Fiche pratique @CCIFrance pour comprendre le Règlement Général sur la Protection des Données #RGPD

cyber-securite

RGPD : Toutes les entreprises qui possèdent des fichiers contenant des données à caractère personnel sont concernées.

Le règlement n°2016/679 du 14 avril 2016, dit règlement général sur la protection des données (RGPD) constitue le nouveau texte de référence européen en matière de protection des données personnelles. ll remplace la directive adoptée en 1995 qui a donné lieu à des différences d’interprétation et renforce la protection des données pour les individus au sein de l’UE. Il est d’application directe sur tout le territoire de l’Union et entrera en vigueur le 25 mai 2018. Toutes les entreprises sont concernées dès lors qu’elles possèdent des fichiers contenant des données à caractère personnel de résidents européens quelle que soit leur nationalité.

Quel est l’objet du RGPD ?

Le RGPD vise à créer pour l’UE un cadre renforcé et harmonisé de la protection des données  tenant compte des récentes évolutions technologiques (Big Data, cloud computing, objets connectés, Intelligence Artificielle, …) et des défis qui accompagnent ces évolutions.

L’individu est placé au cœur du dispositif légal en renforçant ses droits (consolidation des obligations d’information, restrictions en termes de recueil de consentement, nouveau droit à la portabilité des données, à l’effacement, …).

En parallèle les devoirs et responsabilités de toute la chaîne d’acteurs, du responsable de traitement aux partenaires commerciaux en passant par les sous-traitants fournisseurs de services sont   sont amplifiés.

Ces contraintes s’appuient notamment sur les principes de « Privacy by Design » et « d’accountability » (voir lexique en bas de page). Concrètement, cela signifie que chaque entreprise doit se doter d’une politique de protection des données globale en s’assurant, dès le moment de la conception, que le nouveau service qu’elle s’apprête à lancer sur le marché et qui va lui permettre de collecter des données est bien conforme à la réglementation.

« Le RGPD vu par le youtubeur Cookie connecté » réalisée avec la CNIL

Quels sont les principales mesures du RGPD ?

  • Réalisation d’une analyse d’impact avant la mise en place d’un traitement de données
  • Consentement clair et explicite à la collecte des données
  • Accès facilité de la personne à ses données (Droit à l’oubli – Droit de portabilité)
  • Notification des violations de données personnelles (« Data Breach Notification »)
  • La création et la maintenance d’un registre des traitements devient obligatoire
  • Création des délégués à la protection des données (DPD ou DPO, Data Protection Officer) dans certains cas : organismes publics, organismes dont les activités de base les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle, …
  • Transfert des données soumis à vérification
  • Restriction du profilage automatisé servant de base à une décision
  • Aggravation des sanctions (de 10 à 20 M€ ou de 2 à 4% du CA annuel mondial)

Quelles sont les actions à enclencher dans l’entreprise ?

Se mettre en conformité avec le RGPD suppose de définir au niveau de l’entreprise une Gouvernance de la Data. Parmi les exemples de mesures nouvelles et déterminantes pour se prémunir contre d’éventuelles sanctions :

  • Désigner un Délégué à la protection des données (DPD ou DPO, Data Protection Officer))
  • Cartographier les traitements actuels et déterminer leurs finalités ainsi que leur durée
  • Créer un registre des activités de traitement
  • Revoir les contrats de sous-traitance informatique et de gestion des données, les sous-traitants devant faire la démonstration de la conformité au RGPD de leurs solutions
  • Assurer la transparence et l’information des personnes dont les données vont faire l’objet d’un traitement (consentement clairement obtenu), les informer d’incidents de traitement
  • Notifier à la CNIL dans les 72h la survenance d’une faille ou intrusion
  • Regrouper la documentation nécessaire pour démontrer la conformité au règlement
  • Assurer en interne la mise en place d’un Référentiel Sécurité adéquat et mis à jour (Charte Utilisateurs des SI, Politique d’habilitation, Politique de gestion des incidents etc.)
  • Réaliser des études d’impact.

Lexique

Qu’est-ce qu’une donnée personnelle traitée ? Toute information se rapportant à une personne physique identifiée ou identifiable, directement ou indirectement (nom, adresse mail, n° d’identification, localisation, IP, adresse, données de santé, revenus, centres d’intérêts etc.).

Traitements de données : toutes les opérations portant sur les données personnelles informatisées ou non (collecte, utilisation, diffusion, conservation, consultation effacement etc.).

Accountability : elle est défini par la CNIL comme « l’obligation pour les entreprises de mettre en oeuvre des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données ». l’accountability est au coeur du RGPD.

Privacy by Design : Suivant une logique de responsabilisation, chaque acteur doit désormais s’assurer de la conformité des traitements qu’il envisage de mettre en oeuvre dès le moment de leur conception. Cela implique la mise en œuvre de mesures organisationnelles et techniques spécifiques et d’associer notamment le DPO (Délégués à la protection des données / Data Protection Officer) à chaque stade de conception d’un nouveau service.

Ressources utiles

Publicités

#cybersécurité Cybermalveillance.gouv.fr : référencement des prestataires et expérimentation dans les Hauts-de-France

cybermalveillance ecran

Un site dédié à l’assistance aux victimes d’actes de cybermalveillance

Le gouvernement a lancé Cybermalveillance.gouv.fr un dispositif national d’assistance aux victimes d’actes de cybercriminalité qui propose deux parcours, un premier pour les victimes d’actes de cybermalveillance et un second pour les prestataires de services de proximité :

  • Les victimes seront mises en relation avec des prestataires de proximité susceptibles de les assister grâce à un parcours permettant d’identifier la nature de l’incident.
  • Les prestataires de toute la France souhaitant proposer leurs services peuvent d’ores et déjà s’enregistrer sur la plate-forme.

Ce service vise notamment à accueillir les victimes (particuliers, entreprises et collectivités territoriales) par le biais d’une plateforme numérique, et à les diriger vers les prestataires de proximité susceptibles de les assister techniquement. Un espace dédié à la sensibilisation des enjeux de la protection de la vie privée numérique est également accessible aux internautes. À terme, des campagnes de prévention seront lancées à l’échelle nationale. Grâce au recueil de nombreuses statistiques, un observatoire sera créé en vue d’anticiper le risque numérique.

Prestataires de la cybersécurité faites vous référencer

Démarche d’intérêt public, le référencement des prestataires tout comme l’accès à la plateforme pour les victimes sont gratuits. Pour les prestataires, être référencé sur la plateforme Cybermalveillance.gouv.fr c’est :

  • Rejoindre une communauté de compétences ;
  • Contribuer à l’élévation du niveau de sécurité du numérique en France ;
  • Accéder aux informations fournies par le dispositif ;
  • S’engager pour améliorer la prévention et l’assistance aux victimes d’actes de cybermalveillance.

Tous les prestataires concernés peuvent dès aujourd’hui faire une demande de référencement en ligne sur le site Cybermalveillance.gouv.fr après avoir accepté la charte les engageant notamment à respecter les bonnes pratiques commerciales et à remonter les incidents informatiques et les codes malveillants. Le référencement est dès à présent ouvert aux prestataires sur l’ensemble du territoire national.

Expérimentation en Région Hauts-de-France

Concernant les victimes d’actes de cybermalveillance, une phase expérimentale en Hauts-de-France est lancée sur Cybermalveillance.gouv.fr de juin à octobre 2017. Le choix par l’Etat des Hauts-de-France pour l’expérimentation est dû au fait que cette région était représentative du territoire national par la diversité du taux d’urbanisation de ses départements et par l’implication des acteurs locaux dans la sécurité du numérique. Seules les victimes des Hauts-de-France ont donc pour l’instant accès au service.

Pour aller plus loin

cybermalveillance logo

Mois d’octobre sur la « CyberSécurité » à la CCI Bordeaux Gironde

 

Alerte #Cybersécurité : Escroquerie aux Faux Ordres de Virements Internationaux (FOVI)

drapeau pirate

La Direction Zonale de la Sécurité Intérieure à Bordeaux vous informe d’une évolution dans le mode opératoire pour les Faux Ordres de Virements Internationaux (FOVI).

Les escroqueries aux Faux Ordres de Virements Internationaux ont représenté un préjudice estimé à 550 millions d’euros depuis leur apparition début 2010. A ce jour, trois modes opératoires existent : le faux président, la prise à distance du poste de travail et le changement de relevé d’identité bancaire (RIB).

Depuis septembre 2016, il a été observé un changement du mode opératoire relatif au changement de RIB.

Pour rappel, ce mode opératoire est utilisé dans le cadre du paiement d’un loyer ou d’une facture en instance dans la société ciblée. Dans ces deux cas, un individu se présente comme un responsable du fournisseur et contacte par téléphone, puis par mail, le service comptabilité de l’entreprise ciblée en l’informant d’un changement de domiciliation bancaire.

Afin de rassurer l’entreprise ciblée et de transmettre les nouvelles coordonnées bancaires, les escrocs utilisent désormais le site Internet LA POSTE pour créer un compte leur permettant d’utiliser le service payant de la lettre recommandée en ligne. Créé sous une fausse identité, ce compte leur permet de régler des envois postaux et ainsi de faire parvenir à l’entreprise ciblée un courrier matérialisé, distribué par LA POSTE et remis en main propre au destinataire, contenant les coordonnées bancaires gérées par les escrocs.

Face à cette nouvelle menace, une vigilance accrue est de mise. Nous vous encourageons à diffuser ce message auprès des personnes concernées de votre société.

Flash Ingérence n°22 (mars 2016) relatif aux Faux Ordres de Virements Internationaux (FOVI)

Contact

Toutes nos ressources sur la cybersécurité

 

 

 

#Intelligence #Economique : La procédure civile comme outil de captation de l’information

Propriete industrielle - PI

La procédure civile comme outil de captation de l’information

Le Flash n° 27 – INGERENCE ECONOMIQUE – Octobre 2016 de la Direction Générale de la Sécurité Intérieure (DGSI) met en lumière « La procédure civile comme outil de captation de l’information : la collecte de preuves avant procès à travers l’article 145 du Code de Procédure Civile (CPC)« .

Ce « flash » évoque des actions d’ingérence économique dont des sociétés françaises sont régulièrement victimes et formule des préconisations pour se prémunir contre les agissement frauduleux de sociétés concurrentes. Ayant vocation à illustrer la diversité des situations auxquelles les entreprises sont susceptibles d’être confrontées, il est mis à votre disposition pour vous accompagner dans la diffusion d’une culture de sécurité interne.

Pour toute question relative à ce « flash » ou complément d’information, merci de vous adresser à : securite-economique@interieur.gouv.fr

 

Nos ressources sur l’Intelligence Économique et la Cybersécurité

#Cybersécurité : Alerte aux rançongiciels #Ransomware – Vos données en otage contre de l’argent !

drapeau pirate

La cellule des enquêteurs en Nouvelles Technologies (Ntech) du Groupement de la Gendarmerie de la Gironde vous alerte de nouveau sur les nombreuses attaques de type Ransomware / Rançongiciel qui viennent d’affecter plusieurs entreprises de Gironde.

Un important château bordelais vient ainsi de subir sa troisième attaque en trois semaines. Alors que les deux premières avaient été envoyées par émail sous deux formats différents (.doc et .zip), la troisième s’est propagée directement jusqu’au serveur sans aucune intervention humaine. Il s’agit de la variante CRYSIS dont vous trouverez les caractéristiques dans la fiche jointe ainsi que les bonnes préconisations à adopter.

La Cellule Ntech du Groupement de la Gendarmerie de la Gironde vous invite, d’ores et déjà, à mettre en œuvre tous les moyens utiles pour parer ce genre d’attaque.

Préconisation

  • Informez et sensibilisez régulièrement vos collaborateurs ;
  • Effectuez des sauvegardes régulières et s’assurer de leur viabilité ;
  • Pour mémoire, dans l’urgence, opérez une sauvegarde complète de vos données sensibles sur un disque dur externe qui ne doit en aucun cas être branché (ou connecté à Internet) une fois l’opération accomplie.
  • Désactivez les macros exécutables automatiquement ;
  • Installez et mettez à jour, les filtres antispam, antivirus, antimalware et firewall ;
  • Mettez en place une veille pour anticiper et s’adapter aux nouvelles menaces en consultant le site de l’agence nationale de sécurité des systèmes d’information (ANSSI) .
  • Restez vigilant.

 

Si vous êtes infectés

  • Si la pièce jointe infectée est ouverte, il convient d’isoler immédiatement le ou les ordinateurs compromis (déconnexion du réseau + connection Internet) afin de bloquer la poursuite du chiffrement et la destruction des dossiers ;
  • Effectuez des copies d’écran (mails frauduleux et pièces jointes) comportant la date et l’heure de réception ;
  • Répertoriez l’ensemble des actions réalisées ;
  • Déposez plainte auprès des services de police ou de gendarmerie ;
  • Rappel des procédures dans le documents ci-dessous

 

 

 

Conférence sur la Cybersécurité pour les entreprises à la CCI Bordeaux, le 4 avril 2016.

cyber-securite

Une cinquantaine de participants s’étaient rassemblées le 4 avril de 17h à 19h, à la CCI de Bordeaux, à l’invitation du Pôle Numérique de la CCI Bordeaux, des services de l’Etat et du Pôle de compétitivité Aerospace Valley, pour une grande séance de sensibilisation à la Cybersécurité pour les entreprises industrielles. Jean Charles Duplaa, Conseiller Technique à la CCI Bordeaux, représentait pour l’occasion, M. Pierre Goguet, Président de la CCI Bordeaux.

L’objectifs de cette rencontre : faire prendre conscience des risques et menaces qui pèsent aujourd’hui sur l’ensemble des entreprises, présenter les dispositifs d’accompagnement de l’Etat, mais aussi plus simplement apprendre à réduire sa surface numérique d’attaque. Les services de l’Etat, le Pôle de compétitivité Aerospace Valley et la CCI de Bordeaux, se mobilisent pour accompagner les entreprises industrielles dans le cadre de la mise en place de solutions de protection et de sécurité de leur patrimoine informationnel.

Toutes les entreprises sont en effet désormais concernées et notamment celles de la filière industrie, recherche et innovation. Pour s’en protéger, la Direccte Aquitaine et le HFDS (Service du Haut Fonctionnaire de Défense et Sécurité) ont présenté en introduction le dispositif PPST (protection du patrimoine scientifique et technique). Les avantages pour l’entreprise : protéger et sécuriser ses savoirs faires, rassurer ses clients et fournisseurs ou encore avoir une base juridique spécifique en cas de besoin. Le principe, la mise en place de zone(s) à régime restrictif dans l’entreprise.

La DZSI (Direction Zonale de Sécurité Intérieure) a donné des exemples très concrets, avec l’usage les réseaux sociaux qui permettent aisément de tout connaître et ainsi manipuler ou usurper l’identité d’un individu. Tout commence en général par de « l’ingénierie sociale « . Le hacker identifie dans l’organisation, via Facebook, Twitter, LinkedIn… une ou des personnes considérées comme un « maillon faible ». L’objectif : jouer en général sur l’ego, l’argent, la séduction… La sensibilisation du personnel est alors essentielle pour rappeler la nécessité d’avoir un usage prudent des réseaux sociaux privés et professionnels, et rappeler l’importance de ne pas divulguer d’informations concernant le fonctionnement de l’entreprise.

La Gendarmerie Nationale a présenté le principe des FOVI (faux ordres de virement internationaux), aussi appelées « arnaques au Président » qui sévissent de façon exponentielle. Certaines entreprises victimes ont même été récemment placées en liquidation judiciaire, le personnel licencié. Les sommes extorquées sont très variables, de quelques milliers à plusieurs millions d’euros. Le principe est simple, un individu bien renseigné se fait passer pour le dirigeant, un fournisseur et demande un virement urgent au service comptabilité. Et cela marche, avec depuis sa découverte en 2010, près de 500 millions d’euros détournés par ces escrocs très organisés et en mode « call center ». Les sommes disparaissent la plupart du temps sur des comptes en zone SEPA puis par rebond en Chine et en Israël. Attention aux demandes actuelles vers la Slovaquie ! Quelques règles simples permettent de s’en protéger : la sensibilisation, la vigilance notamment lors des congés ou jours fériés, la mise en place de procédures de vérifications et de signatures multiples, la technique de rupture de chaîne des mails pour les courriers se rapportant aux virements internationaux en saisissant soi même l’adresse habituelle du donneur d’ordre, la mise à jour du système de sécurité informatique.

La DPSD (Direction de la Protection et de la Sécurité de la Défense), qui dépend du Ministère de la Défense, a quant à elle démontrée la facilité pour un escroc, sur la base de logiciels accessibles sur Internet, d’envoyer des mails piégés afin de récupérer les données d’une entreprise. Les vecteurs d’attaques sont multiples. Non respect des règles de sécurité, absence de « Politique de sécurité du (ou des) système(s) d’information » PSSI, architecture informatique non cloisonnée ou non mise à jour, passerelle « firewall » non sécurisée ou non qualifiée, sous traitance non sécurisée, absence de cartographie des SI, systèmes non homologués, etc.… Les menaces sont réelles avec plus de 3 milliards d’internautes et plus de 204 millions de mails transmis par minute. Face à cela, la DPSD propose pour les entreprises de son périmètre, des audits de maturité (IT, organisationnels et physiques) basés sur la norme ISO 27000 (Management de la sécurité de l’information), elle fournie des homologations des SI classifiés et sensibles et effectue de nombreuses sensibilisations auprès des entreprises du secteur Défense.

Enfin l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information), a présenté ses missions, avec ses actions de conseils, de politique industrielle et de réglementation afin de rendre disponibles des produits de sécurité et des services de confiance pour les entreprises. Consulter les guides ANSSI de bonnes pratiques en matière de sécurité informatique.

Contact

 En cas de besoin, le Pôle Numérique de la CCI de Bordeaux se tient à votre écoute au 05 56 79 5000.

Dossier « CyberSécurité » sur notre blog

La #gouvernance du système d’information au cœur de la #transformation #numérique de l’#entreprise

securite

« La sécurité de la cité tient moins à la solidité de ses fortifications qu’à la fermeté d’esprit de ses habitants. »

Dans le cadre des « Jeudis de l’AFAI » du 2 Avril 2015″ Patrick Stachtchenko répondait à la question « Comment placer la gouvernance du système d’information au cœur de la transformation numérique de l’entreprise ?  Après avoir brossé le panorama des référentiels de gouvernance et de sécurité du système d’information au regard des enjeux de transformation numérique auxquels sont confrontés les entreprises, il montre comment COBIT 5  peut y répondre.

la-gouvernance-au-cour-de-la-transformation-numerique-le-contexte-et-la-situation-actuels-du-developpement-des-referentiels-et-des-bonnes-pratiques

Le contexte et la situation actuels du développement des référentiels et des bonnes pratiques

Comment COBIT 5 peut répondre à ce nouveau contexte

  • AFAI (Association Française de l’Audit et du conseil Informatiques)
  • Illustration kateanth