Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

#HappyCloud, par The8Bits : La cybersécurité du RGPD à l’assurance cyber

novembre 2019 par Marc Jacob

The8Bits, la place de marché des data centers et du cloud, a organisé un petit déjeuner sur la cybersécurité avec des interventions de Maître Thomas Beaugrand, avocat au cabinet Staub & Associés, de Vincent Meyssonnet de Bitdefender et de Charles-Edouard de Tilly, agent d’AXA.

Boris Gilet et Thomas Beaugrand

, avocat au cabinet Staub & Associés a rappelé les obligations des entreprises en matière de cyber sécurité et de protection des données avec en premier lieu le RGPD qui s’impose à tous.

Le RGPD oblige à la protection des données avec des mesures techniques et organisationnelles. Il a abordé uniquement pour cette conférence les mesures techniques. La violation des données personnelles concerne la violation de confidentialité soit par l’action d’un pirate informatique soit par accident avec une divulgation non autorisé sur internet. La violation d’intégrité est le deuxième point qui entre dans la violation de données personnelles. Enfin le troisième point est la violation de disponibilité qui peut être soit aussi par l’action d’un pirate ou accidentelle.

Dans les trois cas, il faut informer la CNIL et les personnes concernées.

Il rappelé que le RGPD a été fait pour contrer le marché noir de l’identité numérique qui induisent des fraudes à l’identité, aux carte bancaires... En effet, la valorisation des entreprises passe par les données et leur intégrité si elles sont compromises il en va de la survie de l’enrteprise.

En termes de moyens techniques, il faut mettre en place une PSSI. Quant aux normes, elles doivent respecter même si elles ne sont pas traitées dans le RGPD. Il faut aussi se préoccuper des relations avec les sous-traitants en particulier pour ce qui concerne les communications, le contrôle d’accès, l’anonymisation des données...Il explique qu’il y a aussi des obligations sectorielles comme pour les banques, les OIV, la santé...qui obligent à renforcer le niveau de sécurité des organisations concernées.

En matière de data center, des obligations légales doivent être respectées en particulier pour le contrôle d’accès, la sécurité physique et logique, le contrôle des données, la réversibilité...

Pour ce qui est de la notification des violations de données qui commence a minima par le fait de consigner la violation, jusqu’à la notification à la CNIL par le DPO qui a 72h pour le faire. Si en plus, ces données sont sensibles comme des données de santé, religieuses, ou encore qu’il y a un risque pour la confidentialité des données perdues, il faut aussi notifier chaque personne concernée.

Il aussi abordé le privacy by design qui oblige de recourir à des solutions qui intègrent la sécurité dès la conception des logiciels.

Parmi les exigences du RGPD il a traité rapidement de l’obligation de procéder à une analyse d’impact avant la mise en œuvre d’un traitement. Elle doit se faire avec un expert sécurité qui va identifier les vulnérabilités et proposer des remédiations.

Enfin, il a conclu sur la responsabilité avec les sanctions qui peuvent aller jusqu’à 4% du CA mondial, sans compter le préjudice d’image pour l’entreprise incriminée.

Vincent Meyssonnet de Bitdefender a proposé un état de l’art de a sécurisation des données avec entre autre la Threat Intelligence qui permet de détecter des attaques en corrélant des informations sur le réseau. Le système de Threat Intelligence de Bitdefender repose sur les remontés des postes de plus de 500 millions de clients de cet éditeur a-t-il rappelé en préambule.

Il a dressé un rapide panorama des menaces qui planent sur internet. Le paysage des menaces évolue via des malwares connus qui sont intégrés dans les antivirus. Il a aussi des variantes de malwares connus. Elles permettent de modifier la signature, elles sont le plus souvent détecter grâce à des systèmes de bacs à sables. La troisième menace concerne les ransomwares qui sont la plus part du temps adressé par mail avec un lien de phishing pour by-passer les protections comme les firewalls, les antimalwares... pour lutter contre cette menace, il faut intégrer de l’analyse comportementale qui va détecter les mouvements latéraux. Enfin, le quatrième type de menace concerne l’envoie de code envoyer directement sur la mémoire comme le cryptojacking.

Pour remédier à ces attaques, il faut faire du patch management et utiliser, entre autre, des technologies à base de machine learning... pour protéger les data center et le Cloud il faut avoir recours à des technologies spécifiques qui protègent les hyperviseurs.

Concernant les fuites de données interne, qui représentent 80% des problèmes, il faut utiliser des systèmes de protection spécifique. Charles-Edouard de Tilly, agent d’AXA a présenté la cyber assurances pour assurer les data centers qui a la fois protège les sites mais aussi les bris de machines positionnées dans des data center externes aux entreprises chez des opérateurs neutres. Il a aussi présenté les risques et les possibilités d’assurer les pertes de données. Selon lui, pour chaque type de conséquence suite à une attaque une assurance existe comme celle qui couvre la perte d’exploitation, les frais de notification, la restauration des données perdues, la protection juridique pour rembourser les frais d’avocats, les risques d’images...

Pour lui la cyber-assurance est un maillon essentiel de la résilience en cas d’attaque réussit. Il a cité les différents contrats d’assurance que l’on peut mettre en place pour se protéger en particulier les contrats cyber qui prennent en charge les expertises, les frais de notifications, l’atteinte à l’e-reputation, les cyber-détournements de fonds ou d’appel....

Pour conclure, cette matinée, Boris Gilet et ses associés ont présenté la place de marché Th8Bits qui offre des solutions de protection, de Cloud et de data center. Cette place propose des solutions par exemple pour trouver des solutions d’hébergement en France. On y trouve aussi du matériel, des applications, du service, de l’assurance et du financement. Plus de 100.000 produits sont déjà référencés. The8Bits est référencé par Tech Data et Abbakan, mais aussi par plusieurs marques comme Microsoft, Mellanox, Telinco...




Voir les articles précédents

    

Voir les articles suivants