver certaines données si celles-ci sont nécessaires à la protection des entreprises. Cette définition est appelée à être discutée dans les années à venir.
• L’obligation de transparence quant à l’exploitation des données est la seconde problématique soulevée par l’AGPD. Cependant, dans le cadre de PDIS, l’obligation de monitorer une grande variété d’équipements va engendrer la récupération d’un grand nombre de données de natures différentes. Un travail sur le contenu des logs collectés va donc être nécessaire afin de s’assurer que seules les données nécessaires à l’activité de surveillance sécurité sont récupérées.
• Enfin, le GDPR impose la justification de la conservation de la donnée. Or PDIS impose de conserver les données sur au moins six mois afin de pouvoir effectuer des analyses sur du long terme ou rétroactivement créant ainsi un flou législatif : jusqu’où peut-on aller pour assurer la protection de son SI ?

Au-delà du cas Espagnol, il est intéressant de noter les approches des différents textes sur la notification des incidents. Ceux dédiés à la protection des données à caractère personnel ciblent une notification rapide pour limiter les impacts sur la vie des citoyens, quand les textes sur la protection des infrastructures critiques eux imposent des notifications limitées et très confidentielles pour prendre le temps de gérer correctement l’incident sans révéler à l’attaquant le fait qu’il a été découvert. GDPR a finalement prévu ce cas de figure mais d’autres textes pourraient également être contradictoires.

Un cadre réglementaire strict mais bénéfique

Le durcissement du cadre réglementaire pour le SOC, que ce soit direct (PDIS) ou indirect (GDPR), va engendrer une transformation de l’écosystème. De nouveaux profils pourraient ainsi s’intégrer aux équipes comme le DPO (Data Privacy Officer) que le SOC pourrait considérer comme un acteur clé pour maintenir sa conformité dans la durée.

De plus, ces réglementations vont tirer vers le haut les niveaux de maturité des acteurs soumis à ces référentiels ainsi que de ceux s’en inspirant. D’ores et déjà on observe de nombreux chantiers de mise en conformité touchant tant à l’architecture du SOC qu’à ses processus et sa gouvernance.

Pour satisfaire aux réglementations, l’outillage compte également, et il faut jouer avec les innovations telle que la surveillance orientée sur les données (avec de l’outillage de type Data Leakage Prevention – DLP), qui peut aider à la mise en conformité sur la protection des données sensibles.

Vers des réglementations plus réalistes…

L’apport des référentiels est indéniable, en tant que standard et en tant que cible à atteindre pour nombre d’organisations.

Si la barre peut sembler haute, ou que l’on trouve encore quelques incohérences entre les différents textes, on peut gager que les prochaines révisions apporteront un cadre solide pour la conception et l’amélioration des SOC.

Cet article Le SOC, un service en pleine mutation réglementaire est apparu en premier sur RiskInsight.

Notre retour d’expérience s’appuie sur un échantillon correspondant à nos interventions auprès de 20 grands comptes présents internationalement (Banques, Assurances, Transports, Énergie, Services, Grande distribution, etc.) et près de 40 donneurs d’ordre.

Suite à notre premier article sur la charge nécessaire et les principaux chantiers identifiés, revenons sur les budgets et l’année écoulée. 

Des budgets en constante augmentation

Le RGPD est un nouveau sujet. La protection de la vie privée ne l’est pas. La Loi Informatique et Libertés existe par exemple depuis 1978. Cet historique a dans un premier temps fait croire (à tort) à un bon niveau de conformité des organisations et limité la crainte d’un risque important de sanctions.

Les programmes ont donc mis du temps à se lancer (souvent pas avant fin 2016 pour de nombreux programmes, réellement au premier semestre 2017 pour les autres) et avec des réserves budgétaires faibles. L’avancement des états des lieux, des analyses d’écarts et de la complexité des mesures à mettre en oeuvre amène nos clients à augmenter régulièrement et très fortement leurs budgets.

Les programmes RGPD se chiffrent aujourd’hui pour de grands groupes internationaux, dans des fourchettes allant de 1 à 5 millions d’euros pour les organisations manipulant un nombre raisonnable de données personnelles et peu mobilisé sur le big data ou le profiling ; jusqu’à des fourchettes entre 20 à 50 millions d’euros lorsque que l’entreprise à plusieurs métiers et de très nombreuses entités/filiales. Pour certains très grands acteurs internationaux, les premiers engagements budgétaires ont même été de plusieurs centaines de millions d’euros, aujourd’hui en cours d’optimisation et de priorisation. Autre facteur de coût, les évolutions en profondeur de multiples applications font grimper rapidement les montants.

Au regard des coûts importants déployés, les directions générales exigent de plus en plus des directions métiers et IT de dé-prioriser d’autres budgets ou de s’appuyer sur les programmes existants pour absorber les chantiers identifiés.

L’impact financier particulièrement important de tels programmes, et la charge nécessaire pour les déployer, implique aujourd’hui que ces programmes revoient le planning initialement envisagé (mai 2018) afin de lisser cette charge et ces budgets dans le temps. Mai 2018, n’est plus une échéance de mise en conformité, mais plutôt la fin de la première étape de la mise en conformité : avoir réalisé les travaux les plus importants à cette date, et disposer d’une feuille de route claire pour la suite.

D’ici mai 2018, comment se mettre en conformité efficacement ?

Quelques règles simples sont à suivre afin de réussir sa mise en conformité :

Piloter utile

Construire une structure de pilotage au niveau du siège ou du groupe qui ne vise pas uniquement à exiger et contrôler mais plutôt à proposer des outils opérationnels aux entités pour les aider dans leur mise en conformité et à produire ces outils rapidement afin de ne pas ralentir ou inhiber les initiatives locales. Par exemple : ne pas attendre fin 2017 pour proposer sa méthode PIA.

Identifier et prioriser les traitements à risque

Certains sont faciles à identifier (manipulation de données de santé, gestion de la fraude…) et d’autres nécessitent expertise et une certaine expérience du sujet (comme par exemple les fichiers RH de « jurisprudence interne », théoriquement anonymisés, et en pratique uniquement déidentifiés directement, et donc souvent facilement ré-identifiants).

Ne pas chercher à analyser tous les traitements d’ici mai 2018

 En effet, constituer un inventaire prend du temps, mais analyser les traitements qui le constituent encore plus (à minima 4 à 5 fois plus de temps). Cette analyse, qui nécessite une forte expérience et expertise en data privacy, ne peut être menée exhaustivement d’ici mai 2018 (pour des raisons de coûts, mais également de manque de ressources sachantes à même de les mener). Il convient donc d’analyser les traitements les plus à risques dans un premier temps (20 à 30% des traitements) et de disposer d’une feuille de route claire pour l’analyse des suivants.

Paralléliser

Le programme ne doit pas être un programme Top Down où les opérationnels attendent des mois des outils et politiques du groupes avant de pouvoir commencer leurs travaux de conformités. Tous les acteurs impliqués (métiers, conformité, IT, CISO, Legal etc.) doivent pouvoir avancer en parallèle et s’alimenter les uns les autres dans une démarche souple et agile. Les équipes IT n’ont pas exemple pas besoin d’attendre que les métiers identifient des durées de rétention et demande à les appliquer dans les systèmes pour identifier les solutions applicables et les outils associés (notamment tokenisation irréversible).

Mutualiser tout ce qui peut l’être

En effet, rien ne sert de réinventer la roue. Les équipes centrales peuvent contribuer à construire et proposer des accélérateurs. Ainsi, plutôt que de demander à toutes les entités de constituer leur inventaire, il est souvent pertinent de proposer un modèle avec les 70 à 80 % de traitements communs à l’ensemble des entités. Le programme s’en trouvera facilité et la charge de mise en conformité réduite de façon importante.

Expliquer, expliquer et ré-expliquer

Le RGDP et sa déclinaison est un sujet complexe, aux multiples ramifi cations et qui sollicitent de nombreux acteurs de l’organisation qui ne connaissaient rien au sujet il y a encore quelques mois. Il faut donc faire preuve d’une pédagogie sans faille et ne pas hésiter à accompagner au plus près les équipes en charge des chantiers afin de les aider à comprendre les exigences et imaginer les solutions.

Faites de la conformité un atout pour votre relation client

Un programme RGPD est avant tout perçu comme une contrainte par les opérationnels. Pour autant, la protection de la vie privée est aujourd’hui un sujet majeur de préoccupation des citoyens que ce soit les clients ou les collaborateurs (idée que nous avons développé dans une précédente publication sur la vie privée dans le numérique avec la vision exclusive des postures de citoyens dans 6 pays :wavestone.com/privacy). Il convient donc d’intégrer le programme au coeur des initiatives autour de la DATA et des chartes associées. La communication autour du programme devra ainsi valoriser les travaux menés afin d’en faire un atout dans la relation clients ou collaborateurs.

Que retenir de cette année écoulée ?

Les programmes ont mis du temps à se lancer, et la prise de conscience des impacts du règlement, de la taille des programmes et des budgets à déployer en a été retardée d’autant plus.

Pour autant, depuis le début de l’année 2017, de nombreux programmes sont maintenant dans leur phase de remédiation et des premières solutions émergent. Mais tous les chantiers ne pourront être terminés pour mai 2018. Les grands comptes internationaux ne seront donc pas tous à 100% conformes en mai 2018, mais les actions majeures et les risques les plus forts seront certainement couverts.

Donc dès à présent, en sus des efforts mis en oeuvre pour déployer le maximum d’actions de remédiation d’ici mai 2018, nos clients s’organisent pour disposer d’une organisation DPO opérationnelle rapidement et que celle-ci dispose des budgets adéquats pour conduire l’ensemble des actions identifiées et mettent en place des processus pérennes, garants de la conformité dans la durée.

Cet article RGPD, 1 an de travaux, quel bilan en tirer ? (2/2) est apparu en premier sur RiskInsight.

Notre retour d’expérience s’appuie sur un échantillon correspondant à nos interventions auprès de 20 grands comptes présents internationalement (Banques, Assurances, Transports, Énergie, Services, Grande distribution, etc.) et près de 40 donneurs d’ordre.

Revenons tout d’abord sur la charge nécessaire, les principaux chantiers et points durs de la mise en conformité au RGPD.

Des programmes importants mobilisant toutes les directions de l’entreprise

Les programmes de mise en conformité au RGPD impliquent très largement dans les entreprises, de quelques dizaines à quelques centaines d’acteurs à chaque fois. Les charges consolidées vont de 3 à 4 ETP (équivalent temps plein) pour les environnements les plus petits et les plus conformes ; jusqu’à plusieurs dizaines d’ETP pour les environnements les plus complexes et les plus éloignés de la cible.

Cette charge est généralement répartie comme suit :

• 15 % pour l’équipe en charge du pilotage du programme, de la coordination et de la communication/formation
• 15 % pour les équipes DPO, risques ou conformité afin de formaliser les politiques, directives et process, définir l’organisation cible, et s’assurer de la conformité des solutions déployées par les équipes métiers et IT
• 5 % pour l’expertise juridique afin d’interpréter le texte, proposer des clauses et mentions légales conformes et arbitrer sur des points juridiques identifiés au cours du projet (notamment les durées de conservation proposées)
• 25 % pour les responsables métiers/business en vue de cartographier leurs processus, les mettre en conformité et faire évoluer les modalités de fonctionnement avec leurs clients et partenaires
• 40 % pour les équipes IT et Digital (dont la filière cybersécurité) afin de faire évoluer les systèmes informatiques existants, intégrer les exigences du RGPD dans les développements en cours et proposer des offres de services pour les solutions IT de conformité (en particulier, anonymisation, exercice des droits et portabilité)

Contrairement à certaines idées préconcues, la charge pour les équipes juridiques et pour le RSSI reste limitée au regard de la charge globale.

En effet, les travaux d’analyse du règlement qui ont occupés les premières semaines des programmes sont aujourd’hui généralement terminés ou presque, et remplacés par des chantiers plus opérationnels où la dimension juridique est plus faible.

Pour les chantiers de cybersécurité, ils se révèlent souvent non directement portés par les programmes RGPD mais plutôt par les programmes Cybersécurité existants. Les coûts IT sont donc plus souvent liés à des problématiques d’exercice des droits, de suppression des données, de portabilité, de surveillance des systèmes, de revue des droits ou de mise sous contrôle du process de la gestion des habilitations pour certains pans du SI, etc.

Cette répartition devrait être stable dans le temps et lors des phases de mise en œuvre des projets. En particulier les équipes autour du DPO vont se focaliser de plus en plus sur un rôle de contrôle et d’accompagnement des projets.

10 chantiers RGPD qui concentrent les investissements…

La mise en œuvre de la conformité au RGDP peut aujourd’hui se synthétiser au travers de 10 chantiers majeurs :

1. L’exercice des droits (accès, suppression,portabilité…) et la capacité à retrouver et à supprimer toutes les données associées à une personne au sein de l’organisation (20 % des coûts, majoritairement IT). Il s’agit du poste principal car il intègre les évolutions à apporter dans les applications du SI.
2. L’accompagnement des projets IT en cours en Privacy By Design (15 %, majoritairement IT et métiers)
3. L’encadrement des transferts (à des tiers ou hors UE) (10 %, majoritairement métiers et juridique)
4. La mise en œuvre de l’information des personnes et la gestion du consentement (10 %, majoritairement métiers et IT)
5. La définition des politiques, directives, méthodologies et outils de conformité et la mise en œuvre d’une organisation autour du DPO (10 %, majoritairement DPO)
6. La mise en œuvre de contrôles et d’audits de conformité (5 %, majoritairement DPO)
7. La construction d’un registre des traitements de données et la définition des règles de conformité associés à chaque traitement (5 %, majoritairement Métier)
8. L’amélioration des mesures de sécurité existantes (5 %, du fait de l’existence de budget cybersécurité permettant de remplir les exigences, majoritairement IT)
9. La formation et la sensibilisation de l’ensemble des acteurs concernés par le sujet (5 %, majoritairement Métiers)
10. Le pilotage du programme (15 %)

…Pour 5 points durs à traiter en priorité

Une fois les cadrages de programme réalisés, les premiers résultats des analyses d’écarts produits, les sujets difficiles émergent. Nous constatons que quel que soit le contexte, le secteur d’activité, la nature des données manipulées ou le niveau de conformité existant, ces 5 points durs ressortent chez la majorité de nos clients :

1. L’application des délais de rétention et du droit à l’oubli au sein des systèmes informatiques existants.
En effet la situation est souvent complexe du fait de choix historiques : données personnelles utilisées comme identifiant unique dans les systèmes de base de données, champs obligatoires techniques non indispensables d’un point de vue business… Ce sujet requiert un investissement pouvant être important sur des applications historiques (généralement de 40 k€ à 200 k€ par application). La contrainte de suppression est parfois quasi impossible à mettre en oeuvre au regard des impacts non maitrisés sur le SI et l’ensemble des données concernées sont souvent difficile à identifier. Ce problème peut être traité au travers d’un remplacement des données par une autre valeur voire par de la tokenisation.

2. La mise en conformité des contrats existants : des volumes de milliers voire de dizaines de milliers de contrats sont rencontrés sur le terrain.
Un effort de collecte, de recensement et d’adaptation qui peut prendre une ampleur importante suivant le degré de décentralisation de la gestion des contrats. Il s’agit alors d’appliquer des solutions simples et efficaces en se concentrant sur l’intégration des clauses RGPD dans les contrats à venir. Et pour l’existant ? Communiquer vos exigences (mentions légales d’information par exemple) aux fournisseurs en demandant l’application d’une exigence légale et pas sur la base d’un engagement contractuel à renégocier.

3. La mise en oeuvre d’une méthodologie d’accompagnement des projets (Privacy By Design) et des outils d’analyse de risques sur la vie privée (PIA) appréhendables en autonomie par les chefs de projets et réalistes en termes de charge et de contraintes.
Même si certaines organisations avaient déjà mis en oeuvre des processus d’intégration de la sécurité dans les projets, il est nécessaire de refondre ces processus et de former les acteurs concernés. Quelles bonnes pratiques ? Construire des méthodes qui visent la simplicité et le pragmatisme plutôt que l’exhaustivité et ne pas vouloir dérouler les méthodologies sur tous les projets en mettant en place un tri initial afin de focaliser l’attention sur les plus sensibles.

4. L’identification de ressources expertes du sujet et à même de contribuer aux chantiers.
Celles-ci sont aujourd’hui extrêmement rares et difficiles à trouver, que ce soit en interne ou auprès de sociétés de services, de cabinets de conseil ou d’avocats. Il convient donc de bien répartir les tâches et ne pas chercher à positionner des experts sur toutes les dimensions du programme et à tous les postes. Les directeurs de programme peuvent par exemple venir de la DSI, les juristes en droit de contrats être formés rapidement à la problématique vie privée, les équipes contrôle interne peuvent aider à l’évolution des processus afférents. En sus, dans des environnements très concernés par des réglementations clients, il conviendra d’intégrer ou partager les initiatives afin de mutualiser au mieux les travaux et livrables produits. À la vue des enjeux et de l’ampleur des programmes, un pilotage rigoureux et réaliste est un pré-requis.

5. L’organisation de l’équipe DPO, et les profils particuliers requis, la plus à même d’apporter expertise juridique, pilotage du programme (qui ira bien au-delà de mai 2018), accompagnement des projets et contrôle des traitements.
Suivant les contextes, le poste de DPO attire à la fois des convoitises dans les filières conformités ou CIL existantes, mais des appréhensions pour des profils qui ne souhaitent pas endosser ce rôle parfois vu comme apporteur de contraintes et relayant rarement des messages positifs. Le pilotage du programme peut donc être confié de façon temporaire à une équipe spécifique, indépendante de la future organisation DPO.

Les chantiers de mise en conformité au RGPD impliquent donc un large panel d’interlocuteurs au sein des entreprises. Cela est d’autant plus nécessaire pour prioriser les chantiers et traiter les points durs tout en respectant les échéances et les contraintes budgétaires. Ces sujets seront traités dans un second article.

Cet article RGPD, 1 an de travaux, quel bilan en tirer ? (1/2) est apparu en premier sur RiskInsight.

Ce billet de blog fait partie d’une série d’articles issue d’une synthèse sur la vie privée à l’ère numérique publiée sur notre site web. 

Un cadre réglementaire de plus en plus international

Le concept de vie privée, évoqué dès l’Antiquité, est présent depuis plusieurs centaines d’années dans différents textes de loi. Il a pris corps à partir de 1948, en étant inscrit au sein de l’article 12 de la Déclaration Universelle des Droits de l’Homme : « Nul ne sera l’objet d’immixtions arbitraires dans sa vie privée (…). Toute personne a droit à la protection de la loi contre de telles immixtions ou de telles atteintes ».

La réglementation autour de la protection des données personnelles est beaucoup plus récente. Cette notion est directement liée au développement de l’informatique et de la collecte croissante de données par les organisations et les entreprises. De plus, la valeur marchande de la donnée est un enjeu supplémentaire qui complexifie l’émergence d’un consensus réglementaire international. La Suède est le premier État à avoir légiféré sur le sujet en 1973. En France, la « Loi Informatique et Libertés » a été promulguée en 1978 à l’issue des débats suscités par le projet Safari visant à créer une base de données centralisée des individus.

Sans passer en revue chacune des lois nationales et leur actualité, l’analyse des initiatives mises en œuvre à des échelles régionales permet de dresser un portrait des grandes tendances à l’œuvre en termes de protection de la vie privée.

Union Européenne : l’Etat protège les citoyens

L’Union Européenne a été la première institution à légiférer sur le sujet à une large échelle en 1995 avec la publication de la directive 1995/46/CE. Ce premier effort d’harmonisation législative au niveau de l’Union Européenne a mis en place différents principes ensuite déclinés dans le droit des différents États membres, parmi lesquels l’instauration d’autorités de contrôle dans chacun d’entre eux. Il puise ses racines dans les « Lignes directrices régissant la protection de la vie privée et les flux transfrontaliers de données de caractère personnel » publiées par l’OCDE en 1980, qui étaient sans valeur contraignante.

En avril 2016, l’Union Européenne a fait le choix de renforcer sa législation avec le Règlement Général sur la Protection des Données (ou GDPR en anglais, comme nous y ferons référence), qui sera, à la différence de la directive de 1995, directement applicable dans le droit des États membres de l’UE.

La mise en œuvre effective étant prévue pour mai 2018, les organisations et entreprises devront donc d’ici cette date s’assurer de leur conformité aux différents points du règlement. Des travaux vont également s’engager prochainement sur la e-privacy afin d’aligner les exigences classiques sur la vie privée dans les moyens de communication aux évolutions et innovations récentes, faisant ainsi entrer le set des correspondances dans l’ère numérique. L’Union Européenne adopte via ces textes une posture de protection par l’état des données de ses citoyens.

Etats-Unis : une responsabilisation des citoyens  avant tout

Dans le droit américain, il n’existe pas de loi ni de régulateur unique au niveau fédéral régulant la collecte et l’utilisation des données personnelles. À la place, les États-Unis disposent d’un assemblage de lois s’appliquant à certains secteurs ou États. Certaines visent des catégories particulières de données personnelles, comme les données financières ou de santé, tandis que d’autres régulent les activités faisant usage de ces données, comme le marketing digital. En parallèle de ces lois, les bonnes pratiques développées par les agences fédérales et groupements industriels sont également utilisées à des fins d’auto-régulation. Le 4e amendement à la Constitution peut également être invoqué en défense de la vie privée. Enfin, les lois de protection du consommateur, bien que ne régissant pas directement la vie privée, ont déjà interdit des pratiques considérées comme illégitimes impliquant la divulgation de données personnelles. Néanmoins, les citoyens américains conservent une certaine latitude quant au partage de leurs données personnelles.

Il existe donc des différences entre la vision américaine et la vision européenne, comme le montre l’évolution du Safe Harbor. Ce dispositif légal garantissait la protection des transferts de données entre l’UE et les États-Unis jusqu’en octobre 2015, date à laquelle la Cour de Justice de l’Union Européenne (CJUE) l’a invalidé. Le niveau de protection des données offert par les États-Unis n’était plus satisfaisant selon la CJUE, notamment à la lumière des informations révélées par Edward Snowden concernant les écoutes pratiquées par le gouvernement américain. En février 2016, États-Unis et Europe ont mis en place un nouveau dispositif, le Privacy Shield, visant à protéger davantage les transferts de données, qui est finalement entré en vigueur en août 2016.

Asie : une situation hétérogène mais en développement

Force est de constater que l’Asie abrite deux profils de pays. Certains pays font preuve d’une maturité certaine sur ce sujet, à l’image de la Corée du Sud, Singapour, Hong Kong ou de Taiwan. La Chine ne disposait pas jusqu’à récemment de législation spécifique protégeant les données personnelles, mais elle a publié en novembre 2016 un texte de loi qui sera applicable dès juin 2017 aux opérateurs réseaux au sens large. Cette nouvelle réglementation intégrera certains principes communément admis du respect de la vie privée et exigera également le stockage des données personnelles sur le territoire chinois. En regard, dans beaucoup d’autres pays de la zone, la protection des données personnelles n’est pas encore entrée dans les mœurs même si des réflexions sont en cours.

Reste du monde : des initiatives régionales de développement

En Afrique, la première législation date de 2001 et est cap-verdienne. En 2004, le Burkina Faso est le premier État à instaurer un régulateur national. Au niveau régional, la Convention de l’Union Africaine sur la cybersécurité et la protection des données à caractère personnel, signée en 2014 par 18 pays, reprend des notions directement issues de la législation européenne, sans leur donner de valeur contraignante.

Au Moyen-Orient, plusieurs États comme les Émirats Arabes Unis (EAU) et l’Arabie Saoudite n’ont pas de législation spécifique protégeant les données personnelles. La particularité de ces deux pays réside dans le fait qu’en cas de vide juridique, la charia prévaut. Or le droit islamique prévoit la possibilité de demander des dommages et intérêts si la divulgation abusive de données personnelles a occasionné un préjudice.

En Amérique du Sud, plusieurs pays bénéficient de garanties constitutionnelles concernant la protection des données personnelles et disposent de régulateurs indépendants. C’est le cas de l’Argentine et l’Uruguay, pays reconnus par la Commission Européenne comme assurant un niveau de protection adéquat des données.

Cet article Vie privée : quel cadre juridique à l’échelle internationale ? est apparu en premier sur RiskInsight.

Retour sur ce règlement et sur ce projet de mise en conformité avec Didier Lefèvre (DSI, CSN) et Yannick Thomassier (DSSI, Real.Not, opérateur de l’IGC du CSN).

Que pensez-vous de ce nouveau règlement ?

Yannick Thomassier : Avant ce règlement, il existait la directive 1999/93/CE mais un audit effectué dix ans après sa mise en place a mis en lumière ses limites. La réflexion initiée alors par la Commission au Parlement européen dans sa communication du 26 août 2010 (Une stratégie numérique pour l’Europe) est claire : « […] la Commission a désigné la fragmentation du marché du numérique, le manque d’interopérabilité et l’augmentation de la cybercriminalité comme les principaux obstacles au cercle vertueux de l’économie numérique ». Le règlement européen se veut remédier à certaines lacunes de la directive 1999/93/CE en imposant une même base légale à tous les États membres. Cependant le règlement n’a pas été pour le moment assorti des actes d’exécution nécessaires à une transposition technique unique au sein de l’Europe. Chaque État membre doit donc décider de la façon dont il l’appliquera et ainsi fixer ses propres règles. Ceci correspond finalement au schéma d’implémentation que nous connaissons actuellement avec la directive 1999/93/CE. En cela le règlement n’a pas encore complètement rempli ses promesses.

Didier Lefèvre : Néanmoins, une des vertus d’eIDAS est qu’il vise à établir une référence sur l’ensemble de la chaine de confiance. Ceci est une amélioration par rapport à la directive 1999/93/CE qui n’adressait qu’un spectre réduit, à savoir la signature électronique.

Pourquoi vous lancez-vous aujourd’hui dans cette mise en conformité eIDAS ?

YT : Nous sommes dans l’obligation de nous mettre en conformité dans la mesure où la signature des notaires est une signature qualifiée.

Quelles sont les opportunités que représente ce règlement pour vous ?

YT : Nous y voyons un intérêt pour le développement de la signature dans le Cloud. L’utilisation de la carte à puce pour signer des actes notariés est un premier pas vers la dématérialisation, mais celle-ci reste encore très contraignante. Or aujourd’hui, l’usage informatique ne se limite plus à un ordinateur, mais il inclut les smartphones, les tablettes, etc. Le notaire est de plus en plus mobile, et il doit être capable de signer via ces dispositifs afin de se démarquer et répondre aux besoins de ses clients. Le règlement eIDAS est une formidable opportunité d’offrir d’autres moyens de signature qualifiée.

Quelles sont la/les principale(s) difficulté(s) que vous avez rencontrée(s) ?

YT : Le planning. Nous avons opté pour une anticipation maximale de cette mise en conformité, car le changement est un processus fastidieux et très long : il faut compulser de nombreux documents, définir de nouveaux processus, mettre en œuvre parfois de nouveaux produits et faire concorder le tout dans un planning qui respecte les jalons fixés dans le règlement lui-même. D’autant plus qu’en tant que professionnel du droit, nous nous devons d’être prêts au bon moment.

Quels conseils donneriez-vous à ceux qui souhaiteraient se lancer dans un projet de conformité similaire ?

YT : Il y a principalement deux points sur lesquels il faut être vigilant. D’une part, il est nécessaire de faire preuve d’agilité face à un nouveau règlement, soumis à de potentielles évolutions. Le corpus documentaire technique français par exemple n’est pas encore figé. D’autre part il faut se mettre en ordre de marche assez rapidement afin de préparer l’audit de certification dans de bonnes conditions.

Comment voyez-vous le futur concernant ce règlement européen ?

YT : L’implémentation technique du règlement eIDAS est sujette à l’interprétation de la part des organes de contrôle nationaux. Cela pourrait impacter son déploiement. Il pourrait donc il y avoir une phase 2 au règlement afin d’en clarifier l’implémentation et rendre ainsi son déploiement homogène au sein de l’Europe.

Et pour la suite ?

YT : Nous espérons obtenir notre qualification eIDAS dans les temps. Rendez-vous le 1er juillet 2017 !

Cet article Nouveau règlement eIDAS : retour sur un projet de mise en conformité est apparu en premier sur RiskInsight.

VERS UN CADRE COMMUN

Bien qu’aujourd’hui le règlement reprenne la majeure partie des dispositions de la directive qu’il abroge, il y apporte cependant quelques modifications, et de nouvelles dispositions, renforçant ainsi cette reconnaissance européenne des services de confiance. Le règlement détermine notamment :

• Les conditions dans lesquelles un État membre reconnaît les moyens d’identification électronique des personnes physiques et morales qui relèvent d’un schéma d’identification électronique notifié d’un autre État membre ;
• Les règles applicables aux services de confiance, en particulier pour les transactions électroniques ;
• Le cadre juridique pour les services de signatures électroniques, de cachets électroniques, d’horodatages électroniques, de documents électroniques, d’envoi recommandé électronique et les services de certificats pour l’authentification de site internet.

Contrairement à la directive 1999/93/CE, eIDAS est un règlement, il n’y a donc pas de transposition nationale, le texte est applicable pour l’ensemble des États membres.

VERS UNE HARMONISATION EUROPÉENNE : LES POINTS CLÉS

Le règlement introduit un certain nombre de nouvelles notions, parmi lesquelles on peut noter :

• L’acceptation du document électronique en tant que preuve devant la justice;
• La création d’un label de confiance pour un marché plus transparent ;
• L’encadrement des méthodes de validation de signatures qualifiées par le biais de prestataires de services de confiance ;
• Le service de conservation qualifié des signatures électroniques qualifiées pour garantir la fiabilité des signatures et donc leur valeur dans le temps ;
• L’horodatage au niveau européen permettant une reconnaissance de la datation et de l’intégrité de données numérique et donc de la validité juridique du document dans toute l’UE ;
• L’obligation pour les États membres de maintenir des listes de confiance des services et prestataires qualifiés et labélisés à disposition du grand public ;
• L’assouplissement de la signature sécurisée : reconnaissance de la signature créée à distance par un tiers de confiance au nom du signataire pour faciliter les usages en mobilité.

Parmi les autres points remarquables, nous pouvons citer l’apparition d’un nouveau principe juridique : la signature électronique de personne morale. Le cachet électronique permettra donc aux entreprises et administrations de signer électroniquement en leur nom des documents afin de certifier leur provenance. Concrètement, un juge français ne pourra pas refuser un cachet ou une signature électronique apposé par un italien avec une solution allemande. Enfin, nous pouvons également souligner l’introduction de la notion de signature qualifiée côté serveur, ce qui permettra otamment le développement de nouvelles offres (en SaaS), objectif clairement affiché de ce nouveau règlement.

eIDAS définit ainsi une graduation en 3 niveaux de signature de personne physique, synthétisé dans le tableau ci-dessous, contre 2 niveaux anciennement pour la directive.

3 niveaux de signature physique

L’Europe s’intéresse à l’adoption de ces technologies dans les pays membres

Les autorités européennes, en particulier la direction générale de l’informatique (DG DIGIT) en charge des 4 piliers fondamentaux que sont l’eInvoicing, l’eDelivery, l’eSignature et l’eID, ont souhaité évaluer concrètement les forces en présence dans chaque pays. À ce titre, ils ont fait réaliser par Wavestone Luxembourg un sondage et organisé des groupes de travail à l’échelle européenne pour identifier les acteurs présents sur le marché et leurs besoins. Les différentes solutions pour stimuler l’adoption de chacun de ces piliers fondamentaux ont été analysées et discutées avec l’ensemble des acteurs. Résultats à venir !

Cet article Nouveau règlement eIDAS : en route vers une Europe de la confiance numérique est apparu en premier sur RiskInsight.

Pourtant, ce concept n’est pas nouveau : la Blockchain est la technologie sur laquelle s’appuie la crypto-monnaie Bitcoin, apparue en 2009. Mais alors, pourquoi ce regain d’intérêt ? Quelles sont les caractéristiques de cette technologie et quels usages peut-elle favoriser ? Quels sont les obstacles à surmonter pour qu’elle puisse se démocratiser ?

Des algorithmes remplacent le tiers de confiance

La Blockchain est une technologie qui permet aux membres d’un même réseau d’effectuer en toute confiance des opérations de stockage et de transmission d’informations, appelées « transactions », et ce en toute confiance, sans aucune autorité centrale de contrôle.

Cette technologie se présente sous la forme d’un registre contenant l’ensemble des transactions enregistrées depuis sa création (dans le cas de la Blockchain Bitcoin, il s’agit par exemple de l’intégralité des transactions financières effectuées depuis la création de cette crypto-monnaie). Ce registre dispose de 2 caractéristiques essentielles :

• Il est distribué: tous les membres du réseau disposent d’une copie du registre, rendant quasiment impossible la modification de ce registre par un individu sans l’aval du reste du réseau ;
• Il est fiabilisé par les acteurs du réseau – : la confiance établie au sein du système est assurée par les membres du réseau eux-mêmes ; aucune autorité centrale ne joue le rôle de tiers de confiance.

Au sein du registre, les transactions sont regroupées dans des « blocs » enchainés par ordre chronologique (dans le cas de la Blockchain Bitcoin, un bloc correspond à environ 10 minutes de transactions). Le schéma ci-dessous permet de comprendre la cinématique de création d’un nouveau bloc, et donc l’enregistrement d’une nouvelle transaction dans la Blockchain.

Cinématique de rajout d’un Bloc à la Blockchain – Vision globale

Ainsi, le tiers de confiance est remplacé par des algorithmes permettant à tous les membres du réseau de vérifier facilement que les mineurs n’ont pas ajouté, supprimé ou modifié une transaction lors de la création des nouveaux blocs.

Du simple stockage sécurisé à l’exécution de « contrats » intelligents

Toute situation faisant intervenir un tiers de confiance coûteux ou faillible est une opportunité pour créer un cas d’usage Blockchain. Banque, immobilier, santé, transport… tous les secteurs se sentent concernés et réfléchissent actuellement aux opportunités offertes par la Blockchain pour améliorer ou remplacer les modèles actuels.

Trois catégories de cas d’usage se distinguent aujourd’hui :

• Record keeping – Blockchain utilisée comme registre de stockage pour déposer des données dont on souhaite garantir la preuve de par leur existence, leur date de création et le droit de propriété, comme par exemple : des brevets, des données médicales, etc.
• Digital transactions – Blockchain utilisée pour du transfert de valeur : transaction immobilière, crowdfunding, crypto-monnaies, etc.
• Smart-contracts – Blockchain utilisée pour développer et stocker des smart-contracts, à savoir des contrats entre plusieurs parties, rédigés sous forme de code informatique, et qui s’exécutent sans intervention humaine selon les conditions et termes qu’ils contiennent.

Les acteurs du monde de la finance s’intéressent tout particulièrement à la Blockchain. Que ce soit en France ou à l’international, de nombreuses initiatives sont menées, parfois sous forme de consortium, dans le but d’évaluer le potentiel des usages de cette technologie dans le secteur et de définir des protocoles standardisés.

Bien que la Blockchain ait été initialement pensée comme un système public, la plupart des réflexions actuelles concernent des Blockchains privées (propre à une organisation) ou hybrides (propre à un ensemble de partenaires).

Performance, écologie et réglementation : les obstacles à surmonter

À titre d’exemple, le réseau Bitcoin permet d’enregistrer environ 7 transactions par seconde, à comparer aux 2 000 transactions par seconde de VISA. Pour s’imposer à large échelle et développer de nouveaux cas d’usage, la Blockchain doit donc pouvoir améliorer ses performances.

Le défi de la performance repose sur une définition et un calibrage des paramètres intrinsèques à la Blockchain en fonction de l’usage que l’on souhaite faire de celle-ci (taille des blocs, processus de création des blocs…).

De plus, elle s’avère très consommatrice en énergie. La consommation électrique actuelle du réseau Bitcoin est notamment équivalente à celle de 280 000 foyers américains.

La réglementation s’avère aussi être un obstacle, l’évolution rapide de la technologie et des cas d’usage amenant de nouvelles interrogations : application du processus KYC (Know Your Customer) ? Poids juridique d’un smart-contract ? Etc. Certains ministères et parlementaires français commencent à s’y intéresser sérieusement (cf. encadré).

Timeline – Réglementation Blockchain en France

Cet article La blockchain : un nouveau modèle pour la confiance ? est apparu en premier sur RiskInsight.

Au cours du Cybersecurity Summit de l’année 2016, l’un des principaux événements de l’île autour de la cybersécurité, l’autorité des marchés de Hong Kong (Hong Kong Monetary Authority – HKMA) a annoncé le lancement du programme CFI, ou « CyberSecurity Fortification Initiative ». Il s’agit d’un plan pluriannuel visant à renforcer la sécurité des banques locales.

Voici les principaux points à retenir de cette initiative, qui reprend les meilleures pratiques internationales en termes de cybersécurité, ainsi qu’une approche novatrice de la cyber threat intelligence.

Une amélioration du niveau de sécurité articulée autour de trois axes

CFI est une initiative sur laquelle travaille la HKMA pour renforcer la cyberresilience (i.e. la capacité à résister/survivre d’une cyberattaque) des organisations. Elle cible toutes les institutions autorisées [1] Authorized Institutions (ou AIs), autrement dit l’ensemble des banques de Hong Kong et repose sur trois piliers :

Un framework d’évaluation de la « cyber-résilience »

Chaque banque aura en charge le déploiement du framework sur son périmètre, ce qui permettra à la HKMA d’ »obtenir une vue globale du niveau de maturité des AIs individuelles ainsi que de l’ensemble du secteur bancaire ». Il se décompose en trois grandes étapes :

• Évaluation des risques dit « inhérents » : étude du niveau de risque de l’organisation, sur les volets aussi bien métiers que technologiques – ce qui nécessite une bonne compréhension de ces deux domaines. Le niveau de risque sera évalué comme élevé, moyen ou faible.
• Évaluation de la maturité : une évaluation du niveau actuel de maturité de l’organisation en termes de cybersécurité
• Des simulations de cyber-attaques, ou Intelligence-led Cyber Attack Simulation Testing (iCAST), pour les banques ayant un risque inhérent évalué comme élevé ou moyen. L’objectif de cette étape est de simuler les cyberattaques, non seulement d’un point de vue technique, mais aussi en prenant en compte les personnes et les processus.

Bien que tous les détails ne soient pas encore publics, les deux premières étapes sont similaires à l’outil FFIEC Cybersecurity Assessment Tool, mis en place par le régulateur américain, et qui a été déployé par de nombreuses grandes banques au cours de l’année passée.  Une correspondance doit être faite entre le niveau de risque et le niveau de maturité réelle. En cas d’écart de ces deux indicateurs, la banque devra fournir une feuille de route pour le combler.

La troisième étape, elle, est plus innovante, en particulier de la part d’un régulateur. En effet, iCAST ne repose pas seulement sur des tests d’intrusion techniques, mais demandera aux banques de réaliser de véritables tentatives d’attaques, en s’appuyant notamment sur des données issues de la threat intelligence. Ce type de test « agressif » (aussi appelé « Red Team ») est l’un des moyens les plus efficaces pour tester le niveau de sécurité réel d’une organisation.

1. Un programme de développement professionnel

Le CFI vise également à professionnaliser le secteur de la cybersécurité à Hong Kong, en instaurant un système de certification et de formation offrant trois niveaux : « basique », « professionnel » et « expert ». Il est prévu que les certifications du Council for Registered Ethical Security Testers (ou CREST) britannique intègrent ce programme de développement. Des équivalences seront par ailleurs mises en place pour « veiller à ce qu’une expérience ou une expertise dans le domaine de la cybersécurité soit reconnue. ».

2. Une plateforme de partage CyberIntelligence

La threat intelligence, ou renseignement sur les menaces en français, est devenue essentielle. Chaque entreprise peut développer ses propres compétences et méthodes, mais le succès même de l’approche passe par le partage de l’information. Par conséquent, la HKMA planifie de lancer une plate-forme de partage CyberIntelligence, accessible à toutes les banques agréées à Hong Kong. Son objectif sera d’offrir un système sécurisé et adapté pour partager des données pertinentes, sans compromettre la confidentialité des informations.

3. Un déploiement pas à pas pour le programme

Trois étapes ont été fixées pour les banques à Hong Kong :

• Une consultation du secteur bancaire a commencé fin mai 2016 pour une durée de trois mois, afin de récupérer des retours sur la version préliminaire du framework de cyber-résilience.
• Il est important de noter que la HKMA requiert une participation des conseils de surveillance ou des directions générales des banques. L’évaluation devra être menée par des « professionnels qualifiés possédant les connaissances et l’expertise nécessaires ».
• La HKMA travaillera avec les organisations professionnelles et publiques afin de déployer les premiers cours de formation et de mettre en place de la plate-forme de partage CyberIntelligence d’ici fin 2016.

L’évolution des normes à Hong Kong

Cette initiative de la HKMA tombe dans un contexte réglementaire en rapide évolution à Hong Kong. Plusieurs approches susceptibles de changer la donne vont en effet y façonner l’avenir de la sécurité de l’information dans les années à venir.

En particulier, la circulaire récente sur la cybersécurité ciblant les organisations régulées par la Securities and Futures Commission (SFC), et la révision à venir sur les lois traitant des données à caractère personnelles.

Avec près de 200 banques sur son territoire, Hong Kong se saisit ainsi pleinement du sujet de la cybersécurité, crucial pour maintenir sa position de centre financier de premier plan en Asie.

Cet article Hong Kong lance un vaste programme Cybersécurité pour son secteur bancaire est apparu en premier sur RiskInsight.

La directive NIS fixe un cap

Comme l’indique son nom, la directive NIS n’est ni une loi, ni un règlement. Elle donne un objectif à atteindre, mais laisse le choix des moyens pour y arriver. Comme pour toute directive, elle doit être transposée par chacun des pays membres en lois qui fixeront les moyens pour y arriver. La LPM française ou le IT Security Act allemand en sont des exemples. L’ANSSI a récemment annoncé être en charge du pilotage de la déclinaison en France.

Il est possible de diviser les obligations données par la directive en trois catégories :

• Définition d’un modèle de gouvernance national (articles 5,6,7) : chaque État membre doit adopter une stratégie nationale, en définissant des objectifs et une législation appropriée dans le but d’atteindre un haut niveau de sécurité national.
  Pour cela chaque pays doit se doter au moins d’une autorité compétente, chargée de la transposition de la directive en loi. Cette autorité peut être unique, comme c’est le cas en France avec l’ANSSI, ou peut être divisée selon les différents secteurs essentiels. Les dites-autorités sont invitées à se rapprocher de l’ENISA (Agence européenne chargée de la sécurité des réseaux et de l’information) pour obtenir de l’aide.
  De même, un CSIRT (Computer Security Incident Response Team) national doit être désigné. En charge de la gestion d’incident nationaux, il a pour mission d’alerter et de partager sur les risques et les incidents, et de reporter les notifications d’incidents aux entités adéquates. Enfin, un point de contact unique doit être désigné pour participer à la coopération transfrontalière sur les objectifs stratégiques et les moyens mis en place.

• Mise en place de mesures de sécurité et de systèmes de notification d’incident pour les opérateurs de services essentiels (article 14 et 15a) : les entités identifiées par les pays comme indispensables à la pérennité d’activités critiques (économiques ou sociales) doivent mettre en place des mesures pour appréhender les risques ainsi que leurs impacts. Ces opérateurs ont également l’obligation de notifier immédiatement à l’autorité compétente tout incident dont la nature pourrait impacter significativement la continuité du service. La notion d’impact,laissée à la libre évaluation de l’entité, dépend du nombre d’utilisateurs touchés, de la durée de l’incident et de la portée géographique.
  La directive impose des actions similaires aux « fournisseurs de services numériques ». Ces fournisseurs correspondent aux les places de marchés en ligne, les moteurs de recherches, les services cloud, à l’exception des TPE et des microentreprises (2003/361/EC). Leurs obligations sont légèrement moindres (règles spécifiques au niveau des États et obligation de notifications plus restreintes), comme leurs activités ne nuiront pas directement à la vie des personnes, mais plutôt à l’économie.

• Participation aux initiatives de partage d’information et collaboration (article 8) : Lors de la présentation de la directive, le vice-président de la Commission Européenne en charge du Marché unique numérique, Adrus Ansip, et le Commissaire européen à l’Économie et à la Société numérique, Günther H. Oettinger, ont insisté sur la nécessité d’une coopération entre les institutions publiques européennes et nationales avec les acteurs privés. Ils ont également rappelé l’importance de la standardisation pour faciliter les échanges inter-frontaliers. Une réponse à ces besoins se traduit par la création d’un réseau de CSIRT et d’un groupe de coopération stratégique composé de représentants des pays membres de la Commission Européenne et de l’ENISA.

La directive NIS en renfort de la LPM

En France, la directive NIS vient accroître la légitimité de la Loi de programmation militaire dont certains arrêtés ont été publiés le 23 juin dernier.

Plusieurs différences sont toutefois notables entre le texte européen et la loi française, notamment dans la partie concernant les obligations des entreprises.

• Alors que la France a identifié 12 secteurs d’importance vitale (SIV), la directive NIS n’en reconnait que 6 (énergie, transport, banques, distribution et provision d’eau potable, infrastructures financières, santé) auxquels s’ajoutent les fournisseurs de services numériques non couverts par la LPM actuelle. Ces fournisseurs ont été estimés à près de 1400 pour l’ensemble du territoire européen. De plus, certains secteurs comme l’industrie ne sont pas inclus dans la démarche, et ne profiteront pas de l’impulsion donnée au sommet de l’Europe.
• Au sein d’un même secteur, les opérateurs concernés ne seront pas forcément identiques. En effet, la directive NIS ne considère que ceux dont l’activité dépend fondamentalement des réseaux et des systèmes d’information.
• Bien que les obligations pour les entités considérées comme sensibles soient similaires, la LPM va un cran plus loin et requière que les organisations identifiées dans le secteur d’importance vitale soient auditées par des prestataires qualifiés, alors que cela n’est pas rendu obligatoire par le texte européen. Chaque pays sera libre d’adapté le texte.

En définitive, les opérateurs des secteurs d’importance vitale français ayant initié un processus de mise en conformité à LPM seront globalement en accord avec les objectifs fixés par la directive. En revanche, certaines organisations devront mettre en place des mesures pour identifier et réduire les risques, en particulier celles du secteur de fournisseurs de services numériques car non concernées par la LPM.

21 mois pour s’aligner à la directive

La directive NIS entrera en vigueur 20 jours après publication au Journal Officiel de l’Union Européenne, c’est-à-dire en août 2016. Suite à cela, les différents États membres disposeront de 21 mois pour transposer cette directive en lois nationales. Une période de 6 mois supplémentaire sera donnée pour identifier les opérateurs de services essentiels correspondants aux secteurs identifiés.

Afin d’aligner la gouvernance nationale avec le cap fixé par la directive NIS, il restera un certain nombre d’interrogations auxquelles devra répondre chacun des pays de l’UE : Qui va prendre en charge cette transposition ? Combien d’autorités compétentes ou de CSIRT désigner à l’échelle nationale ? Quels moyens faut-il mettre à disposition ? Est-il nécessaire d’écrire de nouvelles lois ou simplement faire des amendements d’anciennes lois ?

La directive NIS est un pas important pour obtenir une cybersécurité unifiée à l’échelle européenne et c’est devenu une nécessité, car les cybercriminels eux, ne connaissent pas les frontières.

Cet article Directive NIS : Une confiance accrue dans le cyberespace européen est apparu en premier sur RiskInsight.

Cette réflexion avait notamment été initiée par la Commission au Parlement européen dans sa communication du 26 août 2010 (Une stratégie numérique pour l’Europe).  Bien qu’aujourd’hui le règlement reprenne la majeure partie des dispositions de cette directive auxquelles sont apportées quelques modifications, de nouvelles dispositions y sont décrites et viennent renforcer et développer l’acquis qu’elle représente.

Création d’un cadre transnational et intersectoriel

Le principal problème recensé est notamment cité au point (9) du règlement : « Dans la plupart des cas, les citoyens ne peuvent pas utiliser leur identification électronique pour s’authentifier dans un autre État membre parce que les systèmes nationaux d’identification électronique de leur pays ne sont pas reconnus dans d’autres États membres ». Cette non-reconnaissance est due à l’interprétation et à la mise en œuvre technique par chaque État membre de la directive, ce qui amène ainsi  des problèmes d’interopérabilité et des divergences  lors des contrôles effectués. Concernant les services de confiance tels que l’horodatage ou encore le cachet, les divergences pouvaient émaner de l’absence de cadre juridique clair au niveau européen.

C’est pourquoi, l’objectif du règlement eIDAS (electronic IDentification And trust Services) est d’«instaurer un climat de confiance dans l’environnement en ligne » en fournissant un cadre transnational et intersectoriel complet pour des transactions électroniques sûres, fiables et aisées entre citoyens. Ce climat de confiance couvre donc l’identification et l’authentification électroniques, mais également d’autres services de confiance tels que l’horodatage ou encore le recommandé électronique. La mise en place d’un tel cadre permettra d’effectuer des démarches administratives dans tous les pays membres de l’Union et imposera la reconnaissance mutuelle.

Cependant, il est nécessaire de souligner que le règlement reste ouvert puisqu’il laisse la liberté aux pays membres de définir d’autres types de services de confiance à des fins de reconnaissance au niveau national comme des services de confiance qualifiés.

Concrètement, qu’est-ce que eIDAS va changer ?

Un des premiers points notables concerne la mise en conformité en vue d’une qualification eIDAS pour les Prestataires de Services de Confiance (PSCO). Afin d’intégrer la liste des PSCO qualifiés (qui devra être publiée régulièrement) et donc reconnus par les États membres, ils devront respecter un ensemble d’exigences de sécurité (mesures techniques, organisationnelles, etc.). Pour cela, ils devront s’appuyer sur les standards décrivant les mesures à mettre en place : analyse de risques, plan de cessation d’activité, processus de délivrance en face à face, notifications en cas d’atteinte à la sécurité, contrôles, responsabilités, etc. L’interopérabilité technique des systèmes passe donc par la revue des référentiels nationaux, comme le Référentiel Général de Sécurité (RGS) ; et la coopération des pays membres.

Cependant, la qualification reste une démarche volontaire, et un label de confiance UE sera créé pour identifier les PSCO qualifiés. Pour obtenir ce label, les prestataires de services de confiance devront se soumettre à des audits qui attesteront du respect des mesures définies dans les standards adossés au règlement. Il est donc fort probable que dans les mois qui viennent, les PSCO recherchant la qualification eIDAS lancent des projets globaux de mise en conformité comprenant la mise à jour documentaire (PC, DPC, PH, DPH, CGU, etc.), la revue de leur architecture d’Infrastructures de Gestion de Clés (IGC), de leurs gabarits de certificats, etc. À noter que les prestataires qualifiés dans le cadre de la Directive restent qualifiés au sens du règlement jusqu’au renouvellement de leur qualification mais devront passer un audit avant le 1er Juillet 2017 pour renouveler leur qualification.

Parmi les autres points remarquables, nous pouvons citer l’apparition d’un nouveau principe juridique : la signature électronique de personne morale. Le cachet électronique permettra donc aux entreprises et administrations de signer électroniquement en leur nom des documents afin de certifier leur provenance. Concrètement, un juge français ne pourra pas refuser un cachet ou une signature électronique apposé par un italien avec une solution allemande.

Enfin, nous pouvons également souligner l’introduction de la notion de signature qualifiée côté serveur, ce qui permettra notamment le développement de nouvelles offres (en SaaS) ; objectif clairement recherché du règlement eIDAS.

Cet article Confiance numérique: que doit-on attendre du règlement eIDAS ? est apparu en premier sur RiskInsight.

Le trilogue informel débuté en juin dernier semble finalement avoir porté ses fruits. En effet, dans son communiqué du 15 décembre 2015, la Commission Européenne a annoncé qu’un accord a été conclu entre elle-même, le Conseil de l’Union Européenne et le Parlement Européen. Le texte est donc prêt à être promulgué, ne reste plus qu’au Parlement et au Conseil d’adopter formellement le texte (voir la procédure d’adoption d’un règlement européen). Nous avions précédemment parcouru le contenu des dernières propositions en date afin d’en décrypter les 3 impacts majeurs, nous vous proposons aujourd’hui d’en faire de même sur la version finale du règlement.

QUEL CHANGEMENT POUR LES ENTREPRISES ?

Premier point important à noter, le règlement n’impose pas les mêmes obligations aux multinationales et aux PME de moins de 250 employés (cf. Commission Recommendation 2003/361/EC of 6 May 2003) : ces dernières, sous certaines conditions (absence de traitements sensibles et réalisation de traitements de données occasionnels) se voient dispensées de l’obligation de tenir un registre des traitements.

Responsabilisation ou « Accountability »

Le règlement fait disparaitre l’obligation de déclaration des traitements mais impose la tenue d’une documentation permettant au responsable de traitement de prouver sa conformité détaillant : les coordonnées du responsable de traitement, la liste des traitements de données avec leur finalité, les catégories de personnes concernées, les personnes pouvant accéder aux données, les transferts internationaux, la date de suppression des données et les mesures de sécurité associées. Le Data Privacy Officer (DPO), s’il est nommé, sera le garant de ce registre. Cependant, pour les traitements identifiés comme sensibles à la suite d’une l’analyse d’impact, le responsable de traitement devra consulter son autorité de référence avant de le mettre en œuvre. Cette autorité pourra lui imposer des mesures à mettre en place.

Le DPO ne sera pas généralisé à toutes les entreprises et contrairement à ce qui avait été proposé, il n’y aura pas de seuil relatif au nombre d’employés ou de personnes concernées par le traitement. L’obligation de nommer un DPO sera limitée :

• Aux autorités publiques (à l’exception des tribunaux) ;
• Aux entreprises qui, de par leurs activités, collectent des données personnelles de manière systématique ou sur un grand nombre de personne ;
• Aux entreprises dont le cœur de métier de l’entreprise repose sur des traitements définis comme sensibles par le règlement au sein de l’article 9.

Les tâches et activités du DPO sont définies par le règlement :

• Servir de point de contact aux contrôleurs,
• Participer aux analyses d’impact,
• Surveiller la conformité de l’entreprise au règlement
• Conseiller le responsable de traitement et ses employés sur les sujets relatifs aux données à caractère personnel.

Dernier point à noter, ce DPO ne devra pas nécessairement être employé directement par le responsable de traitement et pourra être mutualisé, à condition qu’il reste facilement accessible.

Mise en place du Privacy by Design

Les responsables de traitement devront garantir que les traitements de données ne portent pas atteinte à la vie privée des personnes en recourant à divers mécanismes (pseudo anonymisation, collecte des données au strict minimum nécessaire, durée de conservation, restriction des accès…). Cette réflexion devra non seulement être réalisée au moment de la conception du traitement, mais également tout au long de la durée de vie du traitement à l’aide d’un processus d’audit préalablement défini. Afin d’accompagner les entreprises dans ces travaux, des codes de conduites ou des certifications pourront être mis en place par les contrôleurs.

Le règlement prévoit explicitement que des analyses d’impacts sur la vie privée des personnes soient réalisées sur les traitements présentant des risques pour les droits et libertés des individus. Ces analyses permettront de définir les mécanismes de sécurité à y associer ou encore la nécessité de modifier le traitement. Ce sera le DPO qui devra arbitrer sur la nécessité de réaliser ces analyses.

Là encore, afin d’accompagner les entreprises, deux mesures sont mises en place : les contrôleurs sont invités à établir une liste de traitements pour lesquels une analyse d’impact est obligatoire et en cas de fort risque identifié par l’entreprise, elle devra collecter l’avis du contrôleur compétent sur le traitement.

Point intéressant à noter, une unique analyse pourra être réalisée pour un ensemble de traitement similaire.

Notification des fuites

Le règlement entérine également l’obligation de notification des fuites de données. En effet, le responsable de traitement aura 72h pour notifier les autorités en décrivant : la nature de la fuite de données, le nombre et la catégorie de personnes concernées, la nature ainsi que le volume des données et le plan de remédiation.

Par ailleurs le responsable de traitement devra également notifier, sans délai, les personnes concernées s’il estime que la fuite présente un risque avéré pour ces personnes.

Les autres mesures à garder en tête

Il a été décidé de renforcer les pouvoirs du « European Data Protection Board », groupement de l’ensemble des autorités de contrôle, qui devra s’assurer de la cohérence de l’application du règlement au sein des différents Etats de l’Union Européenne.

Le droit à la portabilité, qui n’était pas systématiquement présent entre les différentes versions du règlement a été réintégré. Pour les entreprises, cela signifie qu’elles devront être capables de restituer l’ensemble des données personnelles à la personne concernée sous un format structuré et pouvant être traité simplement. Par ailleurs, ces données pourront également être transmises directement à une autre entreprise sur demande.

Comme évoqué précédemment, une liste des données sensibles a été définie dans le règlement : origine ethnique, opinions politiques, religieuses ou philosophiques, données génétiques, biométriques, relatives à la santé et aux préférences sexuelles des personnes. Le traitement de ces données sera soumis à de strictes restrictions.

En plus de ces données, les autorités de contrôle, via le « European Data Protection Board », pourront définir une liste de traitements sensibles.

Le principe du guichet unique a été précisé. Chaque entreprise devra choisir une autorité de référence (celle de son établissement principal) qui lui servira du point de contact unique avec l’ensemble des autorités de contrôle. Cependant n’importe quelle autorité pourra décider d’une action envers le responsable de traitement. Elle devra pour cela en informer néanmoins l’autorité de référence qui restera l’interlocuteur unique de l’entreprise. En cas de désaccord entre les 2 autorités, un arbitrage aura lieu au sein du « European Data Protection Board ».

Concernant les sanctions, deux seuils sont fixés en cas de non-conformité au règlement européen suivant la nature de l’infraction (l’article 79 du règlement détaille la liste des infractions pour chacun des seuils :

• Un premier seuil à 2% du chiffre d’affaire mondial ou 10 millions d’euros (maximum des 2 valeurs) pour les infractions mineures : absence de registre des traitements, non nomination d’un DPO si elle est obligatoire ou encore non réalisation des analyses d’impact
• Un deuxième seuil à 4% du chiffre d’affaire mondial ou 20 millions d’euros (maximum des 2 valeurs) pour les infractions les plus graves : non recueil du consentement, non-respect des droits des personnes, transfert international illégal ou encore non-respect d’une interdiction de mise en œuvre d’un traitement.

Le montant des amendes dépendra de la nature de l’infraction ainsi que de l’éventuelle récidive du responsable de traitement.

Que retenir ?

Nous nous dirigeons donc de manière certaine vers une accentuation de la responsabilité et de l’autonomie des entreprises concernant la gestion des données personnelles : le modèle de contrôle « a priori » va se transformer en un modèle de contrôle et sanction « a postériori ». Le message est clair : les entreprises pourront bénéficier d’une plus grande souplesse concernant la gestion des données à caractère personnel, mais seront susceptibles d’être sanctionnée beaucoup plus fortement.

Cela devrait également permettre aux autorités de contrôle de se concentrer sur les sujets les plus sensibles et d’être capables de répondre aux requêtes dans des délais raisonnables.

Prochaine étape, le texte doit maintenant être officiellement approuvé par le Parlement et le Conseil. Compte tenu du calendrier des réunions, nous pouvons supposer un règlement promulgué en Avril prochain, suivi d’une période de deux ans pour la mise en conformité.

Cet article Nouveau règlement Européen sur la protection des données personnelles : quels impacts suite à la version du trilogue ? est apparu en premier sur RiskInsight.

La maturité des acteurs sur le sujet MIFID2 vous semble-t-elle identique quel que soit le secteur ? Ou certains secteurs, BFI, gestion d’actifs, banque de détail… sont-ils plus avancés dans les projets ?

La révision de la directive était un rendez-vous prévu par MIFID1. Dans ce cadre, les travaux ont été lancés par la Commission européenne dès 2010, et la Commission européenne a présenté son projet de refonte dès septembre 2011. Le temps ainsi consacré à l’élaboration du texte définitif – adopté en avril 2014 -, conjugué aux travaux de communication et d’accompagnement réalisés par l’AMF, a permis à la Place d’anticiper, et explique l’implication des différents acteurs aujourd’hui, et ce quel que soit le secteur d’activité. Le marché français est sensibilisé à MIFID2. Il reste cependant en attente des textes permettant de préciser les modalités d’application, attendus de la part de la Commission européenne. Il est toutefois à noter que certaines évolutions importantes du texte européen sur les aspects de protection des investisseurs sont proches de ce qui existe en France, qu’elles figurent dans les textes ou la doctrine, ou au titre des bonnes pratiques.

MIFID2 peut-elle être aujourd’hui perçue comme une opportunité pour le marché français ?

Oui, tout à fait. La volonté du législateur européen est d’assurer d’une part une meilleure intégration des marchés en Europe, et d’autre part une harmonisation plus grande des règles qui devraient permettre aux acteurs français, plutôt bien préparés aux évolutions à venir, de se développer en Europe.

En outre, les nouvelles règles applicables en matière d’information, y compris périodique, de la clientèle, pourront être pour les prestataires l’occasion de contacts plus fréquents avec leurs clients, ce qui leur permettra d’affiner leur offre, et de promouvoir la commercialisation de produits adaptés.

Selon vous, quelles sont les zones de vigilance pour les établissements ? C’est-à-dire les mesures ayant des impacts significatifs nécessitant de lourdes adaptations (processus, systèmes d’information), mais qui pourraient être sous-estimés par les établissements ?

Le premier point de vigilance porte sur les obligations en matière de reporting qui seront plus exigeantes, tant en ce qui concerne le périmètre de ces reportings que leur contenu. Les établissements doivent en avoir pleinement conscience dans leur préparation.

Le second vise la meilleure exécution et les obligations à venir en matière de publications à mettre en place. C’est nouveau. L’AMF accompagnera les acteurs dans la mise en oeuvre mais une prise de conscience de leur part des enjeux est indispensable.

Les mesures relatives à la protection de la clientèle (gouvernance produits, informations sur les frais, information sur le conseil dépendant / indépendant) sont significatives et visent un objectif louable. Comment s’assurer d’atteindre l’objectif visé à savoir que l’information fournie soit réellement utile au client ?

La protection de l’investisseur est en effet un sujet majeur de MIFID2 et les textes développent les attentes de manière très détaillée. Ce niveau important de détail des textes n’a pas pour objectif d’augmenter la quantité d’information fournie, mais d’améliorer son homogénéité d’un intervenant à l’autre.

L’idée est de fournir des informations claires, précises et de permettre à l’investisseur de comparer des prestataires et des produits. C’est bien cet objectif qui ne doit pas être perdu de vue. La lisibilité pour l’investisseur est un aspect fondamental du texte.

Où en sommes-nous des travaux de transposition ? Peut-on craindre des divergences entre pays membres ?

Les travaux de transposition sur les textes adoptés par les législateurs (« niveau 1 ») ont débuté sous le pilotage de la direction du Trésor. L’AMF y contribue de façon importante en rédigeant un premier projet de texte législatif de transposition. S’agissant des mesures d’application («niveau 2»), leur éventuelle transposition dépendra du choix de la Commission européenne de les publier sous la forme de directive et/ou de règlement. Dans l’intervalle, l’AMF multiplie les échanges avec la place et les associations professionnelles afin de faire remonter les points qui pourraient poser problème ou qui suscitent de l’inquiétude. Le calendrier en est une : l’échéance de 2017 demeure et seule la Commission pourrait intervenir et modifier cette date. Elle a récemment évoqué avec le Parlement un décalage d’une année de la date d’entrée en application, mais la suite qui sera donnée à cette demande ne dépend pas de l’AMF.

Au niveau européen, l’ESMA a lancé un chantier auquel participe l’AMF, afin d’assurer la convergence des positions des États membres. Ce chantier donnera lieu à la publication de questions/réponses et/ou d’orientations de la part de l’ESMA, qui permettront de limiter les incertitudes et donc les écarts d’interprétation des textes d’un pays à l’autre.

Comment sont gérées les interactions avec d’autres textes, notamment Priips et surtout IDD, avec lesquels émergent de fortes zones de convergence ?

Il y a une vraie volonté au niveau européen d’assurer une protection homogène des investisseurs / clients quel que soit le support. Cette volonté forte se lit d’ailleurs dans MIFID2 puisqu’il est indiqué dans le texte que les mesures prises dans le secteur de l’assurance devraient s’en inspirer. L’avis technique de l’ESMA à la Commission fait lui aussi certaines référence aux dispositions déjà établies par les autres régulations (notamment en ce qui concerne les informations relatives aux coûts et charges), de manière à favoriser la cohérence entre les textes.

En France, dans le cadre notamment du pôle commun, l’AMF travaille conjointement avec l’ACPR afin d’assurer la convergence des approches de supervision des différents acteurs, en particulier dans le domaine de la commercialisation. Au niveau européen le Joint Committee qui regroupe l’ESMA, l’EBA et l’EIPOA vise ce même objectif. Il faut éviter tout risque d’arbitrage entre supports avec un objectif de protection analogue des investisseurs quel que soit le secteur d’activité des acteurs financiers.

Quelles sont les points d’attention pour un déploiement réussi de MIFID2 dans le respect du calendrier réglementaire très ambitieux ?

Même si tous les textes attendus ne sont pas publiés, la matière est déjà riche (textes de niveau 1, standards techniques, avis de l’ESMA à la Commission…) et justifie complètement un investissement des acteurs sur le sujet dès à présent. En effet, il faut très vite analyser les textes et en dégager les impacts sur l’organisation, mais parfois aussi la nature même des activités des acteurs (on peut penser en particulier à la nécessaire évolution des broker crossing networks…). Cette anticipation est nécessaire pour tirer parti des évolutions issues de MIFID2, et éviter de subir passivement le texte.

Cet article Interview de Claire Glaser, de l’Autorité des Marchés Financiers est apparu en premier sur RiskInsight.

La Directive de Services des Paiements : une première initiative

L’adoption par le Parlement Européen en 2007 de la Directive de Services des Paiements (DSP) et sa transposition sur le plan national en 2009 avait pour objectifs majeurs d’harmoniser les services de paiements de l’Union Européenne et de stimuler la concurrence. Mise à part le fait qu’à partir de cette adoption, il est possible d’effectuer et recevoir des paiements d’Allemagne, d’Espagne, du Royaume-Uni… aussi aisément qu’en France ; un nouveau statut d’Établissement de Paiement (EP) a été créé. Il permet à de nouveaux acteurs autres que les banques et les établissements de crédit de fournir des services de paiement. En France, les EP sont agréés par l’Autorité de Contrôle Prudentiel et de Résolution (ACPR).

L’héritage de cette première version concernait 3 types de Fintech : celles proposant des opérations de paiements associés à un compte (ex : Slimpay qui permet de générer des mandats de prélèvements électroniques), les transferts de fonds et les émissions d’instruments de paiement (ex : portefeuille électronique). Les plateformes de financement (crowdfunding) qui ne fournissent pas de services de paiement n’entrent pas dans le champ d’application de la DSP1. Elles sont par ailleurs réglementées par l’ordonnance du 30 mai 2014 en tant que service de financement. Celles qui perçoivent des fonds bénéficient jusqu’à présent d’une dérogation, du fait que le montant total de leurs opérations de paiement soit inférieur à 3 000 000 € sur un mois (article 26 de la DSP1).

De nouveaux types d’acteurs, un nouveau cadre réglementaire

Le développement des Fintech a fait apparaître de nouveaux services de paiements depuis la DSP1 : les services d’information sur les comptes (ex : agrégateur de données Bankin’) et les services d’initiation de paiement (ex : Sofort), autrement appelés les tiers de paiement (Third Party Providers ou TPP). Ces nouveaux acteurs, se connectant aux banques des utilisateurs via leur login/mot de passe bancaire, ne sont pas pris en compte par la DSP1 et engendrent de nouveaux risques (données n’étant plus sous la protection du secret bancaire, problématique liée aux responsabilités en cas de fraude, etc.).

La DSP2 (adoptée par le Parlement Européen le 8 octobre 2015 et qui devrait être transposée dans le droit national fin 2017) stimule toujours la concurrence tout en fournissant un nouveau cadre réglementaire adéquat entre les TPP et les banques. Concernant la DSP1, les contrôles sont effectués par l’ACPR, la CNIL et la DGCCRF et les sanctions peuvent aller jusqu’au retrait d’agrément de l’Établissement de Paiement (EP). La nouvelle version de la Directive laisse aux États membres la charge de définir le régime de sanctions à appliquer en cas de son non-respect, sanctions qui ne sont donc pour l’instant pas connues.

Extrait de l’article 103 de la Directive : « Les États membres déterminent le régime de sanctions applicables en cas d’infraction aux dispositions de droit national visant à transposer la présente directive et prennent toutes les mesures nécessaires pour en assurer l’application. Ces sanctions sont effectives, proportionnées et dissuasives ».

Une obligation pour les banques qui ouvre de nouvelles opportunités : la coopétition

La DSP2 impose aux banques de transmettre de façon sécurisée les données seulement nécessaires à l’activité des TPP et de rembourser le payeur en cas d’incident de paiement dans un délai de 1 jour (excepté si la responsabilité du TPP est engagée dans un incident de paiement, auquel cas, il doit lui-même rembourser immédiatement la banque). Pour autant, la directive ne précise pas les exigences techniques de sécurité auxquelles devront se soumettre les banques et les TPP. Le contenu des guidelines de l’Autorité Bancaire Européenne (prévus pour fin 2016) sera déterminant : les normes techniques devront prendre en considération l’éventail des risques inhérents aux nouveaux services de paiement.

Cette obligation peut être vue comme une opportunité pour les banques de développer des Open API. L’Open API est une interface de programmation qui permet à des tiers d’accéder à des ressources internes. Cet accès n’est pas forcément autorisé en lecture et en écriture à l’intégralité des données. La plupart du temps, il est limité et nécessite l’accord de l’utilisateur.

Les banques peuvent utiliser et promouvoir ces mécanismes afin de renforcer leur compétitivité, leur image de marque et proposer de nouveaux services plus rapidement en offrant la possibilité aux développeurs externes de créer de nouvelles applications à partir de l’Open API et en les rémunérant en échange. Ce mouvement est essentiel pour que les banques gardent la main sur l’innovation et les nouveaux services pour continuer à se différencier. Certaines banques ont déjà initié une démarche proactive et innovante en mettant en place un Open API soit ouvert au public (CA Store, Fidor Bank) soit restreint à des partenaires (Bradesco, Garanti).

Cet article La DSP2 : une directive sur les services de paiements qui prône la concurrence est apparu en premier sur RiskInsight.

Touchée par la crise financière de 2008, la relation entre les établissements financiers et leurs clients fait depuis l’objet d’une inflation règlementaire.

Son encadrement obéit à une finalité essentielle : redonner confiance aux épargnants et investisseurs afin de stimuler la croissance.

Transparence et loyauté, tels sont les deux piliers du cadre règlementaire de la relation entre les établissements financiers et leurs clients. Ces deux piliers polarisent l’attention des régulateurs sur quatre thématiques que sont : l’information au client, le conseil, la gestion des conflits d’intérêts et la gouvernance des produits.

De ce fait, les banques et établissements de crédit créent un véritable pilotage de la conformité de la relation client sur ces quatre thématiques.

Devoir d’information : une obligation de plus en plus prégnante

En 1978, la loi Scrivener impose aux établissements de crédits de formaliser des mentions obligatoires sur les offres préalables de crédit ; ce devoir d’information s’étend rapidement à l’ensemble des acteurs des secteurs bancaires, financiers et assurantiels.

En 2014, la loi Eckert vient étendre l’obligation d’information aux contrats d’assurance vie en déshérence ainsi qu’aux comptes bancaires inactifs. (Les assureurs devront, à partir de 2016, adresser à leurs assurés une information annuelle concernant notamment la valeur de leur contrat. Concernant les comptes bancaires inactifs, les établissements devront informer leurs titulaires de l’inactivité du compte et du transfert le cas échéant des avoirs à la Caisse des dépôts et de consignation).

En 2017, MIF2 va plus loin dans la mesure où elle impose aux prestataires de services d’investissement de révéler à leurs clients les conditions de sélection des instruments proposés, ou encore la nature indépendante ou non du conseil donné.

De plus, la directive MIF2, impose aux prestataires de services d’investissement d’enregistrer les conversations téléphoniques et les communications électroniques liées à des transactions définies par la directive. Aucun doute n’est permis quant aux conséquences organisationnelles que cela entraînera pour les acteurs.

La récente évolution de la réglementation en la matière tend vers une standardisation plébiscitée par les acteurs. Il s’agit pour les régulateurs européens d’établir des règles trans-sectorielles pour des produits comparables. Ainsi émerge le principe de l’information standardisée et uniformisée pour donner la possibilité aux clients de comparer pour mieux arbitrer.

Devoir de Conseil : pierre angulaire de la protection des intérêts du client

Les nouveaux textes européens définissent les contours du devoir de conseil. Ainsi, MIF 2 définit la notion de conseil indépendant pendant que DIA 2 précise le contenu de cette obligation à la charge des assureurs. En matière de crédit, le conseil prend la forme d’une mise en garde ou d’un devoir d’éclairer au bénéfice du client.

De manière générale, il s’agit pour les établissements d’émettre une recommandation personnalisée dans une démarche active qui doit aboutir à une adéquation entre le profil du client et le produit finalement proposé. Dans ce contexte, la mise en œuvre des différentes exigences règlementaires imposera aux établissements de mettre en place des dispositifs efficaces de conduite du changement afin d’accompagner leurs collaborateurs dans la transformation de leurs métiers de conseil.

Gestion de conflits d’intérêt

La multiplication des intermédiaires dans la commercialisation des produits aussi bien financiers qu’assurantiels, constitue une source importante de conflits d’intérêt au détriment des clients.

Les nouveaux textes font de la rémunération des commerciaux et intermédiaires un point majeur. Ceci implique une refonte des modes de rémunération pour les différentes populations commerciales.

 Gouvernance des produits

La gouvernance des produits vise à intégrer les intérêts des clients dans la commercialisation mais également dans la conception des produits. Cela consiste à déterminer un marché cible et une stratégie de distribution appropriée aux produits proposés et aux marchés visés.

Cet article Piloter la relation bancaire client : une maîtrise nécessaire du paysage règlementaire est apparu en premier sur RiskInsight.

Mais au-delà de cette succession de nouveautés, cette situation pose surtout des défis en termes d’organisation et de gestion des compétences qui devront être au cœur des actions en 2016.

2015 : une année charnière

L’actualité du triptyque « menaces / réglementations / produits » a été débordante sur 2015.

Des incidents ultra-médiatisés (Sony Pictures, TV5 Monde, Ashley Madison, VTech…) ont rappelé régulièrement les vulnérabilités des systèmes et l’attrait des cybercriminels et des états pour les données immatérielles des entreprises. Cette médiatisation, parfois exagérée, a au moins le mérite d’attirer l’attention sur la cybersécurité au plus haut niveau dans les entreprises mais aussi largement sur l’ensemble de la population.

Les réglementations se sont renforcées drastiquement (Loi de Programmation Militaire, Règlement européen sur les données à caractère personnel…) et vont nécessiter des investissements de grande ampleur. 2016 sera une année où il faudra intégrer ces nouvelles exigences et cadrer les projets de déclinaison, les échéances commençant à tomber dès 2017.

Les éditeurs n’ont pas été sans imagination pour inventer des nouvelles catégories de produits ou de nouveaux concepts. Après « l’anti APT », les mots-clés « machine learning », « Self Defined Security », « Cloud Access Security Broker – CASB » et bien d’autres nous promettent d’arriver à sécuriser les données dans un contexte de changement permanent où les frontières du SI n’existent plus et où le Cloud est devenu une réalité. De nombreuses startups émergent dans ces domaines et des incubateurs/accélérateurs se spécialisent (Euratechnologies, Cylon…). Nous ne serons donc pas à court de solutions innovantes.

Les cercles et associations s’intéressant à la cybersécurité connaissent également une progression rapide et des commissions « cybersécurité » se relancent ou font leur apparition dans des cercles d’influence qui en étaient alors dépourvus (Syntec, Cigref, Medef…).

Compétences et pilotage : les clés pour réussir les grands programmes cybersécurité

Mais au-delà de cette succession d’évènements à prendre en compte, la situation actuelle pose des défis nouveaux en matière de professionnalisation et de gestion des compétences qui devront être au cœur des actions en 2016.

En particulier, le retour d’expérience du déroulement des grands programmes met en lumière deux limites.

La première, c’est la difficulté à disposer des compétences nécessaires pour mener à bien ces programmes. Que cela soit dans les entreprises ou au niveau des fournisseurs conseil ou intégration, les profils ne sont pas aujourd’hui assez nombreux. D’importants efforts de reconversion ou de recrutement sont en cours (par exemple chez Solucom nous avons recruté plus de 90 personnes cette année dans le domaine de la cybersécurité). Mais ceux-ci ne donneront tous leurs fruits que dans quelques années.

La deuxième c’est la difficulté à faire aboutir ces programmes d’ampleur. D’un côté les acteurs historiques de la cybersécurité sont peu habitués à gérer autant de projets (parfois quasiment une centaine) et de budget (plusieurs dizaines de millions d’euros), dans des délais aussi courts. De l’autre côté, ces chantiers impactent de manière transversale l’entreprise, et en particulier les équipes en charge du SI. Ces dernières, qui sont plutôt en phase de réduction des coûts, comprennent peu l’engagement de moyens sur la cybersécurité, voire n’ont pas la capacité à réaliser les actions demandées. D’autant plus qu’il s’agit souvent d’actions « de fond » telles que la cartographie du SI ou encore une gestion rapide et efficace des changements et des incidents, sujets déjà complexes et en souffrance depuis des années. Sans oublier que le système d’information est de plus en plus diffus, en particulier via le Cloud, et il est toujours aussi difficile de savoir où sont et où vont les données alors qu’elles constituent pourtant – encore plus aujourd’hui qu’hier – une grande partie du patrimoine de l’entreprise.

Ce constat nécessite de renforcer la filière cybersécurité, en particulier de lui adjoindre des ressources, pas forcément expertes en sécurité, mais en mesure de porter des grands programmes.

Une priorité : réinventer la filière « cybersécurité »

2016 sera très certainement une année rythmée par des incidents, des cadrages réglementaires, des grands programmes de sécurité et des tests de produits innovants. Mais 2016 devrait aussi être l’année où la filière « cybersécurite » tirera les fruits de la prise de conscience et se réinventera en s’emparant de ces enjeux.

Comme souvent dans notre secteur, les banques montrent le chemin. Elles ont lancé cette année plusieurs projets de réorganisation de leur filière pour l’adapter aux nouveaux enjeux. Ce mouvement doit se décliner dans les autres secteurs d’activité et entraîner la mise en place d’une organisation équilibrée, répartie dans et hors de la DSI. Cette nouvelle organisation devra être à même de porter des grands programmes et de s’emparer des enjeux métiers, tout en développant son expertise et en assurant au quotidien le maintien en condition de sécurité du système d’information.

Ce qui pouvait paraître impossible précédemment l’est de moins en moins avec le support évident aujourd’hui des directions générales. Mais ces dernières attendent des résultats visibles et rapides.

Cet article Cybersécurité : priorité à la professionnalisation en 2016 ? est apparu en premier sur RiskInsight.

Le Privacy By Design permet de minimiser les efforts fournis pour se conformer à la Loi en évitant la mise en conformité a posteriori qui demande souvent le déploiement de projets d’adaptation de l’existant difficiles organisationnellement, technologiquement complexes et financièrement coûteux. Nos retours d’expérience montrent que plusieurs facteurs clés de succès sont à prendre en compte : s’armer de pragmatisme dans la définition de Privacy Impact Assessment, ne pas concevoir un processus décorrélé de l’existant, concentrer l’énergie mise en œuvre sur les projets les plus sensibles et outiller les chefs de projets.

Dans le premier volet, nous sommes revenus sur les deux premiers facteurs clés de succès à prendre en compte qui sont :

• Concevoir une méthodologie de Privacy Impact Assessment pragmatique
• S’intégrer dans la méthodologie Projet existante

Nous reviendrons ici sur les deux derniers facteurs essentiels à prendre en compte.

Identifier les projets sensibles pour prioriser les efforts d’accompagnement

Dans la majorité des organisations, le volume de projets est trop important pour que les équipes en charge de la conformité aient la capacité d’accompagner chacun d’eux et en particulier de réaliser une analyse de risques même simplifiée. Il est donc nécessaire d’adapter l’approche systématique de PIA en identifiant le plus en amont possible les projets qui présentent une sensibilité accrue afin de prioriser les efforts d’accompagnement.

Les chefs de projets, souvent peu familiers de la Loi Informatique et Libertés, peuvent se retrouver en difficultés lorsqu’il s’agit d’exprimer la sensibilité de leur projet au sens de la Loi. Il est donc nécessaire de les accompagner dans cette étape en leur fournissant une liste de questions simples et compréhensibles par les non-initiés.

Dans la pratique, plusieurs facteurs peuvent rendre un projet sensible. Par exemple, la manipulation de données sensibles au sens de la loi la mise en œuvre de transferts hors UE. D’autres facteurs, moins directement liés à la loi peuvent également être identifié : utilisation de nouvelles technologies (Big data par exemple) ou existence de données sensibles dans le contexte de l’organisation (ex : identité des collaborateurs intervenant à proximité de produits cancérigènes).

Il conviendra donc d’identifier la liste des critères rendant un projet sensible en fonction du contexte spécifique de l’organisation et des risques qui pèsent sur elle.

Rendre autonome le chef de projet dans la conduite de cette étape permet de s’assurer que tous les projets feront l’objet d’une appréciation de leur sensibilité vis-à-vis de la Loi Informatique et Libertés. Enfin, en associant les équipes conformités aux comités chargés du suivi des projets en phase d’étude préalable, l’analyse des chefs de projets peut être challengée avant validation.

Il conviendra alors d’adapter l’investissement de l’équipe conformité à la sensibilité des projets. D’un suivi distant pour les projets les moins sensibles (alimentation en guides de mise en conformité, réponses à des demandes d’expertise) à un suivi rapproché pour les projets les plus sensibles (groupes de travail spécifiques sur le sujet du Privacy, analyse de risques détaillée, vérification des livrables exprimant les exigences de conformité, pilotage de la recette conformité, etc.). Dans tous les cas, l’équipe devra maintenir une liste des projets, des évaluations de criticité et s’assurer d’être présente dans les bonnes instances pour avoir accès à l’actualité des projets (création, arrêt…), voire disposer d’un accès direct au portfolio projet qui existe dans les organisations les plus avancées.

Outiller les chefs de projet

Tous les projets ne pouvant être accompagnés de façon rapprochée par l’équipe conformité, les chefs de projets devant traiter la mise en conformité en autonomie devront disposer d’outils pour les aider, généralement un guide de mise en conformité à la loi Informatique et Libertés. Ce guide ne doit pas ressembler à un document juridique mais bien plus à une traduction concrète, explicite et intelligible de la loi pour un non initié et doit permettre d’accompagner le chef de projet dans le choix des meilleures mesures pour s’y conformer, qu’elles soient organisationnelles ou techniques.

L’un des sujets qui nécessite une attention particulière est par exemple le transfert de données à des tiers ou hors de l’UE. Le transfert de données – qui peut désigner aussi bien le simple transit d’un flux par un équipement réseau, l’hébergement dans le Cloud de la messagerie ou la consultation de données sur un site web – sera explicité afin que chef de projet puisse identifier par lui-même les transferts de données réalisés dans le cadre de son projet. Il pourra alors par exemple s’appuyer sur les modèles de clauses proposées dans le guide pour les intégrer dans ses contrats avec des tiers ou utiliser une liste des filiales ayant signées les Binding Corporate Rules pour s’assurer que son transfert à l’international est autorisé.

Ce guide de mise en conformité pourra être associé à un cahier de recette type, permettant de contrôler le bon respect des principes juridiques fondamentaux. Une liste de questions restreintes (autour d’une dizaine généralement) aidera le chef de projet à contrôler les points majeurs et ainsi valider la conformité globale du projet à la Loi Informatique et Libertés : les mentions d’information sont-elles bien ajoutées ? Les cases de champs libres disposent-elles d’un disclaimer sur leur bonne utilisation ? Les contrats contiennent-ils des clauses LIL ? La durée de conservation des données a-t-elle été définie et leurs modalités de suppression étudiées ?

À moyen terme, l’outillage pourra aller un cran au-delà en proposant aux chefs de projet des solutions techniques pour faciliter la mise en conformité. Des plateformes mutualisées de chiffrement ou d’anonymisation de données ou encore des processus de collecte de données conformes pourront être construits. Les investissements déjà réalisés dans la filière sécurité de l’information pourront être largement exploités.

Un processus à concevoir et des équipes pour le déployer

Le Privacy By Design, future obligation réglementaire, constitue dès à présent un moyen de s’assurer de la conformité des nouveaux projets.

Le CIL et ses équipes devront s’armer d’une bonne dose de pragmatisme pour adapter les processus existants en les alimentant de leurs exigences essentielles tout en identifiant les projets les plus sensibles afin d’y apporter une vigilance accrue.

Mais au-delà du processus en lui-même, le CIL ou futur DPO devra se poser au plus tôt la question de ses besoins en ressources pour suivre ces projets : combien de personnes sont à mobiliser pour accompagner sereinement les chefs de projets ? Quelles sont les compétences attendues de ces équipes (expertise juridique, connaissances métiers, capacité à interagir avec les équipes IT et SSI, compétences de chef de projets,  …) ? Quelle mutualisation possible avec les filières existantes (RSSI, Conformité, RPCA, etc.) ?

Autant de questions auxquelles il conviendra de répondre afin d’assurer au Privacy By Design un déploiement réussi, élément clé pour que cette contrainte devienne une opportunité !

Cet article Privacy by design : anticiper pour mieux protéger (2/2) est apparu en premier sur RiskInsight.

Adopter une démarche de Privacy By Design c’est intégrer le respect de la vie privée dès la conception des projets, c’est-à-dire s’assurer de la pertinence des données collectées, comprendre les risques pour les personnes concernées, anticiper l’information et le droit d’accès, etc.

La Loi Informatique et Liberté, via l’article 34, demandait déjà au responsable de traitement de « prendre toutes les précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données » mais n’imposait pas explicitement la mise en oeuvre d’une démarche de Privacy By Design. De ce fait, peu d’organisations ont déjà mis en place une telle démarche.

Le Privacy By Design permet pourtant de minimiser les efforts fournis pour se conformer à la Loi en évitant la mise en conformité a posteriori qui demande souvent le déploiement de projets d’adaptation de l’existant difficiles organisationnellement, technologiquement complexes et financièrement coûteux.

Privacy By Design

Au regard des échéances réglementaires, et afin de mieux traiter les contraintes de conformité, les premières initiatives de Privacy By Design débutent et se multiplient. Nos retours d’expérience montrent que plusieurs facteurs clés de succès sont à prendre en compte : s’armer de pragmatisme dans la définition de Privacy Impact Assessment, ne pas concevoir un processus décorrélé de l’existant, concentrer l’énergie mise en œuvre sur les projets les plus sensibles et outiller les chefs de projets.

Concevoir une méthodologie de Privacy Impact Assessment pragmatique

Plutôt que de repartir de zéro, il convient comme souvent de s’inspirer des travaux de réflexion menés par ses pairs. En particulier, la CNIL a décidé d’accompagner les responsables de traitements désireux de s’engager dans le Privacy By Design en publiant en juillet 2015 une version révisée de son guide de gestion des risques sur la vie privée. Elle l’adapte ainsi au positionnement du règlement européen et aux retours d’expérience en proposant une méthodologie pour mener des Privacy Impact Assessment (PIA).

Le guide décrit la façon d’employer la méthode EBIOS, déjà très connue et reconnue pour la sécurité de l’information, sur le sujet Informatique et Libertés. Les deux premières étapes visent respectivement à identifier le contexte particulier aux traitements mis en œuvre par le projet et à identifier les mesures nécessaires au respect des principes juridiques fondamentaux : respect de la finalité, pertinence des données collectées, information des personnes, exercice des droits, sécurité des données, accomplissement des formalités. Puis vient l’étape dite d’analyse des risques durant laquelle les menaces pertinentes sont identifiées et associées aux évènements redoutés suivant trois grands types : accès illégitime, modification ou disparition des données personnelles. Les risques liés à la conformité Informatique et Libertés sont alors évalués en termes de gravité et de vraisemblance et font l’objet d’une décision quant à leur acceptation.

La méthodologie d’analyse de risques EBIOS vise l’exhaustivité dans l’analyse des risques encourus. Cette exhaustivité impose généralement aux organisations qui l’utilisent pour leurs analyses de risques SSI de s’appuyer sur des équipes d’intégration de la sécurité dans les projets à même de consacrer suffisamment de temps à l’accompagnement des chefs de projets et en mesure de maîtriser la méthodologie, souvent perçue comme complexe au premier abord.

Les équipes en charge de la conformité ne sont généralement ni organisées ni dimensionnées pour réaliser un accompagnement de tous les projets d’une organisation sur la base d’une méthodologie aussi chronophage.

La conduite systématique d’analyses de risques EBIOS pour encadrer les risques Informatiques et Libertés apparaît alors souvent comme trop ambitieuse au regard des ressources à engager et risque ainsi d’alourdir de façon démesurée la charge du chef de projet et donc d’entraver le bon déroulement de la méthodologie projet.

Il reviendra donc au Correspondant Informatique ou Liberté (CIL) ou futur Data Privacy Officer (DPO) d’adapter et de simplifier la méthodologie d’analyse de risques qu’il souhaite déployer aux capacités d’accompagnement de ses équipes. Plusieurs pistes sont envisageables : réalisation d’un questionnaire simple de pré-qualification du risque pour prioriser les efforts entre les projets, limitation du nombre de scénarios de risques étudiés, réduction des listes de menaces applicables dans le contexte, préidentification des risques types, etc.

S’intégrer dans la méthodologie Projet existante

Un écueil souvent rencontré pour de nouvelles méthodologies : vouloir s’appuyer sur un nouveau processus, propre au sujet traité (ici la mise en conformité LIL3), qu’il faudra alors déployer dans l’organisation. Évangélisation chronophage, non connaissance des méthodes de travail des chefs de projets, redondance dans les demandes : autant de raisons justifiant l’échec probable de cette orientation.

Le CIL devrait plutôt chercher à s’intégrer dans le processus de gestion de projet existant : étapes clés, comités, livrables, etc. Des équipes (responsable méthode ou qualité par exemple) ont en général la responsabilité des méthodologies projet et peuvent accompagner le CIL dans sa compréhension et challenger ses propositions d’amendements.

Depuis plusieurs années de nombreuses organisations ont d’ailleurs déjà amendé leur processus de gestion de projet pour y intégrer les exigences de sécurité SI. Un exercice dont la réussite dépend souvent d’une bonne répartition des travaux au sein des grandes phases d’un projet. Il se décompose en plusieurs phases :

• Étude préalable : appréciation de la criticité du projet afin d’identifier les projets les plus sensibles et prioriser les efforts d’accompagnement. Une analyse de risques SSI détaillée sera seulement conduite pour les projets les plus sensibles.
• Conception : identification des exigences de sécurité à prendre en compte par chacun des acteurs.
• Mise en œuvre : suivi de la bonne mise en œuvre des mesures choisies pour répondre aux exigences.
• Recette : conduite d’une recette sécurité qui valide la prise en compte des exigences sécurité et l’efficacité des mesures mises en place. Elle est souvent accompagnée d’un audit de sécurité ou de tests d’intrusion.

Les enjeux étant similaires, la même méthodologie est tout à fait adaptable dans un contexte de Privacy By Design. Les erreurs à éviter seront alors les mêmes : sous dimensionnement des équipes en charge d’accompagner les chefs de projets, complexité de la méthode, absence ou réalisation trop tardive de la recette visant à valider la conformité en fin de processus, non implication des acteurs en charge de la conformité dans les comités clés.

Idéalement, le Privacy By Design cherchera à faire évoluer la méthodologie existante d’intégration de la sécurité dans les projets, celle-ci étant déjà rodée et bien connue des acteurs du projet.

La 2^ème partie publiée le mois prochain reviendra sur les deux autres facteurs clés de succès à prendre en compte : concentrer l’énergie mise en œuvre sur les projets les plus sensibles et outiller les chefs de projets.

Cet article Privacy by design : anticiper pour mieux protéger (partie 1) est apparu en premier sur RiskInsight.

Quel changement pour les entreprises ?

Mise en place du Privacy by Design

(Articles 23, 30, 32a, 33a et 33)

Première nouveauté, les entreprises devront définir et mettre en œuvre des procédures permettant d’intégrer les problématiques liées à la manipulation des données personnelles dès la conception de nouveaux services.

Cette démarche s’accompagne de l’obligation de réaliser des analyses de risques relatives à la vie privée des personnes (discrimination, diffusion de données confidentielles, etc.) préalablement à la mise en place des traitements les plus sensibles et à chaque modification du traitement.

Face aux risques sur la vie privée des personnes induits par ces traitements, il sera imposé aux entreprises d’adopter des mesures de sécurité adéquates en vue de les maitriser.

Concrètement que retenir du Privacy by Design ? Une mise à jour de la méthodologie projet afin d’identifier au plus tôt les traitements sensibles et une méthode d’analyse de risques à définir et outiller. Il sera pour cela possible de s’inspirer des guides pratiques de la CNIL intitulés « Etude d’impact sur la vie privée », qui seront à simplifier et contextualiser aux besoins spécifiques de l’entreprise.

Responsabilisation ou « Accountability »

(Articles 22 et 28)

Toute entreprise devra désormais être capable de prouver sa conformité vis-à-vis du règlement.

Cette exigence se traduit par :

• l’adoption d’une politique cadre de gestion des données à caractère personnel ;
• une organisation associée ;
• des procédures opérationnelles déclinant les thèmes du règlement (information, respect des droits des personnes, transfert à des sous-contractants, etc.).

L’entreprise devra également être en capacité de prouver l’application de ces politiques et donc, de mettre en place des processus de contrôle.

L’occasion de parler de la personne qui illustrera ce principe d’ « Accountability » : le DPO (pour Data Protection Officer). Il devient quasiment obligatoire et remplace le CIL actuel.

Concernant ce DPO, le texte entérine l’obligation de lui fournir le personnel, les locaux, les équipements et toutes les autres ressources nécessaires pour mener à bien ses missions. Encore une fois le parlement souhaite aller au-delà de cette exigence : il propose de nommer au sein de la direction une personne responsable du respect du règlement.

Comment appliquer ce principe ? Il sera nécessaire de définir a minima une politique avec des règles de protection des données ainsi qu’’un plan de contrôle et de formation. Cette politique pourra par exemple s’inspirer du modèle des BCR « Binding Corporate Rules », dont le principe a été entériné dans le futur texte, pour lesquelles des modèles types et des premiers retours d’expérience existent déjà.

Obligation de notification des fuites (articles 31 et 32)

L’ensemble des parties s’accordent sur l’obligation de notification des fuites aux autorités. Le Parlement propose même que les entreprises mettent en ligne un registre listant les types de brèches de sécurité rencontrées. Il sera intéressant de constater comment cette exigence cohabitera avec les législations nationales en matière de sécurité et la protection des intérêts de la nation qui tendent à limiter la diffusion de ce type d’information.

La notification de fuites aux personnes concernées, quant à elle, n’est obligatoire que si l’entreprise n’est pas en mesure de démontrer qu’elle a mis en œuvre des mesures afin de rendre cette fuite sans conséquence. D’où l’intérêt d’effectuer correctement l’analyse de risques, de définir et d’implémenter des mesures appropriées.

Au final, deux recommandations afin d’anticiper le futur règlement sur ce point :

• un processus de gestion des fuites de données à définir en l’orchestrant avec les dispositifs de gestion de crise existants et les processus de relation client,
• la réalisation d’exercices réguliers afin de tester son efficacité avec tous les acteurs concernés.

Une mise en conformité à anticiper

Au-delà de ces trois nouveautés majeures, d’autres modifications plus limitées en termes d’impacts organisationnels sont également à prendre en compte, comme la création du droit à la portabilité ou l’extension de la liste des données sensibles. On peut par ailleurs noter le renforcement d’obligations existantes comme le droit à l’information et le recueil du consentement. Le diable se nichera dans les détails.

Pour conclure, les deux années de mise en application du règlement ne seront pas de trop (soit une mise en conformité d’ici début 2018) et nous ne pouvons que conseiller d’initier la mise en conformité dès 2016, avec le cadrage et le lancement des premiers chantiers majeurs. D’autant plus que le sujet devient de plus en plus visible médiatiquement (condamnation récente de Boulanger, Google et l’application du droit à l’oubli, etc.) et que les sanctions financières deviennent réellement significatives (entre 2 et 5% du chiffre d’affaire mondial). L’occasion pour toutes les entreprises de communiquer largement sur les principes de respect de la vie privée effectivement appliqués.

Cet article Nouveau règlement européen sur la protection des données personnelles : anticiper les 3 impacts majeurs est apparu en premier sur RiskInsight.

Quel est le contenu de la proposition ?

Troisième temps fort dans l’avancée du règlement européen, le Conseil de l’Union Européenne a adopté ce lundi 15 juin une position commune. Attention, cela ne signifie pas que le texte soit prêt à être publié. En effet, après le Parlement Européen qui avait amendé et voté le texte proposé par la Commission Européenne, c’est maintenant le Conseil de l’Union Européenne qui vient de faire de même. Reste maintenant aux trois parties de trouver un accord sur un texte définitif. Cet accord représente avant tout une grande avancée : désormais le Parlement et le Conseil disposent d’un délai établi pour parvenir à un accord.

Rentrons dès à présent dans le vif du sujet, que contient cette proposition ?

Tout d’abord des évolutions sont attendues sur la liste des données sensibles. Celle-ci a été réduite, en particulier les données biométriques et celles relatives aux infractions pénales n’en font plus parties. L’utilisation des données judiciaires est cependant soumise à l’aval d’une autorité compétente. Par ailleurs, le texte précise que l’utilisation d’un identifiant national unique (ex : le NIR en France) sera sujette à une réglementation nationale.

Par rapport à l’assouplissement du droit à l’information, le délai de réponse passe de quarante jours à un mois mais la transmission des catégories de données collectées n’est plus obligatoire. Il est également à noter que le droit à l’oubli fait son retour. Il avait été renommé droit à l’effacement par le Parlement. Son contenu n’est cependant pas modifié. Même traitement pour le droit à la portabilité, cette fois-ci sans obligation concernant le format de restitution des données. Il est intéressant de noter que le nouveau texte crée un droit de « Restriction of Processing ». Il s’agit de l’application cumulée du droit à l’oubli et du droit à la portabilité. Les données sont restituées puis supprimées.

Chaque organisation aura l’obligation de nommer un DPO quelle que soit sa taille, cependant il pourra être mutualisé. Le principe d’accountability reste présent mais le conseil ne souhaite pas imposer la réalisation d’une analyse de risques, seulement une analyse d’impacts (sans obligation de la renouveler tous les 2 ans). Le texte supprime également l’obligation systématique de notification des fuites de données aux autorités de protection. Elle sera désormais limitée aux fuites possédant un « risque important sur les droits et les libertés du sujet » (dans un délai de 72h).

Le conseil s’est aligné sur la position de la Commission en diminuant le montant des amendes et a introduit une gradation de leur montant suivant les infractions : trois seuils sont définis : 250.000€ ou 0,5% du CA, 500.000 € ou 1% du CA et 1.000.000 € ou 2% du CA.

Dernier point intéressant à noter, le nouveau texte entend rendre obligatoire l’open data pour les administrations. Les entreprises seront libres d’utiliser ces données.

Un règlement d’ici la fin de l’année 2015 ?

Le processus d’adoption du règlement est long et complexe, il s’agit de la « Procédure Législative Ordinaire ». Elle permet une écriture coordonnée du texte entre le Parlement Européen et le Conseil de l’Union Européenne. Il s’agit de la principale procédure législative par laquelle les textes sont adoptés.

Le texte a initialement été proposé par la Commission Européenne le 25 janvier 2012. Le 12 mars 2015, le Parlement a adopté une nouvelle version du texte en première lecture (après de nombreux groupes de travail en interne et avec la Commission). La proposition a ensuite été soumise au Conseil (qui regroupe les représentants des États, dans notre cas, les ministres de la justice). Si ce dernier avait approuvé le texte en l’état, la procédure aurait été close. Dans notre cas, le Conseil a proposé une nouvelle version du texte. Ceci clôt la première étape de la procédure dite « la première lecture ».

Débute alors la phase de seconde lecture, semblable à la première à l’exception du fait que les parties disposent désormais chacune d’un délai pour voter le texte (3 mois + 1 mois si nécessaire). Si le consensus n’est pas atteint, c’est à dire si le Conseil amende à nouveau la proposition du Parlement, le texte rentrera dans la troisième et dernière phase, la phase de conciliation.

Au cours de cette dernière étape, les trois parties disposent d’un délai de six semaines (+2 si nécessaire) pour mettre en place un groupe de négociation, appelé « trilogue ». Il disposera à son tour de six semaines (+2 si nécessaire) pour parvenir à un accord.

Le Parlement a cependant annoncé que, pour raccourcir les délais, la phase de trilogue démarrera de manière informelle dès le 24 juin. Quel intérêt ? La version votée par le Parlement aura été rédigée en accord avec la vision du Conseil, qui n’aura plus qu’à la valider. Résultat : un accord dès la fin de la seconde lecture et une adoption du texte avant la fin de l’année.

Que retenir ?

Premièrement, la fin de l’enlisement du règlement avec une volonté de l’ensemble des acteurs, tant publics que privés, d’aboutir rapidement à une version finale. Deuxièmement, une mise en conformité complète des entreprises d’ici fin 2017 (deux ans de délai d’application). Et pour terminer, de nombreux concepts dont les contours se dessinent de plus en plus finement, et qui nécessitent d’être anticipés au plus tôt. Pour plus de détails sur ces concepts, vous pouvez consulter cet article.

Cet article Données à caractère personnel : un pas de géant en faveur de l’adoption du règlement européen ? est apparu en premier sur RiskInsight.

Une multitude de textes

La liste est longue, c’est pourquoi il conviendra de s’appuyer sur le (ou les) référentiel(s) le(s) plus adapté(s) : secteur, niveau de criticité de son installation. À ce titre, le CLUSIF, par l’intermédiaire du groupe de travail sur la sécurité des systèmes industriels, animé notamment par Solucom, a publié un panorama des référentiels en la matière. Pas moins d’une cinquantaine de documents ont été analysés et des fiches de lecture permettent d’en avoir une vision synthétique. Les documents ont été répertoriés et catégorisés : des plus introductifs aux plus exhaustifs, allant de quelques pages à plus d’un millier, le guide du CLUSIF précise à quels lecteurs ils sont le plus adaptés (filières SSI ou SII, concepteur/intégrateur/mainteneur).

Les objectifs de ces référentiels sont multiples. Ils peuvent être utilisés comme un véritable outil pour réaliser des audits de sites, définir sa stratégie et les actions associées ou plus simplement évaluer son degré d’alignement et de conformité au standard retenu. De tous, l’IEC 62443 est sans doute le référentiel le plus connu du milieu et propose de nombreux guides qui tentent d’adresser l’ensemble des pans de la sécurité de ces SI. L’ISO a également apporté sa pierre à l’édifice avec la récente norme ISO 27019.

Les États publient également des guides nationaux. Au Royaume-Uni, le CPNI (Center for the Protection of National Infrastructure) propose plusieurs guides thématiques autour de la sécurité des SI industriels. Aux États-Unis, plusieurs entités (DHS, DoE…) ont élaboré des guides sectoriels. Enfin en France, l’ANSSI a également publié ses propres guides.

Certains secteurs ont apporté une réponse propre à leurs spécificités respectives comme l’AIEA qui propose son guide pour les installations nucléaires ou encore le NERC CIP qui oblige les différents opérateurs électriques à être conformes à ses standards.

La réglementation : arme d’amélioration massive de la sécurité ?

Cette abondance de littérature montre qu’il n’y a pas de réel consensus en la matière aujourd’hui. De plus, l’application des bonnes pratiques édictées dans ces documents ne reste finalement qu’un acte de volontariat de la part des entités concernées. Comme cela est souvent le cas, l’adoption de pratiques généralisées passe par la mise en place d’une réglementation (SEVESO par exemple). Et c’est bien ce qu’envisage l’État français au travers de la LPM (Loi de Programmation Militaire) : rendre obligatoire l’adoption de certaines mesures de cybersécurité pour les OIV.

Mais ces avancées françaises ne doivent pas faire oublier la nécessité d’une approche plus globale, a minima européenne. En effet, au-delà des mesures organisationnelles et techniques, La LPM prévoit également le recours à des produits labellisés. Il ne s’agit là que d’un schéma franco-français. Les efforts requis pour obtenir cette labélisation peuvent apparaître comme un frein pour des constructeurs/éditeurs à portée internationale. Avoir une reconnaissance européenne ou internationale de la sécurité de leur produit est donc un élément déterminant et qui aboutira à un réel retour sur investissement.

Dans ce domaine, des directives européennes sont également attendues, en particulier celle dédiée à la sécurité des réseaux et des infrastructures (NIS). Elles légitimeront davantage les initiatives sur le territoire français. L’ENISA a d’ailleurs publié les bases d’un schéma de certification de la sécurité des Smart Grid à portée européenne. Avec une approche progressive, ce que tend à faire l’État français, la réglementation obtiendra l’adhésion des industriels. La tendance va vers une adaptation des mesures avec une personnalisation opérateur par opérateur sans pour autant s’éloigner d’une cible ambitieuse. La publication prochaine des décrets d’application, puis des arrêtés de la LPM, permettra de le vérifier.

Enfin, pour ceux qui ne sont pas immédiatement concernés en tant qu’opérateur critique, nul doute qu’ils bénéficieront de l’élan global de ces démarches et pourront bien évidement s’en inspirer en complément des guides, normes et standards déjà existants.

Cet article Normes, standards et réglementations : de réels leviers pour la sécurisation des SI Industriels ? est apparu en premier sur RiskInsight.

L’arrêté du 3 novembre 2014 sur le contrôle interne abroge le règlement n°97-02 du CRBF. S’il reprend en grande partie la totalité des dispositions du précédent règlement en matière de contrôle interne, les principales modifications concernent notamment la gouvernance et plus précisément la mise en place de comités spécialisés.

Jusque-là restée à la seule discrétion des établissements, l’ordonnance n° 2014-158 du 20 février 2014 a donné une base légale à la constitution de tels comités par les établissements d’« une importance significative ». Ainsi, une nouvelle sous-section 4 est introduite à la section relative à la gouvernance des établissements de crédit et des sociétés de financement du Code monétaire et financier.

L’ordonnance a laissé le soin à un arrêté de préciser le critère d’établissement d’« importance significative ». C’est chose faite aux articles 104 et 105 de l’arrêté du 3 novembre 2014. Aussi, tout établissement dont le total de bilan social ou consolidé est supérieur à 5 milliards d’euros doit constituer un comité des risques, un comité des nominations et un comité des rémunérations. Le règlement 97-02 faisait déjà référence aux comités de risque et de rémunération.

Le régime juridique de ces comités est posé aux articles L511-89 et suivants du Code monétaire et financier.

La mise en place obligatoire des comités de direction

Dans la pratique française de la gouvernance, l’instauration de tels comités satellites aux organes de direction correspond à une simple modalité de fonctionnement de ces organes. Il s’agit, en effet, de comités de support remplissant essentiellement une fonction de conseil.

Ainsi, le comité des rémunérations a en charge de préparer les décisions concernant les rémunérations, de contrôler directement la rémunération du responsable de la fonction de gestion des risques et, le cas échéant, du responsable de la conformité. Il procède également à un examen annuel des principes de rémunération de l’entreprise, des rémunérations, indemnités et avantages accordés aux mandataires sociaux ainsi que de la politique de rémunération des salariés dont les activités professionnelles ont une incidence significative sur le profil de risque de l’entreprise.

Le comité de nomination, pour sa part, évalue les connaissances et compétences des membres des organes de direction, fixe un objectif de parité entre hommes et femmes à atteindre, examine les politiques relatives à la sélection des directeurs généraux et des personnes responsables de la conformité et de la fonction de gestion des risques. De plus, il s’assure de l’équilibre des pouvoirs entre les différents membres des organes de direction.

Le comité des risques a pour mission de conseiller et d’assister les conseils d’administration, les conseils de surveillance et tous les autres organes exerçant des fonctions semblables dans l’élaboration et la mise en œuvre de la stratégie de l’établissement en matière de risque.

La constitution d’un comité d’audit reste une obligation. Ses missions concernant le dispositif du contrôle interne sont transférées au comité des risques. Le comité d’audit a dès lors pour unique fonction de garantir la fiabilité de l’information financière.

Le caractère consultatif affirmé des comités

Les comités restent dépositaires d’une délégation de pouvoirs par les organes de direction. Ils sont constitués par ces organes qui fixent leur composition à partir des membres des conseils d’administration, des conseils de surveillance ou de tout autre organe exerçant des fonctions de surveillance équivalentes. Néanmoins, les membres des comités spécialisés ne doivent pas exercer de fonction de direction au sein de l’établissement. L’absence d’indépendance qui les caractérise renforce leur nature consultative. Toutefois, ils peuvent recourir à des experts externes pour les conseiller dans leurs missions.

Cet article Les comités spécialisés : articles 104 et 105 de l’arrêté du 3 novembre 2014 est apparu en premier sur RiskInsight.

La directive-cadre Solvabilité 2 date de 2009. Nous sommes presque en 2015. D’après vous, quelles ont été les plus grandes avancées du secteur de la mutualité sur la gestion des risques ?

Alban Jarry : Un meilleur adressage des éléments pouvant générer des risques qui améliore progressivement la transparence dans la remontée d’informations et, par conséquent, un meilleur pilotage de l’entreprise. Aujourd’hui, il est possible d’avoir des tableaux de bords plus précis sur les risques financiers, assurantiels, opérationnels ou environnementaux. Cartographier les risques et les anticiper permet de mieux informer la gouvernance et de l’éclairer dans sa prise de décision.

Serge Marcante : À la Mutuelle Générale, nous avons mis en place fin 2013 une Direction des Risques et de la Qualité (DRIQ) indépendante des directions opérationnelles. Elle regroupe quatre services qui permettent de couvrir les problématiques liées aux risques et à la surveillance des processus : la gestion des risques, la sécurité, la conformité et la qualité. Avant même la mise en application de la Directive, cette direction va permettre au Conseil d’Administration de disposer de toutes les informations sur les risques stratégiques qui peuvent affecter le profil de risque de la mutuelle et ainsi de les anticiper.

Plus particulièrement à la Mutuelle Générale, où en êtes-vous dans la mise en place de la fonction « Risques », l’une des quatre fonctions clés définies par Solvabilité 2 ?

SM : Cette fonction sera localisée (dès l’entrée en vigueur des textes législatifs) au sein de la DRIQ dans la Direction des Risques. Elle assurera le respect de l’article 44 de la Directive. Nos politiques de risques et de gouvernance sont en cours de finalisation et seront applicables pour 2016. Il est important de se préparer, dès à présent, aux échéances réglementaires qui vont arriver dans un peu plus d’un an.

AJ : Nous améliorons continuellement notre dispositif de surveillance des risques et les cartographions. C’est un travail collaboratif et nous nous appuyons, en particulier, sur la Direction de la Qualité et du Développement Durable qui a rédigé la plupart des processus et permis de mieux cartographier les risques opérationnels. Pour les risques assurantiels et financiers, nous nous sommes dotés d’outils de surveillance qui permettent de les suivre et de calculer, en particulier, les éléments quantitatifs du pilier 1.

Avez-vous déjà défini de quelle façon l’AMSB, notion nouvelle en France, va être constituée ?

SM : Nous attendons la transposition en droit français de l’AMSB pour finaliser notre organisation sur ce point et notamment sur le principe des « quatre yeux ». Ce point est toujours en cours de négociation avec les autorités.

Un des objectifs de l’ORSA est de développer la culture du risque à chaque échelon de l’établissement et de mobiliser l’ensemble des acteurs. Aujourd’hui, quels sont selon vous les acteurs les plus sensibilisés ?

SM : L’ensemble de la chaîne de décision et de gouvernance est progressivement sensibilisé : le Conseil d’Administration, la Présidence, la Direction Générale Déléguée, les membres du Directoire et du Comex. Il est primordial que tous soient informés et participent à la surveillance des risques.

AJ : Nous avons une structure de contrôle en trois niveaux assez classique : les directions opérationnelles, la DRIQ puis l’Audit. Au niveau des directions opérationnelles, nous sommes en train de renforcer la surveillance des risques avec la création de « correspondances DRIQ » qui seront les premiers relais de notre direction dans la structure. Il est important que les collaborateurs soient sensibilisés car ce sont les premiers acteurs d’une amélioration continue de la qualité.

La gestion des risques telle que requise par Solvabilité 2 est-elle jugée comme étant une opportunité au sein des établissements ou comme un frein au développement ?

SM : La performance exigée par Solvabilité 2 en matière de gestion du risque est une opportunité pour la structure et doit participer à son développement en l’aidant à mieux appréhender les risques inhérents à chaque décision et à mieux les maîtriser quand ils se présentent. Plus largement, la collecte de données et de simulations, le fait de devoir repenser la culture du risque et d’affiner les outils de gestion internes sont autant d’éléments positifs pour l’entreprise.

Selon vous, quels sont les facteurs clés de succès pour une bonne gestion des risques dans un établissement du secteur de la mutualité ?

AJ : Une bonne gestion des risques nécessite de tenir compte du principe de proportionnalité et de maîtriser les budgets affectés à leur surveillance. Surtout, il faut être pragmatique dans la prise de décision. Les fondations d’une bonne maîtrise des risques reposent avant tout sur notre capacité à faire preuve de bon sens. C’est dans ce but que nous avons réorganisé l’actif et avons retenu un unique dépositaire. Nous travaillons aussi avec nos différents délégataires de gestion pour optimiser nos traitements liés au passif. Dialoguer avec les autres acteurs du secteur en participant à des travaux de Place facilite aussi grandement la mise en place de Solvabilité 2.

A contrario, s’il n’y en avait que deux à citer, quels sont les écueils à éviter ?

SM : Le premier écueil serait de considérer que les nombreuses règles et procédures instaurées par Solvabilité 2 en matière de maîtrise des risques doivent se subsister au bon sens élémentaire, primordial dans ce domaine. La deuxième erreur serait de négliger le principe de proportionnalité, au risque de construire une usine à gaz et de perdre de vue l’objectif essentiel : maîtriser les risques de l’entreprise.

*Alban JARRY, Directeur du Programme Solvabilité 2 et de la Mutuelle Générale, Vice-Président de XBRL France.
**Serge MARCANTE, Directeur des Risques et de la Qualité et membre du Directoire de la Mutuelle Générale

Cet article La gestion des risques sous Solvabilité 2 : quelle intégration dans le secteur de la mutualité ? est apparu en premier sur RiskInsight.

Les BCR : une adaptation de la loi à la massification des transferts internationaux de données

Toute société désireuse d’exporter des données à caractère personnel (DCP) en dehors de l’UE, vers des pays ne bénéficiant pas d’un statut de type « pays adéquat » (tel l’Argentine ou le Canada), doit s’équiper d’outils juridiques à même de garantir un niveau satisfaisant de protection aux données transférées. Comprendre l’aspect novateur des BCR passe par une revue des outils juridiques existants avant leur création.

L’adhésion aux principes du Safe Harbor

Négociés en 2001 par la Commission Européenne et le Département du Commerce Américain, ils autorisent les entreprises européennes à transférer des données personnelles aux seules sociétés établies aux États-Unis et ayant adhéré à ces principes. Le champ d’application de ce régime reste tout de même limité.

La mise en place de clauses contractuelles types

Les autorités européennes de régulation ont, depuis 2010, rédigé des clauses contractuelles génériques. Cela a permis aux responsables de traitement du monde entier de s’échanger des données à caractère personnel en restant conforme à la législation européenne sans avoir à rédiger un texte sur mesure à chaque transfert comme c’était le cas auparavant. Toutefois, chaque transfert nécessitant la signature d’une de ces clauses, le processus peut rapidement devenir indigeste d’un point de vue administratif.

Si ces outils existent toujours, les BCR apportent une réponse globale aux problématiques de massification de transfert des données à caractère personnel au sein des multinationales. Désormais, un seul instrument juridique permet d’encadrer l’ensemble des transferts réalisés dans n’importe quel pays : leurs périmètres d’application, qu’ils soient géographiques ou matériels, sont extensibles à l’infini.

L’intérêt des BCR : un outil sur mesure pour les multinationales

Jusqu’à fin 2012, les BCR s’adressaient uniquement aux multinationales exportant entre leurs entités propres, un volume conséquent de DCP de différentes natures vers des pays tiers n’assurant pas un niveau de protection « adéquat ». Les BCR ne prenaient alors pas en compte le phénomène d’externalisation. Des BCR sous-traitants ont donc été mises en place le 1^er janvier 2013. La sphère de sécurité de transfert des DCP s’étend désormais  à l’ensemble de l’écosystème, partenaires commerciaux inclus, des multinationales.

Le véritable enjeu des BCR : la mise en place d’une gouvernance dédiée

Les conditions semblent donc réunies pour les BCR permettent aux multinationales de conjuguer conformité et simplicité. Le véritable enjeu pour toute entreprise désireuse de se lancer dans la rédaction et la mise en place de BCR réside, en définitive, dans la gouvernance à mettre en place.

En effet, la mise en application de ces BCR nécessite la mise en place d’un réseau de responsables à la protection des données qualifiés. L’objectif de cette gouvernance dédiée est double : elle permet de veiller au respect des règles internes et gérer les plaintes concernant le traitement des DCP.

La difficulté de mettre en place un tel réseau est proportionnelle à la taille du périmètre défini en amont. Toutefois, dans la plupart des cas, la création d’un réseau dédié ex-nihilo ne semble pas a priori à privilégier. Il serait coûteux à mettre en place, difficile à animer et ne jouirait pas d’une visibilité immédiate. Aussi, s’appuyer sur un réseau de correspondants existant semble être, a contrario, plus approprié. Outre la pertinence des compétences mobilisables (SSI, juridique, compliance, RH…), le degré de maturité des réseaux en question semble être la clé pour faciliter l’adhésion et la mise en œuvre des mesures de conformité.

Les BCR réussissent donc bel et bien à conjuguer la simplification du traitement massif des données à caractère personnel avec efficacité de leur protection. De cette façon, elles illustrent le souci des autorités de régulation à faire preuve de pragmatisme dans l’application de la loi.

On ne doit toutefois pas perdre de vue que la formalisation de ces règles n’est bien qu’une première étape et pousse les multinationales à aller plus loin dans la réflexion autour de la protection des transferts de données à caractère personnel.

Cet article Les Binding Corporate Rules (BCR) font-elles rimer conformité avec simplicité ? est apparu en premier sur RiskInsight.

Des attaques cybercriminelles d’une ampleur jusque-là inégalée

Ces attaques se répètent et n’épargnent personne. En novembre 2013, l’éditeur Adobe déclare avoir été victime du vol de 150 millions de comptes utilisateurs. Quelques semaines plus tard c’est au tour du géant américain de la distribution Target de faire les frais d’une attaque de grande ampleur avec pour résultat les données bancaires de 110 millions de clients dans la nature. En mai 2014, Ebay annonce que les données personnelles de 145 millions de clients ont été dérobées, sans atteinte cependant aux données bancaires.

Si les motivations des cybercriminels peuvent être diverses (idéologiques, ludiques, stratégiques…), ces opérations sont très souvent menées à des fins économiques. La multiplication, la professionnalisation et la diversification de ces attaques mettent en lumière l’existence d’un véritable marché noir de la donnée personnelle.

La protection des données personnelles au cœur du débat

L’Union Européenne s’est saisie du sujet. En mars dernier, le Parlement Européen a adopté le Règlement Européen sur la Protection des Données personnelles  (N.B. le Conseil de l’UE doit se prononcer dans les prochains mois). Ce nouveau règlement prévoit des règles plus strictes auxquelles devront se plier les entreprises, tout en augmentant drastiquement les sanctions.

Si la conformité à la loi devrait permettre de diminuer le risque de fuite de données personnelles, cela ne suffit pas. Pour protéger les données de manière plus efficace, le RSSI doit aller au-delà et proposer des solutions qui permettront d’agir à la fois en amont et pendant la crise.

Prioriser la détection et la réaction par la supervision sécurité

On estime aujourd’hui qu’environ 80% des entreprises ont été victimes d’attaques de type APT. Selon le rapport M-Trend Mandiant 2014, le temps moyen de détection de ces attaques est de 229 jours !

L’amélioration des capacités de détection est donc un enjeu vital pour protéger les données sensibles. Une solution efficace est la supervision sécurité, qui vise à améliorer et accélérer la détection des activités malicieuses sur le SI de l’entreprise. A l’initiative du RSSI, l’entreprise doit réaliser une analyse de risque qui permettra d’identifier les zones les plus sensibles de son SI. La collecte et l’analyse des logs des éléments sensibles lui permettront de garder un œil attentif et de réagir en cas d’identification de signaux faibles indiquant une compromission.

Traiter en priorité le maillon faible de la chaîne cyber-sécurité

Les utilisateurs du SI sont le maillon faible de la chaîne cyber-sécurité et apparaissent comme des cibles de choix : l’exploitation de failles humaines est à l’origine de 70 à 80% des attaques cybercriminelles. Afin de prévenir ces incidents, le RSSI doit s’appuyer sur les Ressources Humaines et la Communication Interne afin d’inscrire la sensibilisation SSI dans des actions de communication. A l’image d’Axa, qui a organisé un concours vidéo sur le thème de la prévention numérique, en partenariat avec l’EICAR, une école de création audiovisuelle. Des spots de sensibilisation à la cyber-sécurité (phishing, social engineering) ont été produits, cumulant au total plus d’un million de vues. La Société Générale a également mené des actions de sensibilisation de ce type.

Réagir à la survenance d’un incident

Ces mesures permettent-elles pour autant de se prémunir à 100% du risque de fuite de donnée ? Non, bien évidemment. La question n’est pas de savoir si un tel incident risque de se produire, mais comment faire face quand il se produira.

Cette question s’adresse principalement au RSSI, qui a la responsabilité de l’instanciation du scénario cybercriminalité et de son intégration dans l’organisation de gestion de crise globale de l’entreprise. Le dispositif de gestion de crise cyber-sécurité peut comprendre des fiches-réflexes, des checklists ou encore des éléments de communication (éléments de langage, communiqué de presse, etc.).

A ce jour, seulement 20% des grands comptes français sont préparés à gérer une crise cyber-sécurité. Compte tenu de l’accroissement constant du nombre d’attaques et de leur ampleur, il y a fort à parier que les RSSI trouveront auprès de la direction générale une oreille attentive pour les appuyer dans la mise en place de solutions destinées tant à prévenir les incidents (supervision, sensibilisation) qu’à gérer la crise au moment où, inévitablement, elle surviendra.

Cet article Fuite de données personnelles : comment stopper l’hémorragie ? est apparu en premier sur RiskInsight.

Le recensement de ces risques nous conduit à nous pencher sur les exigences réglementaires de Bâle II & III.

Les 3 types de risques du système financier : risques de marché, risques de crédit, risques opérationnels

Il existe trois types de risques liés aux marchés financiers. La mesure et la gestion de ces risques sont devenues un des objectifs majeurs des grandes institutions bancaires. Les réglementations prudentielles, les techniques de contrôle et les prérogatives des autorités de surveillance visent à s’appliquer à l’ensemble des banques en vue de garantir un contrôle bancaire efficace.

Le premier type de risque est le risque de marché, il est fonction de la variation de facteurs tels que : taux d’intérêt, cours de change, prix des matières premières, cours des actions…le tout dans un contexte mondial. Ces différents facteurs peuvent donner lieu à des pertes financières substantielles et par effet-dominos à un effondrement du marché financier mondial.

Le second est le risque de crédit, il est quant à lui lié à la défaillance du paiement des créances, il est fonction du montant de celle-ci, de la probabilité de défaut et de la proportion de la créance non recouvrée en cas de défaut.

Enfin, les risques opérationnels relèvent des pertes potentielles liées aux défaillances des procédures, des systèmes informatiques, à la fraude interne ou à des évènements extérieurs (fraudes externes, sinistres, réglementations ou actes de terrorisme).

Au-delà des principes fixés par le comité de Bâle en vue de la gestion de ces trois types de risques, un des trois piliers de Bâle II vise le renforcement de la discipline des marchés. L’exigence et la surveillance des fonds propres constituent les deux autres piliers adoptés par le Comité de Bâle. Pour respecter ces piliers, les établissements financiers doivent fournir aux parties prenantes et selon leur degré d’implications, des informations financières en toute transparence portant sur la structure des fonds propres, leur adéquation et les expositions aux risques.

Si Bâle II a été un projet de mise en conformité rapprochant la vision réglementaire de la vision économique, son impact n’a concerné que les métiers liés au crédit et aux activités de marchés. En revanche, Bâle III a un périmètre beaucoup plus large et des impacts plus significatifs susceptibles de changer certaines activités en profondeur, et d’inciter à des changements de stratégie. Un renforcement des systèmes de gestion des risques et des équipes d’audit viendra accompagner ces changements de stratégie.

Un moyen d’action pour contrer la crise financière : Bâle III

Avec les nouvelles exigences de Bâle III sur les ratios de liquidité LCR (Liquidity Coverage Ratio) et NSFR (Net Stable Funding Ratio), le liquidity risk management est devenu un sujet de préoccupation majeur des banques. Celles-ci doivent également s’impliquer plus fortement dans l’implémentation des règles bâloises en assurant un contrôle permanent des processus, de la gestion de l’information et de l’optimisation des profits sous des contraintes de financement en quête de stabilité.

La gestion des risques de marchés est finalement fonction de l’information financière. Quant aux banques, de nouveaux défis seront lancés en vue d’identifier et d’appliquer la bonne gestion des besoins bancaires et de leurs systèmes d’informations.  La mise en place de nouveaux modèles quantitatifs de gestion de risques ou le renforcement d’audits internes vont accroître la sensibilisation des établissements bancaires à ces risques financiers.

Cet article L’intérêt des réglementations bâloises face aux risques financiers est apparu en premier sur RiskInsight.

Fin 2009, le ministère marocain de l’Industrie, du Commerce et des Nouvelles Technologies a lancé un vaste programme visant à développer l’usage de la technologie numérique au sein du royaume. Celui-ci a conduit notamment à une informatisation croissante des PME et de l’administration et à une meilleure accessibilité de la population à Internet.

En parallèle de cela, les dispositifs législatifs communautaires contraignent fortement l’échange de données entre l’Europe et ses voisins, complexifiant  le développement d’activités d’offshoring au Maroc.

Il devenait donc indispensable, d’une part, d’apporter au citoyen les garanties indispensables face à une hausse de l’informatisation et aux inquiétudes que cela peut générer (atteintes à la vie privée, spams commerciaux, etc.), et, d’autre part, de constituer un terrain favorable à l’afflux de capitaux internationaux.

C’est là tout l’objet de la loi 09-08 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel, équivalent marocain de la Loi Informatique et Libertés française.

Pour les entreprises, outre le respect d’une nouvelle obligation légale, il s’agit dès lors de maintenir puis faciliter les échanges avec ses partenaires européens et de protéger son image, voire de faire de son souci de la protection de la vie privée un véritable atout concurrentiel.

Que dit cette loi ?

Afin de faciliter sa reconnaissance par l’Union Européenne, le législateur marocain s’est grandement inspiré des textes communautaires et en particulier français en la matière. On retrouve ainsi dans ce texte les mêmes principes que dans ses homologues européens :

• Un traitement de données à caractère personnel doit avoir une finalité précise, à laquelle il convient de se tenir, et une durée de mise en œuvre limitée, en fonction de la finalité. Un strict principe de proportionnalité doit ainsi être respecté : seules les données permettant l’atteinte de la finalité fixée doivent être manipulées.
• Les traitements doivent faire l’objet d’une déclaration ou d’une demande d’autorisation, en fonction de leur sensibilité.
• Ils doivent être sécurisés, en particulier pour éviter tout vol ou fuite de données.
• Ils doivent être mis en œuvre en toute transparence. Les personnes concernées doivent être informées et ont un droit de regard sur l’utilisation de leurs données.

Une commission dédiée, la Commission Nationale de contrôle de la protection des Données à caractère Personnel (CNDP) est ainsi instaurée pour assurer le respect de cette loi.

Cette similarité des principes entraine bien sûr les mêmes difficultés pratiques, en particulier liées au champ d’application extrêmement étendu des définitions : la grande majorité des traitements mis en œuvre par les entreprises et administrations s’avèrent en effet être des traitements de données à caractère personnel.

Quelles conséquences concrètes pour les entreprises marocaines ?

Les entreprises marocaines ne disposent plus aujourd’hui que d’un lapse de temps réduit pour mettre en conformité l’ensemble de leurs pratiques. De manière concrète, elles ont un certain nombre d’actions à réaliser. Elles doivent ainsi inventorier l’ensemble des traitements, effectuer les évolutions nécessaires, notamment pour respecter le principe de proportionnalité, réaliser les déclarations, faire un bilan de sécurité et lancer les actions nécessaires, y compris auprès des sous-traitants, mettre en œuvre les modalités d’information des personnes, etc. Un terme devra de plus sans doute être mis à un certain nombre de pratiques de démarchage, celui n’étant plus autorisé que dans un cadre précis.

Au-delà de ce projet de mise en conformité, il conviendra sans doute de refondre un certain nombre de processus de l’entreprise, notamment les processus projet, et ainsi d’assurer un maintien dans le temps du niveau de conformité atteint.

D’ores et déjà, la réflexion est plus qu’amorcée au sein de nombreux organismes. Sous la pression d’un grand public de plus en plus averti et d’un paysage concurrentiel de plus en plus mature, le niveau d’exigence en matière de conformité ne fera que croître.

Par ailleurs, au fur et à mesure que la pédagogie laissera place à la sanction, il est fort à parier que les exigences de la loi iront en se durcissant. Par conséquent, bien plus que de se mettre en conformité à une nouvelle loi, il s’agit de se familiariser dès aujourd’hui, à son rythme, avec ce qui permettra demain de répondre à des impératifs bien plus grands et bien plus pressants.

Cet article Protection des données à caractère personnel : le Maroc renforce son arsenal juridique (avec la Loi 09-08) est apparu en premier sur RiskInsight.

 Un nouveau délit : la divulgation d’informations protégées par le secret des affaires

Inspiré du COHEN Act des États-Unis mais aussi d’autres textes européens, ce texte défini la notion « d’informations protégées relevant du secret des affaires d’une entreprise » (Art 325-1) et introduit le délit de divulgation de ces informations (Art 325-2).

Ces informations sont « quel que soit leur support, les procédés, objets, documents, données ou fichiers de nature commerciale, industrielle, financière, scientifique, technique ou stratégique ne présentant pas un caractère public dont la divulgation non autorisée serait de nature à compromettre gravement les intérêts de cette entreprise en portant atteinte à son potentiel scientifique et technique, à ses positions stratégiques, à ses intérêts commerciaux ou financiers ou à sa capacité concurrentielle »Art. 325-1 .

Cette large définition permet de couvrir les différents incidents rencontrés ces dernières années.

Jusqu’ici, en cas de fuites, les responsabilités pouvaient être recherchées pour vol, abus de confiance ou encore violation de propriétés intellectuelles.  Mais il était difficile de faire reconnaître des délits « virtuels » touchant des données immatérielles non reconnues par le code pénal.

Les exemples de jurisprudence sont rares, comme le jugement de juin 2010 du tribunal correctionnel de Clermont-Ferrand. L’ex-employé de Michelin souhaitant vendre des données à la concurrence a été condamné d’abus de confiance, mais sa peine est toute relative : 2 ans de prison avec sursis et 5000 euros d’amendes.

Les peines prévues dans ce nouveau texte sont largement plus dissuasives : 3 ans de prison et 375 000 € d’amendes. Seul regret, la tentative de fuite d’information n’est pas réprimandée. Il est important de préciser que les données identifiées ne seront pas protégées en cas d’investigations de la justice ou encore d’autorité de contrôle comme la CNIL. D’autre part, les journalistes sont également exclus du champ de la loi en cas de recel. Pour finir, les mesures de sécurité devront faire l’objet d’une information des instances représentatives du personnel.

Mais quels vont être les impacts dans les entreprises et comment le RSSI doit-il aborder ce sujet ?

Des impacts non négligeables

Le dispositif qui sera prochainement adopté va nécessiter un travail important dans les grandes organisations. En effet pour que la loi s’applique, les données doivent faire « l’objet de mesures de protection spécifiques destinées à informer de leur caractère confidentiel et à garantir celui-ci » (Art 325-1).

Le texte précise que les mesures seront précisées par décret en conseil d’état. Les premières discussions font état du marquage de l’ensemble des documents, de l’établissement de listes de personnes autorisées à prendre connaissance des informations, d’un stockage des documents papier dans des coffres ou des locaux sécurisés ou encore la mise en place de dispositifs de chiffrement et de codes d’accès.

Des pratiques minimums mais déjà complexes à déployer à large échelle. En effet, même si les données les plus sensibles sont souvent connues instinctivement, il peut être ardu de les identifier dans l’entreprise et à fortiori de les protéger dans son système d’information. Il s’agit d’un travail souvent méticuleux pour bien embrasser l’ensemble des données et tous les cas d’usage associés.

 Une réflexion à entamer dès aujourd’hui

 Il est évident que tout ne devra pas être classifié « secret des affaires » dans une entreprise.  Un bon réglage du « curseur » sera cependant ardu à trouver. Il faudra osciller entre « trop classifier », et donc augmenter les coûts, ou « ne pas assez classifier », et donc prendre de risques de fuites. L’implication des métiers et de la direction sera, encore une fois essentielle, et les efforts des années précédentes dans la réalisation d’analyse de risques s’avèreront très utiles.

Même si de nombreuses étapes législatives restent à franchir, réjouissons-nous cependant de l’avancée que représente ce texte, qui va d’une part aider à la sensibilisation du management et d’autre part apporter enfin une réponse juridique aux nombreux incidents rencontrés ces dernières années !

Cet article Le « secret des affaires » arrive dans notre cadre réglementaire ! Quel impact pour les entreprises ? est apparu en premier sur RiskInsight.

Quelques incidents majeurs d’indisponibilité survenus en 2011

Dans le domaine des technologies de l’information, l’année passée a connu une médiatisation forte du cloud, notamment vis-à-vis du grand public. Mais elle a également montré quelques limites du « nuage » en termes de disponibilité avec des incidents touchant les acteurs majeurs du secteur tels qu’Amazon, Microsoft ou Google.

2011 a également connu les désormais habituelles, mais ô combien impactantes ruptures de câbles. Notamment celle de Vélizy, en mai dernier, où des fibres ont été coupées lors de travaux du tramway. Un site d’hébergement informatique a été isolé près d’une journée, perturbant ainsi l’activité de grands comptes de la distribution et celle d’un ministère. Non moins insolite, une Géorgienne de 75 ans a coupé la connexion de 3,2 millions d’Arméniens en cherchant du cuivre près de Tbilissi !

Mais de tous les incidents, les catastrophes naturelles sont indéniablement les plus marquantes, par leur gravité et leur dimension parfois inhabituelle : les inondations en Thaïlande et surtout le désastre de Fukushima. Ces catastrophes ont montré les limites des dispositifs de maîtrise des risques, et poussé ces pays à améliorer leur capacité à gérer des crises exceptionnelles.

Un renforcement de la sensibilité des états et des organisations sur le sujet

Le Japon et la Thaïlande ne sont pas les seuls pays qui se sont intéressés à la question. Le sinistre de Fukushima a réveillé l’opinion publique sur le risque nucléaire et incité la très grande majorité des pays exploitant cette énergie à examiner la sécurité de leurs installations. Dans le même courant, l’augmentation des événements naturels pousse de nombreux gouvernements de par le monde à repenser leur gestion des risques majeurs.

Le 3 janvier, l’Autorité de Sûreté Nucléaire française (ASN) a remis au Premier Ministre son rapport sur les évaluations complémentaires de sûreté (ECS) et révisé ses exigences de sûreté relatives à la prévention des risques naturels (séisme et inondation), à la prévention des risques liés aux autres activités industrielles, à la surveillance des sous-traitants et au traitement des non-conformités.

Plus globalement, l’Union Européenne a, ces dernières décennies, défini des réglementations sur des sujets divers allant de la réglementation sur les substances chimiques (REACH), celle sur l’évaluation des risques d’inondation (2007/60/CE), à celle relative au domaine banque/assurance (Bâle III, Solvency II), etc. Et ces directives sont déclinées en France.

Sur un autre continent, le Maroc conduit un projet de définition d’une stratégie nationale de prévention et de gestion des risques, notamment ceux liés aux catastrophes naturelles. Cette volonté a été confortée par les inondations de mars 2011.

Mais outre ces réglementations, les catastrophes de 2011 poussent à inscrire la gestion des risques dans de nouvelles dimensions.

Des risques à traiter au-delà des frontières habituelles…

Au-delà des frontières géographiques…  Les inondations en Thaïlande en témoignent. Si la ville de Bangkok a été globalement préservée (au travers des actions volontaristes menées par le gouvernement), il n’en reste pas moins que des zones industrielles, dans sa périphérie ou dans le pays, ont été sévèrement touchées.  Les impacts en termes de production se sont répercutés partout dans le monde, en particulier sur le marché de l’électronique, et notamment sur la production des disques durs professionnels comme grand public (augmentation des prix de 30% à 150% selon les distributeurs).

Au-delà des frontières internes des entreprises… La gestion des risques doit bien intégrer la réflexion sur la continuité des processus avec l’ensemble des acteurs, sans omettre les prestataires et fournisseurs essentiels. C’est ainsi que la pénurie de pièces produites en Thaïlande a poussé un constructeur automobile à revoir sa production à la baisse.

Au-delà des frontières des typologies de risques… La cyberattaque en est une illustration. Il ne s’agit pas de traiter la confidentialité des données qui peuvent être accédées uniquement, en oubliant la disponibilité des services offerts par une DSI, ni l’inverse. Les objectifs de ces attaques étant variés, tous les risques doivent être considérés, de la fuite d’informations et à l’interruption d’activité.

L’approche traditionnelle consistant à traiter les risques de façon indépendante, ce qui pousse bien souvent à les penser dans un cadre restreint, a donc vécu : il convient désormais de bâtir un dispositif global de gestion des risques, sur les processus métiers critiques avec tous leurs enjeux, leurs acteurs et leurs moyens, qu’ils soient en France ou non, basés sur les nouvelles technologies ou non, etc.

Cet article 2011 : rétrospective des incidents majeurs et impacts sur la gestion de risques est apparu en premier sur RiskInsight.

Une nouvelle bataille juridique s’ouvre entre les États-Unis et l’Europe. En jeu cette fois-ci, le Cloud Computing. L’’affiche ? USA Patriot Act Vs. Directive Européenne de protection des données à caractère personnel.

D’un côté, l’USA Patriot Act. Véritable épouvantail de l’externalisation et fer de lance de la lutte antiterroriste US, il autorise les écoutes et la capture de données par les autorités américaines, avec un encadrement judiciaire permettant de le faire à l’insu de leur propriétaire… Il constitue l’argument le plus précieux des opposants de l’hébergement de données aux Etats-Unis.

De l’autre, la Directive européenne pour la protection des données à caractère personnel. Mère européenne de la Loi Informatique et Libertés française, elle encadre fortement le traitement de données en dehors de frontières de l’Union et, plus généralement, leur accès non légitime et non autorisé par le responsable de traitement. Bien plus, elle le rend pénalement responsable de tout accès tiers non signalé aux propriétaires des données.

Au centre, Microsoft. Le géant de Redmond consent des efforts importants pour être en conformité avec les réglementations sur les données à caractère personnel. En particulier, leur adhésion aux principes du Safe Harbor , qui, en dépit de certaines limites, constitue une garantie jugée suffisante par l’Europe pour que soit autorisé le transfert de données à caractère personnel vers une entreprise américaine. D’autre part la mise en place d’un Cloud européen, aux serveurs dédiés et localisés strictement au sein des frontières de l’Union ensuite, offre une solution simple pour la conformité.

A l’origine de la bataille, une conférence dédiée au lancement d’Office 365. Le directeur Royaume-Uni de Microsoft a alors reconnu tout haut ce que bon nombre de spécialistes du secteur murmuraient déjà : son siège social étant domicilié aux Etats-Unis, Microsoft est soumis au droit national… et doit donc appliquer l’USA Patriot Act y compris sur le sol européen.

Et ceci est vrai pour l’ensemble des fournisseurs américains de services de Cloud computing ! Ils pourraient ainsi être amenés à communiquer aux autorités américaines des données de leurs clients européens, en dehors de tout cadre légal national ou communautaire.

Cette transparence soudaine signe-t-elle le début de la fin du Cloud computing made in USA ? ou s’agit-il d’une opportunité de croissance inespérée pour les fournisseurs européens ? Doit-on s’attendre à une migration massive des premiers vers les seconds ?

Ce qui est vécu comme une ingérence américaine sur le terrain législatif communautaire est aujourd’hui examiné par la Commission Européenne, qui s’est saisie du sujet.

Sans préjuger en rien des conclusions des débats d’ores et déjà très animés sur le sujet, cette bataille mérite d’être suivie avec attention.  Et permet de rappeler l’importance d’une analyse de risques, y compris juridiques, avant tout recours à un fournisseur externe…

Cet article La guerre des réglementations aura-t-elle raison du cloud computing? est apparu en premier sur RiskInsight.