Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Drooms publie un livre blanc sur la protection des données des entreprises : « La protection des données est un enjeu essentiel qui doit s’envisager au niveau global dans l’entreprise »

avril 2014 par Drooms

Drooms, spécialsite européen de la dataroom électronique, publie un livre blanc tirant les leçons du scandale PRISM sur la protection des données confidentielles. Les révélations d’Edward Snowden à partir de juin 2013 ont dévoilé l’étendue du système de surveillance mis en place par les Etats-Unis qui analysent depuis des années des millions de données Internet et téléphonique dans le monde.

Au-delà de la lutte antiterroriste, il apparaît que le gouvernement américain a espionné de manière systématique les entreprises européennes et transmis les informations obtenues à des entreprises américaines.

Par conséquent, le scandale PRISM a accru la perte de confiance dans les fournisseurs américains de services informatiques en mode Cloud. La Cloud Security Alliance estime que ces derniers pourraient perdre 22 à 35 milliards de dollars de chiffre d’affaires sur les trois prochaines années. Cette situation peut naturellement bénéficier aux fournisseurs de solutions Cloud européens alors que la protection des données confidentielles s’affirme aujourd’hui comme un enjeu essentiel pour les entreprises.

Les données confidentielles sont un actif stratégique de l’entreprise qui, étant convoité, doit être protégé

Les entreprises possèdent des documents et informations confidentiels, qui sont autant de données auxquelles leurs concurrents peuvent rechercher un accès. La divulgation de ces données confidentielles est une fenêtre ouverte sur la stratégie de l’entreprise dont les conséquences peuvent être multiples. Elle peut conduire à des pertes de contrats et entraîner une perte de réputation interne et externe. Les informations livrées par l’analyste de la NSA ont, par exemple, révélé que le prestataire allemand de services Ferrostaal aurait ainsi perdu un contrat de 34 millions d’euros au profit de ses concurrents américains.

Des données comme les transactions ou la communication des comités d’entreprises doivent donc être préservées dans un environnement sécurisé, l’espionnage industriel étant rendu possible par l’accès à des données trop peu protégées et pouvant avoir des impacts conséquents.

« Afin de se protéger contre la perte de données sensibles et protéger leur business, les entreprises doivent stocker l’ensemble de leurs données confidentielles dans un environnement hautement sécurisé », souligne Alexandre Grellier, le PDG de Drooms. « Pour ce faire, les applications Web en mode cloud privé sont aujourd’hui l’une des meilleures options à envisager, du fait de leur accessibilité permanente, de leur flexibilité et de leur sécurisation ».

Les fournisseurs de Cloud européens proposent les solutions de protection des données les plus sécurisées

L’Union Européenne, depuis les années 90, se veut garante de la protection des données. Elle s’appuie notamment sur la directive 95/46/CE, qui décrit les normes minimales pour la protection des données qui sont garanties par les lois nationales au sein des Etats membres. Cette directive impose de vérifier, avant la transmission de données à caractère personnel vers l’étranger, que l’utilisation des données est autorisée sur le territoire national. Il doit être aussi garanti que le pays de destination dispose d’un niveau de protection de données approprié.

La Commission Européenne établit ainsi une distinction entre les pays tiers sécurisés et non-sécurisés, c’est-à-dire qui ne disposent pas d’un niveau de protection des données approprié et comparable à celui exigé par l’UE. C’est notamment le cas des Etats-Unis qui est soumis au Patriot Act : le gouvernement américain peut obtenir des fournisseurs de services des données sur leurs clients sans les informer et, sans supervision de tribunaux. Une telle situation est actuellement impossible dans l’Union Européenne.

Dès lors, les experts en matière de sécurité recommandent des prestataires de services européens dont les serveurs se trouvent au sein de l’UE afin de gérer les risques juridiques. « Les entreprises doivent prendre conscience que la protection des données n’est pas uniquement une question d’expertise technique mais que l’aspect juridique est un paramètre crucial à intégrer dans leur réflexion », ajoute Alexandre Grellier.

Les datarooms électroniques assurent une protection optimale des données

Les fournisseurs européens de datarooms virtuelles, des applications Web accessibles en mode Cloud privé, permettent de sécuriser les données sensibles des entreprises. Afin d’assurer une protection optimale des données, ces solutions doivent associer les aspects juridiques, organisationnels et techniques essentiels.

· Juridique : Les fournisseurs européens de solutions et de services Cloud doivent se conformer strictement aux réglementations de l’UE sur la confidentialité des données personnelles. Leurs serveurs doivent être situés en Europe pour être placés sous juridiction européenne.

· Technique : Les données sont stockées dans une dataroom électronique qui agit comme un véritable coffre-fort numérique. La sécurisation des données doit être assurée par un ensemble de procédures intégrées à la plateforme, comme un processus d’authentification en plusieurs étapes et une architecture de sécurité multi niveau. Il faut en outre, que l’intégrité physique des données soit garantie grâce à un système de récupération en cas de sinistre et à une redondance géographique.

· Organisationnel : En 2013, l’étude e-Crime, relative à la criminalité informatique dans l’environnement économique allemand, menée par KPMG montrait que 75% des auteurs d’infraction étaient extérieurs à l’entreprise et que 25% d’entre eux étaient internes à l’entreprise. L’étude posait alors la question de la gestion des accès aux données sensibles au sein des organisations. Un fournisseur de Cloud doit fournir l’assurance que les données puissent être partagées entre les ayant-droit, sans pour autant perdre le contrôle sur leurs informations, grâce à la gestion des droits d’accès et à la possibilité de savoir qui a accédé aux documents.

« S’il y a une leçon que les entreprises doivent retenir du scandale PRISM, c’est que la prévention de risques liés à la sécurité ne peut être engagée de manière satisfaisante que dans le cas où la technique, l’organisation et le juridique s’unissent », conclut Alexandre Grellier.




Voir les articles précédents

    

Voir les articles suivants