co-écrit par Quentin

HeadMind Partners était présent pour la première fois au Forum International de la Cybersécurité, articulé autour de la « DataSecurity and Privacy ».  Voici les 3 points majeurs à retenir de cette édition.

Crise de confiance  ou prise de conscience?

La première conférence, réunissant des interlocuteurs d’horizons différents, a mis en avant la crise de confiance des utilisateurs concernant la sphère numérique. En cause, les plans de surveillance généralisés des gouvernements et les différentes affaires de divulgation de données personnelles, largement médiatisées.

Cependant, les utilisateurs ayant recours à des services web augmentent de manière exponentielle. Cette crise est-elle donc réelle ? Ou s’agit-il plutôt d’une prise de consciencequi se déclenche chez monsieur tout le monde ? Si tel est bien le cas, cette prise de conscience pourrait faire progresser les solutions autour de la protection de la vie privée et des données numériques.

Cette prise de conscience ne touche pas seulement les particuliers. Les relations entre les entreprises changent, pointant du doigt la confiance entre fournisseurs (B to B) sur les aspects de nationalité, d’ engagement, et de sécurité. Comment peut-on garantir que les informations envoyées à un fournisseur sont traitées et stockées de manière sécurisée ? Qu’en interconnectant son système d’information avec celui d’un fournisseur, on ne fait pas entrer le loup dans la bergerie ?

C’est dans ce contexte que l’ANSSI a créé de nouvelles qualifications afin de développer des partenariats dans un cadre de confiance. Il s’agit notamment des certifications  PASSIet Secure Cloud+ dont l’ANSSI est le créateur, le garant et le validateur.

Un cadre pour la protection des données en cours de développement

La fin du SAFE HARBOR ACT, qui permettait de transférer les données clients avec les États-Unis, a laissé place au débat sur la réglementation globale des données.

Si un utilisateur français consulte un site web allemand qui est hébergé aux Etats-Unis, quelle législation est à appliquer ? Le droit international n’étant pas forcément compétent dans le domaine, il faudra se référer au droit de chaque pays sans qu’une réponse unique existe.

De ce fait l’encadrement de la monétisation des données n’est pas clair. L’utilisateur générant les données a un droit sur celles-ci. Il pourrait demander une indemnisation sur l’utilisation de ses informations personnelles, ou totalement interdire leur exploitation.

Pour répondre à ce besoin d’encadrement, de nouvelles réglementations vont voir le jour, transformant la sphère cyber avec, par  exemple, la GDPR (Global Data Protection Regulation). Ce cadre juridique européen s’applique à toutes les entreprises qui stockent des données depuis 2015. Il encadre la protection et la gestion de ces dernières, entrainant des changements métier importants. Par exemple le poste d’officier de protection des données (DPO) va voir le jour. Il remplace le correspondant informatique & libertés (CIL). Il sera responsable des données, de leur collecte jusqu’à leur traitement.

Trending

SCIM : un standard de l’approvisionnement d’identités

L’internet of Things : de plus en plus d’interactions avec l’environnement

Malgré tout, ni l’éveil des consciences ni les manques règlementaires autour de la protection des données n’auront fait ralentir la numérisation du monde.

Avec les objets connectés, les données ne s’arrêteront plus à l’identité, elles concerneront directement l’état de santé de l’utilisateur et pourront agir sur notre environnement.

Malheureusement les objets connectés sont parsemés de failles, dont l’exploitation a des impacts de niveaux très différents : du vol de données… aux pertes humaines. De plus le cadre juridique pour ces composants n’est pas défini non plus. Avec une voiture connectée, qui est responsable en cas d’accident ? Il est donc important de mettre en place un maximum de sécurité afin que leur fonctionnement natif ne soit pas altéré.  Cette mise en place de la sécurité doit se faire le plus en amont possible du développement afin d’assurer sa bonne prise en compte, et de minimiser les coûts.

La position de HeadMind Partners

HeadMind Partners est prêt à affronter les nouveaux défis de la cybersécurité et à accompagner ses clients pour l’année 2016.

Pour améliorer la confiance de ses partenaires, HeadMind Partners se qualifie PASSI.

Le cabinet s’est préparé à l’arrivé des objets connectés, et rédige son livre blanc avec les dispositions à prendre concernant le sujet.

Les dessins sont des créations de @Vidberg pour le #FIC2016 et le journal le Monde