Views
5 months ago

Cybersecurity 2019

  • Text
  • Faire
  • Attaques
  • Suisse
  • Entreprise
  • Contre
  • Netzmedien
  • Mots
  • Peuvent
  • Passe
  • Entreprises

14 SPÉCIAL CONFORMITÉ

14 SPÉCIAL CONFORMITÉ Le RGPD ralentit l’activité commerciale des entreprises mal préparées Selon une nouvelle étude de Cisco, les entreprises voient leur cycle de vente se prolonger de 4 semaines en moyenne en raison de l’entrée en vigueur du RGPD. L’activité commerciale est d’autant plus impactée que la firme est en retard dans sa mise en conformité. Yannick Chavanne Avantages des investissements dans la privacy (en %) Permettre agilité et innovation grâce à des contrôles de données appropriés. Gagner un avantage concurrentiel par rapport à d’autres entreprises. Atteindre une efficacité opérationnelle grâce à des données organisées et cataloguées. Atténuer les pertes causées par les vols de données. Réduire les délais de vente dus à des préoccupations en matière de protection de la vie privée de la part des clients/prospects. Augmenter l’intérêt des investisseurs. Aucune de ces réponses. 42 41 41 39 37 36 3 Source: Cisco 2019 Data Privacy Benchmark Study Impact sur l’activité commerciale Avec l’entrée en vigueur du RGPD, les entreprises clientes se soucient davantage des aspects relatifs à la sécurité et la protection des données. «La confidentialité des données est devenue un problème au niveau du conseil d’administration de nombreuses entreprises, et les clients s’assurent que leurs fournisseurs et partenaires commerciaux livrent des réponses adéquates à leurs préoccupations en matière de confidentialité avant de faire affaire avec eux», notent les auteurs de l’étude. Ces préoccupations ont un impact sur l’activité commerciale des entreprises: 87% des firmes interrogées constatent ainsi un ralentissement du cycle de vente, aussi bien avec des clients existants qu’avec des prospects. Les fournisseurs sondés mettent plus de temps à conclure une vente principalement à cause de la nécessité d’enquêter sur les demandes spécifiques des clients et de traduire les informations relatives à la confidentialité pour s’assurer que le client les comprend. Le besoin de former le client au sujet des pratiques ou processus de l’entreprise en matière de protection de la vie privée rallonge également le cycle de vente. Cycle de vente prolongé de 4 semaines A l’échelle globale, l’entrée en vigueur du RGPD a prolongé le processus de vente de 4 semaines en moyenne. Moins une entreprise est préparée, plus l’activité commerciale s’en trouve ralentie. Ainsi, dans les entreprises déjà conformes à la plupart des exigences du RGPD, le délai est en moyenne de 3,4 semaines. Il atteint en revanche 5,4 semaines dans les entreprises qui ne sont pas encore prêtes. Le règlement européen sur la protection des données personnelles (RGPD) est en vigueur depuis le 25 mai 2018. Selon une nouvelle étude de Cisco, la plupart des entreprises à l’échelle globale sont en conformité. Toutefois, près d’un tiers d’entre elles ont encore besoin de temps, car s’adapter aux exigences du RGPD demande de surmonter plusieurs défis. Selon les entreprises interrogées, le principal défi consiste à pouvoir garantir la sécurité des données. La formation des employés, l’adaptation à l’évolution de la réglementation ou encore le respect des exigences du Privacy By Design sont aussi cités comme des challenges de taille par les 3200 professionnels de la sécurité IT qui ont participé à l’étude. L’étude de Cisco montre que les investissements dans le domaine de la protection des données amènent aussi des bénéfices en matière d’agilité et d’innovation. Impact positif sur la sécurité En plus des conséquences positives sur l’activité commerciale, la mise en conformité au RGPD a un impact positif sur la cybersécurité. Les entreprises préparées ont moins de risques de subir une cyberattaque et, si une brèche est exploitée, l’incident aura moins d’impact aussi bien en termes de durée de panne que de quantité de fichiers touchés. L’étude de Cisco montre également que les investissements dans le domaine de la protection des données amènent d’autres bénéfices collatéraux, notamment en matière d’agilité et d’innovation. www.ictjournal.ch © netzmedien ag

en collaboration avec Acceleris et Oracle CLOUD SPÉCIAL15 Le cloud c’est l’ordinateur de quelqu’un d’autre Au moment où on met ses données dans le cloud, on en perd le contrôle. Beaucoup d’entreprises oublient vite cette réalité lorsque les premiers effets positifs du cloud computing apparaissent. Il est donc essentiel de répondre à certaines questions clés concernant ses données avant de les confier à un prestataire. Il ne se passe presque pas un jour sans un article parlant de la «richesse des données» dans la presse. On entend par là ce moment où toutes les données d’une entreprise sont à la disposition de chacun sur internet – très souvent, ces données se trouvent dans «le cloud». Une entreprise préférerait bien sûr éviter à tout prix cette situation, mais elle doit aussi veiller à rester efficace et compétitive. Et, pour accroître l’efficacité et optimiser les ressources, le cloud computing sous toutes ses formes s’impose inéluctablement. A quoi faut-il dès lors veiller pour éviter de faire la une des journaux avec une méga-catastrophe concernant sa base de données? Qu'est-ce qui importe vraiment? Comme souvent, la réponse n’est pas simple. Le chiffrement n’est pas une protection absolue Tout d’abord, il faut être parfaitement conscient que l’on perd le contrôle de ses données. Il ne faut pas l'oublier: le chiffrement protège les données non utilisées et les sécurise durant leur transmission. Dans le lieu de leur traitement, les données ne sont en revanche jamais chiffrées. Même le meilleur chiffrement n’y peut rien, qui a accès à la mémoire, a aussi accès aux données. La question qui suit est donc de déterminer qui a accès à cette mémoire. Dans tous les cas, le fournisseur de cloud et, en fonction Confidentialité Security Policy Intégrité de la situation juridique dans le pays du fournisseur, les autorités du pays en question. Cela conduit à la question de la confiance: à qui dois-je confier mes données? L’externalisation est-elle compatible avec l’obligation de diligence? Le fournisseur cloud dispose-t-il des compétences nécessaires en matière de sécurité? Existe-t-il des certifications ISO pertinentes? Des contrats de service (SLA) sont-ils proposés? Classer les données selon leur sensibilité Ayant ces questions à l’esprit, il s’agit dès lors de classer les données en fonction de leur confidentialité. Ensuite, le processus de protection s’effectue de manière classique selon les principes «need to know» et «least privilege», déterminant les données qui peuvent être externalisées et celles qui peuvent uniquement être traitées en interne. Des demandes de brevet récemment préparées n’ont pas leur palce sur un espace de stockage cloud. Une fois les données à stocker dans le cloud clairement définies, il convient de veiller à ce qu'elles ne puissent être manipulées sans autorisation - ou que les manipulations soient détectées immédiatement. Les mêmes règles s’appliquent que pour sa propre infrastructure: la mise en œuvre technique du chiffrement et des contrôles d'intégrité doivent respecter les normes les plus récentes et les plus strictes. Des calculs manipulés d'un composant de support pourraient procurer aux concurrents des avantages inouïs sur le marché. Faire contrôler régulièrement le respect de ces règles par un auditeur indépendant est assurément un bon investissement. L'AUTEUR Stefan Marx Senior Technical Consultant, CISSP, Acceleris Qu'est-ce qui peut aller dans le cloud? Disponibilité Des données ont-elles été manipulées? Ce qui importe vraiement pour la sécurité dans cloud Celui qui applique correctement ces consignes et classe les données en fonction de leur «capacité cloud» dans sa politique de sécurité, mise incontestablement sur la sécurité. Il va de soi que des mesures de sécurité identiques voire plus strictes que celles des systèmes internes doivent être définies pour les serveurs et le stockage dans le cloud. Encore une fois, il n’y a pas de mal à réaliser un audit externe; une partie indépendante est moins sujette à l’aveuglement que l’entreprise elle-même. Ce qui importe vraiment est donc de savoir qu’un cloud est l’ordinateur de quelqu'un d’autre, d’en tirer les conclusions qui s’imposent et de définir clairement ce que l’on y fait et ce qu’il vaut mieux ne pas y faire. Dans le lieu de leur traitement, les données ne sont en revanche jamais chiffrées. www.ictjournal.ch © netzmedien ag