Realiser un benchmark des solutions de sécurité chez 2

fournisseurs Cloud
1. Choisir 2 fournisseurs de cloud bien implémentés dans le marché
1. Linode
2. azure
2. Étudier la tendance de migration vers le cloud en analysant les
points suivants :
• Les avantages du cloud par rapport à une infrastructure
physique sur site (on promise)
◦ Flexibilité: les utilisateurs peuvent dimensionner les services en
fonction de leurs besoins, personnaliser les applications et
accéder aux services cloud partout où ils se trouvent via une
connexion Internet.
◦ Efficacité: les services cloud sont souvent plus efficaces que les
solutions sur site.
◦ Valeur stratégique: le cloud computing peut aider les entreprises à
se concentrer sur leur cœur de métier.
◦ Infrastructure et charges de travail: le cloud computing peut aider
les entreprises à réduire les coûts liés à l'infrastructure et aux
charges de travail.
◦ Plateformes SaaS et cloud-dev: le cloud computing peut aider les
entreprises à développer et à déployer des applications plus
rapidement
• Les types de cloud
▪ Infrastructure as a Service (IaaS)

▪ Platform as a Service (PaaS)

▪ Software as a Service (SaaS)

▪ Everything as a Service (XaaS)
• Les types de déploiements possibles
◦ Cloud privé : un serveur, un datacenter ou un réseau distribué,
intégralement dédié à une organisation.
◦ Cloud public : un service géré par un fournisseur externe et pouvant inclure
des serveurs situés dans un ou plusieurs datacenters.
◦ Cloud hybride : associe des clouds publics et privés pour une même
entreprise.
3. Pour chacun des 2 fournisseurs Cloud, donner le nom des solutions
proposées qui permettent de :)
1. Gérer les accès et les droits des utilisateurs :
• Azure : Azure fournit des solutions robustes de gestion des identités et des
accès via Azure Active Directory (Azure AD). Vous pouvez définir des rôles
et des autorisations d'utilisateur, contrôler l'accès aux ressources et mettre en
œuvre l'authentification unique (SSO) pour les utilisateurs. Le contrôle
d'accès basé sur les rôles (RBAC) est une fonctionnalité clé pour la gestion
des autorisations.
• Linode : Linode propose une gestion des utilisateurs via sa plateforme
Cloud Manager. Vous pouvez créer des utilisateurs avec différents niveaux
d'accès et d'autorisations, et vous pouvez définir des rôles pour les
utilisateurs afin de restreindre leurs actions. Cependant, la gestion des accès
de Linode est généralement plus simple que les services complets de gestion
des identités et des accès d'Azure.

2. Chiffrer les données et les stockages :

• Azure : Azure offre des options de chiffrement robustes pour les données et le
stockage. Azure Disk Encryption et Azure Stockage Service Encryption sont
utilisés pour chiffrer les données au repos. Azure fournit également Azure clue
Vault pour gérer les clés et les secrets de chiffrement.
• Linode : Linode assure le cryptage des données au repos et en transit. Vous
pouvez utiliser des outils ou des applications tiers pour crypter les données
stockées sur les instances Linode. Bien que Linode propose le chiffrement, il
peut nécessiter une configuration manuelle plus importante que les services de
chiffrement intégrés d'Azure.

3. Tracer l’activité des utilisateurs et des API (Tracking User and API Activity) :
• Azure : Azure fournit Azure Monitor et Azure Security Center pour la
surveillance et le suivi de l'activité des utilisateurs et des API. Vous pouvez
configurer l'audit et la journalisation pour capturer l'activité, y compris les
tentatives de connexion, l'accès aux ressources et les interactions API. Azure
Sentinel est également disponible pour la gestion avancée des informations et
des événements de sécurité (SIEM).
• Linode : Linode fournit des fonctionnalités de surveillance et de journalisation
de base via sa plate-forme, vous permettant de suivre des activités telles que
l'utilisation des ressources et les journaux système. Cependant, il n’offre peut-
être pas le même niveau d’outils avancés de surveillance et d’analyse de la
sécurité qu’Azure.

4. Isoler des ressources dans un réseau privé :

Azure : Azure Virtual Network permet de créer des réseaux privés (Virtual LAN)
pour isoler les ressources. Vous pouvez configurer des groupes de sécurité réseau
(NSG) et des passerelles de réseau privé virtuel (VPN) pour plus de sécurité et
d'isolation.
Linode : Linode offre également la possibilité de créer des réseaux privés et d'isoler
des ressources à l'aide de VPC (Virtual Private Cloud) ou de fonctionnalités de réseau
similaires. Toutefois, les options et le niveau de contrôle peuvent être plus limités par
rapport aux fonctionnalités réseau étendues d’Azure.
4. Pour chacun des 2 fournisseurs Cloud :
• Comment les utilisateurs peuvent se connecter aux ressources dans le
cloud (serveurs, base de données, etc.)
• Sur Azure :
1.Azure Virtual Machines (VMs) : Les utilisateurs peuvent se
connecter à des VM Azure via des connexions à distance, telles que
Remote Desktop (RDP) pour les machines Windows ou Secure Shell
(SSH) pour les machines Linux. Ils doivent disposer des
informations d'identification appropriées pour se connecter aux VM.
2. Azure SQL Database : Pour se connecter à une base de données
Azure SQL, les utilisateurs doivent utiliser des chaînes de connexion
et des informations d'identification appropriées. L'accès peut être
sécurisé en configurant des règles de pare-feu et en utilisant
l'authentification basée sur les identités Azure AD.
3.Azure App Service : Les utilisateurs peuvent accéder aux
applications web hébergées sur Azure App Service via un navigateur
web. L'authentification et l'autorisation peuvent être gérées par Azure
AD, OAuth, ou d'autres mécanismes.
4. Azure Kubernetes Service (AKS) : Les utilisateurs peuvent
déployer et gérer des conteneurs sur AKS et y accéder via kubectl,
l'interface de ligne de commande Kubernetes. L'authentification est
généralement gérée à l'aide de fichiers kubeconfig.

• Sur Linode :
1. Linode Instances : Les utilisateurs peuvent se connecter à leurs
instances Linode en utilisant SSH pour les systèmes Linux ou des
clients RDP pour les systèmes Windows. Ils doivent avoir des clés
SSH ou des informations d'identification RDP appropriées.
2.Linode Managed Databases : Pour accéder aux bases de données
gérées par Linode, les utilisateurs peuvent utiliser des chaînes de
connexion avec des informations d'identification appropriées. Il est
essentiel de configurer des règles de pare-feu pour restreindre l'accès
aux adresses IP autorisées.
3. Linode Kubernetes Engine (LKE) : L'accès à des clusters
Kubernetes déployés sur Linode peut se faire via kubectl ou d'autres
outils Kubernetes standard. Les fichiers kubeconfig peuvent être
 configurés pour gérer l'authentification.
4. Linode Object Storage (S3-Compatible) : Les utilisateurs
peuvent accéder aux données stockées dans le service de stockage
d'objets S3-compatible de Linode en utilisant des bibliothèques et des
clients compatibles S3, tels que AWS SDK, et en fournissant des clés
d'accès.
Activitie 2
1. Donner 2 inconvénients du cloud par rapport à une
infrastructure physique sur site (on premise)
2. Quels sont les risques cybersécurité d’une infrastructure
physique sur site et qui sont accentués dans le cloud ?
3. Quels sont les nouveaux risques cybersécurité introduits par
le mouvement vers le cloud ?
4. Quels sont les risques cybersécurité évités/diminués par le
mouvement vers le cloud ?
5. Pour ces 3 types de risques (ce sont des types de risques et
non pas des risques), proposer des solutions chez les 2
fournisseurs choisis dans l’activité précédente.
✓ Risques sur les données
✓ Risques d’attaque par rançongiciel
✓ Risques d’attaques DOS (attaque par déni de service)
La répond :
1. Inconvénients du cloud par rapport à une infrastructure
physique sur site (on premise) :
a. Dépendance à la connectivité Internet : Le cloud nécessite une
connexion Internet constante, ce qui peut poser problème en cas de
coupure de réseau, de latence ou d'indisponibilité de l'accès en ligne.
b. Perte de contrôle direct : Les entreprises perdent une partie de leur
contrôle sur l'infrastructure et les données lorsqu'elles migrent vers le
cloud, ce qui peut être un inconvénient pour certaines organisations
soucieuses de la confidentialité et de la sécurité.

2. Risques de cybersécurité d'une infrastructure physique sur

site qui sont accentués dans le cloud :
a. Accès non autorisé : Les infrastructures sur site peuvent être protégées
par des pare-feu physiques, mais dans le cloud, les failles d'authentification
et de gestion des identités peuvent entraîner des accès non autorisés à des
ressources sensibles.
b. Perte de données physiques : Dans une infrastructure sur site, la perte
de données est généralement due à des facteurs physiques, tandis que dans
le cloud, elle peut résulter de la vulnérabilité des systèmes en ligne.

3. Nouveaux risques de cybersécurité introduits par le

mouvement vers le cloud :
a. Fuite de données via le cloud : Les données stockées dans le cloud
peuvent être exposées à des risques de fuite en raison de configurations
incorrectes, de violations de données chez les fournisseurs de cloud ou
d'erreurs de configuration de la part des utilisateurs.
b. Attaques sur les interfaces de programmation d'application (API) :
Les API sont essentielles pour l'intégration avec le cloud, mais elles
peuvent devenir des points d'attaque pour les cybercriminels.
c. Attaques par déni de service distribué (DDoS) ciblant le fournisseur
de cloud : Les fournisseurs de cloud sont des cibles potentielles pour les
attaques DDoS, ce qui peut perturber les services pour de nombreuses
entreprises hébergées dans le cloud.

4. Risques de cybersécurité évités/diminués par le mouvement vers le

cloud :
a. Protection physique : Les entreprises ne sont plus responsables de la
sécurité physique des serveurs, ce qui élimine le risque de vol, d'incendie
ou de catastrophe naturelle affectant l'infrastructure sur site.
b. Mises à jour de sécurité automatiques : Les fournisseurs de cloud
mettent généralement à jour et patchent automatiquement leurs systèmes,
réduisant ainsi le risque d'exploitation de vulnérabilités connues.
c. Évolutivité des ressources : Le cloud permet une augmentation rapide
des ressources en cas de besoin, ce qui peut aider à faire face aux attaques
DDoS en ajustant automatiquement la capacité.

5. Solutions chez les 2 fournisseurs choisis :

Pour les risques sur les données :

- AWS (Amazon Web Services) : Utilisation de services de chiffrement
comme AWS Key Management Service (KMS) pour chiffrer les données
sensibles stockées dans le cloud.
- Microsoft Azure : Utilisation de services de chiffrement, comme
Azure Information Protection, pour protéger les données et contrôler
l'accès.
 Pour les risques d'attaque par rançongiciel :
- AWS : Mise en place de politiques de sauvegarde régulières et d'alertes
de sécurité avec AWS Backup et AWS GuardDuty pour détecter les
activités suspectes.
- Azure : Utilisation de solutions de détection des menaces comme
Microsoft Defender for Endpoint pour surveiller et répondre aux menaces
de manière proactive.

Pour les risques d'attaques DOS :

- AWS : Utilisation de services comme AWS Shield pour protéger contre
les attaques DDoS et Elastic Load Balancing pour répartir la charge du
trafic entrant.
- Azure : Utilisation de solutions de sécurité réseau, comme Azure
DDoS Protection, pour atténuer les attaques par déni de service distribué.

Activité 3 (In English):

1. CVE (Common Vulnerabilities and Exposures):
- Definition: CVE is a dictionary of publicly disclosed security
vulnerabilities and exposures. Each CVE entry represents a unique
identifier for a specific security issue.
CVE-2019-22388
- Use: CVEs are used to standardize the identification and tracking of
security vulnerabilities across different systems and organizations.
- How it Works: CVEs are assigned to vulnerabilities, and these
identifiers help security professionals and organizations communicate
about specific security issues effectively.
2. CVSS (Common Vulnerability Scoring System):
- Definition: CVSS is a framework for assessing the severity of security
vulnerabilities and assigning a score based on various factors like impact
and exploitability.
- Use: CVSS helps prioritize and compare vulnerabilities, enabling
organizations to focus on the most critical ones.
- How it Works: CVSS assigns scores to vulnerabilities, typically ranging
from 0 to 10, with higher scores indicating more severe vulnerabilities.
3. CWE (Common Weakness Enumeration):
- Definition: CWE is a community-developed list of common software
security weaknesses. It provides a common language for discussing
vulnerabilities.
 - Use: CWE is used by security professionals and developers to identify
and understand software weaknesses in a standardized way.
- How it Works: CWE categorizes and describes various types of security
weaknesses, helping in vulnerability analysis and mitigation.
4. OWASP (Open Web Application Security Project):
- Definition: OWASP is an open-source project that provides resources,
tools, and best practices for web application security.
- Use: OWASP resources help developers and security professionals secure
web applications against common vulnerabilities.
- Commonality: OWASP often references CVEs and CWEs in its
documentation to highlight common vulnerabilities and weaknesses in web
applications.
5. NIST (National Institute of Standards and Technology):
- Definition: NIST is a U.S. government agency responsible for
developing and promoting standards and guidelines, including those
related to cybersecurity.
- Use: NIST's cybersecurity frameworks and guidelines are widely adopted
to improve the security posture of organizations.
- Commonality: NIST may reference CVEs, CVSS, and other standards in
its publications to provide guidance on handling vulnerabilities.
6. VDE (Vulnerability Disclosure and Handling):
- Definition: VDE refers to the process of identifying, reporting, and
addressing security vulnerabilities.
- Use: VDE is essential for maintaining software and system security by
ensuring vulnerabilities are responsibly disclosed and mitigated.
- Commonality: VDE processes often incorporate the use of CVEs, CVSS
scores, and CWE descriptions to facilitate vulnerability reporting and
management.
7. DVE (Defensive Vulnerability Management):
- Definition: DVE involves proactively defending against known
vulnerabilities and weaknesses in software and systems.
- Use: DVE helps organizations take measures to reduce the attack surface
and protect against potential threats.
- Commonality: DVE strategies often rely on information from CVEs,
CVSS, and CWEs to prioritize and address vulnerabilities in a defensive
manner.
8. Exploit DB (Exploit Database):
- What is it: A comprehensive collection of exploits, vulnerabilities, and
security-related resources.
- Its Role: To provide security professionals, researchers, and hackers with
a repository of known exploits, vulnerabilities, and tools for educational
and research purposes.

Exploit Database (Exploit DB) is a valuable resource for the cybersecurity

community. It allows individuals to study and understand vulnerabilities
and exploits, facilitating security research and helping organizations stay
informed about potential threats. However, it is essential to use Exploit DB
responsibly and within legal and ethical boundaries to avoid misuse or
illegal activities.

In summary, these terms and concepts are interconnected in the field of

cybersecurity, with CVEs identifying vulnerabilities, CVSS providing
severity scores, CWE categorizing weaknesses, OWASP offering web
application security guidance, NIST establishing standards, and VDE and
DVE processes ensuring responsible vulnerability disclosure and
mitigation. Understanding and leveraging these concepts is crucial for
effective cybersecurity management.
 The OWASP (Open Web Application Security Project) Top Ten is
a list of the most critical web application security risks.

1. Injection: This refers to vulnerabilities where an attacker can send

malicious input to a web application, which then gets executed as code.
Common types include SQL injection and OS command injection.
- Impact: Injection vulnerabilities can have severe consequences,
including data breaches, data loss, unauthorized access, and even
complete system compromise.
- Weakness: The weakness here is the lack of proper input
validation and sanitization, allowing malicious input to be
executed as code.
- Protection: Protect against injection by using parameterized
queries, prepared statements, and stored procedures. Input
validation and output encoding are also essential.
- How It Works: Attackers provide malicious input (often in the
form of specially crafted strings) that is executed by the
application's interpreter. For example, SQL injection involves
injecting SQL commands into input fields to manipulate the
database.

2. Broken Authentication: When authentication mechanisms are not

implemented correctly, attackers can exploit vulnerabilities to gain
unauthorized access to systems or accounts.
- Impact: This can lead to unauthorized access to sensitive data or
functionality, enabling attackers to impersonate legitimate users.
- Weakness: Weak or missing authentication mechanisms, such as
inadequate password policies or improper session management.
- Protection: Implement strong authentication and session
management practices, including multi-factor authentication,
secure password storage, and session timeouts.
- How It Works: Attackers exploit authentication flaws to gain
access to user accounts or administrative functions. This can
involve password cracking, session fixation, or brute force
attacks.

3. Sensitive Data Exposure: This involves the improper handling or

storage of sensitive data, such as passwords or credit card numbers, which
could lead to data breaches.
 - Impact: Exposure of sensitive data can result in data breaches,
identity theft, or financial loss.
- Weakness: Inadequate encryption, storage, or transmission of
sensitive information.
- Protection: Encrypt sensitive data at rest and in transit. Follow
secure coding practices to avoid data leakage in logs or error
messages.
- How It Works: Attackers exploit weak data protection practices
to gain access to sensitive information, such as credit card
numbers or personal user data.

4. XML External Entities (XXE): XXE attacks occur when an

application parses XML input from untrusted sources, allowing attackers
to read files, perform internal port scanning, and more.
- Impact: XXE attacks can lead to disclosure of internal files,
server-side request forgery (SSRF), and denial of service.
- Weakness: Parsing untrusted XML input without proper
validation and disabling external entity references.
- Protection: Disable external entity processing, use safer data
formats like JSON, and validate XML inputs rigorously.
- How It Works: Attackers craft malicious XML documents with
external entity references that can be exploited to retrieve or
manipulate internal files or resources.

5. Broken Access Control: Insufficient access controls can lead to

unauthorized access to certain parts of an application, allowing attackers to
view sensitive data or perform actions they shouldn't be able to.
- Impact: Improper access controls can allow attackers to access
unauthorized data or perform unauthorized actions.
- Weakness: Inadequate authorization checks and missing access
control mechanisms.
- Protection: Implement proper access controls, role-based access
control (RBAC), and regularly test for authorization
vulnerabilities.
- How It Works: Attackers exploit missing or weak access
controls to perform actions they shouldn't have permissions for,
such as accessing another user's data.
 6. Security Misconfiguration: This risk arises when security
settings, such as default passwords, are not properly configured. Attackers
can take advantage of these misconfigurations to gain unauthorized access
or exploit other vulnerabilities.
- Impact: Security misconfigurations can expose sensitive data,
provide unauthorized access, and create attack surfaces for
attackers.
- Weakness: Poorly configured security settings, including default
passwords, excessive privileges, and unpatched systems.
- Protection: Regularly review and update security
configurations, employ automated scanning tools, and follow
security best practices for server, application, and database
configurations.
- How It Works: Attackers look for misconfigured settings that
can be exploited, such as default login credentials or open ports,
to gain access to systems or data.

7. Cross-Site Scripting (XSS): XSS occurs when a web application

allows users to inject malicious scripts into web pages viewed by other
users. It can lead to data theft, session hijacking, and more.
- Impact: XSS attacks can lead to data theft, session hijacking,
defacement, and the spread of malicious content.
- Weakness: Failure to properly validate and sanitize user-
generated content, which allows attackers to inject malicious
scripts into web pages.
- Protection: Use input validation and output encoding,
implement security controls like Content Security Policy (CSP),
and sanitize user inputs.
- How It Works: Attackers inject malicious scripts into web
pages, which are then executed by other users' browsers,
potentially compromising their sessions, or stealing their data.

8. Insecure Deserialization: Insecure deserialization vulnerabilities

can allow attackers to execute arbitrary code, access sensitive data, and
conduct other malicious activities by manipulating serialized objects.
- Impact: Insecure deserialization can result in remote code
execution, data tampering, and other malicious actions.
- Weakness: The application does not properly validate or sanitize
data during deserialization.
 - Protection: Avoid deserializing untrusted data, validate serialized
data, and use safe deserialization libraries.
- How It Works: Attackers manipulate serialized objects to
execute arbitrary code, access sensitive data, or perform other
malicious actions.

9. Using Components with Known Vulnerabilities: When

developers use third-party components with known vulnerabilities in their
applications, attackers can exploit these weaknesses to compromise the
application.
- Impact: Using vulnerable components can expose an
application to known exploits and compromise security.
- Weakness: Failure to keep third-party libraries, frameworks,
and dependencies up-to-date.
- Protection: Regularly update and patch all components,
implement vulnerability scanning, and maintain an inventory of
used components.
- How It Works: Attackers exploit known vulnerabilities in
outdated or unpatched components to gain access to an
application or its data.
n
10. Insufficient Logging and Monitoring: Inadequate logging and
monitoring make it difficult to detect and respond to security incidents in a
timely manner. This can lead to delayed or ineffective incident response.
Impact: Insufficient logging and monitoring hinder the detection
and response to security incidents, allowing attackers to operate
undetected.
Weakness: Not implementing proper logging and monitoring
mechanisms to track and analyze security events.
Protection: Implement comprehensive logging, monitoring, and
alerting systems to detect and respond to suspicious activities
promptly.
How It Works: Attackers can exploit the lack of monitoring to
conduct malicious activities without being noticed, making it
difficult to detect and respond to security incidents.
 OWASP Top 10 2021:
A01:2021 - Broken Access Control
- Impact: Can lead to data breaches, identity theft, fraud, or system
compromise.
- Weakness: Lack of proper access checks at code or configuration level.
- Protection: Implement robust access control mechanisms, follow the
principle of least privilege, deny access by default, enforce access control
policies consistently, and log and monitor access attempts.

A02:2021 - Cryptographic Failures

- Impact: Can result in data exposure, tampering, loss, system
compromise, or denial of service.
- Weakness: Use of insecure or outdated cryptographic methods.
- Protection: Use standard, well-tested cryptographic libraries and
algorithms, follow secure coding practices, and securely store and manage
keys and secrets.

A03:2021 - Injection
- **Impact**: Varies but can lead to data loss, unauthorized access,
execution, or system compromise.
- **Weakness**: Lack of proper input validation and output encoding.
- **Protection**: Use parameterized queries or prepared statements, safe
APIs, escape or sanitize user input and output, and implement positive
input validation and whitelisting.

**A04:2021 - Insecure Design**

- **Impact**: Can affect the entire web application and make it vulnerable
to multiple attacks.
- **Weakness**: Lack of security awareness, knowledge, and security
requirements during design.
- **Protection**: Adopt a secure by design approach, including threat
modeling, secure design patterns, reference architectures, and security
testing throughout the development lifecycle.

**A05:2021 - Security Misconfiguration**

- **Impact**: Can lead to information disclosure, unauthorized access,
modification, or system compromise.
- **Weakness**: Lack of secure configuration standards and processes.
- **Protection**: Follow secure configuration standards and guidelines,
disable unnecessary features, services, and accounts, and minimize error
message exposure.

**A06:2021 - Vulnerable and Outdated Components**

- **Impact**: Can allow attackers to exploit vulnerabilities and
compromise the application.
- **Weakness**: Lack of component inventory, monitoring, and patching
processes.
- **Protection**: Maintain an inventory of components, identify and
prioritize vulnerabilities, and implement a patching and updating policy.

**A07:2021 - Identification and Authentication Failures**

- **Impact**: Can lead to identity theft, fraud, data breaches, or system
compromise.
- **Weakness**: Use of weak or default credentials, insecure credential
storage, and improper credential management.
- **Protection**: Implement strong identification and authentication
mechanisms, multi-factor authentication, password policies, encryption,
and secure session management.

**A08:2021 - Software and Data Integrity Failures**

- **Impact**: Can result in data corruption, system malfunction, or denial
of service.
- **Weakness**: Lack of integrity checks and controls for software and
data.
- **Protection**: Implement integrity checks, use secure file transfer
protocols, encrypt data in transit and at rest, and implement backup and
recovery processes.

**A09:2021 - Security Logging and Monitoring Failures**

- **Impact**: Can allow attackers to continue or escalate attacks without
detection.
- **Weakness**: Lack of security logging and monitoring standards and
processes.
- **Protection**: Implement security logging and monitoring mechanisms,
log relevant security events, use a centralized system, apply retention and
rotation policies, and establish incident response processes.

**A10:2021 - Server-Side Request Forgery (SSRF)**

- **Impact**: Can result in information disclosure, unauthorized access,
execution, or system compromise.
- **Weakness**: Lack of proper input validation and output encoding for
requests.
- **Protection**: Implement SSRF prevention mechanisms, such as URL
whitelisting and validation, and filter out malicious URLs and parameters
from requests.

These are critical security risks that web applications should address to
protect against a wide range of threats and vulnerabilities.

What Is the General Data Protection Regulation

(GDPR)?
The General Data Protection Regulation (GDPR) is a legal framework that sets
guidelines for the collection and processing of personal information from individ-
 uals who live and outside of the European Union (EU). Approved in 2016, the
GDPR went into full effect two years later.
Its aim is to give consumers control over their own personal data by holding
companies responsible for the way they handle and treat this information. The
regulation applies regardless of where websites are based, which means it must
be heeded by all sites that attract European visitors, even if they don't specifi-
cally market goods or services to EU residents.