Lancement du premier kit de sensibilisation de cybermalveillance.gouv.fr

Cyberattaque Cybersécurité Sécurité

Le jeudi 14 juin, la plateforme cybermalveillance.gouv inaugurait la publication de son premier kit de sensibilisation sur la sécurité informatique. Composé de fiches et de vidéos, le kit cherche à communiquer sur les bonnes pratiques concernant divers sujets informatiques qui présentent des risques.

cybermalveillance

Les cyberattaques réussissent souvent à infiltrer les entreprises à cause de l’ignorance des salariés envers la cybersécurité. C’est pourquoi cybermalveillance.gouv à décider d’énumérer les bonnes pratiques dans toutes les situations à risque en commençant par ce premier volet.

L’enjeu principal est de diffuser le message aux TPE et PME qui n’ont en majorité pas encore mis en place de politique de cybersécurité. Le rôle de cette plateforme est donc d’accompagner ces entreprises dans le développement d’une stratégie de sécurité numérique. Des entreprises que l’Anssi ne peut pas suivre, faute d’une structure adaptée. Cybermalveillance.gouv met à disposition avec ce kit un large panel de documents pédagogiques donnant des conseils sur la marche à suivre en cas d’attaque et des conseils de prévention sur plusieurs domaines aux entreprises et organisations qui le souhaitent.

Un kit qui a pour but de sensibiliser

Les sujets abordés que la plateforme a élaboré avec différents partenaires ont été divisés en plusieurs axes pour couvrir quatre grandes thématiques. Ces dernières sont : l’hameçonnage, la gestion des mots de passe, la sécurité des appareils mobiles et la séparation des usages privés et professionnels. Chacun de ces thèmes est développé à l’aide de fiches et d’une vidéo.

L’ensemble des documents a été placé sous licence ouverte, ce qui permet aux utilisateurs de les adapter selon leurs besoins.

Ce kit est une première étape pour cybermalveillance.gouv dans l’accomplissement d’une de ses missions de départ : sensibiliser les citoyens. Des mises à jour seront proposées de façon régulière sur le site pour aborder de nouvelles thématiques.

Atteindre la bonne cible avec le bon message

La demande pour ce type de documentation semble présente : 4700 entreprises se sont inscrites pour télécharger le kit dont la majorité sont des structures de moins de 250 employés. Le fait que ce kit soit élaboré par cybermalveillance.gouv est un gage de qualité, il réponds ainsi pleinement à sa cible car il l’a connait bien.

Le message est grand public mais porte tout de même la patte de l’Anssi qui apporte la confiance aux entreprises. Ce kit représente une ressource précieuse pour les RSSI et les organisations qui souhaitent sensibiliser leurs employés.

Anonymisation ou pseudonymisation des données ?

Data RGPD

En ce qui concerne la protection des données, il existe deux méthodes à évaluer en vue du RGPD. L’anonymisation qui permet une sécurisation accrue et la pseudonymisation qui offre davantage de souplesse.

anonymisation et pseudonymisation

Avec le RGPD, toutes les entreprises sont confrontées à la sécurisation des données. Le texte de loi préconise certaines techniques pour protéger les données des citoyens européens notamment l’anonymisation et la pseudonymisation.

L’anonymisation est un procédé définitif qui consiste à changer le contenu ou la structure même des données. Toutes les informations qui permettent d’identifier directement ou indirectement des personnes sont supprimées ou modifiées. Cela rend normalement impossible toute réidentification. Sur le papier, l’anonymisation présente un niveau de protection optimal.

Des risques de réidentification par recoupement

Bien qu’Intéressante au départ, cette méthode reste très difficile à mettre en place. En effet, plus le volume de données est important, plus les risques de réidentification par recoupement sont élevés. Des informations totalement anonymisées peuvent amener à l’identification d’une personne en fonction des informations relevées qui permettent de déduire le comportement, comme les habitudes de navigation sur internet ou bien les historiques d’achats en ligne.

Le recoupement de deux collectes peut faire apparaître des données sensibles, ou bien réidentifier des individus dont les données avaient été pourtant anonymisées.

Il est donc conseillé pour les responsables de traitement utilisant des solutions d’anonymisation d’effectuer une veille régulière pour préserver, dans le temps, le caractère anonyme des données produites. Une anonymisation, garantie à un jour donné, n’étant pas nécessairement assurée dans la durée à l’heure du big data et de l’intelligence artificielle.

Une bonne solution d’anonymisation doit reposer sur trois critères : l’individualisation (est-il toujours possible d’isoler un individu ?), la corrélation (est-il possible de relier entre eux des ensembles de données distincts concernant un même individu ?) et l’inférence (peut-on déduire de l’information sur un individu ?).

L’alternative de la pseudonymisation

L’anonymisation présente certains désavantages. Cependant, elle peut être substituée par une autre solution appelée la pseudonymisation. Il s’agit d’un processus non définitif qui consiste à remplacer un attribut par un autre au sein d’un enregistrement. La pseudonymisation est une technique privilégiée dans les projets où l’identité d’un individu n’est pas essentielle.

Le RGPD fait à plusieurs reprises allusion à la pseudonymisation. En effet, dans son article 25, le règlement cite explicitement la pseudonymisation parmi les mesures techniques et organisationnelles recommandées pour la protection des données à mettre en place le responsable de traitement. Plus simple à mettre en œuvre que l’anonymisation, la pseudonymisation permet de se conformer aux nouveaux principes de protection dès la conception (privacy by design) et de protection par défaut (privacy by default).

La sécurité physique, indispensable à la conformité au RGPD

perenne-it RGPD Sécurité

Les organisations placent la protection des données en haut de la liste de leurs préoccupations à quelques semaines de la mise œuvre du RGPD. La majorité de ces organisations ne pensent pas suffisamment à la sécurité physique de leurs systèmes d’information. Elles s’exposent donc au risque d’enfreindre le RGPD, et exposent les données de leurs clients et fournisseurs au vol. 

sécurité physique ordinateur

Plusieurs types de données

Pour appliquer une politique de RGPD, il est important d’évaluer quel type de données l’entreprise traite afin d’ajuster le plus efficacement possible les préconisations.  

Il existe donc deux types de données à caractère personnel auxquelles le RGPD s’applique : 

  • Données personnelles : Celles-ci comprennent les données comme les adresses mail ou postales ainsi que les informations permettant de s’identifier en ligne comme les adresses IP. 
  • Données personnelles sensibles : Les données personnelles sensibles concernent les informations à caractère intime comme l’origine ethnique, les opinions politiques, la religion ou encore les données sur la santé. Les entreprises doivent en général justifier l’utilisation de telles données puisqu’il ne s’agit pas de données personnelles « normales ». 

La sécurité physique toujours aussi importante

Il faut également savoir que le RGPD s’applique non seulement sur le traitement de données personnelles en format numérique mais aussi en format physique. Il est donc important de s’attarder sur la question de la sécurisation du matériel physique en entreprise et pourquoi celle-ci est si importante à l’heure du RGPD. 

Après les cyberattaques, la perte physique constitue la plus importante source de violations de données. Tous les jours, c’est plus de 5 millions d’enregistrements de données qui sont perdus ou volés. En sachant cela, plus d’un tiers des entreprises n’ont aucune politique de sécurité physique en place pour protéger les ordinateurs portables, les appareils mobiles etc… 

En prenant connaissance du montant des amendes potentielles prévues par le RGPD, de la mobilité du personnel croissante et de la popularité du partage de bureau, sécuriser les ordinateurs portables et les appareils mobiles semble indispensable au bureau comme ailleurs. Le simple fait de verrouiller un appareil est un moyen simple et efficace e se protéger contre le vol. 

La sécurité physique est encore impliquée dans de nombreuses violations de sécurité, elle est donc indispensable à l’heure actuelle du RGPD et ne doit pas être ignorée. 

Microsoft ouvre 4 data centers en France

Cloud Data Microsoft

Microsoft a officialisé le 14 mars dernier l’ouverture de quatre data centers en France. Trois d’entre eux sont situés en région parisienne et le quatrième en région marseillaise. Cette inauguration appuie la décision de Microsoft de s’installer durablement dans le paysage numérique français. Avec ces nouveaux data centers, Microsoft renforce son offre cloud, la plus importante du marché en France (qui comprends Azure, Office 365 et Dynamics 365). 

Microsoft

Le cloud selon Microsoft : 

  • L’offre la plus importante du marché, avec 50 régions Azure dans le monde dont 2 en France 
  • L’activité cloud de Microsoft pèse aujourd’hui plus de 20 milliards de dollars dans son CA 
  • 80% des entreprises du CAC40 utilisent Office 365 
  • 50% des abonnés Office 365 travaillent au sein de TPE, PME ou TPI 

Déployer un environnement numérique sûr  

Microsoft a pour intention de créer un environnement numérique sécurisé sur le marché français. Cela passe par la mise en œuvre d’un cloud fiable et respectueux de la vie privée de ses clients. Ce qui se confirme avec l’obtention de la certification ISO 27018 qui fait de Microsoft le premier fournisseur majeur de cloud à se conformer à la première norme ISO internationale en matière de respect de la vie privée. Microsoft assure que son offre répondra aux besoins de tous ses types de clients qu’ils soient grands comptes ou bien PME.  

La présence des data centers en France change la donne en terme de sécurité puisqu’elles sont désormais placées sous la juridiction française. De plus, les clients français déjà abonnés à office 365 pourront faire transférer leurs données vers les data centers français s’ils le souhaitent. 

Cette offre française bénéficiera des mêmes garanties que pour toutes les autres régions du monde à savoir : 

  • La certification ISO 27001 
  • L’adoption des clauses contractuelles types définies par l’U-E 
  • Une conformité totale avec les directives du RGPD 
  • Une entière transparence avec les clients de Microsoft France sur ses engagements contractuels 
  • La reconnaissance du G29 sur le niveau élevé de protection de la vie privée des services cloud Microsoft 

Une nouvelle ère pour office 365 et Azure en France 

Avec l’ouverture de ces quatre data centers, Microsoft propose l’offre de cloud la plus aboutie depuis la France que ce soit en termes de plateformes, d’infrastructures et de services. Microsoft a tenu à proposer Azure et Office 365 dès l’ouverture des data centers et deviens donc le seul acteur à mettre à disposition depuis la France une offre cloud intégrant des outils de collaboration et de productivité. 

Grâce à cette nouvelle offre, Microsoft a pu convaincre de nouveaux clients qui cherchaient à repenser leurs méthodes de travail mais a également pu conquérir de nouveaux segments de marchés jusqu’à présent inatteignables. En effet, avec la Centrale d’Achat Informatique Hospitalière, Microsoft met un pied dans le secteur de la santé en France. Ce nouveau client en pleine transformation numérique à choisi Office 365 avant tout afin de pouvoir proposer à ses adhérents l’hébergement de leurs données en France. Ce point a été déterminant pour la Centrale d’Achat Hospitalière pour qui la sécurisation des données est primordiale.  

De plus, Microsoft a pu obtenir l’agrément « données de santé » avec l’add-in Medimail pour Office 365. Cet add-in permet dorénavant aux professionnels de santé d’échanger des mails depuis leur messagerie Outlook tout en respectant la réglementation en matière de sécurité et d’intégrité des données médicales confidentielles. 

Grâce à ce nouvel investissement, Microsoft s’engage sur le territoire français comme partenaire privilégié de la transformation numérique de ses clients et partenaires.

La CNIL et Bpifrance en partenariat pour aider les TPE et PME à se conformer au RGPD

Cybersécurité Data perenne-it RGPD

Le RGPD entre en application le 25 mai prochain. C’est pourquoi la CNIL, régulateur des données personnelles et Bpifrance, partenaire des entreprises, ont décidé de collaborer pour créer un guide pratique pour éclairer les entrepreneurs ainsi que leur proposer un accompagnement pragmatique adapté à leur situation pour passer à l’action. 

CNIL RGPD

Le guide pratique CNIL/Bpifrance pour accompagner les TPE et PME vers la conformité au RGPD 

On compte pas loin de 4 millions d’entreprises en France dont la majorité sont des micro-entreprises. Beaucoup de dirigeants se sentent démunis face à cette nouvelle réglementation. La CNIL et Bpifrance ont donc choisi d’unir leurs efforts pour élaborer un guide qui mettrait l’entrepreneur au centre de la mise en œuvre du RGPD et organiser de manière simple les actions à mettre en place pour se conformer au règlement européen. Ce guide permettra également aux entrepreneurs d’organiser davantage les données de l’entreprise et ainsi les valoriser en vue de son développement.  

Les TPE et PME qui utilisent très peu de données dans leur activité auront des changements limités à mettre en place puisque les seuls critères seront le volume et la sensibilité des données traitées. 

Les opportunités qui se dégagent du RGPD

Les aspects juridiques et techniques du RGPD ne doivent pas cacher les nombreuses opportunités que présente cette réglementation. Comme la sécurisation de leur système d’information et leur transformation digitale.  

Une fois les données sécurisées, les entreprises peuvent communiquer sur la sûreté de leur système d’information afin de renforcer la confiance tant avec les fournisseurs que les clients. Le RGPD peut également se traduire comme créateur de valeur en introduisant de nouveaux concepts et en créant des axes de développement.  

La CNIL veut en finir avec l’alarmisme sur le RGPD. Avec ce guide, ils veulent montrer qu’il est possible de se mettre en conformité en adoptant des réflexes simples. Les consommateurs aujourd’hui sont de plus en plus soucieux de leurs données personnelles, c’est pourquoi avoir une relation de confiance avec ses collaborateurs est devenu indispensable. La digitalisation constitue un accélérateur de croissance et de compétitivité essentiel pour les entreprises, y-compris pour les TPE et PME. Bpifrance s’engage à être aux côtés de ces dernier à travers leurs outils de financement et d’accompagnement. Ce guide de sensibilisation au RGPD est une brique supplémentaire pour les inciter à utiliser pleinement le levier du digital. 

Bpifrance dont la mission principale est d’accompagner les entreprises dans leur développement au quotidien, participera activement à la sensibilisation de ses clients TPE et PME au RGPD en diffusant largement le guide en collaboration avec la CNIL ment au travers d’évènements organisés sur l’ensemble du territoire.