Fiche pratique @CCIFrance pour comprendre le Règlement Général sur la Protection des Données #RGPD

cyber-securite

RGPD : Toutes les entreprises qui possèdent des fichiers contenant des données à caractère personnel sont concernées.

Le règlement n°2016/679 du 14 avril 2016, dit règlement général sur la protection des données (RGPD) constitue le nouveau texte de référence européen en matière de protection des données personnelles. ll remplace la directive adoptée en 1995 qui a donné lieu à des différences d’interprétation et renforce la protection des données pour les individus au sein de l’UE. Il est d’application directe sur tout le territoire de l’Union et entrera en vigueur le 25 mai 2018. Toutes les entreprises sont concernées dès lors qu’elles possèdent des fichiers contenant des données à caractère personnel de résidents européens quelle que soit leur nationalité.

Quel est l’objet du RGPD ?

Le RGPD vise à créer pour l’UE un cadre renforcé et harmonisé de la protection des données  tenant compte des récentes évolutions technologiques (Big Data, cloud computing, objets connectés, Intelligence Artificielle, …) et des défis qui accompagnent ces évolutions.

L’individu est placé au cœur du dispositif légal en renforçant ses droits (consolidation des obligations d’information, restrictions en termes de recueil de consentement, nouveau droit à la portabilité des données, à l’effacement, …).

En parallèle les devoirs et responsabilités de toute la chaîne d’acteurs, du responsable de traitement aux partenaires commerciaux en passant par les sous-traitants fournisseurs de services sont   sont amplifiés.

Ces contraintes s’appuient notamment sur les principes de « Privacy by Design » et « d’accountability » (voir lexique en bas de page). Concrètement, cela signifie que chaque entreprise doit se doter d’une politique de protection des données globale en s’assurant, dès le moment de la conception, que le nouveau service qu’elle s’apprête à lancer sur le marché et qui va lui permettre de collecter des données est bien conforme à la réglementation.

« Le RGPD vu par le youtubeur Cookie connecté » réalisée avec la CNIL

Quels sont les principales mesures du RGPD ?

  • Réalisation d’une analyse d’impact avant la mise en place d’un traitement de données
  • Consentement clair et explicite à la collecte des données
  • Accès facilité de la personne à ses données (Droit à l’oubli – Droit de portabilité)
  • Notification des violations de données personnelles (« Data Breach Notification »)
  • La création et la maintenance d’un registre des traitements devient obligatoire
  • Création des délégués à la protection des données (DPD ou DPO, Data Protection Officer) dans certains cas : organismes publics, organismes dont les activités de base les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle, …
  • Transfert des données soumis à vérification
  • Restriction du profilage automatisé servant de base à une décision
  • Aggravation des sanctions (de 10 à 20 M€ ou de 2 à 4% du CA annuel mondial)

Quelles sont les actions à enclencher dans l’entreprise ?

Se mettre en conformité avec le RGPD suppose de définir au niveau de l’entreprise une Gouvernance de la Data. Parmi les exemples de mesures nouvelles et déterminantes pour se prémunir contre d’éventuelles sanctions :

  • Désigner un Délégué à la protection des données (DPD ou DPO, Data Protection Officer))
  • Cartographier les traitements actuels et déterminer leurs finalités ainsi que leur durée
  • Créer un registre des activités de traitement
  • Revoir les contrats de sous-traitance informatique et de gestion des données, les sous-traitants devant faire la démonstration de la conformité au RGPD de leurs solutions
  • Assurer la transparence et l’information des personnes dont les données vont faire l’objet d’un traitement (consentement clairement obtenu), les informer d’incidents de traitement
  • Notifier à la CNIL dans les 72h la survenance d’une faille ou intrusion
  • Regrouper la documentation nécessaire pour démontrer la conformité au règlement
  • Assurer en interne la mise en place d’un Référentiel Sécurité adéquat et mis à jour (Charte Utilisateurs des SI, Politique d’habilitation, Politique de gestion des incidents etc.)
  • Réaliser des études d’impact.

Lexique

Qu’est-ce qu’une donnée personnelle traitée ? Toute information se rapportant à une personne physique identifiée ou identifiable, directement ou indirectement (nom, adresse mail, n° d’identification, localisation, IP, adresse, données de santé, revenus, centres d’intérêts etc.).

Traitements de données : toutes les opérations portant sur les données personnelles informatisées ou non (collecte, utilisation, diffusion, conservation, consultation effacement etc.).

Accountability : elle est défini par la CNIL comme « l’obligation pour les entreprises de mettre en oeuvre des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données ». l’accountability est au coeur du RGPD.

Privacy by Design : Suivant une logique de responsabilisation, chaque acteur doit désormais s’assurer de la conformité des traitements qu’il envisage de mettre en oeuvre dès le moment de leur conception. Cela implique la mise en œuvre de mesures organisationnelles et techniques spécifiques et d’associer notamment le DPO (Délégués à la protection des données / Data Protection Officer) à chaque stade de conception d’un nouveau service.

Ressources utiles

Publicités

#Formation #Cybersecurite : 3e école d’été « Defence Security Cyber » #DSC2017

defense security cyber

26-29 juin 2017 – Ecole d’été « Defence Security Cyber »

Le Forum Montesquieu, centre d’innovation sociétale de l’université de Bordeaux vient d’annoncer le lancement de la 3ème édition de l’école d’été internationale « Defence Security Cyber« , qui se tiendra du 26 au 29 juin 2017.

Soutenue par le Secrétariat général de la défense et de la sécurité nationale (SGDSN), Sopra Steria, Airbus et le Pôle de compétitivité Alpha-Route des Lasers et Hyperfréquences, en partenariat avec l’ANAJ-IHEDN, DSC se situe dans le contexte de la sécurité globale – sécurité intérieure et extérieure – avec une attention particulière portée aux technologies de sécurité industrielles et cyber-numériques.

Les intervenants de DSC sont des professionnels privés et publics spécialisés dans ces trois secteurs, ainsi que des universitaires de toutes disciplines spécialisés sur les questions de sécurité. L’école d’été est ouverte aux professionnels du secteur privé (défense, sécurité et cyber), professionnels régaliens (civils, fonctionnaires de police, militaires), ainsi qu’aux étudiants de niveau Master et plus.

Cette troisième édition sera structurée autour d’un thème technologique : la data et d’un thème stratégique : l'(in)sécurité en Afrique.

Téléchargez le préprogramme « Defense Security Cyber » 2017

Comment candidater ?

L’inscription se fait sur candidature, le nombre de places est limité. Envoyez votre candidature à l’école d’été DSC 2017 à ecole.ete.dsc@u-bordeaux.fr en précisant votre parcours, vos motivations et votre statut (étudiant, professionnel, professionnel partenaire de l’évènement, ou fonctionnaire – un CV est demandé) pour recevoir plus de renseignements sur l’organisation et le tarif qui vous sera accordé.

Plus d’infos / Contact

Defence Security Cyber

Responsable de l’organisation
Aurélie Mathis – aurelie.mathis@u-bordeaux.fr

Thématique « Cybersécurité  » sur le blog du Pôle Numérique CCI Bordeaux Gironde

#Intelligence #Economique : La procédure civile comme outil de captation de l’information

Propriete industrielle - PI

La procédure civile comme outil de captation de l’information

Le Flash n° 27 – INGERENCE ECONOMIQUE – Octobre 2016 de la Direction Générale de la Sécurité Intérieure (DGSI) met en lumière « La procédure civile comme outil de captation de l’information : la collecte de preuves avant procès à travers l’article 145 du Code de Procédure Civile (CPC)« .

Ce « flash » évoque des actions d’ingérence économique dont des sociétés françaises sont régulièrement victimes et formule des préconisations pour se prémunir contre les agissement frauduleux de sociétés concurrentes. Ayant vocation à illustrer la diversité des situations auxquelles les entreprises sont susceptibles d’être confrontées, il est mis à votre disposition pour vous accompagner dans la diffusion d’une culture de sécurité interne.

Pour toute question relative à ce « flash » ou complément d’information, merci de vous adresser à : securite-economique@interieur.gouv.fr

 

Nos ressources sur l’Intelligence Économique et la Cybersécurité

#Cybersécurité : Alerte aux rançongiciels #Ransomware – Vos données en otage contre de l’argent !

drapeau pirate

La cellule des enquêteurs en Nouvelles Technologies (Ntech) du Groupement de la Gendarmerie de la Gironde vous alerte de nouveau sur les nombreuses attaques de type Ransomware / Rançongiciel qui viennent d’affecter plusieurs entreprises de Gironde.

Un important château bordelais vient ainsi de subir sa troisième attaque en trois semaines. Alors que les deux premières avaient été envoyées par émail sous deux formats différents (.doc et .zip), la troisième s’est propagée directement jusqu’au serveur sans aucune intervention humaine. Il s’agit de la variante CRYSIS dont vous trouverez les caractéristiques dans la fiche jointe ainsi que les bonnes préconisations à adopter.

La Cellule Ntech du Groupement de la Gendarmerie de la Gironde vous invite, d’ores et déjà, à mettre en œuvre tous les moyens utiles pour parer ce genre d’attaque.

Préconisation

  • Informez et sensibilisez régulièrement vos collaborateurs ;
  • Effectuez des sauvegardes régulières et s’assurer de leur viabilité ;
  • Pour mémoire, dans l’urgence, opérez une sauvegarde complète de vos données sensibles sur un disque dur externe qui ne doit en aucun cas être branché (ou connecté à Internet) une fois l’opération accomplie.
  • Désactivez les macros exécutables automatiquement ;
  • Installez et mettez à jour, les filtres antispam, antivirus, antimalware et firewall ;
  • Mettez en place une veille pour anticiper et s’adapter aux nouvelles menaces en consultant le site de l’agence nationale de sécurité des systèmes d’information (ANSSI) .
  • Restez vigilant.

 

Si vous êtes infectés

  • Si la pièce jointe infectée est ouverte, il convient d’isoler immédiatement le ou les ordinateurs compromis (déconnexion du réseau + connection Internet) afin de bloquer la poursuite du chiffrement et la destruction des dossiers ;
  • Effectuez des copies d’écran (mails frauduleux et pièces jointes) comportant la date et l’heure de réception ;
  • Répertoriez l’ensemble des actions réalisées ;
  • Déposez plainte auprès des services de police ou de gendarmerie ;
  • Rappel des procédures dans le documents ci-dessous

 

 

 

Semaine de sensibilisation à la #CyberSécurité au @CESIsudouest

cesi semaine sensibilisation cybersecurite

Du 14/09 au 17/09 Semaine de sensibilisation à la CyberSécurité au CESI Sud-Ouest, 140 Avenue du 11 Novembre, Blanquefort

Programme

  • Mercredi 14/09/2016 17h30 à 19h00:
    Exposition sur la CYBERSECURITE réalisée par les Etudiants de l’EXIA-CESI
  • Jeudi 15/09/2016 17h30 à 19h00:
    Exposition sur la CYBERSECURITE réalisée par les Etudiants de l’EXIA-CESI
  • Vendredi 16/09/2016 de 09h00 à 23h00: Journée sur la CYBERSECURITE DANS LES PME-PMI (Conférences & Tables Rondes)
    08h30 – 08h45: Café – Accueil
    08h45 – 09h00: Ouverture de la Journée par le CESI et le CLUSIR
    09h00 – 09h45: « Panorama de la cyber-criminalité » – Par le CLUSIR
    10h00 – 10h45:  » Du besoin de démultiplier les efforts des experts vers les néophytes et les non spécialistes » – Par Olivier TERRIEN
    11h00 – 11h45:  » les directives de l’ANSSI aux PME-PMI  » – Par Marc-André BEAUDET et François SOPIN
    12h00 – 12h45:  » Stratégies et techniques de protection : comment rendre des protections complètes et avancées accessibles aux PME/PMI ? » – Par Michel LANASPEZE
    13h00 – 14h00: Pause
    14h00 – 14h45: « Protection des données et réglementation  » – Par le CLUSIR
    15h00 – 15h45: « Les bonnes pratiques liées à vos sites internet » – Par Elie SLOÏM (OPQUAST)
    16h00 – 16h45: « Sécurité informatique Vs Sécurité de l’information ou comment s’organiser « – Par le CLUSIR
  • De 19h00 à 23h00:  Hackathon « 4 heures pour repérer les failles de sécurité d’un site internet et les corriger ». Ce concours est ouvert à tous, avec, pour la meilleure équipe, un lot à gagner! Un jury, composé de professionnels du métier, viendra évaluer les travaux de chacun et attribuera le lot à la meilleure équipe!
  • Samedi 17/09/2016 de 09h00 à 14h00: Journée dédiée à tout le monde, la CYBERSECURITE: Tous concernés!
    De 09h00 – 09h45:  » Du besoin d’intéresser les non-initiés à des sujets techniques et des méthodes pour y parvenir  » – Par Olivier TERRIEN
    De 10h00 – 10h45: « Vos données personnelles… ou pas… » – Par Marc-André BEAUDET
    De 11h00 – 11h45: « Responsable Sécurité du Système d’Information, ma vie, mon oeuvre! » – Par le CLUSIR
    De 12h00 à 12h30: « Quelles formations informatiques pour travailler dans la sécurité des systèmes d’information? » – Par Stéphane AMET
    12h45 – 13h00: Clôture de la manifestation par le CESI et le CLUSIR
    Au cours de la matinée, des ateliers pour vous montrer les risques au quotidien avec vos boites mails, votre smartphone, votre Wifi, comment bien se protéger? – Par François SOPIN et Jonathan OLIVIER.

Détail du programme et présentation des intervenants

Inscription

19/10 #Cybersécurité / Système embarqué et objet connecté #IoT : solutions pour une conception #SecureByDesign

cyber-securite

Cybersécurité des systèmes embarqués/objets connectés et conception« Secure by Design »

Cap’tronic en partenariat avec le Pôle Numérique de la CCI de Bordeaux vous invite mercredi 19 octobre 2016 de 9h30 à 17h00 dans l’amphi de l’IMS – Bât A31 à Talence, les concepteurs de systèmes embarqués et d’objets connectés, responsables sécurité, chefs de projet … à venir faire le point sur les enjeux liés à la cybersécurité d’un système embarqué/objet connecté et découvrir de bonnes pratiques à intégrer dans la conception  avec une démarche « Secure by Design ».

Contexte

L’arrivée massive des objets connectés dans le quotidien du citoyen mais aussi dans celui des entreprises a commencé, l’interdépendance des systèmes, la multitude de protocoles et la connexion à internet sont autant de failles possibles dans ces produits.

Le système doit garantir la disponibilité, l’intégrité et la confidentialité des données qu’il manipule et qu’il échange, il doit être protégé contre la copie et le « reverse engineering » dans le cadre de la lutte contre l’espionnage industriel, il doit être protégé contre les attaques intérieures et extérieures qui visent à le détourner de sa fonction et/ou à en prendre le contrôle.

Programme

> « Introduction à la sécurité des systèmes d’information, des systèmes embarqués et de l’IoT » par Jean François BAILLETTE, G-ECHO

  • Tour des normes, sûreté versus sécurité industrielle
  • Six choses à faire en priorité,
  • Documentation et livres blancs des autorités, et bonnes pratiques,
  • Rester informé des dernières (h)ac(k)tualités,
  • Quelques outils utiles

> « Atteindre le niveau de sécurité de la 2G/3G/4G avec Sigfox et LoRa » par Guillaume CRINON, Technical Marketing Manager EMEA, AVNET MEMEC SILICA

  • Les réseaux SIGFOX et LoRa font preuve d’une capacité inégalée pour transférer des données issues de capteurs autonomes vers le Cloud. Néanmoins, alors que la simplicité du protocole de communication de ces réseaux est un atout évident en ce qui concerne l’économie d’énergie du capteur par rapport à la 2G/3G/4G, il pourrait devenir une faiblesse pour les applications nécessitant un niveau de sécurité élevé.
  • Nous allons démontrer quels sont les outils et les remèdes qui permettront d’assurer une sécurité équivalente aux réseaux de communication sur carte SIM.

> « La sécurité à l’ère des objets connectés » par Yann ALLAIN d’OPALE SECURITY

  • Comment s’y prendre quand on est une PME, retour d’expérience
  • Après plus d’une centaine d’audits de sécurité IoT, que faut-il retenir ?
  • Points de vigilance, bonnes pratiques et outils de sécurisation disponibles pour les équipes R&D
  • Comment mettre en place une conception sécurisée des IoT dans votre entreprise (sans alourdir les budgets, ni les délais !)
  • Démonstrations

> « La sécurité matérielle dans les systèmes embarqués et l’IoT » par ARROW

  • Historique, les algorithmes en cryptographie
  • Les solutions en composants de sécurité de MICROCHIP/ ATMEL
  • Démonstrations

> « Présentation du concept de cybersécurité par contrôle d’accès autonome sans fil » par Jacques GASCUEL, FULLSECURE

  • La sécurité des systèmes embarqués sans cryptographie, brevet international.

Inscription gratuite et obligatoire ici

Informations pratiques

Lieu  : IMS – Bât A31 – 351 Cours de la Libération – 33405 TALENCE CEDEX
Date  : Mercredi 19 octobre 2016 de 09h30 à 17h00
Prix : Les frais liés à l’organisation de ce séminaire sont pris en charge par CAP’TRONIC.

Contact  : Thierry ROUBEIX – 05.57.02.09.62 – roubeix@captronic.fr

Ressources (sur notre blog) sur les objets connectés / IoT

Conférence sur la Cybersécurité pour les entreprises à la CCI Bordeaux, le 4 avril 2016.

cyber-securite

Une cinquantaine de participants s’étaient rassemblées le 4 avril de 17h à 19h, à la CCI de Bordeaux, à l’invitation du Pôle Numérique de la CCI Bordeaux, des services de l’Etat et du Pôle de compétitivité Aerospace Valley, pour une grande séance de sensibilisation à la Cybersécurité pour les entreprises industrielles. Jean Charles Duplaa, Conseiller Technique à la CCI Bordeaux, représentait pour l’occasion, M. Pierre Goguet, Président de la CCI Bordeaux.

L’objectifs de cette rencontre : faire prendre conscience des risques et menaces qui pèsent aujourd’hui sur l’ensemble des entreprises, présenter les dispositifs d’accompagnement de l’Etat, mais aussi plus simplement apprendre à réduire sa surface numérique d’attaque. Les services de l’Etat, le Pôle de compétitivité Aerospace Valley et la CCI de Bordeaux, se mobilisent pour accompagner les entreprises industrielles dans le cadre de la mise en place de solutions de protection et de sécurité de leur patrimoine informationnel.

Toutes les entreprises sont en effet désormais concernées et notamment celles de la filière industrie, recherche et innovation. Pour s’en protéger, la Direccte Aquitaine et le HFDS (Service du Haut Fonctionnaire de Défense et Sécurité) ont présenté en introduction le dispositif PPST (protection du patrimoine scientifique et technique). Les avantages pour l’entreprise : protéger et sécuriser ses savoirs faires, rassurer ses clients et fournisseurs ou encore avoir une base juridique spécifique en cas de besoin. Le principe, la mise en place de zone(s) à régime restrictif dans l’entreprise.

La DZSI (Direction Zonale de Sécurité Intérieure) a donné des exemples très concrets, avec l’usage les réseaux sociaux qui permettent aisément de tout connaître et ainsi manipuler ou usurper l’identité d’un individu. Tout commence en général par de « l’ingénierie sociale « . Le hacker identifie dans l’organisation, via Facebook, Twitter, LinkedIn… une ou des personnes considérées comme un « maillon faible ». L’objectif : jouer en général sur l’ego, l’argent, la séduction… La sensibilisation du personnel est alors essentielle pour rappeler la nécessité d’avoir un usage prudent des réseaux sociaux privés et professionnels, et rappeler l’importance de ne pas divulguer d’informations concernant le fonctionnement de l’entreprise.

La Gendarmerie Nationale a présenté le principe des FOVI (faux ordres de virement internationaux), aussi appelées « arnaques au Président » qui sévissent de façon exponentielle. Certaines entreprises victimes ont même été récemment placées en liquidation judiciaire, le personnel licencié. Les sommes extorquées sont très variables, de quelques milliers à plusieurs millions d’euros. Le principe est simple, un individu bien renseigné se fait passer pour le dirigeant, un fournisseur et demande un virement urgent au service comptabilité. Et cela marche, avec depuis sa découverte en 2010, près de 500 millions d’euros détournés par ces escrocs très organisés et en mode « call center ». Les sommes disparaissent la plupart du temps sur des comptes en zone SEPA puis par rebond en Chine et en Israël. Attention aux demandes actuelles vers la Slovaquie ! Quelques règles simples permettent de s’en protéger : la sensibilisation, la vigilance notamment lors des congés ou jours fériés, la mise en place de procédures de vérifications et de signatures multiples, la technique de rupture de chaîne des mails pour les courriers se rapportant aux virements internationaux en saisissant soi même l’adresse habituelle du donneur d’ordre, la mise à jour du système de sécurité informatique.

La DPSD (Direction de la Protection et de la Sécurité de la Défense), qui dépend du Ministère de la Défense, a quant à elle démontrée la facilité pour un escroc, sur la base de logiciels accessibles sur Internet, d’envoyer des mails piégés afin de récupérer les données d’une entreprise. Les vecteurs d’attaques sont multiples. Non respect des règles de sécurité, absence de « Politique de sécurité du (ou des) système(s) d’information » PSSI, architecture informatique non cloisonnée ou non mise à jour, passerelle « firewall » non sécurisée ou non qualifiée, sous traitance non sécurisée, absence de cartographie des SI, systèmes non homologués, etc.… Les menaces sont réelles avec plus de 3 milliards d’internautes et plus de 204 millions de mails transmis par minute. Face à cela, la DPSD propose pour les entreprises de son périmètre, des audits de maturité (IT, organisationnels et physiques) basés sur la norme ISO 27000 (Management de la sécurité de l’information), elle fournie des homologations des SI classifiés et sensibles et effectue de nombreuses sensibilisations auprès des entreprises du secteur Défense.

Enfin l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information), a présenté ses missions, avec ses actions de conseils, de politique industrielle et de réglementation afin de rendre disponibles des produits de sécurité et des services de confiance pour les entreprises. Consulter les guides ANSSI de bonnes pratiques en matière de sécurité informatique.

Contact

 En cas de besoin, le Pôle Numérique de la CCI de Bordeaux se tient à votre écoute au 05 56 79 5000.

Dossier « CyberSécurité » sur notre blog