Académique Documents
Professionnel Documents
Culture Documents
CyberRisques par
Cyber
Le risque
numéro un !
Sommaire
ou d’administration avec règlement
par mandat administratif, adressez votre bon
de commande à : PC Presse - CyberRisques,
service abonnements, 38 rue Jean-Jaurès
92800 Puteaux – France TABLEAU DE BORD
ou à abonnements@cyber-risques.news
WannaCry et GandCrab ont toujours pignon sur rue
IMPRESSION Malwares stars de début 2020 – Les marques préférées du phishing
Imprimé en France par SIB (62) Hacktool.JQ – La négligence premier facteur d’incident interne . . . . . . . . p. 4
Dépôt légal : 1er trimestre 2020 Etrennes de ransomwares pour Bouygues Constuction
Toute reproduction intégrale, ou partielle, faite et la Région Grand Est . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 5
sans le consentement de l’auteur ou de ses ayants
droit ou ayants cause, est illicite (article L122-4 POSTMORTEM
du Code de la propriété intellectuelle).
Toute copie doit avoir l’accord du Centre français
Cyberattaque du CHU de Rouen : comment le pire a été évité . . . . . . . . . . p. 6
du droit de copie (CFC), 20 rue des Grands-Augustins OUTILS
75006 Paris. Cette publication peut être exploitée
dans le cadre de la formation permanente. Cyber, le risque n°1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 8
Toute utilisation à des fins commerciales de Évaluation du risque cyber…
notre contenu éditorial fera l’objet d’une demande Automatisée pour les RSSI ou taillée pour les métiers ? . . . . . . . . . . . . . . . p. 10
préalable auprès du directeur de la publication.
CyberRisques est publié par PC PRESSE, S. A.
au capital de 130 000 euros, 443 043 369 RCS CAHIER CENTRAL SPÉCIAL DPO
Nanterre. Siège social : 38, rue Jean-Jaurès,
92800 Puteaux, France. GOUVERNANCE
ISSN en cours DPO externe : quelles conditions pour une prestation « idéale » ? . . . . pp. I et II
EXPÉRIENCE
Un magazine du groupe, José Alberto Rodríguez Ruiz, DPO de Cornerstone OnDemand
DIRECTEUR GÉNÉRAL, DIRECTEUR « Le succès du DPO dépend de sa capacité à bien travailler
DE LA PUBLICATION : Michel Barreau
avec tous les niveaux de l’organisation » . . . . . . . . . . . . . . . . . . . . . . . . . . . pp. I et IV
AILLEURS
California Consumer Privacy Act : un RGPD à la sauce américaine ? . . .p. VI
Abonnez-vous OBSERVATOIRE
à CyberRisques ! DPO, combien de divisions ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. VIII
TRIBUNE de Albine Vincent, cheffe du service des délégués
à la protection des données de la CNIL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. VIII
CONFORMITÉ
SecNumCloud, référentiel de confiance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 19
Un pont entre DSP2 et ISO 27001 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 19
MENACES
« L’arrivée de la 5G démultiplie les risques liés à l’IoT », entretien
avec Jean-François Beuze, Président de la société de conseil Sifaris . . . p. 20
LolBins : comment les hackers retournent vos outils contre vous . . . . . p. 20
TECHNO
Offert avec votre abonnement Cryptographie : pourquoi il devient urgent de mettre en œuvre
« RGPD et droit des données personnelles » des algorithmes post-quantiques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 22
de Fabrice Mattatia (délégué FIC 2020
à la protection des données dans une L’humain replacé au cœur de la cybersécurité . . . . . . . . . . . . . . . . . . . . . . . . p. 24
grande administration). ÉTUDE
Bulletin d’abonnement à compléter sur : Baromètre Data Breach : effet de bord ou réelle augmentation
www.cyber-risques.news/abonnement des violations de données ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 26
L
a difficulté est d’au- fibres optiques permettant
tant plus importante
pour les entreprises
de garantir performance et
résilience.
A propos
de tailles intermé-
diaires dont l’activité
Outre une offre de sauvegarde
managée qui a déjà séduit
d’AntemetA
est très fortement tributaire entre autres des acteurs du • Fondée en 1995
des systèmes informatiques CAC40, AntemetA héberge par Stéphane Blanc,
mais dont les ressources également plusieurs milliers
actuel PDG
Mise en service plus de 150 ingénieurs qui se
humaines et financières sont de machines virtuelles. Si déplacent régulièrement chez
limitées pour s’équiper d’un les technologies VMware ou • 260 collaborateurs rapide nos clients. Nous ne pouvons
véritable centre de supervi- Hyper-V sont naturellement • Siège social en région « Les équipes sont entraî- pas prendre le risque d’être
sion de la cybersécurité ou présentes, AntemetA pro- nées et adaptent rapidement le point de propagation d’un
SOC (Security Operations pose également la solution parisienne les règles de corrélation aux malware. »
Center). Le SOC est l’atout Open Stack. « Nous souhai- • 7 agences régionales métiers de nos clients. C’est un
idéal, combinant solutions tons proposer une alternative (Lille, Nantes, Lyon, très gros avantage pour opérer Une démarche
logicielles et équipes formées, open-source à nos clients efficacement un SOC. Enfin,
pour contenir l’essentiel des qui veulent mettre en place Toulouse, Metz, le choix d’un SOC mutualisé d’amélioration
menaces et être en mesure les briques d’une approche Aix-en-Provence, donne aussi plus d’efficacité continue
de réagir en cas d’attaques. SDDC (Software-Defined Data aux équipes internes et permet
Aussi, pour disposer d’un tel Center) », commente Thierry
Strasbourg)
de réduire les coûts.
et vertueuse
service sans en assumer l’en- Floriani, RSSI d’AntemetA et • 91 millions d’euros « Pour mettre en production un Lorsqu’un SOC est mis en place
semble des coûts, AntemetA responsable du SOC. de chiffre d’affaires en client sur la plate-forme, cela chez un client, les équipes
propose une solution inno- 2019 (exercice clos prend deux jours seulement d’AntemetA se concentrent
vante de SOC mutualisé. Une offre étudiée le 31 mars) après avoir récupéré les logs. sur la fiabilisation des alertes
Fondée en 1995, AntemetA C’est extrêmement rapide ! », afin d’éliminer au maximum les
est une entreprise française pour les ETI • 2/3 de l’activité en négoce souligne M. Floriani. « faux positifs » et ainsi réduire
dont la mission est d’ac- « A partir du moment où nous et 1/3 en services « Notre valeur ajoutée est de le bruit de fond qui peut mas-
compagner les entreprises avons développé l’activité nous appuyer sur les solutions quer une alerte réelle. « Avant
dans la modernisation de cloud, nous avons en parallèle déjà installées afin d’amélio- de communiquer un incident
leurs infrastructures infor- souhaité adresser en autonomie proposer des services plus per- rer la qualité et la quantité à nos clients, nous analysons
matiques. Si la réputation de les problématiques de sécu- sonnalisés à nos clients. de données collectées. De afin de parfaitement qualifier la
la société n’est plus à faire rité », poursuit Thierry Floriani. « En effet, nos offres sont prin- fait, nous participons à la dangerosité de l’attaque. Nous
sur les problématiques ser- « C’est une démarche initiée il y cipalement destinées aux ETI création d’une politique de sommes capables de réaliser
veurs, stockage ou encore a 8 ans. Nous adoptons le prin- (Entreprises de Taille Inter- sécurité cohérente au sein de une véritable enquête. L’idée
sauvegarde, il faut savoir cipe de « Security by Design ». médiaire), c’est-à-dire des l’entreprise ». est de ne pas « crier au loup » 3
qu’AntemetA est un acteur Il était ensuite impératif de sociétés réalisant entre 500 Aujourd’hui, le SOC collecte mais de proposer une réponse
important du cloud en France mettre en place un SOC pour millions et 1,5 milliard d’eu- 1,3 To de données par jour. proportionnée. Ensuite, nous
avec près de 100 clients. comprendre précisément ce qui ros de chiffre d’affaires. Notre Ces données sont conser- profitons de ces retours d’ex-
Ses infrastructures, uni- se passait dans ce cloud et être approche de service sur-me- vées, horodatées et signées périences pour enrichir nos
quement et volontairement en mesure des protéger les res- sure mais abordable convient notamment en cas d’enquête règles de corrélations », pour-
hébergées en France, sont sources de nos clients. Une fois parfaitement à leurs besoins judiciaire. Une dizaine de col- suit M. Floriani.
réparties sur 3 datacenters le SOC mis en route et après le de cybersécurité. Elles béné- laborateurs sont mobilisés La démarche d’AntemetA
à Paris et Lyon. L’ensemble recrutement et la montée en ficient ainsi de services d’un avec un objectif de doubler ne s’arrête pas là. La cyber-
des sites sont connectés compétences des équipes, SOC mais n’en supportent pas ce nombre dans les 12 pro- sécurité est une question
entre eux par un réseau de nous avons commencé à le coût complet. » chains mois. d’outils tel que le SOC mais
également de sensibilisa-
Défense tion. Les utilisateurs sont
donc concernés. « Nombreux
en profondeur sont nos clients à mettre en
En moyenne, 400 à 500 000 place une véritable politique
actions malveillantes sont iden- globale de sécurité du sys-
tifiées toutes les deux heures tème d’information et nous
avec des pics pouvant atteindre les accompagnons dans cette
2 à 3 millions. Thierry Floriani se démarche » nous précise
veut rassurant : « de nombreux Thierry Floriani à proximité
systèmes automatisés scannent d’une affiche incitant les sala-
en permanence les serveurs riés d’AntemetA à verrouiller
des entreprises à la recherche leur PC dès que nécessaire. ●
de failles. Ce sont des attaques
simples et parfaitement traitées
par nos équipements. Nous
focalisons notre attention sur les
TABLEAU DE BORD
Construction. Mais l'agence attribue bel et bien la compromission du le soutien de l’Anssi et d’un prestataire externe, sans que l’on sache qui
système d’information de Bouygues Construction au ransomware. Si est responsable de cette attaque, la collectivité ayant choisi de ne pas
ce l'on ignore l'ampleur de la paralysie ou du vol de données, l'entreprise a contacter les adresses mails mentionnées dans les messages laissés
019 annoncé dans ses résultats financiers pour l'année 2019 que « l’activité par les pirates.
% En France,
de nombreuses
entreprises
enfreignent
le RGPD
Malgré la vigilance de la
CNIL et les amendes infli-
gées, le Netwrix Data risk &
security report 2020 dresse
un constat accablant de
nce l’état de la protection des
données personnelles
mikatz dans l’Hexagone. Sur le
ur. Il y partage des données, 22%
étec- des répondants ont connu 5
nom un incident de sécurité dû
ires à à un partage de données
e type non autorisé au cours des
oire et 12 derniers mois. Un tiers
cation d'entre eux pensent que les
réuti- employés de leur organisa-
vices. tion partagent des données
via des applications cloud
en dehors de tout contrôle.
eur Pire encore, 88% des orga-
nisations interrogées n'ont
rne mis en œuvre aucun pro-
gramme de conservation
e 204 des données, soit le pour-
étude centage le plus élevé de
ur les tous les pays analysés dans
dents l’étude. Un nombre similaire
4 716 (87%) a du mal à identifier
nnée les données ROT (redon-
nt dus dantes, obsolètes, triviales).
Une De plus, 13% ont supprimé
pense par erreur des données sen-
4 852 sibles ou réglementées au
nt. cours de l'année écoulée.
« Tous manquent à la fois
de classification des don-
ées
nées et d'un programme
de conservation des don-
nées » estime l’éditeur. Ainsi,
77% des organisations sou-
mises au RGPD ne savent
pas si elles stockent plus de
données clients que néces-
saire. Parmi celles-ci, 44%
ne classent pas les données
au moment de leur création.
via des
les app
précis
objecti
ment d
de pou
finale,
donnée
Selon
naiss
manue
étaien
Metas
encore
L’hôpital normand a subi la plus importante cyberattaque ayant jamais dernière intervient dès le samedi en renvoyant une partie des ces out
matin avec une équipe de sept urgences vers d’autres éta- prendr
touché un établissement de santé français. Durant tout un week-end, experts, venus épauler la DSI de blissements. « Merci, si vous le à déplo
le SI a été totalement paralysé par un rançongiciel. Si les services ont l’hôpital. « Le rôle de l’Anssi est
de comprendre ce qui se passe, en
pouvez, et ne relevez pas d’une
urgence vitale, de consulter en
à same
la majo
été fortement perturbés, la santé des patients n’a jamais été mise en étudiant le mode opératoire de l’at- maison médicale ou dans un indiqu
taquant, puis d’aider la victime à autre service d’urgence hors CHU égalem
péril. Retour sur un incident qui risque de ne pas être un cas isolé. redémarrer les systèmes », résume (Europe, Cedres, Elbeuf, Dieppe, amont
C
Guillaume Poupard. Evreux, Le Havre…) », peut-on sieurs
6 « ’était la panique. D’heure Emmanuel Gras, ancien de lire sur une affiche écrite à la Pour
en heure, tous les sys- l’Anssi et CEO d’Alsid, startup main et placardée à l’entrée des l’envo
tèmes informatiques « L’attaque était ciblée, française spécialisée en cyber- urgences, filmée par France 3 çon, l
tombaient les uns après ce n’était pas une IP sécurité, détaille les procédures Normandie. logicie
les autres. Puis ce fut le de l’agence nationale. « La pre- Le lundi matin, les princi- çongic
blocage total. Or, tout est informa- tirée au hasard. mière mission de l’Anssi est de paux services sont redémarrés. logicie
tisé ici, pas seulement la gestion Mais le montant "closer" l’attaquant, c’est-à-dire Toutes les données n’ont pas n’impo
de l’hôpital, mais aussi les soins bloquer son accès au SI, en garan- encore été récupérées et cer- lue et
des patients. Et bien entendu, cela
de la rançon l’était tissant qu’il ne rentrera pas par une tains accès internet restent global
est tombé au pire moment, c’est- beaucoup moins » autre porte. Pour cela, on réalise bloqués. Mais 80 % des appli- comm
à-dire le week-end, quand nous un audit de sécurité qui va éta- cations métiers fonctionnent. Gras.
sommes en effectifs réduits ». Ce Guillaume Poupard, blir un état des lieux de la surface « Les systèmes ont été redémarrés Selon
témoignage est celui d’Évelyne directeur général de l’Anssi. d’attaque afin de trouver toutes les en trois jours, ce qui est absolu- publié
Bourgeois, agent de service hos- portes d’entrée potentielles. Dans ment remarquable », se félicite la pr
pitalier et secrétaire CGT au CHU les plus brefs délais, ces portes sont l’Anssi. « Je tiens à souligner la Clop a
de Rouen. Le 15 novembre der- repas, l’accueil aux urgences… de la région Normandie. Pour fermées une à une. Les comptes très grande réactivité des équipes 2019.
nier, l’établissement normand Même les caméras de surveil- autant, il n’a pas forcément qui ont servi à l’attaque sont par de l’hôpital qui étaient bien pré- de la
était victime d’une cyberattaque lance, dont le flux d’images les moyens de payer une ran- exemple supprimés. Ensuite, le SI parées en matière de gestion de Crypt
sans précédent dans le secteur passe par le SI, sont hors ser- çon. Surtout quand le montant est mis sous surveillance, pendant crise », poursuit Guillaume vée de
français de la santé. Une attaque vice. « Nous sommes revenus au s’avère astronomique. Selon une une période relativement longue, Poupard. Crypto
ciblée, qui rappelle celles per- papier-stylo », poursuit Évelyne source proche du dossier, elle afin d’éviter une seconde vague Selon Évelyne Bourgeois, le retour jet de
pétrées depuis plusieurs années Bourgeois. « Mais cela a forte- atteignait « plusieurs centaines d’attaque. » à la normale ne s’est quand même mineu
POSTMORTEM
aux États-Unis et démontre que ment perturbé le fonctionnement de milliers d’euros ». D’après une pas fait en trois jours. Le lundi fier sa
la France n’est désormais plus des services. Par exemple : pour les autre source, il s’agissait de 40 Un retour à la matin, les urgences fonction- impliq
à l’abri. « Il y a eu plus de 600 commandes de repas, tout a été fait bitcoins, soit environ 250 000 naient toujours en mode dégradé, pas à
incidents de sécurité informatique par téléphone, ce qui est beaucoup euros, selon le cours de l’époque
normale en 15 jours rapportent différentes sources. ni un
déclarés par les établissements de plus long. Les prescriptions médi- de la cryptomonnaie. « L’attaque Tout le week-end, l’Anssi et la « Les systèmes et les données ont ticuli
santé en France en 2019, principa- cales ont été rédigées sur papier, était ciblée, ce n’était pas une IP DSI travaillent au rétablisse- été récupérés progressivement. Ce menti
lement dû à des cryptovirus. Mais ce qui est aussi très long. Pour les tirée au hasard. Mais le montant de ment du SI, avec une équipe n’est qu’au bout d’environ 15 jours ayant
l’attaque de Rouen sort du lot », cartes vitales, nous avons fait des la rançon l’était beaucoup moins », présente 24h/24. Une vingtaine que l’on peut dire que tout était ren- États-
commente Vincent Trely, pré- photocopies en attendant que le explique Guillaume Poupard, d’agents sont parallèlement tré dans l’ordre. Aujourd’hui encore, une d
sident et fondateur de l’Apssis système revienne. Récupérer les directeur général de l’Anssi. envoyés dans les services pour certaines données n’ont pas été récu- dont l
(Association Pour la Sécurité des examens médicaux était également « Une grosse clinique américaine, expliquer la situation. Car les pérées. Mais cela ne nous empêche
SI de Santé). compliqué, car il fallait se rendre au qui gagne des millions de dollars bruits de couloir colportent pas de travailler », confie-t-elle.
L’attaque débute à 19h45 le ven- laboratoire, qui est sur un des cinq par jour, aurait pu payer. Mais pour des informations contradic- Depuis l’attaque, diverses
dredi soir. Le principal serveur sites du CHU ». un CHU français, cela n’était pas toires. « On nous a dit que l’on mesures ont été prises pour ren-
technique du SI de l’hôpital, raisonnable ». Selon une source était victime d’un piratage infor- forcer le SI du CHU de Rouen.
pierre angulaire de l’ensemble Une rançon proche du dossier, la direction matique, d’abord sans rançon puis « Sur les postes de travail, il n’est
des applications métiers, est du CHU a de toute façon refusé avec rançon. Ce n’était pas clair. pas possible de se connecter à
chiffré à distance par un atta-
disproportionnée de payer la rançon, par principe. Mais comme la messagerie était des messageries personnelles ou
quant. Progressivement, tous Côté direction, une demande de Pour faire face à l’attaque, l’éta- bloquée et que la DSI était sur- à d’autres services externes »,
les services sont bloqués, dont rançon est adressée. Le CHU de blissement crée une cellule de chargée, il était très difficile d’avoir évoque Évelyne Bourgeois. De
l’imagerie médicale, la ges- Rouen est un des plus importants crise dans la nuit de vendredi des informations », se rappelle son côté l’Anssi indique que :
tion des dossiers patients, la établissements de santé français, à samedi. Elle rappelle du per- Évelyne Bourgeois. « Ce qui n’est pas achevé c’est le
messagerie interne, les pres- avec plus de 10 000 employés sonnel, déclare l’attaque au Face à la difficulté de la situa- durcissement du réseau. Cette phase
criptions médicamenteuses, et près de 2 500 lits. Il s’agit ministère des Solidarités et de tion, la direction de l’hôpital de remédiation peut prendre plu-
la biologie, les commandes de même du premier employeur la Santé et prévient l’Anssi. Cette décide de réduire son activité, sieurs mois ».
POSTMORTEM
inoculé un code malveillant sur fonction de suppression des information menant à son arres-
le SI. « Il y a toujours un "patient copies cachées Windows (volume tation ou sa condamnation.
zéro", c’est-à-dire le poste sur lequel shadow copies). Au final, l’attaque du CHU de
l’infection initiale a été réalisée. Il Rouen a créé d’importantes
permet d’ouvrir une porte d’entrée TA505 : l’attaquant perturbations dans les ser-
sur le SI. L’attaquant va ensuite se vices, sans pour autant mettre
déplacer sans les systèmes selon le
présumé en péril la santé des patients,
principe du "mouvement latéral", Les investigations de l’Anssi indiquent les observateurs du
via des chemins secondaires entre ont permis d’associer l’attaque secteur. Mais cela aurait pu mal
les appareils et les applications », à une plus large campagne tourner. « Sans l’informatique le
précise Emmanuel Gras. « Son ciblant également des univer- risque d’erreurs est plus important.
objectif est d’acquérir progressive- sités européennes, opérée par Cela est particulièrement préoc-
ment des privilèges supérieurs afin le groupe cybercriminel russo- cupant au niveau des traitements
de pouvoir ensuite lancer l’attaque phone TA505 (lire encadré). « On médicamenteux, pour lesquels
finale, incluant le chiffrement des ne pourra jamais affirmer avec cer- l’informatique a fait sensible-
données et la demande de rançon ». titude que l’attaque a été perpétrée ment baisser le nombre d’erreurs.
Selon l’Anssi, les outils de recon- par TA505 », tient cependant à Une cyberattaque représente donc
naissance et de propagation préciser Emmanuel Gras. « En un risque réel pour la santé des
manuelle utilisés pour l’attaque cybersécurité, l’attribution des patients. Les conséquences peuvent
étaient notamment SDBBot, attaques est quelque chose de très être dramatiques », commente
Metasploit, CobaltStrike ou complexe et il est impossible d’être Cédric Cartau, RSSI et DPO du
encore Mimikatz. « C’est grâce à certain à 100 % d’avoir identifié les CHU de Nantes.
ie des ces outils que l’attaquant a réussi à auteurs. Ils peuvent se faire passer Selon lui, la menace est gran-
éta- prendre le contrôle du domaine et pour tel ou tel groupe de cyber- dissante. En 2019, au CHU de
vous le à déployer dans la nuit de vendredi criminels, alors qu’il s’agit d’un Nantes, une quinzaine de pièces
d’une à samedi le code de chiffrement sur autre reprenant un modus operandi jointes suspectes étaient déce-
ter en la majorité du parc informatique », connu, pour créer une fausse piste. lées chaque semaine, par des
ns un indique l’agence. Elle estime Ce qui est certain, c’est que le but de solutions de type Sandbox (bac
rs CHU également que cette phase en l’attaque était clairement financier. à sable). « Aujourd’hui, nous en
ieppe, amont a probablement duré plu- Il s’agit donc d’un groupe interna- sommes à une cinquantaine, avec Depuis 2019, TA505 cible également les domaines de la
ut-on sieurs jours. tional relevant du crime organisé. » des pics à soixante-dix », alerte recherche, de l’énergie, de l’aviation et de la santé. « La
te à la Pour le chiffrement du SI et Suite à l’attaque, le CHU de Rouen Cédric Cartau. 7
motivation première de TA505 est lucrative : principa-
ée des l’envoi de la demande de ran- a porté plainte auprès du parquet
ance 3 çon, l’attaquant a utilisé le de Paris. Une enquête judiciaire a Les hôpitaux : lement à la recherche d’entités détenant de l’argent. Ils
logiciel Clop. « Il s’agit d’un ran- été initiée pour « accès frauduleux, auraient récemment cherché à monétiser de la propriété
inci- çongiciel assez classique. C’est du maintien frauduleux, modification et
une cible de choix intellectuelle qu’ils auraient dérobée », précise l’Anssi. Leurs
arrés. logiciel malveillant sur étagère, que introduction frauduleuse et entraves Les attaques ciblant des hôpitaux
armes sont principalement des trojans bancaires (Dridex
nt pas n’importe qui peut utiliser. Il évo- au fonctionnement dans un système français seraient donc amenées à
t cer- lue et intègre des variantes, mais de traitement automatisé de don- se multiplier ? « Oui. Rouen n’est et TrickBot) et des rançongiciels (Locky, GlobeImposter,
stent globalement, c’est un outil assez nées à caractère personnel mis en qu’un début et je ne suis pas spé- Clop et Philadelphia). Selon un récent communiqué de
appli- commun », souligne Emmanuel œuvre par l’État, en bande organi- cialement alarmiste. Mais avec la Microsoft, TA505 exploite également des documents Excel
nnent. Gras. sée ». L’extorsion et la tentative digitalisation, la surface d’attaque
marrés Selon un rapport de l’Anssi, d’extorsion en bande organi- ne fait que croître dans les hôpi-
contenant une macro malveillante.
bsolu- publié juste après l’attaque : sée, figurent également dans les taux », prévient Vincent Trely. TA505 serait à l’origine d’au moins neuf campagnes d’at-
élicite la première utilisation de poursuites. Le parquet a confié Le principal problème reste le taques depuis juin 2019 et auraient ainsi compromis plus
gner la Clop a été observée en février les investigations à l’Office cen- manque de moyens financiers d’un millier d’organisations dans le monde. « Ses impor-
quipes 2019. Il s’agit d’une variante tral de lutte contre la criminalité dont disposent les hôpitaux
n pré- de la famille de rançongiciels liée aux technologies de l’infor- français pour se protéger des tantes capacités d’action interrogent sur la structure du
ion de CryptoMix, elle-même déri- mation et de la communication cyberattaques. « Il y a un manque groupe qui pourrait regrouper plusieurs sous-groupes ou
aume vée des familles CryptXXX et (OCLCTIC) et à la police judiciaire cruel de moyens dans le secteur impliquer une collaboration avec d’autres », estime l’agence
CryptoWall. Son code fait l’ob- de Rouen. hospitalier qui freine les investisse-
gouvernementale française.
retour jet de fréquentes modifications Selon les experts du secteur, il est ments dans la sécurité informatique
même mineures, afin de complexi- peu probable que les auteurs de et pousse à rallonger la durée de
lundi fier sa détection. Les attaques l’attaque soient traduits en jus- vie des équipements au maxi- moyens pour déployer des solu- l’Apssis : « Depuis l’attaque, plu-
ction- impliquant Clop ne se limitent tice. Une relative impunité contre mum », indique un professionnel tions robustes, par exemple du sieurs RSSI m’ont indiqué que la
gradé, pas à une zone géographique, laquelle tente de lutter l’Anssi. du secteur, qui préfère garder chiffrement, de la conteneurisa- porte de leur direction générale leur
urces. ni un secteur d’activité par- « La priorité reste la défense, la l’anonymat. « Dans certains éta- tion, etc. ». était davantage ouverte. Et certains
ées ont ticulier. L’éditeur Mc Afee protection et la remédiation. Mais blissements, j’ai vu des serveurs L’Apssis pointe également le ont même vu des budgets, qu’ils
ent. Ce mentionne ainsi des attaques de plus en plus, nous allons mettre qui avaient plus de 20 ans d’âge manque de moyens : « Aux réclamaient depuis longtemps, se
5 jours ayant majoritairement ciblé les la pression collectivement sur ces et n’avaient pas été régulièrement États-Unis, au Canada, en Corée débloquer », note Vincent Trely.
ait ren- États-Unis, mais également groupes, avec la justice et d’autres patchés. Une bonne part des CHU ou au Danemark, l’IT représente « Une étape vient d’être franchie »,
encore, une douzaine d’autres pays, capacités cyber-nationales », confie français possède encore des postes environ 5 % du budget des hôpi- estime pour sa part Guillaume
é récu- dont la France. Guillaume Poupard. de travail sous Windows 7, alors que taux. En France, il se situe entre 1,2 Poupard, qui se veut plus rassu-
mpêche cet OS n’est plus maintenu ». et 2 % », observe Vincent Trely. rant. « La phase de déni, qui pouvait
-elle. Toujours selon cette source : Mais le cas de Rouen semble se rencontrer il y a quelques années
erses « Clop est un rançongiciel « Globalement, le niveau de sécu- faire bouger les lignes. « Il nous est révolue. Nous sommes désormais
r ren- rité informatique dans les hôpitaux a incités à accélérer la sécurisation dans une phase d’action. Mais il y a
ouen. assez classique. C’est du français a évolué. Mais il reste de notre SI. À Nantes, nous avons effectivement un manque de moyens.
il n’est logiciel malveillant sur insuffisant. Il n’y a plus de gros identifié plus d’une quarantaine C’est pourquoi nous travaillons avec
cter à risques d’incendie dans les salles de mesures à prendre. La majo- plusieurs centres hospitaliers à la
lles ou étagère, que n’importe informatiques, comme cela pou- rité ne nécessite d’ailleurs pas mise en place de solutions efficaces et
nes », qui peut utiliser » vait être le cas il y a une dizaine d’achat de solution, mais du temps financièrement viables », conclut-il.
is. De d’années. Les data centers sont homme pour patcher des systèmes Contactée par notre rédaction, la
que : Emmanuel Gras, également redondés dans quasi- ou paramétrer des équipements. direction du CHU de Rouen n’a
c’est le ancien de l’Anssi et CEO ment tous les établissements. Mais Les mesures les plus urgentes vont pas souhaité, pour le moment,
e phase la circulation des données sur les être appliquées dès cette année », s’exprimer sur le sujet. ❚
d’Alsid.
re plu- systèmes d’information reste trop poursuit Cédric Cartau. Christophe Guillemin
faiblement protégée, faute de Même son de cloche du côté de
D
attelés. La France (et l’Anssi) a à une
ans son baromètre l’évolution démographique, l’in- gestion des « risques frontières » développé EBIOS, le Royaume- des an
des risques, Allianz certitude liée au Brexit et un faible (les risques cyber et de réputation).
les risques Uni a choisi sa propre méthode, A par
a interrogé 2 400 réservoir de talents dans l’éco- L’urgence dans ces secteurs fait Les risques cyber sont de plu- Cramm. Un standard ISO 27005 dispos
experts de la gestion nomie numérique, en particulier que les entreprises ne prennent sieurs natures. Les impacts propose la mise en œuvre d’un envisa
des risques dans le les talents en intelligence artifi- pas le temps d’entamer des ses- peuvent être directs : nettoyage schéma global pour mettre en adapté
monde. Ils placent désormais le cielle, sciences des données ou en sions de formation sur le terrain. de l’attaque et remise en état du place une méthode d’analyse de en fon
risque cyber en tête de leurs pré- en étu
8
occupations (37 %) à égalité avec
les interruptions de service. En
Gestion des risques IT élimin
de ses
France, le chiffre monte même à Éditeur Solution Principales fonctions des ca
41 %. Les interruptions de ser- appliq
Cabinet de conseil et développeur de la solution ArengiBox
vice suivent de près avec 40 %. afin d’
La multiplication des attaques Arengi ArengiBox pour un système intégré de gestion des risques avoir d
et l’impact économique de et de la conformité avec cartographie des risques. adapté
celles-ci a accéléré la prise en Third and Fourth party risk Suivi et analyses des risques sur les prestataires en app
compte de la réalité cyber. La Bitsight tant de
management et dans la chaîne de valeur pour différents secteurs d'activité.
moyenne des pertes assurées œuvre
pour les incidents cyber sur les Egerie Egerie Risk Manager Suite de gestion des risques labellisée EBIOS par l'Anssi. des m
cinq dernières années s'élève à Suivi des actifs internet et analyses trepris
2,3 millions d'euros. Soit plus Expanse Expander qui en
que pour des risques classiques
pour réduction des risques. pourra
de l'entreprise comme les incen- Gestion des vulnérabilités et des risques avec un module supplé
Kenna Security Platform + application risk module
dies et les explosions (1,5 million spécifique étendant la plate-forme au niveau des applications. Enfin,
d'euros). Les autres risques pris un con
en compte sont les catastrophes Suite complète et intégrée de gestion des risques cyber de la d
Logic Manager Entreprise Risk Management
naturelles, les évolutions légis- et de l'entreprise. active
latives et réglementaires et les Gestion des risques et des vulnérabilités avec remédiation par les
« évolutions de marché ». ronnem
Nopsec Unified VRM automatique par intégration avec outils de ticketing
La délinquance cybernétique les att
aurait coûté 600 milliards de et de patching. Des cab
dollars en 2018, contre 445 mil- Qualys Qualys Vulnerability Management Gestion des risques et des vulnérabilités. d’intég
liards de dollars en 2014. C’est de déc
trois fois plus que la moyenne
Rapid 7 Insight VM Gestion des vulnérabilités et des risques. vergu
OUTILS
des pertes économiques liées aux Suite de gestion des risques cyber s'appuyant sur le standard des ris
Risk Lens Risk Portfolio/Datawarehouse
catastrophes naturelles sur dix FAIR (Factor Analysis of Information Risks). jet. L’a
ans, qui s’élève à 208 milliards de impor
dollars. Les délinquants utilisent Threat intelligence et reporting vers les équipes de sécurité straté
RiskIQ Digital Footprint Risk Reporting
des méthodes toujours plus inno- de la surface d'attaque possible et des vulnérabilités. convie
vantes pour le vol de données, Suite de logiciels sur la gestion des risques et du respect rôles e
les actes de fraude ou l’extorsion RSA Archer semble
de fonds. La menace en prove-
de la conformité.
nance des États et des pirates à Suite de gestion des risques dédiée aux environnements De n
leur solde croît également avec Sentryo Cybervision de l'Internet des objets avec un service de threat intelligence. outi
pour cibles les fournisseurs d’in- Filiale de Cisco.
frastructures critiques et le vol Pour a
des données ou des secrets de Outil d'audit sur la gestion des accès ce pro
Solarwinds Access Right Manager
fabrique des entreprises. et le respect de la conformité. breux
Le manque de ressources qua- des su
Visualisation de l'exposition aux risques cyber
lifiées fait son entrée dans ce accom
classement (9 %). Le problème Tenable Lumin avec des outils analytiques pour suivre la réduction gers »
semble principalement sensible des risques au fil du temps. tablea
dans les pays d’Europe de l’Est Audit, suivi et monitoring des risques avec stockage les pri
et dans les pays anglo-saxons ainsi
TruOps Risk Management des procédures de remédiation et outils analytiques
(USA, UK, Australie, Canada). Il ciel. Ce
est dû à plusieurs facteurs, tels que pour prise de décisions. comple
OUTILS
s sta- risques. Elle permet de recen- point commun d’avoir un cœur de ces mastodontes, de nombreuses des formations autour de la ges- sur place, des experts. ❚
sur le ser toutes les parties exposées produit autour de la gestion des sociétés de services de taille tion des risques ou pour devenir Bertrand Garé
plus il au risque. Dans cette optique,
calcu- l’entreprise doit établir une liste
ement contenant tous les risques poten-
curité. tiels. Elle doit distinguer les
forcé- risques les plus importants d’un
ension côté et les moins importants d’un
à une autre côté. Grâce à cette liste, elle
e l’en- peut analyser leur corrélation.
ement Il convient ensuite de les évaluer,
e. une étape ardue comme nous
nom- l’avons vu. Elle consiste à analy-
mises ser les risques en fonction de leur
e des gravité, déterminer leur impact
rs ont potentiel et l’étendue des pré-
nt été judices y afférents. À part cela,
œuvre elle permet de mesurer les coûts
nom- associés aux risques identifiés.
t aussi Pour la réaliser, il faut procéder
nssi) a à une collecte de données et à
ume- des analyses statistiques.
thode, A partir de là l’entrepreneur
27005 dispose de plusieurs solutions
e d’un envisageables pour trouver la plus
tre en adaptée. Il peut définir la solution
yse de en fonction du risque lui-même
en étudiant la possibilité d’une
élimination ou d’une limitation
de ses effets. Il peut tenir compte 9
des caractéristiques du projet et y
appliquer quelques modifications
Box
afin d’esquiver les risques. Après
avoir déterminé la solution la plus
adaptée, il faut procéder à sa mise
en application. Il s’avère impor-
tant de définir le coût de mise en
vité.
œuvre de la solution en fonction
si. des moyens dont dispose l’en-
treprise. Il faut réduire les coûts
qui en découlent. À défaut, ils
pourraient générer des dépenses
le supplémentaires à l’entreprise.
ons. Enfin, il s’agit de mettre en place
un contrôle et une revue en continu
r de la démarche dans une approche
active pour éviter d’être débordé
on par les changements dans l’envi-
ronnement de l’entreprise ou dans
les attaques externes ou internes.
Des cabinets de conseil préconisent
d’intégrer les résultats dans la prise
de décision dans des projets d’en-
vergure et d’utiliser la gestion
dard des risques dès le début du pro-
jet. L’aspect organisationnel est
important dans la réussite d’une
rité stratégie d’analyse de risque. Il
convient donc de bien clarifier les
ct rôles et responsabilités dans l’en-
semble du processus.
s De nombreux
nce. outils à disposition
Pour aider les entreprises dans
ce processus complexe, de nom-
breux éditeurs ont mis au point
des suites ou des logiciels pour
accompagner les « risk mana-
gers » dans leur tâche. Dans le
tableau ci-contre vous trouverez
les principaux éditeurs du secteur
ainsi que le nom de leur logi-
ciel. Certains proposent des outils
complets suivant l’ensemble de la
D
Samarcq. Ces données, sur les tionnement de son four. « C’est
ans l’article précé- DNS, les patchs, les failles ali- pourtant la clé pour convaincre de
dent, nous abordons mentent des tableaux de bord et mettre un budget et un plan d’ac-
l’une des dimensions le système de notation va « four- tion face à ce risque : considérer
de la gest ion du nir un langage compréhensible par la vraie conséquence métier du
risque cyber, à savoir les décisionnaires » nous apprend cyber » assure le senior mana-
son identification. Une étape Nadji Raib, Account Manager ger de Risk&Co. On remarquera
souvent compliquée, qui passe chez SecurityScorecard. qu’on ne parle pas du risque cyber
par de nombreuses méthodes Mais la cybersécurité n’est-elle dans une approche métier, mais
parmi lesquelles EBIOS, déve- pas une chose trop grave pour d’un déclencheur de risque, d’une
10 loppée par l’Anssi, ou le Cramm être laissée aux seuls CISO ? Pour origine cyber au risque métier.
britannique. L’une des princi- Yann Tonnelier, chef de bureau « Toute la beauté de l'approche du
pales problématiques est de adjoint à l’Anssi, « il est compliqué risque par le métier, c’est que la cybe-
déterminer à qui doit s’adres- d’automatiser ». « Pour pouvoir rattaque devient une cause de panne
ser cette évaluation de risques. dérouler la méthode d’évaluation comme une autre. Ainsi, on ramène
En l’absence de méthode de calcul du risque, il faut connaître l’entre- son traitement dans la norme » sou-
standardisée, plusieurs approches prise, d’où le fait que l’on fasse appel ligne Nicolas de Pesloüan. Mais
s’affrontent. On a vu ces dernières à différents métiers dans l'organi- puisque la méthode n’est pas
années fleurir des entreprises se sation pour éclairer les modalités, automatisée, sa mise en place
faisant agences d’évaluation du les articulations, les contraintes de prend du temps et, surtout, reste
risque cyber. SecurityScorecard, l'entreprise » nous précise-t-il. complexe à actualiser.
société américaine fondée en 2013, A ses yeux, le RSSI ne peut plus
en a fait sa spécialité. Son rôle : dérouler tout seul l’analyse de Réduire les risques
visualiser les risques pesant sur risques, d’où l’intérêt de casser Vaut-il mieux automatiser pour
une organisation, entreprise, les silos. « En dix ou quinze ans, brosser un tableau général des
collectivité ou administration, nous sommes passés d’un impact vulnérabilités à l'attention des
de la même façon qu’un atta- technique du risque cyber à un DSI ou bien adapter l'évaluation
quant. Pour ce faire, elle évalue de impact également organisation- aux métiers afin de leur per-
manière automatisée le niveau de nel, sur la production, les métiers, mettre de comprendre l'impact
risque en collectant toute donnée l’image de marque, les finances... du risque cyber sur leur métier ?
accessible sur Internet, enrichie Le cyber est devenu un risque stra- Les deux mon capitaine ! C’est en
de sources ouvertes ou commer- tégique à gérer comme les autres des termes un peu moins ima-
ciales de Threat Intelligence. François Samarcq, directeur des ventes risques d'entreprise » conclut-il. gés que Raphaël Roth, directeur
Ces données vont venir alimen- Cybersécurité chez PwC France,
de SecurityScorecard, exposait lors d’un FIC Talk
ter dix catégories de facteurs de Comprendre nous explique que les deux
OUTILS
risques que sont la sécurité du l’intérêt de l’automatisation de l’évaluation approches sont complémentaires.
réseau, la santé des DNS, la fré- du risque cyber. le risque Selon lui, les tests de vulnérabi-
quence des correctifs, la sécurité C’est alors qu’entrent en scène des lités peuvent être automatisés, et
des endpoints, la réputation des fournisseurs, etc. quand bien devant l’auto-évaluation et, cabinets de conseils spécialisés doivent l’être dans certains cas.
adresses IP, la sécurité des appli- même aucun audit n’a été mené chose de plus en plus fréquente, dans cette évaluation des risques, Pour autant, « dans l’absolu, on ne
cations Web, le “Cubit Score” directement auprès de ces tierces dans le cas de fusions-acquisi- à l’instar de Risk&Co. Ici, oubliez fait pas de la sécurité pour le “fun”.
(un indice propriétaire relatif parties. tions. Le cas de Marriott, sous l’automatisation : « on adapte la In fine, ce que l’on fait en cyber, c’est
aux problèmes de sécurité et de En effet, face au durcissement des le feu des projecteurs après que méthode à chaque métier » indique réduire les risques. Et les risques à
configuration critiques liés aux mesures de sécurité des grandes Starwood, racheté en 2016, se soit Nicolas de Pesloüan, senior réduire en premier lieu, ce sont les
portails administratifs exposés), entreprises, les attaquants ont fait dérober les données de cen- manager en charge de la sécu- risques métiers ». En conséquence,
les discussions entre hackers, les de plus en plus tendance à pas- taines de millions de clients, a rité industrielle chez Risk&Co. l’information doit être en pre-
informations d’authentification ser par leurs sous-traitants : sans doute incité les dirigeants « En partant de l’identification des mier lieu adressée aux - et rester
fuitées et l'ingénierie sociale. on parle d’attaques par rebond. à la prudence. risques redoutés du secteur d’acti- compréhensible des - métiers.
La moyenne de ces différents fac- « Les entreprises sont connec- vité, par exemple dans le ferroviaire Là encore, le cyber est conçu
teurs aboutit à un score, de A à tées à des dizaines, des centaines Evolutif qu’un train déraille, et déterminant si moins comme un risque en soi
F, estimant le niveau de sécurité de fournisseurs qui sont autant ces risques peuvent avoir une origine que comme un vecteur. Raphaël
d’une organisation. Et puisque les de vecteurs d'attaques » expli-
mais technique cyber ». Une démarche qui passe Roth résume : « on a des risques
données collectées sont publiques, quait lors du FIC François Cette méthode n’est toutefois par des questionnaires personna- métiers qui peuvent être impactés
SecurityScorecard va également Samarcq, directeur des ventes pas parfaite, puisqu’elle ne va lisés et par une prise en compte par une menace IT. Dans la majo-
pouvoir fournir à ses clients de SecurityScorecard, qui pré- pas s’intéresser aux réseaux des risques non pas liés à l’en- rité des entreprises, le risque n’est
un panorama de la sécurité de cise qu’il s’agit là de la principale internes de l’entreprise, ni aux treprise dans sa globalité mais à pas tant IT que métier ». ❚
ses partenaires, sous-traitants, demande des clients de la société, fournisseurs SaaS. Ce qui a le ses activités en elles-mêmes. Car G. P.
CyberRisques par
R
appelons que le Délégué à la Pro-
tection des Données externe peut
être une personne morale ou une
qui avait tenu à décrocher le grade de Mastère
Spécialisé en « Management et Protection des
données personnelles » en 2013 avant de proposer
dépend de sa capacité
personne physique. Les lignes
directrices WP243 du G29 du 5 avril
son expertise à ses clients. « Pour le moment,
nous n’avons toujours pas besoin d’aller chercher
à bien travailler avec
tous les niveaux
2017 (endossées depuis par le CEPD) précisent des missions de conseil. Les appels entrants suffisent
en effet que « la fonction du DPD peut aussi être à occuper mon équipe. Nous avons d’ailleurs décidé
exercée sur la base d’un contrat de service conclu de ne pas nous positionner en tant que DPO externe.
avec une personne ou un organisme indépendant
de l’organisme du responsable du traitement ou du
sous-traitant. Dans ce cas, il est essentiel que chaque
Nous préférons les accompagner avec notre offre de
formation et notre métier d’éditeur d’outils pour
les DPO. Nous mettons l’effort dans leur soutien ».
de l’organisation »
membre de l’organisme exerçant les fonctions de
DPD remplisse l’ensemble des exigences applicables Une priorité pour le DPO José Alberto Rodríguez Ruiz,
établies à la section 4 du RGPD (par exemple, il est
essentiel qu’aucun des membres de l’organisme n’ait
externe : se mettre à l’abri DPO de Cornerstone OnDemand.
de conflit d’intérêts). Il est tout aussi important que des conflits d’intérêts
chaque membre soit protégé par les dispositions du L’étude réalisée en 2019 par l’AFPA, à la demande Concernant la protection des données per-
RGPD (par exemple, pas de résiliation abusive du
contrat de service pour les activités de DPD pas plus
du Ministère du Travail et avec la participation de
l’AFCDP, indique que si 90,7 % des DPO externes
sonnelles, José Alberto Rodríguez Ruiz est
que de licenciement abusif d’un membre de l’orga- ont été désignés par moins de cinquante clients, de ceux qui connaissent bien le sujet. DPO
nisme exerçant les missions du DPD) ». 0,6% des prestataires sont désignés pour plus de
Pour aider les responsables de traitement à mille responsables de traitement. de l’éditeur de solutions RH depuis 2016,
entrer en contact avec les prestataires, l’AF-
CDP propose une « Place de marché RGPD »(1)
Les professionnels peuvent-ils être désignés
pour des responsables de traitement qui seraient
il nous explique son parcours ainsi que ses
gratuite. Et le marché est porteur, comme le concurrents directs ? Là où le RGPD est silen- activités et nous livre sa vision du métier de
confie Alessandro Fiorentino, consultant RGPD, cieux, la Charte de déontologie du DPO indique
que «le Délégué à la protection des données s’interdit délégué à la protection des données.
1 : https://afcdp.net/place-de-marche-rgpd SUITE EN PAGE II SUITE EN PAGE IV
Cahier spécial DPO de la publication CyberRisques réalisé en collaboration avec l'AFCDP. CyberRisques est édité par PC Presse SA, 443 043 369 RCS Nanterre, 38, rue Jean Jaurès 92800 Puteaux France. Demande d'ISSN en cours.
Dépôt légal : 1er trimestre 2020. Imprimé en France par SIB (62). Rédaction : Guillaume Périssat. Création graphique : Franck Soulier. Directeur de la publication : Michel Barreau. contact@cyber-risques.news
© fullvector
l’AFCDP et DPO externe. une action renforcée et des inte- extern
d’être le prestataire de plus d’un ractions plus fréquentes... là où soutie
client ou mandant dans une même Quelle est beaucoup de clients s'imaginent voir in
affaire s’il y a conflit ou risque la durée « idéale » que la conformité peut être livrée en con
sérieux de conflit entre les intérêts « Clé en Main ». Ainsi, il arrive n’étant
de ses clients ou mandants ; s’inter- du contrat ? que les référents métiers, désignés les opé
dit de s’occuper des affaires de tous Le RGPD est totalement silen- par le client, découvrent totalement n’en fa
les clients ou mandants concernés cieux à ce sujet, qui, cependant, le sujet, et qu'il nous faille les former cadenc
lorsque surgit un conflit d’inté- avait été l’objet d’un débat lors a minima avant de pouvoir entamer tourné
rêts, lorsque le secret professionnel des travaux qui ont mené au réellement notre mission ». vexer e
risque d’être violé ou lorsque son texte définitif. On relève, dans le Mais avant de s’engager, on dès lo
indépendance risque de ne plus être projet de rapport du 17 décembre peut aussi se fiancer… « Je de fair
entière ; ne peut accepter une mis- 2012 de la Commission LIBE propose à mes clients de me « tes- le resp
sion confiée par un nouveau client (Commission des libertés civiles, ter » avant de prendre la décision fréquem
ou mandant si le secret des informa- de la justice et des affaires de me désigner auprès de la CNIL Myria
tions données par un ancien client intérieures - qui avait pour rap- comme son Délégué à la Protection exige
ou mandant risque d’être violé ou porteur Jan Philipp Albrecht) des Données externe. Il ne prend jet en
lorsque la connaissance des affaires sur le projet de RGPD, que la sa décision qu’après m’avoir vu d'entr
de ce dernier favoriserait le nouveau Commission proposait d’imposer réaliser la cartographie et pris « il do
client ou mandant ; se doit d’infor- une durée minimale de désigna- connaissance de mon rapport d’au- née, vo
mer le Responsable de traitement/ tion de deux ans (« le responsable dit. De cette façon, nous évitons à cons
sous-traitant ou le donneur d’ordre du traitement ou le sous-traitant les erreurs de casting » indique Comm
de tous les intérêts qui pourraient désignent un délégué à la protec- un praticien, tandis que Jean- extern
influencer son jugement ou com- tion des données pour une durée Michel Livoswky confie utiliser tructi
promettre l’équité dont il doit faire minimale de deux ans. Le mandat la Charte de déontologie du DPO foncti
preuve ». du délégué à la protection des don- comme outil de qualification de sions
Les Délégués à la protection nées est reconductible. Durant son ses clients : « si notre interlo- la Cha
des données externes doivent mandat, le délégué à la protection cuteur rechigne à la signer, nous est un
donc prendre le soin d’évaluer des données ne peut être démis de préférons concentrer nos efforts sur doit d
en toute transparence avec leurs ses fonctions que s'il ne remplit plus d’autres entreprises ». Ce même les me
clients s’ils peuvent être dési- les conditions requises pour l'exer- professionnel ajoute « nous dépen
gnés pour des organismes qui cice de celles-ci » tandis que le effectuons gratuitement, en leur protec
peuvent se considérer comme Parlement proposait de por- présence et pour chaque prospect, doit s’a
II « concurrents ». De l’autre côté ter la durée minimale à quatre une revue complète de conformité et met
de la barrière, les clients ont ans. On apprendra par la suite de leur site web, que nous présen- des do
tout intérêt à prendre connais- que cette proposition émanait de tons avant la signature. Cela donne qui lu
sance de la liste de références l’Allemagne (pays qui dispose de à notre futur client une vue plus cette i
du consultant qu’ils envisagent Datenschutzbeauftragter depuis précise sur notre façon de travail- le DPO
de désigner DPO. Le tout, c’est Naturellement, il faut que le La question de la disponibilité plus de quarante ans). ler et nos méthodologies. En cas de indép
d’en discuter de façon ouverte contexte permette au profes- doit être étudiée : le presta- L’étude de l’AFPA indique que signature, nous remettons alors le signifi
avant de statuer en connais- sionnel de remplir sa mission. taire sera-t-il joignable en cas la moitié des DPO externes rapport écrit ». sans
sance de cause. C’est également une exigence de contrôle sur place de la CNIL ont signé des contrats d’une estim
de la Charte de déontologie du ou en cas de violation de don- durée d’un an avec leurs clients Facteurs de succès avec
De l’intérêt de DPO : « le professionnel veille à nées ? Pour Cendrine Cosquer, (14,1 % ont signé pour deux ans, pour d
et respect de
conclure un « bon » ce que les contrats passés avec les DPO externe en Martinique, la 11,7 % pour trois ans et 22,4 % consei
donneurs d’ordres définissent pré- question est importante : « avec pour plus de trois ans). On peut l’indépendance après
contrat cisément les conditions et moyens mon équipe, nous nous sommes y voir une certaine prudence ou client
Au-delà du bon sens qui impose d’exécution de la prestation ». organisés afin de pouvoir répondre une difficulté pour certaines du DPO externe Comm
de contractualiser avec tout Le 3 de l’article 38 du RGPD aux urgences à tout moment. C’est organisations à se projeter sur On peut se référer, sur ce le Dé
prestataire, le RGPD (cf. son dispose que « le délégué à la pro- un dispositif très lourd et peut- la fonction du DPO, son uti- sujet, à la Charte de déon- des d
article 37.6) impose la forma- tection des données fait directement être une barrière à l’entrée pour lité et le choix d’organisation tologie du DPO, qui indique avec
lisation d’un document qui rapport au niveau le plus élevé de la les consultants isolés ». Il est vrai (externalisation ou internali- que « le Délégué à la protec- deman
précise le contenu de la presta- direction du responsable du traite- que la fourniture par le pres- sation). En effet, la mission du tion des données externe accepte tient d
tion : « le délégué à la protection ment ». Le niveau d’interaction tataire de procédures efficaces DPO externe peut permettre de sa désignation uniquement s’il la Com
des données peut être un membre entre le prestataire et l’organisme peut permettre de pallier l’ab- préfigurer ce que sera la mise dispose d’un accès facile et sans nels. I
GOUVERNANCE
du personnel du responsable du doit donc aussi figurer dans le sence immédiate du consultant. en place, à terme, d’un DPO condition au Responsable de strict
traitement ou du sous-traitant, contrat. Il est sage également que Naturellement, le contrat doit interne. Cela explique proba- traitement ou à son représen- les ac
ou exercer ses missions sur la base le document mentionne explici- détailler de manière claire les blement le nombre important tant direct et un rattachement de tra
d'un contrat de service ». tement l’assurance Responsabilité prestations et leurs coûts ainsi de désignations pour une durée au plus haut niveau de la hié- ses éc
Il semble utile, en début de Civile Professionnelle à laquelle que les éventuelles prestations courte. Ceci est à mettre en rarchie ; reçoit du Responsable contrô
contrat, de rappeler les obliga- le prestataire a souscrit, avec les hors contrat, et une indexation perspective avec le fait qu’il faut de traitement les informations place
tions de chacune des parties. garanties appropriées (le pres- peut également être prévue, sur souvent plusieurs années pour et documentations suffisantes, un DP
En effet, si le RGPD définit dans tataire devra bien sûr présenter l’un des indices INSEE du coût du espérer mettre en conformité pertinentes et fiables pour fon- loyale
son article 39 les missions du ou tenir à disposition de son travail par exemple. La ques- un organisme qui découvre le der ses conseils, conclusions et CNIL
DPO, il indique également client une attestation sur simple tion du modèle économique est sujet. « Je n’accepte jamais une recommandations ; bénéficie d’un respec
la « fonction » de ce der- demande). fondamentale : facturation au mission sans avoir rencontré les accès facilité aux interlocuteurs, et règ
nier dans l’article 38 qui liste Il est sain d’aborder dans le réel, à la journée, ou bien au for- décideurs. Cet entretien sert surtout disposant des compétences et de protec
les obligations du Responsable contrat et d’y préciser des fait ? « Après avoir démarré mon à orienter le plan de route : je n'ai l’autorité nécessaires, au sein de des se
de traitement vis-à-vis de points comme l’accès du DPO activité en mode projet (un sujet, pas la même approche selon que l’entreprise ». Le texte précise la con
son DPO. Un contrat équilibré aux données à caractère per- une tâche, un nombre de jours fac- le dirigeant vise une certification, que le DPO externe « se doit dans
indiquera donc, a minima, les sonnel, le mode d’interaction du turés), je suis finalement passé à la conformité ou une réduction de d’exiger du donneur d’ordres les toute p
obligations issues de ces deux DPO externe avec les person- l’abonnement. Je demande à être ses risques » indique Alexandre moyens et ressources adéquats et à jour
articles. Au-delà, le contrat nels (peut-il, de son propre chef, désigné DPO externe pour un an, Eloy, Membre AFCDP depuis nécessaires à la bonne réalisation pièces
devrait prévoir les autres mis- lancer un audit ou interroger les renouvelable tacitement avec une 2011 et DPO externe. de la fonction ou de la mission, et en
sions que le client décide de collaborateurs ?), sa capacité d’in- dénonciation du contrat sous trois Certains coûts cachés peuvent et de notifier clairement et sans Comm
confier au DPO externe, telles teraction avec la CNIL (peut-il mois. Ce mode, plus pérenne, est difficilement être facturés aux délai tout défaut sur ce point : les DP
que le suivi des demandes des contacter la CNIL au sujet des plus adapté à l’exercice comptable clients, comme l’indique Thierry informations et documentations résiste
personnes concernées ou encore traitements de son client, de sa de nombre de mes clients – sur- Roby, consultant RGPD, « tout est suffisantes, pertinentes et fiables et aux
la réalisation des analyses d’im- propre initiative ?), la fin de mis- tout dans le secteur public – et plus compliqué pour le DPO externe, pour fonder ses conseils, conclu- à la pr
pact sur la vie privée (AIPD). sion, etc. surtout mieux compris » indique car il n'est pas physiquement sions et recommandations ; accès sensib
GOUVERNANCE
. là où soutien des dirigeants pour pou- tion des données externe s’engage
ginent voir insuffler un rythme de mise de son DPO ? à remettre à son client tous les élé-
livrée en conformité, car, le prestataire Concernant les capacités du ments en sa possession relatifs à
arrive n’étant pas présent en permanence, prestataire à remplir la fonc- sa mission. En sus, l’idéal et dans
signés les opérationnels ont tendance à tion de DPO externe, la Charte la mesure du temps dont il dis-
lement n’en faire qu’à leur tête et à leur de déontologie du DPO stipule pose à cet effet, est qu’il s’engage
former cadence dès lors que l’on a le dos 33,5 % que « le professionnel …/… s’inter- à informer son éventuel succes-
ntamer tourné… Savoir s’imposer sans 24,7 % 2,8 % Profession dit de donner à ses clients potentiels seur sur les travaux en cours - cela
vexer est tout un art. Il me semble Cadre Travailleur libérale toute indication erronée quant à pouvant faire l’objet d’une fac-
er, on dès lors que nous avons besoin non salarié indépendant sa capacité et aux moyens tant turation si non prévu dans sa
… « Je de faire des points d’étape avec humains que matériels dont il dis- prestation ». La confidentia-
« tes- le responsable de traitement plus pose (capacité à assurer la mission/ lité, qui doit impérativement
écision fréquemment que le DPO interne ». NOMBRE DE PERSONNES TRAVAILLANT la prestation). Il accepte une mission figurer dans le contrat, s’étend
a CNIL
tection
Myriam Vallin, DPO externe,
exige qu'il y ait un chef de pro-
SUR LE RGPD ET LA CONFORMITÉ seulement s’il se juge compétent
pour le faire, ce qui signifie qu’il
après la mission.
Au sein du contrat, il est sain
prend jet en interne qui soit son point AU SEIN DE STRUCTURES EXTERNES dispose des connaissances et des également de préciser des
oir vu d'entrée au sein de l’entreprise : ressources nécessaires afin d’exer- conditions pouvant donner lieu
et pris « il doit disposer d'une demi-jour- 18,4 % 43,7 % cer la fonction ou la mission dans les à une sortie anticipée (outre le
t d’au- née, voire une journée par semaine 2 pers. 1 personne meilleures conditions possible. Dans cas de non-respect des clauses
vitons à consacrer sur le sujet ». les cas où il identifie une carence, il du contrat). Dans le cas d’un
dique Comme le DPO interne, le DPO en fait part à son interlocuteur pour contrat de service avec une
Jean- externe ne reçoit aucune ins- trouver les moyens d’y remédier, société, le remplacement d’une
tiliser truction dans l’exercice de sa notamment par un effort de for- personne en charge est souvent
u DPO fonction et arrête seul les déci- mation complémentaire ». une phase critique. Le nouvel
ion de sions s’y rapportant. Là encore, En clair, il n’est pas néces- interlocuteur possède-t-il bien
terlo- la Charte de déontologie du DPO saire pour un client d’exiger les mêmes compétences et/ou
r, nous est une référence : « le client de son prestataire qu’il ait déjà qualifications que son prédé-
orts sur doit définir et faire connaître une connaissance parfaite de cesseur ? Est-il « accepté »
même les mesures garantissant l’in- son secteur d’activité et de ses par les collaborateurs ? C’est
« nous dépendance de son Délégué à la métiers, si cela est acté et que ce que confirme Christine
en leur protection des données externe. Il le DPO externe y pallie rapi- Chappet, membre AFCDP et
ospect, doit s’abstenir de toute ingérence dement. C’est ce que confirme ex-consultante RGPD : « quand
ormité et met le Délégué à la protection Cendrine Cosquer, animatrice le DPO externe est une personne III
11,9 % 7,8 % 11,4 %
résen- des données dans une situation du groupe de travail « AFCDP morale, le client a naturellement
donne qui lui permet de fait d’assurer 3 pers. 6,8 % 5 pers. 6 personnes Martinique » : « lors des premiers tendance à s'attacher au consul-
ue plus cette indépendance ». Mais, si 4 pers. et plus contacts, certains clients essaient tant qui a été désigné comme son
avail- le DPO externe agit de manière de nous tester et de mesurer notre interlocuteur principal. Quand
cas de indépendante, cette liberté ne connaissance de leur secteur d’ac- ce consultant quitte le cabi-
alors le signifie pas qu’il agit seul et TYPES DE STRUCTURES tivité et de leur métier. Il ne faut net, les relations humaines sont
sans concertation. Ainsi, s’il
estime devoir prendre contact
DANS LESQUELLES EXERCENT surtout pas hésiter à avouer sa
méconnaissance ponctuelle et à
à reprendre totalement avec le
nouvel interlocuteur, en espé-
ès avec la CNIL (par exemple LES DPO EXTERNES faire part de son engagement à y rant que le courant passe toujours
pour déposer une demande de pallier pour être en mesure de réali- aussi bien entre la nouvelle tête
conseil), il est sain qu’il le fasse Indépendant établi ser la mission. J’ai toujours constaté et l'entreprise. Même si la docu-
après en avoir conféré avec son 26,19 % que la franchise paye et que la mentation est bien tenue, c'est
client. loyauté est récompensée ». Un toujours un cap délicat à passer.
Comme son homologue interne, Cabinet d’avocats autre professionnel abonde dans Cela peut mettre en danger le
ur ce le Délégué à la protection 7,14 % ce sens : « la gestion du temps est contrat de prestation : cette phase,
déon- des données externe répond un vrai casse-tête. Rapidement, mes qui peut être critique, doit être
dique avec diligence à toutes les bonnes intentions selon lesquelles menée avec une extrême atten-
Cabinet de grande taille (plus de 51 personnes)
rotec- demandes de la CNIL et entre- je devais précieusement réserver tion et bien accompagnée par le
ccepte tient des relations loyales avec 9,52 % du temps pour conserver ma com- chef de mission ».
nt s’il la Commission et ses person- pétence et réaliser ma veille sont D’autres scenarii peuvent être
t sans nels. Il ne communique que le Cabinet de taille moyenne (11 à 50 personnes) parties en fumée, sous la pression envisagés, comme une mise en
ble de strict nécessaire concernant des urgences clients et des impré- demeure ou une sanction de la
10,48 %
ésen- les activités du Responsable vus. En fait, comme nombre de CNIL mettant en lumière des
ement de traitement dans le cadre de consultants dans tout domaine, je recommandations erronées du
a hié- ses échanges avec l’autorité de
Petit cabinet conseils ( jusqu’à 10 personnes) complète ma formation principa- DPO… ou le refus du client de
nsable contrôle. En cas de contrôle sur 29,05 % lement au fil de mes missions ». suivre les conseils de ce der-
ations place de la CNIL – et comme À l’inverse, d’autres profession- nier. Dans tous les cas, il vaut
antes, un DPO interne -, il collabore Autre nels préfèrent se concentrer sur mieux aborder sereinement ces
r fon- loyalement à la mission de la 17,62 % un secteur, comme Myriam sujets délicats en début de pres-
ons et CNIL en permettant, dans le Vallin qui accompagne une tation, notamment pour éviter
ie d’un respect des dispositions légales vingtaine de clients, « ils sont les situations dans lesquelles
Données extraites de l'étude « Mettre en oeuvre
uteurs, et règlementaires relatives à la tous dans le même secteur d’ac- le responsable de traitement
s et de protection de la vie privée et le règlement général sur la protection des données » tivité – mais sans notion de s’imagine que la solution réside
ein de des secrets qu’elles protègent, de la DGEFP (ministère du Travail) avec l'appui concurrence entre eux. C'est une dans un nouveau prestataire,
récise la consultation, immédiate ou de l'Afpa, en partenariat avec l'AFCDP et la CNIL. niche dont je ne souhaite pas sor- plus conciliant : « sans être un
e doit dans les plus brefs délais, de tir car j'ai bien conscience que c'est salarié protégé, il est difficile pour
Enquête en ligne réalisée entre février et avril 2019
res les toute pièce réclamée, en version ma connaissance de leur métier qui un dirigeant de se séparer de son
uats et à jour. Il facilite la copie de ces auprès des DPO internes, internes mutualisés fait la différence ». DPO interne… alors qu’il est si
sation pièces par les agents de contrôle ou externes déclarés auprès de la CNIL, simple de mettre fin à un contrat
ssion, et en informe son client. soit 1265 répondants, distribués comme suit : Il est sage avec un DPO externe, surtout si ses
t sans Comme les confrères internes, • 859 DPO internes • 196 DPO internes mutualisés de prévoir la fin conseils déplaisent » témoigne à
point : les DPO externes doivent savoir par des responsables de traitement • 210 DPO externes mots couverts un professionnel.
ations résister aux influences abusives de mission Autant de sujets qui sont débattus
fiables et aux préjugés : « les Délégués https://travail-emploi.gouv.fr/IMG/pdf Il est important de prévoir la fin entre professionnels concernés au
onclu- à la protection des données sont /resultats-enquete-dpd-dpo.2.pdf de mission. Un contrat avec un sein du groupe de travail « DPO
; accès sensibilisés à toutes les influences DPO externe doit anticiper son externes » de l’AFCDP. ❚
Quell
diffic
de l’organisation »
la réal
De qu
résolv
● C’es
tion a
rapide
données personnelles ? locuteurs dans l’entreprise ? Vos générale du produit mais aussi Et, en dehors de celle-ci, com- ou encore les discussions avec inform
● Avec mes équipes, nous avons principaux interlocuteurs en de la mise en pratique des prin- ment s’articule votre fonction nos clients. Il faut voir que, dès d’abor
quelque part trois métiers dif- dehors de l’entreprise ? cipes dit de « privacy by design avec celle du DSI et du RSSI de qu’un système gère de la donnée croire
férents. Comme pour toute ● Presque tout le monde ! Et c’est and by default », avec les équipes l’entreprise ? personnelle, toutes les considé- est av
entreprise, nous sommes respon- fondamental, le succès du DPO sécurité (car la sécurité est un ● Nous fonctionnons par cercles, rations IT classiques (sécurité, avant
sables de la conformité interne et de la fonction « privacy » principe fort de la protection des avec un premier cercle des experts disponibilité, performance, audit, les de
pour nos propres données, ce dépend largement de sa capa- données), avec le marketing, les en protection des données (mon etc…) continuent de s’appliquer, ment
sont les données RH, marketing, cité à bien travailler avec tous équipes commerciales, et le juri- équipe), avec des profils opéra- mais, pour une bonne partie, profil
etc. Mais en tant que fournis- les niveaux de l’organisation. dique, notamment au niveau de tionnels technico-juridiques et elles deviennent aussi des obliga- tié jur
seur SaaS dans le domaine RH, tions réglementaires (la sécurité mais e
nous sommes aussi responsables des données, l’accès aux données, métier
Son parcours
de la conformité externe, lors de les analyses d’impact, etc…), et et une
la gestion des données de nos donc le partenariat entre l’IT et En ef
clients (pour l’essentiel les don- la protection des données devient des p
nées des candidats et salariés). Ingénieur en Informatique par l’Universi- postes jusqu’à devenir en mars 2016 Data fondamental. La fonction IT a établi
Finalement, il faut bien expli- dad Complutense de Madrid, puis diplômé Protection Officer. Il est en outre ensei- tout à gagner à bien comprendre dique
quer et rassurer, justement, sur le RGPD et devenir un parte- des tr
de l’ESSEC et du MSIT HEC/Mines, gnant au MBA RH ESA/HumanEase et est
cette conformité, ainsi que sur naire stratégique pour sa mise (à 99%
la sécurité des données, ce qui José Alberto Rodríguez Ruiz débute à auteur d’un thèse professionnelle à HEC en place. Je pense que le poten- donc,
serait notre troisième métier. Capgemini au poste d’ingénieur logiciel sur la conformité RGDP des algorithmes tiel de la DSI à contribuer à la lier av
C’est un métier opérationnel, pendant quatre ans. Il intègre Cornerstone de machine learning. Il est un des dix conformité RGPD n’est pas encore dans
stratégique, et de pédagogie / assez identifié. Par exemple, les impor
divulgation. L’enjeu principal est
en 2009 en qualité de Technical Project premiers DPOs à avoir eu la certification cartographies de systèmes ou les l’oubli
à la fois éthique et commercial : Manager EMEA et y exercera plusieurs AFNOR/CNIL. catalogues des données sont des des do
r
Le quatrième et dernier cercle mais en effet, des compétences c’est exact que les 10 postes les boussole, mon compas. Il faut la tifications (ou diplômes…) plutôt
ce sont les experts externes : complémentaires acquises par la plus recherchés dans 10 ans ne regarder souvent pour ne pas se que d’en cumuler à tout va. À
nous avons à notre disposition suite. Pour un profil technique, il sont pas encore connus, mais je perdre. Deuxièmement, j’uti- noter qu’on parle ici des certi-
des juristes externes recon- faut développer les compétences dis sans doute que le DPO c’est lise LinkedIn comme source de fications des personnes (versus
nus auxquels nous pouvons juridiques, métier, managériales le mouton à 10 pattes. Pour reve- « mises à jour », pour com- des certifications des processus
faire appel pour des questions et stratégiques. Pour un profil nir à mon parcours, je me suis prendre les nouveautés, les ou organisations). Mais dans le
spécifiques. juridique, il faut développer les formé régulièrement, d’abord évolutions, les avis des experts domaine de la protection des
compétences techniques, métier, dans le management de projet ou être au courant des publica- données, le RGPD impose l’obli-
Quelles sont les principales managériales et stratégiques. grâce à Capgemini, ensuite par tions de la Cnil. Pour donner un gation de designer un DPO (article
EXPÉRIENCE
difficultés rencontrées dans Pour un profil métier ou mana- le biais d’une double compétence ordre de grandeur, je (re)regarde 37) « sur la base de ses qualités pro-
la réalisation de vos missions ? gérial, il faudrait développer en management (master execu- les textes juridiques au moins fessionnelles et, en particulier, de ses
De quelle manière les abordez/ des compétences techniques et tive en management à l’ESSEC), une fois par semaine et LinkedIn connaissances spécialisées du droit et
résolvez-vous ? juridiques. C’est peut-être plus puis de la formation continue. presque tous les jours. des pratiques en matière de protec-
● C’est un métier en construc- difficile, mais pas impossible. J’ai ensuite fait des formations tion des données, et de sa capacité à
tion avec des évolutions très Peut-être qu’en réalité 40% sont courtes en protection des don- Vous avez obtenu la certifi- accomplir les missions visées à l'ar-
rapides, des niveaux de matu- des profils techniques, 40% des nées RH, puis lors de la prise cation DPO de l’Afnor agréée ticle 39 » Ah ! Alors il faut prouver
rité très variables, et il manque profils juridiques, et 20% autres. de mon poste de DPO, un double par la Cnil, pourquoi ? Quelles qu’on a les bonnes compétences,
cruellement des professionnels Pour beaucoup d’entre nous la diplôme exécutive HEC / École des étaient vos motivations à l’ob- donc certes un CV peut suffire,
de la protection des données. protection des données est une Mines en management infor- tention de cette certification ? mais mieux vaut une (la) bonne
Il faut faire beaucoup de péda- vocation qu’on a découverte en matique, le MSIT. Ce diplôme Que vous apporte-t-elle ? certification. Or, bien qu’il y avait
gogie et avoir beaucoup de cours de route, et c’est ça la (dont je suis maintenant membre ● Il y a deux questions concernant de nombreuses (et bonnes) cer-
e DPO patience, se tenir à jour, être motivation, le plus important ! du bureau de l’association des les certifications : certification tifications (« la certification » au
raient flexible. Il faut trouver des solu- De toute façon, nous sommes anciens élèves), assez unique oui ou non, et si oui, laquelle ! niveau international étant celle
que je tions pour avancer, surtout pas dans une période où tout évolue dans son genre, combine à la fois À la première question j’y crois de l’IAPP), il n’y avait pas de cer-
erions être celui qui dit non tout le très rapidement et il faut se for- les aspects managériaux, straté- fortement, pour tout domaine, tification « officielle », comme
), d’où temps. Je le dis souvent, mon mer en permanence et acquérir giques, techniques, et juridiques après tout une certification c’est par exemple les certifications ISO
profils rôle consiste à trouver la bonne des nouvelles compétences sans IT et de protection des données. comme un diplôme, une vali- 27xxx pour la sécurité, et moins
éseau, façon de faire. relâche. On dit que les 10 postes Cela dit, il y a néanmoins deux dation par un tiers, a priori encore des certifications par les
t pro- les plus recherchés n’existaient actions spécifiques de formation de confiance, d’un niveau de autorités de protection des don-
nt tous Pouvez-vous nous décrire nées, alors que maintenant le
ale et / votre journée type ? RGPD le prévoit (voire l’encou-
● Oh c’est un mélange fou de rage), pour les personnes mais
mposé gestion d’équipe, gestion de pro- aussi pour les organisations (il
lupart jet, négociations contractuelles, ne faut pas oublier que dans le
on des présentations commerciales, régime « RGPD » il faut pouvoir
même discussions stratégiques avec fournir la preuve de sa confor-
taires le management, audits, et bien mité, une certification officielle
ntrats sûr, comme bon informaticien, apparaîtrait dès lors comme
nt une il y a toujours un feu à éteindre. un des meilleurs moyens pour
amen- Mais, plus sérieusement, deux le faire !). Donc ma motiva-
ntrats. tiers c’est la gestion des dossiers tion principale était d’avoir la V
mposé en cours, et un tiers le manage- « bonne » certification, à la fois
tam- ment (à la fois gestion de mes pour mettre en valeur mes com-
et les équipes, travail avec les équipes pétences au sein de Cornerstone,
SI). métiers, stratégie et planifica- et pour répondre à l’obligation
cham- tion à long terme). de Cornerstone de pouvoir four-
uipes, nir la preuve d’avoir choisi un
d’ar- Sauf erreur de ma part, vous DPO conforme aux exigences du
rtants avez au départ un profil tech- RGPD. J’ai attendu pendant plu-
quipes nique (dans le sens où vous sieurs années l’apparition de la
ernant venez initialement de l’informa- première certification officielle
us les tique) ? Comment vous êtes-vous de DPO, puis ensuite j’ai été un
ncipes emparé des sujets juridiques ? Et des 10 premiers à l’avoir. Il en
ection plus largement avez-vous effec- reste naturellement que, quand
s pro- tué des formations, des remises on « vend » ses services de DPO,
ons et à niveau dans le cadre de votre une certification validée par la
mmes fonction de DPO ? Cnil est une très bonne carte de
« sup- ● Pas d’erreur, j’étais (et je suis !) visite, alors que quand on est déjà
intus. un pur produit Capgemini : DPO interne, il y a moins d’ur-
s tra- développeur puis consultant gence. Mais, ne vendons-nous
n sur et chef de projet en services pas tous nos services en perma-
tifica- informatiques, et à l’origine nence, que ce soit en interne ou
ctuels j’ai un diplôme d’ingénieur en externe ?
s avec informatique. Cela dit et tout
ue, dès d’abord, nous aurions tort de Y a-t-il d’autres sujets en rap-
onnée croire que la fonction de DPO port avec votre fonction de DPO
nsidé- est avant tout technique ou que vous aimeriez aborder ?
curité, avant tout juridique. Elle est ● Oui ! Ma citation favorite de
audit, les deux à la fois (apparem- Dark Vador : « En raison du RGPD
liquer, ment la moitié des DPO ont un je ne peux plus vous dire si je suis
artie, profil technique et l’autre moi- votre père ou pas ». On est un peu
obliga- tié juridique, pour simplifier), passé d’un extrême à l’autre. Et
écurité mais elle est aussi une fonction bien que sans doute la vérité est
nnées, métier, une fonction stratégique ailleurs, cet ailleurs s’appelle « le
…), et et une fonction managériale. juste milieu ». On doit fournir
l’IT et En effet, il s’agit d’appliquer le niveau adéquat de protection,
evient des principes de conformité et par ailleurs concentrer nos
n IT a établis dans la loi (donc, juri- efforts sur les données (et les
rendre dique) ; lors de la réalisation traitements de données) ayant
parte- des traitements des données besoin d’un niveau de protec-
a mise (à 99% faits par des machines, tion plus élevé. Autrement nous
poten- donc, technique, en particu- risquerions de dévier des res-
er à la lier avec l’avènement de l’IA) ; sources, limitées et par ailleurs
encore dans un domaine précis (très précieuses, vers des missions
ple, les important car on a tendance à moins importantes. ❚
ou les l’oublier ! donc métier : s’agit-il Propos recueillis
nt des des données RH ? des données par Guillaume Périssat
à la sauce américaine ?
soient
En eff
d’opp
mani
d’opt-
page d
de l’en
LEQUEL DES ÉNONCÉS SUIVANTS DÉCRIT LE MIEUX L'ÉTAT détaill
DE VOTRE CONFORMITÉ CCPA DE L'ENTREPRISE? en pla
my dat
CCPA seulement sans q
« disc
teur »
SUITE DE LA PAGE I 17 % 31 % 10 % 21 % 15 % 6 % l'un de
E
l’accès
n matière de protection personnelle brasse large ! Le CCPA + GDPR factur
et de confidentialité terme désigne « les informa- ou en
des données person- tions qui identifient, se rapportent lité de
nelles, les Etats-Unis à, décrivent, sont raisonnable- 14 % 25 % 8 % 16 % 16 % 21 % Il est e
font figure de mau- ment capables d'être associées à, prises
vais élève, en l’absence d’un ou pourraient raisonnablement être perso
véritable cadre national. 2020 liées, directement ou indirectement, Nous n'avons Nous travaillons sur Nous avons un plan mais n'avons teurs â
marquera-t-il la naissance d’un à un consommateur ou un ménage pas commencé notre plan préliminaire pas commencé l'implémentation l'adole
RGPD « made in US » ? Dans particulier ». Ce qui recouvre peu Pour l
ses prévisions pour cette nou- ou prou toute forme de données : Nous avons commencé L'implémentation Nous avons terminé et ans, le
velle année, Andre Durand, le nom, adresses postales et mails, l'implémentation est à un stade avancée sommes conformes au CCPA est re
CEO de Ping Identity, le croit pseudonymes, identifiants en tuteur
et pense que le Congrès améri- ligne, adresses IP, informations Sans surprise, les entreprises déjà soumises au RGPD se disent bien plus prêtes cemen
cain « devrait franchir le pas pour commerciales telles que les biens au CCPA que les autres. 21% d'entre elles se disent déjà conformes, fédéra
combler cette lacune et idéalement personnels, les produits ou ser- contre 6% de celles qui ne sont pas concernées par le RGPD. vie pri
prendre l’initiative de protéger non vices achetés, les informations fameu
seulement les données, mais aussi biométriques, les captations pourra
les identités numériques de tous les audios, les photos, les vidéos, QUELLE PROPORTION DE VOTRE PROGRAMME RGPD VOUS par le
Américains ». les activités en ligne, les infor- que pa
Un souhait motivé par l’entrée mations professionnelles…
ATTENDEZ-VOUS À UTILISER POUR LE CCPA ? Califo
en vigueur ce 1er janvier du CCPA, d’infli
VI ou California Consumer Privacy Un droit d’accès à 7 500
Act. Ce texte de loi, adopté par 33% fois le
l’Etat de Californie en juin 2018,
et de suppression 30% Entre 26 et 50% fautifs
introduit dans la législation En résumé, les citoyens et Entre 51 dans l
locale des dispositions offrant ménages californiens peuvent et 75% Sont
aux « consommateurs » cali- demander d’une entreprise entre
forniens un plus grand contrôle qu’elle leur fournisse les don- à but
sur leurs données personnelles, nées collectées les concernant, Califo
7%
leur collecte et l’usage qui en est les finalités commerciales de bruts
fait par les entreprises. cette collecte ainsi que la liste Moins de 25% dollar
Premier constat quant à cette loi complète des tiers auxquels ces dant l
17% 8%
inspirée de notre RGPD euro- données ont été « vendues » (au 1% d’au m
péen, la définition d’information sens large puisque toute forme Plus de 75% 3% Trop tôt pour teurs
Aucune
La totalité se prononcer moitié
annue
50% des entreprises concernées par le RGPD estime qu'au moins la moitié nées d
de leur programme de mise en conformité sera utilisée pour appliquer le CCPA. l’Etat.
l’entre
Califor
QUELLE SOMME VOTRE ENTREPRISE PRÉVOIT D'INVESTIR A note
de six
DANS LA MISE EN CONFORMITÉ AU CCPA EN 2019 ? sant a
CCPA seulement proch
confor
AILLEURS
Du côt
les cit
3 % 18 % 33 % 24 % 15 % 6 %
concer
assur
CCPA + GDPR breuse
dans l'
bablem
4 % 35 % 30 % 15 % 15 % 2 % auront
tout da
Entre 100 000$ Entre 500 000$ va pou
0$ Moins de 100 000$ aux d
et 500 000$ et 1 000 000$ modi
Entre 1 000 000$ Plus de queron
et 5 000 000$ 5 000 000$ Firefo
Califor
39% des répondants déjà prêts pour le RGPD investiront moins de 100 000 dollars Le C
pour leur mise en conformité au CCPA, quand 79% des entreprises soumises
con
uniquement au CCPA prévoient de dépenser des sommes à 6 chiffres minimum
pour être en règle. Evidem
parfa
Chiffres issus d'une étude de Dimensional Research pour TrustArc du gr
Andre Durand, CEO de Ping Identity. menée auprès d'un panel d'entreprises américaines et réalisée en février 2019. tions
D
des informations requises. une transaction, pour debug- par les données du consomma- d’utilisation et autres politiques CCPA pourra-t-il faire bouger les
Ces données personnelles, les ger une fonctionnalité, pour teur ». D’autant que le texte de confidentialité sans les lire. lignes ? Andre Durand explique
usagers peuvent en demander assurer la continuité du ser- autorise les entreprises à mettre Pourtant, si la loi californienne s’attendre « à ce que d’autres États
la suppression, et peuvent éga- vice au consommateur, pour en place des programmes d’in- recèle de nombreuses failles, américains suivent et adoptent une
lement s’opposer à ce qu’elles détecter des incidents de sécu- citation surtout financière afin elle est sans doute à ce jour le législation similaire » mais, plus
soient partagées avec des tiers. rité ou encore pour défendre la de pousser l’individu à accepter cadre le plus avancé en matière encore, « à ce que le gouvernement
En effet, la loi prévoit un droit liberté d’expression… Certains la collecte ou la revente de ses de confidentialité et de protec- fédéral, encouragé par le dévelop-
d’opposition à la vente, qui se ironisent sur ces exceptions, données. Enfin, la loi elle-même tion des données aux Etats-Unis. pement rapide des réglementations
manifeste par un dispositif évoquant plutôt un « droit à pose un problème d’applicabi- L’un des principaux arguments sur la sécurité des données, prenne
d’opt-out accessible depuis la espérer la suppression de ses don- lité, puisque la vérification de de ses opposants portait juste- l’identité numérique sous son aile,
page d’accueil du site internet nées personnelles ». son respect par les entreprises ment sur l’inutilité de cette loi, en adoptant tout un ensemble de
AILLEURS
de l’entreprise. Ainsi, certains En outre, si la discrimination passe en grande partie par puisque seule une loi fédérale mesures de protection des données
AT détaillants ont d’ores et déjà mis d’un utilisateur qui exercerait les Californiens eux-mêmes : aurait un impact suffisam- des consommateurs ». ❚
en place un bouton « do not sell son droit est interdite, « une pas de gendarme des données ment significatif. Or le projet Guillaume Périssat
my data » sur leurs sites. Le tout
sans que l’entreprise ne puisse
« discriminer un consomma-
teur » lorsque celui-ci exerce
6 % l'un de ses droits en lui refusant
l’accès à certains services, en le
facturant à un taux plus élevé
ou en lui fournissant une qua-
lité de service inférieure.
Il est en outre interdit aux entre-
prises de vendre les informations
personnelles des consomma-
avons teurs âgés de 13 à 16 ans (sauf si
ation l'adolescent choisit de le faire).
Pour les enfants de moins de 13
ans, le consentement à la vente
CCPA est requis d'un parent ou d'un
tuteur, améliorant ainsi effica-
s cement la protection de la loi
fédérale sur la protection de la
vie privée des enfants en ligne, la
fameuse COPPA. Toute violation
pourra être poursuivie, aussi bien
US par le consommateur lui-même
que par le procureur général de
Californie, lequel est en mesure
d’infliger des amendes grimpant
à 7 500 dollars par violation. Une VII
fois leur infraction notifiée, les
0% fautifs ont 30 jours pour revenir
dans les clous.
Sont soumises au CCPA les
entreprises ou organisations
à but lucratif générant en
Californie des revenus annuels
bruts de plus de 25 millions de
25% dollars, collectant ou reven-
dant les données personnelles
d’au moins 50 000 consomma-
teurs californiens ou tirant la
moitié ou plus de ses revenus
annuels de la revente de don-
nées desdits ressortissants de
. l’Etat. Et ce quand bien même
l’entreprise n’est pas basée en
Californie, ni même américaine.
IR A noter qu’une période de grâce
de six mois a été accordée, lais-
sant aux sociétés jusqu’à juin
prochain pour se mettre en
conformité.
Du côté des bénéficiaires, seuls
les citoyens californiens sont
6 %
concernés. Néanmoins, Mozilla
assure que « puisque de nom-
breuses entreprises font des affaires
dans l'État, elles apporteront pro-
bablement des changements qui
2 % auront un impact sur les gens par-
tout dans le monde ». La fondation
0 000$ va pour sa part adapter Firefox
aux dispositions de la loi, des
00$ modifications qui « s'appli-
queront à tous les utilisateurs de
Firefox, pas seulement à ceux de
Californie ».
E
gée de l'iceberg. La cooptation, le Parmi les autres résultats de cet
n 2018, le cabinet d’études bouche à oreille, les candidatures Observatoire, l'AFCDP note que
Robert Half estimait que le spontanées et autres voies non la majorité des contrats propo-
poste le plus recherché par NOMBRE D’OFFRES D’EMPLOI publiques et non en ligne repré- sés sont des CDI (74% en octobre)
les entreprises sur la période 2018- DÉTECTÉES DE MARS À OCTOBRE 2019 senterait 70% du marché total de dans le secteur privé (80% des
2019 serait celui de Chef de projet l'emploi, selon l'association. Ce offres) en Île-de-France (71,2%).
RGPD/DPO, devant Data Analyst et 100 EN FRANCE marché caché porterait alors l'en- Pour l'heure, l'association ne
Developer Web. Et LinkedIn place 83 semble des recrutements à 2 800 mentionne pas dans son rapport
dans son tout premier rapport sur 79 77 80 sur l'année. Sur les 850 embauches les niveaux de rémunération. Pour
80 74
les métiers les plus recherchés en repérées, 15% correspondent à des chaque poste senior, 2,6 postes
67 64
France la fonction de DPO en tête. postes de DPO désignés auprès de de junior sont créés en moyenne.
59
Aucun chiffre détaillé n’est donné 60 55 52 la Cnil. Soit 420 délégués à la pro- « Les DPO étoffent leur équipe en
dans cette étude, qui s’appuie sur 46 tection des données personnelles embauchant de jeunes talents »
les taux de recrutement et de en 2019, si l'on applique ce pour- écrit l'AFCDP. Une affirmation
croissance annuelle des métiers 40 34 centage à l'ensemble du marché qui contraste avec certains résul-
à partir des données publiquement 26 estimé par l'AFCDP. tats de l'enquête menée par l’AFPA
accessibles sur le réseau profes- 20 17 31 (Agence nationale pour la forma-
sionnel, et ce pour une période 20 Enfin des équipes ? tion professionnelle des adultes),
s’étendant de 2015 à 2019. « Une Tout cela est à rapprocher des à laquelle l'AFCDP a également
profession qui connaît une véritable chiffres de la Cnil. Au dernier participé. Il ressortait de cette
explosion depuis 2015, avec des effec- Mars Avril Mai Juin Juil. Août Sept. Oct. comptage, le gendarme des don- étude dont la synthèse a été pré-
tifs multipliés par 32 en France » nées personnelles dénombrait plus sentée en juin dernier lors de la
2019 2017
écrit LinkedIn. de 60 000 organismes dotés d'un conférence « Vive le DPO » que les
Offres publiées sur Internet (marché ouvert) et proposées en DPO, ce qui représente environ trois quarts des DPO travaillent
850 DPO recrutés France représentant en année pleine 850 publications par an. 23 000 délégués au total. On peut seuls. Et seuls 3,80% d'entre eux
logiquement en conclure qu'une disposent d'une équipe de trois
cette année recensant celles en rapport avec s’appuie sur des sources plus larges grande majorité des désigna- personnes ou plus. Cette vague
Ces prédictions et études, l’AFCDP la protection des données person- que son seul job board, puisqu’elle tions de délégués à la protection de recrutements observée cette
vient les enrichir d’un Observatoire nelles. A vocation semestrielle, cet reprend les « offres publiées sur des données a été effectuée en année implique-t-elle que les
du métier de DPO, publié début Observatoire est lié au job board Internet [...] et proposées en France ». interne, notamment sur la base directions générales commencent
novembre. L’association française mis en place par l’AFCDP per- Selon l'enquête menée par l'asso- des CIL existants, sans passer par à saisir les enjeux de la protec-
des correspondants à la protection mettant aux employeurs et aux ciation, 567 offres pour des postes le biais du recrutement de per- tion des données personnelles et
des données personnelles se fonde futurs DPO employés de publier en lien avec la protection des don- sonnes extérieures. Au 23 mai à donner les moyens à leurs DPO
sur les offres de postes publiées et consulter offres et CV. Ici, à nées personnelles ont été publiées 2018, selon les chiffres rendus d'accomplir leurs missions ? ❚
en ligne ces douze derniers mois, en croire l’AFCDP, son enquête entre mars et octobre 2019, contre publics par le régulateur, 19 534 G. P.
VIII
« 68 880 organismes
T RI
B
Le délégué à la protection des données (DPD ou DPO pour data protection hiérarchie de l’organisme. Il doit également être en mesure
d’exercer ses fonctions et missions en toute indépendance.
officer) est l’acteur au cœur de la conformité du règlement européen sur la Cette condition signifie que le délégué bénéficie d’une liberté
dans les analyses et actions qu’il décide d’entreprendre, et
protection des données (RGPD). qu’il ne doit pas recevoir d’instruction dans l’exercice de
ses missions. Il ne peut pas faire l’objet d’une sanction du
Son rôle est d’informer et de conseiller l’organisme qui Les organismes peuvent désigner un délégué interne ou seul fait de leur accomplissement. Enfin, le délégué doit
le désigne, de contrôler le respect de la règlementation externe à leur structure. Le délégué peut par ailleurs être à l’abri des conflits d’intérêts. Cette condition consti-
en matière de protection des données. Il est également le être mutualisé c’est-à-dire désigné pour plusieurs orga- tue une garantie d’indépendance importante en évitant au
point de contact pour les personnes dont les données sont nismes. La mutualisation permet, par exemple pour les délégué d’être « juge et partie ». Ainsi, s’il exerce d’autres
traitées par l’organisme et l’interlocuteur privilégié de la collectivités territoriales ou les PME, de limiter les coûts fonctions, elles ne doivent pas le conduire à décider des
CNIL. Sa désignation est obligatoire pour : et de bénéficier de professionnels disposant des com- finalités et/ou des moyens des traitements de données mis
- les organismes publics (universités, hôpitaux, collec- pétences et de la disponibilité nécessaires. en œuvre par l’organisme.
tivités territoriales par exemple), Il n’y a pas de profil type du délégué qui peut donc être Les lignes directrices du CEPD précisent que le DPO
- les organismes dont les activités de base les amènent une personne issue du domaine technique, juridique n’est pas responsable en cas de non-respect du RGPD.
à réaliser un suivi régulier et systématique des per- ou autre. Toutefois, il doit être choisi sur la base de ses Cette responsabilité incombe à l’organisme et ne peut
sonnes à grande échelle, connaissances du droit et des pratiques en matière d’ap- être transférée au délégué par délégation de pouvoir.
- les organismes dont les activités de base les amènent plication du RGPD. Au 6 janvier 2020, environ 68 880 organismes ont dési-
à traiter à grande échelle des données sensibles ou rela- Par ailleurs, les organismes doivent fournir à leur gné auprès de la CNIL un délégué, représentant environ
tives à des condamnations pénales et infractions. délégué les ressources nécessaires à ses missions 22 000 personnes physiques ou morales désignées.
En outre, la désignation d’un délégué est encouragée car (notamment l’associer aux projets de traitements de La CNIL dispose d’un service dédié qui a pour rôle de
elle permet de confier à un expert l’identification et la données, lui fournir le temps nécessaire à ses missions fédérer et d’animer les réseaux de délégués, de réguler
coordination des actions à mener en matière de pro- et lui permettre de se former régulièrement). l’écosystème de ce nouveau métier et de les accompa-
tection des données. Le délégué doit rendre compte au niveau le plus élevé de la gner dans leurs missions. ❚
référentiel de confiance
nuité de services, etc. « Sur la après la prise de contrôle par
partie sécurité physique, nous avons Dassault Systèmes, la nouvelle
dû faire des travaux, pour séparer maison mère a confié au four-
la partie production ou installer des nisseur de cloud la mission
portiques à l’entrée des bureaux de servir le secteur public. De
C’est en décembre 2016 que la qualification SecNumCloud a connu par exemple. Sur la partie proces- fait, les audits documentaires
sus opérationnels, nous avons tout n’ont pas présenté de difficultés
sa première version « applicable ». Depuis, seules deux entreprises revu et adapté, de l’IT au support. particulières. « Sur la partie opé-
ont reçu de l'Anssi ce précieux sésame : Outscale et Oodrive. Le Quant au juridique, la qualifica- rationnelle cependant, nous avons
tion prévoit un modèle de contrat dû faire des modifications pour
FIC 2020 a été l’occasion de revenir sur l’obtention de cette quali- spécifique ». nous conformer à ces contraintes
CONFORMITÉ
opérationnelles, aux obligations en
fication et ce qu’elle implique. Un long processus termes d'accès et de chiffrement ».
E
Puisque la qualification com-
n janvier 2019, Oodrive d’Outscale, dont la directrice du conscience qu’elles ne peuvent
de validation porte des enjeux organisationnels
obtenait la qualification développement, Servane Augier, pas tout stocker chez des acteurs Cette convention de service fait lourds, Outscale a décidé de
SecNumCloud. Presque cite parmi les effets bénéfiques qui ne sont ni souverains, ni de partie des exigences supplé- ne faire qualifier qu’une seule
un an plus tard, c’était de la qualification le fait que le confiance ». mentaires de l’Anssi et s’avère, région, celle dédiée au secteur
au tour d’Outscale de fournisseur de cloud « commence Oodrive a été le premier à du moins dans le référentiel, public et aux OIV, « pour éviter
voir une de ses régions quali- à gérer des appels entrants ». obtenir la qualification, après extrêmement contraignante de faire porter l’impact sur l’en-
fiées par l’Anssi. Le processus Soit des clients qui viennent « environ trois ans de boulot ». pour le prestataire, allant de la semble de nos régions » précise
d’obtention a pris du temps : le sans avoir été prospectés par « Nous avons été les premiers, de localisation des données à une sa directrice du développement.
référentiel est applicable depuis les équipes commerciales en ce fait nous avons un peu essuyé les clause de réversibilité. Edouard Malgré l’obtention toute récente
fin 2016. Et pourtant, malgré la amont; ce qui traduit « un besoin plâtres » nous confie Edouard de de Rémur résume : « à travers les de SecNumCloud, Outscale compte
longueur du processus, ils sont fort ». « Il y a une vraie demande Rémur. SecNumCloud couvre, neuf audits, il a fallu faire évoluer déjà des clients sur cette région,
encore une poignée à encore can- aujourd’hui pour ce type de solu- rappelons-le, des exigences dans le produit, ce qui a demandé un puisque dans le cadre de ses
didater : IDnomic, Worldline, tions, abonde Edouard de Rémur. de nombreux domaines. Sécurité investissement important. D’autant audits l’Anssi demandait des
OV H ou encore Che ops. A Les grandes entreprises prennent physique et environnementale, que l’évaluation de la partie SaaS tests clients avec une convention
entendre les témoignages d’Oo- est beaucoup plus lourde que celle de service “conforme au référen-
drive et d’Outscale, on comprend du IaaS, puisqu'on doit qualifier tiel SecNumCloud” afin de valider
aisément pourquoi. « C’est la pre- non seulement l'hébergement, les process. « Dès la qualification,
mière fois que les clients ont une
qualification qui les rassurent vrai- SecNumCloud, c’est quoi ? mais aussi l’applicatif. Ensuite, au
niveau commercial, nous avons dû
nous avons signé des clients, aussi
bien des OIV privés que des admi-
ment, car très difficile à obtenir » évangéliser ». nistrations publiques » assure
nous explique Edouard de Rémur,
Connu dans un premier temps sous le nom « Secure Du côté de 3DS Outscale, le pro- Servane Augier, pour qui cette
directeur général et co-fondateur Cloud », SecNumCloud est le référentiel de confiance attri- cessus a été moins long, « un qualification vient « conforter le
d’Oodrive. bué par l’Anssi pour les fournisseurs de cloud, IaaS, PaaS et peu plus de 18 mois ». Un délai positionnement qu’Outscale a depuis
SaaS compris. Son obtention passe par un lourd processus dû notamment, selon Servane sa création : celui d’un cloud d’hy-
Un bénéfice d’audits documentaires et techniques, vérifiant le respect
Augier, au petit nombre de per-confiance ». En témoignent les
sociétés capables de faire passer certifications obtenues de même
business d’exigences du point de vue de la sécurité physique des les audits et au faible nombre que SecNumCloud. « Aujourd'hui
L’entreprise a d’ores-et-déjà datacentres et des équipements, à celle de la stack logi- de leurs consultants ayant le premier concurrent de nos offres
signé des contrats avec quatre reçu l'agrément de l'Anssi. S’y c'est l''IT interne : pour faire sortir 19
cielle, des réseaux de communications, du chiffrement, des
OIV et les discussions sont ajoutent « des sujets techniques vers le cloud, la clé de voûte c'est la
en cours avec une quinzaine process juridiques et RH ou encore de la protection des et opérationnels à régler après confiance ». ❚
d’autres. Même entrain du côté données personnelles. avoir passé les premiers jalons de Guillaume Périssat
et ISO 27001
logique puisque dans l’élaboration en 2017
de ses lignes directrices sur les risques et
mesures de sécurité liés à la DSP2, l’Autorité
Bancaire Européenne, ou ABE, s’est large-
ment appuyée sur la norme ISO.
Quel peut bien être le rapport entre une directive européenne L’authentification,
sur les services de paiement et une norme internationale sur sujet central
la gestion de la sécurité de l’information ? Linxo, fintech aixoise Linxo explique néanmoins que suivre les
lignes directrices de l’ABE n’était pas suf-
rachetée en début d’année par le Crédit Agricole, fait le lien en fisant à ses yeux. « L’intérêt de la certification
obtenant la certification ISO 27001 pour ses services DSP2. pour nous est de se mettre au niveau d’exigences
que suppose son obtention, au-delà des recom-
E
mandations de l’ABE, et de montrer qu’il y a un
n septembre dernier entrait (enfin) en vigueur la sécurisée, plus fiable et sécuri- réel engagement à tous les niveaux de l’entre-
directive UE 2015/2366, dite DSP2 pour directive sée que le web scrapping, soit prise » nous explique Christophe Martins, le
sur les services de paiement 2. Celle-ci adapte le renseignement par l’uti- directeur général de Linxo. Attention cepen-
le cadre réglementaire européen aux évolutions lisateur de ses informations dant car les guidelines de l’ABE ne sont pas
technologiques, essor des fintechs en tête, en d’authentification. ses Regulatory Technical Standards, qui vont
formalisant deux nouvelles activités auxquelles les établis- En effet, la sécurité est l’un pour leur part concerner la sécurité des API
sements financiers doivent permettre l’accès aux données des principaux éléments de et surtout cette authentification. « ISO 27001
des comptes de leurs clients. cette directive, qui oblige notam- porte sur le process d’amélioration continue de la
On trouve ainsi les initiateurs de paiement, qui trans- ment le recours à l’authentification forte du client pour sécurité, c’est un niveau de base sur la sécurité. Un début, mais
mettent pour le compte et au nom de l’utilisateur des les opérations en ligne et à sécuriser les API d’accès à qui n’indique pas un niveau de sécurité des moyens d’authen-
ordres de paiement à la banque dans laquelle ledit utili- leurs données bancaires. tification » nous explique Guillaume Despagne, CEO et
sateur à un compte, et les agrégateurs, qui fournissent à Oxlin, l’établissement de paiements de Linxo Group, a cofondateur d’AriadNext, spécialisée dans l’identifica-
l’utilisateur titulaire de plusieurs comptes dans plusieurs récemment fait parler de lui sur le sujet. Car outre le rachat tion à distance et qui développe une solution d’identité
établissements un tableau de bord centralisé des données de Linxo en janvier par le Crédit Agricole, Oxlin a obtenu numérique. Or sur cette question de l’authentification, les
de ces comptes. l’agrément de l’Autorité de contrôle prudentiel et de réso- discussions sont toujours en cours puisque, pour l’heure,
Si les fintechs n’ont pas attendu la DSP2 pour lancer ce type lution en tant que Prestataire de Services d’Initiation de Linxo « utilise les technologies fournies par les établissements
de services, la directive européenne vient établir un mode Paiement et s’est enregistré, toujours auprès de l’ACPR, teneurs des comptes » indique son directeur général. « L’ABE
d’accès aux données en vertu duquel les banques doivent au titre de Prestataire de Services d’Information sur les ne nous a pas encore donné l’autorisation pour le moment de
mettre à disposition de ces acteurs une API standardisée et Comptes (ou agrégateur). Mais l’entreprise aixoise a poussé gérer nous-mêmes cette authentification ». ❚ G. P.
« L'arrivée de la 5G démultiplie
● Pas
pirate
duire
votre
vos m
tables... du moins avant qu'il ne soit trop tard. Du côté des attaques fileless,
il s’agit de contourner cette Pour autant, « il n’y a rien d’intrin-
comm
lyste h
défense. Appartenant à la catégo- sèquement défectueux dans des outils trouve
L
es LolBins ne prêtent pas les premières versions de DOS, Lors d’une attaque tradition- rie des LOC, pour low-observable tels que PowerShell » explique ne sac
vraiment à rire. Lol est ici sous Mac ou encore sous Linux. nelle, un programme malveillant characteristics, ce type d’at- Sam Curry. « Ils sont simplement où che
l’acronyme de living-off- En résumé, personne n’est à l’abri. est téléchargé et installé sur la taque furtive va échapper à la hijackés ». Pour pénétrer dans les exemp
MENACES
the-land, guère traduisible dans L’utilisation de ces LolBins dans machine cible et va ensuite exé- détection de la majeure partie systèmes visés, les attaquants ont vos ma
la langue de Molière : par LolBin, des attaques n’est pas récente. Sam cuter diverses actions. Dans des outils classiques de sécurité recours à des techniques clas- outils,
on entend des binaires, souvent Curry, Ciso de CyberReason, nous ce genre de situation, un anti- en ce qu’elle ne se présente pas siques : phishing, force brute, ajout
des outils système, normalement explique que ces méthodes sont virus classique, habituellement sous la forme d’un exécutable ni exploit de vulnérabilités exis- Cyber
utilisés à des fins tout à fait légi- employées « depuis des décennies ». la première ligne de défense ne s’installe sur le disque : elle tantes… et une fois la tête de pont nemen
times mais pouvant être détournés « Néanmoins, les choses se sont accé- d’une organisation quelconque, vient exploiter des processus, établie, il ne reste plus à l’atta- de télé
par des attaquants. On parle éga- lérées ces deux dernières années, dans se charge d’analyser les signa- scripts ou librairies totalement quant qu’à capitaliser sur des venir e
lement de LOLLibs, qui utilisent un espèce de darwinisme : les « bad tures de fichiers sur le disque, légitimes intégrés au système outils présents par défaut sur qui dé
des bibliothèques et LOLScripts, guys » s’adaptent et puisqu’ils ont n’importe quelle machine. tion d
qui utilisent des scripts. Macros plus de succès en exploitant des pro- A en croire une étude de Symantec, de sign
sur Windows Office, PowerShell, grammes qui sont déjà installés, ils « Il n’y a rien entre 2017 et 2018, l’exploita- de bo
wscript.exe, cscript.exe, Windows enrichissent leurs boîtes à outils ». tion à des fins malveillantes de soluti
Management Instrumentation Nous ne vous apprenons rien, la d’intrinsèquement PowerShell a explosé, une aug- derni
(WMI), autant d’outils pré-instal- cybersécurité est une course entre défectueux dans mentation de 661%. L’année compo
lés sur les machines, fréquemment attaquants et défenseurs. Et alors passée, plusieurs campagnes ne pe
utilisés et de confiance… qui que les techniques de détection des outils tels que d’envergure ont eu recours à des attaqu
peuvent pourtant être exploi- se développent, les acteurs mal- PowerShell, ils sont attaques « fileless », à l’instar de perm
tés par des acteurs malveillants. veillants ont trouvé une parade : Soft Cell, qui ciblait des opéra- ter la
Et n’allez pas croire que seuls l’attaque « fileless ». Ou malware
simplement hijackés » teurs télécoms et qui employait a cond
les appareils sous Windows sont « fileless », une appellation Sam Curry, WMI pour se latéraliser, ou encore éviter
affectés : des exécutables pouvant paradoxale sachant que ce type une vague d’infections qui utili- less »
être détournés de leur fonctions d’attaque se passe de programme Ciso de CyberReason. sait des macros pour exécuter des le pré
premières, on en trouve depuis malveillant à installer. commandes PowerShell, lesquelles des an
MENACES
nécessaires, tels que les firewalls ● C’est un peu comme le paie- dérobés par un simple passager non, on ne peut pas déployer la cas de risque potentiel. ❚
ntiels. embarqués sur les box, l’Ether- ment sans contact : au départ, bien équipé dans le métro pour 5G tant que l’on n’est pas capable Propos recueillis
logi- net n’est pas sécurisé. il était envisagé de n’imposer qu’il puisse par la suite acheter de prévenir les usagers des risques par Daniel Ichbiah
é, etc.
Quand la borne est alimentée
G qui par la fibre, n’est-ce pas davan-
tage sécurisé ?
ujours ● La connexion est davantage
velop- sécurisée parce que le backbone
s dans se trouve directement chez le
ement fournisseur (FAI). Toutefois, ce
evOps que l’attaquant pourra essayer
l) plu- de faire, c’est de pénétrer via un
marche routeur 5G, soit chez l’individu,
ans la soit chez le FAI.
ent).
Est-ce que les risques présentés
pro- dans le rapport remis à l’Union
ager ? européenne pourraient retar-
nom- der la mise en place de la 5G ?
lopper ● Hélas non. En France comme aux
n’ap- Etats-Unis, la 5G a déjà commencé à
cette être déployée. Du coup, en haut lieu,
ps. Du on se dit : « On pourra corriger par la
écoms suite ». Pourquoi ? Parce que l’Union
objets européenne dans son rapport a
haude, indiqué que la 5G rapportera d’ici
ules - 2025, 225 milliards d’euros. Ce n’est
ent de pas neutre pour eux. On ne réflé-
d’éta- chit pas sur les erreurs du passé,
onnes on fait toujours la même erreur : 21
sous la pression commerciale, on
22
Si la menace des
calculateurs quantiques
sur les algorithmes
de chiffrement est connue
depuis plusieurs dizaines
d’années, la rivalité
IBM / Google est annonciatrice
de progrès rapides
dans la conception de calculateurs
quantiques plus puissants, ce qui rend
le danger beaucoup moins théorique.
L’essor attendu de l’informatique quantique fait peser sur les solutions être facilement déchiffrés d’ici Les comités de standardisation
TECHNO
D
médicales ou les plans d’un avion s’appuyant sur un algorithme
ès 2014, M at teo courbes elliptiques ou l’échange données à un interlocuteur. Il de ligne ou d’un système d’arme considéré comme "Quantum
Mariantoni, cher- de clés Diffie-Hellman devien- est clairement devenu urgent de dont la durée de vie dépasse plu- Safe" et quelques années plus
cheur à l’institut dront obsolètes. déployer de nouveaux systèmes sieurs dizaines d’années… tard, le comité X9 de l’ANSI
de calcul quantique à clés publiques reposant sur des Une course est désormais enga- poussait le chiffrement NTRU
de l’université de De l’urgence algorithmes résistants aux calcu- gée entre les chercheurs qui comme standard de protection
Waterloo, prévenait : un calcu- lateurs quantiques, c’est-à-dire travaillent sur des calculateurs pour les transactions financières.
lateur quantique sera capable de
d’aller vers des les algorithmes post-quantiques. quantiques et les chercheurs en
casser les algorithmes de chif- algorithmes La rivalité exacerbée entre Google cryptologie qui doivent mettre au Beaucoup
frement actuels d’ici 15 ans.
Les algorithmes quantiques de
post-quantiques et IBM dans la mise au point de
calculateurs quantiques disposant
point des algorithmes de chif-
frement qui pourront résister à
d’algorithmes post-
Shor ou de Grover vont sérieu- Pour rendre RSA résistant à un de plus de Qubits - et donc réel- ces algorithmes. Ce sont des cen- quantiques encore
sement bousculer des systèmes
cryptographiques que l’on consi-
calculateur quantique, il fau-
drait utiliser des clés publiques
lement exploitables pour casser
des codes - rend toute prévision
taines d’équipes de recherche
dans le monde qui explorent de
en lice
dérait comme inviolables. Si de 1 Go, des clés privées de 4 Go, très aléatoire sur le moment où nouvelles techniques pour déjouer Devant l’urgence qu’il y a à
certains algorithmes tels que ce qui fait exploser les temps les algorithmes de chiffrement les algorithmes de déchiffrement s’entendre sur quelques algo-
AES pourront leur résister grâce de calcul car il faudrait alors actuels deviendront obsolètes. quantiques mais ce dont ont réel- rithmes fiables, le NIST (National
à un allongement de la taille des 3,6 jours de calcul pour générer Il devient urgent de remplacer lement besoin les secteurs de la Institute of Standards and
clés de chiffrement, toutes les la clé, 20 minutes pour véri- au plus vite les algorithmes sur santé, de la finance, de l’ingénie- Technology) a lancé dès 2016
infrastructures à clés publiques fier une signature et 2,5 heures lesquels est bâti notre monde rie, ce sont des infrastructures une compétition mondiale sur
telles que RSA, DSA, ECDSA, pour chiffrer un document… Pas digital car les documents chif- complètes et surtout des stan- le modèle de ce qui avait permis
la cryptographie utilisant les très pratique pour envoyer des frés aujourd’hui pourraient bien dards adoptés par tous. de standardiser AES en 2001, puis
TECHNO
de Merkel présentent l’avantage mée de chercheurs du CNRS, du les algorithmes post-quantiques
de mettre en œuvre des clés LIP6, de Sorbonne Université et puissent mettre en œuvre SSL, C’est l’algorithme qui fait trembler les bases du chiffrement
publiques modestes, mais de de l’INRIA. Ceux-ci ont soumis TLS et IPSec. Outre les quali- actuel. L’algorithme quantique de factorisation découvert
grosses clés privées, ce qui induit les algorithmes GeMSS (A Great tés purement mathématiques
des temps de signature pouvant Multivariate Short Signature) et des algorithmes, les experts du par Peter Shor en 1994 ouvre la voie à une factorisation
être très élevés. Plusieurs cher- DualModeMS (A Dual Mode for NIST ont inclus quelques critères éclair de nombres comptant beaucoup de chiffres. La
cheurs ont préféré se tourner Multivariate-based Signature). supplémentaires, notamment sa superposition quantique permet de booster un calcul de
vers les codes de correction d’er- Un démonstrateur industriel a résistance à une attaque de type
factorisation qui demanderait des temps de calcul invrai-
reur qui peuvent être exploités notamment été développé par CS. "side-channel" qui va exploiter
comme système de chiffrement. L’algorithme GeMSS a été retenu une faiblesse dans l’implémen- semblables avec une machine d’architecture classique. Il
L’approche est plutôt ancienne et à l’issue du 2ième round dans la tation logicielle ou matérielle. existe d’autres algorithmes quantiques, mais l’algorithme de
présente l’avantage d’être bien catégorie signature électronique. La question de savoir si les Shor est le plus connu pour les implications qu’il va avoir
connue des chercheurs puisque calculateurs quantiques vont
dans le domaine de la cybersécurité. L’algorithme a été
le premier système a été proposé Vers des algorithmes arriver est désormais tran-
en 1978 par Robert McEliece, chée, reste à savoir quand. Les mis en œuvre avec succès pour la première fois par une
mathématicien et cryptologue
fiables et chercheurs en cryptographie équipe d’IBM sur un calculateur quantique de 7 qubits seu-
américain mort en mai dernier. standardisés d’ici ont déjà des solutions, reste à lement, c’était en 2001. Le faible nombre de Qubits de leur
Son algorithme fait d’ailleurs
partie des soumissions mais,
2022/2024 l’industrie à s’entendre sur les
algorithmes afin de les diffuser calculateur ne leur a pas permis de faire mieux que trou-
avec une clé publique de plus de L’objectif du NIST est de publier pour protéger les informa- ver que 3 et 5 sont les facteurs premiers de 15, mais dès
1 Mo, l’algorithme est plutôt lent les versions préliminaires des tions que l’on ne veut pas voir lors que des calculateurs quantiques disposeront de plu-
et quant aux multiples équipes standards sélectionnés à l’issue divulguées dès que les calcula-
sieurs milliers puis millions de qubits, tous les algorithmes
de recherche qui ont soumis d’un troisième round de tests, teurs quantiques entreront en
des versions plus légères, tous d’ici 2022, pour que ceux-ci production. ❚ de chiffrement actuels devront avoir été remplacés, sous
les algorithmes ont été cassés puissent être implémentés et mis Alain Clapaud peine de voir l’économie numérique s’effondrer.
23
sation
estion
nnées
ait ses
stème
blique
ithme
ntum
s plus
’ANSI
NTRU
ection
cières.
st-
e
y a à
algo-
ational
s and
s 2016
le sur
permis
1, puis
replacé
meçon
le pira
ransom
leur pa
« Ce ty
au cœur de la
conséq
impor
pour le
times.
qui ne
cybersécurité
gardes
par les
vie mê
qui pe
blissem
Le thème central du FIC en cette édition 2020, malgr
progre
la douzième du salon, était « replacer l’humain déplor
au cœur de la cybersécurité ». Redonnant à qui pe
campa
l’utilisateur un rôle d’acteur de la sécurité, plu- à l’im
la séc
tôt que de vecteur de risques, cette approche
veut prendre le contrepied du « Zero Trust » Un e
reposant sur la méfiance par défaut. de d
Les cy
sont l
l’huma
compr
les mo
l’hum
Cette édition 2020 a vu les projets fédérateurs se multiplier et se concrétiser. L’occas
(CEIS)
Agnès Pannier-Runacher et Marc Darmon ont ainsi lancé le comité stratégique
çant l’
de filière Industries de sécurité. éviden
à jouer
est également la victime, qui une maladie honteuse lorsque l’on n’explique pas à elle seule le mais u
souffre « au-delà de la seule est victime d’une attaque à conce- bond de 210% des demandes de pro
question des pertes financières voir en amont une approche de sur cybermalveillance.gouv. par le c
provoquées par une attaque » gestion de crise ». La plateforme expose « que les « L’IA
24 nous e x pl ique Gu i l l aume efforts entrepris pour développer la n’est p
Tissier, le patron du CEIS. De l’utilisateur notoriété du dispositif portent leurs manqu
« Il est nécessaire que la victime fruits et qu’il existe un réel besoin naissa
soit prise en compte et accom- au citoyen, d’assistance face aux différentes de vue
pagnée » ajoute-t-il. Mais, en passant formes de cybermalveillance ». péten
avant cela, des efforts de sen- 10% des publics en recherche très d
L'Anssi est venue en force au FIC et son patron, sibilisation s’imposent et il est par la victime d’assistance sont des profes- Un mi
Guillaume Poupard, était sur tous les fronts, nécessaire de déculpabiliser Sur ce point, les chiffres de sionnels, preuve que des efforts sécur
l’humain. Une idée qui com- l’Acyma, l’établissement public de sensibilisation sont encore à vacan
insistant notamment sur l’importance d’une réponse
mence à faire son bonhomme de derrière cybermalveillance.gouv, faire auprès des TPE-PME, par- Enfin,
européenne aux enjeux de cybersécurité. chemin : « on assiste à un chan- parlent d’eux-mêmes. 90 000 fois laissées pour compte. citoyen
L
gement de mentalité sur la réponse personnes ont demandé de l’as- Devant la presse, Guillaume dépass
a douzième édition règles de sécurité pour son à un incident » souligne Michel sistance sur la plateforme en Poupard, le patron de l’Anssi, indi- en tête
du FIC s’est ouverte confort personnel, et de l’autre Van Den Berghe, le directeur 2019, contre 29 000 en 2018. Si le quait que de nombreuses petites sonnel
fin janv ier sur un des solutions plus user frien- général d’Orange Cyberdéfense, nombre d’attaques est certes en entreprises sont contraintes de enjeu d
message simple : « il dly, plus accessibles. L’humain « on passe de l’impression d’avoir augmentation, cette croissance mettre la clé sous la porte suite à Bertra
est temps de replacer Hauts
l’humain au cœur du discours et sécurit
de l’action » de la cybersécu- que «
rité, estime le général Marc et strat
Watin-Augouard, fondateur l’huma
du Forum International de la tains b
Cybersécurité. Or on entend Zero T
encore trop souvent que l’hu- généra
FIC 2020
FIC 2020
vie même de l’activité de l’entité présence du président de cette à la cybersécurité, qui n’est fina- lieu, notamment sa future pro- Cyberdéfense. ❚
qui peut se jouer » écrit l’éta- filière, Marc Darmon, directeur lement que l’un des cinq projets bable localisation géographique : G. P.
blissement public. Pour autant,
malgré la prise de conscience
progressive, Guillaume Poupard
déplore le manque de moyens
qui permettraient de lancer des
campagnes de communication
à l’image de celles en faveur de
la sécurité routière.
Un enjeu
de démocratie
Les cybercriminels, justement,
sont la troisième dimension de
l’humain. Des attaquants qu’il faut
comprendre, pour en connaître
les modes opératoires. A l’inverse,
l’humain peut être le défenseur.
er. L’occasion pour Guillaume Tissier
(CEIS) de fustiger cette mode pla-
que
çant l’IA sur un piédestal. « Il est
évident que l’IA a un rôle important
à jouer pour détecter les attaques,
ule le mais une grande partie du travail
andes de protection ne peut être fait que
gouv. par le cerveau humain » note-t-il.
que les « L’IA fait beaucoup de choses, mais
pper la n’est pas la panacée ». Souci, par 25
nt leurs manque de visibilité et de recon-
besoin naissance, notamment du point
rentes de vue de la formation, les com-
nce ». pétences se font rares et sont
erche très demandées sur le marché.
rofes- Un million de postes en cyber-
efforts sécurité seraient aujourd’hui
core à vacants, à l’échelle mondiale.
E, par- Enfin, l’humain est le citoyen, un
e. citoyen « concerné par des sujets qui
aume dépassent la seule cybersécurité »,
, indi- en tête desquels les données per-
petites sonnelles et la souveraineté. « Un
tes de enjeu de démocratie » selon Xavier
suite à Bertrand, président de la région
Hauts de France, là où la cyber-
sécurité n’a longtemps été perçue
que « comme un enjeu économique
et stratégique ». Avec ce focus sur
l’humain, on comprend que cer-
tains battent en brèche l’approche
Zero Trust, synonyme de défiance
généralisée, surtout envers l’hu-
main, et de pure technique.
Michel Van Den Berghe (Orange
Cyberdéfense) joue la « provoc »
sur ce sujet : « la cybersécurité
est un marché régi par trois grands
facteurs : la régulation, les cyberat-
taques et les modes inventées par
les éditeurs. En ce moment, c’est le
Zero Trust. Nous, on trouve qu’ils
feraient mieux de s'occuper plutôt
de leurs zero day ».
Associer public
et privé
Le salon lillois a rassemblé
quelque 12 000 visiteurs et 450
exposants. Cette année, et pour
la première fois, le FIC s’éten-
dait sur trois jours, contre deux
pour les onze éditions précé-
é dentes, une première journée,
le 28 janvier, étant consacrée
Top des 5
des secteurs 4,5
5,7 Moyenne
« Ce n’est pas une honte
des violations
touchés
(juin 2018
202* 275* Dernier
semestre
Premier
semestre
par jour que d’être victime
juin 2019) 188 137 2018 2019
* Total Hébergement Finance
1 035
d’un incident de sécurité »
période & Restauration Comparaison
831 Sandrine Cullaffroz-Jover, avocate et responsable
26 du nombre de
Dernier Premier notifications du numérique chez PwC Société d’Avocats.
semestre semestre
2018 2019 CyberRisques : Pouvez-vous nous expliquer
279* 297*
229* en quoi consiste l’obligation de notification ?
● Sandrine Cullaffroz-Jover : Cette obligation
92 177 132 812 536 Nombre de notification est une exigence réglemen-
803 675 de personnes taire européenne qui a été reproduite en
Administration Commerce Sciences France dans la loi Informatique et Libertés.
publique & Techniques Dernier Premier touchées
Elle concerne tous les responsables des trai-
semestre semestre tements qui doivent notifier l’autorité [ici
2ème semestre 2018 1er semestre 2019 2018 2019 la CNIL NDLR] dans les meilleurs délais, si
possible 72 heures au plus tard après avoir
En un an, on ne peut pas dire que le nombre de violations ait explosé. Toutefois, une analyse secto- constaté la violation. Cette obligation existait auparavant pour cer-
rielle fait apparaître de soudaines augmentations. Ainsi, les administrations publiques et le domaine des tains acteurs, les opérateurs de communications électroniques par
sciences et techniques semblent avoir été particulièrement touchés au premier semestre 2019. Faut-il exemple, mais du fait de l’application du RGPD, elle s’est généralisée.
en déduire que ces secteurs sont des cibles de choix pour les attaquants ? Ou plus prosaïquement que
l’obligation de notification est entrée dans les mœurs ? Les intervenants y voient plusieurs pistes d’in- Quels sont les risques et les sanctions encourues
terprétation. Pour Guillaume Tissier, le patron du CEIS, organisateur du FIC, « les effets de bord ne doivent en cas de manquement ?
pas être négligés », citant notamment le cas de Booking, qui explique le grand nombre de notifications ● C’est une obligation qui nécessite que soient prises en amont des
au second semestre 2018 dans l’hôtellerie. Car, lorsqu’une plateforme de premier rang est victime d’une dispositions techniques et opérationnelles pour détecter les viola-
violation de données, ses partenaires et clients sont touchés par ricochet. tions et en notifier les autorités. Elle s’inscrit dans le prolongement
des impératifs de sécurité et de protection des données et des per-
sonnes concernées. Les sanctions répondent au premier palier des
sanctions administratives prévues dans le texte européen, mais l’in-
Top 3 des incidents 100%
ÉTUDE