Veille technologique

pour les professionnels de l’industrie
S’abonner

S’inscrire à l’hebdo de la techno :

Rechercher sur Industrie & Technologies

Article Suivant
Facebook Twitter Google + Linkedin Email
×

RGPD : les technos pour respecter la réglementation

| | |

Par publié le à 10h20

RGPD : les technos pour respecter la réglementation

Internet security

C'est un tournant majeur pour bon nombre d'entreprises ayant des activités numériques. Plus aucune fuite de données personnelles n'est désormais tolérée, sous peine d'une lourde amende. C'est ce que prévoit le règlement général sur la protection des données personnelles (RGPD), qui est entré en vigueur en Europe ce 25 mai 2018. Une échéance sur laquelle nous avons attiré l'attention de nos abonnés dès le mois de juin 2017. Nous vous proposons aujourd'hui de redécouvrir notre analyse des enjeux technologiques de cette réglementation, parue l'an dernier dans notre édition n°1000. 

Nous sommes fin 2016. Yahoo! confesse publiquement avoir subi en août 2013 un piratage qui a compromis les données personnelles d'au moins un milliard de comptes clients. C'est la seconde fois que la société référence un tel événement, puisque celle-ci avait également dévoilé un premier piratage de 500 millions de comptes utilisateurs. Même si Yahoo! enregistre le plus gros vol de données jamais connu, ce n'est pas la seule entreprise, loin s'en faut, à être victime de hackers. On peut parler également de MySpace, Sony Pictures et bien d'autres.

Si le règlement européen sur la protection des données (RGPD) était entré en vigueur à ce moment-là, les sociétés piratées auraient écopé d'une très lourde amende. En effet, à compter du 25 mai 2018, aucune erreur sera permise. Car il en va de la responsabilité des entreprises de protéger les données personnelles qui transitent par leur système d'information. Et pour responsabiliser ces acteurs « traitant ou sous-traitant » de la donnée, la peine financière pourra désormais s'élever jusqu'à 4 % de leur chiffre d'affaires. « La réglementation européenne est l'aboutissement d'une prise de conscience générale des enjeux de la vie privée qui est directement liée à la transformation digitale de la société. Les attaques qui ont eu lieu ont accéléré sa mise en place », explique Stanislas de Maupeou, responsable cybersécurité de Thales. « Sommes-nous en paix ou en guerre ? », s'interroge Cyrille Badeau, directeur Europe du Sud chez ThreatQuotient. « Si l'on recense un événement de sécurité tous les deux mois, on peut considérer que nous sommes en période de paix. En revanche, si on enregistre un incident toutes les semaines, on est en période de guerre et on a intérêt à avoir un pôle de renseignement opérationnel. »

S'armer d'outils de défense

L'analogie avec la guerre n'est pas anodine : les étapes de la chaîne de défense sont clairement calquées de la Défense nationale. Cyrille Badeau en énumère quatre : la défense en profondeur, la surveillance, le renseignement et la reconnaissance. « Tout le monde s'est arrêté au pilier de surveillance, mais la posture de défense correspond à une période de paix, souligne-t-il. Si on est en guerre, on a des adversaires et on ne va pas attendre une attaque pour décider de s'adapter. On va chercher à anticiper. »

Récemment, ThreatQuotient s'est armé de partenaires technologiques - Sopra Steria - qui utilise la plateforme ThreatQ. « Une solution de threat intelligence permet d'avoir une meilleure connaissance de la menace, des profils d'attaquants et des niveaux de détection », ajoute Stanislas de Maupeou, responsable cybersécurité chez Thales et également utilisateur de la plateforme. C'est aussi sur un terrain d'attaques informatiques que Vincent Riou, ancien de la défense et actuellement directeur du centre d'entraînement opérationnel à la cybersécurité Bluecyforce, forme ses stagiaires. Venant tous de services dédiés à la cybersécurité de leur entreprise, les collaborateurs s'entraînent sur des écrans. Les uns forment la « Blue team » et sont chargés de la protection. Face à eux, la « Red team » : des hackers éthiques, qui mettent leurs connaissances au service de la protection des entreprises.

Former à la gestion de crise

« Nous proposons de montrer aux employés ce que des hackers sont capables de faire sur de vrais systèmes informatiques, et on les forme à gérer la crise », précise Vincent Riou. « Le logiciel que l'on utilise provient d'ailleurs du ministère et y est encore utilisé. Ce sont des technologies éprouvées depuis une dizaine d'années. » Bluecyforce a été créé par le CEIS et la PME bretonne Diateam. Le centre collabore sur les parcours pédagogiques qu'il propose avec une vingtaine de partenaires technologiques français ou étrangers. L'homme nous confie qu'il existe un vrai défi sur la sécurité des usines équipées des systèmes Scada. « L'offre technologique est bien moindre sur la partie système industriel, même s'il existe de bonnes choses au niveau français. » Jean Larroumets, président et directeur général d'Egerie Software, confirme : « Les compétences et les interlocuteurs sur le domaine sont faibles. Les industriels vont devoir réaliser une analyse de risque pour connaître l'impact sur les processus des données personnelles, et la plupart d'entre eux n'ont pas encore commencé. » Une analyse de risque est une étude d'impact des dangers qui pèsent sur les systèmes d'information et peuvent aboutir à une fuite de données. « Pour s'en protéger, on peut mettre en place des mesures techniques, telles que l'anonymisation, le contrôle d'accès, le filtrage des flux, le chiffrement des données, l'authentification, le contrôle d'intégrité, ou encore la traçabilité. »

Pourquoi les données personnelles sont-elles particulièrement visées ? « Il existe des attaques dont l'objectif premier est d'avoir des données personnelles. Une fois obtenues, on va envoyer des attaques de phishing afin de piéger le collaborateur. On commence par les informations personnelles pour ensuite avoir d'autres informations par ailleurs. Plus exactement, plus on connaît la personne, plus on est crédible. Mais ensuite, il sera question d'attaquer l'entreprise. » Et pour se protéger, les solutions sont bien présentes. Ne reste plus qu'à mettre l'ensemble en place. Le compte à rebours est lancé...

EN CHIFFRES

80 % des entreprises ont été victimes d'au moins une cyberattaque. (Source : Cesin, 2016)

87 % des cyberattaques subies par des entreprises françaises proviennent de pirates agissant depuis la France. (Source : ThreatMetrix, 2015)

773 000 € C'est le coût moyen d'une cyberattaque pour une entreprise. (Source : NTT Com Security, 2016)

 

Abonnez-vous et accédez à l’intégralité de la veille technologique

Commentaires

Réagissez à cet article

* Informations obligatoires

erreur

erreur

erreur