• DPO externe : quelles conditions • Menaces : L'arrivée de la 5G

pour une prestation «idéale» va démultiplier les risques

• Cryptographie : pourquoi il devient liés à l'Internet des Objets
urgent de mettre en oeuvre • California Consumer Privacy Act :
des algorithmes post-quantiques un RGPD à la sauce américaine ?

N°1 - 18€ - 1ER TRIMESTRE 2020

CyberRisques par

Cyber
Le risque
numéro un !

Cyberattaque du CHU de Rouen : comment le pire a été évité

Couverture_CR1.indd 1 13/03/2020 17:53

CyberRisques
38 rue Jean-Jaurès 92800 Puteaux – France
Tél. : +33 (0)1 74 70 16 30 | Fax : +33 (0)1 40 90 70 81
contact@cyber-risques.news
RÉDACTION
Guillaume Périssat (rédacteur en chef délégué)
avec Bertrand Garé et la collaboration
de Christophe Champoussin, Alain Clapaud,
Christophe Guillemin, Daniel Ichbiah
et Bruno Rasle.
redaction@cyber-risques.news
CHEF DE STUDIO
Franck Soulier
Illustrations vectorielles : Designed by Freepik
PUBLICITÉ
Tél. : +33 (0)1 74 70 16 30 | Fax : +33 (0)1 40 90 70 81
pub@cyber-risques.news
VENTE AU NUMÉRO
France métropolitaine 18 € TTC (TVA 5,5%)
ABONNEMENTS
France métropolitaine 60 € TTC (TVA 5,5%)
Toutes les offres : visiter Cyber-risques.news,
rubrique s'abonner.
Pour toute commande d’abonnement d’entreprise
ou d’administration avec règlement
par mandat administratif, adressez votre bon
de commande à : PC Presse - CyberRisques,
service abonnements, 38 rue Jean-Jaurès
92800 Puteaux – France
ou à abonnements@cyber-risques.news
IMPRESSION
Imprimé en France par SIB (62)
Dépôt légal : 1er trimestre 2020
Toute reproduction intégrale, ou partielle, faite
sans le consentement de l’auteur ou de ses ayants
droit ou ayants cause, est illicite (article L122-4
du Code de la propriété intellectuelle).
Toute copie doit avoir l’accord du Centre français
du droit de copie (CFC), 20 rue des Grands-Augustins
75006 Paris. Cette publication peut être exploitée
dans le cadre de la formation permanente.
Toute utilisation à des fins commerciales de
notre contenu éditorial fera l’objet d’une demande
préalable auprès du directeur de la publication.
CyberRisques est publié par PC PRESSE, S. A.
au capital de 130 000 euros, 443 043 369 RCS
Nanterre. Siège social : 38, rue Jean-Jaurès,
92800 Puteaux, France.
ISSN en cours
Un magazine du groupe,
DIRECTEUR GÉNÉRAL, DIRECTEUR
DE LA PUBLICATION : Michel Barreau
Abonnez-vous
à CyberRisques !
Offert avec votre abonnement
« RGPD et droit des données personnelles »
de Fabrice Mattatia (délégué
à la protection des données dans une
grande administration).
Bulletin d’abonnement à compléter sur :
www.cyber-risques.news/abonnement
Som_Edito_Ours_Promo.indd 2
Édito
Le risque « cyber », soit la menace de subir une attaque informatique, frappe
indistinctement particuliers, administrations et entreprises. Pour ces dernières,
il est le risque n°1, impliquant pour sa victime pertes financières, interruption
de ses activités ou dégradation de sa réputation.
Editeur depuis bientôt vingt ans du mensuel L’Informaticien, il semblait logique
pour PC Presse de se pencher sur ce sujet et de lui dédier une publication.
De ce nouveau titre, vous lisez donc le tout premier numéro. Les participants
à l’Université des DPO organisée par l’AFCDP et les visiteurs du FIC ont pu le
découvrir en avant-première avec le cahier spécial DPO, que vous retrouverez
dans les pages centrales de cet exemplaire.
CyberRisques s’adresse aussi bien aux dirigeants d’entreprises qui entendent
appréhender les nouvelles menaces qui pèsent sur leur activité qu’aux experts
de la cybersécurité qui souhaitent se tenir infomés, en passant par les directeurs
métiers, les premiers concernés par l’impact opérationnel de ce risque, et bien
évidemment les RSSI. C’est pourquoi nous avons choisi de varier les angles et
de proposer aussi bien des témoignages sur des attaques que des sujets rela-
tifs aux nouvelles formes de menaces, aux moyens de les contrer, aux questions
de conformité… Avec, toujours, une place centrale réservée à l’humain.
Guillaume Périssat
Sommaire
TABLEAU DE BORD
WannaCry et GandCrab ont toujours pignon sur rue
Malwares stars de début 2020 – Les marques préférées du phishing
Hacktool.JQ – La négligence premier facteur d’incident interne . . . . . . . . p. 4
Etrennes de ransomwares pour Bouygues Constuction
et la Région Grand Est . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 5
POSTMORTEM
Cyberattaque du CHU de Rouen : comment le pire a été évité . . . . . . . . . . p. 6
OUTILS
Cyber, le risque n°1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 8
Évaluation du risque cyber…
Automatisée pour les RSSI ou taillée pour les métiers ? . . . . . . . . . . . . . . . p. 10
CAHIER CENTRAL SPÉCIAL DPO
GOUVERNANCE
DPO externe : quelles conditions pour une prestation « idéale » ? . . . . pp. I et II
EXPÉRIENCE
José Alberto Rodríguez Ruiz, DPO de Cornerstone OnDemand
« Le succès du DPO dépend de sa capacité à bien travailler
avec tous les niveaux de l’organisation » . . . . . . . . . . . . . . . . . . . . . . . . . . . pp. I et IV
AILLEURS
California Consumer Privacy Act : un RGPD à la sauce américaine ? . . .p. VI
OBSERVATOIRE
DPO, combien de divisions ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. VIII
TRIBUNE de Albine Vincent, cheffe du service des délégués
à la protection des données de la CNIL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. VIII
CONFORMITÉ
SecNumCloud, référentiel de confiance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 19
Un pont entre DSP2 et ISO 27001 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 19
MENACES
« L’arrivée de la 5G démultiplie les risques liés à l’IoT », entretien
avec Jean-François Beuze, Président de la société de conseil Sifaris . . . p. 20
LolBins : comment les hackers retournent vos outils contre vous . . . . . p. 20
TECHNO
Cryptographie : pourquoi il devient urgent de mettre en œuvre
des algorithmes post-quantiques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 22
FIC 2020
L’humain replacé au cœur de la cybersécurité . . . . . . . . . . . . . . . . . . . . . . . . p. 24
ÉTUDE
Baromètre Data Breach : effet de bord ou réelle augmentation
des violations de données ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 26
13/03/2020 18:01
 Info Partenaire

Proposer un SOC accessible à tous

Les entreprises doivent aujourd’hui faire face à une augmenta-
tion très importante des cyber-attaques. Alors qu’il y a encore
quelques années, seules les grandes entreprises et les organismes
étatiques étaient le plus largement visés, désormais toutes les
entreprises doivent faire face à cette menace.

L
a difficulté est d’au-
tant plus importante
pour les entreprises
de tailles intermé-
diaires dont l’activité
est très fortement tributaire
des systèmes informatiques
mais dont les ressources
humaines et financières sont
limitées pour s’équiper d’un
véritable centre de supervi-
sion de la cybersécurité ou
SOC (Security Operations
Center). Le SOC est l’atout
idéal, combinant solutions
logicielles et équipes formées,
pour contenir l’essentiel des
menaces et être en mesure
de réagir en cas d’attaques.
Aussi, pour disposer d’un tel
service sans en assumer l’en-
semble des coûts, AntemetA
propose une solution inno-
vante de SOC mutualisé.
Fondée en 1995, AntemetA
est une entreprise française
dont la mission est d’ac-
compagner les entreprises
dans la modernisation de
leurs infrastructures infor-
matiques. Si la réputation de
la société n’est plus à faire
sur les problématiques ser-
veurs, stockage ou encore
sauvegarde, il faut savoir
qu’AntemetA est un acteur
important du cloud en France
avec près de 100 clients.
Ses infrastructures, uni-
quement et volontairement
hébergées en France, sont
réparties sur 3 datacenters
à Paris et Lyon. L’ensemble
des sites sont connectés
entre eux par un réseau de
fibres optiques permettant
de garantir performance et
résilience.
Outre une offre de sauvegarde
managée qui a déjà séduit
entre autres des acteurs du
CAC40, AntemetA héberge
également plusieurs milliers
de machines virtuelles. Si
les technologies VMware ou
Hyper-V sont naturellement
présentes, AntemetA pro-
pose également la solution
Open Stack. « Nous souhai-
tons proposer une alternative
open-source à nos clients
qui veulent mettre en place
les briques d’une approche
SDDC (Software-Defined Data
Center) », commente Thierry
Floriani, RSSI d’AntemetA et
responsable du SOC.
Une offre étudiée
pour les ETI
« A partir du moment où nous
avons développé l’activité
cloud, nous avons en parallèle
souhaité adresser en autonomie
les problématiques de sécu-
rité », poursuit Thierry Floriani.
« C’est une démarche initiée il y
a 8 ans. Nous adoptons le prin-
cipe de « Security by Design ».
Il était ensuite impératif de
mettre en place un SOC pour
comprendre précisément ce qui
se passait dans ce cloud et être
en mesure des protéger les res-
sources de nos clients. Une fois
le SOC mis en route et après le
recrutement et la montée en
compétences des équipes,
nous avons commencé à
A propos
d’AntemetA
• Fondée en 1995
par Stéphane Blanc,
actuel PDG
• 260 collaborateurs
• Siège social en région
parisienne
• 7 agences régionales
(Lille, Nantes, Lyon,
Toulouse, Metz,
Aix-en-Provence,
Strasbourg)
• 91 millions d’euros
de chiffre d’affaires en
2019 (exercice clos
le 31 mars)
• 2/3 de l’activité en négoce
et 1/3 en services
proposer des services plus per-
sonnalisés à nos clients.
« En effet, nos offres sont prin-
cipalement destinées aux ETI
(Entreprises de Taille Inter-
médiaire), c’est-à-dire des
sociétés réalisant entre 500
millions et 1,5 milliard d’eu-
ros de chiffre d’affaires. Notre
approche de service sur-me-
sure mais abordable convient
parfaitement à leurs besoins
de cybersécurité. Elles béné-
ficient ainsi de services d’un
SOC mais n’en supportent pas
le coût complet. »
Mise en service
rapide
« Les équipes sont entraî-
nées et adaptent rapidement
les règles de corrélation aux
métiers de nos clients. C’est un
très gros avantage pour opérer
efficacement un SOC. Enfin,
le choix d’un SOC mutualisé
donne aussi plus d’efficacité
aux équipes internes et permet
de réduire les coûts.
« Pour mettre en production un
client sur la plate-forme, cela
prend deux jours seulement
après avoir récupéré les logs.
C’est extrêmement rapide ! »,
souligne M. Floriani.
« Notre valeur ajoutée est de
nous appuyer sur les solutions
déjà installées afin d’amélio-
rer la qualité et la quantité
de données collectées. De
fait, nous participons à la
création d’une politique de
sécurité cohérente au sein de
l’entreprise ».
Aujourd’hui, le SOC collecte
1,3 To de données par jour.
Ces données sont conser-
vées, horodatées et signées
notamment en cas d’enquête
judiciaire. Une dizaine de col-
laborateurs sont mobilisés
avec un objectif de doubler
ce nombre dans les 12 pro-
chains mois.
Défense
en profondeur
En moyenne, 400 à 500 000
actions malveillantes sont iden-
tifiées toutes les deux heures
avec des pics pouvant atteindre
2 à 3 millions. Thierry Floriani se
veut rassurant : « de nombreux
systèmes automatisés scannent
en permanence les serveurs
des entreprises à la recherche
de failles. Ce sont des attaques
simples et parfaitement traitées
par nos équipements. Nous
focalisons notre attention sur les
plus de 150 ingénieurs qui se
déplacent régulièrement chez
nos clients. Nous ne pouvons
pas prendre le risque d’être
le point de propagation d’un
malware. »
Une démarche
d’amélioration
continue
et vertueuse
Lorsqu’un SOC est mis en place
chez un client, les équipes
d’AntemetA se concentrent
sur la fiabilisation des alertes
afin d’éliminer au maximum les
« faux positifs » et ainsi réduire
le bruit de fond qui peut mas-
quer une alerte réelle. « Avant
de communiquer un incident
à nos clients, nous analysons
afin de parfaitement qualifier la
dangerosité de l’attaque. Nous
sommes capables de réaliser
une véritable enquête. L’idée
est de ne pas « crier au loup » 3
mais de proposer une réponse
proportionnée. Ensuite, nous
profitons de ces retours d’ex-
périences pour enrichir nos
règles de corrélations », pour-
suit M. Floriani.
La démarche d’AntemetA
ne s’arrête pas là. La cyber-
sécurité est une question
d’outils tel que le SOC mais
également de sensibilisa-
tion. Les utilisateurs sont
donc concernés. « Nombreux
sont nos clients à mettre en
place une véritable politique
globale de sécurité du sys-
tème d’information et nous
les accompagnons dans cette
démarche » nous précise
Thierry Floriani à proximité
d’une affiche incitant les sala-
riés d’AntemetA à verrouiller
leur PC dès que nécessaire. ●

Bien recruter : le point clé attaques complexes et sommes

attentifs aux signaux faibles plus
difficiles à détecter mais bien
Comme pour l’ensemble des acteurs du secteur, le recrutement d’ingénieurs qualifiés est un enjeu moins nombreux.
permanent. Cependant, AntemetA bénéficie d’atouts qui lui permettent de recruter efficacement « Nous veillons également à
les meilleurs collaborateurs. Parmi les critères figurent l’ambiance dans l’entreprise (le turnover garantir un parfait cloisonne-
ment de nos environnements
est très faible), le projet et les perspectives d’évolution. « Tous les collaborateurs ont vraiment Cloud afin d’éviter toutes pro-
la possibilité de participer à un projet commun de création et pas simplement opérer des pro- pagations d’une attaque d’un
duits tiers ». AntemetA privilégie aussi fortement l’apprentissage qui se concrétise souvent par client à un autre. Cela implique
un emploi. La société est d’ailleurs reconnue par le label « Happy at Work » pour son accompa- de plus fortes contraintes pour
les équipes en matière d’admi-
gnement des nouveaux entrants. nistration, mais la sécurité de
Exemple encore plus marquant, dans les prochains mois, l’entreprise va acquérir des apparte- nos clients est à ce prix ! »
ments communautaires à proximité du siège social afin d’accueillir les stagiaires et les nouveaux Si l’analyse ne s’effectue que
sur les serveurs pour les
employés avant qu’ils ne trouvent un logement. « Nous avons aussi ouvert des locaux à Paris et
clients, tous les postes de tra- Thierry Floriani,
la présence d’agences régionales permet de recruter des ingénieurs en province ou proposer des vail des salariés d’AntemetA RSSI d'AntemetA
évolutions géographiques à des salariés qui souhaitent quitter la région parisienne. » sont analysés. « Nous avons et responsable du SOC.

ANTEMETA.indd 3 13/03/2020 18:04

 TABLEAU DE BORD Et
Aprè
tour d
WannaCry et GandCrab Les marques préférées du phishing Le 30
le rés
ont toujours pignon sur rue Quelles sont les entreprises pour lesquelles les mails de phishing tentent de se faire n'a pa
passer ? Si des acteurs tels que Microsoft ont lancé d’importantes offensives contre reven
En 2019, 755 485 utilisateurs de la solution KSN de Kaspersky ceux tentant d’imiter leurs noms de domaines, les attaquants se réfugient dans de le SI
ont été affectés par des ransomwares, dont 209 679 entre- nouvelles valeurs sûres, WhatsApp en tête, suivi d’Instagram et de Square. toute
prises et 22 440 TPE. Force est de constater que deux ans
CLASSEMENT VADESECURE DES MARQUES LES PLUS EXPLOITÉES ment
après la campagne à grande échelle qui l’a fait connaître,
PAR DES « PHISHERS » - Quatrième trimestre 2019 Cons
WannaCry est toujours aussi virulent, de même que GandCrab.
systè
Progression Nombre
ID Croissance l'on ig
Marque au classement d’URLs
1 Trojan-Ransom.Win32.Wanna 23,56% Q3 – Q4 2019 anno
sur le Q4 Uniques
2 Trojan-Ransom.Win32.Phny 16,81% 1 Paypal = 11392 -31,2%
3 Trojan-Ransom.Win32.GandCrypt 12,17% 2 Facebook +2 9795 -18,7%
4 Trojan-Ransom.Win32.Gen 6,26% 3 Microsoft -1 8565 -38,2%
5 Trojan-Ransom.Win32.Crypmod 5,08% 4 Netflix -1 6758 -50,2%
6
7
Trojan-Ransom.Win32.Encoder
Trojan-Ransom.Win32.Shade
4,65%
2,66%
5 WhatsApp +63 5020 +13467,6% E
6 Bank of America -1 4375 -21,5%
8 Trojan-Ransom.Win32.Win32.PolyRansom 2,43% 7 CIBC +1 2414 -11,2% de
9 Trojan-Ransom.Win32.Crypren 2,28% 8 Desjardins +4 2243 -54,4%
10 Trojan-Ransom.Win32.Stop 1,94% 9 Apple -3 2126 -57,9% e
10
11
Amazon
Chase
-1
-4
2110
2012
+0,6%
-14,6%
en
12 BNP Paribas +3 1512 +23,1%
Malwares stars de début 2020 13
14
Instagram
Square
+16
+19
1401
1315
+187,1%
+246,1% Malg
Rapport CIS Janvier 2020 15 Dropbox +1 1233 +0,7% CNIL
gées,
11%
12% Kovter secur
CoinMiner 15%
un c
Dridex
7% Hacktool.JQ : Mimikatz a de la concurrence l’état
Cerber donn
Selon l’Internet Security Report de WatchGuard pour le troisième trimestre 2019, Mimikatz dans
7% Gh0st n’est plus le seul outil de vol d’informations d’authentification dans le Top 10 de l’éditeur. Il y parta
4 est rejoint par Hacktool.JQ, détecté à 443 460 reprises, contre plus d’un million de détec- des r
tions pour Mimikatz au troisième trimestre de l’an dernier. Egalement connu sous le nom un in
7% de Windows Credentials Editor (WCE), il offre de nombreuses fonctionnalités similaires à à un
NanoCore Mimikatz. Les attaquants et les pen-testeurs l'utilisent pour effectuer des attaques de type non a
6% 27% pass-the-hash, obtenir des hachages de mots de passe NT/LM à partir de la mémoire et 12 de
Nemucod 5% 3% Zeus même répertorier les sessions de connexion et modifier les informations d'identification d'entr
Emotet CryptoWall
associées. Cet outil prend également en charge le vidage des tickets Kerberos et la réuti- empl
lisation/rechargement des tickets pour s'authentifier auprès d'autres systèmes et services. tion p
Zeus : cheval de Troie (trojan) bancaire modulaire, connu sur-
tout pour dérober les identifiants de ses victimes, dont le code via d
source a été publié en 2011. De fait, il ne s’agit pas d’un unique en de
malware mais de variantes développées autour de cette base. La négligence premier facteur Pire e
nisati
Dridex : un trojan bancaire, là encore, exploitant des
macros malveillantes de Microsoft Office diffusées lors de d’incident interne mis e
campagnes de phishing. gram
Menée auprès de 204 des d
Kovter : malware fileless (voir notre article à ce sujet p. 20) organisations, l’étude
destiné à la fraude publicitaire, mais qui serait également centa
TABLEAU DE BORD

INCIDENTS INTERNES Ponemon 2020 sur les tous l

doté dans certaines variantes de capacités de backdoor. coûts des incidents
PAR TYPE l’étud
CoinMiner : cryptomineur exploitant la faille Eternal Blue internes recense 4 716 (87%
ainsi que Windows Management Instrumentation. incidents sur l’année les d
Cerber : ransomware décliné en six versions, capable d’agir 2019, dont 62% sont dus dante
hors ligne. à la négligence. Une De pl
Gh0st : RAT (Remote Access Trojan) utilisé pour prendre le 13,8% 23,4% 62,8% organisation dépense par er
contrôle du terminal infecté, généralement livré par d’autres Vol Malveillance Négligence d’employés en moyenne 644 852 sibles
programmes malveillants. d’identifiants interne ou de contractants dollars par accident. cours
NanoCore : RAT se répandant par le biais de campagnes « Tou
de phishing, permettant de contrôler le terminal infecté. Croissance
Poste de dépense Dépense moyenne de cl
Nemucod : trojan utilisé pour télécharger sur le terminal de sur 3 dernières années
nées
la victime d’autres malwares, notamment des ransomwares. Supervision & surveillance 22 124 $ 79% de co
Emotet : un « infostealer » modulaire qui a tenu le haut du Enquête 103 798 $ 86% nées »
classement jusqu’à la fin de l’année 2019, utilisé notamment Sensibilisation 21 805 $ 84% 77% d
pour télécharger d’autres malwares et incorporant dans Réponse 118 317 $ 56% mises
certaines versions des modules capables d’exfiltrer des Containment 211 553 $ 53% pas s
contenus de mails ou encore de se propager sur un réseau. donn
Analyse ex-post 19 480 $ 78%
CryptoWall : ransomware affectant aussi bien les systèmes saire
Remédiation 147 776 $ 47% ne cla
64 bits que 32 bits, aux multiples vecteurs de propagation
et doté de capacités de scan étendues. Total 644 852 $ 60% au mo

TdB_CR1.indd 4 13/03/2020 17:51

 Etrennes de ransomwares pour Bouygues Construction et la Région Grand Est
Après le CHU de Rouen (lire notre post-mortem en pp. 6 et 7), c'est au
tour de Bouygues Construction et de la Région Grand Est d'être frappés.
Le 30 janvier, « une attaque virale de type ransomware a été détectée sur
le réseau informatique de Bouygues Construction ». Si le géant du BTP
e faire n'a pas été particulièrement loquace sur le sujet, on sait qu'un groupe a
ontre revendiqué l'attaque, publiant sur son site web des fichiers dérobés dans
ns de le SI de Bouygues et une liste de 200 IPs « verrouillées ». L'Anssi note
toutefois qu'il n'est pas confirmé que cette archive corresponde réelle-
S ment à des données exfiltrées du système d’information de Bouygues
commerciale et l’activité opérationnelle des chantiers sont très faiblement
impactées ». Et on s’interroge : le nom de Bouygues a été retiré du site
web de l’attaquant présumé. L’entreprise de BTP a-t-elle payé la rançon ?
La Région Grand Est, selon le quotidien local L’Union, a quant à elle été
privée de messagerie, de certains de ses serveurs et aussi de dispositifs
d’accès par badge aux bureaux du fait d’une cyberattaque qui a débuté
le 14 février. Ce qui semble être un ransomware touche non seulement
les sites de la Région en Alsace, en Lorraine et en Champagne-Ardenne,
mais aussi les lycées. La situation revient peu à peu à la normale, avec

Construction. Mais l'agence attribue bel et bien la compromission du
système d’information de Bouygues Construction au ransomware. Si
ce l'on ignore l'ampleur de la paralysie ou du vol de données, l'entreprise a
019 annoncé dans ses résultats financiers pour l'année 2019 que « l’activité
TABLEAU DE BORD
le soutien de l’Anssi et d’un prestataire externe, sans que l’on sache qui
est responsable de cette attaque, la collectivité ayant choisi de ne pas
contacter les adresses mails mentionnées dans les messages laissés
par les pirates.

% En France,
de nombreuses
entreprises
enfreignent
le RGPD
Malgré la vigilance de la
CNIL et les amendes infli-
gées, le Netwrix Data risk &
security report 2020 dresse
un constat accablant de
nce l’état de la protection des
données personnelles
mikatz dans l’Hexagone. Sur le
ur. Il y partage des données, 22%
étec- des répondants ont connu 5
nom un incident de sécurité dû
ires à à un partage de données
e type non autorisé au cours des
oire et 12 derniers mois. Un tiers
cation d'entre eux pensent que les
réuti- employés de leur organisa-
vices. tion partagent des données
via des applications cloud
en dehors de tout contrôle.
eur Pire encore, 88% des orga-
nisations interrogées n'ont
rne mis en œuvre aucun pro-
gramme de conservation
e 204 des données, soit le pour-
étude centage le plus élevé de
ur les tous les pays analysés dans
dents l’étude. Un nombre similaire
4 716 (87%) a du mal à identifier
nnée les données ROT (redon-
nt dus dantes, obsolètes, triviales).
Une De plus, 13% ont supprimé
pense par erreur des données sen-
4 852 sibles ou réglementées au
nt. cours de l'année écoulée.
« Tous manquent à la fois
de classification des don-
ées
nées et d'un programme
de conservation des don-
nées » estime l’éditeur. Ainsi,
77% des organisations sou-
mises au RGPD ne savent
pas si elles stockent plus de
données clients que néces-
saire. Parmi celles-ci, 44%
ne classent pas les données
au moment de leur création.

TdB_CR1.indd 5 13/03/2020 17:51

 Cyberattaque du CHU de Rouen
Le r
Clop
de l
Le mo

Comment le pire a été évité

quants
« La c
l’ouver
lant ay
déploy
sance e
expliq
l’hôpi
bleme
l’incita
à ouvr
inocul
le SI. «
zéro", c
l’infect
perme
sur le S
déplac
princip
© France 3 Normandie - Véronique Arnould

via des
les app
précis
objecti
ment d
de pou
finale,
donnée
Selon
naiss
manue
étaien
Metas
encore
L’hôpital normand a subi la plus importante cyberattaque ayant jamais dernière intervient dès le samedi en renvoyant une partie des ces out
matin avec une équipe de sept urgences vers d’autres éta- prendr
touché un établissement de santé français. Durant tout un week-end, experts, venus épauler la DSI de blissements. « Merci, si vous le à déplo
le SI a été totalement paralysé par un rançongiciel. Si les services ont l’hôpital. « Le rôle de l’Anssi est
de comprendre ce qui se passe, en
pouvez, et ne relevez pas d’une
urgence vitale, de consulter en
à same
la majo
été fortement perturbés, la santé des patients n’a jamais été mise en étudiant le mode opératoire de l’at- maison médicale ou dans un indiqu
taquant, puis d’aider la victime à autre service d’urgence hors CHU égalem
péril. Retour sur un incident qui risque de ne pas être un cas isolé. redémarrer les systèmes », résume (Europe, Cedres, Elbeuf, Dieppe, amont

C
Guillaume Poupard. Evreux, Le Havre…) », peut-on sieurs
6 « ’était la panique. D’heure Emmanuel Gras, ancien de lire sur une affiche écrite à la Pour
en heure, tous les sys- l’Anssi et CEO d’Alsid, startup main et placardée à l’entrée des l’envo
tèmes informatiques « L’attaque était ciblée, française spécialisée en cyber- urgences, filmée par France 3 çon, l
tombaient les uns après ce n’était pas une IP sécurité, détaille les procédures Normandie. logicie
les autres. Puis ce fut le de l’agence nationale. « La pre- Le lundi matin, les princi- çongic
blocage total. Or, tout est informa- tirée au hasard. mière mission de l’Anssi est de paux services sont redémarrés. logicie
tisé ici, pas seulement la gestion Mais le montant "closer" l’attaquant, c’est-à-dire Toutes les données n’ont pas n’impo
de l’hôpital, mais aussi les soins bloquer son accès au SI, en garan- encore été récupérées et cer- lue et
des patients. Et bien entendu, cela
de la rançon l’était tissant qu’il ne rentrera pas par une tains accès internet restent global
est tombé au pire moment, c’est- beaucoup moins » autre porte. Pour cela, on réalise bloqués. Mais 80 % des appli- comm
à-dire le week-end, quand nous un audit de sécurité qui va éta- cations métiers fonctionnent. Gras.
sommes en effectifs réduits ». Ce Guillaume Poupard, blir un état des lieux de la surface « Les systèmes ont été redémarrés Selon
témoignage est celui d’Évelyne directeur général de l’Anssi. d’attaque afin de trouver toutes les en trois jours, ce qui est absolu- publié
Bourgeois, agent de service hos- portes d’entrée potentielles. Dans ment remarquable », se félicite la pr
pitalier et secrétaire CGT au CHU les plus brefs délais, ces portes sont l’Anssi. « Je tiens à souligner la Clop a
de Rouen. Le 15 novembre der- repas, l’accueil aux urgences… de la région Normandie. Pour fermées une à une. Les comptes très grande réactivité des équipes 2019.
nier, l’établissement normand Même les caméras de surveil- autant, il n’a pas forcément qui ont servi à l’attaque sont par de l’hôpital qui étaient bien pré- de la
était victime d’une cyberattaque lance, dont le flux d’images les moyens de payer une ran- exemple supprimés. Ensuite, le SI parées en matière de gestion de Crypt
sans précédent dans le secteur passe par le SI, sont hors ser- çon. Surtout quand le montant est mis sous surveillance, pendant crise », poursuit Guillaume vée de
français de la santé. Une attaque vice. « Nous sommes revenus au s’avère astronomique. Selon une une période relativement longue, Poupard. Crypto
ciblée, qui rappelle celles per- papier-stylo », poursuit Évelyne source proche du dossier, elle afin d’éviter une seconde vague Selon Évelyne Bourgeois, le retour jet de
pétrées depuis plusieurs années Bourgeois. « Mais cela a forte- atteignait « plusieurs centaines d’attaque. » à la normale ne s’est quand même mineu
POSTMORTEM

aux États-Unis et démontre que ment perturbé le fonctionnement de milliers d’euros ». D’après une pas fait en trois jours. Le lundi fier sa
la France n’est désormais plus des services. Par exemple : pour les autre source, il s’agissait de 40 Un retour à la matin, les urgences fonction- impliq
à l’abri. « Il y a eu plus de 600 commandes de repas, tout a été fait bitcoins, soit environ 250 000 naient toujours en mode dégradé, pas à
incidents de sécurité informatique par téléphone, ce qui est beaucoup euros, selon le cours de l’époque
normale en 15 jours rapportent différentes sources. ni un
déclarés par les établissements de plus long. Les prescriptions médi- de la cryptomonnaie. « L’attaque Tout le week-end, l’Anssi et la « Les systèmes et les données ont ticuli
santé en France en 2019, principa- cales ont été rédigées sur papier, était ciblée, ce n’était pas une IP DSI travaillent au rétablisse- été récupérés progressivement. Ce menti
lement dû à des cryptovirus. Mais ce qui est aussi très long. Pour les tirée au hasard. Mais le montant de ment du SI, avec une équipe n’est qu’au bout d’environ 15 jours ayant
l’attaque de Rouen sort du lot », cartes vitales, nous avons fait des la rançon l’était beaucoup moins », présente 24h/24. Une vingtaine que l’on peut dire que tout était ren- États-
commente Vincent Trely, pré- photocopies en attendant que le explique Guillaume Poupard, d’agents sont parallèlement tré dans l’ordre. Aujourd’hui encore, une d
sident et fondateur de l’Apssis système revienne. Récupérer les directeur général de l’Anssi. envoyés dans les services pour certaines données n’ont pas été récu- dont l
(Association Pour la Sécurité des examens médicaux était également « Une grosse clinique américaine, expliquer la situation. Car les pérées. Mais cela ne nous empêche
SI de Santé). compliqué, car il fallait se rendre au qui gagne des millions de dollars bruits de couloir colportent pas de travailler », confie-t-elle.
L’attaque débute à 19h45 le ven- laboratoire, qui est sur un des cinq par jour, aurait pu payer. Mais pour des informations contradic- Depuis l’attaque, diverses
dredi soir. Le principal serveur sites du CHU ». un CHU français, cela n’était pas toires. « On nous a dit que l’on mesures ont été prises pour ren-
technique du SI de l’hôpital, raisonnable ». Selon une source était victime d’un piratage infor- forcer le SI du CHU de Rouen.
pierre angulaire de l’ensemble Une rançon proche du dossier, la direction matique, d’abord sans rançon puis « Sur les postes de travail, il n’est
des applications métiers, est du CHU a de toute façon refusé avec rançon. Ce n’était pas clair. pas possible de se connecter à
chiffré à distance par un atta-
disproportionnée de payer la rançon, par principe. Mais comme la messagerie était des messageries personnelles ou
quant. Progressivement, tous Côté direction, une demande de Pour faire face à l’attaque, l’éta- bloquée et que la DSI était sur- à d’autres services externes »,
les services sont bloqués, dont rançon est adressée. Le CHU de blissement crée une cellule de chargée, il était très difficile d’avoir évoque Évelyne Bourgeois. De
l’imagerie médicale, la ges- Rouen est un des plus importants crise dans la nuit de vendredi des informations », se rappelle son côté l’Anssi indique que :
tion des dossiers patients, la établissements de santé français, à samedi. Elle rappelle du per- Évelyne Bourgeois. « Ce qui n’est pas achevé c’est le
messagerie interne, les pres- avec plus de 10 000 employés sonnel, déclare l’attaque au Face à la difficulté de la situa- durcissement du réseau. Cette phase
criptions médicamenteuses, et près de 2 500 lits. Il s’agit ministère des Solidarités et de tion, la direction de l’hôpital de remédiation peut prendre plu-
la biologie, les commandes de même du premier employeur la Santé et prévient l’Anssi. Cette décide de réduire son activité, sieurs mois ».

POSTMORTEM_ROUEN.indd 6 13/03/2020 17:52

n
Le rançongiciel
Clop, au cœur
de l’attaque
Le mode opératoire des atta-
quants est relativement classique.
« La compromission a eu lieu par
l’ouverture d’un courriel malveil-
lant ayant permis à l’attaquant de
déployer des outils de reconnais-
sance et de propagation manuelle »,
explique l’Anssi. Un employé de
l’hôpital a donc vraisembla-
blement reçu un e-mail piégé
l’incitant à cliquer sur un lien ou
à ouvrir une pièce jointe, ce qui a
inoculé un code malveillant sur
le SI. « Il y a toujours un "patient
zéro", c’est-à-dire le poste sur lequel
l’infection initiale a été réalisée. Il
permet d’ouvrir une porte d’entrée
sur le SI. L’attaquant va ensuite se
déplacer sans les systèmes selon le
principe du "mouvement latéral",
via des chemins secondaires entre
les appareils et les applications »,
précise Emmanuel Gras. « Son
objectif est d’acquérir progressive-
ment des privilèges supérieurs afin
de pouvoir ensuite lancer l’attaque
finale, incluant le chiffrement des
données et la demande de rançon ».
Selon l’Anssi, les outils de recon-
naissance et de propagation
manuelle utilisés pour l’attaque
étaient notamment SDBBot,
Metasploit, CobaltStrike ou
encore Mimikatz. « C’est grâce à
ie des ces outils que l’attaquant a réussi à
éta- prendre le contrôle du domaine et
vous le à déployer dans la nuit de vendredi
d’une à samedi le code de chiffrement sur
ter en la majorité du parc informatique »,
ns un indique l’agence. Elle estime
rs CHU également que cette phase en
ieppe, amont a probablement duré plu-
ut-on sieurs jours.
te à la Pour le chiffrement du SI et
ée des l’envoi de la demande de ran-
ance 3 çon, l’attaquant a utilisé le
logiciel Clop. « Il s’agit d’un ran-
inci- çongiciel assez classique. C’est du
arrés. logiciel malveillant sur étagère, que
nt pas n’importe qui peut utiliser. Il évo-
t cer- lue et intègre des variantes, mais
stent globalement, c’est un outil assez
appli- commun », souligne Emmanuel
nnent. Gras.
marrés Selon un rapport de l’Anssi,
bsolu- publié juste après l’attaque :
élicite la première utilisation de
gner la Clop a été observée en février
quipes 2019. Il s’agit d’une variante
n pré- de la famille de rançongiciels
ion de CryptoMix, elle-même déri-
aume vée des familles CryptXXX et
CryptoWall. Son code fait l’ob-
retour jet de fréquentes modifications
même mineures, afin de complexi-
lundi fier sa détection. Les attaques
ction- impliquant Clop ne se limitent
gradé, pas à une zone géographique,
urces. ni un secteur d’activité par-
ées ont ticulier. L’éditeur Mc Afee
ent. Ce mentionne ainsi des attaques
5 jours ayant majoritairement ciblé les
ait ren- États-Unis, mais également
encore, une douzaine d’autres pays,
é récu- dont la France.
mpêche
-elle.
erses « Clop est un rançongiciel
r ren-
ouen. assez classique. C’est du
il n’est logiciel malveillant sur
cter à
lles ou étagère, que n’importe
nes », qui peut utiliser »
is. De
que : Emmanuel Gras,
c’est le ancien de l’Anssi et CEO
e phase
d’Alsid.
re plu-
POSTMORTEM_ROUEN.indd 7
Clop chiffre les documents
présents sur les SI en leur ajou-
tant notamment l’extension
«.clop». En outre, des certifi-
cats sont utilisés pour signer le
code malveillant Clop afin de lui
donner une apparence légitime.
Les mentions suivantes ont été
observées à plusieurs reprises
dans le champ « Sujet » des cer-
tificats associés aux attaques
exploitant ce rançongiciel :
« ALISA L LIMITED 4 », « THE
COMPANY OF WORDS LTD » ou
encore « MISHA LONDON LTD ».
Clop comporte également une
fonction de suppression des
copies cachées Windows (volume
shadow copies).
TA505 : l’attaquant
présumé
Les investigations de l’Anssi
ont permis d’associer l’attaque
à une plus large campagne
ciblant également des univer-
sités européennes, opérée par
le groupe cybercriminel russo-
phone TA505 (lire encadré). « On
ne pourra jamais affirmer avec cer-
titude que l’attaque a été perpétrée
par TA505 », tient cependant à
préciser Emmanuel Gras. « En
cybersécurité, l’attribution des
attaques est quelque chose de très
complexe et il est impossible d’être
certain à 100 % d’avoir identifié les
auteurs. Ils peuvent se faire passer
pour tel ou tel groupe de cyber-
criminels, alors qu’il s’agit d’un
autre reprenant un modus operandi
connu, pour créer une fausse piste.
Ce qui est certain, c’est que le but de
l’attaque était clairement financier.
Il s’agit donc d’un groupe interna-
tional relevant du crime organisé. »
Suite à l’attaque, le CHU de Rouen
a porté plainte auprès du parquet
de Paris. Une enquête judiciaire a
été initiée pour « accès frauduleux,
maintien frauduleux, modification et
introduction frauduleuse et entraves
au fonctionnement dans un système
de traitement automatisé de don-
nées à caractère personnel mis en
œuvre par l’État, en bande organi-
sée ». L’extorsion et la tentative
d’extorsion en bande organi-
sée, figurent également dans les
poursuites. Le parquet a confié
les investigations à l’Office cen-
tral de lutte contre la criminalité
liée aux technologies de l’infor-
mation et de la communication
(OCLCTIC) et à la police judiciaire
de Rouen.
Selon les experts du secteur, il est
peu probable que les auteurs de
l’attaque soient traduits en jus-
tice. Une relative impunité contre
laquelle tente de lutter l’Anssi.
« La priorité reste la défense, la
protection et la remédiation. Mais
de plus en plus, nous allons mettre
la pression collectivement sur ces
groupes, avec la justice et d’autres
capacités cyber-nationales », confie
Guillaume Poupard.
« L’objectif est que les risques, pour
ces cybercriminels, ne soient plus
Qui est TA505 ?
uniquement que l’attaque ne fonc-
tionne pas. Nous débutons dans ce
TA505 (alias Evil Corp et SectorJ04) est un groupe cybercri-
domaine, mais c’est le sens de l’his-
toire. Ces mesures doivent être prises minel russophone, actif depuis 2014, ciblant principalement
avec énormément de prudence, sans le secteur de la finance, de la distribution et des institutions
confusion avec les missions des uns gouvernementales. Un de ses membres serait Maksim
et des autres, en évitant tout effet
collatéral, ce qui n’est pas simple ».
Viktorovich Yakubets, célèbre pirate urkainien recherché
Le chef présumé de TA505, par le FBI.
Maksim Viktorovich Yakubets,
fait déjà l’objet d’un mandat d’ar-
rêt du FBI. L’agence américaine
promet même une prime de 5
millions de dollars pour toute
POSTMORTEM
information menant à son arres-
tation ou sa condamnation.
Au final, l’attaque du CHU de
Rouen a créé d’importantes
perturbations dans les ser-
vices, sans pour autant mettre
en péril la santé des patients,
indiquent les observateurs du
secteur. Mais cela aurait pu mal
tourner. « Sans l’informatique le
risque d’erreurs est plus important.
Cela est particulièrement préoc-
cupant au niveau des traitements
médicamenteux, pour lesquels
l’informatique a fait sensible-
ment baisser le nombre d’erreurs.
Une cyberattaque représente donc
un risque réel pour la santé des
patients. Les conséquences peuvent
être dramatiques », commente
Cédric Cartau, RSSI et DPO du
CHU de Nantes.
Selon lui, la menace est gran-
dissante. En 2019, au CHU de
Nantes, une quinzaine de pièces
jointes suspectes étaient déce-
lées chaque semaine, par des
solutions de type Sandbox (bac
à sable). « Aujourd’hui, nous en
sommes à une cinquantaine, avec Depuis 2019, TA505 cible également les domaines de la
des pics à soixante-dix », alerte recherche, de l’énergie, de l’aviation et de la santé. « La
Cédric Cartau. 7
motivation première de TA505 est lucrative : principa-
Les hôpitaux : lement à la recherche d’entités détenant de l’argent. Ils
auraient récemment cherché à monétiser de la propriété
une cible de choix intellectuelle qu’ils auraient dérobée », précise l’Anssi. Leurs
Les attaques ciblant des hôpitaux
armes sont principalement des trojans bancaires (Dridex
français seraient donc amenées à
se multiplier ? « Oui. Rouen n’est et TrickBot) et des rançongiciels (Locky, GlobeImposter,
qu’un début et je ne suis pas spé- Clop et Philadelphia). Selon un récent communiqué de
cialement alarmiste. Mais avec la Microsoft, TA505 exploite également des documents Excel
digitalisation, la surface d’attaque
ne fait que croître dans les hôpi-
contenant une macro malveillante.
taux », prévient Vincent Trely. TA505 serait à l’origine d’au moins neuf campagnes d’at-
Le principal problème reste le taques depuis juin 2019 et auraient ainsi compromis plus
manque de moyens financiers d’un millier d’organisations dans le monde. « Ses impor-
dont disposent les hôpitaux
français pour se protéger des tantes capacités d’action interrogent sur la structure du
cyberattaques. « Il y a un manque groupe qui pourrait regrouper plusieurs sous-groupes ou
cruel de moyens dans le secteur impliquer une collaboration avec d’autres », estime l’agence
hospitalier qui freine les investisse-
gouvernementale française.
ments dans la sécurité informatique
et pousse à rallonger la durée de
vie des équipements au maxi- moyens pour déployer des solu- l’Apssis : « Depuis l’attaque, plu-
mum », indique un professionnel tions robustes, par exemple du sieurs RSSI m’ont indiqué que la
du secteur, qui préfère garder chiffrement, de la conteneurisa- porte de leur direction générale leur
l’anonymat. « Dans certains éta- tion, etc. ». était davantage ouverte. Et certains
blissements, j’ai vu des serveurs L’Apssis pointe également le ont même vu des budgets, qu’ils
qui avaient plus de 20 ans d’âge manque de moyens : « Aux réclamaient depuis longtemps, se
et n’avaient pas été régulièrement États-Unis, au Canada, en Corée débloquer », note Vincent Trely.
patchés. Une bonne part des CHU ou au Danemark, l’IT représente « Une étape vient d’être franchie »,
français possède encore des postes environ 5 % du budget des hôpi- estime pour sa part Guillaume
de travail sous Windows 7, alors que taux. En France, il se situe entre 1,2 Poupard, qui se veut plus rassu-
cet OS n’est plus maintenu ». et 2 % », observe Vincent Trely. rant. « La phase de déni, qui pouvait
Toujours selon cette source : Mais le cas de Rouen semble se rencontrer il y a quelques années
« Globalement, le niveau de sécu- faire bouger les lignes. « Il nous est révolue. Nous sommes désormais
rité informatique dans les hôpitaux a incités à accélérer la sécurisation dans une phase d’action. Mais il y a
français a évolué. Mais il reste de notre SI. À Nantes, nous avons effectivement un manque de moyens.
insuffisant. Il n’y a plus de gros identifié plus d’une quarantaine C’est pourquoi nous travaillons avec
risques d’incendie dans les salles de mesures à prendre. La majo- plusieurs centres hospitaliers à la
informatiques, comme cela pou- rité ne nécessite d’ailleurs pas mise en place de solutions efficaces et
vait être le cas il y a une dizaine d’achat de solution, mais du temps financièrement viables », conclut-il.
d’années. Les data centers sont homme pour patcher des systèmes Contactée par notre rédaction, la
également redondés dans quasi- ou paramétrer des équipements. direction du CHU de Rouen n’a
ment tous les établissements. Mais Les mesures les plus urgentes vont pas souhaité, pour le moment,
la circulation des données sur les être appliquées dès cette année », s’exprimer sur le sujet. ❚
systèmes d’information reste trop poursuit Cédric Cartau. Christophe Guillemin
faiblement protégée, faute de Même son de cloche du côté de
13/03/2020 17:52
 Cyber, le risque N°1
Le cyber est dans toutes les têtes dans les entreprises et il est devenu
le premier risque identifié selon une étude réalisée pour Allianz, le géant
de l’assurance allemand. Comment gérer les risques et les outils du
moment pour vous aider à surmonter le problème ?
D
ans son baromètre
des risques, Allianz
a interrogé 2 400
experts de la gestion
des risques dans le
monde. Ils placent désormais le
risque cyber en tête de leurs pré-
8
occupations (37 %) à égalité avec
les interruptions de service. En
France, le chiffre monte même à
41 %. Les interruptions de ser-
vice suivent de près avec 40 %.
La multiplication des attaques
et l’impact économique de
celles-ci a accéléré la prise en
compte de la réalité cyber. La
moyenne des pertes assurées
pour les incidents cyber sur les
cinq dernières années s'élève à
2,3 millions d'euros. Soit plus
que pour des risques classiques
de l'entreprise comme les incen-
dies et les explosions (1,5 million
d'euros). Les autres risques pris
en compte sont les catastrophes
naturelles, les évolutions légis-
latives et réglementaires et les
« évolutions de marché ».
La délinquance cybernétique
aurait coûté 600 milliards de
dollars en 2018, contre 445 mil-
liards de dollars en 2014. C’est
trois fois plus que la moyenne
OUTILS
des pertes économiques liées aux
catastrophes naturelles sur dix
ans, qui s’élève à 208 milliards de
dollars. Les délinquants utilisent
des méthodes toujours plus inno-
vantes pour le vol de données,
les actes de fraude ou l’extorsion
de fonds. La menace en prove-
nance des États et des pirates à
leur solde croît également avec
pour cibles les fournisseurs d’in-
frastructures critiques et le vol
des données ou des secrets de
fabrique des entreprises.
Le manque de ressources qua-
lifiées fait son entrée dans ce
classement (9 %). Le problème
semble principalement sensible
dans les pays d’Europe de l’Est
et dans les pays anglo-saxons
(USA, UK, Australie, Canada). Il
est dû à plusieurs facteurs, tels que
OUTILS_GESTION_RISQUES_IT.indd 8
Les conséquences autour des SI, pertes d’exploitation et de risque
évolutions réglementaires et données, vols de données pou- métho
législatives ne sont pas innocentes vant entraîner des dommages nant d
non plus. L’adaptation aux règles en recherche et développement, ont un
administratives ou légales va financiers ou commerciaux. EBIOS
encore occuper les entreprises en D’autres sont indirects comme de trav
2020. Ce sera à la fois pour deve- l'atteinte à l'image de l’entre- club u
nir conformes à des règles déjà en prise, les frais de communication cette n
vigueur ou pour se préparer à le en interne et en externe, ou en
devenir pour de nouvelles règles gestion de crise. Ils doivent être Les
qui vont devenir obligatoires dans pris en compte comme les autres d’un
les mois ou années à venir. Ainsi risques (catastrophes naturelles,
en septembre dernier, seule une responsabilité civile, incendie…). des
entreprise sur trois était conforme Ces risques sont souvent déli- Les mé
au RGPD. Le non-respect des cats à évaluer car il est difficile de les gra
règles expose les entreprises à quantifier les coûts induits d’une œuvre
des risques souvent importants attaque. D’ailleurs il n’existe pas classi
en termes d’image, de sécu- de méthode de calcul standard consis
rité ou d’amendes parfois salées. permettant d’obtenir des sta- risque
Ainsi le régulateur britannique a tistiques consensuelles sur le ser to
mis à l’amende British Airways à coût d’une attaque. De plus il au ris
hauteur de 183 millions de livres devient ainsi difficile de calcu- l’entre
sterling pour « mauvais dispositifs ler le retour sur investissement conten
de sécurité » ce qui avait entraîné dans une solution de sécurité. tiels.
le vol de données de près de 500 Vulnérabilités ne veut pas forcé- risque
000 personnes. Depuis 2009, les ment dire attaque. L’appréhension côté et
amendes ont coûté 342 milliards du risque correspond donc à une autre c
aux institutions financières et analyse fine du contexte de l’en- peut a
850 milliards pour ce qui est du treprise et de son environnement Il conv
manque à gagner. Ces retards économique et géopolitique. une é
s’expliquent souvent par la com- Depuis les années 80, de nom- l’avons
plexité de la mise en œuvre de breuses méthodes ont été mises ser les
telles règles. Pourtant les entre- au point pour l’analyse des gravit
prises qui réussissent à mettre en risques cyber. Les pionniers ont poten
place ces nouvelles règles béné- été les Néerlandais qui ont été judice
ficient d’un véritable avantage les premiers à mettre en œuvre elle pe
concurrentiel sur leur marché. une méthode d’analyse. De nom- associ
breux autres pays s’y sont aussi Pour l
Comment gérer
attelés. La France (et l’Anssi) a à une
l’évolution démographique, l’in- gestion des « risques frontières » développé EBIOS, le Royaume- des an
certitude liée au Brexit et un faible (les risques cyber et de réputation).
les risques Uni a choisi sa propre méthode, A par
réservoir de talents dans l’éco- L’urgence dans ces secteurs fait Les risques cyber sont de plu- Cramm. Un standard ISO 27005 dispos
nomie numérique, en particulier que les entreprises ne prennent sieurs natures. Les impacts propose la mise en œuvre d’un envisa
les talents en intelligence artifi- pas le temps d’entamer des ses- peuvent être directs : nettoyage schéma global pour mettre en adapté
cielle, sciences des données ou en sions de formation sur le terrain. de l’attaque et remise en état du place une méthode d’analyse de en fon
en étu
Gestion des risques IT élimin
de ses
Éditeur Solution Principales fonctions des ca
appliq
Cabinet de conseil et développeur de la solution ArengiBox
afin d’
Arengi ArengiBox pour un système intégré de gestion des risques avoir d
et de la conformité avec cartographie des risques. adapté
Third and Fourth party risk Suivi et analyses des risques sur les prestataires en app
Bitsight tant de
management et dans la chaîne de valeur pour différents secteurs d'activité.
œuvre
Egerie Egerie Risk Manager Suite de gestion des risques labellisée EBIOS par l'Anssi. des m
Suivi des actifs internet et analyses trepris
Expanse Expander qui en
pour réduction des risques. pourra
Gestion des vulnérabilités et des risques avec un module supplé
Kenna Security Platform + application risk module
spécifique étendant la plate-forme au niveau des applications. Enfin,
un con
Suite complète et intégrée de gestion des risques cyber de la d
Logic Manager Entreprise Risk Management
et de l'entreprise. active
Gestion des risques et des vulnérabilités avec remédiation par les
ronnem
Nopsec Unified VRM automatique par intégration avec outils de ticketing
les att
et de patching. Des cab
Qualys Qualys Vulnerability Management Gestion des risques et des vulnérabilités. d’intég
de déc
Rapid 7 Insight VM Gestion des vulnérabilités et des risques. vergu
Suite de gestion des risques cyber s'appuyant sur le standard des ris
Risk Lens Risk Portfolio/Datawarehouse
FAIR (Factor Analysis of Information Risks). jet. L’a
impor
Threat intelligence et reporting vers les équipes de sécurité straté
RiskIQ Digital Footprint Risk Reporting
de la surface d'attaque possible et des vulnérabilités. convie
Suite de logiciels sur la gestion des risques et du respect rôles e
RSA Archer semble
de la conformité.
Suite de gestion des risques dédiée aux environnements De n
Sentryo Cybervision de l'Internet des objets avec un service de threat intelligence. outi
Filiale de Cisco.
Pour a
Outil d'audit sur la gestion des accès ce pro
Solarwinds Access Right Manager
et le respect de la conformité. breux
des su
Visualisation de l'exposition aux risques cyber
accom
Tenable Lumin avec des outils analytiques pour suivre la réduction gers »
des risques au fil du temps. tablea
Audit, suivi et monitoring des risques avec stockage les pri
ainsi
TruOps Risk Management des procédures de remédiation et outils analytiques
ciel. Ce
pour prise de décisions. comple
13/03/2020 17:52
 et de risque dans les entreprises. Ces chaîne. D’autres se concentrent vulnérabilités avec la découverte moyenne aident les PME à accé- un spécialiste de la gestion des
s pou- méthodes bénéficient mainte- sur un point précis comme l’éva- des vulnérabilités, de l’évaluation der à la démarche. On peut citer risques. L’association anime
mages nant d’une forte expérience et luation des risques. Certains de de la criticité du risque, d’action- Akerva ou Harmonie Technologie aussi des événements avec pour
ment, ont une bonne maturité. Ainsi ces logiciels ont des vues plus ner des actions correctives et de qui étaient présents au récent débats les évolutions des cyber-
ciaux. EBIOS peut compter sur 20 ans globales que le simple risque suivre ces actions pour délivrer FIC qui s’est tenu à Lille à la fin risques. Certains assureurs ont
omme de travaux dans le domaine et un cyber. Plus généralistes, ils se des rapports ou des audits. de janvier dernier. Sekoia est mis en place des structures en
entre- club utilisateur actif fait évoluer présentent souvent comme des Il faut aussi prendre en compte, un autre exemple d’ESN moins cas d’attaque d’un de leurs clients
cation cette norme. outils pour suivre le respect de en dehors de ce tableau, les prin- grande mais tout aussi impliquée. à travers des partenariats avec
ou en la conformité. Sous cette omb- cipales sociétés de services qui Des assureurs sont aussi sur des sociétés spécialisées. Chubb
nt être Les étapes relle, ils embrassent aussi bien proposent soit des méthodes soit ce marché comme Gras Savoye par exemple propose la mise à
autres d’une gestion le risque financier, qu’industriel des consultants à même d’accom- Willis Towers Watson pour gérer disposition d’une Data Breach
relles, ou cyber. Plusieurs solutions pagner les entreprises dans la les risques impliquant les res- Team. En cas d’attaque ou d’une
die…). des risques s’accompagnent de services ou démarche de gestion des risques. sources humaines, financières fuite de donnée avérée ou suppo-
déli- Les méthodes précitées reprennent de mises à disposition d’experts Pas de surprise, tous les grands et technologiques dans l’en- sée, l’assuré dispose d’un numéro
cile de les grandes étapes de la mise en pour accompagner les entreprises du service en France ont ce type treprise. L’Association pour le d’urgence. Un coach le prend en
d’une œuvre d’une gestion des risques dans la démarche. Les outils pro- de ressources à disposition de Management des Risques et charge dans l’heure qui suit et
ste pas classiques. La première étape venant du monde de la sécurité Capgemini à Sopra Steria en pas- des Assurances de l’Entreprise avise en fonction de la situation
ndard consiste en l’identification des informatique ont souvent comme sant par Atos ou IBM. Derrière (AMRAE) propose de son côté s’il est nécessaire de dépêcher,

OUTILS
s sta- risques. Elle permet de recen- point commun d’avoir un cœur de ces mastodontes, de nombreuses des formations autour de la ges- sur place, des experts. ❚
sur le ser toutes les parties exposées produit autour de la gestion des sociétés de services de taille tion des risques ou pour devenir Bertrand Garé
plus il au risque. Dans cette optique,
calcu- l’entreprise doit établir une liste
ement contenant tous les risques poten-
curité. tiels. Elle doit distinguer les
forcé- risques les plus importants d’un
ension côté et les moins importants d’un
à une autre côté. Grâce à cette liste, elle
e l’en- peut analyser leur corrélation.
ement Il convient ensuite de les évaluer,
e. une étape ardue comme nous
nom- l’avons vu. Elle consiste à analy-
mises ser les risques en fonction de leur
e des gravité, déterminer leur impact
rs ont potentiel et l’étendue des pré-
nt été judices y afférents. À part cela,
œuvre elle permet de mesurer les coûts
nom- associés aux risques identifiés.
t aussi Pour la réaliser, il faut procéder
nssi) a à une collecte de données et à
ume- des analyses statistiques.
thode, A partir de là l’entrepreneur
27005 dispose de plusieurs solutions
e d’un envisageables pour trouver la plus
tre en adaptée. Il peut définir la solution
yse de en fonction du risque lui-même
en étudiant la possibilité d’une
élimination ou d’une limitation
de ses effets. Il peut tenir compte 9
des caractéristiques du projet et y
appliquer quelques modifications
Box
afin d’esquiver les risques. Après
avoir déterminé la solution la plus
adaptée, il faut procéder à sa mise
en application. Il s’avère impor-
tant de définir le coût de mise en
vité.
œuvre de la solution en fonction
si. des moyens dont dispose l’en-
treprise. Il faut réduire les coûts
qui en découlent. À défaut, ils
pourraient générer des dépenses
le supplémentaires à l’entreprise.
ons. Enfin, il s’agit de mettre en place
un contrôle et une revue en continu
r de la démarche dans une approche
active pour éviter d’être débordé
on par les changements dans l’envi-
ronnement de l’entreprise ou dans
les attaques externes ou internes.
Des cabinets de conseil préconisent
d’intégrer les résultats dans la prise
de décision dans des projets d’en-
vergure et d’utiliser la gestion
dard des risques dès le début du pro-
jet. L’aspect organisationnel est
important dans la réussite d’une
rité stratégie d’analyse de risque. Il
convient donc de bien clarifier les
ct rôles et responsabilités dans l’en-
semble du processus.

s De nombreux
nce. outils à disposition
Pour aider les entreprises dans
ce processus complexe, de nom-
breux éditeurs ont mis au point
des suites ou des logiciels pour
accompagner les « risk mana-
gers » dans leur tâche. Dans le
tableau ci-contre vous trouverez
les principaux éditeurs du secteur
ainsi que le nom de leur logi-
ciel. Certains proposent des outils
complets suivant l’ensemble de la

OUTILS_GESTION_RISQUES_IT.indd 9 13/03/2020 17:52

 Evaluation
du risque cyber…
Automatisée pour
les RSSI ou taillée
pour les métiers ?
A qui doit être destinée l’évaluation du risque cyber d’une entreprise ?
Aux RSSI, sous forme de tableaux de bord référençant automati-
quement les vulnérabilités et d’autres informations techniques ? Ou
bien aux métiers, avec des questionnaires détaillés sur leur activité
et une étude personnalisée sur l’impact éventuel d’une attaque sur le
“business” ? Les deux approches, en apparence concurrentes, sont
en réalité complémentaires.
D
ans l’article précé-
dent, nous abordons
l’une des dimensions
de la gest ion du
risque cyber, à savoir
son identification. Une étape
souvent compliquée, qui passe
par de nombreuses méthodes
parmi lesquelles EBIOS, déve-
10 loppée par l’Anssi, ou le Cramm
britannique. L’une des princi-
pales problématiques est de
déterminer à qui doit s’adres-
ser cette évaluation de risques.
En l’absence de méthode de calcul
standardisée, plusieurs approches
s’affrontent. On a vu ces dernières
années fleurir des entreprises se
faisant agences d’évaluation du
risque cyber. SecurityScorecard,
société américaine fondée en 2013,
en a fait sa spécialité. Son rôle :
visualiser les risques pesant sur
une organisation, entreprise,
collectivité ou administration,
de la même façon qu’un atta-
quant. Pour ce faire, elle évalue de
manière automatisée le niveau de
risque en collectant toute donnée
accessible sur Internet, enrichie
de sources ouvertes ou commer-
ciales de Threat Intelligence.
Ces données vont venir alimen-
ter dix catégories de facteurs de
OUTILS
risques que sont la sécurité du
réseau, la santé des DNS, la fré-
quence des correctifs, la sécurité
des endpoints, la réputation des
adresses IP, la sécurité des appli-
cations Web, le “Cubit Score”
(un indice propriétaire relatif
aux problèmes de sécurité et de
configuration critiques liés aux
portails administratifs exposés),
les discussions entre hackers, les
informations d’authentification
fuitées et l'ingénierie sociale.
La moyenne de ces différents fac-
teurs aboutit à un score, de A à
F, estimant le niveau de sécurité
d’une organisation. Et puisque les
données collectées sont publiques,
SecurityScorecard va également
pouvoir fournir à ses clients
un panorama de la sécurité de
ses partenaires, sous-traitants,
OUTILS_RISQUES.indd 10
François Samarcq, directeur des ventes
de SecurityScorecard, exposait lors d’un FIC Talk
l’intérêt de l’automatisation de l’évaluation
du risque cyber.
fournisseurs, etc. quand bien
même aucun audit n’a été mené
directement auprès de ces tierces
parties.
En effet, face au durcissement des
mesures de sécurité des grandes
entreprises, les attaquants ont
de plus en plus tendance à pas-
ser par leurs sous-traitants :
on parle d’attaques par rebond.
« Les entreprises sont connec-
tées à des dizaines, des centaines
de fournisseurs qui sont autant
de vecteurs d'attaques » expli-
quait lors du FIC François
Samarcq, directeur des ventes
de SecurityScorecard, qui pré-
cise qu’il s’agit là de la principale
demande des clients de la société,
devant l’auto-évaluation et,
chose de plus en plus fréquente,
dans le cas de fusions-acquisi-
tions. Le cas de Marriott, sous
le feu des projecteurs après que
Starwood, racheté en 2016, se soit
fait dérober les données de cen-
taines de millions de clients, a
sans doute incité les dirigeants
à la prudence.
Evolutif
mais technique
Cette méthode n’est toutefois
pas parfaite, puisqu’elle ne va
pas s’intéresser aux réseaux
internes de l’entreprise, ni aux
fournisseurs SaaS. Ce qui a le
Le système de score de SecurityScorecard
attribue une note pour chacun des différents
facteurs de risque, permettant aux RSSI
de voir en un coup d'oeil les points faibles de leur SI.
défaut de laisser des angles morts
dans l’évaluation des risques.
D’autant que vulnérabilité n’est
pas obligatoirement synonyme
d’attaque, et par extension d’un
impact sur les activités de l’en-
treprise. « Ce que nous savons bien
faire, c’est automatiser complète-
ment la recherche de vulnérabilités
d'entreprises. Il nous faut trois jours
pour évaluer une entreprise, et cet
examen se poursuit dans le temps
puisque le périmètre évolue en
permanence » ajoute François
Samarcq. Ces données, sur les
DNS, les patchs, les failles ali-
mentent des tableaux de bord et
le système de notation va « four-
nir un langage compréhensible par
les décisionnaires » nous apprend
Nadji Raib, Account Manager
chez SecurityScorecard.
Mais la cybersécurité n’est-elle
pas une chose trop grave pour
être laissée aux seuls CISO ? Pour
Yann Tonnelier, chef de bureau
adjoint à l’Anssi, « il est compliqué
d’automatiser ». « Pour pouvoir
dérouler la méthode d’évaluation
du risque, il faut connaître l’entre-
prise, d’où le fait que l’on fasse appel
à différents métiers dans l'organi-
sation pour éclairer les modalités,
les articulations, les contraintes de
l'entreprise » nous précise-t-il.
A ses yeux, le RSSI ne peut plus
dérouler tout seul l’analyse de
risques, d’où l’intérêt de casser
les silos. « En dix ou quinze ans,
nous sommes passés d’un impact
technique du risque cyber à un
impact également organisation-
nel, sur la production, les métiers,
l’image de marque, les finances...
Le cyber est devenu un risque stra-
tégique à gérer comme les autres
risques d'entreprise » conclut-il.
Comprendre
le risque
C’est alors qu’entrent en scène des
cabinets de conseils spécialisés
dans cette évaluation des risques,
à l’instar de Risk&Co. Ici, oubliez
l’automatisation : « on adapte la
méthode à chaque métier » indique
Nicolas de Pesloüan, senior
manager en charge de la sécu-
rité industrielle chez Risk&Co.
« En partant de l’identification des
risques redoutés du secteur d’acti-
vité, par exemple dans le ferroviaire
qu’un train déraille, et déterminant si
ces risques peuvent avoir une origine
cyber ». Une démarche qui passe
par des questionnaires personna-
lisés et par une prise en compte
des risques non pas liés à l’en-
treprise dans sa globalité mais à
ses activités en elles-mêmes. Car
en ne prenant en compte que le
cyber dans sa dimension tech-
nique, on occulte un pan entier
de son impact réel sur l’activité
de l’entreprise et ce faisant les
responsables en entreprise n’ont
pas une pleine compréhension du
risque métier.
Pour prendre un exemple trivial,
le responsable d’un haut four-
neau aura du mal à saisir en quoi
une bonne configuration de l’Ac-
tive Directory de l’entreprise peut
avoir un impact sur le bon fonc-
tionnement de son four. « C’est
pourtant la clé pour convaincre de
mettre un budget et un plan d’ac-
tion face à ce risque : considérer
la vraie conséquence métier du
cyber » assure le senior mana-
ger de Risk&Co. On remarquera
qu’on ne parle pas du risque cyber
dans une approche métier, mais
d’un déclencheur de risque, d’une
origine cyber au risque métier.
« Toute la beauté de l'approche du
risque par le métier, c’est que la cybe-
rattaque devient une cause de panne
comme une autre. Ainsi, on ramène
son traitement dans la norme » sou-
ligne Nicolas de Pesloüan. Mais
puisque la méthode n’est pas
automatisée, sa mise en place
prend du temps et, surtout, reste
complexe à actualiser.
Réduire les risques
Vaut-il mieux automatiser pour
brosser un tableau général des
vulnérabilités à l'attention des
DSI ou bien adapter l'évaluation
aux métiers afin de leur per-
mettre de comprendre l'impact
du risque cyber sur leur métier ?
Les deux mon capitaine ! C’est en
des termes un peu moins ima-
gés que Raphaël Roth, directeur
Cybersécurité chez PwC France,
nous explique que les deux
approches sont complémentaires.
Selon lui, les tests de vulnérabi-
lités peuvent être automatisés, et
doivent l’être dans certains cas.
Pour autant, « dans l’absolu, on ne
fait pas de la sécurité pour le “fun”.
In fine, ce que l’on fait en cyber, c’est
réduire les risques. Et les risques à
réduire en premier lieu, ce sont les
risques métiers ». En conséquence,
l’information doit être en pre-
mier lieu adressée aux - et rester
compréhensible des - métiers.
Là encore, le cyber est conçu
moins comme un risque en soi
que comme un vecteur. Raphaël
Roth résume : « on a des risques
métiers qui peuvent être impactés
par une menace IT. Dans la majo-
rité des entreprises, le risque n’est
pas tant IT que métier ». ❚
G. P.
13/03/2020 17:52
 CCPA : un RGPD à la sauce américaine ?
Dans la droite lignée du RGPD, le California suppriment et ne puissent les vendre à des
Consumer Privacy Act est entré en vigueur tiers. Malgré de nombreuses failles per-
le 1er janvier 2020. Ce texte de loi entend mettant de la contourner, cette loi locale
donner aux Californiens le contrôle sur est aux yeux de certains observateurs un
leurs données personnelles, à l’aide d’une premier pas vers une réglementation fédé-
définition très large de ce terme et du droit rale américaine de la confidentialité et de
d’obtenir des entreprises qu’elles four- la protection des données personnelles.
nissent la liste des données collectées, les SUITE EN PAGE VI

CAHIER SPÉCIAL DPO | PREMIER TRIMESTRE 2020

CyberRisques par

DPO externe : quelles

conditions pour une
prestation « idéale » ?
Depuis le 25 mai 2018, date d’entrée en application du RGPD,
de nombreux consultants indépendants et sociétés proposent des
prestations de Data Protection Officer externe. Nous ne reviendrons
pas sur les raisons qui peuvent mener à opter pour la formule du DPO
externe plutôt que celle du DPO interne, chacune ayant ses avantages
et ses inconvénients(1). Nous nous focalisons ici sur les conditions qui
doivent prévaloir à la réalisation de la prestation « idéale », à la fois
pour le responsable de traitement et pour le DPO externe.
1 : Lire l'article sur www.cyber-risques.news « Le succès du DPO

R
appelons que le Délégué à la Pro-
tection des Données externe peut
être une personne morale ou une
personne physique. Les lignes
directrices WP243 du G29 du 5 avril
2017 (endossées depuis par le CEPD) précisent
en effet que « la fonction du DPD peut aussi être
exercée sur la base d’un contrat de service conclu
avec une personne ou un organisme indépendant
de l’organisme du responsable du traitement ou du
sous-traitant. Dans ce cas, il est essentiel que chaque
membre de l’organisme exerçant les fonctions de
DPD remplisse l’ensemble des exigences applicables
établies à la section 4 du RGPD (par exemple, il est
essentiel qu’aucun des membres de l’organisme n’ait
de conflit d’intérêts). Il est tout aussi important que
chaque membre soit protégé par les dispositions du
RGPD (par exemple, pas de résiliation abusive du
contrat de service pour les activités de DPD pas plus
que de licenciement abusif d’un membre de l’orga-
nisme exerçant les missions du DPD) ».
Pour aider les responsables de traitement à
entrer en contact avec les prestataires, l’AF-
CDP propose une « Place de marché RGPD »(1)
gratuite. Et le marché est porteur, comme le
confie Alessandro Fiorentino, consultant RGPD,
1 : https://afcdp.net/place-de-marche-rgpd
qui avait tenu à décrocher le grade de Mastère
Spécialisé en « Management et Protection des
données personnelles » en 2013 avant de proposer
dépend de sa capacité
son expertise à ses clients. « Pour le moment,
nous n’avons toujours pas besoin d’aller chercher
à bien travailler avec
tous les niveaux
des missions de conseil. Les appels entrants suffisent
à occuper mon équipe. Nous avons d’ailleurs décidé
de ne pas nous positionner en tant que DPO externe.
Nous préférons les accompagner avec notre offre de
formation et notre métier d’éditeur d’outils pour
les DPO. Nous mettons l’effort dans leur soutien ».
de l’organisation »
Une priorité pour le DPO José Alberto Rodríguez Ruiz,
externe : se mettre à l’abri DPO de Cornerstone OnDemand.
des conflits d’intérêts
L’étude réalisée en 2019 par l’AFPA, à la demande Concernant la protection des données per-
du Ministère du Travail et avec la participation de
l’AFCDP, indique que si 90,7 % des DPO externes
sonnelles, José Alberto Rodríguez Ruiz est
ont été désignés par moins de cinquante clients, de ceux qui connaissent bien le sujet. DPO
0,6% des prestataires sont désignés pour plus de
mille responsables de traitement. de l’éditeur de solutions RH depuis 2016,
Les professionnels peuvent-ils être désignés
pour des responsables de traitement qui seraient
il nous explique son parcours ainsi que ses
concurrents directs ? Là où le RGPD est silen- activités et nous livre sa vision du métier de
cieux, la Charte de déontologie du DPO indique
que «le Délégué à la protection des données s’interdit délégué à la protection des données.
SUITE EN PAGE II  SUITE EN PAGE IV

Cahier spécial DPO de la publication CyberRisques réalisé en collaboration avec l'AFCDP. CyberRisques est édité par PC Presse SA, 443 043 369 RCS Nanterre, 38, rue Jean Jaurès 92800 Puteaux France. Demande d'ISSN en cours.
Dépôt légal : 1er trimestre 2020. Imprimé en France par SIB (62). Rédaction : Guillaume Périssat. Création graphique : Franck Soulier. Directeur de la publication : Michel Barreau. contact@cyber-risques.news

Cahier_interieur.indd 1 08/01/2020 20:12

 DPO externe : quelles conditions
pour une prestation « idéale » ?
PAR CHRISTOPHE CHAMPOUSSIN, ADMINISTRATEUR DE L’AFCDP, ET BRUNO RASLE, DÉLÉGUÉ GÉNÉRAL DE L’AFCDP.
SUITE DE LA PAGE I
d’être le prestataire de plus d’un
client ou mandant dans une même
affaire s’il y a conflit ou risque
sérieux de conflit entre les intérêts
de ses clients ou mandants ; s’inter-
dit de s’occuper des affaires de tous
les clients ou mandants concernés
lorsque surgit un conflit d’inté-
rêts, lorsque le secret professionnel
risque d’être violé ou lorsque son
indépendance risque de ne plus être
entière ; ne peut accepter une mis-
sion confiée par un nouveau client
ou mandant si le secret des informa-
tions données par un ancien client
ou mandant risque d’être violé ou
lorsque la connaissance des affaires
de ce dernier favoriserait le nouveau
client ou mandant ; se doit d’infor-
mer le Responsable de traitement/
sous-traitant ou le donneur d’ordre
de tous les intérêts qui pourraient
influencer son jugement ou com-
promettre l’équité dont il doit faire
preuve ».
Les Délégués à la protection
des données externes doivent
donc prendre le soin d’évaluer
en toute transparence avec leurs
clients s’ils peuvent être dési-
gnés pour des organismes qui
peuvent se considérer comme
II « concurrents ». De l’autre côté
de la barrière, les clients ont
tout intérêt à prendre connais-
sance de la liste de références
du consultant qu’ils envisagent
de désigner DPO. Le tout, c’est
d’en discuter de façon ouverte
avant de statuer en connais-
sance de cause.
De l’intérêt de
conclure un « bon »
contrat
Au-delà du bon sens qui impose
de contractualiser avec tout
prestataire, le RGPD (cf. son
article 37.6) impose la forma-
lisation d’un document qui
précise le contenu de la presta-
tion : « le délégué à la protection
des données peut être un membre
GOUVERNANCE
du personnel du responsable du
traitement ou du sous-traitant,
ou exercer ses missions sur la base
d'un contrat de service ».
Il semble utile, en début de
contrat, de rappeler les obliga-
tions de chacune des parties.
En effet, si le RGPD définit dans
son article 39 les missions du
DPO, il indique également
la « fonction » de ce der-
nier dans l’article 38 qui liste
les obligations du Responsable
de traitement vis-à-vis de
son DPO. Un contrat équilibré
indiquera donc, a minima, les
obligations issues de ces deux
articles. Au-delà, le contrat
devrait prévoir les autres mis-
sions que le client décide de
confier au DPO externe, telles
que le suivi des demandes des
personnes concernées ou encore
la réalisation des analyses d’im-
pact sur la vie privée (AIPD).
Cahier_interieur.indd 2
Naturellement, il faut que le
contexte permette au profes-
sionnel de remplir sa mission.
C’est également une exigence
de la Charte de déontologie du
DPO : « le professionnel veille à
ce que les contrats passés avec les
donneurs d’ordres définissent pré-
cisément les conditions et moyens
d’exécution de la prestation ».
Le 3 de l’article 38 du RGPD
dispose que « le délégué à la pro-
tection des données fait directement
rapport au niveau le plus élevé de la
direction du responsable du traite-
ment ». Le niveau d’interaction
entre le prestataire et l’organisme
doit donc aussi figurer dans le
contrat. Il est sage également que
le document mentionne explici-
tement l’assurance Responsabilité
Civile Professionnelle à laquelle
le prestataire a souscrit, avec les
garanties appropriées (le pres-
tataire devra bien sûr présenter
ou tenir à disposition de son
client une attestation sur simple
demande).
Il est sain d’aborder dans le
contrat et d’y préciser des
points comme l’accès du DPO
aux données à caractère per-
sonnel, le mode d’interaction du
DPO externe avec les person-
nels (peut-il, de son propre chef,
lancer un audit ou interroger les
collaborateurs ?), sa capacité d’in-
teraction avec la CNIL (peut-il
contacter la CNIL au sujet des
traitements de son client, de sa
propre initiative ?), la fin de mis-
sion, etc.
© fullvector
La question de la disponibilité
doit être étudiée : le presta-
taire sera-t-il joignable en cas
de contrôle sur place de la CNIL
ou en cas de violation de don-
nées ? Pour Cendrine Cosquer,
DPO externe en Martinique, la
question est importante : « avec
mon équipe, nous nous sommes
organisés afin de pouvoir répondre
aux urgences à tout moment. C’est
un dispositif très lourd et peut-
être une barrière à l’entrée pour
les consultants isolés ». Il est vrai
que la fourniture par le pres-
tataire de procédures efficaces
peut permettre de pallier l’ab-
sence immédiate du consultant.
Naturellement, le contrat doit
détailler de manière claire les
prestations et leurs coûts ainsi
que les éventuelles prestations
hors contrat, et une indexation
peut également être prévue, sur
l’un des indices INSEE du coût du
travail par exemple. La ques-
tion du modèle économique est
fondamentale : facturation au
réel, à la journée, ou bien au for-
fait ? « Après avoir démarré mon
activité en mode projet (un sujet,
une tâche, un nombre de jours fac-
turés), je suis finalement passé à
l’abonnement. Je demande à être
désigné DPO externe pour un an,
renouvelable tacitement avec une
dénonciation du contrat sous trois
mois. Ce mode, plus pérenne, est
plus adapté à l’exercice comptable
de nombre de mes clients – sur-
tout dans le secteur public – et
surtout mieux compris » indique
facilité
légiés,
et de l
les diff
l’entre
tions
syner
chée,
le RS
Direct
Pour M
Admi
c’est u
Christophe Michoud, membre de présent en permanence. Ceci appelle que po
l’AFCDP et DPO externe. une action renforcée et des inte- extern
ractions plus fréquentes... là où soutie
Quelle est beaucoup de clients s'imaginent voir in
la durée « idéale » que la conformité peut être livrée en con
« Clé en Main ». Ainsi, il arrive n’étant
du contrat ? que les référents métiers, désignés les opé
Le RGPD est totalement silen- par le client, découvrent totalement n’en fa
cieux à ce sujet, qui, cependant, le sujet, et qu'il nous faille les former cadenc
avait été l’objet d’un débat lors a minima avant de pouvoir entamer tourné
des travaux qui ont mené au réellement notre mission ». vexer e
texte définitif. On relève, dans le Mais avant de s’engager, on dès lo
projet de rapport du 17 décembre peut aussi se fiancer… « Je de fair
2012 de la Commission LIBE propose à mes clients de me « tes- le resp
(Commission des libertés civiles, ter » avant de prendre la décision fréquem
de la justice et des affaires de me désigner auprès de la CNIL Myria
intérieures - qui avait pour rap- comme son Délégué à la Protection exige
porteur Jan Philipp Albrecht) des Données externe. Il ne prend jet en
sur le projet de RGPD, que la sa décision qu’après m’avoir vu d'entr
Commission proposait d’imposer réaliser la cartographie et pris « il do
une durée minimale de désigna- connaissance de mon rapport d’au- née, vo
tion de deux ans (« le responsable dit. De cette façon, nous évitons à cons
du traitement ou le sous-traitant les erreurs de casting » indique Comm
désignent un délégué à la protec- un praticien, tandis que Jean- extern
tion des données pour une durée Michel Livoswky confie utiliser tructi
minimale de deux ans. Le mandat la Charte de déontologie du DPO foncti
du délégué à la protection des don- comme outil de qualification de sions
nées est reconductible. Durant son ses clients : « si notre interlo- la Cha
mandat, le délégué à la protection cuteur rechigne à la signer, nous est un
des données ne peut être démis de préférons concentrer nos efforts sur doit d
ses fonctions que s'il ne remplit plus d’autres entreprises ». Ce même les me
les conditions requises pour l'exer- professionnel ajoute « nous dépen
cice de celles-ci » tandis que le effectuons gratuitement, en leur protec
Parlement proposait de por- présence et pour chaque prospect, doit s’a
ter la durée minimale à quatre une revue complète de conformité et met
ans. On apprendra par la suite de leur site web, que nous présen- des do
que cette proposition émanait de tons avant la signature. Cela donne qui lu
l’Allemagne (pays qui dispose de à notre futur client une vue plus cette i
Datenschutzbeauftragter depuis précise sur notre façon de travail- le DPO
plus de quarante ans). ler et nos méthodologies. En cas de indép
L’étude de l’AFPA indique que signature, nous remettons alors le signifi
la moitié des DPO externes rapport écrit ». sans
ont signé des contrats d’une estim
durée d’un an avec leurs clients Facteurs de succès avec
(14,1 % ont signé pour deux ans, pour d
et respect de
11,7 % pour trois ans et 22,4 % consei
pour plus de trois ans). On peut l’indépendance après
y voir une certaine prudence ou client
une difficulté pour certaines du DPO externe Comm
organisations à se projeter sur On peut se référer, sur ce le Dé
la fonction du DPO, son uti- sujet, à la Charte de déon- des d
lité et le choix d’organisation tologie du DPO, qui indique avec
(externalisation ou internali- que « le Délégué à la protec- deman
sation). En effet, la mission du tion des données externe accepte tient d
DPO externe peut permettre de sa désignation uniquement s’il la Com
préfigurer ce que sera la mise dispose d’un accès facile et sans nels. I
en place, à terme, d’un DPO condition au Responsable de strict
interne. Cela explique proba- traitement ou à son représen- les ac
blement le nombre important tant direct et un rattachement de tra
de désignations pour une durée au plus haut niveau de la hié- ses éc
courte. Ceci est à mettre en rarchie ; reçoit du Responsable contrô
perspective avec le fait qu’il faut de traitement les informations place
souvent plusieurs années pour et documentations suffisantes, un DP
espérer mettre en conformité pertinentes et fiables pour fon- loyale
un organisme qui découvre le der ses conseils, conclusions et CNIL
sujet. « Je n’accepte jamais une recommandations ; bénéficie d’un respec
mission sans avoir rencontré les accès facilité aux interlocuteurs, et règ
décideurs. Cet entretien sert surtout disposant des compétences et de protec
à orienter le plan de route : je n'ai l’autorité nécessaires, au sein de des se
pas la même approche selon que l’entreprise ». Le texte précise la con
le dirigeant vise une certification, que le DPO externe « se doit dans
la conformité ou une réduction de d’exiger du donneur d’ordres les toute p
ses risques » indique Alexandre moyens et ressources adéquats et à jour
Eloy, Membre AFCDP depuis nécessaires à la bonne réalisation pièces
2011 et DPO externe. de la fonction ou de la mission, et en
Certains coûts cachés peuvent et de notifier clairement et sans Comm
difficilement être facturés aux délai tout défaut sur ce point : les DP
clients, comme l’indique Thierry informations et documentations résiste
Roby, consultant RGPD, « tout est suffisantes, pertinentes et fiables et aux
plus compliqué pour le DPO externe, pour fonder ses conseils, conclu- à la pr
car il n'est pas physiquement sions et recommandations ; accès sensib
09/01/2020 10:00
ns
facilité aux interlocuteurs privi-
légiés, disposant des compétences
et de l’autorité nécessaires, dans
les différentes composantes de
l’entreprise ». Parmi les fonc-
tions clés avec lesquelles une
synergie devra être recher-
chée, figurent naturellement
le RSSI et/ou le DSI et le
Directeur juridique.
CDP. Pour Martine Ricouart-Maillet,
Administratrice de l’AFCDP,
c’est un sujet majeur : « plus
appelle que pour un DPO interne, un DPO
s inte- externe doit avoir l’écoute et le
. là où soutien des dirigeants pour pou-
ginent voir insuffler un rythme de mise
livrée en conformité, car, le prestataire
arrive n’étant pas présent en permanence,
signés les opérationnels ont tendance à
lement n’en faire qu’à leur tête et à leur
former cadence dès lors que l’on a le dos
ntamer tourné… Savoir s’imposer sans
vexer est tout un art. Il me semble
er, on dès lors que nous avons besoin
… « Je de faire des points d’étape avec
« tes- le responsable de traitement plus
écision fréquemment que le DPO interne ».
a CNIL
tection
Myriam Vallin, DPO externe,
exige qu'il y ait un chef de pro-
prend jet en interne qui soit son point
oir vu d'entrée au sein de l’entreprise :
et pris « il doit disposer d'une demi-jour-
t d’au- née, voire une journée par semaine
vitons à consacrer sur le sujet ».
dique Comme le DPO interne, le DPO
Jean- externe ne reçoit aucune ins-
tiliser truction dans l’exercice de sa
u DPO fonction et arrête seul les déci-
ion de sions s’y rapportant. Là encore,
terlo- la Charte de déontologie du DPO
r, nous est une référence : « le client
orts sur doit définir et faire connaître
même les mesures garantissant l’in-
« nous dépendance de son Délégué à la
en leur protection des données externe. Il
ospect, doit s’abstenir de toute ingérence
ormité et met le Délégué à la protection
résen- des données dans une situation
donne qui lui permet de fait d’assurer
ue plus cette indépendance ». Mais, si
avail- le DPO externe agit de manière
cas de indépendante, cette liberté ne
alors le signifie pas qu’il agit seul et
sans concertation. Ainsi, s’il
estime devoir prendre contact
ès avec la CNIL (par exemple
pour déposer une demande de
conseil), il est sain qu’il le fasse
après en avoir conféré avec son
client.
Comme son homologue interne,
ur ce le Délégué à la protection
déon- des données externe répond
dique avec diligence à toutes les
rotec- demandes de la CNIL et entre-
ccepte tient des relations loyales avec
nt s’il la Commission et ses person-
t sans nels. Il ne communique que le
ble de strict nécessaire concernant
ésen- les activités du Responsable
ement de traitement dans le cadre de
a hié- ses échanges avec l’autorité de
nsable contrôle. En cas de contrôle sur
ations place de la CNIL – et comme
antes, un DPO interne -, il collabore
r fon- loyalement à la mission de la
ons et CNIL en permettant, dans le
ie d’un respect des dispositions légales
uteurs, et règlementaires relatives à la
s et de protection de la vie privée et
ein de des secrets qu’elles protègent,
récise la consultation, immédiate ou
e doit dans les plus brefs délais, de
res les toute pièce réclamée, en version
uats et à jour. Il facilite la copie de ces
sation pièces par les agents de contrôle
ssion, et en informe son client.
t sans Comme les confrères internes,
point : les DPO externes doivent savoir
ations résister aux influences abusives
fiables et aux préjugés : « les Délégués
onclu- à la protection des données sont
; accès sensibilisés à toutes les influences
Cahier_interieur.indd 3
que peuvent essayer d’exercer
RÉPARTITION PAR STATUT d’autres parties intéressées sur
leur jugement, leur analyse et leurs
DES DPO EXTERNES conseils. Le principe d’objectivité
impose aux professionnels de ne
5,7 % 20 % 9 % 4,3 % pas compromettre leurs jugements
Cadre Dirigeant Employé Profession en raison de préjugés, de conflits
supérieur libérale d’intérêts ou d’autres influences
associé abusives » (Charte de déonto-
logie du DPO).
Quid de l’obligation
du RT d’assurer
la formation
de son DPO ?
Concernant les capacités du
prestataire à remplir la fonc-
tion de DPO externe, la Charte
de déontologie du DPO stipule
33,5 % que « le professionnel …/… s’inter-
24,7 % 2,8 % Profession dit de donner à ses clients potentiels
Cadre Travailleur libérale toute indication erronée quant à
non salarié indépendant sa capacité et aux moyens tant
humains que matériels dont il dis-
pose (capacité à assurer la mission/
NOMBRE DE PERSONNES TRAVAILLANT la prestation). Il accepte une mission
SUR LE RGPD ET LA CONFORMITÉ seulement s’il se juge compétent
pour le faire, ce qui signifie qu’il
AU SEIN DE STRUCTURES EXTERNES dispose des connaissances et des
ressources nécessaires afin d’exer-
18,4 % 43,7 % cer la fonction ou la mission dans les
2 pers. 1 personne meilleures conditions possible. Dans
les cas où il identifie une carence, il
en fait part à son interlocuteur pour
trouver les moyens d’y remédier,
notamment par un effort de for-
mation complémentaire ».
En clair, il n’est pas néces-
saire pour un client d’exiger
de son prestataire qu’il ait déjà
une connaissance parfaite de
son secteur d’activité et de ses
métiers, si cela est acté et que
le DPO externe y pallie rapi-
dement. C’est ce que confirme
Cendrine Cosquer, animatrice
11,9 % 7,8 % 11,4 %
du groupe de travail « AFCDP
3 pers. 6,8 % 5 pers. 6 personnes Martinique »  : « lors des premiers
4 pers. et plus contacts, certains clients essaient
de nous tester et de mesurer notre
connaissance de leur secteur d’ac-
TYPES DE STRUCTURES tivité et de leur métier. Il ne faut
DANS LESQUELLES EXERCENT surtout pas hésiter à avouer sa
méconnaissance ponctuelle et à
LES DPO EXTERNES faire part de son engagement à y
pallier pour être en mesure de réali-
Indépendant établi ser la mission. J’ai toujours constaté
26,19 % que la franchise paye et que la
loyauté est récompensée ». Un
Cabinet d’avocats autre professionnel abonde dans
7,14 % ce sens : « la gestion du temps est
un vrai casse-tête. Rapidement, mes
bonnes intentions selon lesquelles
Cabinet de grande taille (plus de 51 personnes)
je devais précieusement réserver
9,52 % du temps pour conserver ma com-
pétence et réaliser ma veille sont
Cabinet de taille moyenne (11 à 50 personnes) parties en fumée, sous la pression
des urgences clients et des impré-
10,48 %
vus. En fait, comme nombre de
consultants dans tout domaine, je
Petit cabinet conseils ( jusqu’à 10 personnes) complète ma formation principa-
29,05 % lement au fil de mes missions ».
À l’inverse, d’autres profession-
Autre nels préfèrent se concentrer sur
17,62 % un secteur, comme Myriam
Vallin qui accompagne une
vingtaine de clients, « ils sont
Données extraites de l'étude « Mettre en oeuvre
tous dans le même secteur d’ac-
le règlement général sur la protection des données » tivité – mais sans notion de
de la DGEFP (ministère du Travail) avec l'appui concurrence entre eux. C'est une
de l'Afpa, en partenariat avec l'AFCDP et la CNIL. niche dont je ne souhaite pas sor-
tir car j'ai bien conscience que c'est
Enquête en ligne réalisée entre février et avril 2019
ma connaissance de leur métier qui
auprès des DPO internes, internes mutualisés fait la différence ».
ou externes déclarés auprès de la CNIL,
soit 1265 répondants, distribués comme suit : Il est sage
• 859 DPO internes • 196 DPO internes mutualisés de prévoir la fin
par des responsables de traitement • 210 DPO externes
de mission
https://travail-emploi.gouv.fr/IMG/pdf Il est important de prévoir la fin
/resultats-enquete-dpd-dpo.2.pdf de mission. Un contrat avec un
DPO externe doit anticiper son
échéance et la transition avec
un successeur, fût-il concur-
rent. Des mesures concrètes,
notamment concernant la
restitution de tout document
dans un format directement
utilisable, et en particulier
du registre des traitements,
doivent être intégrées. Si le
registre est géré dans un outil
logiciel, un export vers un
format réutilisable doit être
prévu. La Charte de déontolo-
gie du DPO précise que « en fin
de mission, le Délégué à la protec-
GOUVERNANCE
tion des données externe s’engage
à remettre à son client tous les élé-
ments en sa possession relatifs à
sa mission. En sus, l’idéal et dans
la mesure du temps dont il dis-
pose à cet effet, est qu’il s’engage
à informer son éventuel succes-
seur sur les travaux en cours - cela
pouvant faire l’objet d’une fac-
turation si non prévu dans sa
prestation ». La confidentia-
lité, qui doit impérativement
figurer dans le contrat, s’étend
après la mission.
Au sein du contrat, il est sain
également de préciser des
conditions pouvant donner lieu
à une sortie anticipée (outre le
cas de non-respect des clauses
du contrat). Dans le cas d’un
contrat de service avec une
société, le remplacement d’une
personne en charge est souvent
une phase critique. Le nouvel
interlocuteur possède-t-il bien
les mêmes compétences et/ou
qualifications que son prédé-
cesseur ? Est-il « accepté »
par les collaborateurs ? C’est
ce que confirme Christine
Chappet, membre AFCDP et
ex-consultante RGPD : « quand
le DPO externe est une personne III
morale, le client a naturellement
tendance à s'attacher au consul-
tant qui a été désigné comme son
interlocuteur principal. Quand
ce consultant quitte le cabi-
net, les relations humaines sont
à reprendre totalement avec le
nouvel interlocuteur, en espé-
rant que le courant passe toujours
aussi bien entre la nouvelle tête
et l'entreprise. Même si la docu-
mentation est bien tenue, c'est
toujours un cap délicat à passer.
Cela peut mettre en danger le
contrat de prestation : cette phase,
qui peut être critique, doit être
menée avec une extrême atten-
tion et bien accompagnée par le
chef de mission ».
D’autres scenarii peuvent être
envisagés, comme une mise en
demeure ou une sanction de la
CNIL mettant en lumière des
recommandations erronées du
DPO… ou le refus du client de
suivre les conseils de ce der-
nier. Dans tous les cas, il vaut
mieux aborder sereinement ces
sujets délicats en début de pres-
tation, notamment pour éviter
les situations dans lesquelles
le responsable de traitement
s’imagine que la solution réside
dans un nouveau prestataire,
plus conciliant : « sans être un
salarié protégé, il est difficile pour
un dirigeant de se séparer de son
DPO interne… alors qu’il est si
simple de mettre fin à un contrat
avec un DPO externe, surtout si ses
conseils déplaisent » témoigne à
mots couverts un professionnel.
Autant de sujets qui sont débattus
entre professionnels concernés au
sein du groupe de travail « DPO
externes » de l’AFCDP. ❚
09/01/2020 09:59
 piliers
à la fo

« Le succès du DPO dépend

et la g
donc u
vailler
de con
seraie

de sa capacité à bien travailler

Le qu
ce son
nous a
des ju
nus a

avec tous les niveaux

faire a
spécifi

Quell
diffic

de l’organisation »
la réal
De qu
résolv
● C’es
tion a
rapide

José Alberto Rodríguez Ruiz, DPO de Cornerstone OnDemand.

SUITE DE LA PAGE I
CyberRisques : Dans un pre-
mier temps, pouvez-vous
revenir sur votre parcours
et sur la façon dont vous êtes
devenu DPO de Cornerstone ?
● José Alberto Rodríguez Ruiz:
Mon début de parcours fut assez
classique : ingénieur en infor-
matique avec début de carrière
chez Capgemini. La première
chose qu’on pourrait dire c’est
donc qu’on peut être informati-
cien et devenir DPO ! Dans mon
cas et pour résumer, l’informa-
tique m’a amené à participer à
des actions liées à l’architec-
ture et la sécurité (en particulier
IV lors des avant-ventes), puis les
questions liées à la protection
des données ont petit à petit
pris le devant, notamment à
partir de 2012 (quand le RGPD
a été proposé) et 2013 (suite
aux révélations de Snowden).
Je suis devenu le réfèrent pour
ces aspects chez Cornerstone, et
lors de l’approbation du RGPD en
2016, avec l’obligatoriété du rôle
de DPO, j’étais le bon candidat.
Aujourd’hui, je continue cette
évolution en devenant un spécia-
liste de la protection des données
pour l’intelligence artificielle.
En tant que DPO, quelles sont
vos principales missions au
sein de Cornerstone ? Quels
sont les enjeux et probléma-
tiques de l’entreprise en termes
de protection et traitement de
EXPÉRIENCE
nos clients nous font confiance
et nous nous devons de main-
tenir nos niveaux de protection
des données et de sécurité.
C’est un enjeu commercial, car
autrement nous ne pourrions
pas rester leader sur le marché.
Mais c’est aussi un enjeu éthique
car la protection des données et
le RGPD ne portent pas que sur
la protection des données, mais
sur la protection des personnes.
C’est très important et il faut le
dire et le redire : le RGPD est un
règlement sur la protection des
personnes physiques.
Nous aidons donc nos clients à
protéger leurs salariés et can-
didats. L’autre grand enjeu est
opérationnel. On doit à la fois
bâtir, maintenir et faire évo-
luer l’édifice de la conformité,
ce qui implique de réfléchir à
long terme tout en étant porté
par les évolutions rapides du
métier : RGPD, lois nationales,
lois émergentes dans des pays
tiers (Japon, Inde, USA par
exemple), avis et préconisa-
tions de la CNIL et des autorités
nationales des autres pays, juris-
prudence, lois connexes comme
e-privacy pour le marketing et
j’en passe, et gérer les demandes,
les questions et les urgences au
jour le jour. Nous devons tra-
vailler à la fois avec nos clients
et les départements internes de
Cornerstone. Nous ne travaillons
jamais isolément.
Quels sont vos principaux inter-
Cette transversalité est un des
grands défis du rôle du DPO.
Dès lors qu’on touche à la don-
née personnelle (et toutes les
entreprises le font, bien qu’à des
niveaux différents) il faut s’as-
surer de la conformité. D’autant
plus dans le cas de Cornerstone
car ce que nous faisons, c’est de
fournir des outils SaaS pour la
gestion des données person-
nelles. Mais plus spécifiquement,
nous travaillons en interne sur-
tout avec les équipes produit,
pour s’assurer de la conformité
rité tr
cruell
de la
Il faut
gogie
technico-managériales. Le DPO patien
est un hybride (certains diraient flexibl
un Frankenstein, bien que je tions p
pense que nous préférerions être c
nous voir comme des Jedi), d’où temps
l’importance d’avoir des profils rôle co
techniques (informatique, réseau, façon
sécurité) et juridiques (IT et pro-
tection des données) ayant tous Pouv
une expérience managériale et / votre
ou de service. ● Oh c
Le deuxième cercle est composé gestion
de nos juristes, pour la plupart jet, né
experts dans la protection des prése
données. Il s’agit quand même discus
des obligations règlementaires le man
à mettre en place et de contrats sûr, co
à négocier ! Ils fournissent une il y a t
expertise pointue et fondamen- Mais,
tale sur les lois et les contrats. tiers c
Le troisième cercle est composé en cou
des équipes métier, notam- ment
ment les équipes produit et les équipe
équipes sécurité (DSI/RSSI). métie
Nous avons des « privacy cham- tion à
pions » dans toutes les équipes,
mais les deux modèles d’ar- Sauf e
la contractualisation avec nos ticulation les plus importants avez a
clients car le RGPD impose des s’illustrent bien avec les équipes nique
mentions obligatoires au contrat. produit et la sécurité. Concernant venez
De ce fait et côté client, on inte- les équipes produit, nous les tique) 
ragit fondamentalement avec le avons formées aux principes empar
département RH (car c’est notre et obligations de la protection plus la
client), l’IT (qui porte la valida- des données, nous avons pro- tué de
tion technique), le juridique /DPO duit des recommandations et à nive
(parfois la protection des données des checklists et nous sommes foncti
fait partie du département juri- à leur disposition en mode « sup- ● Pas d
dique et parfois c’est une fonction port », pour les sujets pointus. un pu
à part) et les achats. Concernant la DSI, nous tra- dével
vaillons en coordination sur et che
Quels types de profils ren- les architectures, les certifica- inform
contre-t-on dans votre équipe ? tions, les aspects contractuels j’ai un

données personnelles ?
● Avec mes équipes, nous avons
quelque part trois métiers dif-
férents. Comme pour toute
entreprise, nous sommes respon-
sables de la conformité interne
pour nos propres données, ce
sont les données RH, marketing,
etc. Mais en tant que fournis-
seur SaaS dans le domaine RH,
nous sommes aussi responsables
locuteurs dans l’entreprise ? Vos
principaux interlocuteurs en
dehors de l’entreprise ?
● Presque tout le monde ! Et c’est
fondamental, le succès du DPO
et de la fonction « privacy »
dépend largement de sa capa-
cité à bien travailler avec tous
les niveaux de l’organisation.
générale du produit mais aussi
de la mise en pratique des prin-
cipes dit de « privacy by design
and by default », avec les équipes
sécurité (car la sécurité est un
principe fort de la protection des
données), avec le marketing, les
équipes commerciales, et le juri-
dique, notamment au niveau de
Et, en dehors de celle-ci, com- ou encore les discussions avec inform
ment s’articule votre fonction nos clients. Il faut voir que, dès d’abor
avec celle du DSI et du RSSI de qu’un système gère de la donnée croire
l’entreprise ? personnelle, toutes les considé- est av
● Nous fonctionnons par cercles, rations IT classiques (sécurité, avant
avec un premier cercle des experts disponibilité, performance, audit, les de
en protection des données (mon etc…) continuent de s’appliquer, ment
équipe), avec des profils opéra- mais, pour une bonne partie, profil
tionnels technico-juridiques et elles deviennent aussi des obliga- tié jur
tions réglementaires (la sécurité mais e
des données, l’accès aux données, métier

de la conformité externe, lors de
la gestion des données de nos
clients (pour l’essentiel les don-
nées des candidats et salariés).
Finalement, il faut bien expli-
quer et rassurer, justement, sur
cette conformité, ainsi que sur
la sécurité des données, ce qui
serait notre troisième métier.
C’est un métier opérationnel,
stratégique, et de pédagogie /
divulgation. L’enjeu principal est
à la fois éthique et commercial :
Son parcours
Ingénieur en Informatique par l’Universi-
dad Complutense de Madrid, puis diplômé
de l’ESSEC et du MSIT HEC/Mines,
José Alberto Rodríguez Ruiz débute à
Capgemini au poste d’ingénieur logiciel
pendant quatre ans. Il intègre Cornerstone
en 2009 en qualité de Technical Project
Manager EMEA et y exercera plusieurs
les analyses d’impact, etc…), et et une
donc le partenariat entre l’IT et En ef
la protection des données devient des p
postes jusqu’à devenir en mars 2016 Data fondamental. La fonction IT a établi
Protection Officer. Il est en outre ensei- tout à gagner à bien comprendre dique
le RGPD et devenir un parte- des tr
gnant au MBA RH ESA/HumanEase et est
naire stratégique pour sa mise (à 99%
auteur d’un thèse professionnelle à HEC en place. Je pense que le poten- donc,
sur la conformité RGDP des algorithmes tiel de la DSI à contribuer à la lier av
de machine learning. Il est un des dix conformité RGPD n’est pas encore dans
assez identifié. Par exemple, les impor
premiers DPOs à avoir eu la certification cartographies de systèmes ou les l’oubli
AFNOR/CNIL. catalogues des données sont des des do

Cahier_interieur.indd 4 08/01/2020 20:12

 piliers de la gouvernance, et ceci
à la fois pour la gouvernance IT
et la gouvernance Privacy. C’est
donc une opportunité pour tra-
vailler ensemble. Les politiques
de conservation des données
seraient un autre exemple.
r
Le quatrième et dernier cercle
ce sont les experts externes :
nous avons à notre disposition
des juristes externes recon-
nus auxquels nous pouvons
faire appel pour des questions
spécifiques.
Quelles sont les principales
difficultés rencontrées dans
la réalisation de vos missions ?
De quelle manière les abordez/
résolvez-vous ?
● C’est un métier en construc-
tion avec des évolutions très
rapides, des niveaux de matu-
rité très variables, et il manque
cruellement des professionnels
de la protection des données.
Il faut faire beaucoup de péda-
gogie et avoir beaucoup de
e DPO patience, se tenir à jour, être
raient flexible. Il faut trouver des solu-
que je tions pour avancer, surtout pas
erions être celui qui dit non tout le
), d’où temps. Je le dis souvent, mon
profils rôle consiste à trouver la bonne
éseau, façon de faire.
t pro-
nt tous Pouvez-vous nous décrire
ale et / votre journée type ?
● Oh c’est un mélange fou de
mposé gestion d’équipe, gestion de pro-
lupart jet, négociations contractuelles,
on des présentations commerciales,
même discussions stratégiques avec
taires le management, audits, et bien
ntrats sûr, comme bon informaticien,
nt une il y a toujours un feu à éteindre.
amen- Mais, plus sérieusement, deux
ntrats. tiers c’est la gestion des dossiers
mposé en cours, et un tiers le manage-
tam- ment (à la fois gestion de mes
et les équipes, travail avec les équipes
SI). métiers, stratégie et planifica-
cham- tion à long terme).
uipes,
d’ar- Sauf erreur de ma part, vous
rtants avez au départ un profil tech-
quipes nique (dans le sens où vous
ernant venez initialement de l’informa-
us les tique) ? Comment vous êtes-vous
ncipes emparé des sujets juridiques ? Et
ection plus largement avez-vous effec-
s pro- tué des formations, des remises
ons et à niveau dans le cadre de votre
mmes fonction de DPO ?
« sup- ● Pas d’erreur, j’étais (et je suis !)
intus. un pur produit Capgemini :
s tra- développeur puis consultant
n sur et chef de projet en services
tifica- informatiques, et à l’origine
ctuels j’ai un diplôme d’ingénieur en
s avec informatique. Cela dit et tout
ue, dès d’abord, nous aurions tort de
onnée croire que la fonction de DPO
nsidé- est avant tout technique ou
curité, avant tout juridique. Elle est
audit, les deux à la fois (apparem-
liquer, ment la moitié des DPO ont un
artie, profil technique et l’autre moi-
obliga- tié juridique, pour simplifier),
écurité mais elle est aussi une fonction
nnées, métier, une fonction stratégique
…), et et une fonction managériale.
l’IT et En effet, il s’agit d’appliquer
evient des principes de conformité
n IT a établis dans la loi (donc, juri-
rendre dique) ; lors de la réalisation
parte- des traitements des données
a mise (à 99% faits par des machines,
poten- donc, technique, en particu-
er à la lier avec l’avènement de l’IA) ;
encore dans un domaine précis (très
ple, les important car on a tendance à
ou les l’oublier ! donc métier : s’agit-il
nt des des données RH ? des données
Cahier_interieur.indd 5
de santé ? marketing ?) ; via la
mise en place de règles, de pro-
cédures, de bonnes pratiques
(donc, managériale) ; dans le
but de répondre aux objectifs de
son organisation (donc, straté-
gique). Un profil technique donc,
mais en effet, des compétences
complémentaires acquises par la
suite. Pour un profil technique, il
faut développer les compétences
juridiques, métier, managériales
et stratégiques. Pour un profil
juridique, il faut développer les
compétences techniques, métier,
managériales et stratégiques.
Pour un profil métier ou mana-
gérial, il faudrait développer
des compétences techniques et
juridiques. C’est peut-être plus
difficile, mais pas impossible.
Peut-être qu’en réalité 40% sont
des profils techniques, 40% des
profils juridiques, et 20% autres.
Pour beaucoup d’entre nous la
protection des données est une
vocation qu’on a découverte en
cours de route, et c’est ça la
motivation, le plus important !
De toute façon, nous sommes
dans une période où tout évolue
très rapidement et il faut se for-
mer en permanence et acquérir
des nouvelles compétences sans
relâche. On dit que les 10 postes
les plus recherchés n’existaient
pas il y dix ans, et que les 10
postes qui seront les plus recher-
chés dans 10 ans n’existent pas
encore. Oh ! Et devinez, selon
une étude LinkedIn, le poste
le plus recherché en France en
2019 ? DPO !! Je ne sais pas si
c’est exact que les 10 postes les
plus recherchés dans 10 ans ne
sont pas encore connus, mais je
dis sans doute que le DPO c’est
le mouton à 10 pattes. Pour reve-
nir à mon parcours, je me suis
formé régulièrement, d’abord
dans le management de projet
grâce à Capgemini, ensuite par
le biais d’une double compétence
en management (master execu-
tive en management à l’ESSEC),
puis de la formation continue.
J’ai ensuite fait des formations
courtes en protection des don-
nées RH, puis lors de la prise
de mon poste de DPO, un double
diplôme exécutive HEC / École des
Mines en management infor-
matique, le MSIT. Ce diplôme
(dont je suis maintenant membre
du bureau de l’association des
anciens élèves), assez unique
dans son genre, combine à la fois
les aspects managériaux, straté-
giques, techniques, et juridiques
IT et de protection des données.
Cela dit, il y a néanmoins deux
actions spécifiques de formation
que je fais en continu et que je
voudrais mettre en exergue :
premièrement j’ai lu la loi (le
RGPD, la loi informatique et
libertés, le code du travail car
je suis DPO spécialisé RH…) et
je continue à la (re)lire : c’est ma
boussole, mon compas. Il faut la
regarder souvent pour ne pas se
perdre. Deuxièmement, j’uti-
lise LinkedIn comme source de
« mises à jour », pour com-
prendre les nouveautés, les
évolutions, les avis des experts
ou être au courant des publica-
tions de la Cnil. Pour donner un
ordre de grandeur, je (re)regarde
les textes juridiques au moins
une fois par semaine et LinkedIn
presque tous les jours.
Vous avez obtenu la certifi-
cation DPO de l’Afnor agréée
par la Cnil, pourquoi ? Quelles
étaient vos motivations à l’ob-
tention de cette certification ?
Que vous apporte-t-elle ?
● Il y a deux questions concernant
les certifications : certification
oui ou non, et si oui, laquelle !
À la première question j’y crois
fortement, pour tout domaine,
après tout une certification c’est
comme un diplôme, une vali-
dation par un tiers, a priori
de confiance, d’un niveau de
compétence, d’expertise, de
capacité. Néanmoins il demeure
la question de « quelle certifica-
tion ? », il faut des certifications
pertinentes, reconnues, presque
difficiles à obtenir. Je suis de
l’avis d’avoir les « bonnes » cer-
tifications (ou diplômes…) plutôt
que d’en cumuler à tout va. À
noter qu’on parle ici des certi-
fications des personnes (versus
des certifications des processus
ou organisations). Mais dans le
domaine de la protection des
données, le RGPD impose l’obli-
gation de designer un DPO (article
EXPÉRIENCE
37) « sur la base de ses qualités pro-
fessionnelles et, en particulier, de ses
connaissances spécialisées du droit et
des pratiques en matière de protec-
tion des données, et de sa capacité à
accomplir les missions visées à l'ar-
ticle 39 » Ah ! Alors il faut prouver
qu’on a les bonnes compétences,
donc certes un CV peut suffire,
mais mieux vaut une (la) bonne
certification. Or, bien qu’il y avait
de nombreuses (et bonnes) cer-
tifications (« la certification » au
niveau international étant celle
de l’IAPP), il n’y avait pas de cer-
tification « officielle », comme
par exemple les certifications ISO
27xxx pour la sécurité, et moins
encore des certifications par les
autorités de protection des don-
nées, alors que maintenant le
RGPD le prévoit (voire l’encou-
rage), pour les personnes mais
aussi pour les organisations (il
ne faut pas oublier que dans le
régime « RGPD » il faut pouvoir
fournir la preuve de sa confor-
mité, une certification officielle
apparaîtrait dès lors comme
un des meilleurs moyens pour
le faire !). Donc ma motiva-
tion principale était d’avoir la V
« bonne » certification, à la fois
pour mettre en valeur mes com-
pétences au sein de Cornerstone,
et pour répondre à l’obligation
de Cornerstone de pouvoir four-
nir la preuve d’avoir choisi un
DPO conforme aux exigences du
RGPD. J’ai attendu pendant plu-
sieurs années l’apparition de la
première certification officielle
de DPO, puis ensuite j’ai été un
des 10 premiers à l’avoir. Il en
reste naturellement que, quand
on « vend » ses services de DPO,
une certification validée par la
Cnil est une très bonne carte de
visite, alors que quand on est déjà
DPO interne, il y a moins d’ur-
gence. Mais, ne vendons-nous
pas tous nos services en perma-
nence, que ce soit en interne ou
externe ?
Y a-t-il d’autres sujets en rap-
port avec votre fonction de DPO
que vous aimeriez aborder ?
● Oui ! Ma citation favorite de
Dark Vador : « En raison du RGPD
je ne peux plus vous dire si je suis
votre père ou pas ». On est un peu
passé d’un extrême à l’autre. Et
bien que sans doute la vérité est
ailleurs, cet ailleurs s’appelle « le
juste milieu ». On doit fournir
le niveau adéquat de protection,
et par ailleurs concentrer nos
efforts sur les données (et les
traitements de données) ayant
besoin d’un niveau de protec-
tion plus élevé. Autrement nous
risquerions de dévier des res-
sources, limitées et par ailleurs
précieuses, vers des missions
moins importantes. ❚
Propos recueillis
par Guillaume Périssat
08/01/2020 20:12
 California Consumer
de tran
verte)
jours.
jours s
deman

Privacy Act : un RGPD

mateu
des in
Ces do
usage
la sup
lemen

à la sauce américaine ?
soient
En eff
d’opp
mani
d’opt-
page d
de l’en
LEQUEL DES ÉNONCÉS SUIVANTS DÉCRIT LE MIEUX L'ÉTAT détaill
DE VOTRE CONFORMITÉ CCPA DE L'ENTREPRISE? en pla
my dat
CCPA seulement sans q
« disc
teur »
SUITE DE LA PAGE I 17 % 31 % 10 % 21 % 15 % 6 % l'un de

E
l’accès
n matière de protection personnelle brasse large ! Le CCPA + GDPR factur
et de confidentialité terme désigne « les informa- ou en
des données person- tions qui identifient, se rapportent lité de
nelles, les Etats-Unis à, décrivent, sont raisonnable- 14 % 25 % 8 % 16 % 16 % 21 % Il est e
font figure de mau- ment capables d'être associées à, prises
vais élève, en l’absence d’un ou pourraient raisonnablement être perso
véritable cadre national. 2020 liées, directement ou indirectement, Nous n'avons Nous travaillons sur Nous avons un plan mais n'avons teurs â
marquera-t-il la naissance d’un à un consommateur ou un ménage pas commencé notre plan préliminaire pas commencé l'implémentation l'adole
RGPD « made in US » ? Dans particulier ». Ce qui recouvre peu Pour l
ses prévisions pour cette nou- ou prou toute forme de données : Nous avons commencé L'implémentation Nous avons terminé et ans, le
velle année, Andre Durand, le nom, adresses postales et mails, l'implémentation est à un stade avancée sommes conformes au CCPA est re
CEO de Ping Identity, le croit pseudonymes, identifiants en tuteur
et pense que le Congrès améri- ligne, adresses IP, informations Sans surprise, les entreprises déjà soumises au RGPD se disent bien plus prêtes cemen
cain « devrait franchir le pas pour commerciales telles que les biens au CCPA que les autres. 21% d'entre elles se disent déjà conformes, fédéra
combler cette lacune et idéalement personnels, les produits ou ser- contre 6% de celles qui ne sont pas concernées par le RGPD. vie pri
prendre l’initiative de protéger non vices achetés, les informations fameu
seulement les données, mais aussi biométriques, les captations pourra
les identités numériques de tous les audios, les photos, les vidéos, QUELLE PROPORTION DE VOTRE PROGRAMME RGPD VOUS par le
Américains ». les activités en ligne, les infor- que pa
Un souhait motivé par l’entrée mations professionnelles…
ATTENDEZ-VOUS À UTILISER POUR LE CCPA ? Califo
en vigueur ce 1er janvier du CCPA, d’infli
VI ou California Consumer Privacy Un droit d’accès à 7 500
Act. Ce texte de loi, adopté par 33% fois le
l’Etat de Californie en juin 2018,
et de suppression 30% Entre 26 et 50% fautifs
introduit dans la législation En résumé, les citoyens et Entre 51 dans l
locale des dispositions offrant ménages californiens peuvent et 75% Sont
aux « consommateurs » cali- demander d’une entreprise entre
forniens un plus grand contrôle qu’elle leur fournisse les don- à but
sur leurs données personnelles, nées collectées les concernant, Califo
7%
leur collecte et l’usage qui en est les finalités commerciales de bruts
fait par les entreprises. cette collecte ainsi que la liste Moins de 25% dollar
Premier constat quant à cette loi complète des tiers auxquels ces dant l
17% 8%
inspirée de notre RGPD euro- données ont été « vendues » (au 1% d’au m
péen, la définition d’information sens large puisque toute forme Plus de 75% 3% Trop tôt pour teurs
Aucune
La totalité se prononcer moitié
annue
50% des entreprises concernées par le RGPD estime qu'au moins la moitié nées d
de leur programme de mise en conformité sera utilisée pour appliquer le CCPA. l’Etat.
l’entre
Califor
QUELLE SOMME VOTRE ENTREPRISE PRÉVOIT D'INVESTIR A note
de six
DANS LA MISE EN CONFORMITÉ AU CCPA EN 2019 ? sant a
CCPA seulement proch
confor
AILLEURS

Du côt
les cit
3 % 18 % 33 % 24 % 15 % 6 %
concer
assur
CCPA + GDPR breuse
dans l'
bablem
4 % 35 % 30 % 15 % 15 % 2 % auront
tout da
Entre 100 000$ Entre 500 000$ va pou
0$ Moins de 100 000$ aux d
et 500 000$ et 1 000 000$ modi
Entre 1 000 000$ Plus de queron
et 5 000 000$ 5 000 000$ Firefo
Califor

39% des répondants déjà prêts pour le RGPD investiront moins de 100 000 dollars Le C
pour leur mise en conformité au CCPA, quand 79% des entreprises soumises
con
uniquement au CCPA prévoient de dépenser des sommes à 6 chiffres minimum
pour être en règle. Evidem
parfa
Chiffres issus d'une étude de Dimensional Research pour TrustArc du gr
Andre Durand, CEO de Ping Identity. menée auprès d'un panel d'entreprises américaines et réalisée en février 2019. tions

Cahier_interieur.indd 6 08/01/2020 20:12

er
de transfert de données est cou-
verte) durant les 30 derniers
jours. Les sociétés ont alors 45
jours suivant la réception d'une
demande vérifiable du consom-
mateur pour fournir l’ensemble
une demande de suppression
d’informations, l’entreprise
concernée pourra répondre par
la négative dans de nombreux
cas de figure, si l’information
est nécessaire pour finaliser
entreprise peut également offrir
un prix, un taux, un niveau ou une
qualité de biens ou de services dif-
férents au consommateur si ce prix
ou cette différence est directement
lié à la valeur fournie à l'entreprise
personnelles à l’instar de notre
Cnil pour constater les infrac-
tions et engager des poursuites,
cette tâche échoit aux citoyens.
Soit ceux-là même qui bien sou-
vent acceptent les conditions
du California Consumer Privacy
Act a été mis sur les rails par
le législateur californien du fait
même de l’impasse dans laquelle
se trouvent les discussions sur
le sujet à l’échelle fédérale. Le

D
des informations requises.
Ces données personnelles, les
usagers peuvent en demander
la suppression, et peuvent éga-
lement s’opposer à ce qu’elles
soient partagées avec des tiers.
En effet, la loi prévoit un droit
d’opposition à la vente, qui se
manifeste par un dispositif
d’opt-out accessible depuis la
page d’accueil du site internet
une transaction, pour debug-
ger une fonctionnalité, pour
assurer la continuité du ser-
vice au consommateur, pour
détecter des incidents de sécu-
rité ou encore pour défendre la
liberté d’expression… Certains
ironisent sur ces exceptions,
évoquant plutôt un « droit à
espérer la suppression de ses don-
nées personnelles ».
par les données du consomma-
teur ». D’autant que le texte
autorise les entreprises à mettre
en place des programmes d’in-
citation surtout financière afin
de pousser l’individu à accepter
la collecte ou la revente de ses
données. Enfin, la loi elle-même
pose un problème d’applicabi-
lité, puisque la vérification de
son respect par les entreprises
d’utilisation et autres politiques
de confidentialité sans les lire.
Pourtant, si la loi californienne
recèle de nombreuses failles,
elle est sans doute à ce jour le
cadre le plus avancé en matière
de confidentialité et de protec-
tion des données aux Etats-Unis.
L’un des principaux arguments
de ses opposants portait juste-
ment sur l’inutilité de cette loi,
CCPA pourra-t-il faire bouger les
lignes ? Andre Durand explique
s’attendre « à ce que d’autres États
américains suivent et adoptent une
législation similaire » mais, plus
encore, « à ce que le gouvernement
fédéral, encouragé par le dévelop-
pement rapide des réglementations
sur la sécurité des données, prenne
l’identité numérique sous son aile,
en adoptant tout un ensemble de

AILLEURS
de l’entreprise. Ainsi, certains En outre, si la discrimination passe en grande partie par puisque seule une loi fédérale mesures de protection des données
AT détaillants ont d’ores et déjà mis d’un utilisateur qui exercerait les Californiens eux-mêmes : aurait un impact suffisam- des consommateurs ». ❚
en place un bouton « do not sell son droit est interdite, « une pas de gendarme des données ment significatif. Or le projet Guillaume Périssat
my data » sur leurs sites. Le tout
sans que l’entreprise ne puisse
« discriminer un consomma-
teur » lorsque celui-ci exerce
6 % l'un de ses droits en lui refusant
l’accès à certains services, en le
facturant à un taux plus élevé
ou en lui fournissant une qua-
lité de service inférieure.
Il est en outre interdit aux entre-
prises de vendre les informations
personnelles des consomma-
avons teurs âgés de 13 à 16 ans (sauf si
ation l'adolescent choisit de le faire).
Pour les enfants de moins de 13
ans, le consentement à la vente
CCPA est requis d'un parent ou d'un
tuteur, améliorant ainsi effica-
s cement la protection de la loi
fédérale sur la protection de la
vie privée des enfants en ligne, la
fameuse COPPA. Toute violation
pourra être poursuivie, aussi bien
US par le consommateur lui-même
que par le procureur général de
Californie, lequel est en mesure
d’infliger des amendes grimpant
à 7 500 dollars par violation. Une VII
fois leur infraction notifiée, les
0% fautifs ont 30 jours pour revenir
dans les clous.
Sont soumises au CCPA les
entreprises ou organisations
à but lucratif générant en
Californie des revenus annuels
bruts de plus de 25 millions de
25% dollars, collectant ou reven-
dant les données personnelles
d’au moins 50 000 consomma-
teurs californiens ou tirant la
moitié ou plus de ses revenus
annuels de la revente de don-
nées desdits ressortissants de
. l’Etat. Et ce quand bien même
l’entreprise n’est pas basée en
Californie, ni même américaine.
IR A noter qu’une période de grâce
de six mois a été accordée, lais-
sant aux sociétés jusqu’à juin
prochain pour se mettre en
conformité.
Du côté des bénéficiaires, seuls
les citoyens californiens sont
6 %
concernés. Néanmoins, Mozilla
assure que « puisque de nom-
breuses entreprises font des affaires
dans l'État, elles apporteront pro-
bablement des changements qui
2 % auront un impact sur les gens par-
tout dans le monde ». La fondation
0 000$ va pour sa part adapter Firefox
aux dispositions de la loi, des
00$ modifications qui « s'appli-
queront à tous les utilisateurs de
Firefox, pas seulement à ceux de
Californie ».

ars Le CCPA aisément

s
contournable
m
Evidemment, le CCPA n’est pas
parfait, du fait notamment
du grand nombre d’excep-
9. tions qu’il contient. Ainsi, à

Cahier_interieur.indd 7 08/01/2020 20:12

 DPO, combien de divisions ?
Les premières enquêtes sur la fonction de DPO arrivent tout juste et si l’on 297 sur la même période en 2017.
L'AFCDP précise avoir recensé
commence à connaître leur profil, l’Observatoire du métier de DPO vient sur l'année pleine 850 publica-
nous fournir quelques informations supplémentaires sur leur recrutement. tions d’offres, mais estime qu'il
ne s'agit là que de la partie émer-
organisations avaient désigné
un CIL. Sont inclus 5 000 corres-
pondants externes ou mutualisés,
susceptibles de servir plusieurs
organismes.

E
n 2018, le cabinet d’études
Robert Half estimait que le
poste le plus recherché par
les entreprises sur la période 2018-
2019 serait celui de Chef de projet
RGPD/DPO, devant Data Analyst et
Developer Web. Et LinkedIn place
dans son tout premier rapport sur
les métiers les plus recherchés en
France la fonction de DPO en tête.
Aucun chiffre détaillé n’est donné
dans cette étude, qui s’appuie sur
les taux de recrutement et de
croissance annuelle des métiers
à partir des données publiquement
accessibles sur le réseau profes-
sionnel, et ce pour une période
s’étendant de 2015 à 2019. « Une
profession qui connaît une véritable
explosion depuis 2015, avec des effec-
tifs multipliés par 32 en France »
écrit LinkedIn.
850 DPO recrutés
cette année
Ces prédictions et études, l’AFCDP
vient les enrichir d’un Observatoire
du métier de DPO, publié début
novembre. L’association française
des correspondants à la protection
des données personnelles se fonde
sur les offres de postes publiées
en ligne ces douze derniers mois,
gée de l'iceberg. La cooptation, le Parmi les autres résultats de cet
bouche à oreille, les candidatures Observatoire, l'AFCDP note que
spontanées et autres voies non la majorité des contrats propo-
NOMBRE D’OFFRES D’EMPLOI publiques et non en ligne repré- sés sont des CDI (74% en octobre)
DÉTECTÉES DE MARS À OCTOBRE 2019 senterait 70% du marché total de dans le secteur privé (80% des
l'emploi, selon l'association. Ce offres) en Île-de-France (71,2%).
100 EN FRANCE marché caché porterait alors l'en- Pour l'heure, l'association ne
83 semble des recrutements à 2 800 mentionne pas dans son rapport
79 77 80 sur l'année. Sur les 850 embauches les niveaux de rémunération. Pour
80 74
repérées, 15% correspondent à des chaque poste senior, 2,6 postes
67 64
postes de DPO désignés auprès de de junior sont créés en moyenne.
59
60 55 52 la Cnil. Soit 420 délégués à la pro- « Les DPO étoffent leur équipe en
46 tection des données personnelles embauchant de jeunes talents »
en 2019, si l'on applique ce pour- écrit l'AFCDP. Une affirmation
40 34 centage à l'ensemble du marché qui contraste avec certains résul-
26 estimé par l'AFCDP. tats de l'enquête menée par l’AFPA
20 17 31 (Agence nationale pour la forma-
20 Enfin des équipes ? tion professionnelle des adultes),
Tout cela est à rapprocher des à laquelle l'AFCDP a également
chiffres de la Cnil. Au dernier participé. Il ressortait de cette
Mars Avril Mai Juin Juil. Août Sept. Oct. comptage, le gendarme des don- étude dont la synthèse a été pré-
nées personnelles dénombrait plus sentée en juin dernier lors de la
2019 2017
de 60 000 organismes dotés d'un conférence « Vive le DPO » que les
Offres publiées sur Internet (marché ouvert) et proposées en DPO, ce qui représente environ trois quarts des DPO travaillent
France représentant en année pleine 850 publications par an. 23 000 délégués au total. On peut seuls. Et seuls 3,80% d'entre eux
logiquement en conclure qu'une disposent d'une équipe de trois
recensant celles en rapport avec s’appuie sur des sources plus larges grande majorité des désigna- personnes ou plus. Cette vague
la protection des données person- que son seul job board, puisqu’elle tions de délégués à la protection de recrutements observée cette
nelles. A vocation semestrielle, cet reprend les « offres publiées sur des données a été effectuée en année implique-t-elle que les
Observatoire est lié au job board Internet [...] et proposées en France ». interne, notamment sur la base directions générales commencent
mis en place par l’AFCDP per- Selon l'enquête menée par l'asso- des CIL existants, sans passer par à saisir les enjeux de la protec-
mettant aux employeurs et aux ciation, 567 offres pour des postes le biais du recrutement de per- tion des données personnelles et
futurs DPO employés de publier en lien avec la protection des don- sonnes extérieures. Au 23 mai à donner les moyens à leurs DPO
et consulter offres et CV. Ici, à nées personnelles ont été publiées 2018, selon les chiffres rendus d'accomplir leurs missions ? ❚
en croire l’AFCDP, son enquête entre mars et octobre 2019, contre publics par le régulateur, 19 534  G. P.

VIII

« 68 880 organismes
T RI
B

ont désigné auprès UN

E
de la CNIL un délégué »
Par Albine Vincent, cheffe du service des délégués
à la protection des données de la CNIL
OBSERVATOIRE

Le délégué à la protection des données (DPD ou DPO pour data protection
officer) est l’acteur au cœur de la conformité du règlement européen sur la
protection des données (RGPD).
Son rôle est d’informer et de conseiller l’organisme qui
le désigne, de contrôler le respect de la règlementation
en matière de protection des données. Il est également le
point de contact pour les personnes dont les données sont
traitées par l’organisme et l’interlocuteur privilégié de la
CNIL. Sa désignation est obligatoire pour :
- les organismes publics (universités, hôpitaux, collec-
tivités territoriales par exemple),
- les organismes dont les activités de base les amènent
à réaliser un suivi régulier et systématique des per-
sonnes à grande échelle,
- les organismes dont les activités de base les amènent
à traiter à grande échelle des données sensibles ou rela-
tives à des condamnations pénales et infractions.
En outre, la désignation d’un délégué est encouragée car
elle permet de confier à un expert l’identification et la
coordination des actions à mener en matière de pro-
tection des données.
Les organismes peuvent désigner un délégué interne ou
externe à leur structure. Le délégué peut par ailleurs
être mutualisé c’est-à-dire désigné pour plusieurs orga-
nismes. La mutualisation permet, par exemple pour les
collectivités territoriales ou les PME, de limiter les coûts
et de bénéficier de professionnels disposant des com-
pétences et de la disponibilité nécessaires.
Il n’y a pas de profil type du délégué qui peut donc être
une personne issue du domaine technique, juridique
ou autre. Toutefois, il doit être choisi sur la base de ses
connaissances du droit et des pratiques en matière d’ap-
plication du RGPD.
Par ailleurs, les organismes doivent fournir à leur
délégué les ressources nécessaires à ses missions
(notamment l’associer aux projets de traitements de
données, lui fournir le temps nécessaire à ses missions
et lui permettre de se former régulièrement).
Le délégué doit rendre compte au niveau le plus élevé de la
hiérarchie de l’organisme. Il doit également être en mesure
d’exercer ses fonctions et missions en toute indépendance.
Cette condition signifie que le délégué bénéficie d’une liberté
dans les analyses et actions qu’il décide d’entreprendre, et
qu’il ne doit pas recevoir d’instruction dans l’exercice de
ses missions. Il ne peut pas faire l’objet d’une sanction du
seul fait de leur accomplissement. Enfin, le délégué doit
être à l’abri des conflits d’intérêts. Cette condition consti-
tue une garantie d’indépendance importante en évitant au
délégué d’être « juge et partie ». Ainsi, s’il exerce d’autres
fonctions, elles ne doivent pas le conduire à décider des
finalités et/ou des moyens des traitements de données mis
en œuvre par l’organisme.
Les lignes directrices du CEPD précisent que le DPO
n’est pas responsable en cas de non-respect du RGPD.
Cette responsabilité incombe à l’organisme et ne peut
être transférée au délégué par délégation de pouvoir.
Au 6 janvier 2020, environ 68 880 organismes ont dési-
gné auprès de la CNIL un délégué, représentant environ
22 000 personnes physiques ou morales désignées.
La CNIL dispose d’un service dédié qui a pour rôle de
fédérer et d’animer les réseaux de délégués, de réguler
l’écosystème de ce nouveau métier et de les accompa-
gner dans leurs missions. ❚

Cahier_interieur.indd 8 08/01/2020 20:12

 SecNumCloud,
politique de gestion des risques,
contrôle des accès, séparation
des environnements de dévelop-
pement, de test et de production,
relations avec les tiers, conti-
la phase d'audit ». 3DS Outscale
a historiquement inscrit les
référentiels de qualité, les
procédures et les certifications
dans sa culture d’entreprise et

référentiel de confiance
nuité de services, etc. « Sur la
partie sécurité physique, nous avons
dû faire des travaux, pour séparer
la partie production ou installer des
portiques à l’entrée des bureaux
C’est en décembre 2016 que la qualification SecNumCloud a connu par exemple. Sur la partie proces-
sus opérationnels, nous avons tout
sa première version « applicable ». Depuis, seules deux entreprises revu et adapté, de l’IT au support.
ont reçu de l'Anssi ce précieux sésame : Outscale et Oodrive. Le Quant au juridique, la qualifica-
tion prévoit un modèle de contrat
FIC 2020 a été l’occasion de revenir sur l’obtention de cette quali- spécifique ».
après la prise de contrôle par
Dassault Systèmes, la nouvelle
maison mère a confié au four-
nisseur de cloud la mission
de servir le secteur public. De
fait, les audits documentaires
n’ont pas présenté de difficultés
particulières. « Sur la partie opé-
rationnelle cependant, nous avons
dû faire des modifications pour
nous conformer à ces contraintes

CONFORMITÉ
opérationnelles, aux obligations en
fication et ce qu’elle implique. Un long processus termes d'accès et de chiffrement ».

E
n janvier 2019, Oodrive
obtenait la qualification
SecNumCloud. Presque
un an plus tard, c’était
au tour d’Outscale de
voir une de ses régions quali-
fiées par l’Anssi. Le processus
d’obtention a pris du temps : le
référentiel est applicable depuis
fin 2016. Et pourtant, malgré la
longueur du processus, ils sont
encore une poignée à encore can-
didater : IDnomic, Worldline,
OV H ou encore Che ops. A
entendre les témoignages d’Oo-
drive et d’Outscale, on comprend
aisément pourquoi. « C’est la pre-
mière fois que les clients ont une
qualification qui les rassurent vrai-
ment, car très difficile à obtenir »
nous explique Edouard de Rémur,
directeur général et co-fondateur
d’Oodrive.
Un bénéfice
business
L’entreprise a d’ores-et-déjà
signé des contrats avec quatre
OIV et les discussions sont
en cours avec une quinzaine
d’autres. Même entrain du côté
Puisque la qualification com-
d’Outscale, dont la directrice du conscience qu’elles ne peuvent
de validation porte des enjeux organisationnels
développement, Servane Augier, pas tout stocker chez des acteurs Cette convention de service fait lourds, Outscale a décidé de
cite parmi les effets bénéfiques qui ne sont ni souverains, ni de partie des exigences supplé- ne faire qualifier qu’une seule
de la qualification le fait que le confiance ». mentaires de l’Anssi et s’avère, région, celle dédiée au secteur
fournisseur de cloud « commence Oodrive a été le premier à du moins dans le référentiel, public et aux OIV, « pour éviter
à gérer des appels entrants ». obtenir la qualification, après extrêmement contraignante de faire porter l’impact sur l’en-
Soit des clients qui viennent « environ trois ans de boulot ». pour le prestataire, allant de la semble de nos régions » précise
sans avoir été prospectés par « Nous avons été les premiers, de localisation des données à une sa directrice du développement.
les équipes commerciales en ce fait nous avons un peu essuyé les clause de réversibilité. Edouard Malgré l’obtention toute récente
amont; ce qui traduit « un besoin plâtres » nous confie Edouard de de Rémur résume : « à travers les de SecNumCloud, Outscale compte
fort ». « Il y a une vraie demande Rémur. SecNumCloud couvre, neuf audits, il a fallu faire évoluer déjà des clients sur cette région,
aujourd’hui pour ce type de solu- rappelons-le, des exigences dans le produit, ce qui a demandé un puisque dans le cadre de ses
tions, abonde Edouard de Rémur. de nombreux domaines. Sécurité investissement important. D’autant audits l’Anssi demandait des
Les grandes entreprises prennent physique et environnementale, que l’évaluation de la partie SaaS tests clients avec une convention
est beaucoup plus lourde que celle de service “conforme au référen-
du IaaS, puisqu'on doit qualifier tiel SecNumCloud” afin de valider
non seulement l'hébergement, les process. « Dès la qualification,
SecNumCloud, c’est quoi ? mais aussi l’applicatif. Ensuite, au
niveau commercial, nous avons dû
nous avons signé des clients, aussi
bien des OIV privés que des admi-
évangéliser ». nistrations publiques » assure
Connu dans un premier temps sous le nom « Secure Du côté de 3DS Outscale, le pro- Servane Augier, pour qui cette
Cloud », SecNumCloud est le référentiel de confiance attri- cessus a été moins long, « un qualification vient « conforter le
bué par l’Anssi pour les fournisseurs de cloud, IaaS, PaaS et peu plus de 18 mois ». Un délai positionnement qu’Outscale a depuis
SaaS compris. Son obtention passe par un lourd processus dû notamment, selon Servane sa création : celui d’un cloud d’hy-
d’audits documentaires et techniques, vérifiant le respect
Augier, au petit nombre de per-confiance ». En témoignent les
sociétés capables de faire passer certifications obtenues de même
d’exigences du point de vue de la sécurité physique des les audits et au faible nombre que SecNumCloud. « Aujourd'hui
datacentres et des équipements, à celle de la stack logi- de leurs consultants ayant le premier concurrent de nos offres
reçu l'agrément de l'Anssi. S’y c'est l''IT interne : pour faire sortir 19
cielle, des réseaux de communications, du chiffrement, des
ajoutent « des sujets techniques vers le cloud, la clé de voûte c'est la
process juridiques et RH ou encore de la protection des et opérationnels à régler après confiance ». ❚
données personnelles. avoir passé les premiers jalons de Guillaume Périssat

Un pont entre DSP2

la démarche plus loin encore, en décrochant
en février la certification ISO 27001 auprès de
LSTI sur le périmètre de ses services DSP2.
« Une première européenne » souligne Linxo.
De fait, l’obtention de cette certification est

et ISO 27001
logique puisque dans l’élaboration en 2017
de ses lignes directrices sur les risques et
mesures de sécurité liés à la DSP2, l’Autorité
Bancaire Européenne, ou ABE, s’est large-
ment appuyée sur la norme ISO.

Quel peut bien être le rapport entre une directive européenne L’authentification,
sur les services de paiement et une norme internationale sur sujet central
la gestion de la sécurité de l’information ? Linxo, fintech aixoise Linxo explique néanmoins que suivre les
lignes directrices de l’ABE n’était pas suf-
rachetée en début d’année par le Crédit Agricole, fait le lien en fisant à ses yeux. « L’intérêt de la certification
obtenant la certification ISO 27001 pour ses services DSP2. pour nous est de se mettre au niveau d’exigences
que suppose son obtention, au-delà des recom-

E
n septembre dernier entrait (enfin) en vigueur la
directive UE 2015/2366, dite DSP2 pour directive
sur les services de paiement 2. Celle-ci adapte
le cadre réglementaire européen aux évolutions
technologiques, essor des fintechs en tête, en
formalisant deux nouvelles activités auxquelles les établis-
sements financiers doivent permettre l’accès aux données
des comptes de leurs clients.
On trouve ainsi les initiateurs de paiement, qui trans-
mettent pour le compte et au nom de l’utilisateur des
ordres de paiement à la banque dans laquelle ledit utili-
sateur à un compte, et les agrégateurs, qui fournissent à
l’utilisateur titulaire de plusieurs comptes dans plusieurs
établissements un tableau de bord centralisé des données
de ces comptes.
Si les fintechs n’ont pas attendu la DSP2 pour lancer ce type
de services, la directive européenne vient établir un mode
d’accès aux données en vertu duquel les banques doivent
mettre à disposition de ces acteurs une API standardisée et
sécurisée, plus fiable et sécuri-
sée que le web scrapping, soit
le renseignement par l’uti-
lisateur de ses informations
d’authentification.
En effet, la sécurité est l’un
des principaux éléments de
cette directive, qui oblige notam-
ment le recours à l’authentification forte du client pour
les opérations en ligne et à sécuriser les API d’accès à
leurs données bancaires.
Oxlin, l’établissement de paiements de Linxo Group, a
récemment fait parler de lui sur le sujet. Car outre le rachat
de Linxo en janvier par le Crédit Agricole, Oxlin a obtenu
l’agrément de l’Autorité de contrôle prudentiel et de réso-
lution en tant que Prestataire de Services d’Initiation de
Paiement et s’est enregistré, toujours auprès de l’ACPR,
au titre de Prestataire de Services d’Information sur les
Comptes (ou agrégateur). Mais l’entreprise aixoise a poussé
mandations de l’ABE, et de montrer qu’il y a un
réel engagement à tous les niveaux de l’entre-
prise » nous explique Christophe Martins, le
directeur général de Linxo. Attention cepen-
dant car les guidelines de l’ABE ne sont pas
ses Regulatory Technical Standards, qui vont
pour leur part concerner la sécurité des API
et surtout cette authentification. « ISO 27001
porte sur le process d’amélioration continue de la
sécurité, c’est un niveau de base sur la sécurité. Un début, mais
qui n’indique pas un niveau de sécurité des moyens d’authen-
tification » nous explique Guillaume Despagne, CEO et
cofondateur d’AriadNext, spécialisée dans l’identifica-
tion à distance et qui développe une solution d’identité
numérique. Or sur cette question de l’authentification, les
discussions sont toujours en cours puisque, pour l’heure,
Linxo « utilise les technologies fournies par les établissements
teneurs des comptes » indique son directeur général. « L’ABE
ne nous a pas encore donné l’autorisation pour le moment de
gérer nous-mêmes cette authentification ». ❚ G. P.

CONFORMITE_DSP2-SECNUMCLOUD.indd 19 13/03/2020 17:54


« L'arrivée de la 5G démultiplie
les risques liés à l'IoT »
Jean-François Beuze, Président de la société de conseil Sifaris.
Vous cherchez actuellement à
attirer l’attention sur les risques
liés à la 5G ? Qu’en est-il ?
● Jean-François Beuze : Dès
cette année, nous sommes
engagés dans une course au
déploiement de la 5G. Or, cette
arrivée de la 5G soulève de fortes
préoccupations en termes de
cyberattaques. A ce jour, cette
technologie présente de nom-
breuses problématiques de
sécurité. Une réunion organisée
au niveau de l’Union européenne
au mois de mars 2019 faisait déjà
état de ces préoccupations. Cette
5e génération sera encore plus
rapide que la précédente, mais
elle reprend malheureusement les
défauts des anciennes générations
3G et 4G. Des failles de sécurité
qui n’ont pas encore été corri-
gées sur la 4G ont été reportées
sur la 5G. Une équipe de cher-
cheurs américains affirme avoir
déjà découvert 11 failles sur ce
nouveau réseau !
En quoi consistent ces failles ?
20 ● Ces 11 fa i l les e x istantes
laissent filtrer la localisation,
LolBins : comment les hackers retournent
vos outils contre vous
Exploitant des LolBins, outils système on ne peut plus légitimes
tel PowerShell, les attaques "fileless" sont difficilement détec-
tables... du moins avant qu'il ne soit trop tard.
L
es LolBins ne prêtent pas
vraiment à rire. Lol est ici
l’acronyme de living-off-
MENACES
the-land, guère traduisible dans
la langue de Molière : par LolBin,
on entend des binaires, souvent
des outils système, normalement
utilisés à des fins tout à fait légi-
times mais pouvant être détournés
par des attaquants. On parle éga-
lement de LOLLibs, qui utilisent
des bibliothèques et LOLScripts,
qui utilisent des scripts. Macros
sur Windows Office, PowerShell,
wscript.exe, cscript.exe, Windows
Management Instrumentation
(WMI), autant d’outils pré-instal-
lés sur les machines, fréquemment
utilisés et de confiance… qui
peuvent pourtant être exploi-
tés par des acteurs malveillants.
Et n’allez pas croire que seuls
les appareils sous Windows sont
affectés : des exécutables pouvant
être détournés de leur fonctions
premières, on en trouve depuis
MENACES_ITW_SIFARIS-LOLBINS.indd 20
les conversations télé-
phoniques, les SMS, la
navigation Web. Mais ce
ne sont que quelques-unes
des vulnérabilités connues
aujourd’hui. L’Union euro-
péenne en est consciente :
nous allons déployer un
réseau 5G déjà truffé de
vulnérabilités tout en
sachant qu’un très grand
nom br e d’o bj e t s Io T
(Internet of Things) vont
se connecter...
Google Home, Amazon
Echo et HomeKit sont
concernés ?
● Les appareils sous
Android ou iOS sont bien évi-
demment concernés. Déjà
aujourd’hui, j’aime à dire que
je préfèrerais perdre ma carte
bleue que mon téléphone. Parce
que dans mon téléphone - je
le considère comme un objet
connecté parce qu’il est connecté
à la 4G, - il y a énormément de
données importantes : les dif-
férentes cartes bleues, les codes
d’accès Paypal et ce genre de
les premières versions de DOS,
sous Mac ou encore sous Linux.
En résumé, personne n’est à l’abri.
L’utilisation de ces LolBins dans
des attaques n’est pas récente. Sam
Curry, Ciso de CyberReason, nous
explique que ces méthodes sont
employées « depuis des décennies ».
« Néanmoins, les choses se sont accé-
lérées ces deux dernières années, dans
un espèce de darwinisme : les « bad
guys » s’adaptent et puisqu’ils ont
plus de succès en exploitant des pro-
grammes qui sont déjà installés, ils
enrichissent leurs boîtes à outils ».
Nous ne vous apprenons rien, la
cybersécurité est une course entre
attaquants et défenseurs. Et alors
que les techniques de détection
se développent, les acteurs mal-
veillants ont trouvé une parade :
l’attaque « fileless ». Ou malware
« fileless », une appellation
paradoxale sachant que ce type
d’attaque se passe de programme
malveillant à installer.
choses. Demain, les opérateurs
vont disposer d’une plateforme
adéquate pour délivrer de la 5G
pas seulement aux smartphones
mais à tous les objets connec-
tés de la maison : ampoules,
fours, réfrigérateurs, détec-
teurs d’inondation, etc. Il en
est de même pour les comp-
teurs électriques connectés de
la maison, comme le Linky. Déjà
en 2020, on estime qu’il y aura
Lors d’une attaque tradition-
nelle, un programme malveillant
est téléchargé et installé sur la
machine cible et va ensuite exé-
cuter diverses actions. Dans
ce genre de situation, un anti-
virus classique, habituellement
la première ligne de défense
d’une organisation quelconque,
se charge d’analyser les signa-
tures de fichiers sur le disque,
« Il n’y a rien
d’intrinsèquement
défectueux dans
des outils tels que
PowerShell, ils sont
simplement hijackés »
Sam Curry,
Ciso de CyberReason.
Le dan
nivea
● Pas
pirate
duire
votre
vos m
Quid d
breux
d’ores
ou à d
● Elles
répété
la pre
l’Ether
n’avez
nécess
plus de 50 milliards d’ob- de points d’entrée potentiels. embar
jets connectés (IoT) dans Que ce soit dans la base logi- net n’e
le monde, en comptant les cielle, les failles de sécurité, etc.
bornes d’Amazon, Google Quand
et Apple. Cela concerne C’est le logiciel de la 5G qui par la
aussi des objets plus inat- pose problème ? tage s
tendus comme les pompes ● Oui, totalement. On est toujours ● La c
à essence qui deviennent dans cette dynamique de dévelop- sécuri
une des sources de pira- pement rapide. On n’est pas dans se tro
tage informat ique. une dynamique de développement fourni
Comme avec tout objet sécurisé. Ils favorisent le DevOps que l’a
connecté, on n’aura pas (développement opérationnel) plu- de fair
besoin de payer via une tôt que le DevSecOps (démarche routeu
carte physique, on pourra qui intègre la sécurité dans la soit ch
le faire à distance. conception du développement).
Est-ce
Quelle est la position de Quel genre de risque se pro- dans l
l’Union européenne sur file à l’horizon pour l’usager ? europ
ce sujet ? ● La 5G va inciter de nom- der la
● L’Union européenne a man- breux fournisseurs à développer ● Hélas
daté chaque pays membre en vue toujours plus d’IoT, tout en n’ap- Etats-U
d’établir un rapport sur les exi- pliquant pas forcément cette être dé
gences en matière de sécurité conception du DevSecOps. Du on se d
applicables au niveau des four- coup, si votre opérateur télécoms suite ».
nisseurs. Ils voulaient avoir une vous propose la 5G, vos objets europ
évaluation des risques, ainsi que connectés - ballon d’eau chaude, indiqu
les mesures à prendre. Le rap- four, réfrigérateur, ampoules - 2025, 2
port établi en fin d’année 2019 récupèreront suffisamment de pas ne
sur le déploiement de la 5G parle données pour permettre d’éta- chit pa
clairement des risques d’at- blir un profilage des personnes on fait
taques, avec des multiplications vivant dans la maison. sous la
télécha
Emote
pecté d
contre
recour
lorsqu’il est notifié d’une nou- d’exploitation afin d’effectuer Comm
velle écriture, de sorte à détecter diverses actions malveillantes, et s’e
des programmes suspects et com- allant de la livraison de payloads peu d
parer leur signature à une base à l’escalade de privilèges. Ciso d
de malwares connus. En cas de rité de
correspondance, pof, mise en qua- Des outils qui ne sont p
rantaine, le virus est mis en échec.
sont pas en cause ter un
Du côté des attaques fileless,
il s’agit de contourner cette Pour autant, « il n’y a rien d’intrin-
comm
lyste h
défense. Appartenant à la catégo- sèquement défectueux dans des outils trouve
rie des LOC, pour low-observable tels que PowerShell » explique ne sac
characteristics, ce type d’at- Sam Curry. « Ils sont simplement où che
taque furtive va échapper à la hijackés ». Pour pénétrer dans les exemp
détection de la majeure partie systèmes visés, les attaquants ont vos ma
des outils classiques de sécurité recours à des techniques clas- outils,
en ce qu’elle ne se présente pas siques : phishing, force brute, ajout
sous la forme d’un exécutable ni exploit de vulnérabilités exis- Cyber
ne s’installe sur le disque : elle tantes… et une fois la tête de pont nemen
vient exploiter des processus, établie, il ne reste plus à l’atta- de télé
scripts ou librairies totalement quant qu’à capitaliser sur des venir e
légitimes intégrés au système outils présents par défaut sur qui dé
n’importe quelle machine. tion d
A en croire une étude de Symantec, de sign
entre 2017 et 2018, l’exploita- de bo
tion à des fins malveillantes de soluti
PowerShell a explosé, une aug- derni
mentation de 661%. L’année compo
passée, plusieurs campagnes ne pe
d’envergure ont eu recours à des attaqu
attaques « fileless », à l’instar de perm
Soft Cell, qui ciblait des opéra- ter la
teurs télécoms et qui employait a cond
WMI pour se latéraliser, ou encore éviter
une vague d’infections qui utili- less »
sait des macros pour exécuter des le pré
commandes PowerShell, lesquelles des an
13/03/2020 17:52
 Le danger serait avant tout au
niveau de la surveillance ?
e
● Pas seulement. Avec la 5G, un
pirate pourrait fort bien intro-
duire directement un virus sur
votre box et contaminer toutes
vos machines.
Quid des bornes 4G que de nom-
breux opérateurs proposent
d’ores et déjà aux entreprises
ou à des particuliers ?
● Elles ont des failles qui ont été
répétées sur la 5G, en raison de
la pression économique. Même
l’Ethernet est concerné : si vous
n’avez pas mis en place les outils
préfère déployer. Nous devons aller
vite parce que d’autres pays sont en
train de s’équiper de la 5G, et nous
risquons alors d’être en retard. Et
donc, les IoT pourront se connec-
ter encore plus facilement, plus
massivement, sur le réseau de
cette 5ème génération. La rapidité
constituait une barrière. Elle saute
aujourd’hui ce qui fait qu’un grand
nombre d’objets connectés pourront
se brancher directement sur cette
nouvelle technologie.
Que faut-il faire ? Refuser la 5G
tant que ces failles n’ont pas été
corrigées ?
Qui est Sifaris ?
Sifaris est une société spécialisée dans à incident, re-médiation et sensibilisation,
le domaine cyber, particulièrement dans ainsi que formation à la cyberattaque, pour
l’audit d’intrusion (pen testing). Implantée le monde de l’entreprise, avec un laboratoire
à Paris, Montréal et Tunis, la société s’oc- en cybersécurité à Tunis en partenariat avec
cupe également de tout ce qui est réponse l’université Esprit.
aucun plafond de paiement. des articles sur Internet. Et puis, de vol de données. Il est indispen-
Les plateformes d’e-commerce sous la pression des consomma- sable que l’ensemble de l’industrie
comme Amazon n’étaient pas teurs, des mesures de protection s’aligne sur de bonnes pratiques
adaptées pour demander le cryp- ont été imposées. Donc la riposte de sécurité et que l’Union euro-
togramme derrière la carte, les doit venir des particuliers et du péenne puisse taper du poing et
numéros pouvaient même être pouvoir législatif, il faut dire : contraindre les fournisseurs en

MENACES
nécessaires, tels que les firewalls ● C’est un peu comme le paie- dérobés par un simple passager non, on ne peut pas déployer la cas de risque potentiel. ❚
ntiels. embarqués sur les box, l’Ether- ment sans contact : au départ, bien équipé dans le métro pour 5G tant que l’on n’est pas capable Propos recueillis
logi- net n’est pas sécurisé. il était envisagé de n’imposer qu’il puisse par la suite acheter de prévenir les usagers des risques par Daniel Ichbiah
é, etc.
Quand la borne est alimentée
G qui par la fibre, n’est-ce pas davan-
tage sécurisé ?
ujours ● La connexion est davantage
velop- sécurisée parce que le backbone
s dans se trouve directement chez le
ement fournisseur (FAI). Toutefois, ce
evOps que l’attaquant pourra essayer
l) plu- de faire, c’est de pénétrer via un
marche routeur 5G, soit chez l’individu,
ans la soit chez le FAI.
ent).
Est-ce que les risques présentés
pro- dans le rapport remis à l’Union
ager ? européenne pourraient retar-
nom- der la mise en place de la 5G ?
lopper ● Hélas non. En France comme aux
n’ap- Etats-Unis, la 5G a déjà commencé à
cette être déployée. Du coup, en haut lieu,
ps. Du on se dit : « On pourra corriger par la
écoms suite ». Pourquoi ? Parce que l’Union
objets européenne dans son rapport a
haude, indiqué que la 5G rapportera d’ici
ules - 2025, 225 milliards d’euros. Ce n’est
ent de pas neutre pour eux. On ne réflé-
d’éta- chit pas sur les erreurs du passé,
onnes on fait toujours la même erreur : 21
sous la pression commerciale, on

nt téléchargeaient le trojan bancaire

Emotet. Le groupe TA505, sus-
pecté d’être à l’origine de l’attaque
contre le CHU de Rouen, a lui aussi
recours aux attaques « fileless ».
ectuer Comment détecter cette menace
antes, et s’en prémunir ? « Il existe
yloads peu de moyens » souligne le
Ciso de CyberReason. La majo-
rité des outils automatisés ne
e sont pas en mesure de détec-
ter une altération d’une ligne de
se commande, tandis qu’un ana-
intrin- lyste humain aura bien du mal à
s outils trouver ces scripts malveillants,
plique ne sachant généralement pas
ement où chercher. « Vous pouvez par
ans les exemple surveiller l’utilisation de
nts ont vos machines si vous avez les bons
clas- outils, la RAM utilisée, les accès… »
brute, ajoute Sam Curry. Surtout,
exis- CyberReason milite pour l’avè-
e pont nement d’une « nouvelle classe
l’atta- de télémétrie » capable de pré-
ur des venir et gérer ce type d’attaques,
ut sur qui dépasse la seule consulta-
tion de logs ou la comparaison
mantec, de signatures. Soit le grand dada
loita- de bon nombre d’éditeurs de
tes de solutions de cybersécurité ces
e aug- derniers temps : de l’analyse
année comportementale. Et si celle-ci
agnes ne permet pas de prévenir les
s à des attaques, peut-être au moins
star de permettra-t-elle de remon-
opéra- ter la chaîne d’évènements qui
ployait a conduit à l’infection et ainsi
encore éviter que les attaques « file-
utili- less » ne pourrissent la vie, pour
ter des le présenter de façon triviale,
quelles des analystes forensics. ❚ G. P.

MENACES_ITW_SIFARIS-LOLBINS.indd 21 13/03/2020 17:53

 Cryptographie : pourquoi
SHA-3
de sou
novem
avaien
équipe

il devient urgent de mettre en œuvre

entier
phase
tions o
cassée
tition,

des algorithmes post-quantiques

d’un se
d’algo
ramen
second
Globa
présen
t ypes
hacha
de Me
de me
publiq
grosse
des te
être tr
cheur
vers le
reur q
comm
L’appr
présen
connu
le prem
en 197
mathé
améri
Son a
partie
avec u
1 Mo, l
et qua
de rec
des ve
les alg

22

Si la menace des
calculateurs quantiques
sur les algorithmes
de chiffrement est connue
depuis plusieurs dizaines
d’années, la rivalité
IBM / Google est annonciatrice
de progrès rapides
dans la conception de calculateurs
quantiques plus puissants, ce qui rend
le danger beaucoup moins théorique.

L’essor attendu de l’informatique quantique fait peser sur les solutions être facilement déchiffrés d’ici Les comités de standardisation
TECHNO

une dizaine d’années. Un délai se sont penchés sur la question

de chiffrement actuelles une lourde menace. Bon nombre d’algo- confortable pour un numéro de à partir de la fin des années
rithmes vont devenir inefficaces, il devient urgent de basculer dans carte bancaire valable 2 ou 3 ans, 2000. En 2009, l’IEEE publiait ses
mais beaucoup trop court lorsqu’il spécifications pour un système
l’ère post-quantique ! s’agit de protéger des données de chiffrement à clé publique

D
ès 2014, M at teo
Mariantoni, cher-
cheur à l’institut
de calcul quantique
de l’université de
Waterloo, prévenait : un calcu-
lateur quantique sera capable de
casser les algorithmes de chif-
frement actuels d’ici 15 ans.
Les algorithmes quantiques de
Shor ou de Grover vont sérieu-
sement bousculer des systèmes
cryptographiques que l’on consi-
dérait comme inviolables. Si
certains algorithmes tels que
AES pourront leur résister grâce
à un allongement de la taille des
clés de chiffrement, toutes les
infrastructures à clés publiques
telles que RSA, DSA, ECDSA,
la cryptographie utilisant les
courbes elliptiques ou l’échange
de clés Diffie-Hellman devien-
dront obsolètes.
De l’urgence
d’aller vers des
algorithmes
post-quantiques
Pour rendre RSA résistant à un
calculateur quantique, il fau-
drait utiliser des clés publiques
de 1 Go, des clés privées de 4 Go,
ce qui fait exploser les temps
de calcul car il faudrait alors
3,6 jours de calcul pour générer
la clé, 20 minutes pour véri-
fier une signature et 2,5 heures
pour chiffrer un document… Pas
très pratique pour envoyer des
données à un interlocuteur. Il
est clairement devenu urgent de
déployer de nouveaux systèmes
à clés publiques reposant sur des
algorithmes résistants aux calcu-
lateurs quantiques, c’est-à-dire
les algorithmes post-quantiques.
La rivalité exacerbée entre Google
et IBM dans la mise au point de
calculateurs quantiques disposant
de plus de Qubits - et donc réel-
lement exploitables pour casser
des codes - rend toute prévision
très aléatoire sur le moment où
les algorithmes de chiffrement
actuels deviendront obsolètes.
Il devient urgent de remplacer
au plus vite les algorithmes sur
lesquels est bâti notre monde
digital car les documents chif-
frés aujourd’hui pourraient bien
médicales ou les plans d’un avion
de ligne ou d’un système d’arme
dont la durée de vie dépasse plu-
sieurs dizaines d’années…
Une course est désormais enga-
gée entre les chercheurs qui
travaillent sur des calculateurs
quantiques et les chercheurs en
cryptologie qui doivent mettre au
point des algorithmes de chif-
frement qui pourront résister à
ces algorithmes. Ce sont des cen-
taines d’équipes de recherche
dans le monde qui explorent de
nouvelles techniques pour déjouer
les algorithmes de déchiffrement
quantiques mais ce dont ont réel-
lement besoin les secteurs de la
santé, de la finance, de l’ingénie-
rie, ce sont des infrastructures
complètes et surtout des stan-
dards adoptés par tous.
s’appuyant sur un algorithme
considéré comme "Quantum
Safe" et quelques années plus
tard, le comité X9 de l’ANSI
poussait le chiffrement NTRU
comme standard de protection
pour les transactions financières.
Beaucoup
d’algorithmes post-
quantiques encore
en lice
Devant l’urgence qu’il y a à
s’entendre sur quelques algo-
rithmes fiables, le NIST (National
Institute of Standards and
Technology) a lancé dès 2016
une compétition mondiale sur
le modèle de ce qui avait permis
de standardiser AES en 2001, puis

TECHNO_POSTQUANTIQUE.indd 22 13/03/2020 17:51

 SHA-3 en 2015. A la date limite
de soumission fixée au mois de
novembre 2017, 87 propositions
avaient été soumises par des
équipes de recherche du monde
re
entier. Suite à une première
phase d’évaluation, 69 solu-
tions ont été acceptées, 5 ont été
cassées et retirées de la compé-
tition, et, en août 2019, à la suite
d’un second workshop, le nombre
d’algorithmes conservés a été
ramené à une vingtaine pour la
seconde phase de sélection.
Globalement, les algorithmes
présentés se divisent en 4 grands
t ypes. Les algorithmes de
hachage s’appuyant sur un arbre
lors des évaluations… Beaucoup
de chercheurs ont préféré baser
leurs algorithmes sur les réseaux
euclidiens, un type de cryptogra-
phie qui représente pratiquement
la moitié de l’ensemble des pro-
positions. L’approche présente
l’avantage d’être flexible dans
ses usages et peut mettre en
œuvre des clés de chiffrement
de taille inférieure au millier de
bits, avec donc des performances
intéressantes.
Enfin, plusieurs équipes de
recherche ont proposé des algo-
rithmes de cryptographie mul-
tivariée, c’est notamment le cas
d’une "équipe de France" for-
en œuvre avant 2024. Le NIST
a défini 5 niveaux de sécurité,
depuis le plus faible, le niveau
1, équivalent à un AES 128,
L’algorithme de Shor,
jusqu’au niveau 5 qui correspond l’épée de Damoclès
à un AES 256, avec 3 opérations
types : la signature, l’encapsula-
tion d’une clé et le chiffrement.
sur le chiffrement RSA
Autre critère, la performance,
car avec certains algorithmes,
les temps de calculs vont être
amenés à exploser. Parmi les
autres critères du NIST, figure
la possibilité de remplacer sim-
plement un algorithme actuel
par un algorithme post-quan-
tique dans un même protocole.
Le NIST souhaite en effet que

de Merkel présentent l’avantage
de mettre en œuvre des clés
publiques modestes, mais de
grosses clés privées, ce qui induit
des temps de signature pouvant
être très élevés. Plusieurs cher-
cheurs ont préféré se tourner
vers les codes de correction d’er-
reur qui peuvent être exploités
comme système de chiffrement.
L’approche est plutôt ancienne et
présente l’avantage d’être bien
connue des chercheurs puisque
le premier système a été proposé
en 1978 par Robert McEliece,
mathématicien et cryptologue
américain mort en mai dernier.
Son algorithme fait d’ailleurs
partie des soumissions mais,
avec une clé publique de plus de
1 Mo, l’algorithme est plutôt lent
et quant aux multiples équipes
de recherche qui ont soumis
des versions plus légères, tous
les algorithmes ont été cassés
mée de chercheurs du CNRS, du
LIP6, de Sorbonne Université et
de l’INRIA. Ceux-ci ont soumis
les algorithmes GeMSS (A Great
Multivariate Short Signature) et
DualModeMS (A Dual Mode for
Multivariate-based Signature).
Un démonstrateur industriel a
notamment été développé par CS.
L’algorithme GeMSS a été retenu
à l’issue du 2ième round dans la
catégorie signature électronique.
Vers des algorithmes
fiables et
standardisés d’ici
2022/2024
L’objectif du NIST est de publier
les versions préliminaires des
standards sélectionnés à l’issue
d’un troisième round de tests,
d’ici 2022, pour que ceux-ci
puissent être implémentés et mis
les algorithmes post-quantiques
puissent mettre en œuvre SSL,
TLS et IPSec. Outre les quali-
tés purement mathématiques
des algorithmes, les experts du
NIST ont inclus quelques critères
supplémentaires, notamment sa
résistance à une attaque de type
"side-channel" qui va exploiter
une faiblesse dans l’implémen-
tation logicielle ou matérielle.
La question de savoir si les
calculateurs quantiques vont
arriver est désormais tran-
chée, reste à savoir quand. Les
chercheurs en cryptographie
ont déjà des solutions, reste à
l’industrie à s’entendre sur les
algorithmes afin de les diffuser
pour protéger les informa-
tions que l’on ne veut pas voir
divulguées dès que les calcula-
teurs quantiques entreront en
production. ❚
Alain Clapaud
TECHNO
C’est l’algorithme qui fait trembler les bases du chiffrement
actuel. L’algorithme quantique de factorisation découvert
par Peter Shor en 1994 ouvre la voie à une factorisation
éclair de nombres comptant beaucoup de chiffres. La
superposition quantique permet de booster un calcul de
factorisation qui demanderait des temps de calcul invrai-
semblables avec une machine d’architecture classique. Il
existe d’autres algorithmes quantiques, mais l’algorithme de
Shor est le plus connu pour les implications qu’il va avoir
dans le domaine de la cybersécurité. L’algorithme a été
mis en œuvre avec succès pour la première fois par une
équipe d’IBM sur un calculateur quantique de 7 qubits seu-
lement, c’était en 2001. Le faible nombre de Qubits de leur
calculateur ne leur a pas permis de faire mieux que trou-
ver que 3 et 5 sont les facteurs premiers de 15, mais dès
lors que des calculateurs quantiques disposeront de plu-
sieurs milliers puis millions de qubits, tous les algorithmes
de chiffrement actuels devront avoir été remplacés, sous
peine de voir l’économie numérique s’effondrer.

23

sation
estion
nnées
ait ses
stème
blique
ithme
ntum
s plus
’ANSI
NTRU
ection
cières.

st-
e

y a à
algo-
ational
s and
s 2016
le sur
permis
1, puis

TECHNO_POSTQUANTIQUE.indd 23 13/03/2020 17:51

 L’humain
des att
précis
de rec
l’Acym
tance d
ont pri

replacé
meçon
le pira
ransom
leur pa
« Ce ty

au cœur de la
conséq
impor
pour le
times.
qui ne

cybersécurité
gardes
par les
vie mê
qui pe
blissem
Le thème central du FIC en cette édition 2020, malgr
progre
la douzième du salon, était « replacer l’humain déplor
au cœur de la cybersécurité ». Redonnant à qui pe
campa
l’utilisateur un rôle d’acteur de la sécurité, plu- à l’im
la séc
tôt que de vecteur de risques, cette approche
veut prendre le contrepied du « Zero Trust » Un e
reposant sur la méfiance par défaut. de d
Les cy
sont l
l’huma
compr
les mo
l’hum
Cette édition 2020 a vu les projets fédérateurs se multiplier et se concrétiser. L’occas
(CEIS)
Agnès Pannier-Runacher et Marc Darmon ont ainsi lancé le comité stratégique
çant l’
de filière Industries de sécurité. éviden
à jouer
est également la victime, qui une maladie honteuse lorsque l’on n’explique pas à elle seule le mais u
souffre « au-delà de la seule est victime d’une attaque à conce- bond de 210% des demandes de pro
question des pertes financières voir en amont une approche de sur cybermalveillance.gouv. par le c
provoquées par une attaque » gestion de crise ». La plateforme expose « que les « L’IA
24 nous e x pl ique Gu i l l aume efforts entrepris pour développer la n’est p
Tissier, le patron du CEIS. De l’utilisateur notoriété du dispositif portent leurs manqu
« Il est nécessaire que la victime fruits et qu’il existe un réel besoin naissa
soit prise en compte et accom- au citoyen, d’assistance face aux différentes de vue
pagnée » ajoute-t-il. Mais, en passant formes de cybermalveillance ». péten
avant cela, des efforts de sen- 10% des publics en recherche très d
L'Anssi est venue en force au FIC et son patron, sibilisation s’imposent et il est par la victime d’assistance sont des profes- Un mi
Guillaume Poupard, était sur tous les fronts, nécessaire de déculpabiliser Sur ce point, les chiffres de sionnels, preuve que des efforts sécur
l’humain. Une idée qui com- l’Acyma, l’établissement public de sensibilisation sont encore à vacan
insistant notamment sur l’importance d’une réponse
mence à faire son bonhomme de derrière cybermalveillance.gouv, faire auprès des TPE-PME, par- Enfin,
européenne aux enjeux de cybersécurité. chemin : « on assiste à un chan- parlent d’eux-mêmes. 90 000 fois laissées pour compte. citoyen

L
a douzième édition
du FIC s’est ouverte
fin janv ier sur un
message simple : « il
est temps de replacer
l’humain au cœur du discours et
de l’action » de la cybersécu-
rité, estime le général Marc
Watin-Augouard, fondateur
du Forum International de la
Cybersécurité. Or on entend
encore trop souvent que l’hu-
FIC 2020
règles de sécurité pour son
confort personnel, et de l’autre
des solutions plus user frien-
dly, plus accessibles. L’humain
gement de mentalité sur la réponse personnes ont demandé de l’as- Devant la presse, Guillaume dépass
à un incident » souligne Michel sistance sur la plateforme en Poupard, le patron de l’Anssi, indi- en tête
Van Den Berghe, le directeur 2019, contre 29 000 en 2018. Si le quait que de nombreuses petites sonnel
général d’Orange Cyberdéfense, nombre d’attaques est certes en entreprises sont contraintes de enjeu d
« on passe de l’impression d’avoir augmentation, cette croissance mettre la clé sous la porte suite à Bertra
Hauts
sécurit
que « 
et strat
l’huma
tains b
Zero T
généra

main est surtout source de main,

problèmes, qu’il est la princi- Miche
pale faille dans la sécurité du Cyberd
SI d’une organisation, « le bug sur ce
entre la chaise et le clavier »… est un
Une vision qui amène à pen- facteur
ser la sécurité informatique taques
uniquement dans sa dimen- les édi
sion technique. Mais, au FIC, Zero T
on revendique une autre vision, feraien
d’abord celle où l’humain est, de leur
avant toute autre chose, l’uti-
lisateur final. Ass
D’où cet appel lors de la plé-
nière à réconcilier cybersécurité
et p
et expérience utilisateur, fré- Le sa
quemment opposées. Ici, il ne quelqu
s’agit pas d’opposer l’Homme expos
aux technologies mais bien la pre
d’ex ploiter le meilleur de dait su
chacun : d’une part un utili- pour l
sateur sensibilisé, qui ne va En pleine discussion avec Cedric O, secrétaire d’Etat au numérique, Jean-Noël de Galzain avait dévoilé dente
pas chercher à enfreindre les le matin même Gallia, une plateforme en ligne devant rassembler les acteurs de la cyber. le 28

FIC2020.indd 24 13/03/2020 17:53

 des attaques, mais aucun chiffre
précis ne peut être fourni faute
de recensement officiel. Selon
l’Acyma, les recherches d’assis-
tance de la part des professionnels
ont principalement porté sur l’ha-
meçonnage (phishing) à 23 % et
le piratage de compte (16%). Les
ransomwares représentaient pour
leur part 8% des recherches.
« Ce type d’attaque peut avoir des
conséquences économiques très
importantes voire désastreuses
pour les entreprises qui en sont vic-
times. Dans les structures victimes
qui ne disposent que de sauve-
gardes en ligne qui ont été détruites
par les cybercriminels, c’est la sur-
au salon et aux exposants avec
prises de rendez-vous B2B et
rencontres acheteurs/fournis-
seurs. Les 29 et 30 ont quant
à eux été l’occasion de moult
annonces, émanant notamment
du secteur public, entre contrat
stratégique de filière, cybercam-
pus, C3N... « Le privé seul n’a pas
la solution, le secteur public non
plus. La bonne réponse associe à la
fois le public et le privé » a ainsi
souligné le fondateur du FIC, le
général Marc Watin-Augouard.
La signature du contrat stra-
tégique de filière Industries de
sécurité a eu lieu en marge de la
remise des prix Startups FIC, en
général adjoint de Thales, et de la
secrétaire d’État Agnès Pannier-
Runacher. Y siègent Hexatrust,
l'Alliance pour la confiance
numérique, l'AN2V (vidéoprotec-
tion), la FIEEC (Fédération des
industries électriques, électro-
niques et de communication), le
GICAT (Groupement des indus-
tries de défense et de sécurité
terrestres et aéroterrestres) et le
GICAN (Groupement des indus-
tries de construction et activités
navales), ainsi que des pôles de
compétitivité (Systematic par
exemple) et des organismes de
recherche tels que le CEA. Cette
filière n’est pas totalement dédiée
structurants, aux côtés de la
sécurité des grands événements,
JO 2024 en tête, identité numé-
rique, sécurité des territoires et
des sites critiques et enfin cloud
de confiance, piloté comme prévu
par OVH et Oodrive.
Campus Cyber
début 2021
Sur le terrain enfin du Campus
Cyber, celui-ci est entré en
phase 2 : il s’agit désormais de
savoir combien de personnes la
quarantaine d’organisations qui
y participent entend y placer.
On en sait également plus sur ce
10 000 ou 15 000 m2, à Paris même
ou en proche banlieue, « plu-
tôt dans l'ouest », accessible en
métro, accueillant dans un pre-
mier temps entre 500 et 1 000
personnes, un site plus hori-
zontal qu'en hauteur, avec de la
verdure et ouvert dès le premier
trimestre 2021. Un délai court, si
l'on compte 10 mois de travaux
pour « aménager, câbler, cloison-
ner, sécuriser » les lieux. Ce qui ne
laisse plus que quelques semaines
au porteur du projet pour énumé-
rer les forces en présence, trouver
les lieux appropriés et « présenter
trois ou quatre scénario à la commu-
nauté », selon le patron d’Orange

FIC 2020
vie même de l’activité de l’entité présence du président de cette à la cybersécurité, qui n’est fina- lieu, notamment sa future pro- Cyberdéfense. ❚
qui peut se jouer » écrit l’éta- filière, Marc Darmon, directeur lement que l’un des cinq projets bable localisation géographique :  G. P.
blissement public. Pour autant,
malgré la prise de conscience
progressive, Guillaume Poupard
déplore le manque de moyens
qui permettraient de lancer des
campagnes de communication
à l’image de celles en faveur de
la sécurité routière.

Un enjeu
de démocratie
Les cybercriminels, justement,
sont la troisième dimension de
l’humain. Des attaquants qu’il faut
comprendre, pour en connaître
les modes opératoires. A l’inverse,
l’humain peut être le défenseur.
er. L’occasion pour Guillaume Tissier
(CEIS) de fustiger cette mode pla-
que
çant l’IA sur un piédestal. « Il est
évident que l’IA a un rôle important
à jouer pour détecter les attaques,
ule le mais une grande partie du travail
andes de protection ne peut être fait que
gouv. par le cerveau humain » note-t-il.
que les « L’IA fait beaucoup de choses, mais
pper la n’est pas la panacée ». Souci, par 25
nt leurs manque de visibilité et de recon-
besoin naissance, notamment du point
rentes de vue de la formation, les com-
nce ». pétences se font rares et sont
erche très demandées sur le marché.
rofes- Un million de postes en cyber-
efforts sécurité seraient aujourd’hui
core à vacants, à l’échelle mondiale.
E, par- Enfin, l’humain est le citoyen, un
e. citoyen « concerné par des sujets qui
aume dépassent la seule cybersécurité »,
, indi- en tête desquels les données per-
petites sonnelles et la souveraineté. « Un
tes de enjeu de démocratie » selon Xavier
suite à Bertrand, président de la région
Hauts de France, là où la cyber-
sécurité n’a longtemps été perçue
que « comme un enjeu économique
et stratégique ». Avec ce focus sur
l’humain, on comprend que cer-
tains battent en brèche l’approche
Zero Trust, synonyme de défiance
généralisée, surtout envers l’hu-
main, et de pure technique.
Michel Van Den Berghe (Orange
Cyberdéfense) joue la « provoc »
sur ce sujet : « la cybersécurité
est un marché régi par trois grands
facteurs : la régulation, les cyberat-
taques et les modes inventées par
les éditeurs. En ce moment, c’est le
Zero Trust. Nous, on trouve qu’ils
feraient mieux de s'occuper plutôt
de leurs zero day ».

Associer public
et privé
Le salon lillois a rassemblé
quelque 12 000 visiteurs et 450
exposants. Cette année, et pour
la première fois, le FIC s’éten-
dait sur trois jours, contre deux
pour les onze éditions précé-
é dentes, une première journée,
le 28 janvier, étant consacrée

FIC2020.indd 25 13/03/2020 17:53

 Baromètre Data Breach
Effets de bord ou réelle augmentation
des violation de données ?
A l’occasion du FIC à Lille, le cabinet de conseil Quel impact Si les impacts d’une violation de données
varient, on peut néanmoins identifier des
PwC et Bessé, courtier en assurance, présentait sur l’entreprise ? constantes. En effet, une société subit des
(Nombre de notifications
le premier Baromètre Data Breach. Ce rapport, de violation sde données
pertes financières pendant l’attaque, dues à
l’indisponibilité des données par exemple,
publié dans le cadre de la grand-messe de la à la CNIL) mais aussi après l’attaque lorsqu’elle doit
remettre ses systèmes en marche, dédom-
cybersécurité, s’appuie sur les données publiques mager des clients ou encore faire face à une
de la CNIL afin de fournir un aperçu global des chute de son activité en raison d’une perte
de confiance des clients. L’atteinte à la répu-
violations de données en France entre juin 2018 305 178 2027 tation est un impact qui s’inscrit dans le
Disponibilité : Intégrité : Confidentialité : temps long et auquel il est difficile de remé-
et juin 2019. S’il ne s’agit que d’un premier jet, des données altération des données dier. Une violation a aussi un impact sur
donc perfectible, ce baromètre fournit quelques sont rendues des données. non publiques l’activité d’une société et ce d’autant plus
lorsqu’elle engendre une perte de propriété
informations et recoupements intéressants sur inaccessibles sont exposées
intellectuelle. Enfin, une violation de don-
pour les virtuellement
l’évolution de la situation depuis l’entrée en personnes ou physiquement.
nées peut avoir des suites judiciaires en cas
de plaintes ou de non-respect des principes
vigueur du RGPD. qui les traitent. du RGPD par exemple.

Top des 5
des secteurs 4,5
5,7 Moyenne
« Ce n’est pas une honte
des violations
touchés
(juin 2018
202* 275* Dernier
semestre
Premier
semestre
par jour que d’être victime
juin 2019) 188 137 2018 2019
* Total Hébergement Finance
1 035
d’un incident de sécurité »
période & Restauration Comparaison
831 Sandrine Cullaffroz-Jover, avocate et responsable
26 du nombre de
Dernier Premier notifications du numérique chez PwC Société d’Avocats.
semestre semestre
2018 2019 CyberRisques : Pouvez-vous nous expliquer
279* 297*
229* en quoi consiste l’obligation de notification ?
● Sandrine Cullaffroz-Jover : Cette obligation
92 177 132 812 536 Nombre de notification est une exigence réglemen-
803 675 de personnes taire européenne qui a été reproduite en
Administration Commerce Sciences France dans la loi Informatique et Libertés.
publique & Techniques Dernier Premier touchées
Elle concerne tous les responsables des trai-
semestre semestre tements qui doivent notifier l’autorité [ici
2ème semestre 2018 1er semestre 2019 2018 2019 la CNIL NDLR] dans les meilleurs délais, si
possible 72 heures au plus tard après avoir
En un an, on ne peut pas dire que le nombre de violations ait explosé. Toutefois, une analyse secto- constaté la violation. Cette obligation existait auparavant pour cer-
rielle fait apparaître de soudaines augmentations. Ainsi, les administrations publiques et le domaine des tains acteurs, les opérateurs de communications électroniques par
sciences et techniques semblent avoir été particulièrement touchés au premier semestre 2019. Faut-il exemple, mais du fait de l’application du RGPD, elle s’est généralisée.
en déduire que ces secteurs sont des cibles de choix pour les attaquants ? Ou plus prosaïquement que
l’obligation de notification est entrée dans les mœurs ? Les intervenants y voient plusieurs pistes d’in- Quels sont les risques et les sanctions encourues
terprétation. Pour Guillaume Tissier, le patron du CEIS, organisateur du FIC, « les effets de bord ne doivent en cas de manquement ?
pas être négligés », citant notamment le cas de Booking, qui explique le grand nombre de notifications ● C’est une obligation qui nécessite que soient prises en amont des
au second semestre 2018 dans l’hôtellerie. Car, lorsqu’une plateforme de premier rang est victime d’une dispositions techniques et opérationnelles pour détecter les viola-
violation de données, ses partenaires et clients sont touchés par ricochet. tions et en notifier les autorités. Elle s’inscrit dans le prolongement
des impératifs de sécurité et de protection des données et des per-
sonnes concernées. Les sanctions répondent au premier palier des
sanctions administratives prévues dans le texte européen, mais l’in-
Top 3 des incidents 100%
ÉTUDE

90% fraction au RGPD est également pénalement sanctionnée. Il en va

et leurs origines
Le graphique ci-contre illustre
la part encore non négligeable
de violations de données ayant
pour origine un acte interne
accidentel. C’est le cas notam-
ment pour les publications et
les envois de données. Plus
largement, qu’il s’agisse d’ac-
cidents ou d’attaques, le facteur
humain demeure au cœur des
incidents de sécurité infor-
matique. En effet, nombreux
sont les salariés qui tombent
encore dans le piège du phi-
shing et seule l’organisation de
campagnes de sensibilisation
au sein des entreprises et des
institutions permettra d’inver-
ser la tendance.
80% donc de la responsabilité des dirigeants de s’emparer de ces sujets de
70% protection des données. C’est en outre une question de confiance et
60%
il y a une vraie valeur ajoutée dans la bonne gestion de la crise. Ce
50%
40%
n’est pas une honte que d’être victime d’un incident de sécurité et
30% ce n’est pas une honte que de notifier une violation, elle démontre
20% une pleine maîtrise de son risque.
10%
0% Pour en revenir à ce Baromètre, les chiffres traduisent-ils une aug-
mentation du nombre de violations ou bien une meilleure prise de
Intrusion Publication Données personnelles
conscience de cette obligation de notification ?
dans les involontaire envoyées à un ● Je pense que c’est le résultat de plusieurs facteurs. A commencer
systèmes* d’informations mauvais destinataire par une sensibilisation accrue et par la généralisation de l’obliga-
tion de notification à tous les acteurs. Mais aussi d’un périmètre de
menace plus large. Les chiffres de ce baromètre couvrent les vio-
Acte externe malveillant Acte interne malveillant
lations de données à caractère personnel, mais elles ne sont pas le
Acte interne accidentel Acte externe accidentel seul composant des incidents de sécurité, ce n’est qu’un élément
d’appréciation de l’étendue de ces incidents. Le baromètre s’inscrit
dans une démarche de sensibilisation globale du grand public mais
* Intrusion dans les systèmes : ce terme renvoie à la catégorie aussi dans une volonté de mobiliser les dirigeants, les acteurs éco-
« Piratage, logiciel malveillant (par exemple rançongiciel) nomiques, afin qu’ils soient conscients de la réalité des risques et
et/ou hameçonnage » de la CNIL de la nécessité de s’y préparer.

ETUDE_RAPPORT_DATABREACH.indd 26 13/03/2020 17:53

PUBS_CR.indd 27 13/03/2020 17:50
PUBS_CR.indd 28 13/03/2020 17:50