Vous êtes sur la page 1sur 28

• DPO externe : quelles conditions • Menaces : L'arrivée de la 5G

pour une prestation «idéale» va démultiplier les risques


• Cryptographie : pourquoi il devient liés à l'Internet des Objets
urgent de mettre en oeuvre • California Consumer Privacy Act :
des algorithmes post-quantiques un RGPD à la sauce américaine ?

N°1 - 18€ - 1ER TRIMESTRE 2020

CyberRisques par

Cyber
Le risque
numéro un !

Cyberattaque du CHU de Rouen : comment le pire a été évité


Couverture_CR1.indd 1 13/03/2020 17:53
Édito
CyberRisques
38 rue Jean-Jaurès 92800 Puteaux – France
Tél. : +33 (0)1 74 70 16 30 | Fax : +33 (0)1 40 90 70 81 Le risque « cyber », soit la menace de subir une attaque informatique, frappe
contact@cyber-risques.news indistinctement particuliers, administrations et entreprises. Pour ces dernières,
RÉDACTION il est le risque n°1, impliquant pour sa victime pertes financières, interruption
Guillaume Périssat (rédacteur en chef délégué) de ses activités ou dégradation de sa réputation.
avec Bertrand Garé et la collaboration Editeur depuis bientôt vingt ans du mensuel L’Informaticien, il semblait logique
de Christophe Champoussin, Alain Clapaud,
Christophe Guillemin, Daniel Ichbiah
pour PC Presse de se pencher sur ce sujet et de lui dédier une publication.
et Bruno Rasle. De ce nouveau titre, vous lisez donc le tout premier numéro. Les participants
redaction@cyber-risques.news à l’Université des DPO organisée par l’AFCDP et les visiteurs du FIC ont pu le
CHEF DE STUDIO découvrir en avant-première avec le cahier spécial DPO, que vous retrouverez
Franck Soulier dans les pages centrales de cet exemplaire.
Illustrations vectorielles : Designed by Freepik CyberRisques s’adresse aussi bien aux dirigeants d’entreprises qui entendent
PUBLICITÉ
appréhender les nouvelles menaces qui pèsent sur leur activité qu’aux experts
Tél. : +33 (0)1 74 70 16 30 | Fax : +33 (0)1 40 90 70 81 de la cybersécurité qui souhaitent se tenir infomés, en passant par les directeurs
pub@cyber-risques.news métiers, les premiers concernés par l’impact opérationnel de ce risque, et bien
VENTE AU NUMÉRO
évidemment les RSSI. C’est pourquoi nous avons choisi de varier les angles et
France métropolitaine 18 € TTC (TVA 5,5%) de proposer aussi bien des témoignages sur des attaques que des sujets rela-
tifs aux nouvelles formes de menaces, aux moyens de les contrer, aux questions
ABONNEMENTS
France métropolitaine 60 € TTC (TVA 5,5%) de conformité… Avec, toujours, une place centrale réservée à l’humain.
Toutes les offres : visiter Cyber-risques.news, Guillaume Périssat
rubrique s'abonner.
Pour toute commande d’abonnement d’entreprise

Sommaire
ou d’administration avec règlement
par mandat administratif, adressez votre bon
de commande à : PC Presse - CyberRisques,
service abonnements, 38 rue Jean-Jaurès
92800 Puteaux – France TABLEAU DE BORD
ou à abonnements@cyber-risques.news
WannaCry et GandCrab ont toujours pignon sur rue
IMPRESSION Malwares stars de début 2020 – Les marques préférées du phishing
Imprimé en France par SIB (62) Hacktool.JQ – La négligence premier facteur d’incident interne . . . . . . . . p. 4
Dépôt légal : 1er trimestre 2020 Etrennes de ransomwares pour Bouygues Constuction
Toute reproduction intégrale, ou partielle, faite et la Région Grand Est . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 5
sans le consentement de l’auteur ou de ses ayants
droit ou ayants cause, est illicite (article L122-4 POSTMORTEM
du Code de la propriété intellectuelle).
Toute copie doit avoir l’accord du Centre français
Cyberattaque du CHU de Rouen : comment le pire a été évité . . . . . . . . . . p. 6
du droit de copie (CFC), 20 rue des Grands-Augustins OUTILS
75006 Paris. Cette publication peut être exploitée
dans le cadre de la formation permanente. Cyber, le risque n°1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 8
Toute utilisation à des fins commerciales de Évaluation du risque cyber…
notre contenu éditorial fera l’objet d’une demande Automatisée pour les RSSI ou taillée pour les métiers ? . . . . . . . . . . . . . . . p. 10
préalable auprès du directeur de la publication.
CyberRisques est publié par PC PRESSE, S. A.
au capital de 130 000 euros, 443 043 369 RCS CAHIER CENTRAL SPÉCIAL DPO
Nanterre. Siège social : 38, rue Jean-Jaurès,
92800 Puteaux, France. GOUVERNANCE
ISSN en cours DPO externe : quelles conditions pour une prestation « idéale » ? . . . . pp. I et II
EXPÉRIENCE
Un magazine du groupe, José Alberto Rodríguez Ruiz, DPO de Cornerstone OnDemand
DIRECTEUR GÉNÉRAL, DIRECTEUR « Le succès du DPO dépend de sa capacité à bien travailler
DE LA PUBLICATION : Michel Barreau
avec tous les niveaux de l’organisation » . . . . . . . . . . . . . . . . . . . . . . . . . . . pp. I et IV
AILLEURS
California Consumer Privacy Act : un RGPD à la sauce américaine ? . . .p. VI
Abonnez-vous OBSERVATOIRE
à CyberRisques ! DPO, combien de divisions ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. VIII
TRIBUNE de Albine Vincent, cheffe du service des délégués
à la protection des données de la CNIL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. VIII

CONFORMITÉ
SecNumCloud, référentiel de confiance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 19
Un pont entre DSP2 et ISO 27001 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 19
MENACES
« L’arrivée de la 5G démultiplie les risques liés à l’IoT », entretien
avec Jean-François Beuze, Président de la société de conseil Sifaris . . . p. 20
LolBins : comment les hackers retournent vos outils contre vous . . . . . p. 20
TECHNO
Offert avec votre abonnement Cryptographie : pourquoi il devient urgent de mettre en œuvre
« RGPD et droit des données personnelles » des algorithmes post-quantiques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 22
de Fabrice Mattatia (délégué FIC 2020
à la protection des données dans une L’humain replacé au cœur de la cybersécurité . . . . . . . . . . . . . . . . . . . . . . . . p. 24
grande administration). ÉTUDE
Bulletin d’abonnement à compléter sur : Baromètre Data Breach : effet de bord ou réelle augmentation
www.cyber-risques.news/abonnement des violations de données ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 26

Som_Edito_Ours_Promo.indd 2 13/03/2020 18:01


Info Partenaire

Proposer un SOC accessible à tous


Les entreprises doivent aujourd’hui faire face à une augmenta-
tion très importante des cyber-attaques. Alors qu’il y a encore
quelques années, seules les grandes entreprises et les organismes
étatiques étaient le plus largement visés, désormais toutes les
entreprises doivent faire face à cette menace.

L
a difficulté est d’au- fibres optiques permettant
tant plus importante
pour les entreprises
de garantir performance et
résilience.
A propos
de tailles intermé-
diaires dont l’activité
Outre une offre de sauvegarde
managée qui a déjà séduit
d’AntemetA
est très fortement tributaire entre autres des acteurs du • Fondée en 1995
des systèmes informatiques CAC40, AntemetA héberge par Stéphane Blanc,
mais dont les ressources également plusieurs milliers
actuel PDG
Mise en service plus de 150 ingénieurs qui se
humaines et financières sont de machines virtuelles. Si déplacent régulièrement chez
limitées pour s’équiper d’un les technologies VMware ou • 260 collaborateurs rapide nos clients. Nous ne pouvons
véritable centre de supervi- Hyper-V sont naturellement • Siège social en région « Les équipes sont entraî- pas prendre le risque d’être
sion de la cybersécurité ou présentes, AntemetA pro- nées et adaptent rapidement le point de propagation d’un
SOC (Security Operations pose également la solution parisienne les règles de corrélation aux malware. »
Center). Le SOC est l’atout Open Stack. « Nous souhai- • 7 agences régionales métiers de nos clients. C’est un
idéal, combinant solutions tons proposer une alternative (Lille, Nantes, Lyon, très gros avantage pour opérer Une démarche
logicielles et équipes formées, open-source à nos clients efficacement un SOC. Enfin,
pour contenir l’essentiel des qui veulent mettre en place Toulouse, Metz, le choix d’un SOC mutualisé d’amélioration
menaces et être en mesure les briques d’une approche Aix-en-Provence, donne aussi plus d’efficacité continue
de réagir en cas d’attaques. SDDC (Software-Defined Data aux équipes internes et permet
Aussi, pour disposer d’un tel Center) », commente Thierry
Strasbourg)
de réduire les coûts.
et vertueuse
service sans en assumer l’en- Floriani, RSSI d’AntemetA et • 91 millions d’euros « Pour mettre en production un Lorsqu’un SOC est mis en place
semble des coûts, AntemetA responsable du SOC. de chiffre d’affaires en client sur la plate-forme, cela chez un client, les équipes
propose une solution inno- 2019 (exercice clos prend deux jours seulement d’AntemetA se concentrent
vante de SOC mutualisé. Une offre étudiée le 31 mars) après avoir récupéré les logs. sur la fiabilisation des alertes
Fondée en 1995, AntemetA C’est extrêmement rapide ! », afin d’éliminer au maximum les
est une entreprise française pour les ETI • 2/3 de l’activité en négoce souligne M. Floriani. « faux positifs » et ainsi réduire
dont la mission est d’ac- « A partir du moment où nous et 1/3 en services « Notre valeur ajoutée est de le bruit de fond qui peut mas-
compagner les entreprises avons développé l’activité nous appuyer sur les solutions quer une alerte réelle. « Avant
dans la modernisation de cloud, nous avons en parallèle déjà installées afin d’amélio- de communiquer un incident
leurs infrastructures infor- souhaité adresser en autonomie proposer des services plus per- rer la qualité et la quantité à nos clients, nous analysons
matiques. Si la réputation de les problématiques de sécu- sonnalisés à nos clients. de données collectées. De afin de parfaitement qualifier la
la société n’est plus à faire rité », poursuit Thierry Floriani. « En effet, nos offres sont prin- fait, nous participons à la dangerosité de l’attaque. Nous
sur les problématiques ser- « C’est une démarche initiée il y cipalement destinées aux ETI création d’une politique de sommes capables de réaliser
veurs, stockage ou encore a 8 ans. Nous adoptons le prin- (Entreprises de Taille Inter- sécurité cohérente au sein de une véritable enquête. L’idée
sauvegarde, il faut savoir cipe de « Security by Design ». médiaire), c’est-à-dire des l’entreprise ». est de ne pas « crier au loup » 3
qu’AntemetA est un acteur Il était ensuite impératif de sociétés réalisant entre 500 Aujourd’hui, le SOC collecte mais de proposer une réponse
important du cloud en France mettre en place un SOC pour millions et 1,5 milliard d’eu- 1,3 To de données par jour. proportionnée. Ensuite, nous
avec près de 100 clients. comprendre précisément ce qui ros de chiffre d’affaires. Notre Ces données sont conser- profitons de ces retours d’ex-
Ses infrastructures, uni- se passait dans ce cloud et être approche de service sur-me- vées, horodatées et signées périences pour enrichir nos
quement et volontairement en mesure des protéger les res- sure mais abordable convient notamment en cas d’enquête règles de corrélations », pour-
hébergées en France, sont sources de nos clients. Une fois parfaitement à leurs besoins judiciaire. Une dizaine de col- suit M. Floriani.
réparties sur 3 datacenters le SOC mis en route et après le de cybersécurité. Elles béné- laborateurs sont mobilisés La démarche d’AntemetA
à Paris et Lyon. L’ensemble recrutement et la montée en ficient ainsi de services d’un avec un objectif de doubler ne s’arrête pas là. La cyber-
des sites sont connectés compétences des équipes, SOC mais n’en supportent pas ce nombre dans les 12 pro- sécurité est une question
entre eux par un réseau de nous avons commencé à le coût complet. » chains mois. d’outils tel que le SOC mais
également de sensibilisa-
Défense tion. Les utilisateurs sont
donc concernés. « Nombreux
en profondeur sont nos clients à mettre en
En moyenne, 400 à 500 000 place une véritable politique
actions malveillantes sont iden- globale de sécurité du sys-
tifiées toutes les deux heures tème d’information et nous
avec des pics pouvant atteindre les accompagnons dans cette
2 à 3 millions. Thierry Floriani se démarche » nous précise
veut rassurant : « de nombreux Thierry Floriani à proximité
systèmes automatisés scannent d’une affiche incitant les sala-
en permanence les serveurs riés d’AntemetA à verrouiller
des entreprises à la recherche leur PC dès que nécessaire. ●
de failles. Ce sont des attaques
simples et parfaitement traitées
par nos équipements. Nous
focalisons notre attention sur les

Bien recruter : le point clé attaques complexes et sommes


attentifs aux signaux faibles plus
difficiles à détecter mais bien
Comme pour l’ensemble des acteurs du secteur, le recrutement d’ingénieurs qualifiés est un enjeu moins nombreux.
permanent. Cependant, AntemetA bénéficie d’atouts qui lui permettent de recruter efficacement « Nous veillons également à
les meilleurs collaborateurs. Parmi les critères figurent l’ambiance dans l’entreprise (le turnover garantir un parfait cloisonne-
ment de nos environnements
est très faible), le projet et les perspectives d’évolution. « Tous les collaborateurs ont vraiment Cloud afin d’éviter toutes pro-
la possibilité de participer à un projet commun de création et pas simplement opérer des pro- pagations d’une attaque d’un
duits tiers ». AntemetA privilégie aussi fortement l’apprentissage qui se concrétise souvent par client à un autre. Cela implique
un emploi. La société est d’ailleurs reconnue par le label « Happy at Work » pour son accompa- de plus fortes contraintes pour
les équipes en matière d’admi-
gnement des nouveaux entrants. nistration, mais la sécurité de
Exemple encore plus marquant, dans les prochains mois, l’entreprise va acquérir des apparte- nos clients est à ce prix ! »
ments communautaires à proximité du siège social afin d’accueillir les stagiaires et les nouveaux Si l’analyse ne s’effectue que
sur les serveurs pour les
employés avant qu’ils ne trouvent un logement. « Nous avons aussi ouvert des locaux à Paris et
clients, tous les postes de tra- Thierry Floriani,
la présence d’agences régionales permet de recruter des ingénieurs en province ou proposer des vail des salariés d’AntemetA RSSI d'AntemetA
évolutions géographiques à des salariés qui souhaitent quitter la région parisienne. » sont analysés. « Nous avons et responsable du SOC.

ANTEMETA.indd 3 13/03/2020 18:04


TABLEAU DE BORD Et
Aprè
tour d
WannaCry et GandCrab Les marques préférées du phishing Le 30
le rés
ont toujours pignon sur rue Quelles sont les entreprises pour lesquelles les mails de phishing tentent de se faire n'a pa
passer ? Si des acteurs tels que Microsoft ont lancé d’importantes offensives contre reven
En 2019, 755 485 utilisateurs de la solution KSN de Kaspersky ceux tentant d’imiter leurs noms de domaines, les attaquants se réfugient dans de le SI
ont été affectés par des ransomwares, dont 209 679 entre- nouvelles valeurs sûres, WhatsApp en tête, suivi d’Instagram et de Square. toute
prises et 22 440 TPE. Force est de constater que deux ans
CLASSEMENT VADESECURE DES MARQUES LES PLUS EXPLOITÉES ment
après la campagne à grande échelle qui l’a fait connaître,
PAR DES « PHISHERS » - Quatrième trimestre 2019 Cons
WannaCry est toujours aussi virulent, de même que GandCrab.
systè
Progression Nombre
ID Croissance l'on ig
Marque au classement d’URLs
1 Trojan-Ransom.Win32.Wanna 23,56% Q3 – Q4 2019 anno
sur le Q4 Uniques
2 Trojan-Ransom.Win32.Phny 16,81% 1 Paypal = 11392 -31,2%
3 Trojan-Ransom.Win32.GandCrypt 12,17% 2 Facebook +2 9795 -18,7%
4 Trojan-Ransom.Win32.Gen 6,26% 3 Microsoft -1 8565 -38,2%
5 Trojan-Ransom.Win32.Crypmod 5,08% 4 Netflix -1 6758 -50,2%
6
7
Trojan-Ransom.Win32.Encoder
Trojan-Ransom.Win32.Shade
4,65%
2,66%
5 WhatsApp +63 5020 +13467,6% E
6 Bank of America -1 4375 -21,5%
8 Trojan-Ransom.Win32.Win32.PolyRansom 2,43% 7 CIBC +1 2414 -11,2% de
9 Trojan-Ransom.Win32.Crypren 2,28% 8 Desjardins +4 2243 -54,4%
10 Trojan-Ransom.Win32.Stop 1,94% 9 Apple -3 2126 -57,9% e
10
11
Amazon
Chase
-1
-4
2110
2012
+0,6%
-14,6%
en
12 BNP Paribas +3 1512 +23,1%
Malwares stars de début 2020 13
14
Instagram
Square
+16
+19
1401
1315
+187,1%
+246,1% Malg
Rapport CIS Janvier 2020 15 Dropbox +1 1233 +0,7% CNIL
gées,
11%
12% Kovter secur
CoinMiner 15%
un c
Dridex
7% Hacktool.JQ : Mimikatz a de la concurrence l’état
Cerber donn
Selon l’Internet Security Report de WatchGuard pour le troisième trimestre 2019, Mimikatz dans
7% Gh0st n’est plus le seul outil de vol d’informations d’authentification dans le Top 10 de l’éditeur. Il y parta
4 est rejoint par Hacktool.JQ, détecté à 443 460 reprises, contre plus d’un million de détec- des r
tions pour Mimikatz au troisième trimestre de l’an dernier. Egalement connu sous le nom un in
7% de Windows Credentials Editor (WCE), il offre de nombreuses fonctionnalités similaires à à un
NanoCore Mimikatz. Les attaquants et les pen-testeurs l'utilisent pour effectuer des attaques de type non a
6% 27% pass-the-hash, obtenir des hachages de mots de passe NT/LM à partir de la mémoire et 12 de
Nemucod 5% 3% Zeus même répertorier les sessions de connexion et modifier les informations d'identification d'entr
Emotet CryptoWall
associées. Cet outil prend également en charge le vidage des tickets Kerberos et la réuti- empl
lisation/rechargement des tickets pour s'authentifier auprès d'autres systèmes et services. tion p
Zeus : cheval de Troie (trojan) bancaire modulaire, connu sur-
tout pour dérober les identifiants de ses victimes, dont le code via d
source a été publié en 2011. De fait, il ne s’agit pas d’un unique en de
malware mais de variantes développées autour de cette base. La négligence premier facteur Pire e
nisati
Dridex : un trojan bancaire, là encore, exploitant des
macros malveillantes de Microsoft Office diffusées lors de d’incident interne mis e
campagnes de phishing. gram
Menée auprès de 204 des d
Kovter : malware fileless (voir notre article à ce sujet p. 20) organisations, l’étude
destiné à la fraude publicitaire, mais qui serait également centa
TABLEAU DE BORD

INCIDENTS INTERNES Ponemon 2020 sur les tous l


doté dans certaines variantes de capacités de backdoor. coûts des incidents
PAR TYPE l’étud
CoinMiner : cryptomineur exploitant la faille Eternal Blue internes recense 4 716 (87%
ainsi que Windows Management Instrumentation. incidents sur l’année les d
Cerber : ransomware décliné en six versions, capable d’agir 2019, dont 62% sont dus dante
hors ligne. à la négligence. Une De pl
Gh0st : RAT (Remote Access Trojan) utilisé pour prendre le 13,8% 23,4% 62,8% organisation dépense par er
contrôle du terminal infecté, généralement livré par d’autres Vol Malveillance Négligence d’employés en moyenne 644 852 sibles
programmes malveillants. d’identifiants interne ou de contractants dollars par accident. cours
NanoCore : RAT se répandant par le biais de campagnes « Tou
de phishing, permettant de contrôler le terminal infecté. Croissance
Poste de dépense Dépense moyenne de cl
Nemucod : trojan utilisé pour télécharger sur le terminal de sur 3 dernières années
nées
la victime d’autres malwares, notamment des ransomwares. Supervision & surveillance 22 124 $ 79% de co
Emotet : un « infostealer » modulaire qui a tenu le haut du Enquête 103 798 $ 86% nées »
classement jusqu’à la fin de l’année 2019, utilisé notamment Sensibilisation 21 805 $ 84% 77% d
pour télécharger d’autres malwares et incorporant dans Réponse 118 317 $ 56% mises
certaines versions des modules capables d’exfiltrer des Containment 211 553 $ 53% pas s
contenus de mails ou encore de se propager sur un réseau. donn
Analyse ex-post 19 480 $ 78%
CryptoWall : ransomware affectant aussi bien les systèmes saire
Remédiation 147 776 $ 47% ne cla
64 bits que 32 bits, aux multiples vecteurs de propagation
et doté de capacités de scan étendues. Total 644 852 $ 60% au mo

TdB_CR1.indd 4 13/03/2020 17:51


Etrennes de ransomwares pour Bouygues Construction et la Région Grand Est
Après le CHU de Rouen (lire notre post-mortem en pp. 6 et 7), c'est au commerciale et l’activité opérationnelle des chantiers sont très faiblement
tour de Bouygues Construction et de la Région Grand Est d'être frappés. impactées ». Et on s’interroge : le nom de Bouygues a été retiré du site
Le 30 janvier, « une attaque virale de type ransomware a été détectée sur web de l’attaquant présumé. L’entreprise de BTP a-t-elle payé la rançon ?
le réseau informatique de Bouygues Construction ». Si le géant du BTP La Région Grand Est, selon le quotidien local L’Union, a quant à elle été
e faire n'a pas été particulièrement loquace sur le sujet, on sait qu'un groupe a privée de messagerie, de certains de ses serveurs et aussi de dispositifs
ontre revendiqué l'attaque, publiant sur son site web des fichiers dérobés dans d’accès par badge aux bureaux du fait d’une cyberattaque qui a débuté
ns de le SI de Bouygues et une liste de 200 IPs « verrouillées ». L'Anssi note le 14 février. Ce qui semble être un ransomware touche non seulement
toutefois qu'il n'est pas confirmé que cette archive corresponde réelle- les sites de la Région en Alsace, en Lorraine et en Champagne-Ardenne,
S ment à des données exfiltrées du système d’information de Bouygues mais aussi les lycées. La situation revient peu à peu à la normale, avec

TABLEAU DE BORD
Construction. Mais l'agence attribue bel et bien la compromission du le soutien de l’Anssi et d’un prestataire externe, sans que l’on sache qui
système d’information de Bouygues Construction au ransomware. Si est responsable de cette attaque, la collectivité ayant choisi de ne pas
ce l'on ignore l'ampleur de la paralysie ou du vol de données, l'entreprise a contacter les adresses mails mentionnées dans les messages laissés
019 annoncé dans ses résultats financiers pour l'année 2019 que « l’activité par les pirates.

% En France,
de nombreuses
entreprises
enfreignent
le RGPD
Malgré la vigilance de la
CNIL et les amendes infli-
gées, le Netwrix Data risk &
security report 2020 dresse
un constat accablant de
nce l’état de la protection des
données personnelles
mikatz dans l’Hexagone. Sur le
ur. Il y partage des données, 22%
étec- des répondants ont connu 5
nom un incident de sécurité dû
ires à à un partage de données
e type non autorisé au cours des
oire et 12 derniers mois. Un tiers
cation d'entre eux pensent que les
réuti- employés de leur organisa-
vices. tion partagent des données
via des applications cloud
en dehors de tout contrôle.
eur Pire encore, 88% des orga-
nisations interrogées n'ont
rne mis en œuvre aucun pro-
gramme de conservation
e 204 des données, soit le pour-
étude centage le plus élevé de
ur les tous les pays analysés dans
dents l’étude. Un nombre similaire
4 716 (87%) a du mal à identifier
nnée les données ROT (redon-
nt dus dantes, obsolètes, triviales).
Une De plus, 13% ont supprimé
pense par erreur des données sen-
4 852 sibles ou réglementées au
nt. cours de l'année écoulée.
« Tous manquent à la fois
de classification des don-
ées
nées et d'un programme
de conservation des don-
nées » estime l’éditeur. Ainsi,
77% des organisations sou-
mises au RGPD ne savent
pas si elles stockent plus de
données clients que néces-
saire. Parmi celles-ci, 44%
ne classent pas les données
au moment de leur création.

TdB_CR1.indd 5 13/03/2020 17:51


Cyberattaque du CHU de Rouen
Le r
Clop
de l
Le mo

Comment le pire a été évité


quants
« La c
l’ouver
lant ay
déploy
sance e
expliq
l’hôpi
bleme
l’incita
à ouvr
inocul
le SI. «
zéro", c
l’infect
perme
sur le S
déplac
princip
© France 3 Normandie - Véronique Arnould

via des
les app
précis
objecti
ment d
de pou
finale,
donnée
Selon
naiss
manue
étaien
Metas
encore
L’hôpital normand a subi la plus importante cyberattaque ayant jamais dernière intervient dès le samedi en renvoyant une partie des ces out
matin avec une équipe de sept urgences vers d’autres éta- prendr
touché un établissement de santé français. Durant tout un week-end, experts, venus épauler la DSI de blissements. « Merci, si vous le à déplo
le SI a été totalement paralysé par un rançongiciel. Si les services ont l’hôpital. « Le rôle de l’Anssi est
de comprendre ce qui se passe, en
pouvez, et ne relevez pas d’une
urgence vitale, de consulter en
à same
la majo
été fortement perturbés, la santé des patients n’a jamais été mise en étudiant le mode opératoire de l’at- maison médicale ou dans un indiqu
taquant, puis d’aider la victime à autre service d’urgence hors CHU égalem
péril. Retour sur un incident qui risque de ne pas être un cas isolé. redémarrer les systèmes », résume (Europe, Cedres, Elbeuf, Dieppe, amont

C
Guillaume Poupard. Evreux, Le Havre…) », peut-on sieurs
6 « ’était la panique. D’heure Emmanuel Gras, ancien de lire sur une affiche écrite à la Pour
en heure, tous les sys- l’Anssi et CEO d’Alsid, startup main et placardée à l’entrée des l’envo
tèmes informatiques « L’attaque était ciblée, française spécialisée en cyber- urgences, filmée par France 3 çon, l
tombaient les uns après ce n’était pas une IP sécurité, détaille les procédures Normandie. logicie
les autres. Puis ce fut le de l’agence nationale. « La pre- Le lundi matin, les princi- çongic
blocage total. Or, tout est informa- tirée au hasard. mière mission de l’Anssi est de paux services sont redémarrés. logicie
tisé ici, pas seulement la gestion Mais le montant "closer" l’attaquant, c’est-à-dire Toutes les données n’ont pas n’impo
de l’hôpital, mais aussi les soins bloquer son accès au SI, en garan- encore été récupérées et cer- lue et
des patients. Et bien entendu, cela
de la rançon l’était tissant qu’il ne rentrera pas par une tains accès internet restent global
est tombé au pire moment, c’est- beaucoup moins » autre porte. Pour cela, on réalise bloqués. Mais 80 % des appli- comm
à-dire le week-end, quand nous un audit de sécurité qui va éta- cations métiers fonctionnent. Gras.
sommes en effectifs réduits ». Ce Guillaume Poupard, blir un état des lieux de la surface « Les systèmes ont été redémarrés Selon
témoignage est celui d’Évelyne directeur général de l’Anssi. d’attaque afin de trouver toutes les en trois jours, ce qui est absolu- publié
Bourgeois, agent de service hos- portes d’entrée potentielles. Dans ment remarquable », se félicite la pr
pitalier et secrétaire CGT au CHU les plus brefs délais, ces portes sont l’Anssi. « Je tiens à souligner la Clop a
de Rouen. Le 15 novembre der- repas, l’accueil aux urgences… de la région Normandie. Pour fermées une à une. Les comptes très grande réactivité des équipes 2019.
nier, l’établissement normand Même les caméras de surveil- autant, il n’a pas forcément qui ont servi à l’attaque sont par de l’hôpital qui étaient bien pré- de la
était victime d’une cyberattaque lance, dont le flux d’images les moyens de payer une ran- exemple supprimés. Ensuite, le SI parées en matière de gestion de Crypt
sans précédent dans le secteur passe par le SI, sont hors ser- çon. Surtout quand le montant est mis sous surveillance, pendant crise », poursuit Guillaume vée de
français de la santé. Une attaque vice. « Nous sommes revenus au s’avère astronomique. Selon une une période relativement longue, Poupard. Crypto
ciblée, qui rappelle celles per- papier-stylo », poursuit Évelyne source proche du dossier, elle afin d’éviter une seconde vague Selon Évelyne Bourgeois, le retour jet de
pétrées depuis plusieurs années Bourgeois. « Mais cela a forte- atteignait « plusieurs centaines d’attaque. » à la normale ne s’est quand même mineu
POSTMORTEM

aux États-Unis et démontre que ment perturbé le fonctionnement de milliers d’euros ». D’après une pas fait en trois jours. Le lundi fier sa
la France n’est désormais plus des services. Par exemple : pour les autre source, il s’agissait de 40 Un retour à la matin, les urgences fonction- impliq
à l’abri. « Il y a eu plus de 600 commandes de repas, tout a été fait bitcoins, soit environ 250 000 naient toujours en mode dégradé, pas à
incidents de sécurité informatique par téléphone, ce qui est beaucoup euros, selon le cours de l’époque
normale en 15 jours rapportent différentes sources. ni un
déclarés par les établissements de plus long. Les prescriptions médi- de la cryptomonnaie. « L’attaque Tout le week-end, l’Anssi et la « Les systèmes et les données ont ticuli
santé en France en 2019, principa- cales ont été rédigées sur papier, était ciblée, ce n’était pas une IP DSI travaillent au rétablisse- été récupérés progressivement. Ce menti
lement dû à des cryptovirus. Mais ce qui est aussi très long. Pour les tirée au hasard. Mais le montant de ment du SI, avec une équipe n’est qu’au bout d’environ 15 jours ayant
l’attaque de Rouen sort du lot », cartes vitales, nous avons fait des la rançon l’était beaucoup moins », présente 24h/24. Une vingtaine que l’on peut dire que tout était ren- États-
commente Vincent Trely, pré- photocopies en attendant que le explique Guillaume Poupard, d’agents sont parallèlement tré dans l’ordre. Aujourd’hui encore, une d
sident et fondateur de l’Apssis système revienne. Récupérer les directeur général de l’Anssi. envoyés dans les services pour certaines données n’ont pas été récu- dont l
(Association Pour la Sécurité des examens médicaux était également « Une grosse clinique américaine, expliquer la situation. Car les pérées. Mais cela ne nous empêche
SI de Santé). compliqué, car il fallait se rendre au qui gagne des millions de dollars bruits de couloir colportent pas de travailler », confie-t-elle.
L’attaque débute à 19h45 le ven- laboratoire, qui est sur un des cinq par jour, aurait pu payer. Mais pour des informations contradic- Depuis l’attaque, diverses
dredi soir. Le principal serveur sites du CHU ». un CHU français, cela n’était pas toires. « On nous a dit que l’on mesures ont été prises pour ren-
technique du SI de l’hôpital, raisonnable ». Selon une source était victime d’un piratage infor- forcer le SI du CHU de Rouen.
pierre angulaire de l’ensemble Une rançon proche du dossier, la direction matique, d’abord sans rançon puis « Sur les postes de travail, il n’est
des applications métiers, est du CHU a de toute façon refusé avec rançon. Ce n’était pas clair. pas possible de se connecter à
chiffré à distance par un atta-
disproportionnée de payer la rançon, par principe. Mais comme la messagerie était des messageries personnelles ou
quant. Progressivement, tous Côté direction, une demande de Pour faire face à l’attaque, l’éta- bloquée et que la DSI était sur- à d’autres services externes »,
les services sont bloqués, dont rançon est adressée. Le CHU de blissement crée une cellule de chargée, il était très difficile d’avoir évoque Évelyne Bourgeois. De
l’imagerie médicale, la ges- Rouen est un des plus importants crise dans la nuit de vendredi des informations », se rappelle son côté l’Anssi indique que :
tion des dossiers patients, la établissements de santé français, à samedi. Elle rappelle du per- Évelyne Bourgeois. « Ce qui n’est pas achevé c’est le
messagerie interne, les pres- avec plus de 10 000 employés sonnel, déclare l’attaque au Face à la difficulté de la situa- durcissement du réseau. Cette phase
criptions médicamenteuses, et près de 2 500 lits. Il s’agit ministère des Solidarités et de tion, la direction de l’hôpital de remédiation peut prendre plu-
la biologie, les commandes de même du premier employeur la Santé et prévient l’Anssi. Cette décide de réduire son activité, sieurs mois ».

POSTMORTEM_ROUEN.indd 6 13/03/2020 17:52


n
Le rançongiciel Clop chiffre les documents « L’objectif est que les risques, pour
Clop, au cœur présents sur les SI en leur ajou- ces cybercriminels, ne soient plus
Qui est TA505 ?
tant notamment l’extension uniquement que l’attaque ne fonc-
de l’attaque «.clop». En outre, des certifi- tionne pas. Nous débutons dans ce
TA505 (alias Evil Corp et SectorJ04) est un groupe cybercri-
Le mode opératoire des atta- cats sont utilisés pour signer le domaine, mais c’est le sens de l’his-
quants est relativement classique. code malveillant Clop afin de lui toire. Ces mesures doivent être prises minel russophone, actif depuis 2014, ciblant principalement
« La compromission a eu lieu par donner une apparence légitime. avec énormément de prudence, sans le secteur de la finance, de la distribution et des institutions
l’ouverture d’un courriel malveil- Les mentions suivantes ont été confusion avec les missions des uns gouvernementales. Un de ses membres serait Maksim
lant ayant permis à l’attaquant de observées à plusieurs reprises et des autres, en évitant tout effet
déployer des outils de reconnais- dans le champ « Sujet » des cer- collatéral, ce qui n’est pas simple ».
Viktorovich Yakubets, célèbre pirate urkainien recherché
sance et de propagation manuelle », tificats associés aux attaques Le chef présumé de TA505, par le FBI.
explique l’Anssi. Un employé de exploitant ce rançongiciel : Maksim Viktorovich Yakubets,
l’hôpital a donc vraisembla- « ALISA L LIMITED 4 », « THE fait déjà l’objet d’un mandat d’ar-
blement reçu un e-mail piégé COMPANY OF WORDS LTD » ou rêt du FBI. L’agence américaine
l’incitant à cliquer sur un lien ou encore « MISHA LONDON LTD ». promet même une prime de 5
à ouvrir une pièce jointe, ce qui a Clop comporte également une millions de dollars pour toute

POSTMORTEM
inoculé un code malveillant sur fonction de suppression des information menant à son arres-
le SI. « Il y a toujours un "patient copies cachées Windows (volume tation ou sa condamnation.
zéro", c’est-à-dire le poste sur lequel shadow copies). Au final, l’attaque du CHU de
l’infection initiale a été réalisée. Il Rouen a créé d’importantes
permet d’ouvrir une porte d’entrée TA505 : l’attaquant perturbations dans les ser-
sur le SI. L’attaquant va ensuite se vices, sans pour autant mettre
déplacer sans les systèmes selon le
présumé en péril la santé des patients,
principe du "mouvement latéral", Les investigations de l’Anssi indiquent les observateurs du
via des chemins secondaires entre ont permis d’associer l’attaque secteur. Mais cela aurait pu mal
les appareils et les applications », à une plus large campagne tourner. « Sans l’informatique le
précise Emmanuel Gras. « Son ciblant également des univer- risque d’erreurs est plus important.
objectif est d’acquérir progressive- sités européennes, opérée par Cela est particulièrement préoc-
ment des privilèges supérieurs afin le groupe cybercriminel russo- cupant au niveau des traitements
de pouvoir ensuite lancer l’attaque phone TA505 (lire encadré). « On médicamenteux, pour lesquels
finale, incluant le chiffrement des ne pourra jamais affirmer avec cer- l’informatique a fait sensible-
données et la demande de rançon ». titude que l’attaque a été perpétrée ment baisser le nombre d’erreurs.
Selon l’Anssi, les outils de recon- par TA505 », tient cependant à Une cyberattaque représente donc
naissance et de propagation préciser Emmanuel Gras. « En un risque réel pour la santé des
manuelle utilisés pour l’attaque cybersécurité, l’attribution des patients. Les conséquences peuvent
étaient notamment SDBBot, attaques est quelque chose de très être dramatiques », commente
Metasploit, CobaltStrike ou complexe et il est impossible d’être Cédric Cartau, RSSI et DPO du
encore Mimikatz. « C’est grâce à certain à 100 % d’avoir identifié les CHU de Nantes.
ie des ces outils que l’attaquant a réussi à auteurs. Ils peuvent se faire passer Selon lui, la menace est gran-
éta- prendre le contrôle du domaine et pour tel ou tel groupe de cyber- dissante. En 2019, au CHU de
vous le à déployer dans la nuit de vendredi criminels, alors qu’il s’agit d’un Nantes, une quinzaine de pièces
d’une à samedi le code de chiffrement sur autre reprenant un modus operandi jointes suspectes étaient déce-
ter en la majorité du parc informatique », connu, pour créer une fausse piste. lées chaque semaine, par des
ns un indique l’agence. Elle estime Ce qui est certain, c’est que le but de solutions de type Sandbox (bac
rs CHU également que cette phase en l’attaque était clairement financier. à sable). « Aujourd’hui, nous en
ieppe, amont a probablement duré plu- Il s’agit donc d’un groupe interna- sommes à une cinquantaine, avec Depuis 2019, TA505 cible également les domaines de la
ut-on sieurs jours. tional relevant du crime organisé. » des pics à soixante-dix », alerte recherche, de l’énergie, de l’aviation et de la santé. « La
te à la Pour le chiffrement du SI et Suite à l’attaque, le CHU de Rouen Cédric Cartau. 7
motivation première de TA505 est lucrative : principa-
ée des l’envoi de la demande de ran- a porté plainte auprès du parquet
ance 3 çon, l’attaquant a utilisé le de Paris. Une enquête judiciaire a Les hôpitaux : lement à la recherche d’entités détenant de l’argent. Ils
logiciel Clop. « Il s’agit d’un ran- été initiée pour « accès frauduleux, auraient récemment cherché à monétiser de la propriété
inci- çongiciel assez classique. C’est du maintien frauduleux, modification et
une cible de choix intellectuelle qu’ils auraient dérobée », précise l’Anssi. Leurs
arrés. logiciel malveillant sur étagère, que introduction frauduleuse et entraves Les attaques ciblant des hôpitaux
armes sont principalement des trojans bancaires (Dridex
nt pas n’importe qui peut utiliser. Il évo- au fonctionnement dans un système français seraient donc amenées à
t cer- lue et intègre des variantes, mais de traitement automatisé de don- se multiplier ? « Oui. Rouen n’est et TrickBot) et des rançongiciels (Locky, GlobeImposter,
stent globalement, c’est un outil assez nées à caractère personnel mis en qu’un début et je ne suis pas spé- Clop et Philadelphia). Selon un récent communiqué de
appli- commun », souligne Emmanuel œuvre par l’État, en bande organi- cialement alarmiste. Mais avec la Microsoft, TA505 exploite également des documents Excel
nnent. Gras. sée ». L’extorsion et la tentative digitalisation, la surface d’attaque
marrés Selon un rapport de l’Anssi, d’extorsion en bande organi- ne fait que croître dans les hôpi-
contenant une macro malveillante.
bsolu- publié juste après l’attaque : sée, figurent également dans les taux », prévient Vincent Trely. TA505 serait à l’origine d’au moins neuf campagnes d’at-
élicite la première utilisation de poursuites. Le parquet a confié Le principal problème reste le taques depuis juin 2019 et auraient ainsi compromis plus
gner la Clop a été observée en février les investigations à l’Office cen- manque de moyens financiers d’un millier d’organisations dans le monde. « Ses impor-
quipes 2019. Il s’agit d’une variante tral de lutte contre la criminalité dont disposent les hôpitaux
n pré- de la famille de rançongiciels liée aux technologies de l’infor- français pour se protéger des tantes capacités d’action interrogent sur la structure du
ion de CryptoMix, elle-même déri- mation et de la communication cyberattaques. « Il y a un manque groupe qui pourrait regrouper plusieurs sous-groupes ou
aume vée des familles CryptXXX et (OCLCTIC) et à la police judiciaire cruel de moyens dans le secteur impliquer une collaboration avec d’autres », estime l’agence
CryptoWall. Son code fait l’ob- de Rouen. hospitalier qui freine les investisse-
gouvernementale française.
retour jet de fréquentes modifications Selon les experts du secteur, il est ments dans la sécurité informatique
même mineures, afin de complexi- peu probable que les auteurs de et pousse à rallonger la durée de
lundi fier sa détection. Les attaques l’attaque soient traduits en jus- vie des équipements au maxi- moyens pour déployer des solu- l’Apssis : « Depuis l’attaque, plu-
ction- impliquant Clop ne se limitent tice. Une relative impunité contre mum », indique un professionnel tions robustes, par exemple du sieurs RSSI m’ont indiqué que la
gradé, pas à une zone géographique, laquelle tente de lutter l’Anssi. du secteur, qui préfère garder chiffrement, de la conteneurisa- porte de leur direction générale leur
urces. ni un secteur d’activité par- « La priorité reste la défense, la l’anonymat. « Dans certains éta- tion, etc. ». était davantage ouverte. Et certains
ées ont ticulier. L’éditeur Mc Afee protection et la remédiation. Mais blissements, j’ai vu des serveurs L’Apssis pointe également le ont même vu des budgets, qu’ils
ent. Ce mentionne ainsi des attaques de plus en plus, nous allons mettre qui avaient plus de 20 ans d’âge manque de moyens : « Aux réclamaient depuis longtemps, se
5 jours ayant majoritairement ciblé les la pression collectivement sur ces et n’avaient pas été régulièrement États-Unis, au Canada, en Corée débloquer », note Vincent Trely.
ait ren- États-Unis, mais également groupes, avec la justice et d’autres patchés. Une bonne part des CHU ou au Danemark, l’IT représente « Une étape vient d’être franchie »,
encore, une douzaine d’autres pays, capacités cyber-nationales », confie français possède encore des postes environ 5 % du budget des hôpi- estime pour sa part Guillaume
é récu- dont la France. Guillaume Poupard. de travail sous Windows 7, alors que taux. En France, il se situe entre 1,2 Poupard, qui se veut plus rassu-
mpêche cet OS n’est plus maintenu ». et 2 % », observe Vincent Trely. rant. « La phase de déni, qui pouvait
-elle. Toujours selon cette source : Mais le cas de Rouen semble se rencontrer il y a quelques années
erses « Clop est un rançongiciel « Globalement, le niveau de sécu- faire bouger les lignes. « Il nous est révolue. Nous sommes désormais
r ren- rité informatique dans les hôpitaux a incités à accélérer la sécurisation dans une phase d’action. Mais il y a
ouen. assez classique. C’est du français a évolué. Mais il reste de notre SI. À Nantes, nous avons effectivement un manque de moyens.
il n’est logiciel malveillant sur insuffisant. Il n’y a plus de gros identifié plus d’une quarantaine C’est pourquoi nous travaillons avec
cter à risques d’incendie dans les salles de mesures à prendre. La majo- plusieurs centres hospitaliers à la
lles ou étagère, que n’importe informatiques, comme cela pou- rité ne nécessite d’ailleurs pas mise en place de solutions efficaces et
nes », qui peut utiliser » vait être le cas il y a une dizaine d’achat de solution, mais du temps financièrement viables », conclut-il.
is. De d’années. Les data centers sont homme pour patcher des systèmes Contactée par notre rédaction, la
que : Emmanuel Gras, également redondés dans quasi- ou paramétrer des équipements. direction du CHU de Rouen n’a
c’est le ancien de l’Anssi et CEO ment tous les établissements. Mais Les mesures les plus urgentes vont pas souhaité, pour le moment,
e phase la circulation des données sur les être appliquées dès cette année », s’exprimer sur le sujet. ❚
d’Alsid.
re plu- systèmes d’information reste trop poursuit Cédric Cartau. Christophe Guillemin
faiblement protégée, faute de Même son de cloche du côté de

POSTMORTEM_ROUEN.indd 7 13/03/2020 17:52


Cyber, le risque N°1
Les conséquences autour des SI, pertes d’exploitation et de risque
évolutions réglementaires et données, vols de données pou- métho
législatives ne sont pas innocentes vant entraîner des dommages nant d
non plus. L’adaptation aux règles en recherche et développement, ont un
administratives ou légales va financiers ou commerciaux. EBIOS
encore occuper les entreprises en D’autres sont indirects comme de trav
2020. Ce sera à la fois pour deve- l'atteinte à l'image de l’entre- club u
Le cyber est dans toutes les têtes dans les entreprises et il est devenu nir conformes à des règles déjà en prise, les frais de communication cette n
vigueur ou pour se préparer à le en interne et en externe, ou en
le premier risque identifié selon une étude réalisée pour Allianz, le géant devenir pour de nouvelles règles gestion de crise. Ils doivent être Les
de l’assurance allemand. Comment gérer les risques et les outils du qui vont devenir obligatoires dans pris en compte comme les autres d’un
les mois ou années à venir. Ainsi risques (catastrophes naturelles,
moment pour vous aider à surmonter le problème ? en septembre dernier, seule une responsabilité civile, incendie…). des
entreprise sur trois était conforme Ces risques sont souvent déli- Les mé
au RGPD. Le non-respect des cats à évaluer car il est difficile de les gra
règles expose les entreprises à quantifier les coûts induits d’une œuvre
des risques souvent importants attaque. D’ailleurs il n’existe pas classi
en termes d’image, de sécu- de méthode de calcul standard consis
rité ou d’amendes parfois salées. permettant d’obtenir des sta- risque
Ainsi le régulateur britannique a tistiques consensuelles sur le ser to
mis à l’amende British Airways à coût d’une attaque. De plus il au ris
hauteur de 183 millions de livres devient ainsi difficile de calcu- l’entre
sterling pour « mauvais dispositifs ler le retour sur investissement conten
de sécurité » ce qui avait entraîné dans une solution de sécurité. tiels.
le vol de données de près de 500 Vulnérabilités ne veut pas forcé- risque
000 personnes. Depuis 2009, les ment dire attaque. L’appréhension côté et
amendes ont coûté 342 milliards du risque correspond donc à une autre c
aux institutions financières et analyse fine du contexte de l’en- peut a
850 milliards pour ce qui est du treprise et de son environnement Il conv
manque à gagner. Ces retards économique et géopolitique. une é
s’expliquent souvent par la com- Depuis les années 80, de nom- l’avons
plexité de la mise en œuvre de breuses méthodes ont été mises ser les
telles règles. Pourtant les entre- au point pour l’analyse des gravit
prises qui réussissent à mettre en risques cyber. Les pionniers ont poten
place ces nouvelles règles béné- été les Néerlandais qui ont été judice
ficient d’un véritable avantage les premiers à mettre en œuvre elle pe
concurrentiel sur leur marché. une méthode d’analyse. De nom- associ
breux autres pays s’y sont aussi Pour l
Comment gérer

D
attelés. La France (et l’Anssi) a à une
ans son baromètre l’évolution démographique, l’in- gestion des « risques frontières » développé EBIOS, le Royaume- des an
des risques, Allianz certitude liée au Brexit et un faible (les risques cyber et de réputation).
les risques Uni a choisi sa propre méthode, A par
a interrogé 2 400 réservoir de talents dans l’éco- L’urgence dans ces secteurs fait Les risques cyber sont de plu- Cramm. Un standard ISO 27005 dispos
experts de la gestion nomie numérique, en particulier que les entreprises ne prennent sieurs natures. Les impacts propose la mise en œuvre d’un envisa
des risques dans le les talents en intelligence artifi- pas le temps d’entamer des ses- peuvent être directs : nettoyage schéma global pour mettre en adapté
monde. Ils placent désormais le cielle, sciences des données ou en sions de formation sur le terrain. de l’attaque et remise en état du place une méthode d’analyse de en fon
risque cyber en tête de leurs pré- en étu

8
occupations (37 %) à égalité avec
les interruptions de service. En
Gestion des risques IT élimin
de ses
France, le chiffre monte même à Éditeur Solution Principales fonctions des ca
41 %. Les interruptions de ser- appliq
Cabinet de conseil et développeur de la solution ArengiBox
vice suivent de près avec 40 %. afin d’
La multiplication des attaques Arengi ArengiBox pour un système intégré de gestion des risques avoir d
et l’impact économique de et de la conformité avec cartographie des risques. adapté
celles-ci a accéléré la prise en Third and Fourth party risk Suivi et analyses des risques sur les prestataires en app
compte de la réalité cyber. La Bitsight tant de
management et dans la chaîne de valeur pour différents secteurs d'activité.
moyenne des pertes assurées œuvre
pour les incidents cyber sur les Egerie Egerie Risk Manager Suite de gestion des risques labellisée EBIOS par l'Anssi. des m
cinq dernières années s'élève à Suivi des actifs internet et analyses trepris
2,3 millions d'euros. Soit plus Expanse Expander qui en
que pour des risques classiques
pour réduction des risques. pourra
de l'entreprise comme les incen- Gestion des vulnérabilités et des risques avec un module supplé
Kenna Security Platform + application risk module
dies et les explosions (1,5 million spécifique étendant la plate-forme au niveau des applications. Enfin,
d'euros). Les autres risques pris un con
en compte sont les catastrophes Suite complète et intégrée de gestion des risques cyber de la d
Logic Manager Entreprise Risk Management
naturelles, les évolutions légis- et de l'entreprise. active
latives et réglementaires et les Gestion des risques et des vulnérabilités avec remédiation par les
« évolutions de marché ». ronnem
Nopsec Unified VRM automatique par intégration avec outils de ticketing
La délinquance cybernétique les att
aurait coûté 600 milliards de et de patching. Des cab
dollars en 2018, contre 445 mil- Qualys Qualys Vulnerability Management Gestion des risques et des vulnérabilités. d’intég
liards de dollars en 2014. C’est de déc
trois fois plus que la moyenne
Rapid 7 Insight VM Gestion des vulnérabilités et des risques. vergu
OUTILS

des pertes économiques liées aux Suite de gestion des risques cyber s'appuyant sur le standard des ris
Risk Lens Risk Portfolio/Datawarehouse
catastrophes naturelles sur dix FAIR (Factor Analysis of Information Risks). jet. L’a
ans, qui s’élève à 208 milliards de impor
dollars. Les délinquants utilisent Threat intelligence et reporting vers les équipes de sécurité straté
RiskIQ Digital Footprint Risk Reporting
des méthodes toujours plus inno- de la surface d'attaque possible et des vulnérabilités. convie
vantes pour le vol de données, Suite de logiciels sur la gestion des risques et du respect rôles e
les actes de fraude ou l’extorsion RSA Archer semble
de fonds. La menace en prove-
de la conformité.
nance des États et des pirates à Suite de gestion des risques dédiée aux environnements De n
leur solde croît également avec Sentryo Cybervision de l'Internet des objets avec un service de threat intelligence. outi
pour cibles les fournisseurs d’in- Filiale de Cisco.
frastructures critiques et le vol Pour a
des données ou des secrets de Outil d'audit sur la gestion des accès ce pro
Solarwinds Access Right Manager
fabrique des entreprises. et le respect de la conformité. breux
Le manque de ressources qua- des su
Visualisation de l'exposition aux risques cyber
lifiées fait son entrée dans ce accom
classement (9 %). Le problème Tenable Lumin avec des outils analytiques pour suivre la réduction gers »
semble principalement sensible des risques au fil du temps. tablea
dans les pays d’Europe de l’Est Audit, suivi et monitoring des risques avec stockage les pri
et dans les pays anglo-saxons ainsi
TruOps Risk Management des procédures de remédiation et outils analytiques
(USA, UK, Australie, Canada). Il ciel. Ce
est dû à plusieurs facteurs, tels que pour prise de décisions. comple

OUTILS_GESTION_RISQUES_IT.indd 8 13/03/2020 17:52


et de risque dans les entreprises. Ces chaîne. D’autres se concentrent vulnérabilités avec la découverte moyenne aident les PME à accé- un spécialiste de la gestion des
s pou- méthodes bénéficient mainte- sur un point précis comme l’éva- des vulnérabilités, de l’évaluation der à la démarche. On peut citer risques. L’association anime
mages nant d’une forte expérience et luation des risques. Certains de de la criticité du risque, d’action- Akerva ou Harmonie Technologie aussi des événements avec pour
ment, ont une bonne maturité. Ainsi ces logiciels ont des vues plus ner des actions correctives et de qui étaient présents au récent débats les évolutions des cyber-
ciaux. EBIOS peut compter sur 20 ans globales que le simple risque suivre ces actions pour délivrer FIC qui s’est tenu à Lille à la fin risques. Certains assureurs ont
omme de travaux dans le domaine et un cyber. Plus généralistes, ils se des rapports ou des audits. de janvier dernier. Sekoia est mis en place des structures en
entre- club utilisateur actif fait évoluer présentent souvent comme des Il faut aussi prendre en compte, un autre exemple d’ESN moins cas d’attaque d’un de leurs clients
cation cette norme. outils pour suivre le respect de en dehors de ce tableau, les prin- grande mais tout aussi impliquée. à travers des partenariats avec
ou en la conformité. Sous cette omb- cipales sociétés de services qui Des assureurs sont aussi sur des sociétés spécialisées. Chubb
nt être Les étapes relle, ils embrassent aussi bien proposent soit des méthodes soit ce marché comme Gras Savoye par exemple propose la mise à
autres d’une gestion le risque financier, qu’industriel des consultants à même d’accom- Willis Towers Watson pour gérer disposition d’une Data Breach
relles, ou cyber. Plusieurs solutions pagner les entreprises dans la les risques impliquant les res- Team. En cas d’attaque ou d’une
die…). des risques s’accompagnent de services ou démarche de gestion des risques. sources humaines, financières fuite de donnée avérée ou suppo-
déli- Les méthodes précitées reprennent de mises à disposition d’experts Pas de surprise, tous les grands et technologiques dans l’en- sée, l’assuré dispose d’un numéro
cile de les grandes étapes de la mise en pour accompagner les entreprises du service en France ont ce type treprise. L’Association pour le d’urgence. Un coach le prend en
d’une œuvre d’une gestion des risques dans la démarche. Les outils pro- de ressources à disposition de Management des Risques et charge dans l’heure qui suit et
ste pas classiques. La première étape venant du monde de la sécurité Capgemini à Sopra Steria en pas- des Assurances de l’Entreprise avise en fonction de la situation
ndard consiste en l’identification des informatique ont souvent comme sant par Atos ou IBM. Derrière (AMRAE) propose de son côté s’il est nécessaire de dépêcher,

OUTILS
s sta- risques. Elle permet de recen- point commun d’avoir un cœur de ces mastodontes, de nombreuses des formations autour de la ges- sur place, des experts. ❚
sur le ser toutes les parties exposées produit autour de la gestion des sociétés de services de taille tion des risques ou pour devenir Bertrand Garé
plus il au risque. Dans cette optique,
calcu- l’entreprise doit établir une liste
ement contenant tous les risques poten-
curité. tiels. Elle doit distinguer les
forcé- risques les plus importants d’un
ension côté et les moins importants d’un
à une autre côté. Grâce à cette liste, elle
e l’en- peut analyser leur corrélation.
ement Il convient ensuite de les évaluer,
e. une étape ardue comme nous
nom- l’avons vu. Elle consiste à analy-
mises ser les risques en fonction de leur
e des gravité, déterminer leur impact
rs ont potentiel et l’étendue des pré-
nt été judices y afférents. À part cela,
œuvre elle permet de mesurer les coûts
nom- associés aux risques identifiés.
t aussi Pour la réaliser, il faut procéder
nssi) a à une collecte de données et à
ume- des analyses statistiques.
thode, A partir de là l’entrepreneur
27005 dispose de plusieurs solutions
e d’un envisageables pour trouver la plus
tre en adaptée. Il peut définir la solution
yse de en fonction du risque lui-même
en étudiant la possibilité d’une
élimination ou d’une limitation
de ses effets. Il peut tenir compte 9
des caractéristiques du projet et y
appliquer quelques modifications
Box
afin d’esquiver les risques. Après
avoir déterminé la solution la plus
adaptée, il faut procéder à sa mise
en application. Il s’avère impor-
tant de définir le coût de mise en
vité.
œuvre de la solution en fonction
si. des moyens dont dispose l’en-
treprise. Il faut réduire les coûts
qui en découlent. À défaut, ils
pourraient générer des dépenses
le supplémentaires à l’entreprise.
ons. Enfin, il s’agit de mettre en place
un contrôle et une revue en continu
r de la démarche dans une approche
active pour éviter d’être débordé
on par les changements dans l’envi-
ronnement de l’entreprise ou dans
les attaques externes ou internes.
Des cabinets de conseil préconisent
d’intégrer les résultats dans la prise
de décision dans des projets d’en-
vergure et d’utiliser la gestion
dard des risques dès le début du pro-
jet. L’aspect organisationnel est
important dans la réussite d’une
rité stratégie d’analyse de risque. Il
convient donc de bien clarifier les
ct rôles et responsabilités dans l’en-
semble du processus.

s De nombreux
nce. outils à disposition
Pour aider les entreprises dans
ce processus complexe, de nom-
breux éditeurs ont mis au point
des suites ou des logiciels pour
accompagner les « risk mana-
gers » dans leur tâche. Dans le
tableau ci-contre vous trouverez
les principaux éditeurs du secteur
ainsi que le nom de leur logi-
ciel. Certains proposent des outils
complets suivant l’ensemble de la

OUTILS_GESTION_RISQUES_IT.indd 9 13/03/2020 17:52


Evaluation
du risque cyber…
Automatisée pour
les RSSI ou taillée Le système de score de SecurityScorecard
attribue une note pour chacun des différents
facteurs de risque, permettant aux RSSI

pour les métiers ?


de voir en un coup d'oeil les points faibles de leur SI.

défaut de laisser des angles morts en ne prenant en compte que le


dans l’évaluation des risques. cyber dans sa dimension tech-
D’autant que vulnérabilité n’est nique, on occulte un pan entier
A qui doit être destinée l’évaluation du risque cyber d’une entreprise ? pas obligatoirement synonyme de son impact réel sur l’activité
d’attaque, et par extension d’un de l’entreprise et ce faisant les
Aux RSSI, sous forme de tableaux de bord référençant automati- impact sur les activités de l’en- responsables en entreprise n’ont
quement les vulnérabilités et d’autres informations techniques ? Ou treprise. « Ce que nous savons bien pas une pleine compréhension du
faire, c’est automatiser complète- risque métier.
bien aux métiers, avec des questionnaires détaillés sur leur activité ment la recherche de vulnérabilités Pour prendre un exemple trivial,
et une étude personnalisée sur l’impact éventuel d’une attaque sur le d'entreprises. Il nous faut trois jours
pour évaluer une entreprise, et cet
le responsable d’un haut four-
neau aura du mal à saisir en quoi
“business” ? Les deux approches, en apparence concurrentes, sont examen se poursuit dans le temps une bonne configuration de l’Ac-
puisque le périmètre évolue en tive Directory de l’entreprise peut
en réalité complémentaires. permanence » ajoute François avoir un impact sur le bon fonc-

D
Samarcq. Ces données, sur les tionnement de son four. « C’est
ans l’article précé- DNS, les patchs, les failles ali- pourtant la clé pour convaincre de
dent, nous abordons mentent des tableaux de bord et mettre un budget et un plan d’ac-
l’une des dimensions le système de notation va « four- tion face à ce risque : considérer
de la gest ion du nir un langage compréhensible par la vraie conséquence métier du
risque cyber, à savoir les décisionnaires » nous apprend cyber » assure le senior mana-
son identification. Une étape Nadji Raib, Account Manager ger de Risk&Co. On remarquera
souvent compliquée, qui passe chez SecurityScorecard. qu’on ne parle pas du risque cyber
par de nombreuses méthodes Mais la cybersécurité n’est-elle dans une approche métier, mais
parmi lesquelles EBIOS, déve- pas une chose trop grave pour d’un déclencheur de risque, d’une
10 loppée par l’Anssi, ou le Cramm être laissée aux seuls CISO ? Pour origine cyber au risque métier.
britannique. L’une des princi- Yann Tonnelier, chef de bureau « Toute la beauté de l'approche du
pales problématiques est de adjoint à l’Anssi, « il est compliqué risque par le métier, c’est que la cybe-
déterminer à qui doit s’adres- d’automatiser ». « Pour pouvoir rattaque devient une cause de panne
ser cette évaluation de risques. dérouler la méthode d’évaluation comme une autre. Ainsi, on ramène
En l’absence de méthode de calcul du risque, il faut connaître l’entre- son traitement dans la norme » sou-
standardisée, plusieurs approches prise, d’où le fait que l’on fasse appel ligne Nicolas de Pesloüan. Mais
s’affrontent. On a vu ces dernières à différents métiers dans l'organi- puisque la méthode n’est pas
années fleurir des entreprises se sation pour éclairer les modalités, automatisée, sa mise en place
faisant agences d’évaluation du les articulations, les contraintes de prend du temps et, surtout, reste
risque cyber. SecurityScorecard, l'entreprise » nous précise-t-il. complexe à actualiser.
société américaine fondée en 2013, A ses yeux, le RSSI ne peut plus
en a fait sa spécialité. Son rôle : dérouler tout seul l’analyse de Réduire les risques
visualiser les risques pesant sur risques, d’où l’intérêt de casser Vaut-il mieux automatiser pour
une organisation, entreprise, les silos. « En dix ou quinze ans, brosser un tableau général des
collectivité ou administration, nous sommes passés d’un impact vulnérabilités à l'attention des
de la même façon qu’un atta- technique du risque cyber à un DSI ou bien adapter l'évaluation
quant. Pour ce faire, elle évalue de impact également organisation- aux métiers afin de leur per-
manière automatisée le niveau de nel, sur la production, les métiers, mettre de comprendre l'impact
risque en collectant toute donnée l’image de marque, les finances... du risque cyber sur leur métier ?
accessible sur Internet, enrichie Le cyber est devenu un risque stra- Les deux mon capitaine ! C’est en
de sources ouvertes ou commer- tégique à gérer comme les autres des termes un peu moins ima-
ciales de Threat Intelligence. François Samarcq, directeur des ventes risques d'entreprise » conclut-il. gés que Raphaël Roth, directeur
Ces données vont venir alimen- Cybersécurité chez PwC France,
de SecurityScorecard, exposait lors d’un FIC Talk
ter dix catégories de facteurs de Comprendre nous explique que les deux
OUTILS

risques que sont la sécurité du l’intérêt de l’automatisation de l’évaluation approches sont complémentaires.
réseau, la santé des DNS, la fré- du risque cyber. le risque Selon lui, les tests de vulnérabi-
quence des correctifs, la sécurité C’est alors qu’entrent en scène des lités peuvent être automatisés, et
des endpoints, la réputation des fournisseurs, etc. quand bien devant l’auto-évaluation et, cabinets de conseils spécialisés doivent l’être dans certains cas.
adresses IP, la sécurité des appli- même aucun audit n’a été mené chose de plus en plus fréquente, dans cette évaluation des risques, Pour autant, « dans l’absolu, on ne
cations Web, le “Cubit Score” directement auprès de ces tierces dans le cas de fusions-acquisi- à l’instar de Risk&Co. Ici, oubliez fait pas de la sécurité pour le “fun”.
(un indice propriétaire relatif parties. tions. Le cas de Marriott, sous l’automatisation : « on adapte la In fine, ce que l’on fait en cyber, c’est
aux problèmes de sécurité et de En effet, face au durcissement des le feu des projecteurs après que méthode à chaque métier » indique réduire les risques. Et les risques à
configuration critiques liés aux mesures de sécurité des grandes Starwood, racheté en 2016, se soit Nicolas de Pesloüan, senior réduire en premier lieu, ce sont les
portails administratifs exposés), entreprises, les attaquants ont fait dérober les données de cen- manager en charge de la sécu- risques métiers ». En conséquence,
les discussions entre hackers, les de plus en plus tendance à pas- taines de millions de clients, a rité industrielle chez Risk&Co. l’information doit être en pre-
informations d’authentification ser par leurs sous-traitants : sans doute incité les dirigeants « En partant de l’identification des mier lieu adressée aux - et rester
fuitées et l'ingénierie sociale. on parle d’attaques par rebond. à la prudence. risques redoutés du secteur d’acti- compréhensible des - métiers.
La moyenne de ces différents fac- « Les entreprises sont connec- vité, par exemple dans le ferroviaire Là encore, le cyber est conçu
teurs aboutit à un score, de A à tées à des dizaines, des centaines Evolutif qu’un train déraille, et déterminant si moins comme un risque en soi
F, estimant le niveau de sécurité de fournisseurs qui sont autant ces risques peuvent avoir une origine que comme un vecteur. Raphaël
d’une organisation. Et puisque les de vecteurs d'attaques » expli-
mais technique cyber ». Une démarche qui passe Roth résume : « on a des risques
données collectées sont publiques, quait lors du FIC François Cette méthode n’est toutefois par des questionnaires personna- métiers qui peuvent être impactés
SecurityScorecard va également Samarcq, directeur des ventes pas parfaite, puisqu’elle ne va lisés et par une prise en compte par une menace IT. Dans la majo-
pouvoir fournir à ses clients de SecurityScorecard, qui pré- pas s’intéresser aux réseaux des risques non pas liés à l’en- rité des entreprises, le risque n’est
un panorama de la sécurité de cise qu’il s’agit là de la principale internes de l’entreprise, ni aux treprise dans sa globalité mais à pas tant IT que métier ». ❚
ses partenaires, sous-traitants, demande des clients de la société, fournisseurs SaaS. Ce qui a le ses activités en elles-mêmes. Car G. P.

OUTILS_RISQUES.indd 10 13/03/2020 17:52


CCPA : un RGPD à la sauce américaine ?
Dans la droite lignée du RGPD, le California suppriment et ne puissent les vendre à des
Consumer Privacy Act est entré en vigueur tiers. Malgré de nombreuses failles per-
le 1er janvier 2020. Ce texte de loi entend mettant de la contourner, cette loi locale
donner aux Californiens le contrôle sur est aux yeux de certains observateurs un
leurs données personnelles, à l’aide d’une premier pas vers une réglementation fédé-
définition très large de ce terme et du droit rale américaine de la confidentialité et de
d’obtenir des entreprises qu’elles four- la protection des données personnelles.
nissent la liste des données collectées, les SUITE EN PAGE VI

CAHIER SPÉCIAL DPO | PREMIER TRIMESTRE 2020

CyberRisques par

DPO externe : quelles


conditions pour une
prestation « idéale » ?
Depuis le 25 mai 2018, date d’entrée en application du RGPD,
de nombreux consultants indépendants et sociétés proposent des
prestations de Data Protection Officer externe. Nous ne reviendrons
pas sur les raisons qui peuvent mener à opter pour la formule du DPO
externe plutôt que celle du DPO interne, chacune ayant ses avantages
et ses inconvénients(1). Nous nous focalisons ici sur les conditions qui
doivent prévaloir à la réalisation de la prestation « idéale », à la fois
pour le responsable de traitement et pour le DPO externe.
1 : Lire l'article sur www.cyber-risques.news « Le succès du DPO

R
appelons que le Délégué à la Pro-
tection des Données externe peut
être une personne morale ou une
qui avait tenu à décrocher le grade de Mastère
Spécialisé en « Management et Protection des
données personnelles » en 2013 avant de proposer
dépend de sa capacité
personne physique. Les lignes
directrices WP243 du G29 du 5 avril
son expertise à ses clients. « Pour le moment,
nous n’avons toujours pas besoin d’aller chercher
à bien travailler avec
tous les niveaux
2017 (endossées depuis par le CEPD) précisent des missions de conseil. Les appels entrants suffisent
en effet que « la fonction du DPD peut aussi être à occuper mon équipe. Nous avons d’ailleurs décidé
exercée sur la base d’un contrat de service conclu de ne pas nous positionner en tant que DPO externe.
avec une personne ou un organisme indépendant
de l’organisme du responsable du traitement ou du
sous-traitant. Dans ce cas, il est essentiel que chaque
Nous préférons les accompagner avec notre offre de
formation et notre métier d’éditeur d’outils pour
les DPO. Nous mettons l’effort dans leur soutien ».
de l’organisation »
membre de l’organisme exerçant les fonctions de
DPD remplisse l’ensemble des exigences applicables Une priorité pour le DPO José Alberto Rodríguez Ruiz,
établies à la section 4 du RGPD (par exemple, il est
essentiel qu’aucun des membres de l’organisme n’ait
externe : se mettre à l’abri DPO de Cornerstone OnDemand.
de conflit d’intérêts). Il est tout aussi important que des conflits d’intérêts
chaque membre soit protégé par les dispositions du L’étude réalisée en 2019 par l’AFPA, à la demande Concernant la protection des données per-
RGPD (par exemple, pas de résiliation abusive du
contrat de service pour les activités de DPD pas plus
du Ministère du Travail et avec la participation de
l’AFCDP, indique que si 90,7 % des DPO externes
sonnelles, José Alberto Rodríguez Ruiz est
que de licenciement abusif d’un membre de l’orga- ont été désignés par moins de cinquante clients, de ceux qui connaissent bien le sujet. DPO
nisme exerçant les missions du DPD) ». 0,6% des prestataires sont désignés pour plus de
Pour aider les responsables de traitement à mille responsables de traitement. de l’éditeur de solutions RH depuis 2016,
entrer en contact avec les prestataires, l’AF-
CDP propose une « Place de marché RGPD »(1)
Les professionnels peuvent-ils être désignés
pour des responsables de traitement qui seraient
il nous explique son parcours ainsi que ses
gratuite. Et le marché est porteur, comme le concurrents directs ? Là où le RGPD est silen- activités et nous livre sa vision du métier de
confie Alessandro Fiorentino, consultant RGPD, cieux, la Charte de déontologie du DPO indique
que «le Délégué à la protection des données s’interdit délégué à la protection des données.
1 : https://afcdp.net/place-de-marche-rgpd SUITE EN PAGE II  SUITE EN PAGE IV

Cahier spécial DPO de la publication CyberRisques réalisé en collaboration avec l'AFCDP. CyberRisques est édité par PC Presse SA, 443 043 369 RCS Nanterre, 38, rue Jean Jaurès 92800 Puteaux France. Demande d'ISSN en cours.
Dépôt légal : 1er trimestre 2020. Imprimé en France par SIB (62). Rédaction : Guillaume Périssat. Création graphique : Franck Soulier. Directeur de la publication : Michel Barreau. contact@cyber-risques.news

Cahier_interieur.indd 1 08/01/2020 20:12


DPO externe : quelles conditions
facilité
légiés,
et de l
les diff
l’entre

pour une prestation « idéale » ?


tions
syner
chée,
le RS
Direct
PAR CHRISTOPHE CHAMPOUSSIN, ADMINISTRATEUR DE L’AFCDP, ET BRUNO RASLE, DÉLÉGUÉ GÉNÉRAL DE L’AFCDP. Pour M
Admi
c’est u
SUITE DE LA PAGE I Christophe Michoud, membre de présent en permanence. Ceci appelle que po

© fullvector
l’AFCDP et DPO externe. une action renforcée et des inte- extern
d’être le prestataire de plus d’un ractions plus fréquentes... là où soutie
client ou mandant dans une même Quelle est beaucoup de clients s'imaginent voir in
affaire s’il y a conflit ou risque la durée « idéale » que la conformité peut être livrée en con
sérieux de conflit entre les intérêts « Clé en Main ». Ainsi, il arrive n’étant
de ses clients ou mandants ; s’inter- du contrat ? que les référents métiers, désignés les opé
dit de s’occuper des affaires de tous Le RGPD est totalement silen- par le client, découvrent totalement n’en fa
les clients ou mandants concernés cieux à ce sujet, qui, cependant, le sujet, et qu'il nous faille les former cadenc
lorsque surgit un conflit d’inté- avait été l’objet d’un débat lors a minima avant de pouvoir entamer tourné
rêts, lorsque le secret professionnel des travaux qui ont mené au réellement notre mission ». vexer e
risque d’être violé ou lorsque son texte définitif. On relève, dans le Mais avant de s’engager, on dès lo
indépendance risque de ne plus être projet de rapport du 17 décembre peut aussi se fiancer… « Je de fair
entière ; ne peut accepter une mis- 2012 de la Commission LIBE propose à mes clients de me « tes- le resp
sion confiée par un nouveau client (Commission des libertés civiles, ter » avant de prendre la décision fréquem
ou mandant si le secret des informa- de la justice et des affaires de me désigner auprès de la CNIL Myria
tions données par un ancien client intérieures - qui avait pour rap- comme son Délégué à la Protection exige
ou mandant risque d’être violé ou porteur Jan Philipp Albrecht) des Données externe. Il ne prend jet en
lorsque la connaissance des affaires sur le projet de RGPD, que la sa décision qu’après m’avoir vu d'entr
de ce dernier favoriserait le nouveau Commission proposait d’imposer réaliser la cartographie et pris « il do
client ou mandant ; se doit d’infor- une durée minimale de désigna- connaissance de mon rapport d’au- née, vo
mer le Responsable de traitement/ tion de deux ans (« le responsable dit. De cette façon, nous évitons à cons
sous-traitant ou le donneur d’ordre du traitement ou le sous-traitant les erreurs de casting » indique Comm
de tous les intérêts qui pourraient désignent un délégué à la protec- un praticien, tandis que Jean- extern
influencer son jugement ou com- tion des données pour une durée Michel Livoswky confie utiliser tructi
promettre l’équité dont il doit faire minimale de deux ans. Le mandat la Charte de déontologie du DPO foncti
preuve ». du délégué à la protection des don- comme outil de qualification de sions
Les Délégués à la protection nées est reconductible. Durant son ses clients : « si notre interlo- la Cha
des données externes doivent mandat, le délégué à la protection cuteur rechigne à la signer, nous est un
donc prendre le soin d’évaluer des données ne peut être démis de préférons concentrer nos efforts sur doit d
en toute transparence avec leurs ses fonctions que s'il ne remplit plus d’autres entreprises ». Ce même les me
clients s’ils peuvent être dési- les conditions requises pour l'exer- professionnel ajoute « nous dépen
gnés pour des organismes qui cice de celles-ci » tandis que le effectuons gratuitement, en leur protec
peuvent se considérer comme Parlement proposait de por- présence et pour chaque prospect, doit s’a
II « concurrents ». De l’autre côté ter la durée minimale à quatre une revue complète de conformité et met
de la barrière, les clients ont ans. On apprendra par la suite de leur site web, que nous présen- des do
tout intérêt à prendre connais- que cette proposition émanait de tons avant la signature. Cela donne qui lu
sance de la liste de références l’Allemagne (pays qui dispose de à notre futur client une vue plus cette i
du consultant qu’ils envisagent Datenschutzbeauftragter depuis précise sur notre façon de travail- le DPO
de désigner DPO. Le tout, c’est Naturellement, il faut que le La question de la disponibilité plus de quarante ans). ler et nos méthodologies. En cas de indép
d’en discuter de façon ouverte contexte permette au profes- doit être étudiée : le presta- L’étude de l’AFPA indique que signature, nous remettons alors le signifi
avant de statuer en connais- sionnel de remplir sa mission. taire sera-t-il joignable en cas la moitié des DPO externes rapport écrit ». sans
sance de cause. C’est également une exigence de contrôle sur place de la CNIL ont signé des contrats d’une estim
de la Charte de déontologie du ou en cas de violation de don- durée d’un an avec leurs clients Facteurs de succès avec
De l’intérêt de DPO : « le professionnel veille à nées ? Pour Cendrine Cosquer, (14,1 % ont signé pour deux ans, pour d
et respect de
conclure un « bon » ce que les contrats passés avec les DPO externe en Martinique, la 11,7 % pour trois ans et 22,4 % consei
donneurs d’ordres définissent pré- question est importante : « avec pour plus de trois ans). On peut l’indépendance après
contrat cisément les conditions et moyens mon équipe, nous nous sommes y voir une certaine prudence ou client
Au-delà du bon sens qui impose d’exécution de la prestation ». organisés afin de pouvoir répondre une difficulté pour certaines du DPO externe Comm
de contractualiser avec tout Le 3 de l’article 38 du RGPD aux urgences à tout moment. C’est organisations à se projeter sur On peut se référer, sur ce le Dé
prestataire, le RGPD (cf. son dispose que « le délégué à la pro- un dispositif très lourd et peut- la fonction du DPO, son uti- sujet, à la Charte de déon- des d
article 37.6) impose la forma- tection des données fait directement être une barrière à l’entrée pour lité et le choix d’organisation tologie du DPO, qui indique avec
lisation d’un document qui rapport au niveau le plus élevé de la les consultants isolés ». Il est vrai (externalisation ou internali- que « le Délégué à la protec- deman
précise le contenu de la presta- direction du responsable du traite- que la fourniture par le pres- sation). En effet, la mission du tion des données externe accepte tient d
tion : « le délégué à la protection ment ». Le niveau d’interaction tataire de procédures efficaces DPO externe peut permettre de sa désignation uniquement s’il la Com
des données peut être un membre entre le prestataire et l’organisme peut permettre de pallier l’ab- préfigurer ce que sera la mise dispose d’un accès facile et sans nels. I
GOUVERNANCE

du personnel du responsable du doit donc aussi figurer dans le sence immédiate du consultant. en place, à terme, d’un DPO condition au Responsable de strict
traitement ou du sous-traitant, contrat. Il est sage également que Naturellement, le contrat doit interne. Cela explique proba- traitement ou à son représen- les ac
ou exercer ses missions sur la base le document mentionne explici- détailler de manière claire les blement le nombre important tant direct et un rattachement de tra
d'un contrat de service ». tement l’assurance Responsabilité prestations et leurs coûts ainsi de désignations pour une durée au plus haut niveau de la hié- ses éc
Il semble utile, en début de Civile Professionnelle à laquelle que les éventuelles prestations courte. Ceci est à mettre en rarchie ; reçoit du Responsable contrô
contrat, de rappeler les obliga- le prestataire a souscrit, avec les hors contrat, et une indexation perspective avec le fait qu’il faut de traitement les informations place
tions de chacune des parties. garanties appropriées (le pres- peut également être prévue, sur souvent plusieurs années pour et documentations suffisantes, un DP
En effet, si le RGPD définit dans tataire devra bien sûr présenter l’un des indices INSEE du coût du espérer mettre en conformité pertinentes et fiables pour fon- loyale
son article 39 les missions du ou tenir à disposition de son travail par exemple. La ques- un organisme qui découvre le der ses conseils, conclusions et CNIL
DPO, il indique également client une attestation sur simple tion du modèle économique est sujet. « Je n’accepte jamais une recommandations ; bénéficie d’un respec
la « fonction » de ce der- demande). fondamentale : facturation au mission sans avoir rencontré les accès facilité aux interlocuteurs, et règ
nier dans l’article 38 qui liste Il est sain d’aborder dans le réel, à la journée, ou bien au for- décideurs. Cet entretien sert surtout disposant des compétences et de protec
les obligations du Responsable contrat et d’y préciser des fait ? « Après avoir démarré mon à orienter le plan de route : je n'ai l’autorité nécessaires, au sein de des se
de traitement vis-à-vis de points comme l’accès du DPO activité en mode projet (un sujet, pas la même approche selon que l’entreprise ». Le texte précise la con
son DPO. Un contrat équilibré aux données à caractère per- une tâche, un nombre de jours fac- le dirigeant vise une certification, que le DPO externe « se doit dans
indiquera donc, a minima, les sonnel, le mode d’interaction du turés), je suis finalement passé à la conformité ou une réduction de d’exiger du donneur d’ordres les toute p
obligations issues de ces deux DPO externe avec les person- l’abonnement. Je demande à être ses risques » indique Alexandre moyens et ressources adéquats et à jour
articles. Au-delà, le contrat nels (peut-il, de son propre chef, désigné DPO externe pour un an, Eloy, Membre AFCDP depuis nécessaires à la bonne réalisation pièces
devrait prévoir les autres mis- lancer un audit ou interroger les renouvelable tacitement avec une 2011 et DPO externe. de la fonction ou de la mission, et en
sions que le client décide de collaborateurs ?), sa capacité d’in- dénonciation du contrat sous trois Certains coûts cachés peuvent et de notifier clairement et sans Comm
confier au DPO externe, telles teraction avec la CNIL (peut-il mois. Ce mode, plus pérenne, est difficilement être facturés aux délai tout défaut sur ce point : les DP
que le suivi des demandes des contacter la CNIL au sujet des plus adapté à l’exercice comptable clients, comme l’indique Thierry informations et documentations résiste
personnes concernées ou encore traitements de son client, de sa de nombre de mes clients – sur- Roby, consultant RGPD, « tout est suffisantes, pertinentes et fiables et aux
la réalisation des analyses d’im- propre initiative ?), la fin de mis- tout dans le secteur public – et plus compliqué pour le DPO externe, pour fonder ses conseils, conclu- à la pr
pact sur la vie privée (AIPD). sion, etc. surtout mieux compris » indique car il n'est pas physiquement sions et recommandations ; accès sensib

Cahier_interieur.indd 2 09/01/2020 10:00


ns
facilité aux interlocuteurs privi- que peuvent essayer d’exercer échéance et la transition avec
légiés, disposant des compétences
et de l’autorité nécessaires, dans
RÉPARTITION PAR STATUT d’autres parties intéressées sur
leur jugement, leur analyse et leurs
un successeur, fût-il concur-
rent. Des mesures concrètes,
les différentes composantes de DES DPO EXTERNES conseils. Le principe d’objectivité notamment concernant la
l’entreprise ». Parmi les fonc- impose aux professionnels de ne restitution de tout document
tions clés avec lesquelles une 5,7 % 20 % 9 % 4,3 % pas compromettre leurs jugements dans un format directement
synergie devra être recher- Cadre Dirigeant Employé Profession en raison de préjugés, de conflits utilisable, et en particulier
chée, figurent naturellement supérieur libérale d’intérêts ou d’autres influences du registre des traitements,
le RSSI et/ou le DSI et le associé abusives » (Charte de déonto- doivent être intégrées. Si le
Directeur juridique. logie du DPO). registre est géré dans un outil
CDP. Pour Martine Ricouart-Maillet, logiciel, un export vers un
Administratrice de l’AFCDP, Quid de l’obligation format réutilisable doit être
c’est un sujet majeur : « plus prévu. La Charte de déontolo-
appelle que pour un DPO interne, un DPO du RT d’assurer gie du DPO précise que « en fin
s inte- externe doit avoir l’écoute et le la formation de mission, le Délégué à la protec-

GOUVERNANCE
. là où soutien des dirigeants pour pou- tion des données externe s’engage
ginent voir insuffler un rythme de mise de son DPO ? à remettre à son client tous les élé-
livrée en conformité, car, le prestataire Concernant les capacités du ments en sa possession relatifs à
arrive n’étant pas présent en permanence, prestataire à remplir la fonc- sa mission. En sus, l’idéal et dans
signés les opérationnels ont tendance à tion de DPO externe, la Charte la mesure du temps dont il dis-
lement n’en faire qu’à leur tête et à leur de déontologie du DPO stipule pose à cet effet, est qu’il s’engage
former cadence dès lors que l’on a le dos 33,5 % que « le professionnel …/… s’inter- à informer son éventuel succes-
ntamer tourné… Savoir s’imposer sans 24,7 % 2,8 % Profession dit de donner à ses clients potentiels seur sur les travaux en cours - cela
vexer est tout un art. Il me semble Cadre Travailleur libérale toute indication erronée quant à pouvant faire l’objet d’une fac-
er, on dès lors que nous avons besoin non salarié indépendant sa capacité et aux moyens tant turation si non prévu dans sa
… « Je de faire des points d’étape avec humains que matériels dont il dis- prestation ». La confidentia-
« tes- le responsable de traitement plus pose (capacité à assurer la mission/ lité, qui doit impérativement
écision fréquemment que le DPO interne ». NOMBRE DE PERSONNES TRAVAILLANT la prestation). Il accepte une mission figurer dans le contrat, s’étend
a CNIL
tection
Myriam Vallin, DPO externe,
exige qu'il y ait un chef de pro-
SUR LE RGPD ET LA CONFORMITÉ seulement s’il se juge compétent
pour le faire, ce qui signifie qu’il
après la mission.
Au sein du contrat, il est sain
prend jet en interne qui soit son point AU SEIN DE STRUCTURES EXTERNES dispose des connaissances et des également de préciser des
oir vu d'entrée au sein de l’entreprise : ressources nécessaires afin d’exer- conditions pouvant donner lieu
et pris « il doit disposer d'une demi-jour- 18,4 % 43,7 % cer la fonction ou la mission dans les à une sortie anticipée (outre le
t d’au- née, voire une journée par semaine 2 pers. 1 personne meilleures conditions possible. Dans cas de non-respect des clauses
vitons à consacrer sur le sujet ». les cas où il identifie une carence, il du contrat). Dans le cas d’un
dique Comme le DPO interne, le DPO en fait part à son interlocuteur pour contrat de service avec une
Jean- externe ne reçoit aucune ins- trouver les moyens d’y remédier, société, le remplacement d’une
tiliser truction dans l’exercice de sa notamment par un effort de for- personne en charge est souvent
u DPO fonction et arrête seul les déci- mation complémentaire ». une phase critique. Le nouvel
ion de sions s’y rapportant. Là encore, En clair, il n’est pas néces- interlocuteur possède-t-il bien
terlo- la Charte de déontologie du DPO saire pour un client d’exiger les mêmes compétences et/ou
r, nous est une référence : « le client de son prestataire qu’il ait déjà qualifications que son prédé-
orts sur doit définir et faire connaître une connaissance parfaite de cesseur ? Est-il « accepté »
même les mesures garantissant l’in- son secteur d’activité et de ses par les collaborateurs ? C’est
« nous dépendance de son Délégué à la métiers, si cela est acté et que ce que confirme Christine
en leur protection des données externe. Il le DPO externe y pallie rapi- Chappet, membre AFCDP et
ospect, doit s’abstenir de toute ingérence dement. C’est ce que confirme ex-consultante RGPD : « quand
ormité et met le Délégué à la protection Cendrine Cosquer, animatrice le DPO externe est une personne III
11,9 % 7,8 % 11,4 %
résen- des données dans une situation du groupe de travail « AFCDP morale, le client a naturellement
donne qui lui permet de fait d’assurer 3 pers. 6,8 % 5 pers. 6 personnes Martinique »  : « lors des premiers tendance à s'attacher au consul-
ue plus cette indépendance ». Mais, si 4 pers. et plus contacts, certains clients essaient tant qui a été désigné comme son
avail- le DPO externe agit de manière de nous tester et de mesurer notre interlocuteur principal. Quand
cas de indépendante, cette liberté ne connaissance de leur secteur d’ac- ce consultant quitte le cabi-
alors le signifie pas qu’il agit seul et TYPES DE STRUCTURES tivité et de leur métier. Il ne faut net, les relations humaines sont
sans concertation. Ainsi, s’il
estime devoir prendre contact
DANS LESQUELLES EXERCENT surtout pas hésiter à avouer sa
méconnaissance ponctuelle et à
à reprendre totalement avec le
nouvel interlocuteur, en espé-
ès avec la CNIL (par exemple LES DPO EXTERNES faire part de son engagement à y rant que le courant passe toujours
pour déposer une demande de pallier pour être en mesure de réali- aussi bien entre la nouvelle tête
conseil), il est sain qu’il le fasse Indépendant établi ser la mission. J’ai toujours constaté et l'entreprise. Même si la docu-
après en avoir conféré avec son 26,19 % que la franchise paye et que la mentation est bien tenue, c'est
client. loyauté est récompensée ». Un toujours un cap délicat à passer.
Comme son homologue interne, Cabinet d’avocats autre professionnel abonde dans Cela peut mettre en danger le
ur ce le Délégué à la protection 7,14 % ce sens : « la gestion du temps est contrat de prestation : cette phase,
déon- des données externe répond un vrai casse-tête. Rapidement, mes qui peut être critique, doit être
dique avec diligence à toutes les bonnes intentions selon lesquelles menée avec une extrême atten-
Cabinet de grande taille (plus de 51 personnes)
rotec- demandes de la CNIL et entre- je devais précieusement réserver tion et bien accompagnée par le
ccepte tient des relations loyales avec 9,52 % du temps pour conserver ma com- chef de mission ».
nt s’il la Commission et ses person- pétence et réaliser ma veille sont D’autres scenarii peuvent être
t sans nels. Il ne communique que le Cabinet de taille moyenne (11 à 50 personnes) parties en fumée, sous la pression envisagés, comme une mise en
ble de strict nécessaire concernant des urgences clients et des impré- demeure ou une sanction de la
10,48 %
ésen- les activités du Responsable vus. En fait, comme nombre de CNIL mettant en lumière des
ement de traitement dans le cadre de consultants dans tout domaine, je recommandations erronées du
a hié- ses échanges avec l’autorité de
Petit cabinet conseils ( jusqu’à 10 personnes) complète ma formation principa- DPO… ou le refus du client de
nsable contrôle. En cas de contrôle sur 29,05 % lement au fil de mes missions ». suivre les conseils de ce der-
ations place de la CNIL – et comme À l’inverse, d’autres profession- nier. Dans tous les cas, il vaut
antes, un DPO interne -, il collabore Autre nels préfèrent se concentrer sur mieux aborder sereinement ces
r fon- loyalement à la mission de la 17,62 % un secteur, comme Myriam sujets délicats en début de pres-
ons et CNIL en permettant, dans le Vallin qui accompagne une tation, notamment pour éviter
ie d’un respect des dispositions légales vingtaine de clients, « ils sont les situations dans lesquelles
Données extraites de l'étude « Mettre en oeuvre
uteurs, et règlementaires relatives à la tous dans le même secteur d’ac- le responsable de traitement
s et de protection de la vie privée et le règlement général sur la protection des données » tivité – mais sans notion de s’imagine que la solution réside
ein de des secrets qu’elles protègent, de la DGEFP (ministère du Travail) avec l'appui concurrence entre eux. C'est une dans un nouveau prestataire,
récise la consultation, immédiate ou de l'Afpa, en partenariat avec l'AFCDP et la CNIL. niche dont je ne souhaite pas sor- plus conciliant : « sans être un
e doit dans les plus brefs délais, de tir car j'ai bien conscience que c'est salarié protégé, il est difficile pour
Enquête en ligne réalisée entre février et avril 2019
res les toute pièce réclamée, en version ma connaissance de leur métier qui un dirigeant de se séparer de son
uats et à jour. Il facilite la copie de ces auprès des DPO internes, internes mutualisés fait la différence ». DPO interne… alors qu’il est si
sation pièces par les agents de contrôle ou externes déclarés auprès de la CNIL, simple de mettre fin à un contrat
ssion, et en informe son client. soit 1265 répondants, distribués comme suit : Il est sage avec un DPO externe, surtout si ses
t sans Comme les confrères internes, • 859 DPO internes • 196 DPO internes mutualisés de prévoir la fin conseils déplaisent » témoigne à
point : les DPO externes doivent savoir par des responsables de traitement • 210 DPO externes mots couverts un professionnel.
ations résister aux influences abusives de mission Autant de sujets qui sont débattus
fiables et aux préjugés : « les Délégués https://travail-emploi.gouv.fr/IMG/pdf Il est important de prévoir la fin entre professionnels concernés au
onclu- à la protection des données sont /resultats-enquete-dpd-dpo.2.pdf de mission. Un contrat avec un sein du groupe de travail « DPO
; accès sensibilisés à toutes les influences DPO externe doit anticiper son externes » de l’AFCDP. ❚

Cahier_interieur.indd 3 09/01/2020 09:59


piliers
à la fo

« Le succès du DPO dépend


et la g
donc u
vailler
de con
seraie

de sa capacité à bien travailler


Le qu
ce son
nous a
des ju
nus a

avec tous les niveaux


faire a
spécifi

Quell
diffic

de l’organisation »
la réal
De qu
résolv
● C’es
tion a
rapide

José Alberto Rodríguez Ruiz, DPO de Cornerstone OnDemand.


rité tr
cruell
de la
Il faut
gogie
SUITE DE LA PAGE I nos clients nous font confiance technico-managériales. Le DPO patien
et nous nous devons de main- est un hybride (certains diraient flexibl
CyberRisques : Dans un pre- tenir nos niveaux de protection un Frankenstein, bien que je tions p
mier temps, pouvez-vous des données et de sécurité. pense que nous préférerions être c
revenir sur votre parcours C’est un enjeu commercial, car nous voir comme des Jedi), d’où temps
et sur la façon dont vous êtes autrement nous ne pourrions l’importance d’avoir des profils rôle co
devenu DPO de Cornerstone ? pas rester leader sur le marché. techniques (informatique, réseau, façon
● José Alberto Rodríguez Ruiz: Mais c’est aussi un enjeu éthique sécurité) et juridiques (IT et pro-
Mon début de parcours fut assez car la protection des données et tection des données) ayant tous Pouv
classique : ingénieur en infor- le RGPD ne portent pas que sur une expérience managériale et / votre
matique avec début de carrière la protection des données, mais ou de service. ● Oh c
chez Capgemini. La première sur la protection des personnes. Le deuxième cercle est composé gestion
chose qu’on pourrait dire c’est C’est très important et il faut le de nos juristes, pour la plupart jet, né
donc qu’on peut être informati- dire et le redire : le RGPD est un experts dans la protection des prése
cien et devenir DPO ! Dans mon règlement sur la protection des données. Il s’agit quand même discus
cas et pour résumer, l’informa- personnes physiques. des obligations règlementaires le man
tique m’a amené à participer à Nous aidons donc nos clients à à mettre en place et de contrats sûr, co
des actions liées à l’architec- protéger leurs salariés et can- à négocier ! Ils fournissent une il y a t
ture et la sécurité (en particulier didats. L’autre grand enjeu est expertise pointue et fondamen- Mais,
IV lors des avant-ventes), puis les opérationnel. On doit à la fois tale sur les lois et les contrats. tiers c
questions liées à la protection bâtir, maintenir et faire évo- Le troisième cercle est composé en cou
des données ont petit à petit luer l’édifice de la conformité, des équipes métier, notam- ment
pris le devant, notamment à ce qui implique de réfléchir à ment les équipes produit et les équipe
partir de 2012 (quand le RGPD long terme tout en étant porté équipes sécurité (DSI/RSSI). métie
a été proposé) et 2013 (suite par les évolutions rapides du Nous avons des « privacy cham- tion à
aux révélations de Snowden). métier : RGPD, lois nationales, pions » dans toutes les équipes,
Je suis devenu le réfèrent pour lois émergentes dans des pays mais les deux modèles d’ar- Sauf e
ces aspects chez Cornerstone, et tiers (Japon, Inde, USA par Cette transversalité est un des la contractualisation avec nos ticulation les plus importants avez a
lors de l’approbation du RGPD en exemple), avis et préconisa- grands défis du rôle du DPO. clients car le RGPD impose des s’illustrent bien avec les équipes nique
2016, avec l’obligatoriété du rôle tions de la CNIL et des autorités Dès lors qu’on touche à la don- mentions obligatoires au contrat. produit et la sécurité. Concernant venez
de DPO, j’étais le bon candidat. nationales des autres pays, juris- née personnelle (et toutes les De ce fait et côté client, on inte- les équipes produit, nous les tique) 
Aujourd’hui, je continue cette prudence, lois connexes comme entreprises le font, bien qu’à des ragit fondamentalement avec le avons formées aux principes empar
évolution en devenant un spécia- e-privacy pour le marketing et niveaux différents) il faut s’as- département RH (car c’est notre et obligations de la protection plus la
liste de la protection des données j’en passe, et gérer les demandes, surer de la conformité. D’autant client), l’IT (qui porte la valida- des données, nous avons pro- tué de
pour l’intelligence artificielle. les questions et les urgences au plus dans le cas de Cornerstone tion technique), le juridique /DPO duit des recommandations et à nive
jour le jour. Nous devons tra- car ce que nous faisons, c’est de (parfois la protection des données des checklists et nous sommes foncti
En tant que DPO, quelles sont vailler à la fois avec nos clients fournir des outils SaaS pour la fait partie du département juri- à leur disposition en mode « sup- ● Pas d
vos principales missions au et les départements internes de gestion des données person- dique et parfois c’est une fonction port », pour les sujets pointus. un pu
sein de Cornerstone ? Quels Cornerstone. Nous ne travaillons nelles. Mais plus spécifiquement, à part) et les achats. Concernant la DSI, nous tra- dével
sont les enjeux et probléma- jamais isolément. nous travaillons en interne sur- vaillons en coordination sur et che
tiques de l’entreprise en termes tout avec les équipes produit, Quels types de profils ren- les architectures, les certifica- inform
de protection et traitement de Quels sont vos principaux inter- pour s’assurer de la conformité contre-t-on dans votre équipe ? tions, les aspects contractuels j’ai un
EXPÉRIENCE

données personnelles ? locuteurs dans l’entreprise ? Vos générale du produit mais aussi Et, en dehors de celle-ci, com- ou encore les discussions avec inform
● Avec mes équipes, nous avons principaux interlocuteurs en de la mise en pratique des prin- ment s’articule votre fonction nos clients. Il faut voir que, dès d’abor
quelque part trois métiers dif- dehors de l’entreprise ? cipes dit de « privacy by design avec celle du DSI et du RSSI de qu’un système gère de la donnée croire
férents. Comme pour toute ● Presque tout le monde ! Et c’est and by default », avec les équipes l’entreprise ? personnelle, toutes les considé- est av
entreprise, nous sommes respon- fondamental, le succès du DPO sécurité (car la sécurité est un ● Nous fonctionnons par cercles, rations IT classiques (sécurité, avant
sables de la conformité interne et de la fonction « privacy » principe fort de la protection des avec un premier cercle des experts disponibilité, performance, audit, les de
pour nos propres données, ce dépend largement de sa capa- données), avec le marketing, les en protection des données (mon etc…) continuent de s’appliquer, ment
sont les données RH, marketing, cité à bien travailler avec tous équipes commerciales, et le juri- équipe), avec des profils opéra- mais, pour une bonne partie, profil
etc. Mais en tant que fournis- les niveaux de l’organisation. dique, notamment au niveau de tionnels technico-juridiques et elles deviennent aussi des obliga- tié jur
seur SaaS dans le domaine RH, tions réglementaires (la sécurité mais e
nous sommes aussi responsables des données, l’accès aux données, métier

Son parcours
de la conformité externe, lors de les analyses d’impact, etc…), et et une
la gestion des données de nos donc le partenariat entre l’IT et En ef
clients (pour l’essentiel les don- la protection des données devient des p
nées des candidats et salariés). Ingénieur en Informatique par l’Universi- postes jusqu’à devenir en mars 2016 Data fondamental. La fonction IT a établi
Finalement, il faut bien expli- dad Complutense de Madrid, puis diplômé Protection Officer. Il est en outre ensei- tout à gagner à bien comprendre dique
quer et rassurer, justement, sur le RGPD et devenir un parte- des tr
de l’ESSEC et du MSIT HEC/Mines, gnant au MBA RH ESA/HumanEase et est
cette conformité, ainsi que sur naire stratégique pour sa mise (à 99%
la sécurité des données, ce qui José Alberto Rodríguez Ruiz débute à auteur d’un thèse professionnelle à HEC en place. Je pense que le poten- donc,
serait notre troisième métier. Capgemini au poste d’ingénieur logiciel sur la conformité RGDP des algorithmes tiel de la DSI à contribuer à la lier av
C’est un métier opérationnel, pendant quatre ans. Il intègre Cornerstone de machine learning. Il est un des dix conformité RGPD n’est pas encore dans
stratégique, et de pédagogie / assez identifié. Par exemple, les impor
divulgation. L’enjeu principal est
en 2009 en qualité de Technical Project premiers DPOs à avoir eu la certification cartographies de systèmes ou les l’oubli
à la fois éthique et commercial : Manager EMEA et y exercera plusieurs AFNOR/CNIL. catalogues des données sont des des do

Cahier_interieur.indd 4 08/01/2020 20:12


piliers de la gouvernance, et ceci de santé ? marketing ?) ; via la pas il y dix ans, et que les 10 que je fais en continu et que je compétence, d’expertise, de
à la fois pour la gouvernance IT mise en place de règles, de pro- postes qui seront les plus recher- voudrais mettre en exergue : capacité. Néanmoins il demeure
et la gouvernance Privacy. C’est cédures, de bonnes pratiques chés dans 10 ans n’existent pas premièrement j’ai lu la loi (le la question de « quelle certifica-
donc une opportunité pour tra- (donc, managériale) ; dans le encore. Oh ! Et devinez, selon RGPD, la loi informatique et tion ? », il faut des certifications
vailler ensemble. Les politiques but de répondre aux objectifs de une étude LinkedIn, le poste libertés, le code du travail car pertinentes, reconnues, presque
de conservation des données son organisation (donc, straté- le plus recherché en France en je suis DPO spécialisé RH…) et difficiles à obtenir. Je suis de
seraient un autre exemple. gique). Un profil technique donc, 2019 ? DPO !! Je ne sais pas si je continue à la (re)lire : c’est ma l’avis d’avoir les « bonnes » cer-

r
Le quatrième et dernier cercle mais en effet, des compétences c’est exact que les 10 postes les boussole, mon compas. Il faut la tifications (ou diplômes…) plutôt
ce sont les experts externes : complémentaires acquises par la plus recherchés dans 10 ans ne regarder souvent pour ne pas se que d’en cumuler à tout va. À
nous avons à notre disposition suite. Pour un profil technique, il sont pas encore connus, mais je perdre. Deuxièmement, j’uti- noter qu’on parle ici des certi-
des juristes externes recon- faut développer les compétences dis sans doute que le DPO c’est lise LinkedIn comme source de fications des personnes (versus
nus auxquels nous pouvons juridiques, métier, managériales le mouton à 10 pattes. Pour reve- « mises à jour », pour com- des certifications des processus
faire appel pour des questions et stratégiques. Pour un profil nir à mon parcours, je me suis prendre les nouveautés, les ou organisations). Mais dans le
spécifiques. juridique, il faut développer les formé régulièrement, d’abord évolutions, les avis des experts domaine de la protection des
compétences techniques, métier, dans le management de projet ou être au courant des publica- données, le RGPD impose l’obli-
Quelles sont les principales managériales et stratégiques. grâce à Capgemini, ensuite par tions de la Cnil. Pour donner un gation de designer un DPO (article

EXPÉRIENCE
difficultés rencontrées dans Pour un profil métier ou mana- le biais d’une double compétence ordre de grandeur, je (re)regarde 37) « sur la base de ses qualités pro-
la réalisation de vos missions ? gérial, il faudrait développer en management (master execu- les textes juridiques au moins fessionnelles et, en particulier, de ses
De quelle manière les abordez/ des compétences techniques et tive en management à l’ESSEC), une fois par semaine et LinkedIn connaissances spécialisées du droit et
résolvez-vous ? juridiques. C’est peut-être plus puis de la formation continue. presque tous les jours. des pratiques en matière de protec-
● C’est un métier en construc- difficile, mais pas impossible. J’ai ensuite fait des formations tion des données, et de sa capacité à
tion avec des évolutions très Peut-être qu’en réalité 40% sont courtes en protection des don- Vous avez obtenu la certifi- accomplir les missions visées à l'ar-
rapides, des niveaux de matu- des profils techniques, 40% des nées RH, puis lors de la prise cation DPO de l’Afnor agréée ticle 39 » Ah ! Alors il faut prouver
rité très variables, et il manque profils juridiques, et 20% autres. de mon poste de DPO, un double par la Cnil, pourquoi ? Quelles qu’on a les bonnes compétences,
cruellement des professionnels Pour beaucoup d’entre nous la diplôme exécutive HEC / École des étaient vos motivations à l’ob- donc certes un CV peut suffire,
de la protection des données. protection des données est une Mines en management infor- tention de cette certification ? mais mieux vaut une (la) bonne
Il faut faire beaucoup de péda- vocation qu’on a découverte en matique, le MSIT. Ce diplôme Que vous apporte-t-elle ? certification. Or, bien qu’il y avait
gogie et avoir beaucoup de cours de route, et c’est ça la (dont je suis maintenant membre ● Il y a deux questions concernant de nombreuses (et bonnes) cer-
e DPO patience, se tenir à jour, être motivation, le plus important ! du bureau de l’association des les certifications : certification tifications (« la certification » au
raient flexible. Il faut trouver des solu- De toute façon, nous sommes anciens élèves), assez unique oui ou non, et si oui, laquelle ! niveau international étant celle
que je tions pour avancer, surtout pas dans une période où tout évolue dans son genre, combine à la fois À la première question j’y crois de l’IAPP), il n’y avait pas de cer-
erions être celui qui dit non tout le très rapidement et il faut se for- les aspects managériaux, straté- fortement, pour tout domaine, tification « officielle », comme
), d’où temps. Je le dis souvent, mon mer en permanence et acquérir giques, techniques, et juridiques après tout une certification c’est par exemple les certifications ISO
profils rôle consiste à trouver la bonne des nouvelles compétences sans IT et de protection des données. comme un diplôme, une vali- 27xxx pour la sécurité, et moins
éseau, façon de faire. relâche. On dit que les 10 postes Cela dit, il y a néanmoins deux dation par un tiers, a priori encore des certifications par les
t pro- les plus recherchés n’existaient actions spécifiques de formation de confiance, d’un niveau de autorités de protection des don-
nt tous Pouvez-vous nous décrire nées, alors que maintenant le
ale et / votre journée type ? RGPD le prévoit (voire l’encou-
● Oh c’est un mélange fou de rage), pour les personnes mais
mposé gestion d’équipe, gestion de pro- aussi pour les organisations (il
lupart jet, négociations contractuelles, ne faut pas oublier que dans le
on des présentations commerciales, régime « RGPD » il faut pouvoir
même discussions stratégiques avec fournir la preuve de sa confor-
taires le management, audits, et bien mité, une certification officielle
ntrats sûr, comme bon informaticien, apparaîtrait dès lors comme
nt une il y a toujours un feu à éteindre. un des meilleurs moyens pour
amen- Mais, plus sérieusement, deux le faire !). Donc ma motiva-
ntrats. tiers c’est la gestion des dossiers tion principale était d’avoir la V
mposé en cours, et un tiers le manage- « bonne » certification, à la fois
tam- ment (à la fois gestion de mes pour mettre en valeur mes com-
et les équipes, travail avec les équipes pétences au sein de Cornerstone,
SI). métiers, stratégie et planifica- et pour répondre à l’obligation
cham- tion à long terme). de Cornerstone de pouvoir four-
uipes, nir la preuve d’avoir choisi un
d’ar- Sauf erreur de ma part, vous DPO conforme aux exigences du
rtants avez au départ un profil tech- RGPD. J’ai attendu pendant plu-
quipes nique (dans le sens où vous sieurs années l’apparition de la
ernant venez initialement de l’informa- première certification officielle
us les tique) ? Comment vous êtes-vous de DPO, puis ensuite j’ai été un
ncipes emparé des sujets juridiques ? Et des 10 premiers à l’avoir. Il en
ection plus largement avez-vous effec- reste naturellement que, quand
s pro- tué des formations, des remises on « vend » ses services de DPO,
ons et à niveau dans le cadre de votre une certification validée par la
mmes fonction de DPO ? Cnil est une très bonne carte de
« sup- ● Pas d’erreur, j’étais (et je suis !) visite, alors que quand on est déjà
intus. un pur produit Capgemini : DPO interne, il y a moins d’ur-
s tra- développeur puis consultant gence. Mais, ne vendons-nous
n sur et chef de projet en services pas tous nos services en perma-
tifica- informatiques, et à l’origine nence, que ce soit en interne ou
ctuels j’ai un diplôme d’ingénieur en externe ?
s avec informatique. Cela dit et tout
ue, dès d’abord, nous aurions tort de Y a-t-il d’autres sujets en rap-
onnée croire que la fonction de DPO port avec votre fonction de DPO
nsidé- est avant tout technique ou que vous aimeriez aborder ?
curité, avant tout juridique. Elle est ● Oui ! Ma citation favorite de
audit, les deux à la fois (apparem- Dark Vador : « En raison du RGPD
liquer, ment la moitié des DPO ont un je ne peux plus vous dire si je suis
artie, profil technique et l’autre moi- votre père ou pas ». On est un peu
obliga- tié juridique, pour simplifier), passé d’un extrême à l’autre. Et
écurité mais elle est aussi une fonction bien que sans doute la vérité est
nnées, métier, une fonction stratégique ailleurs, cet ailleurs s’appelle « le
…), et et une fonction managériale. juste milieu ». On doit fournir
l’IT et En effet, il s’agit d’appliquer le niveau adéquat de protection,
evient des principes de conformité et par ailleurs concentrer nos
n IT a établis dans la loi (donc, juri- efforts sur les données (et les
rendre dique) ; lors de la réalisation traitements de données) ayant
parte- des traitements des données besoin d’un niveau de protec-
a mise (à 99% faits par des machines, tion plus élevé. Autrement nous
poten- donc, technique, en particu- risquerions de dévier des res-
er à la lier avec l’avènement de l’IA) ; sources, limitées et par ailleurs
encore dans un domaine précis (très précieuses, vers des missions
ple, les important car on a tendance à moins importantes. ❚
ou les l’oublier ! donc métier : s’agit-il Propos recueillis
nt des des données RH ? des données par Guillaume Périssat

Cahier_interieur.indd 5 08/01/2020 20:12


California Consumer
de tran
verte)
jours.
jours s
deman

Privacy Act : un RGPD


mateu
des in
Ces do
usage
la sup
lemen

à la sauce américaine ?
soient
En eff
d’opp
mani
d’opt-
page d
de l’en
LEQUEL DES ÉNONCÉS SUIVANTS DÉCRIT LE MIEUX L'ÉTAT détaill
DE VOTRE CONFORMITÉ CCPA DE L'ENTREPRISE? en pla
my dat
CCPA seulement sans q
« disc
teur »
SUITE DE LA PAGE I 17 % 31 % 10 % 21 % 15 % 6 % l'un de

E
l’accès
n matière de protection personnelle brasse large ! Le CCPA + GDPR factur
et de confidentialité terme désigne « les informa- ou en
des données person- tions qui identifient, se rapportent lité de
nelles, les Etats-Unis à, décrivent, sont raisonnable- 14 % 25 % 8 % 16 % 16 % 21 % Il est e
font figure de mau- ment capables d'être associées à, prises
vais élève, en l’absence d’un ou pourraient raisonnablement être perso
véritable cadre national. 2020 liées, directement ou indirectement, Nous n'avons Nous travaillons sur Nous avons un plan mais n'avons teurs â
marquera-t-il la naissance d’un à un consommateur ou un ménage pas commencé notre plan préliminaire pas commencé l'implémentation l'adole
RGPD « made in US » ? Dans particulier ». Ce qui recouvre peu Pour l
ses prévisions pour cette nou- ou prou toute forme de données : Nous avons commencé L'implémentation Nous avons terminé et ans, le
velle année, Andre Durand, le nom, adresses postales et mails, l'implémentation est à un stade avancée sommes conformes au CCPA est re
CEO de Ping Identity, le croit pseudonymes, identifiants en tuteur
et pense que le Congrès améri- ligne, adresses IP, informations Sans surprise, les entreprises déjà soumises au RGPD se disent bien plus prêtes cemen
cain « devrait franchir le pas pour commerciales telles que les biens au CCPA que les autres. 21% d'entre elles se disent déjà conformes, fédéra
combler cette lacune et idéalement personnels, les produits ou ser- contre 6% de celles qui ne sont pas concernées par le RGPD. vie pri
prendre l’initiative de protéger non vices achetés, les informations fameu
seulement les données, mais aussi biométriques, les captations pourra
les identités numériques de tous les audios, les photos, les vidéos, QUELLE PROPORTION DE VOTRE PROGRAMME RGPD VOUS par le
Américains ». les activités en ligne, les infor- que pa
Un souhait motivé par l’entrée mations professionnelles…
ATTENDEZ-VOUS À UTILISER POUR LE CCPA ? Califo
en vigueur ce 1er janvier du CCPA, d’infli
VI ou California Consumer Privacy Un droit d’accès à 7 500
Act. Ce texte de loi, adopté par 33% fois le
l’Etat de Californie en juin 2018,
et de suppression 30% Entre 26 et 50% fautifs
introduit dans la législation En résumé, les citoyens et Entre 51 dans l
locale des dispositions offrant ménages californiens peuvent et 75% Sont
aux « consommateurs » cali- demander d’une entreprise entre
forniens un plus grand contrôle qu’elle leur fournisse les don- à but
sur leurs données personnelles, nées collectées les concernant, Califo
7%
leur collecte et l’usage qui en est les finalités commerciales de bruts
fait par les entreprises. cette collecte ainsi que la liste Moins de 25% dollar
Premier constat quant à cette loi complète des tiers auxquels ces dant l
17% 8%
inspirée de notre RGPD euro- données ont été « vendues » (au 1% d’au m
péen, la définition d’information sens large puisque toute forme Plus de 75% 3% Trop tôt pour teurs
Aucune
La totalité se prononcer moitié
annue
50% des entreprises concernées par le RGPD estime qu'au moins la moitié nées d
de leur programme de mise en conformité sera utilisée pour appliquer le CCPA. l’Etat.
l’entre
Califor
QUELLE SOMME VOTRE ENTREPRISE PRÉVOIT D'INVESTIR A note
de six
DANS LA MISE EN CONFORMITÉ AU CCPA EN 2019 ? sant a
CCPA seulement proch
confor
AILLEURS

Du côt
les cit
3 % 18 % 33 % 24 % 15 % 6 %
concer
assur
CCPA + GDPR breuse
dans l'
bablem
4 % 35 % 30 % 15 % 15 % 2 % auront
tout da
Entre 100 000$ Entre 500 000$ va pou
0$ Moins de 100 000$ aux d
et 500 000$ et 1 000 000$ modi
Entre 1 000 000$ Plus de queron
et 5 000 000$ 5 000 000$ Firefo
Califor

39% des répondants déjà prêts pour le RGPD investiront moins de 100 000 dollars Le C
pour leur mise en conformité au CCPA, quand 79% des entreprises soumises
con
uniquement au CCPA prévoient de dépenser des sommes à 6 chiffres minimum
pour être en règle. Evidem
parfa
Chiffres issus d'une étude de Dimensional Research pour TrustArc du gr
Andre Durand, CEO de Ping Identity. menée auprès d'un panel d'entreprises américaines et réalisée en février 2019. tions

Cahier_interieur.indd 6 08/01/2020 20:12


er
de transfert de données est cou- une demande de suppression entreprise peut également offrir personnelles à l’instar de notre du California Consumer Privacy
verte) durant les 30 derniers d’informations, l’entreprise un prix, un taux, un niveau ou une Cnil pour constater les infrac- Act a été mis sur les rails par
jours. Les sociétés ont alors 45 concernée pourra répondre par qualité de biens ou de services dif- tions et engager des poursuites, le législateur californien du fait
jours suivant la réception d'une la négative dans de nombreux férents au consommateur si ce prix cette tâche échoit aux citoyens. même de l’impasse dans laquelle
demande vérifiable du consom- cas de figure, si l’information ou cette différence est directement Soit ceux-là même qui bien sou- se trouvent les discussions sur
mateur pour fournir l’ensemble est nécessaire pour finaliser lié à la valeur fournie à l'entreprise vent acceptent les conditions le sujet à l’échelle fédérale. Le

D
des informations requises. une transaction, pour debug- par les données du consomma- d’utilisation et autres politiques CCPA pourra-t-il faire bouger les
Ces données personnelles, les ger une fonctionnalité, pour teur ». D’autant que le texte de confidentialité sans les lire. lignes ? Andre Durand explique
usagers peuvent en demander assurer la continuité du ser- autorise les entreprises à mettre Pourtant, si la loi californienne s’attendre « à ce que d’autres États
la suppression, et peuvent éga- vice au consommateur, pour en place des programmes d’in- recèle de nombreuses failles, américains suivent et adoptent une
lement s’opposer à ce qu’elles détecter des incidents de sécu- citation surtout financière afin elle est sans doute à ce jour le législation similaire » mais, plus
soient partagées avec des tiers. rité ou encore pour défendre la de pousser l’individu à accepter cadre le plus avancé en matière encore, « à ce que le gouvernement
En effet, la loi prévoit un droit liberté d’expression… Certains la collecte ou la revente de ses de confidentialité et de protec- fédéral, encouragé par le dévelop-
d’opposition à la vente, qui se ironisent sur ces exceptions, données. Enfin, la loi elle-même tion des données aux Etats-Unis. pement rapide des réglementations
manifeste par un dispositif évoquant plutôt un « droit à pose un problème d’applicabi- L’un des principaux arguments sur la sécurité des données, prenne
d’opt-out accessible depuis la espérer la suppression de ses don- lité, puisque la vérification de de ses opposants portait juste- l’identité numérique sous son aile,
page d’accueil du site internet nées personnelles ». son respect par les entreprises ment sur l’inutilité de cette loi, en adoptant tout un ensemble de

AILLEURS
de l’entreprise. Ainsi, certains En outre, si la discrimination passe en grande partie par puisque seule une loi fédérale mesures de protection des données
AT détaillants ont d’ores et déjà mis d’un utilisateur qui exercerait les Californiens eux-mêmes : aurait un impact suffisam- des consommateurs ». ❚
en place un bouton « do not sell son droit est interdite, « une pas de gendarme des données ment significatif. Or le projet Guillaume Périssat
my data » sur leurs sites. Le tout
sans que l’entreprise ne puisse
« discriminer un consomma-
teur » lorsque celui-ci exerce
6 % l'un de ses droits en lui refusant
l’accès à certains services, en le
facturant à un taux plus élevé
ou en lui fournissant une qua-
lité de service inférieure.
Il est en outre interdit aux entre-
prises de vendre les informations
personnelles des consomma-
avons teurs âgés de 13 à 16 ans (sauf si
ation l'adolescent choisit de le faire).
Pour les enfants de moins de 13
ans, le consentement à la vente
CCPA est requis d'un parent ou d'un
tuteur, améliorant ainsi effica-
s cement la protection de la loi
fédérale sur la protection de la
vie privée des enfants en ligne, la
fameuse COPPA. Toute violation
pourra être poursuivie, aussi bien
US par le consommateur lui-même
que par le procureur général de
Californie, lequel est en mesure
d’infliger des amendes grimpant
à 7 500 dollars par violation. Une VII
fois leur infraction notifiée, les
0% fautifs ont 30 jours pour revenir
dans les clous.
Sont soumises au CCPA les
entreprises ou organisations
à but lucratif générant en
Californie des revenus annuels
bruts de plus de 25 millions de
25% dollars, collectant ou reven-
dant les données personnelles
d’au moins 50 000 consomma-
teurs californiens ou tirant la
moitié ou plus de ses revenus
annuels de la revente de don-
nées desdits ressortissants de
. l’Etat. Et ce quand bien même
l’entreprise n’est pas basée en
Californie, ni même américaine.
IR A noter qu’une période de grâce
de six mois a été accordée, lais-
sant aux sociétés jusqu’à juin
prochain pour se mettre en
conformité.
Du côté des bénéficiaires, seuls
les citoyens californiens sont
6 %
concernés. Néanmoins, Mozilla
assure que « puisque de nom-
breuses entreprises font des affaires
dans l'État, elles apporteront pro-
bablement des changements qui
2 % auront un impact sur les gens par-
tout dans le monde ». La fondation
0 000$ va pour sa part adapter Firefox
aux dispositions de la loi, des
00$ modifications qui « s'appli-
queront à tous les utilisateurs de
Firefox, pas seulement à ceux de
Californie ».

ars Le CCPA aisément


s
contournable
m
Evidemment, le CCPA n’est pas
parfait, du fait notamment
du grand nombre d’excep-
9. tions qu’il contient. Ainsi, à

Cahier_interieur.indd 7 08/01/2020 20:12


DPO, combien de divisions ?
Les premières enquêtes sur la fonction de DPO arrivent tout juste et si l’on 297 sur la même période en 2017. organisations avaient désigné
L'AFCDP précise avoir recensé un CIL. Sont inclus 5 000 corres-
commence à connaître leur profil, l’Observatoire du métier de DPO vient sur l'année pleine 850 publica- pondants externes ou mutualisés,
nous fournir quelques informations supplémentaires sur leur recrutement. tions d’offres, mais estime qu'il
ne s'agit là que de la partie émer-
susceptibles de servir plusieurs
organismes.

E
gée de l'iceberg. La cooptation, le Parmi les autres résultats de cet
n 2018, le cabinet d’études bouche à oreille, les candidatures Observatoire, l'AFCDP note que
Robert Half estimait que le spontanées et autres voies non la majorité des contrats propo-
poste le plus recherché par NOMBRE D’OFFRES D’EMPLOI publiques et non en ligne repré- sés sont des CDI (74% en octobre)
les entreprises sur la période 2018- DÉTECTÉES DE MARS À OCTOBRE 2019 senterait 70% du marché total de dans le secteur privé (80% des
2019 serait celui de Chef de projet l'emploi, selon l'association. Ce offres) en Île-de-France (71,2%).
RGPD/DPO, devant Data Analyst et 100 EN FRANCE marché caché porterait alors l'en- Pour l'heure, l'association ne
Developer Web. Et LinkedIn place 83 semble des recrutements à 2 800 mentionne pas dans son rapport
dans son tout premier rapport sur 79 77 80 sur l'année. Sur les 850 embauches les niveaux de rémunération. Pour
80 74
les métiers les plus recherchés en repérées, 15% correspondent à des chaque poste senior, 2,6 postes
67 64
France la fonction de DPO en tête. postes de DPO désignés auprès de de junior sont créés en moyenne.
59
Aucun chiffre détaillé n’est donné 60 55 52 la Cnil. Soit 420 délégués à la pro- « Les DPO étoffent leur équipe en
dans cette étude, qui s’appuie sur 46 tection des données personnelles embauchant de jeunes talents »
les taux de recrutement et de en 2019, si l'on applique ce pour- écrit l'AFCDP. Une affirmation
croissance annuelle des métiers 40 34 centage à l'ensemble du marché qui contraste avec certains résul-
à partir des données publiquement 26 estimé par l'AFCDP. tats de l'enquête menée par l’AFPA
accessibles sur le réseau profes- 20 17 31 (Agence nationale pour la forma-
sionnel, et ce pour une période 20 Enfin des équipes ? tion professionnelle des adultes),
s’étendant de 2015 à 2019. « Une Tout cela est à rapprocher des à laquelle l'AFCDP a également
profession qui connaît une véritable chiffres de la Cnil. Au dernier participé. Il ressortait de cette
explosion depuis 2015, avec des effec- Mars Avril Mai Juin Juil. Août Sept. Oct. comptage, le gendarme des don- étude dont la synthèse a été pré-
tifs multipliés par 32 en France » nées personnelles dénombrait plus sentée en juin dernier lors de la
2019 2017
écrit LinkedIn. de 60 000 organismes dotés d'un conférence « Vive le DPO » que les
Offres publiées sur Internet (marché ouvert) et proposées en DPO, ce qui représente environ trois quarts des DPO travaillent
850 DPO recrutés France représentant en année pleine 850 publications par an. 23 000 délégués au total. On peut seuls. Et seuls 3,80% d'entre eux
logiquement en conclure qu'une disposent d'une équipe de trois
cette année recensant celles en rapport avec s’appuie sur des sources plus larges grande majorité des désigna- personnes ou plus. Cette vague
Ces prédictions et études, l’AFCDP la protection des données person- que son seul job board, puisqu’elle tions de délégués à la protection de recrutements observée cette
vient les enrichir d’un Observatoire nelles. A vocation semestrielle, cet reprend les « offres publiées sur des données a été effectuée en année implique-t-elle que les
du métier de DPO, publié début Observatoire est lié au job board Internet [...] et proposées en France ». interne, notamment sur la base directions générales commencent
novembre. L’association française mis en place par l’AFCDP per- Selon l'enquête menée par l'asso- des CIL existants, sans passer par à saisir les enjeux de la protec-
des correspondants à la protection mettant aux employeurs et aux ciation, 567 offres pour des postes le biais du recrutement de per- tion des données personnelles et
des données personnelles se fonde futurs DPO employés de publier en lien avec la protection des don- sonnes extérieures. Au 23 mai à donner les moyens à leurs DPO
sur les offres de postes publiées et consulter offres et CV. Ici, à nées personnelles ont été publiées 2018, selon les chiffres rendus d'accomplir leurs missions ? ❚
en ligne ces douze derniers mois, en croire l’AFCDP, son enquête entre mars et octobre 2019, contre publics par le régulateur, 19 534  G. P.

VIII

« 68 880 organismes
T RI
B

ont désigné auprès UN


E
de la CNIL un délégué »
Par Albine Vincent, cheffe du service des délégués
à la protection des données de la CNIL
OBSERVATOIRE

Le délégué à la protection des données (DPD ou DPO pour data protection hiérarchie de l’organisme. Il doit également être en mesure
d’exercer ses fonctions et missions en toute indépendance.
officer) est l’acteur au cœur de la conformité du règlement européen sur la Cette condition signifie que le délégué bénéficie d’une liberté
dans les analyses et actions qu’il décide d’entreprendre, et
protection des données (RGPD). qu’il ne doit pas recevoir d’instruction dans l’exercice de
ses missions. Il ne peut pas faire l’objet d’une sanction du
Son rôle est d’informer et de conseiller l’organisme qui Les organismes peuvent désigner un délégué interne ou seul fait de leur accomplissement. Enfin, le délégué doit
le désigne, de contrôler le respect de la règlementation externe à leur structure. Le délégué peut par ailleurs être à l’abri des conflits d’intérêts. Cette condition consti-
en matière de protection des données. Il est également le être mutualisé c’est-à-dire désigné pour plusieurs orga- tue une garantie d’indépendance importante en évitant au
point de contact pour les personnes dont les données sont nismes. La mutualisation permet, par exemple pour les délégué d’être « juge et partie ». Ainsi, s’il exerce d’autres
traitées par l’organisme et l’interlocuteur privilégié de la collectivités territoriales ou les PME, de limiter les coûts fonctions, elles ne doivent pas le conduire à décider des
CNIL. Sa désignation est obligatoire pour : et de bénéficier de professionnels disposant des com- finalités et/ou des moyens des traitements de données mis
- les organismes publics (universités, hôpitaux, collec- pétences et de la disponibilité nécessaires. en œuvre par l’organisme.
tivités territoriales par exemple), Il n’y a pas de profil type du délégué qui peut donc être Les lignes directrices du CEPD précisent que le DPO
- les organismes dont les activités de base les amènent une personne issue du domaine technique, juridique n’est pas responsable en cas de non-respect du RGPD.
à réaliser un suivi régulier et systématique des per- ou autre. Toutefois, il doit être choisi sur la base de ses Cette responsabilité incombe à l’organisme et ne peut
sonnes à grande échelle, connaissances du droit et des pratiques en matière d’ap- être transférée au délégué par délégation de pouvoir.
- les organismes dont les activités de base les amènent plication du RGPD. Au 6 janvier 2020, environ 68 880 organismes ont dési-
à traiter à grande échelle des données sensibles ou rela- Par ailleurs, les organismes doivent fournir à leur gné auprès de la CNIL un délégué, représentant environ
tives à des condamnations pénales et infractions. délégué les ressources nécessaires à ses missions 22 000 personnes physiques ou morales désignées.
En outre, la désignation d’un délégué est encouragée car (notamment l’associer aux projets de traitements de La CNIL dispose d’un service dédié qui a pour rôle de
elle permet de confier à un expert l’identification et la données, lui fournir le temps nécessaire à ses missions fédérer et d’animer les réseaux de délégués, de réguler
coordination des actions à mener en matière de pro- et lui permettre de se former régulièrement). l’écosystème de ce nouveau métier et de les accompa-
tection des données. Le délégué doit rendre compte au niveau le plus élevé de la gner dans leurs missions. ❚

Cahier_interieur.indd 8 08/01/2020 20:12


SecNumCloud,
politique de gestion des risques, la phase d'audit ». 3DS Outscale
contrôle des accès, séparation a historiquement inscrit les
des environnements de dévelop- référentiels de qualité, les
pement, de test et de production, procédures et les certifications
relations avec les tiers, conti- dans sa culture d’entreprise et

référentiel de confiance
nuité de services, etc. « Sur la après la prise de contrôle par
partie sécurité physique, nous avons Dassault Systèmes, la nouvelle
dû faire des travaux, pour séparer maison mère a confié au four-
la partie production ou installer des nisseur de cloud la mission
portiques à l’entrée des bureaux de servir le secteur public. De
C’est en décembre 2016 que la qualification SecNumCloud a connu par exemple. Sur la partie proces- fait, les audits documentaires
sus opérationnels, nous avons tout n’ont pas présenté de difficultés
sa première version « applicable ». Depuis, seules deux entreprises revu et adapté, de l’IT au support. particulières. « Sur la partie opé-
ont reçu de l'Anssi ce précieux sésame : Outscale et Oodrive. Le Quant au juridique, la qualifica- rationnelle cependant, nous avons
tion prévoit un modèle de contrat dû faire des modifications pour
FIC 2020 a été l’occasion de revenir sur l’obtention de cette quali- spécifique ». nous conformer à ces contraintes

CONFORMITÉ
opérationnelles, aux obligations en
fication et ce qu’elle implique. Un long processus termes d'accès et de chiffrement ».

E
Puisque la qualification com-
n janvier 2019, Oodrive d’Outscale, dont la directrice du conscience qu’elles ne peuvent
de validation porte des enjeux organisationnels
obtenait la qualification développement, Servane Augier, pas tout stocker chez des acteurs Cette convention de service fait lourds, Outscale a décidé de
SecNumCloud. Presque cite parmi les effets bénéfiques qui ne sont ni souverains, ni de partie des exigences supplé- ne faire qualifier qu’une seule
un an plus tard, c’était de la qualification le fait que le confiance ». mentaires de l’Anssi et s’avère, région, celle dédiée au secteur
au tour d’Outscale de fournisseur de cloud « commence Oodrive a été le premier à du moins dans le référentiel, public et aux OIV, « pour éviter
voir une de ses régions quali- à gérer des appels entrants ». obtenir la qualification, après extrêmement contraignante de faire porter l’impact sur l’en-
fiées par l’Anssi. Le processus Soit des clients qui viennent « environ trois ans de boulot ». pour le prestataire, allant de la semble de nos régions » précise
d’obtention a pris du temps : le sans avoir été prospectés par « Nous avons été les premiers, de localisation des données à une sa directrice du développement.
référentiel est applicable depuis les équipes commerciales en ce fait nous avons un peu essuyé les clause de réversibilité. Edouard Malgré l’obtention toute récente
fin 2016. Et pourtant, malgré la amont; ce qui traduit « un besoin plâtres » nous confie Edouard de de Rémur résume : « à travers les de SecNumCloud, Outscale compte
longueur du processus, ils sont fort ». « Il y a une vraie demande Rémur. SecNumCloud couvre, neuf audits, il a fallu faire évoluer déjà des clients sur cette région,
encore une poignée à encore can- aujourd’hui pour ce type de solu- rappelons-le, des exigences dans le produit, ce qui a demandé un puisque dans le cadre de ses
didater : IDnomic, Worldline, tions, abonde Edouard de Rémur. de nombreux domaines. Sécurité investissement important. D’autant audits l’Anssi demandait des
OV H ou encore Che ops. A Les grandes entreprises prennent physique et environnementale, que l’évaluation de la partie SaaS tests clients avec une convention
entendre les témoignages d’Oo- est beaucoup plus lourde que celle de service “conforme au référen-
drive et d’Outscale, on comprend du IaaS, puisqu'on doit qualifier tiel SecNumCloud” afin de valider
aisément pourquoi. « C’est la pre- non seulement l'hébergement, les process. « Dès la qualification,
mière fois que les clients ont une
qualification qui les rassurent vrai- SecNumCloud, c’est quoi ? mais aussi l’applicatif. Ensuite, au
niveau commercial, nous avons dû
nous avons signé des clients, aussi
bien des OIV privés que des admi-
ment, car très difficile à obtenir » évangéliser ». nistrations publiques » assure
nous explique Edouard de Rémur,
Connu dans un premier temps sous le nom « Secure Du côté de 3DS Outscale, le pro- Servane Augier, pour qui cette
directeur général et co-fondateur Cloud », SecNumCloud est le référentiel de confiance attri- cessus a été moins long, « un qualification vient « conforter le
d’Oodrive. bué par l’Anssi pour les fournisseurs de cloud, IaaS, PaaS et peu plus de 18 mois ». Un délai positionnement qu’Outscale a depuis
SaaS compris. Son obtention passe par un lourd processus dû notamment, selon Servane sa création : celui d’un cloud d’hy-
Un bénéfice d’audits documentaires et techniques, vérifiant le respect
Augier, au petit nombre de per-confiance ». En témoignent les
sociétés capables de faire passer certifications obtenues de même
business d’exigences du point de vue de la sécurité physique des les audits et au faible nombre que SecNumCloud. « Aujourd'hui
L’entreprise a d’ores-et-déjà datacentres et des équipements, à celle de la stack logi- de leurs consultants ayant le premier concurrent de nos offres
signé des contrats avec quatre reçu l'agrément de l'Anssi. S’y c'est l''IT interne : pour faire sortir 19
cielle, des réseaux de communications, du chiffrement, des
OIV et les discussions sont ajoutent « des sujets techniques vers le cloud, la clé de voûte c'est la
en cours avec une quinzaine process juridiques et RH ou encore de la protection des et opérationnels à régler après confiance ». ❚
d’autres. Même entrain du côté données personnelles. avoir passé les premiers jalons de Guillaume Périssat

Un pont entre DSP2


la démarche plus loin encore, en décrochant
en février la certification ISO 27001 auprès de
LSTI sur le périmètre de ses services DSP2.
« Une première européenne » souligne Linxo.
De fait, l’obtention de cette certification est

et ISO 27001
logique puisque dans l’élaboration en 2017
de ses lignes directrices sur les risques et
mesures de sécurité liés à la DSP2, l’Autorité
Bancaire Européenne, ou ABE, s’est large-
ment appuyée sur la norme ISO.

Quel peut bien être le rapport entre une directive européenne L’authentification,
sur les services de paiement et une norme internationale sur sujet central
la gestion de la sécurité de l’information ? Linxo, fintech aixoise Linxo explique néanmoins que suivre les
lignes directrices de l’ABE n’était pas suf-
rachetée en début d’année par le Crédit Agricole, fait le lien en fisant à ses yeux. « L’intérêt de la certification
obtenant la certification ISO 27001 pour ses services DSP2. pour nous est de se mettre au niveau d’exigences
que suppose son obtention, au-delà des recom-

E
mandations de l’ABE, et de montrer qu’il y a un
n septembre dernier entrait (enfin) en vigueur la sécurisée, plus fiable et sécuri- réel engagement à tous les niveaux de l’entre-
directive UE 2015/2366, dite DSP2 pour directive sée que le web scrapping, soit prise » nous explique Christophe Martins, le
sur les services de paiement 2. Celle-ci adapte le renseignement par l’uti- directeur général de Linxo. Attention cepen-
le cadre réglementaire européen aux évolutions lisateur de ses informations dant car les guidelines de l’ABE ne sont pas
technologiques, essor des fintechs en tête, en d’authentification. ses Regulatory Technical Standards, qui vont
formalisant deux nouvelles activités auxquelles les établis- En effet, la sécurité est l’un pour leur part concerner la sécurité des API
sements financiers doivent permettre l’accès aux données des principaux éléments de et surtout cette authentification. « ISO 27001
des comptes de leurs clients. cette directive, qui oblige notam- porte sur le process d’amélioration continue de la
On trouve ainsi les initiateurs de paiement, qui trans- ment le recours à l’authentification forte du client pour sécurité, c’est un niveau de base sur la sécurité. Un début, mais
mettent pour le compte et au nom de l’utilisateur des les opérations en ligne et à sécuriser les API d’accès à qui n’indique pas un niveau de sécurité des moyens d’authen-
ordres de paiement à la banque dans laquelle ledit utili- leurs données bancaires. tification » nous explique Guillaume Despagne, CEO et
sateur à un compte, et les agrégateurs, qui fournissent à Oxlin, l’établissement de paiements de Linxo Group, a cofondateur d’AriadNext, spécialisée dans l’identifica-
l’utilisateur titulaire de plusieurs comptes dans plusieurs récemment fait parler de lui sur le sujet. Car outre le rachat tion à distance et qui développe une solution d’identité
établissements un tableau de bord centralisé des données de Linxo en janvier par le Crédit Agricole, Oxlin a obtenu numérique. Or sur cette question de l’authentification, les
de ces comptes. l’agrément de l’Autorité de contrôle prudentiel et de réso- discussions sont toujours en cours puisque, pour l’heure,
Si les fintechs n’ont pas attendu la DSP2 pour lancer ce type lution en tant que Prestataire de Services d’Initiation de Linxo « utilise les technologies fournies par les établissements
de services, la directive européenne vient établir un mode Paiement et s’est enregistré, toujours auprès de l’ACPR, teneurs des comptes » indique son directeur général. « L’ABE
d’accès aux données en vertu duquel les banques doivent au titre de Prestataire de Services d’Information sur les ne nous a pas encore donné l’autorisation pour le moment de
mettre à disposition de ces acteurs une API standardisée et Comptes (ou agrégateur). Mais l’entreprise aixoise a poussé gérer nous-mêmes cette authentification ». ❚ G. P.

CONFORMITE_DSP2-SECNUMCLOUD.indd 19 13/03/2020 17:54


Le dan
nivea

« L'arrivée de la 5G démultiplie
● Pas
pirate
duire
votre
vos m

les risques liés à l'IoT »


Quid d
breux
d’ores
ou à d
● Elles
répété

Jean-François Beuze, Président de la société de conseil Sifaris. la pre


l’Ether
n’avez
nécess
Vous cherchez actuellement à les conversations télé- plus de 50 milliards d’ob- de points d’entrée potentiels. embar
attirer l’attention sur les risques phoniques, les SMS, la jets connectés (IoT) dans Que ce soit dans la base logi- net n’e
liés à la 5G ? Qu’en est-il ? navigation Web. Mais ce le monde, en comptant les cielle, les failles de sécurité, etc.
● Jean-François Beuze : Dès ne sont que quelques-unes bornes d’Amazon, Google Quand
cette année, nous sommes des vulnérabilités connues et Apple. Cela concerne C’est le logiciel de la 5G qui par la
engagés dans une course au aujourd’hui. L’Union euro- aussi des objets plus inat- pose problème ? tage s
déploiement de la 5G. Or, cette péenne en est consciente : tendus comme les pompes ● Oui, totalement. On est toujours ● La c
arrivée de la 5G soulève de fortes nous allons déployer un à essence qui deviennent dans cette dynamique de dévelop- sécuri
préoccupations en termes de réseau 5G déjà truffé de une des sources de pira- pement rapide. On n’est pas dans se tro
cyberattaques. A ce jour, cette vulnérabilités tout en tage informat ique. une dynamique de développement fourni
technologie présente de nom- sachant qu’un très grand Comme avec tout objet sécurisé. Ils favorisent le DevOps que l’a
breuses problématiques de nom br e d’o bj e t s Io T connecté, on n’aura pas (développement opérationnel) plu- de fair
sécurité. Une réunion organisée (Internet of Things) vont besoin de payer via une tôt que le DevSecOps (démarche routeu
au niveau de l’Union européenne se connecter... carte physique, on pourra qui intègre la sécurité dans la soit ch
au mois de mars 2019 faisait déjà le faire à distance. conception du développement).
état de ces préoccupations. Cette Google Home, Amazon Est-ce
5e génération sera encore plus Echo et HomeKit sont Quelle est la position de Quel genre de risque se pro- dans l
rapide que la précédente, mais concernés ? l’Union européenne sur file à l’horizon pour l’usager ? europ
elle reprend malheureusement les ● Les appareils sous ce sujet ? ● La 5G va inciter de nom- der la
défauts des anciennes générations Android ou iOS sont bien évi- choses. Demain, les opérateurs ● L’Union européenne a man- breux fournisseurs à développer ● Hélas
3G et 4G. Des failles de sécurité demment concernés. Déjà vont disposer d’une plateforme daté chaque pays membre en vue toujours plus d’IoT, tout en n’ap- Etats-U
qui n’ont pas encore été corri- aujourd’hui, j’aime à dire que adéquate pour délivrer de la 5G d’établir un rapport sur les exi- pliquant pas forcément cette être dé
gées sur la 4G ont été reportées je préfèrerais perdre ma carte pas seulement aux smartphones gences en matière de sécurité conception du DevSecOps. Du on se d
sur la 5G. Une équipe de cher- bleue que mon téléphone. Parce mais à tous les objets connec- applicables au niveau des four- coup, si votre opérateur télécoms suite ».
cheurs américains affirme avoir que dans mon téléphone - je tés de la maison : ampoules, nisseurs. Ils voulaient avoir une vous propose la 5G, vos objets europ
déjà découvert 11 failles sur ce le considère comme un objet fours, réfrigérateurs, détec- évaluation des risques, ainsi que connectés - ballon d’eau chaude, indiqu
nouveau réseau ! connecté parce qu’il est connecté teurs d’inondation, etc. Il en les mesures à prendre. Le rap- four, réfrigérateur, ampoules - 2025, 2
à la 4G, - il y a énormément de est de même pour les comp- port établi en fin d’année 2019 récupèreront suffisamment de pas ne
En quoi consistent ces failles ? données importantes : les dif- teurs électriques connectés de sur le déploiement de la 5G parle données pour permettre d’éta- chit pa
20 ● Ces 11 fa i l les e x istantes férentes cartes bleues, les codes la maison, comme le Linky. Déjà clairement des risques d’at- blir un profilage des personnes on fait
laissent filtrer la localisation, d’accès Paypal et ce genre de en 2020, on estime qu’il y aura taques, avec des multiplications vivant dans la maison. sous la

LolBins : comment les hackers retournent télécha


Emote
pecté d
contre

vos outils contre vous


recour
lorsqu’il est notifié d’une nou- d’exploitation afin d’effectuer Comm
velle écriture, de sorte à détecter diverses actions malveillantes, et s’e
des programmes suspects et com- allant de la livraison de payloads peu d
parer leur signature à une base à l’escalade de privilèges. Ciso d
Exploitant des LolBins, outils système on ne peut plus légitimes de malwares connus. En cas de rité de
correspondance, pof, mise en qua- Des outils qui ne sont p
tel PowerShell, les attaques "fileless" sont difficilement détec- rantaine, le virus est mis en échec.
sont pas en cause ter un

tables... du moins avant qu'il ne soit trop tard. Du côté des attaques fileless,
il s’agit de contourner cette Pour autant, « il n’y a rien d’intrin-
comm
lyste h
défense. Appartenant à la catégo- sèquement défectueux dans des outils trouve

L
es LolBins ne prêtent pas les premières versions de DOS, Lors d’une attaque tradition- rie des LOC, pour low-observable tels que PowerShell » explique ne sac
vraiment à rire. Lol est ici sous Mac ou encore sous Linux. nelle, un programme malveillant characteristics, ce type d’at- Sam Curry. « Ils sont simplement où che
l’acronyme de living-off- En résumé, personne n’est à l’abri. est téléchargé et installé sur la taque furtive va échapper à la hijackés ». Pour pénétrer dans les exemp
MENACES

the-land, guère traduisible dans L’utilisation de ces LolBins dans machine cible et va ensuite exé- détection de la majeure partie systèmes visés, les attaquants ont vos ma
la langue de Molière : par LolBin, des attaques n’est pas récente. Sam cuter diverses actions. Dans des outils classiques de sécurité recours à des techniques clas- outils,
on entend des binaires, souvent Curry, Ciso de CyberReason, nous ce genre de situation, un anti- en ce qu’elle ne se présente pas siques : phishing, force brute, ajout
des outils système, normalement explique que ces méthodes sont virus classique, habituellement sous la forme d’un exécutable ni exploit de vulnérabilités exis- Cyber
utilisés à des fins tout à fait légi- employées « depuis des décennies ». la première ligne de défense ne s’installe sur le disque : elle tantes… et une fois la tête de pont nemen
times mais pouvant être détournés « Néanmoins, les choses se sont accé- d’une organisation quelconque, vient exploiter des processus, établie, il ne reste plus à l’atta- de télé
par des attaquants. On parle éga- lérées ces deux dernières années, dans se charge d’analyser les signa- scripts ou librairies totalement quant qu’à capitaliser sur des venir e
lement de LOLLibs, qui utilisent un espèce de darwinisme : les « bad tures de fichiers sur le disque, légitimes intégrés au système outils présents par défaut sur qui dé
des bibliothèques et LOLScripts, guys » s’adaptent et puisqu’ils ont n’importe quelle machine. tion d
qui utilisent des scripts. Macros plus de succès en exploitant des pro- A en croire une étude de Symantec, de sign
sur Windows Office, PowerShell, grammes qui sont déjà installés, ils « Il n’y a rien entre 2017 et 2018, l’exploita- de bo
wscript.exe, cscript.exe, Windows enrichissent leurs boîtes à outils ». tion à des fins malveillantes de soluti
Management Instrumentation Nous ne vous apprenons rien, la d’intrinsèquement PowerShell a explosé, une aug- derni
(WMI), autant d’outils pré-instal- cybersécurité est une course entre défectueux dans mentation de 661%. L’année compo
lés sur les machines, fréquemment attaquants et défenseurs. Et alors passée, plusieurs campagnes ne pe
utilisés et de confiance… qui que les techniques de détection des outils tels que d’envergure ont eu recours à des attaqu
peuvent pourtant être exploi- se développent, les acteurs mal- PowerShell, ils sont attaques « fileless », à l’instar de perm
tés par des acteurs malveillants. veillants ont trouvé une parade : Soft Cell, qui ciblait des opéra- ter la
Et n’allez pas croire que seuls l’attaque « fileless ». Ou malware
simplement hijackés » teurs télécoms et qui employait a cond
les appareils sous Windows sont « fileless », une appellation Sam Curry, WMI pour se latéraliser, ou encore éviter
affectés : des exécutables pouvant paradoxale sachant que ce type une vague d’infections qui utili- less »
être détournés de leur fonctions d’attaque se passe de programme Ciso de CyberReason. sait des macros pour exécuter des le pré
premières, on en trouve depuis malveillant à installer. commandes PowerShell, lesquelles des an

MENACES_ITW_SIFARIS-LOLBINS.indd 20 13/03/2020 17:52


Le danger serait avant tout au préfère déployer. Nous devons aller
niveau de la surveillance ? vite parce que d’autres pays sont en
Qui est Sifaris ?
e
● Pas seulement. Avec la 5G, un train de s’équiper de la 5G, et nous
pirate pourrait fort bien intro- risquons alors d’être en retard. Et
duire directement un virus sur donc, les IoT pourront se connec- Sifaris est une société spécialisée dans à incident, re-médiation et sensibilisation,
votre box et contaminer toutes ter encore plus facilement, plus le domaine cyber, particulièrement dans ainsi que formation à la cyberattaque, pour
vos machines. massivement, sur le réseau de l’audit d’intrusion (pen testing). Implantée le monde de l’entreprise, avec un laboratoire
cette 5ème génération. La rapidité
à Paris, Montréal et Tunis, la société s’oc- en cybersécurité à Tunis en partenariat avec
Quid des bornes 4G que de nom- constituait une barrière. Elle saute
breux opérateurs proposent aujourd’hui ce qui fait qu’un grand cupe également de tout ce qui est réponse l’université Esprit.
d’ores et déjà aux entreprises nombre d’objets connectés pourront
ou à des particuliers ? se brancher directement sur cette aucun plafond de paiement. des articles sur Internet. Et puis, de vol de données. Il est indispen-
● Elles ont des failles qui ont été nouvelle technologie. Les plateformes d’e-commerce sous la pression des consomma- sable que l’ensemble de l’industrie
répétées sur la 5G, en raison de comme Amazon n’étaient pas teurs, des mesures de protection s’aligne sur de bonnes pratiques
la pression économique. Même Que faut-il faire ? Refuser la 5G adaptées pour demander le cryp- ont été imposées. Donc la riposte de sécurité et que l’Union euro-
l’Ethernet est concerné : si vous tant que ces failles n’ont pas été togramme derrière la carte, les doit venir des particuliers et du péenne puisse taper du poing et
n’avez pas mis en place les outils corrigées ? numéros pouvaient même être pouvoir législatif, il faut dire : contraindre les fournisseurs en

MENACES
nécessaires, tels que les firewalls ● C’est un peu comme le paie- dérobés par un simple passager non, on ne peut pas déployer la cas de risque potentiel. ❚
ntiels. embarqués sur les box, l’Ether- ment sans contact : au départ, bien équipé dans le métro pour 5G tant que l’on n’est pas capable Propos recueillis
logi- net n’est pas sécurisé. il était envisagé de n’imposer qu’il puisse par la suite acheter de prévenir les usagers des risques par Daniel Ichbiah
é, etc.
Quand la borne est alimentée
G qui par la fibre, n’est-ce pas davan-
tage sécurisé ?
ujours ● La connexion est davantage
velop- sécurisée parce que le backbone
s dans se trouve directement chez le
ement fournisseur (FAI). Toutefois, ce
evOps que l’attaquant pourra essayer
l) plu- de faire, c’est de pénétrer via un
marche routeur 5G, soit chez l’individu,
ans la soit chez le FAI.
ent).
Est-ce que les risques présentés
pro- dans le rapport remis à l’Union
ager ? européenne pourraient retar-
nom- der la mise en place de la 5G ?
lopper ● Hélas non. En France comme aux
n’ap- Etats-Unis, la 5G a déjà commencé à
cette être déployée. Du coup, en haut lieu,
ps. Du on se dit : « On pourra corriger par la
écoms suite ». Pourquoi ? Parce que l’Union
objets européenne dans son rapport a
haude, indiqué que la 5G rapportera d’ici
ules - 2025, 225 milliards d’euros. Ce n’est
ent de pas neutre pour eux. On ne réflé-
d’éta- chit pas sur les erreurs du passé,
onnes on fait toujours la même erreur : 21
sous la pression commerciale, on

nt téléchargeaient le trojan bancaire


Emotet. Le groupe TA505, sus-
pecté d’être à l’origine de l’attaque
contre le CHU de Rouen, a lui aussi
recours aux attaques « fileless ».
ectuer Comment détecter cette menace
antes, et s’en prémunir ? « Il existe
yloads peu de moyens » souligne le
Ciso de CyberReason. La majo-
rité des outils automatisés ne
e sont pas en mesure de détec-
ter une altération d’une ligne de
se commande, tandis qu’un ana-
intrin- lyste humain aura bien du mal à
s outils trouver ces scripts malveillants,
plique ne sachant généralement pas
ement où chercher. « Vous pouvez par
ans les exemple surveiller l’utilisation de
nts ont vos machines si vous avez les bons
clas- outils, la RAM utilisée, les accès… »
brute, ajoute Sam Curry. Surtout,
exis- CyberReason milite pour l’avè-
e pont nement d’une « nouvelle classe
l’atta- de télémétrie » capable de pré-
ur des venir et gérer ce type d’attaques,
ut sur qui dépasse la seule consulta-
tion de logs ou la comparaison
mantec, de signatures. Soit le grand dada
loita- de bon nombre d’éditeurs de
tes de solutions de cybersécurité ces
e aug- derniers temps : de l’analyse
année comportementale. Et si celle-ci
agnes ne permet pas de prévenir les
s à des attaques, peut-être au moins
star de permettra-t-elle de remon-
opéra- ter la chaîne d’évènements qui
ployait a conduit à l’infection et ainsi
encore éviter que les attaques « file-
utili- less » ne pourrissent la vie, pour
ter des le présenter de façon triviale,
quelles des analystes forensics. ❚ G. P.

MENACES_ITW_SIFARIS-LOLBINS.indd 21 13/03/2020 17:53


Cryptographie : pourquoi
SHA-3
de sou
novem
avaien
équipe

il devient urgent de mettre en œuvre


entier
phase
tions o
cassée
tition,

des algorithmes post-quantiques


d’un se
d’algo
ramen
second
Globa
présen
t ypes
hacha
de Me
de me
publiq
grosse
des te
être tr
cheur
vers le
reur q
comm
L’appr
présen
connu
le prem
en 197
mathé
améri
Son a
partie
avec u
1 Mo, l
et qua
de rec
des ve
les alg

22

Si la menace des
calculateurs quantiques
sur les algorithmes
de chiffrement est connue
depuis plusieurs dizaines
d’années, la rivalité
IBM / Google est annonciatrice
de progrès rapides
dans la conception de calculateurs
quantiques plus puissants, ce qui rend
le danger beaucoup moins théorique.

L’essor attendu de l’informatique quantique fait peser sur les solutions être facilement déchiffrés d’ici Les comités de standardisation
TECHNO

une dizaine d’années. Un délai se sont penchés sur la question


de chiffrement actuelles une lourde menace. Bon nombre d’algo- confortable pour un numéro de à partir de la fin des années
rithmes vont devenir inefficaces, il devient urgent de basculer dans carte bancaire valable 2 ou 3 ans, 2000. En 2009, l’IEEE publiait ses
mais beaucoup trop court lorsqu’il spécifications pour un système
l’ère post-quantique ! s’agit de protéger des données de chiffrement à clé publique

D
médicales ou les plans d’un avion s’appuyant sur un algorithme
ès 2014, M at teo courbes elliptiques ou l’échange données à un interlocuteur. Il de ligne ou d’un système d’arme considéré comme "Quantum
Mariantoni, cher- de clés Diffie-Hellman devien- est clairement devenu urgent de dont la durée de vie dépasse plu- Safe" et quelques années plus
cheur à l’institut dront obsolètes. déployer de nouveaux systèmes sieurs dizaines d’années… tard, le comité X9 de l’ANSI
de calcul quantique à clés publiques reposant sur des Une course est désormais enga- poussait le chiffrement NTRU
de l’université de De l’urgence algorithmes résistants aux calcu- gée entre les chercheurs qui comme standard de protection
Waterloo, prévenait : un calcu- lateurs quantiques, c’est-à-dire travaillent sur des calculateurs pour les transactions financières.
lateur quantique sera capable de
d’aller vers des les algorithmes post-quantiques. quantiques et les chercheurs en
casser les algorithmes de chif- algorithmes La rivalité exacerbée entre Google cryptologie qui doivent mettre au Beaucoup
frement actuels d’ici 15 ans.
Les algorithmes quantiques de
post-quantiques et IBM dans la mise au point de
calculateurs quantiques disposant
point des algorithmes de chif-
frement qui pourront résister à
d’algorithmes post-
Shor ou de Grover vont sérieu- Pour rendre RSA résistant à un de plus de Qubits - et donc réel- ces algorithmes. Ce sont des cen- quantiques encore
sement bousculer des systèmes
cryptographiques que l’on consi-
calculateur quantique, il fau-
drait utiliser des clés publiques
lement exploitables pour casser
des codes - rend toute prévision
taines d’équipes de recherche
dans le monde qui explorent de
en lice
dérait comme inviolables. Si de 1 Go, des clés privées de 4 Go, très aléatoire sur le moment où nouvelles techniques pour déjouer Devant l’urgence qu’il y a à
certains algorithmes tels que ce qui fait exploser les temps les algorithmes de chiffrement les algorithmes de déchiffrement s’entendre sur quelques algo-
AES pourront leur résister grâce de calcul car il faudrait alors actuels deviendront obsolètes. quantiques mais ce dont ont réel- rithmes fiables, le NIST (National
à un allongement de la taille des 3,6 jours de calcul pour générer Il devient urgent de remplacer lement besoin les secteurs de la Institute of Standards and
clés de chiffrement, toutes les la clé, 20 minutes pour véri- au plus vite les algorithmes sur santé, de la finance, de l’ingénie- Technology) a lancé dès 2016
infrastructures à clés publiques fier une signature et 2,5 heures lesquels est bâti notre monde rie, ce sont des infrastructures une compétition mondiale sur
telles que RSA, DSA, ECDSA, pour chiffrer un document… Pas digital car les documents chif- complètes et surtout des stan- le modèle de ce qui avait permis
la cryptographie utilisant les très pratique pour envoyer des frés aujourd’hui pourraient bien dards adoptés par tous. de standardiser AES en 2001, puis

TECHNO_POSTQUANTIQUE.indd 22 13/03/2020 17:51


SHA-3 en 2015. A la date limite lors des évaluations… Beaucoup en œuvre avant 2024. Le NIST
de soumission fixée au mois de de chercheurs ont préféré baser a défini 5 niveaux de sécurité,
novembre 2017, 87 propositions
avaient été soumises par des
leurs algorithmes sur les réseaux
euclidiens, un type de cryptogra-
depuis le plus faible, le niveau
1, équivalent à un AES 128,
L’algorithme de Shor,
équipes de recherche du monde phie qui représente pratiquement jusqu’au niveau 5 qui correspond l’épée de Damoclès
re
entier. Suite à une première la moitié de l’ensemble des pro- à un AES 256, avec 3 opérations
phase d’évaluation, 69 solu-
tions ont été acceptées, 5 ont été
positions. L’approche présente
l’avantage d’être flexible dans
types : la signature, l’encapsula-
tion d’une clé et le chiffrement.
sur le chiffrement RSA
cassées et retirées de la compé- ses usages et peut mettre en Autre critère, la performance,
tition, et, en août 2019, à la suite œuvre des clés de chiffrement car avec certains algorithmes,
d’un second workshop, le nombre de taille inférieure au millier de les temps de calculs vont être
d’algorithmes conservés a été bits, avec donc des performances amenés à exploser. Parmi les
ramené à une vingtaine pour la intéressantes. autres critères du NIST, figure
seconde phase de sélection. Enfin, plusieurs équipes de la possibilité de remplacer sim-
Globalement, les algorithmes recherche ont proposé des algo- plement un algorithme actuel
présentés se divisent en 4 grands rithmes de cryptographie mul- par un algorithme post-quan-
t ypes. Les algorithmes de tivariée, c’est notamment le cas tique dans un même protocole.
hachage s’appuyant sur un arbre d’une "équipe de France" for- Le NIST souhaite en effet que

TECHNO
de Merkel présentent l’avantage mée de chercheurs du CNRS, du les algorithmes post-quantiques
de mettre en œuvre des clés LIP6, de Sorbonne Université et puissent mettre en œuvre SSL, C’est l’algorithme qui fait trembler les bases du chiffrement
publiques modestes, mais de de l’INRIA. Ceux-ci ont soumis TLS et IPSec. Outre les quali- actuel. L’algorithme quantique de factorisation découvert
grosses clés privées, ce qui induit les algorithmes GeMSS (A Great tés purement mathématiques
des temps de signature pouvant Multivariate Short Signature) et des algorithmes, les experts du par Peter Shor en 1994 ouvre la voie à une factorisation
être très élevés. Plusieurs cher- DualModeMS (A Dual Mode for NIST ont inclus quelques critères éclair de nombres comptant beaucoup de chiffres. La
cheurs ont préféré se tourner Multivariate-based Signature). supplémentaires, notamment sa superposition quantique permet de booster un calcul de
vers les codes de correction d’er- Un démonstrateur industriel a résistance à une attaque de type
factorisation qui demanderait des temps de calcul invrai-
reur qui peuvent être exploités notamment été développé par CS. "side-channel" qui va exploiter
comme système de chiffrement. L’algorithme GeMSS a été retenu une faiblesse dans l’implémen- semblables avec une machine d’architecture classique. Il
L’approche est plutôt ancienne et à l’issue du 2ième round dans la tation logicielle ou matérielle. existe d’autres algorithmes quantiques, mais l’algorithme de
présente l’avantage d’être bien catégorie signature électronique. La question de savoir si les Shor est le plus connu pour les implications qu’il va avoir
connue des chercheurs puisque calculateurs quantiques vont
dans le domaine de la cybersécurité. L’algorithme a été
le premier système a été proposé Vers des algorithmes arriver est désormais tran-
en 1978 par Robert McEliece, chée, reste à savoir quand. Les mis en œuvre avec succès pour la première fois par une
mathématicien et cryptologue
fiables et chercheurs en cryptographie équipe d’IBM sur un calculateur quantique de 7 qubits seu-
américain mort en mai dernier. standardisés d’ici ont déjà des solutions, reste à lement, c’était en 2001. Le faible nombre de Qubits de leur
Son algorithme fait d’ailleurs
partie des soumissions mais,
2022/2024 l’industrie à s’entendre sur les
algorithmes afin de les diffuser calculateur ne leur a pas permis de faire mieux que trou-
avec une clé publique de plus de L’objectif du NIST est de publier pour protéger les informa- ver que 3 et 5 sont les facteurs premiers de 15, mais dès
1 Mo, l’algorithme est plutôt lent les versions préliminaires des tions que l’on ne veut pas voir lors que des calculateurs quantiques disposeront de plu-
et quant aux multiples équipes standards sélectionnés à l’issue divulguées dès que les calcula-
sieurs milliers puis millions de qubits, tous les algorithmes
de recherche qui ont soumis d’un troisième round de tests, teurs quantiques entreront en
des versions plus légères, tous d’ici 2022, pour que ceux-ci production. ❚ de chiffrement actuels devront avoir été remplacés, sous
les algorithmes ont été cassés puissent être implémentés et mis Alain Clapaud peine de voir l’économie numérique s’effondrer.

23

sation
estion
nnées
ait ses
stème
blique
ithme
ntum
s plus
’ANSI
NTRU
ection
cières.

st-
e

y a à
algo-
ational
s and
s 2016
le sur
permis
1, puis

TECHNO_POSTQUANTIQUE.indd 23 13/03/2020 17:51


L’humain
des att
précis
de rec
l’Acym
tance d
ont pri

replacé
meçon
le pira
ransom
leur pa
« Ce ty

au cœur de la
conséq
impor
pour le
times.
qui ne

cybersécurité
gardes
par les
vie mê
qui pe
blissem
Le thème central du FIC en cette édition 2020, malgr
progre
la douzième du salon, était « replacer l’humain déplor
au cœur de la cybersécurité ». Redonnant à qui pe
campa
l’utilisateur un rôle d’acteur de la sécurité, plu- à l’im
la séc
tôt que de vecteur de risques, cette approche
veut prendre le contrepied du « Zero Trust » Un e
reposant sur la méfiance par défaut. de d
Les cy
sont l
l’huma
compr
les mo
l’hum
Cette édition 2020 a vu les projets fédérateurs se multiplier et se concrétiser. L’occas
(CEIS)
Agnès Pannier-Runacher et Marc Darmon ont ainsi lancé le comité stratégique
çant l’
de filière Industries de sécurité. éviden
à jouer
est également la victime, qui une maladie honteuse lorsque l’on n’explique pas à elle seule le mais u
souffre « au-delà de la seule est victime d’une attaque à conce- bond de 210% des demandes de pro
question des pertes financières voir en amont une approche de sur cybermalveillance.gouv. par le c
provoquées par une attaque » gestion de crise ». La plateforme expose « que les « L’IA
24 nous e x pl ique Gu i l l aume efforts entrepris pour développer la n’est p
Tissier, le patron du CEIS. De l’utilisateur notoriété du dispositif portent leurs manqu
« Il est nécessaire que la victime fruits et qu’il existe un réel besoin naissa
soit prise en compte et accom- au citoyen, d’assistance face aux différentes de vue
pagnée » ajoute-t-il. Mais, en passant formes de cybermalveillance ». péten
avant cela, des efforts de sen- 10% des publics en recherche très d
L'Anssi est venue en force au FIC et son patron, sibilisation s’imposent et il est par la victime d’assistance sont des profes- Un mi
Guillaume Poupard, était sur tous les fronts, nécessaire de déculpabiliser Sur ce point, les chiffres de sionnels, preuve que des efforts sécur
l’humain. Une idée qui com- l’Acyma, l’établissement public de sensibilisation sont encore à vacan
insistant notamment sur l’importance d’une réponse
mence à faire son bonhomme de derrière cybermalveillance.gouv, faire auprès des TPE-PME, par- Enfin,
européenne aux enjeux de cybersécurité. chemin : « on assiste à un chan- parlent d’eux-mêmes. 90 000 fois laissées pour compte. citoyen

L
gement de mentalité sur la réponse personnes ont demandé de l’as- Devant la presse, Guillaume dépass
a douzième édition règles de sécurité pour son à un incident » souligne Michel sistance sur la plateforme en Poupard, le patron de l’Anssi, indi- en tête
du FIC s’est ouverte confort personnel, et de l’autre Van Den Berghe, le directeur 2019, contre 29 000 en 2018. Si le quait que de nombreuses petites sonnel
fin janv ier sur un des solutions plus user frien- général d’Orange Cyberdéfense, nombre d’attaques est certes en entreprises sont contraintes de enjeu d
message simple : « il dly, plus accessibles. L’humain « on passe de l’impression d’avoir augmentation, cette croissance mettre la clé sous la porte suite à Bertra
est temps de replacer Hauts
l’humain au cœur du discours et sécurit
de l’action » de la cybersécu- que « 
rité, estime le général Marc et strat
Watin-Augouard, fondateur l’huma
du Forum International de la tains b
Cybersécurité. Or on entend Zero T
encore trop souvent que l’hu- généra
FIC 2020

main est surtout source de main,


problèmes, qu’il est la princi- Miche
pale faille dans la sécurité du Cyberd
SI d’une organisation, « le bug sur ce
entre la chaise et le clavier »… est un
Une vision qui amène à pen- facteur
ser la sécurité informatique taques
uniquement dans sa dimen- les édi
sion technique. Mais, au FIC, Zero T
on revendique une autre vision, feraien
d’abord celle où l’humain est, de leur
avant toute autre chose, l’uti-
lisateur final. Ass
D’où cet appel lors de la plé-
nière à réconcilier cybersécurité
et p
et expérience utilisateur, fré- Le sa
quemment opposées. Ici, il ne quelqu
s’agit pas d’opposer l’Homme expos
aux technologies mais bien la pre
d’ex ploiter le meilleur de dait su
chacun : d’une part un utili- pour l
sateur sensibilisé, qui ne va En pleine discussion avec Cedric O, secrétaire d’Etat au numérique, Jean-Noël de Galzain avait dévoilé dente
pas chercher à enfreindre les le matin même Gallia, une plateforme en ligne devant rassembler les acteurs de la cyber. le 28

FIC2020.indd 24 13/03/2020 17:53


des attaques, mais aucun chiffre au salon et aux exposants avec général adjoint de Thales, et de la structurants, aux côtés de la 10 000 ou 15 000 m2, à Paris même
précis ne peut être fourni faute prises de rendez-vous B2B et secrétaire d’État Agnès Pannier- sécurité des grands événements, ou en proche banlieue, « plu-
de recensement officiel. Selon rencontres acheteurs/fournis- Runacher. Y siègent Hexatrust, JO 2024 en tête, identité numé- tôt dans l'ouest », accessible en
l’Acyma, les recherches d’assis- seurs. Les 29 et 30 ont quant l'Alliance pour la confiance rique, sécurité des territoires et métro, accueillant dans un pre-
tance de la part des professionnels à eux été l’occasion de moult numérique, l'AN2V (vidéoprotec- des sites critiques et enfin cloud mier temps entre 500 et 1 000
ont principalement porté sur l’ha- annonces, émanant notamment tion), la FIEEC (Fédération des de confiance, piloté comme prévu personnes, un site plus hori-
meçonnage (phishing) à 23 % et du secteur public, entre contrat industries électriques, électro- par OVH et Oodrive. zontal qu'en hauteur, avec de la
le piratage de compte (16%). Les stratégique de filière, cybercam- niques et de communication), le verdure et ouvert dès le premier
ransomwares représentaient pour pus, C3N... « Le privé seul n’a pas GICAT (Groupement des indus- Campus Cyber trimestre 2021. Un délai court, si
leur part 8% des recherches. la solution, le secteur public non tries de défense et de sécurité l'on compte 10 mois de travaux
« Ce type d’attaque peut avoir des plus. La bonne réponse associe à la terrestres et aéroterrestres) et le
début 2021 pour « aménager, câbler, cloison-
conséquences économiques très fois le public et le privé » a ainsi GICAN (Groupement des indus- Sur le terrain enfin du Campus ner, sécuriser » les lieux. Ce qui ne
importantes voire désastreuses souligné le fondateur du FIC, le tries de construction et activités Cyber, celui-ci est entré en laisse plus que quelques semaines
pour les entreprises qui en sont vic- général Marc Watin-Augouard. navales), ainsi que des pôles de phase 2 : il s’agit désormais de au porteur du projet pour énumé-
times. Dans les structures victimes La signature du contrat stra- compétitivité (Systematic par savoir combien de personnes la rer les forces en présence, trouver
qui ne disposent que de sauve- tégique de filière Industries de exemple) et des organismes de quarantaine d’organisations qui les lieux appropriés et « présenter
gardes en ligne qui ont été détruites sécurité a eu lieu en marge de la recherche tels que le CEA. Cette y participent entend y placer. trois ou quatre scénario à la commu-
par les cybercriminels, c’est la sur- remise des prix Startups FIC, en filière n’est pas totalement dédiée On en sait également plus sur ce nauté », selon le patron d’Orange

FIC 2020
vie même de l’activité de l’entité présence du président de cette à la cybersécurité, qui n’est fina- lieu, notamment sa future pro- Cyberdéfense. ❚
qui peut se jouer » écrit l’éta- filière, Marc Darmon, directeur lement que l’un des cinq projets bable localisation géographique :  G. P.
blissement public. Pour autant,
malgré la prise de conscience
progressive, Guillaume Poupard
déplore le manque de moyens
qui permettraient de lancer des
campagnes de communication
à l’image de celles en faveur de
la sécurité routière.

Un enjeu
de démocratie
Les cybercriminels, justement,
sont la troisième dimension de
l’humain. Des attaquants qu’il faut
comprendre, pour en connaître
les modes opératoires. A l’inverse,
l’humain peut être le défenseur.
er. L’occasion pour Guillaume Tissier
(CEIS) de fustiger cette mode pla-
que
çant l’IA sur un piédestal. « Il est
évident que l’IA a un rôle important
à jouer pour détecter les attaques,
ule le mais une grande partie du travail
andes de protection ne peut être fait que
gouv. par le cerveau humain » note-t-il.
que les « L’IA fait beaucoup de choses, mais
pper la n’est pas la panacée ». Souci, par 25
nt leurs manque de visibilité et de recon-
besoin naissance, notamment du point
rentes de vue de la formation, les com-
nce ». pétences se font rares et sont
erche très demandées sur le marché.
rofes- Un million de postes en cyber-
efforts sécurité seraient aujourd’hui
core à vacants, à l’échelle mondiale.
E, par- Enfin, l’humain est le citoyen, un
e. citoyen « concerné par des sujets qui
aume dépassent la seule cybersécurité »,
, indi- en tête desquels les données per-
petites sonnelles et la souveraineté. « Un
tes de enjeu de démocratie » selon Xavier
suite à Bertrand, président de la région
Hauts de France, là où la cyber-
sécurité n’a longtemps été perçue
que « comme un enjeu économique
et stratégique ». Avec ce focus sur
l’humain, on comprend que cer-
tains battent en brèche l’approche
Zero Trust, synonyme de défiance
généralisée, surtout envers l’hu-
main, et de pure technique.
Michel Van Den Berghe (Orange
Cyberdéfense) joue la « provoc »
sur ce sujet : « la cybersécurité
est un marché régi par trois grands
facteurs : la régulation, les cyberat-
taques et les modes inventées par
les éditeurs. En ce moment, c’est le
Zero Trust. Nous, on trouve qu’ils
feraient mieux de s'occuper plutôt
de leurs zero day ».

Associer public
et privé
Le salon lillois a rassemblé
quelque 12 000 visiteurs et 450
exposants. Cette année, et pour
la première fois, le FIC s’éten-
dait sur trois jours, contre deux
pour les onze éditions précé-
é dentes, une première journée,
le 28 janvier, étant consacrée

FIC2020.indd 25 13/03/2020 17:53


Baromètre Data Breach
Effets de bord ou réelle augmentation
des violation de données ?
A l’occasion du FIC à Lille, le cabinet de conseil Quel impact Si les impacts d’une violation de données
varient, on peut néanmoins identifier des
PwC et Bessé, courtier en assurance, présentait sur l’entreprise ? constantes. En effet, une société subit des
(Nombre de notifications
le premier Baromètre Data Breach. Ce rapport, de violation sde données
pertes financières pendant l’attaque, dues à
l’indisponibilité des données par exemple,
publié dans le cadre de la grand-messe de la à la CNIL) mais aussi après l’attaque lorsqu’elle doit
remettre ses systèmes en marche, dédom-
cybersécurité, s’appuie sur les données publiques mager des clients ou encore faire face à une
de la CNIL afin de fournir un aperçu global des chute de son activité en raison d’une perte
de confiance des clients. L’atteinte à la répu-
violations de données en France entre juin 2018 305 178 2027 tation est un impact qui s’inscrit dans le
Disponibilité : Intégrité : Confidentialité : temps long et auquel il est difficile de remé-
et juin 2019. S’il ne s’agit que d’un premier jet, des données altération des données dier. Une violation a aussi un impact sur
donc perfectible, ce baromètre fournit quelques sont rendues des données. non publiques l’activité d’une société et ce d’autant plus
lorsqu’elle engendre une perte de propriété
informations et recoupements intéressants sur inaccessibles sont exposées
intellectuelle. Enfin, une violation de don-
pour les virtuellement
l’évolution de la situation depuis l’entrée en personnes ou physiquement.
nées peut avoir des suites judiciaires en cas
de plaintes ou de non-respect des principes
vigueur du RGPD. qui les traitent. du RGPD par exemple.

Top des 5
des secteurs 4,5
5,7 Moyenne
« Ce n’est pas une honte
des violations
touchés
(juin 2018
202* 275* Dernier
semestre
Premier
semestre
par jour que d’être victime
juin 2019) 188 137 2018 2019
* Total Hébergement Finance
1 035
d’un incident de sécurité »
période & Restauration Comparaison
831 Sandrine Cullaffroz-Jover, avocate et responsable
26 du nombre de
Dernier Premier notifications du numérique chez PwC Société d’Avocats.
semestre semestre
2018 2019 CyberRisques : Pouvez-vous nous expliquer
279* 297*
229* en quoi consiste l’obligation de notification ?
● Sandrine Cullaffroz-Jover : Cette obligation
92 177 132 812 536 Nombre de notification est une exigence réglemen-
803 675 de personnes taire européenne qui a été reproduite en
Administration Commerce Sciences France dans la loi Informatique et Libertés.
publique & Techniques Dernier Premier touchées
Elle concerne tous les responsables des trai-
semestre semestre tements qui doivent notifier l’autorité [ici
2ème semestre 2018 1er semestre 2019 2018 2019 la CNIL NDLR] dans les meilleurs délais, si
possible 72 heures au plus tard après avoir
En un an, on ne peut pas dire que le nombre de violations ait explosé. Toutefois, une analyse secto- constaté la violation. Cette obligation existait auparavant pour cer-
rielle fait apparaître de soudaines augmentations. Ainsi, les administrations publiques et le domaine des tains acteurs, les opérateurs de communications électroniques par
sciences et techniques semblent avoir été particulièrement touchés au premier semestre 2019. Faut-il exemple, mais du fait de l’application du RGPD, elle s’est généralisée.
en déduire que ces secteurs sont des cibles de choix pour les attaquants ? Ou plus prosaïquement que
l’obligation de notification est entrée dans les mœurs ? Les intervenants y voient plusieurs pistes d’in- Quels sont les risques et les sanctions encourues
terprétation. Pour Guillaume Tissier, le patron du CEIS, organisateur du FIC, « les effets de bord ne doivent en cas de manquement ?
pas être négligés », citant notamment le cas de Booking, qui explique le grand nombre de notifications ● C’est une obligation qui nécessite que soient prises en amont des
au second semestre 2018 dans l’hôtellerie. Car, lorsqu’une plateforme de premier rang est victime d’une dispositions techniques et opérationnelles pour détecter les viola-
violation de données, ses partenaires et clients sont touchés par ricochet. tions et en notifier les autorités. Elle s’inscrit dans le prolongement
des impératifs de sécurité et de protection des données et des per-
sonnes concernées. Les sanctions répondent au premier palier des
sanctions administratives prévues dans le texte européen, mais l’in-
Top 3 des incidents 100%
ÉTUDE

90% fraction au RGPD est également pénalement sanctionnée. Il en va


et leurs origines 80% donc de la responsabilité des dirigeants de s’emparer de ces sujets de
70% protection des données. C’est en outre une question de confiance et
60%
Le graphique ci-contre illustre il y a une vraie valeur ajoutée dans la bonne gestion de la crise. Ce
50%
la part encore non négligeable 40%
n’est pas une honte que d’être victime d’un incident de sécurité et
de violations de données ayant 30% ce n’est pas une honte que de notifier une violation, elle démontre
pour origine un acte interne 20% une pleine maîtrise de son risque.
accidentel. C’est le cas notam- 10%
ment pour les publications et 0% Pour en revenir à ce Baromètre, les chiffres traduisent-ils une aug-
les envois de données. Plus mentation du nombre de violations ou bien une meilleure prise de
Intrusion Publication Données personnelles
largement, qu’il s’agisse d’ac- conscience de cette obligation de notification ?
cidents ou d’attaques, le facteur dans les involontaire envoyées à un ● Je pense que c’est le résultat de plusieurs facteurs. A commencer
humain demeure au cœur des systèmes* d’informations mauvais destinataire par une sensibilisation accrue et par la généralisation de l’obliga-
incidents de sécurité infor- tion de notification à tous les acteurs. Mais aussi d’un périmètre de
matique. En effet, nombreux menace plus large. Les chiffres de ce baromètre couvrent les vio-
Acte externe malveillant Acte interne malveillant
sont les salariés qui tombent lations de données à caractère personnel, mais elles ne sont pas le
encore dans le piège du phi- Acte interne accidentel Acte externe accidentel seul composant des incidents de sécurité, ce n’est qu’un élément
shing et seule l’organisation de d’appréciation de l’étendue de ces incidents. Le baromètre s’inscrit
campagnes de sensibilisation dans une démarche de sensibilisation globale du grand public mais
au sein des entreprises et des * Intrusion dans les systèmes : ce terme renvoie à la catégorie aussi dans une volonté de mobiliser les dirigeants, les acteurs éco-
institutions permettra d’inver- « Piratage, logiciel malveillant (par exemple rançongiciel) nomiques, afin qu’ils soient conscients de la réalité des risques et
ser la tendance. et/ou hameçonnage » de la CNIL de la nécessité de s’y préparer.

ETUDE_RAPPORT_DATABREACH.indd 26 13/03/2020 17:53


PUBS_CR.indd 27 13/03/2020 17:50
PUBS_CR.indd 28 13/03/2020 17:50