CheckPoint Tribune RGPD septembre 2017

Idées Cyberisques News:  Thierry Karsenti, Vice Président Technique Europe chez Check Point

                                                                             

 

 

RGPD - Voici ce que vous devez faire dès maintenant

 

Septembre 2017.

Vous avez peut-être entendu parler du RGPD, le nouveau Règlement Général sur la Protection des Données de l'Union Européenne. C'est une loi complexe en pleine évolution qui entrera en vigueur en mai 2018. Peu importe que votre entreprise ait une présence ou non dans l'UE, ou que vos applications et vos données soient traitées et stockées ou non dans l’UE. Si votre entreprise détient ou contrôle des données relatives à un citoyen de l'UE, vous devez commencer à réfléchir à votre conformité avec le RGPD... le plus tôt sera le mieux.

Autrement dit, le RGPD exige que les entreprises mettent en œuvre des procédures et des processus entièrement nouveaux pour la collecte et le stockage d'informations personnelles identifiables (IPI). Il définit les IPI comme étant toute information relative à la vie privée, professionnelle ou publique d'un résident de l'UE (adresse IP, informations bancaires, adresses électroniques, réseaux sociaux, etc.). L'objectif du RGPD est d’assurer que les IPI soient stockées avec l'autorisation de la personne concernée, qu’elles soient utilisées aux fins spécifiées pour lesquelles elles ont été obtenues, et pour une durée correspondant à la raison initiale de l'obtention des données.

Les entreprises qui ne respectent pas le RGPD seront redevables de lourdes amendes : 20 millions d'euros ou 4 % de leurs chiffre d’affaires mondial par incident. Cela pourrait signifier des millions, voire des milliards d’euros d'amendes pour les grandes entreprises.

Une rapide recherche en ligne révèle qu'il n'y a pas de pénurie d'avocats, « d’experts » auto-proclamés et de prestataires fournissant des conseils sur ce que vous devriez faire au sujet de la conformité avec le RGPD. Cependant, nous constatons que beaucoup de ces conseils s’engagent directement vers des technologies et des activités. Il existe des étapes plus simples que vous devriez suivre avant de commencer à vous inquiéter de la façon dont le RGPD influera sur vos systèmes. Voici nos quatre étapes principales :

 

Sensibilisation et formation

Personne ne lèvera le petit doigt pour soutenir vos efforts en matière de RGPD sans savoir de quoi il s’agit. Commencez donc par formez vos collègues : Qu'est-ce que la loi exige et pourquoi est-ce pertinent pour nous ? Quelles sont les pénalités en cas de non-conformité ? Lesquelles parmi nos applications sont susceptibles d’entrer dans le champ d’application de la loi ? La formation de base est essentielle, non seulement pour sensibiliser les gens à la nouvelle réglementation, mais également pour commencer à réfléchir à la façon d'allouer du personnel et des ressources financières pour y faire face.

Surveillez la situation

Il est important de comprendre que le RGPD est totalement nouveau et encore vague, dans une certaine mesure. La façon dont il sera audité et appliqué doit encore être entièrement déterminée. Beaucoup d'informations sont disponibles, mais aucune d'entre elles ne peut être considérée comme étant définitive. Néanmoins, si vous avez un rôle clé dans la planification de la conformité avec le RGPD, vous devez essayer d’en savoir autant que possible afin d’en distinguer les points clés. Vous devriez également lire au moins des portions (idéalement toutes) du règlement lui-même. En fin de compte, le texte de la loi est ce qui compte, et en le comprenant, vous vous placez en bonne position pour travailler efficacement avec vos pairs, votre direction et vos prestataires.

Vous devez également savoir que différents organismes de l'UE tentent lentement de clarifier certaines parties de la loi et publient régulièrement des directives. Prenez donc un peu de temps chaque mois pour vérifier s'il existe de nouvelles informations, car elles permettront de clarifier la situation et vous aideront dans vos efforts de planification.

 

Commencez à rechercher les données

Votre stratégie finale pour la conformité avec le RGPD aura en général deux composantes : Les processus et les contrôles sur les applications existantes de votre entreprise et les processus qui seront requis lorsque de nouvelles applications seront déployées. Pour la première composante, vous devez commencer à rechercher les données dans vos systèmes informatiques existants entrant dans le champ d’application. Comme dans toutes les situations de conformité, plus vous identifiez de systèmes qui n’entrent pas dans le champ d’application, mieux cela vaut, car ceux-ci peuvent être exclus de vos activités de conformité.

Bien entendu, déterminer les données entrant dans le champ d’application reste au cœur du processus d'évaluation de vos activités de mise en conformité. À cette fin, les systèmes de classification de données (DLP) peuvent automatiser et accélérer cet effort.

 

 

Établissez une journalisation robuste et vérifiez-la

Tous les régimes de conformité font de la journalisation un contrôle clé, et les implémentations du RGPD n’y feront pas exception. Par conséquent, une étape initiale logique consiste à examiner et vérifier les activités de journalisation sur les applications clés et l'infrastructure de prise en charge. Cela doit inclure non seulement la journalisation elle-même, mais également les contrôles automatisés ou manuels permettant d’examiner périodiquement les journaux afin d’identifier les activités non autorisées ou malveillantes. Elles doivent également inclure la journalisation des activités des administrateurs sur les infrastructures critiques. (Ce mois-ci notamment, nous venons d’apprendre que les sites en ligne d'une banque sud-américaine ont été détournés pendant plusieurs heures par un pirate qui a compromis le compte d'administration du DNS de la banque.)

En mettant en œuvre les solutions technologiques dès maintenant, elles peuvent être utilisées pour découvrir des problèmes et y remédier avant la date limite de mise en conformité avec le RGPD en 2018.

 

BONUS: 

http://cyberisques.com/mots-cles-5/688-rgpd-et-textes-nationaux-vers-des-specificites-nationales

http://cyberisques.com/mots-cles-5/83-categorie-3/687-guide-pratique-rgpd-gdpr-dpo-news-fiche-2-quels-sont-les-chantiers-prioritaires-des-dpo

C5amMvcWQAAp7jG GF GF GF

 

@DPONews @cyberisques Xavier Leclerc, PDG de DPMS: "Nous délivrons (UDPO) une carte professionnelle pour les DPO après examen auprès d'examinateurs agréés par Bureau Véritas certification"

 

Entretien: @jpbichard

 

 

Xavier Leclerc, PDG de DPMS, CIL/DPO externalisé, co-fondateur de l'AFCDP:

"Nous délivrons (UDPO) une carte professionnelle pour les DPO après examen auprès d'examinateurs agréés par Bureau Véritas certification"

 

 


Vous venez de signer un accord de partenariat avec IBM pour aider les organisations notamment via leurs futurs DPO à devenir RGPD-Compliance. IBM ne disposait pas d'outils de ce type ?

 

Ils disposaient d'une solution « globale de gouvernance » des bases de données avec leur outil « Case Manager » notamment. Le nôtre, PrivaCIL, est un outil "métier" qui permet une capillarité plus fine afin d'aller au delà d'une gestion globale de la donnée pour réaliser des remontées précises au DPO dans le cadre de l’accountability. Par exemple, suite à une demande spécifique d'un client concernant ses données à caractère personnel, nous remontons directement les informations liées à son environnement personnel par les outils d’IBM et Privacil va gérer la conformité de la réponse apportée en termes de timing, de contenu et l’inclure dans le bilan du DPO.

 

 


Quel regard portez vous sur les projets GDPR / RGPD à moins de 11 mois de l'entrée en vigueur du règlement européen au sein des 28 pays membres de l'UE ?

 

C'est assez contrasté. Si une prise de conscience existe, en termes opérationnels, la plupart des budgets GDPR seront dotés d'outils lors des affectations budgétaires de l'exercice 2018. Je note que si les grands comptes bougent, les TPE / PME m’inquiètent davantage. Que font les CCI , les commissaires aux compte et les principaux acteurs de ce secteur pour sensibiliser ?

 

 


De votre côté, DPMS et UDPO (Union des DPO), vous avez créé une certification*  pour les futurs DPO et expert RGPD (RSSI, Réféfents Informatique et Libertés…) en partenariat avec Bureau Veritas certification. Quand sortent les premiers certifiés ?

 

Bientôt ! Pour Nous la solution c’est la fédération et la mutualisation des moyens et surtout pas les initiatives individuelles de tel ou tel cabinet d'avocats par exemple. Nos premieres formations certifiantes sont programmées pour la fin juin et le début juillet de cette année via l'entité formation de DPMS qui assure les cours (ANAXIL). Le premier examen de certification devrait avoir lieu à l’automne avec Bureau Véritas Certification.

 

 


Quels contenus sont développés en priorité auprès des élèves futurs DPO ?

Plusieurs volets existent durant les six jours que dure la formation. Nous évoquons bien entendu les rappels indispensables sur la loi informatique et libertés toujours à la base du RGPD. Nous revenons sur les principes de base liés à la sécurité des données, aux droits des personnes à exercer des demandes (accès, oubli...). Il faut comprendre que le métier de CIL et de DPO suppose aussi la mise en place d'outils nécessaires à une revue initiale de conformité via la tenue obligatoire de registres par exemple.

 

 


Quelle légitimité apportez-vous avec cette formation et son diplôme ?

 

Nous délivrons (UDPO) une carte professionnelle après examen auprès d'examinateurs agréés par Bureau Véritas certification. La carte sera délivrée aux adhérents de l’UDPO après leur succès à l’examen. Ils devront prouver avoir effectué deux ans d'exercice en tant que DPO ou dans le secteur Informatique et Libertés. C'est une bonne approche. Cette certification EUR sera la seule en Europe proposer une formation via des organismes européens. Le modèle existe depuis deux ans en Italie.

 

 


Pensez-vous que des cabinets d'avocats ou de conseils sont légitimes pour offrir des prestations de services de type « DPO as a service » ou services de DPO externalisés ?

 

Nous ne faisons pas le même métier que les avocats. Les avocats qui veulent faire du conseil au delà du juridique (pratique métier) c'est inconcevable. D'ailleurs, ils recherchent en permanence des partenaires. Je suis harcelé chez DPMS par les cabinets d'avocats qui veulent des outils compliance GDPR. Mais chacun son métier et je ne parle pas des ambiguïtés entre juge et partie. En partenariat, c’est autre chose…

 

 


Quels avantages concurrentiels voyez-vous au GDPR ?

 

Il y en a beaucoup à commencer par une plus grande qualification des données. La transparence paye. Les Données « compatibles GDPR » sont dés lors inscrites dans le nouveau cadre réglementaire ce qui facilite les échanges. En marketing, les bases de données clients deviendront plus fiables via des informations authentiques donc fiables. Le « Cross selling » autorisera alors une meilleure connaissance des clients et des approches plus ciblées dans le respect d'une réglementation EU.

 

Propos recueillis par @jpbichard cyberisques News @DPOnews

 

 

Outil PrivaCIL : une démarche structurée pour devenir « RGPD-Compliance »

 

Avec La solution PrivaCIL renferme un outil SaaS dédié aux CIL/DPO. Le Groupe DPMS (DATA PRIVACY MANAGEMENT SYSTEM), a signé un partenariat avec IBM dans le cadre de son offre PrivaCil en version 7. Elle offre aux organisations de toutes tailles l'opportunité de piloter une mise en conformité de leurs « data gouvernance » avec le Règlement Général européen sur la Protection des Données (RGPD), qui entrera en vigueur le 25 mai 2018.
PrivaCIL-DPMS s’adresse à tous les organismes et toutes les personnes en charge de la gestion des données à caractère personnel : Responsable des Traitements (RT), Correspondant Informatique et Libertés/Data Protection Officer (interne, externe ou mutualisé) et Référent/Relais I&L, RSSI, Chefs de projet et toute autre personne autorisée par l’un des précédents profils.

 * www.UDPO.fr

UDPO

Source: L'union des Data Protection Officer - DPO est l'association professionnelles des DPO et des Experts RGPD Français

 


BONUS :

 

http://cyberisques.com/mots-cles-5/646-dpo-news-jpbichard-gdpr-entretien-xavier-leclerc-pdg-dpms-privacy-is-good-for-business

 

 

Olivier Ligneul Directeur de la Mission Technique & Sécurité, RSSI du Groupe, EDF : " Il faut aussi savoir sortir d'une crise "

Cyber expert: Olivier LIGNEUL; Group Chief Information Security Officer
Directeur de la Mission Technique & Sécurité - RSSI du Groupe
EDF - Direction des Systèmes d'Information Groupe


Olivier Ligneul Directeur de la Mission Technique & Sécurité, RSSI du Groupe EDF :

 Il faut aussi savoir sortir d'une crise "

 

 

La nouvelle réglementation Européenne qui entrera en vigueur si tout va bien au printemps prochain implique entre autres la nomination d'un DPO, Data Protection Officer, et la déclaration dans les 72h00 des incidents en cybersécurité. Ce sont des mesures positives ?

Oui. Chez EDF ce n'est pas nouveau. Nous réalisons déjà ce type de procédures qui renforcent la sécurité et la mise en conformité. Cette notification à la CNIL devra se faire sans retard injustifié, si possible dans les 72 heures à compter de la connaissance de cette violation de données ; d'où une mise à jour de notre PSSI et du dispositif d'astreinte pour prévenir le DPO. Le seul souci est de déterminer exactement le périmètre propre à ces cyber-attaques. En fait il s'agit d'ajouter cette nouvelle typologie à des procédures existantes. La complexité réside vraisemblablement dans le changement de la qualité de la donnée issue d'un outil SOC et du SIEM (outil de corrélation de logs) pour la traduire au sein d'une matrice qui positionne la donnée dans un niveau de criticité. Il s'agit là d'une sorte de référentiel de classification.

 

Reste qu'aucun outil aujourd'hui en 2016 n'apporte une réelle solution au problème de classification des données en tenant compte de la gestion de cycle de vie des données ?

C'est exact, ce type d'outil est très lié à chaque métier et peut concerner même des échanges sectoriels.


Selon les principes contenus dans la future réglementation européenne sur la protection  des données, le responsable du traitement devra communiquer aux personnes concernées les informations suivantes au moment de la collecte des données :

– L'identité du responsable du traitement (et son adresse)

– L'objet du traitement

– Les destinataires des données

- La durée de conservation des données

– Le droit d'accès, de rectifier ou de supprimer les données

– Le droit à la portabilité des données

– Le droit de saisir la CNIL

– L'obligation de fournir ses données pour remplir une obligation contractuelle...

A quelle fréquence estimez-vous chez EDF devoir faire auprès de la CNIL ce type de déclaration ?

EDF se conformera aux attentes de la CNIL en la matière. Il est très difficile d'estimer cette volumétrie à ce stade.

 

Disposez-vous des outils nécessaires pour gérer les alertes et le suivi de ces alertes en cas de crise majeure?

Nous disposons d'outils. Cependant, je pense que le problème n'est pas là. La gestion des crises fait partie intégrante de notre métier. Être efficient c'est possible. Reste, au-delà des outils, l'analyse humaine. Il convient de discerner parmi cette masse de signaux le signal souvent faible qui constitue l'information stratégique. Il faut aussi identifier la crise afin d'apporter la réaction adaptée. Il faut aussi savoir sortir d'une crise. En communication par exemple, ça suppose le respect d'une procédure a trois niveaux : les remontées d'informations des équipes opérationnelles sur le terrain, la traduction aux managers « tête de pont » et avant les incidents, un travail indispensable avec les communicants pour qu'ils comprennent les enjeux SSI afin de pouvoir communiquer pendant. La communication au sein de la filière SSI est stratégique: cette communication adresse les représentants internes et les réseaux de partenaires, clients et fournisseurs.

 

Vous l'avez évoqué lors de l'atelier sur la gestion de crises que nous avons animé lors du FIC 2016 avec vos collègues du CESIN, RSSi Groupe de la SNCF, d'Airbus et des Ministères de la santé et des affaires sociales, les incidents de sécurité se multiplient, deviennent rapides et agiles et occasionnent des impacts touchant de plus en plus les métiers. Comment fédérez-vous et organisez-vous vos sources d'informations au delà des flux issus des SOC, SIEM et CERT sans omettre les cercles de RSSI ?

En plus des informations complémentaires au niveau juridique, de la communication, des métiers de l'entreprise et celles d'outils spécifiques comme les SIEM, l'information en cas de crise doit être anticipée. Il est important de faire des exercices de cyber crise globaux orientés tête de groupe mais également dans la filière technique et les métiers par exemple.

 

Qui gère les Si ICS / Scada au sein d'un groupe tel que EDF ? Automaticiens et informaticiens affichent des priorités et culture différentes. Êtes vous favorable à la nomination d'un RSSi industriel ?

Les environnements Scada recouvrent plusieurs aspects en terme de cybersécurité et leur maintien au sens maintenir les équipements et automates à jours via des patchs peut rendre les procédures plus complexes. Des solutions sont déployées pour les rendre étanches face aux interconnexions. Coté patch, le virtuel patching constitue une piste. Nous disposons d'un réseau de RSSI industriels et de capacités de veille.

 

Dernière question : chez EDF comme dans beaucoup de grandes organisation, la mobilité prend une place stratégique. Selon le Gartner, près de 2 entreprises sur 5 utiliseront exclusivement le BYOD d'ici 2016 et elles seront 85 % d'ici 2020. Le BYOD peut poser des problèmes spécifiques en sécurité (règles internes relatives à la confidentialité des données, pertes de devices mobiles, conversations non chiffrées..) Etes-vous favorable a donner des terminaux « durcis » aux membre du COMEX ou a d'autres « profils » par exemple ?

Bâtie autour du concept de défense en profondeur, nous avons adapté notre politique de sécurité autour de la mobilité et du BYOD à ces nouveaux enjeux et aux différents profils.

 

Propos recueillis par @jpbichard 

 

 

 

 

BONUS: 

http://cyberisques.com/mots-cles-15/499-fioc-2016-ateliet-gestion-de-crise-rssi-groupe-sncf-edf-airbus-ministeres

 

Yannick Bolloré PDG Havas : « Des Big Data au Smart Data » : « Des Big Data au Smart Data »

BigDataParis 2017

 

Yannick Bolloré PDG Havas : « Des Big Data au Smart Data »

Yannick Bolloré-DPO NEWS-2017

 

Bien que peu commenté sur les stands de l'édition 2017 de BigDataParis qui s'est achevée hier 7 mars, le nouveau règlement européen GDPR -RGPD était présent lors des débats avec notamment des groupes tels que Havas et Société Générale pour évoquer les missions du DPO.

 

 

Replaçons d'abord dans un contexte plus large, les enjeux du futur règlement européen. Le marché de la donnée et plus largement celui du Big Data devrait selon PAC représenter une croissance de 10% par an sur la période 2013 – 2019. Sur cette même période en France, le marché des logiciels et services n’excédera pas toujours selon les consultants de PAC 2% de croissance. Bref le marche traditionnel (analytique) se tasse et celui du futur, services et outils « big data » se développe. Un développement qui doit répondre à certains contrôles : 56% des entreprises interrogées pour le livre Blanc de GFI (Les vrais chiffres du Big Data) jugent la donnée critique pour le Business.

C'est aussi ce qu'estiment bon nombre de dirigeants et DPO à commencer par Yannick Bolloré, PDG d'Havas. En prenant la casquette de publicitaire, il évoque le lien entre messages Pub ciblés et géolocalisés pour chaque consommateur et « progrès techniques ».

Première chose, lors d'un entretien accordé à DPO_News, Yannick Bolloré confie « sa foi totale dans les enjeux du GDPR comme un nouvel avantage concurrentiel pour les entreprises et notamment Havas ».

« Nous sommes désormais dans un monde post digital au sens ou les algorithmes maîtrisés par les Data Scientists vont nous permettre d'accéder à une connaissance client jamais atteinte jusqu'alors en passant du Big data à la smart data ».

 

Abonnemnt-2017

 

 

La patron d'Havas cite sa propre inexpérience en arrivant en 2014 à l'aéroport de San Francisco aux US pour un rendez vous Business chez Google : «  j'ai reçu un SMS à mon nom personnalisé me proposant à proximité de mon hôtel mon plat favori de Sushis » Nom, heure d'arrivée, lieu, hôtel, préférences culinaires étaient connues de...Google ; Lors de mon RdV un chercheur de Google m'a expliqué qu'il « testait » ce type d'approche ciblée via des données recueillies analysées et compilées à partir de on agenda électronique, mes mails pour les réservation de vols et d’hôtel et un échange sur Facebook pour les goûts en matière de sushis ». Question : si les publicitaires sont tentés par ce type d'approche « géolocalisée » et « hyper personnalisée » qu'en pense la CNIL ? Ou comment trouver le « juste milieu » entre liberté et avantages économiques ?

@jpbichard

(Lire aussi pour nos abonnés @DPO_NEWS : Métier de DP sur DPO_NEWS : Société Générale, Emmanuelle Payan, DPO Groupe)  

 

Phot-JPB-DPO NEWS

Journaliste IT depuis 27 ans, IHEDN 2005, animateur d'évènements (tables rondes) IT / GDPR, auteur de plusieurs ouvrages, co-fondateur en 1997 du premier média "cybersecurité" NetCost&Security avec Olivier Caleff, Jean Philippe Bichard -@jpbichard - a créé le site de veille  http://cyberisques.com en 2012.

Premier journaliste animateur des « Assises de la sécurité » dans les années 2000, il collabore à différents médias (tech et Eco).

 En complément de Cyberisques NEWS  - gouvernance des risques IT - il crée en 2016 @DPO_Newsconsacré aux projets GDPR (organisationnel, technique, juridique) et à la veille stratégique pour les DPO. 

En plus d'animations (avec compte-rendu immédiat) et d'enquêtes "marché", Jean Philippe rédige de nombreux « white papers » sur les différents aspects du GDPR, des études « business » et autres contenus WEB sur les thématiques Cyberisques / GDPR.

Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

@cyberisques @jpbichard @DPO_NEWS

 

ORANGE sanctionnée par la CNIL pour défaut de sécurité des données

La société ORANGE sanctionnée pour défaut de sécurité des données dans le cadre de campagnes marketing


(Source CNIL) 25 août 2014

A la suite d'une faille de sécurité concernant les données de plus d'un million de clients, la CNIL a effectué un contrôle au sein de la société ORANGE et de ses prestataires. Des lacunes de sécurité ayant été identifiées, la formation restreinte prononce un avertissement public.
En avril 2014, la société ORANGE a notifié à la CNIL une violation de données personnelles, liée à une défaillance technique de l'un de ses prestataires, ayant concerné les données de près de 1,3 million de clients dont leurs nom, prénom, date de naissance, adresse électronique et numéro de téléphone fixe ou mobile.
La CNIL a alors procédé à des contrôles auprès de la société et des sous-traitants intervenant dans le cadre de ses campagnes d'emailing promotionnel. La délégation de contrôle a constaté que les dysfonctionnements ayant engendré la faille de sécurité avaient été corrigés. Toutefois, plusieurs lacunes en termes de sécurité des données ont été identifiées et ont justifié l'engagement d'une procédure de sanction.
Devant la formation restreinte, la société soutenait avoir pris toutes mesures utiles afin de respecter son obligation de sécurité des données.
La formation restreinte a toutefois retenu que la société n'a pas fait réaliser d'audit de sécurité avant d'utiliser la solution technique de son prestataire pour l'envoi de campagnes d'emailing alors que cette mesure lui aurait permis d'identifier la faille de sécurité. Elle a également retenu que la société a envoyé de manière non sécurisée à ses prestataires les mises à jour de ses fichiers clients et qu'aucune clause de sécurité et de confidentialité des données n'avait été imposée à son prestataire.
La formation restreinte en a déduit que la société a manqué à son obligation d'assurer la sécurité et la confidentialité des données à caractère personnel de ses clients prévu par l'article 34 de la loi " Informatique et Libertés " et a prononcé à son encontre un avertissement public.


BONUS: 

Délibération de la formation restreinte n°2014-298 du 7 août 2014 prononçant un avertissement à l'encontre de la société ORANGE:

http://www.cnil.fr/fileadmin/documents/approfondir/deliberations/Formation_contentieuse/D2014-298_avertissement_ORANGE.pdf

 

Les dossiers de Cyber Risques News

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

Renseignements   Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

Informations supplémentaires