Disclose Gros plan sur la sécurité de l information Décembre 2013 L actualité sur la présentation des comptes et l audit

Dimension: px
Commencer à balayer dès la page:

Download "www.pwc.ch/disclose Disclose Gros plan sur la sécurité de l information Décembre 2013 L actualité sur la présentation des comptes et l audit"

Transcription

1 Disclose Gros plan sur la sécurité de l information Décembre 2013 L actualité sur la présentation des comptes et l audit

2 Éditeur: PricewaterhouseCoopers SA, division Audit, Birchstrasse 160, 8050 Zurich Concept, rédaction et mise en page: PricewaterhouseCoopers SA, Zurich Rédaction: Graf Moll & Partner, Corporate Publishing GmbH, Zurich Impression: Stämpfli Publikationen AG Disclose L actualité sur la présentation des comptes et l audit (www.pwc.ch/disclose) paraît deux fois par an en français et en allemand. Tirage: exemplaires Commandes d abonnements gratuits et changements d adresse: 2013 PwC. All rights reserved. «PwC» refers to PricewaterhouseCoopers AG, which is a member firm of PricewaterhouseCoopers International Limited, each member firm of which is a separate legal entity.

3 Peter Ochsner Responsable Audit Suisse «Les entreprises doivent protéger leurs données et informations de manière ciblée. «Les technologies modernes de l information se sont immiscées dans notre quotidien de manière presque imperceptible. Nous utilisons les s, moteurs de recherche et plateformes sociales tout aussi naturellement que diverses formes de stockage numérique. Mais cet état de fait va de pair avec une certaine insouciance. Il aura fallu attendre les révélations d Edward Snowden pour que la plupart d entre nous prennent soudainement conscience des dangers d une telle inconséquence, et du lourd prix à payer pour la vitesse de la communication, la mobilité et la présence: la perte au moins partielle de la sphère privée. L argument facile du «moi je n ai rien à cacher» constitue un affront envers tous ceux qui ont lutté pour défendre ce bien précieux qu est la sphère privée. De plus, chacun a des données privées sensibles, en tant que patient ou client d un avocat ou d une banque par exemple. Ceci vaut d autant plus pour les entreprises qui vivent de la propriété intellectuelle, des relations de confiance avec les partenaires de la chaîne de valeur et de l intégrité des données financières. Depuis plusieurs années, PwC interroge les cadres dirigeants du monde entier sur le niveau de sécurité de leurs informations et données. Cette étude intitulée «Global State of Information Security Survey» montre régulièrement que beaucoup d entre eux se sentent plus en sécurité qu ils ne le sont en réalité (cf. l article de la page 10). On peut espérer que les choses vont évoluer, car les pratiques d écoute douteuses des services secrets américains, mais aussi britanniques et canadiens, laissent supposer qu il ne s agit pas seulement de guerre contre le terrorisme, mais aussi d espionnage économique. Ainsi, il semblerait par exemple que toutes les communications du Ministère brésilien du pétrole et des mines aient fait l objet d écoutes. Rien d étonnant donc à ce que la présidente Dilma Rousseff exige que les services Internet soient assurés par des fournisseurs nationaux. Une demande qui se fait aussi de plus en plus audible en Europe. Mais les Européens portent aussi leur part de responsabilité. Les lois sur la protection des données de l UE et de la Suisse datent des années 90. Il a fallu attendre jusqu à maintenant pour qu elles soient ajustées aux évolutions de ces dernières années (cf. l article de la page 18). Reste à savoir si la législation parviendra à suivre le rythme effréné des mutations technologiques. Dans son entretien, la professeure lausannoise Solange Ghernaouti plaide pour un droit international du cyberespace (cf. l article de la page 24). Une chose est sûre: les entreprises doivent protéger leurs données et informations de manière ciblée. Les cyberattaques sont menées par différentes personnes et organisations. Yaron Blachman, le responsable du «Cyber Security Centre of Excellence» de PwC, résume l essentiel: «Toute personne qui vole des informations, qui se procure un accès sans autorisation, est un méchant» (cf. l article de la page 14). Je vous souhaite une lecture stimulante. Décembre 2013 Disclose 3

4 Gros plan sur la sécurité de l information Sommaire Stratégie et gouvernance pour la sécurité de l information des entreprises par Jürgen Müller et Thomas Koch 5 Termes-clés 9 La confiance dans la sécurité des données est-elle justifiée? par Robert Metcalf 10 «Les cyberattaques sont menées par des groupes, le crime organisé et des États.» Entretien avec Yaron Blachman, Forensic Technology et chef de PwC 14 La protection des données est l affaire de tous par Rauno Hoffmann Les clients ont confiance dans la sécurité de leurs données par Christian Westermann et Umberto Annino «L année 2000 fut une année charnière.» Entretien avec Solange Ghernaouti, professeure de sécurité de l information à la Faculté des HEC de l Université de Lausanne La responsabilité du conseil d administration en matière de sécurité de l information par Fabien Mooser et Marco Schurtenberger Update Service lecteurs Dans la rubrique Update, «Disclose» traite du nouveau droit comptable, des coûts de la compliance, de la nouvelle norme sur la location de l International Accounting Standards Board et de la mise en œuvre de l initiative Minder Disclose Décembre 2013

5 Stratégie et gouvernance pour la sécurité de l information des entreprises Les technologies de l information connaissent une évolution fulgurante qui entraîne une augmentation des risques de sécurité. La plupart des entreprises ont conscience du danger auquel sont exposés leurs systèmes et informations. Pourtant, il n est pas sûr que les stratégies de sécurité appliquées actuellement permettent de faire face aux menaces. Un des trois scénarios qui préoccupent le plus les dirigeants d entreprise du monde sont les cyberattaques ou de graves perturbations sur Internet. C est ce qui ressort de l étude «CEO Survey» de 2013 réalisée par PwC. Cette inquiétude est justifiée car ce scénario compromettrait directement les activités de l entreprise. Et la menace est réaliste: l étude «Global State of Information Security Survey 2014» (GSISS), qui vient de paraître et a été menée par PwC auprès de plus de 9600 cadres dirigeants, montre que le nombre d incidents de sécurité découverts au cours d une année a augmenté de 25%; les coûts en résultant ont grimpé de 18% (cf. l article de la page 10). Pour les entreprises et autres organisations, la sécurité de leurs données constitue une priorité dont l objectif est de protéger les informations de toute nature et de toute provenance. Les informations peuvent être enregistrées aussi bien sur papier, dans des systèmes informatiques ou dans la tête des utilisateurs. Les valeurs fondamentales classiques de la sécurité de l information sont la confidentialité, l intégrité et la disponibilité. De nombreux utilisateurs incluent d autres valeurs dans leur réflexion telles que l authenticité, le caractère contraignant, la fiabilité et la non-répudiation. En principe, on distingue trois catégories de données et d informations sensibles: les informations à caractère personnel, c est-à-dire principalement les données relatives aux clients et au personnel les données concernant l entreprise, comme la propriété intellectuelle et enfin les données touchant au domaine réglementé dont font partie par exemple les informations sur la présentation des comptes Les données à protéger en priorité, pour ainsi dire les «joyaux de la couronne» parmi les informations, varient selon les branches et les entreprises. Les prescriptions légales la loi sur la protection des données et la réglementation de la FINMA pour les banques, en particulier la circulaire révisée sur les risques opérationnels (cf. circ. 2008/21) concernent avant tout les données des clients. L entreprise a un intérêt fondamental, y compris en termes de compétitivité, à protéger des attaques certaines informations internes comme les résultats de recherche ou les projets stratégiques. Et ceci ne vaut pas seulement pour les grandes entreprises. En effet, les enquêtes menées par différents observateurs de la situation en matière de protection des données montrent que les entreprises de taille moyenne ne sont pas non plus à l abri des attaques. Une analyse de l Unité de pilotage informatique de la Confédération UPIC indique une nette augmentation des attaques commises contre les entreprises de 11 à 100 collaborateurs au cours de ces trois dernières années. Cette hausse marquée s explique par deux raisons: les PME disposent d un capital intellectuel extrêmement précieux, et les barrières de sécurité y sont du moins aujourd hui encore plus facilement contournables que chez les grandes entreprises. Décembre 2013 Disclose 5

6 Nouvelles tendances, nouvelles menaces La sécurité des données n est pas un sujet nouveau en soi. Les organisations se sont toujours efforcées de préserver leurs données afin d empêcher l accès de personnes non autorisées. Par le passé, il s agissait de documents écrits. Depuis que tous les processus de travail sont traités avec des données numériques, de nouvelles méthodes font leur apparition afin de protéger durablement les documents électroniques. Comme auparavant, les piliers de la sécurité de l information doivent être pris en compte: «Confidentiality, Integrity, Availability» (CIA), à savoir confidentialité, intégrité et disponibilité. Mais l élément nouveau de nos jours, c est la vitesse fulgurante et la dynamique des mutations technologiques. Les menaces qui en résultent s appuient pour l essentiel sur quatre tendances: 1 Les technologies de l information utilisées actuellement sont plus vulnérables aux attaques, et la palette d assaillants potentiels s élargit. Les mots-clés dans ce domaine sont: cloud, BYOD (bring your own device, en français: apportez votre propre appareil), médias sociaux. 2 Il ne s agit plus seulement de sécuriser les données stockées dans les systèmes informatiques, mais de protéger les informations dans toute l entreprise. 3 Les menaces émanant d Internet s amplifient, et les assaillants ont le plus souvent une longueur d avance sur leurs objets cibles. Parallèlement, il devient plus difficile d identifier la provenance d une menace directe. Si les entreprises pensaient auparavant qu elles devaient surtout se protéger des attaques simples venant de l extérieur, elles se sont aperçues, il y a quelques années, qu elles doivent aussi mieux se prémunir contre les menaces créées en interne et les attaques provenant des réseaux de partenaires, fournisseurs et clients. Aujourd hui, les entreprises semblent accorder la même importance aux dangers indépendamment de leur provenance. Il n est d ailleurs pas toujours possible d identifier clairement la cause de la menace. Lorsque, par exemple, une entreprise partenaire est attaquée, les informations de l entreprise elle-même sont également menacées. Dans ce cas, ce ne sont toutefois pas les collaborateurs de l entreprise partenaire qui ont causé l attaque: l entreprise est victime d une attaque commise sur toute la chaîne de valeur, après que le maillon le plus faible a cédé. Il est important pour une entreprise non seulement d établir si elle a déjà été manipulée ou attaquée et si oui par qui, quelles sont les données concernées et quelle est l étendue du dommage, mais surtout depuis combien de temps les systèmes sont corrompus. Car plus un assaillant est parvenu à se dissimuler sur une longue période, plus il a eu d occasions d espionner et de détourner des données sensibles. 4 Les collaborateurs ont parfois accès, en quelques clics seulement, à une mine d informations sur l entreprise, qui peuvent être utilisées de manière abusive. Plus grande vulnérabilité, éventail élargi d agresseurs Compte tenu de la quantité d informations, il serait irréaliste de vouloir protéger l ensemble des données d un accès non autorisé. C est pourquoi, lors de la conception d une stratégie de sécurité, les entreprises doivent analyser et catégoriser les données; il leur faut définir les informations particulièrement sensibles nécessitant un niveau de protection élevé. Mais la quantité des données n est pas la seule pierre d achoppement: la mise en réseau des technologies pose également problème. Le cloud computing, les smartphones et tablettes, les médias sociaux et les appareils privés utilisés par les collaborateurs sont étroitement imbriqués. Ils exigent des approches innovantes et des dispositifs de sécurité d une qualité nouvelle. Chacune de ces utilisations numériques actuelles ouvre un nouvel angle d attaque, et ce d autant plus lorsqu elle est en réseau. Jürgen Müller Associé, Audit 6 Disclose Décembre 2013

7 Protection d informations, concepts de sécurité individuels Le dommage financier causé par une perte de données peut être considérable. D après l étude GSISS, le nombre de sondés ayant subi en 2012 une perte de plus de dix millions d USD a augmenté de 51% par rapport à l année précédente. À cela viennent s ajouter les préjudices difficilement chiffrables en termes de réputation. Malgré tout, les mesures de protection des données ne représentent encore qu une petite partie de la gestion globale des risques. Pendant longtemps, les entreprises se préoccupaient surtout de la disponibilité et de la fiabilité de leurs systèmes. Ces dix dernières années, beaucoup ont intégré dans leur réflexion sur la sécurité des dispositifs visant à protéger leurs données et informations des accès non autorisés et qui sont constamment complétés et développés. Il existe actuellement des programmes de surveillance intelligents qui donnent l alerte en cas d activités suspectes, par exemple lors de tentatives répétées d entrer un mot de passe erroné, et qui identifient et analysent les anomalies des flux de données internes et externes en les comparant aux modèles de processus usuels. Ces analyses permettent de mettre en corrélation toutes les données existantes et leur interprétation, et de générer ainsi de nouvelles informations qui alertent en temps utile en cas d attaque des «joyaux de la couronne». extraire des données sensibles. Les «Advanced Persistent Threats» ou «menaces avancées persistantes» désignent les attaques particulièrement élaborées et perfides qui ne menacent pas seulement les technologies de l information de l entreprise mais l ensemble de ses activités. Les dispositifs de sécurité traditionnels de l entreprise s avèrent insuffisants pour prévenir les cyberattaques. Pour y faire face, les dangers susceptibles de représenter une menace pour l entreprise via le réseau mondial doivent être identifiés. L objectif est d anticiper les possibilités d attaque existantes ou nouvelles émanant d Internet. À partir des résultats obtenus, les domaines de contrôle de l entreprise peuvent être examinés et améliorés en continu. Malgré ces risques allant de pair avec la rapidité des évolutions technologiques et la transformation numérique, la plupart des entreprises ont toujours le sentiment d être suffisamment protégées. Beaucoup ne prennent des mesures de protection étendues qu après avoir subi un dommage. Cette prévention insuffisante s explique, entre autres, par le fait que chaque concept de sécurité nécessite une approche individuelle, et c est justement là que le bât blesse pour bon nombre d entreprises. Cyberattaques, cloud computing Ceci vaut d autant plus que les dangers deviennent abstraits. Alors que chacun pouvait encore imaginer le risque lié aux copies de données sur CD et au vol de supports de données, les dangers posés par Internet ne sont guère compréhensibles pour les non-initiés. Les cyberattaques ont connu une envolée ces quatre dernières années. Les pirates disposent de ressources, sont parfaitement organisés et réagissent rapidement à chaque évolution technique; ils ont presque toujours une longueur d avance sur leurs objets cibles. Lorsqu ils parviennent à pénétrer au cœur d une entreprise à son insu, ils peuvent, en toute tranquillité, espionner et Thomas Koch Director, Advisory Décembre 2013 Disclose 7

8 Un risque majeur est lié au prestataire du service de cloud computing: dans quel espace juridique est-il domicilié et comment protège-t-il les données de ses clients? Internet renforce aussi la flexibilité et la mobilité du monde de l entreprise. Le cloud computing est, par exemple, une tendance sur laquelle misent de plus en plus d entreprises. Elles se procurent des ressources informatiques, de la mémoire de stockage et des logiciels via Internet, et ne paient ainsi que les capacités qu elles utilisent. Les utilisateurs d un «nuage virtuel» peuvent ajuster rapidement et facilement leur système informatique, et ce à des coûts relativement faibles. Le stockage de grandes quantités de données dans un «nuage» par exemple est assez bon marché, permet un accès permanent, même à partir d appareils mobiles, et n engage que peu de ressources internes. Mais le cloud computing comporte également de nouveaux risques pour la sécurité de l information, la protection des données ou la compliance. Il est souvent trop tard lorsque les entreprises se demandent si le stockage extérieur des informations peut compromettre la protection de leurs données et si l utilisation de clouds entraîne des infractions envers le droit en vigueur. Un risque majeur est lié au prestataire du service de cloud computing: dans quel espace juridique est-il domicilié et comment protège-t-il les données de ses clients? Le siège du prestataire peut, par exemple, restreindre l externalisation des données. Ainsi, la FINMA prescrit la possibilité d un audit externe. Le prestataire doit donc permettre la consultation des données, or ce n est pas toujours le cas de ceux sis à l étranger. Autre danger: il n est pas indispensable d impliquer le service informatique lorsque des données sont transférées dans des clouds. Ceci peut conduire à l utilisation en parallèle de plusieurs services de cloud computing au sein d une même entreprise. Les grandes entreprises en particulier ont donc tout intérêt à réglementer l utilisation des clouds et à les soumettre à des règles de gouvernance rigoureuses. Les entreprises devraient également réglementer l utilisation des médias sociaux et des appareils mobiles. Car bien que très utiles pour la communication de l entreprise, ils offrent aussi de nombreux angles d attaque. Une politique judicieuse serait de n utiliser qu à des fins professionnelles les smartphones et tablettes de l entreprise, et de ne pas suivre la tendance du «bring your own device». Les risques de communication sur des plateformes sociales peuvent être circonscrits par des règles d utilisation claires et simples. Par mesure de sécurité, les médias sociaux pertinents devraient systématiquement être vérifiés à l aide de mots-clés définis, afin d empêcher les abus ou, du moins, de les détecter. Conclusion Comme pour tous les domaines importants de l entreprise, certains principes s appliquent aussi à la sécurité de l information: l entreprise doit façonner une stratégie qui est intégrée et ancrée dans sa stratégie globale. Cette stratégie de sécurité ne doit pas se limiter à des mesures techniques, mais également englober certains aspects du droit, de la compliance et de la communication; elle doit imprégner le personnel et la culture d entreprise. Car celle-ci et la prise de conscience des collaborateurs contribuent pour environ un tiers à la sécurité de l information. Enfin, il est essentiel que la sécurité de l information ne soit pas seulement le cheval de bataille du service informatique, mais aussi une priorité du conseil d administration et de la direction. 8 Disclose Décembre 2013

9 Termes-clés Sécurité de l information On entend par sécurité de l information la protection d informations de toute nature et provenance. Les informations peuvent aussi bien être enregistrées sur papier, dans des systèmes informatiques ou dans la tête des utilisateurs. Les valeurs fondamentales classiques de la sécurité de l information sont la confidentialité, l intégrité et la disponibilité. De nombreux utilisateurs incluent d autres valeurs dans leur réflexion telles que l authenticité, le caractère contraignant, la fiabilité et la non-répudiation. Protection des données Ce terme tire son origine de la législation. La loi sur la protection des données vise à protéger la personnalité et les droits fondamentaux des personnes qui font l objet d un traitement de données (art. 1, loi fédérale sur la protection des données [LPD]). Sécurité informatique / IT Security Pour atteindre un niveau de sécurité informatique suffisant, il est nécessaire d intégrer dans l entreprise une gestion de la sécurité efficace. La simple acquisition de logiciels antivirus, de pare-feu ou de systèmes de sauvegarde des données ne suffit pas. Data Loss Prevention / Data Leakage Prevention (DLP) Ces deux termes généralement synonymes désignent aussi bien les mesures organisationnelles que techniques contre la perte et la fuite non autorisée de données. Cybersécurité / cyberattaques Ce terme se rapporte généralement aux attaques lancées depuis Internet, une tendance qui s est renforcée ces quatre dernières années. Alors que la sécurité informatique est d abord une affaire technique, les attaques provenant du réseau mondial (cyberattaques) ne peuvent être déjouées que par une stratégie intégrée car elles menacent l ensemble des activités de l entreprise. On assiste à une évolution du côté des pirates qui disposent de davantage de ressources, réagissent plus rapidement et sont mieux organisés. Advanced Persistent Threat (APT) Une «menace avancée persistante» est une cyberattaque de très haut niveau. Elle désigne une intrusion ciblée et élaborée dans l infrastructure et les données d une organisation, qui est généralement attribuée aux services secrets ou aux gouvernements. Les pirates restent longtemps non détectés, ce qui leur permet d accéder à des informations sensibles. Cloud computing Ce terme désigne l utilisation de «nuages virtuels» proposés par des prestataires spécialisés (cloud services). La tendance actuelle consiste à se procurer des ressources informatiques, de la mémoire de stockage et des logiciels via Internet. Le cloud computing donne davantage de souplesse à l entreprise et lui permet de réduire ses coûts, mais comporte néanmoins certains risques dans les domaines de la sécurité de l information, la protection des données et la compliance. Décembre 2013 Disclose 9

10 La confiance dans la sécurité des données est-elle justifiée? Robert Metcalf Senior Manager, Audit En septembre dernier, PwC a publié son étude annuelle «Global State of Information Security Survey» (GSISS). Comme dans les précédents rapports, il est surprenant de constater cette année encore que près des trois quarts des cadres dirigeants ont confiance dans l efficacité des systèmes de sécurité de l information de leur entreprise. Les CEO sont les plus confiants avec 84%, tandis que les CFO enregistrent, avec 76%, et c est peut-être révélateur le pourcentage le plus faible. La confiance des entreprises quant à l efficacité de leurs mesures de sécurisation des données se reflète également dans leurs réponses à d autres questions de l enquête, à propos de l adéquation du budget et de la stratégie en matière de sécurité de l information. La plupart des plus de 9600 personnes interrogées ont indiqué que le budget et la stratégie pour la sécurité de l information étaient adaptés aux besoins de leur entreprise. Ces résultats traduisent peut-être une tendance naturelle à la confiance en soi, mais l expérience montre que la confiance n a pas toujours lieu d être. En témoignent les nombreux incidents de sécurité mentionnés lors d enquêtes, ainsi que les contrôles indépendants sur la sécurité de l information effectués par des experts externes, comme ceux de PwC. L étude GSISS fournit aussi d autres informations sur cette confiance illégitime. Ainsi, à la question sur les principaux obstacles qui empêchent d améliorer l efficacité stratégique de la fonction Sécurité de l information de l entreprise, les responsables SI ont cité principalement deux raisons: «La dotation en capital ne suffit pas» (24%); «Il manque une vision réalisable ou la compréhension de la manière dont les futurs besoins de l entreprise impactent la sécurité de l information» (24%). On relève là une certaine contradiction que d anciennes études de PwC avaient déjà révélée. La confiance dans sa propre sécurité peut être trompeuse. Le nombre total des incidents signalés a augmenté de 25% en un an. Parallèlement, le nombre de sondés qui ignoraient combien d incidents se sont produits dans leur domaine a continuellement grimpé, passant de 9% en 2011 et 14% en 2012 à 18% cette année. Il semblerait que la hausse des incidents signalés s explique en partie par une augmentation des attaques, mais aussi par un meilleur taux de détection. Ou, autrement dit: ces derniers temps, on a découvert davantage d incidents qu auparavant. L augmentation du nombre d incidents décelés résulte d un intérêt accru des médias et d une prise de conscience grandissante des nombreux points vulnérables des technologies. Même si davantage d attaques ont été détectées, il n en demeure pas moins que la période s écoulant entre l incident et le moment de sa découverte reste longue. Deux études récentes la chiffrent à 180 et 210 jours. Autre résultat intéressant: 50% des sondés se considèrent comme des «front-runners» (acteurs de pointe). Ils partent du principe qu ils disposent d une stratégie de sécurité efficace et qu ils la mettent en œuvre. Cette perception déformée qu ils ont de leur entreprise ressort clairement lorsque le leadership en matière de sécurité de l information est mesuré selon les critères définis par PwC: 1 Une stratégie globale existe pour la sécurité de l information; 2 L entreprise emploie un Chief Information Security Officer (CISO) qui rend directement des comptes au CEO, CFO, COO, Chief Risk Officer ou au responsable du service juridique; 3 L efficacité de la sécurité a été mesurée et vérifiée au cours de l année précédente; 4 L entreprise connaît les différents types d incidents de sécurité qui se sont produits l année précédente. 10 Disclose Décembre 2013

11 Mesurées à ces critères, seules 17% des entreprises ayant pris part à l étude peuvent être identifiées comme réels «leader». Alors qu un grand nombre des participants à l enquête remplissent les deux premiers critères, ils ne sont que 17% à se qualifier pour les deux derniers. De manière générale, un nombre significatif d entreprises surestiment leur capacité à se protéger. Cela vient peut-être du fait qu elles n ont pas encore suffisamment d expérience avec des incidents d une certaine ampleur. Une autre raison pourrait être les résultats obtenus par les tests de diagnostic actuels. Les résultats des scans antivirus, par exemple, peuvent induire en erreur. Ce n est pas parce le contrôle antivirus considère comme «sains» les systèmes de l entreprise qu ils ne sont pas infectés par des virus ou des programmes malveillants («malware»). Cela signifie seulement que rien n a été découvert, ce qui suscite un faux sentiment de sécurité et une confiance n ayant pas lieu d être. Menace perfide Les attaques commises sur les entreprises sont de plus en plus raffinées et ont des objectifs beaucoup plus élaborés. Avant de lancer leurs attaques, les pirates «font leurs devoirs» en analysant soigneusement les angles de vulnérabilité de l entreprise visée. Ils se renseignent pour savoir par exemple quels collaborateurs disposent des autorisations d accès qu ils aimeraient s approprier, afin de pirater de manière ciblée les systèmes critiques. Ce type de menace a énormément augmenté ces derniers temps. Si les responsables de la sécurité de l information en ont parfaitement conscience, ils doivent déployer d importants efforts pour sensibiliser aussi leurs collègues et, en particulier, les managers et directeurs expérimentés qui ont accès aux informations confidentielles de l entreprise ou à l infrastructure informatique. PwC consacre une part toujours plus importante de son travail à l accompagnement de cette prise de conscience chez ses clients, en leur montrant par exemple à quel point le système de l entreprise peut s avérer vulnérable. Ou bien elle emploie des programmes intelligents permettant de montrer l image que l entreprise renvoie aux pirates et à quelle menace elle doit se préparer. Collaboration La collaboration s intensifie entre les spécialistes de la sécurité de l information. En Suisse, ils sont soutenus depuis 2004 par la Centrale d enregistrement et d analyse pour la sûreté de l information (MELANI) de la Confédération. La collaboration sectorielle est très utile car les attaques sont souvent lancées plus ou moins simultanément contre plusieurs sociétés d un même secteur économique. Lorsqu une entreprise sait qu une attaque a déjà été commise contre une autre société, elle peut mieux s y préparer. Si les milieux d affaires suisses montrent encore une certaine réserve face à de telles initiatives, elles sont pourtant mieux acceptées qu il y a encore quelques années car les avantages d une collaboration prévalent largement sur ses inconvénients. Le moteur de la collaboration est davantage la technologie que l appartenance à la branche. Il est donc tout à fait utile que des entreprises de différents secteurs travaillent ensemble, dès lors qu elles utilisent les mêmes technologies et présentent par conséquent des points de vulnérabilité identiques. Et comme c est toujours l usage en Suisse, la collaboration se fait plutôt au niveau régional que national, pour des raisons linguistiques. Importance de la stratégie sur la sécurité de l information Les entreprises sont toujours plus nombreuses à ouvrir leurs plateformes informatiques à des tiers. Elles peuvent ainsi profiter des gains d efficacité qu offre la mise en réseau, surtout pour l externalisation de certains processus. Le cloud computing donne une nouvelle dimension à cette tendance. Les changements relativement rapides des dernières années ont conduit à ce que les risques ne soient pas classifiés ni traités correctement. La stratégie sur la sécurité de l information doit tenir compte de tels risques et, du fait de leur dynamique, l entreprise n a d autre choix que de réexaminer entièrement sa stratégie au moins une fois par an. D une manière générale, il convient de coordonner entre elles la stratégie d entreprise, la stratégie informatique et la stratégie sur la sécurité de l information. Une stratégie d entreprise est conçue généralement pour un cycle de trois à cinq ans. La stratégie informatique qui l accompagne devrait être valable sur une période similaire. Dès que ces deux stratégies sont définies, une stratégie sur la sécurité de l information adaptée doit être mise au point en en tenant compte, mais comme mentionné plus haut elle doit être revue chaque année. Dans ce cadre, le système de l entreprise doit subir un test rigoureux afin d évaluer sa vulnérabilité. La collaboration sectorielle est très utile car les attaques sont souvent lancées plus ou moins simultanément contre plusieurs sociétés d un même secteur économique. Décembre 2013 Disclose 11

12 Les principaux obstacles à l amélioration de l efficacité stratégique de la fonction Sécurité de l information dans l entreprise La dotation en capital ne suffit pas. Il manque une vision réalisable ou la compréhension de la manière dont les futurs besoins de l entreprise impactent la sécurité de l information. Le plus haut niveau de management (p. ex. CEO, conseil d administration) ne s engage pas assez dans ce domaine Il manque une stratégie efficace sur la sécurité de l information. 22 Les dépenses d exploitation ne suffisent pas. L entreprise ne disponse pas de l expertise technique nécessaire Les systèmes d information et de TI sont mal intégrés ou trop complexes. Les responsables de la sécurité (p. ex. Chief Information Security Officer, Chief Security Officer) ne s engagent pas assez dans ce domaine La direction technique (p. ex. Chief Information Officer) ne s engage pas assez dans ce domaine. 16 0% 5% 10% 15% 20% 25% Investissements dans la stratégie sur la sécurité de l information Il n existe aucune règle stipulant quelle part de ses dépenses informatiques une entreprise doit consacrer à la sécurité de l information. Il est beaucoup plus important que l argent dépensé soit utilisé là où il est vraiment nécessaire. Les investissements dans la sécurité de l information sont en concurrence avec d autres besoins, lorsqu il s agit d améliorer les processus internes, d employer d autres technologies ou des technologies améliorées, ou encore de sensibiliser les collaborateurs aux risques. L une des manières permettant de déterminer dans quels domaines investir consiste à analyser et à classifier les données de l entreprise. Les données à protéger seront ensuite définies. Une évaluation complète des menaces pesant sur les données critiques les joyaux de la couronne de l entreprise doit être réalisée, notamment par une évaluation externe des menaces et par des contrôles internes. De nombreuses entreprises dépensent des sommes d argent considérables afin de protéger les mauvaises données. On peut certes comprendre que les responsables de la sécurité de l information aimeraient disposer de plus de moyens financiers, mais dans ce domaine, il importe tout particulièrement d optimiser l utilisation des ressources disponibles. En pratique, il est apparu que parfois moins de 5% des données de l entreprise nécessitent réellement d être protégées. 95% des données peuvent être classifiées comme publiques ou internes, et leur protection nécessite beaucoup moins de ressources. Le véritable défi consiste donc à identifier les joyaux de la couronne, à reconnaître leurs risques et à élaborer les bonnes mesures de protection. 12 Disclose Décembre 2013

13 Quintessence: face aux risques de sécurité du monde des affaires actuel, les entreprises doivent intégrer les menaces liées à la sécurité de l information dans la gestion des risques à l échelle de l entreprise. Car ces menaces peuvent sérieusement compromettre les objectifs de l entreprise. Il n est plus possible de donner une protection maximale à toutes les données. L Europe et la Suisse à la traîne L étude GSISS montre aussi que l Europe est la lanterne rouge derrière les autres régions du monde pour ce qui est de la sécurité des données et l efficacité des mesures de surveillance locales. Ceci est d abord une conséquence de la réalité économique. Les dépenses des entreprises européennes sont soumises à une forte pression; les fonds se font rares pour tous les types d investissement, y compris la sécurité de l information. Ne serait-ce que pour cette raison, il est d autant plus important pour les sociétés européennes de classifier intelligemment leurs données et d analyser précisément les menaces. Pour un responsable de la sécurité, c est là le meilleur moyen d obtenir le budget dont il a besoin. Les résultats de l étude pour la Suisse montrent que le budget moyen consacré à la sécurité des données est, avec 2,5 millions USD, inférieur à celui des États-Unis qui se chiffre à 4,3 millions USD. Cette différence traduit en partie le fait que les menaces sont perçues en Suisse comme moins importantes qu ailleurs. En vérité, elles sont certainement tout aussi élevées que dans le reste du monde, en raison de la mise en réseau internationale. Les cyber-risques n y sont en soi pas plus faibles que dans d autres pays. En Suisse, la menace qui pèse sur la sécurité des places financières que sont Zurich et Genève est probablement plus élevée que dans d autres parties du pays. En outre, son statut de siège d organisations internationales fait de Genève une cible privilégiée pour les cyberattaques. Les révélations sur les activités de la «National Security Agency» (NSA) américaine jouent certainement un rôle pour savoir de quoi l avenir sera fait. Elles ont des conséquences sur la confidentialité des données stockées dans un nuage (cloud). Car il faut s attendre à ce que les entreprises fassent preuve à court terme de plus de prudence dans l utilisation des nuages, d autant plus que les grands prestataires sont des entreprises américaines soumises à l «US Patriot Act». Ces fournisseurs sont non seulement tenus de transmettre des données aux autorités américaines à la demande de celles-ci, mais il leur est aussi interdit d informer leurs clients des renseignements donnés. Compte tenu des grands potentiels d économies qu offrent les nuages, la réserve des entreprises ne sera que de courte durée. Cependant, elles devraient décider quelles données peuvent être stockées sans problème dans un nuage et lesquelles ne s y prêtent pas. Toutes les informations sensibles telles que les données des clients, les calculs de prix, les documents sur le savoir-faire et la propriété intellectuelle ne devraient pas être stockées dans un nuage. D un autre côté, cette situation ouvre de nouvelles opportunités commerciales à la Suisse, qui pourrait mettre à disposition des possibilités de stockage hautement sécurisées et cryptées pour les données des entreprises. La demande serait forte à l échelle internationale puisque ce type de stockage ne subirait aucune ingérence de la part des autorités. On observe d ailleurs que de nouveaux services de cloud computing sont déjà en cours de développement pour exploiter ce créneau. La position internationale de la Suisse ainsi que sa loi sur la protection des données favorisent une telle évolution. L étude «Defending yesterday, Key findings from The Global State of Information Security Survey 2014» peut être téléchargée dans son intégralité (en anglais) sur: Décembre 2013 Disclose 13

14 Yaron Blachman, technology and forensic leader de PwC, sur la criminalité organisée dans Internet, les possibilités du «dark Internet», la prise de conscience grandissante du risque par les entreprises et de nouvelles formes de lutte contre les cyberattaques «Les cyberattaques sont menées par des groupes, le crime organisé et des États.» Monsieur Blachman, quelle est la différence entre la sécurité de l information et la cybersécurité? La sécurité de l information n est pas nouvelle en soi. Elle est généralement considérée comme une affaire technique, une tâche du service informatique, qui a pour objectif de protéger l entreprise d un accès non autorisé à ses ordinateurs et données. La cybersécurité est un terme plus large. Les cyberattaques peuvent porter atteinte à l entreprise de diverses manières. Prenons le secteur pharmaceutique: le bien le plus précieux d une entreprise pharmaceutique est sa propriété intellectuelle, qui représente des années de recherches. Si ce bien est dérobé, elle perd d importantes sommes d argent. De nos jours, les membres de conseils d administration, les CEO et les CFO s intéressent aussi aux cyberattaques. Même s ils ne saisissent pas pleinement la portée du problème, ils ont conscience que c est important pour leur entreprise. Cela a-t-il permis d améliorer la sécurité des données? Ces quatre dernières années, le type de menace a fortement évolué. Bien sûr, il y a toujours eu des personnes qui voulaient nuire à une entreprise en lui dérobant de l argent, des informations ou des éléments de propriété intellectuelle, ou en lui portant atteinte d une autre manière. Mais depuis peu, ces personnes sont devenues plus compétentes sur le plan technique et plus rapides, et surtout elles se sont mieux organisées. Les systèmes d information étaient déjà menacés auparavant, cependant cette menace émanait généralement de personnes isolées et non pas de grands groupes organisés et financièrement puissants. Actuellement, les cyberattaques sont menées par des groupes, le crime organisé et des États. Les systèmes d information étant primordiaux pour la plupart des entreprises, leur menace est devenue une menace pour l entreprise elle-même. Elle représente un problème stratégique. La étude «Global State of Information Security Survey 2014» de PwC montre que le nombre d entreprises ayant subi un dommage de plus de 10 millions de dollars a augmenté de plus de la moitié l an passé. Ce n est pas rien. Oui, les attaques sont en hausse. En plus du vol de données, il y a aussi leur manipulation: par exemple, un pirate parvient à accéder au grand livre d une banque, et le solde d un compte ou le montant d un crédit sont modifiés, ou encore des comptes fictifs sont créés avec de gros montants qui sont ensuite retirés. L objectif d une cyberattaque peut être aussi de nuire à l entreprise en paralysant ses systèmes, et donc sa production, pendant quelques heures, voire des jours. Comment voyez-vous l avenir? Les conséquences des cyberattaques ne changeront vraisemblablement pas; mais comme la technologie évolue rapidement, les techniques d attaque vont continuer de se perfectionner. Il est difficile de prévoir tous les scénarios, mais il y aura probablement des méthodes encore plus élaborées. Par ailleurs, les smartphones deviennent l une des principales cibles des cyberattaques. Ils sont vulnérables car la sécurité n était pas la priorité première lors de leur conception. Dans un avenir plus lointain, les smartcards (avec des données biométriques telles que des empreintes digitales) seront visées par les attaques. Ces cartes sensées résoudre les problèmes de sécurité en créent aussi de nouveaux. Fabriquer une fausse smartcard permet de voler une identité. Et l identité devient alors un problème majeur pour l individu. Mais pour les entreprises, le vol et les pertes de données restent le problème principal. L ampleur de la menace évolue elle aussi. L étude «Global State of Information Security Survey 2014» que vous avez mentionnée montre que les incidents de sécurité survenus dans les banques entre 2012 et 2013 ont augmenté de 170%. Cette branche réunit davantage de données susceptibles d être volées, et les attaques sont de plus en plus raffinées. 14 Disclose Décembre 2013

15 Existe-t-il des différences entre les grandes et les petites entreprises, ou entre les branches? Certaines branches sont-elles moins attrayantes pour les pirates? Les ordinateurs offrent d innombrables possibilités aux pirates. Surtout parce que tout est automatisé, même les outils que les pirates utilisent. Les petites entreprises sont aujourd hui plus attrayantes pour eux, car ils supposent que les grandes entreprises ont des standards de sécurité plus élevés. Le dommage causé par chacune de ces attaques est certes moins important, mais les attaques sont plus nombreuses. De plus, les petites entreprises manquent souvent de moyens pour se protéger aussi efficacement que les grandes. l élimination des lacunes se fait à la hâte. L autre problème est la sphère privée. Pour respecter les lois et réglementations relatives à la protection des données, l entreprise doit savoir d abord précisément où les données sont stockées dans son système. Puis elle doit évaluer si, et sous quelles conditions, elles peuvent être enregistrées dans un nuage. Mais la plupart des entreprises ne savent même pas de quelles données elles disposent, ni où elles sont stockées. Certes, elles savent qu elles possèdent des données dont l accès est restreint, mais elles ignorent parfois où elles se trouvent. C est pourquoi beaucoup de nos clients revoient leur protection des données sous un angle stratégique: ils classifient les données en fonction de leur caractère sensible et les enregistrent de manière adéquate. Les entreprises ont-elles généralement conscience du problème? La prise de conscience est en nette augmentation, mais des différences existent: certaines entreprises s aperçoivent, grâce à leur monitoring, qu elles sont attaquées; d autres sont attaquées mais ne disposent pas des mesures de sécurité leur permettant de détecter l attaque et se croient même en sécurité. Il devient plus complexe, et donc plus coûteux pour les entreprises, de mettre en place une protection adéquate. Cela ne vaut d ailleurs pas que pour les PME, mais aussi pour les grandes entreprises. Ces difficultés ont donné naissance à une nouvelle tendance: de très grandes entreprises ont commencé à collaborer pour traiter les questions des cybermenaces. Pour la toute première fois, des banques ont même échangé des informations sur des techniques d attaque et des incidents de sécurité réels. La plupart des grandes banques suisses le font aujourd hui. De tels échanges auraient été impensables auparavant, pourtant ils sont utiles. Car lorsqu un pirate parvient à attaquer une banque, la prochaine est déjà sur sa liste. Par des échanges d informations, les banques peuvent rendre plus compliquée la répétition d une attaque. Il ressort de notre nouvelle étude que 55% de nos clients du secteur financier échangent entre eux des données à l échelle mondiale. Il y a encore quelques années, ce pourcentage était proche du zéro. Quelle sécurité offre le cloud computing? Quels sont les défis juridiques? Depuis les débuts du cloud computing, de nouveaux procédés sont créés tous les mois pour ce type de stockage des données. Le plus souvent, l accent est mis sur la réduction des coûts et la souplesse opérationnelle, mais pas sur la sécurité. C est là l un des problèmes: Cela nécessite certainement de l expertise dans de nombreux domaines. Et une bonne connaissance de l entreprise. Tout à fait, et c est extrêmement difficile. PwC s est depuis toujours intéressée aux questions de protection des données. Plus récemment, elle continue à le faire de manière encore plus concentrée dans le Cyber Security Centre of Excellence (cf. l encadré de la page 16). Yaron Blachman est responsable de la technologie et l investigation chez PwC Israël et dirige le Cyber Security Centre of Excellence de PwC à Tel-Aviv. Il a étudié l informatique et les sciences de l ingénierie. Avant de rejoindre PwC, il y a 13 ans, il travaillait pour un cabinet de consultants en tant que responsable des questions de sécurité gouvernementale. Il avait passé auparavant six ans dans l armée de l air israélienne, en tant qu officier chargé d activités de renseignement. Depuis son embauche chez PwC, Yaron Blachman a passé la majorité de son temps en Israël, mais il a aussi travaillé pendant trois ans dans la Silicon Valley. Décembre 2013 Disclose 15

16 Vous avez aussi accès à ce que l on appelle le «dark Internet» (le monde parallèle ou la face cachée du Net): comment parvenez-vous à découvrir ce que savent les «méchants»? Le «dark Internet» contient les sites qu aucun moteur de recherche ne peut trouver. Il faut savoir précisément où l on doit chercher. Certains l utilisent pour des raisons de protection des données et n ont aucun dessein criminel; mais la plupart s en servent pour vendre des services illégaux, des informations dérobées, des outils de piratage ou des accès illégaux à des serveurs. Il existe également des prestataires qui surveillent ce que les «méchants» savent sur certaines cibles. Découvrir quels sont les prestataires dignes de confiance exige un travail de longue haleine. Nous observons nous aussi les «méchants». En complétant notre activité de prévention par des informations que nous achetons auprès de sources fiables, nous sommes en mesure de nous faire une image très précise du savoir dont les malfaiteurs disposent sur un client. Ce savoir surprend bien souvent les grandes entreprises persuadées d être bien protégées et de pouvoir détecter chaque attaque qui passerait au travers des mailles de leur défense. Les grandes entreprises sont souvent vulnérables parce qu elles ne se composent pas d une seule unité. Il y a des acquisitions, des projets d intégration, des cultures différentes et des niveaux de sécurité différents. Lorsqu on regarde une telle structure de l extérieur, il n est pas rare de trouver un accès. De plus, le piratage n est souvent même pas nécessaire pour y pénétrer, car il arrive fréquemment que des identifiants et mots de passe d utilisateurs soient en vente sur le «dark Internet». Cela laisse sans voix certains dirigeants, mais lorsque nous leur montrons notre rapport, ils prennent rapidement conscience de la nécessité d initier des mesures. Ne faut-il pas d abord qu un incident ait lieu? Aucune entreprise pensant être en sécurité ne vous mandatera pour effectuer un audit? Jusqu à il y a un an et demi, les entreprises venaient habituellement nous consulter après un incident. Maintenant, elles veulent de plus en plus un contrôle général de leur cybersécurité. Un exemple illustre bien cette tendance: en Grande-Bretagne, PwC organise tous les mois des rencontres pour les cadres non membres de l exécutif, afin de discuter de la cybersécurité. Il y a deux ans, cinq ou six personnes y participaient. Cette année, elles sont 200 en moyenne. Bien sûr, le sujet est aussi très présent dans les médias. À cause de ce battage médiatique, certains clients réagissent de manière exagérée, tandis que d autres continuent de sous-esti- mer les risques. Selon moi, les clients doivent simplement considérer la cybersécurité comme un risque d entreprise qui doit être traité en tant que tel. En évaluant correctement le risque et en investissant dans des mesures appropriées de réduction des risques, l entreprise peut le maintenir à un niveau acceptable. Qui sont les «méchants»? Des personnes très différentes. On doit aussi inclure les États les préférés des médias. La NSA, les Chinois Concernant la NSA, les avis divergent... Mon avis sur ce point est très clair: toute personne qui vole des informations, qui se procure un accès sans autorisation, est un «méchant», même s il s agit d un État. Les États sont très actifs, disposent de nombreuses ressources et ils réussissent. Mais les malfaiteurs les plus actifs sont à chercher du côté du crime organisé. L argent est-il leur motivation? Oui, mais cela peut aussi signifier que quelqu un se fait payer pour pénétrer dans les systèmes d une entreprise. Les cas d entreprises qui font cela à leurs concurrents ont augmenté l année passée. Le Cyber Security Centre of Excellence de PwC, à Tel-Aviv, est dirigé par Yaron Blachman et existe depuis près de trois ans. Environ 20 collaborateurs de longue date de PwC, experts en sécurité de l information, cyberintelligence, analyse des données et droit privé y travaillent. Le centre effectue des recherches sur de nouveaux outils et méthodologies, et sur leur évolution. PwC les applique ensuite à l échelle mondiale. Les prestations pour une clientèle internationale représentent 75% de l activité globale. Elles nécessitent de connaître la stratégie d entreprise des clients, d analyser et de comprendre les données ainsi que leur utilisation, transmission et stockage. De plus, des connaissances approfondies des réglementations pertinentes sont indispensables. Le centre est établi en Israël car ce pays dispose d une expertise internationalement reconnue en matière de sécurité de l information, qui a été obtenue en grande partie en collaboration avec l armée israélienne. Le secteur israélien des logiciels sur la sécurité de l information est à la pointe de la technologie. 16 Disclose Décembre 2013

17 Vous faites référence à la Chine, n est-ce pas? Pas seulement. Des cas existent aussi en Suisse et en Europe. Le piratage permet d espionner facilement une entreprise, de voir par exemple tous ses documents marketing avant leur publication. Tout dépend de la branche, mais ces cas se multiplient. Il est également courant que les terroristes aient recours à des cyberméthodes pour lever des fonds et collecter des informations sur les entreprises qu ils visent. Puis il y a la «famille des hackers»: il s agit d individus hautement qualifiés ou d équipes de deux ou trois personnes qui dérobent de l argent partout où l opportunité se présente généralement de petites sommes pour les entreprises concernées, mais considérables pour eux. Il existe par ailleurs le vol d informations qui se fait par la diffusion de programmes malveillants. Aucune cible spécifique n est alors visée, mais dès qu un malware infecte un ordinateur, toutes ses opérations et informations sont enregistrées sur les serveurs des pirates. Les données enregistrées peuvent être vendues. Une personne souhaite peut-être acheter aux pirates les identifiants ou les mots de passe utilisateurs d une banque en particulier. En Russie, un site a été créé récemment sur le «dark Internet», qui liste environ 300 des entreprises du classement Fortune 500. Pour quelques dollars par jour, on peut accéder aux ordinateurs de cette organisation en réseau. Voilà les «méchants», auxquels les entreprises sont confrontées, et leur motivation est généralement d ordre financier. Travaillez-vous principalement pour des entreprises? Nos clients viennent de tous les secteurs, mais la plupart sont des entreprises privées ou publiques qui ont beaucoup à perdre et veulent vraiment se protéger. Nous travaillons également pour les autorités, les autorités militaires, les ONG en fait, presque pour tout le monde. Quelques gouvernements font aussi appel à nous. Mais presque toujours pour un domaine très limité, dans lequel nous possédons l expertise dont ils ont besoin. Les gouvernements essaient de régler eux-mêmes tout ce qui est très sensible. Suisse, nous les associons à une prestation de «cyberintelligence» qui nous permet de trouver quelles informations sur le client circulent dans le «dark Internet». La plupart de nos prestations de pointe ne sont plus de simples audits de sécurité, mais ont pour objectif de protéger nos clients et de leur dispenser des conseils stratégiques. Qu en est-il des médias sociaux? Les réseaux sociaux évoluent en dehors du contrôle de l entreprise. Chacun est libre de mettre en ligne ce qu il souhaite. Cela peut porter atteinte à une entreprise, même si l information est erronée. Contrairement aux incidents de sécurité, dans ces cas-là, une réaction des Relations publiques est requise. L entreprise doit réagir publiquement. Mais lorsqu une rumeur se propage, il est très difficile, même lorsqu elle est fausse, de lui tordre le cou. Jusqu à quel point peut-on garantir la sécurité des données d une entreprise? Jusqu à un très haut degré, mais jamais à 100%. Le seul moyen de protéger complètement un système informatique est de l arrêter et de débrancher tous les câbles. La protection s avère alors optimale, mais le système est inutile. Ce qu il faut, c est identifier les risques et les limiter à un niveau raisonnable. Toutes les données n ont pas la même importance. C est donc le caractère plus ou moins sensible des données qui détermine le niveau de protection? Oui, c est l élément déterminant. L entreprise doit classifier ses données et les protéger convenablement. De nombreuses entreprises sécurisent tous leurs systèmes de la même manière, ce qui n est pas très efficace. Je connais le cas d une entreprise qui dépensait chaque mois des milliers de dollars pour sécuriser un système dont la seule fonction était d imprimer des coupons-repas pour le personnel. Appliquez-vous une approche standard dans votre travail? Pour la fourniture de la prestation en soi, oui. Mais il s agit tout d abord de déterminer de quelles prestations le client a besoin. PwC effectue depuis des années des audits de sécurité. Nous avons étendu ces contrôles, qui sont maintenant des audits sur la cybersécurité. En Quels messages-clés souhaitez-vous faire passer sur la cybersécurité? Premièrement: pas de panique à l évocation du mot «cyber»! Deuxièmement: on doit identifier la menace pour savoir de quoi se protéger. Alors, seulement, il est possible de mettre sur pied la bonne défense et les processus adaptés qui garantissent une protection optimale. Décembre 2013 Disclose 17

18 La protection des données est l affaire de tous L Union européenne élabore une réforme de son cadre de la protection des données qui contient, entre autres, la proposition d un «règlement relatif à la protection des personnes physiques à l égard du traitement des données à caractère personnel et à la libre circulation de ces données». En Suisse aussi, une révision de la loi sur la protection des données est prévue et elle tiendra compte des évolutions de l UE. La loi fédérale sur la protection des données protège les droits fondamentaux des personnes physiques et morales qui font l objet d un traitement de données. Le terme «traitement» doit être pris au sens large: il désigne toutes les étapes du traitement, de la collecte à la transmission des données, en passant par leur enregistrement. D autres problèmes se posent en fonction du type de traitement. De plus, les exigences juridiques reflètent les valeurs et systèmes juridiques spécifiques à chaque pays. Des différences existent lorsqu il s agit, par exemple, de qualifier de «sensibles» des données, ou quand une collecte de données touche à certains domaines particuliers de la vie sociale comme le travail. Compte tenu des lois nationales du droit du travail et des différences dans la protection du travailleur, le niveau de protection des données de collaborateurs varie d un pays à l autre. Des défis particuliers se posent en cas de transmission transfrontalière de données personnelles et lorsqu il n existe pas le même niveau de protection des données entre le pays émetteur et le pays destinataire. Cependant, l internationalisation croissante et la mise en réseau mondiale impliquent des échanges de données toujours plus importants. Avec les progrès technologiques, un simple «clic» suffit pratiquement pour déplacer d un lieu à l autre des volumes considérables de données. Il n est pas toujours garanti que les droits des individus dont les données sont concernées par le transfert soient respectés et protégés. Du fait de l évolution technologique de notre société de l information, les personnes concernées désireuses de savoir où est effectué le traitement des données et par qui auront toujours plus de mal à trouver une réponse. Les big data constituent l un des nouveaux défis de ces dernières années. Elles désignent le traitement ultrarapide d immenses volumes de données provenant de différentes sources. Cette évolution s accélère encore du fait de la génération plus automatisée des données. Sont traités les protocoles de liaison des télécommunications, les accès saisis sur le Web, les résultats de lecteurs qui permettent l identification et la localisation automatiques d objets et d êtres humains, ainsi que les activités de caméras, microphones et autres capteurs. Les big data trouvent une application dans de nombreux domaines, notamment dans le secteur énergétique (données de consommation) ou dans le domaine de la santé. La création de big data ouvre de nouveaux horizons sur la manière de traiter les données. Car l immense montagne de données permet d obtenir un volume d informations jusqu ici impossible. Grâce aux big data, les commerçants espèrent par exemple se faire une image plus précise des besoins de leurs clients. Les compagnies d assurances essaient de mieux calculer le risque d assurance et de proposer ainsi des produits plus rentables et mieux adaptés. Comme partout où les évolutions sociales et technologiques sont fulgurantes, la législation peine à suivre ces nouveaux défis et est aussi à la traîne en matière de protection des données. Autrement dit: l évolution technologique est depuis toujours le moteur des initiatives légales sur la protection des données à caractère personnel. Actuellement, l Union européenne, mais aussi la Suisse ont entrepris de réformer la législation sur la protection des données. 18 Disclose Décembre 2013

19 Réforme européenne complète La commissaire européenne Viviane Reding a présenté en janvier 2012 un train de réformes visant à remplacer l actuelle directive de protection des données de La proposition contient notamment un règlement directement applicable par tous les États membres, qui met l accent sur la protection de la sphère privée dans Internet. Tous les citoyens doivent avoir le «droit à l oubli», c est-à-dire qu ils doivent pouvoir faire effacer leurs données par le prestataire Internet lorsqu il n existe aucune raison valable de les conserver. Par ailleurs, ils doivent pouvoir faire valoir leur «droit à la portabilité des données» et transférer leurs données plus facilement qu aujourd hui en cas de changement de prestataire. En contrepartie, les propositions de réforme de la Commission européenne prévoient pour les entreprises une baisse des charges administratives liées à la protection des données. Jusqu à présent, les entreprises Rauno Hoffmann Senior Manager, Conseil fiscal et juridique étaient tenues d appliquer les réglementations nationales de chaque pays dans lequel elles opéraient; elles étaient donc soumises à diverses autorités de protection des données. Afin d améliorer la sécurité juridique, les entreprises devraient à l avenir n avoir plus qu un interlocuteur, un «guichet unique», dans le pays où elles ont leur siège (principe du «one stop shop»). Pour les faits transfrontaliers, la Commission européenne propose une «procédure de cohérence» visant à garantir la coordination et la collaboration efficace et rapide de plusieurs autorités de protection des données. Effet extraterritorial La proposition de réforme de la Commission européenne impose à toutes les entreprises opérant au sein de l UE de respecter les directives prévues. Cette obligation générerait un effet extraterritorial qui conduirait aussi les entreprises hors Union européenne à appliquer le droit européen. Le règlement doit également s appliquer lorsque des entreprises deviennent actives dans l UE sans pour autant s y établir. Il suffit déjà qu une société domiciliée en dehors des frontières européennes propose des biens ou des services à des personnes de l UE, ou qu elle observe ces personnes et leurs activités par exemple via un suivi en ligne (online-tracking). L objectif est de garantir la protection des données à caractère personnel sur tout le territoire européen et d exiger des entreprises non européennes, qui entretiennent un lien avec l UE, le respect du droit européen applicable à la protection des données. L effet extraterritorial et l applicabilité directe d un règlement dans tous les États de l UE auraient aussi d autres conséquences. La concurrence acharnée des sites en matière de législation sur la protection des données n aurait plus lieu d être. Les groupes de l Internet non européens qui espèrent tirer profit d un «siège européen» dans des pays ayant une législation moins sévère sur la protection des données (l Irlande par exemple) perdraient un tel «privilège». Il n est donc pas étonnant que ce projet de réforme fasse l objet d un lobbying intensif. Certains pays membres, à l instar de la Grande-Bretagne, demandent eux aussi une solution moins centralisée. Ils souhaitent que Décembre 2013 Disclose 19

20 l UE n édicte (comme jusqu à présent) qu une directive qui permettrait aux États membres de transposer les règles plus librement, plutôt qu un règlement dont les prescriptions s appliquent directement à tous les membres. Environ 4000 amendements ont été déposés auprès du Parlement européen jusqu à l été dernier. Il n est donc pas certain que le train de réformes soit adopté dans sa forme actuelle avant les élections du Parlement européen, au printemps prochain. Mais la proposition de règlement aura au moins permis de franchir un important obstacle législatif fin octobre, lorsque la commission des libertés et des droits des citoyens, de la justice et des affaires intérieures du Parlement européen a donné son mandat pour les négociations du Parlement européen avec le Conseil des ministres. Des amendes plus élevées en Suisse Dès que la réforme européenne du cadre de la protection des données sera achevée, le Conseil fédéral s attèlera à la révision de la loi suisse sur la protection des données (LPD). Une évaluation effectuée en 2010 a permis d établir que la LPD dispose en soi de suffisamment d instruments, mais qu ils sont trop peu utilisés. La loi sur la protection des données n a pas été employée de manière assez offensive. Les dispositions relatives à la protection des données n ont pratiquement jamais donné lieu à des actions en justice à l encontre notamment d entreprises privées chargées du traitement des données. Et les rares fois où celles-ci ont été poursuivies pour atteinte aux droits de la personnalité, les amendes infligées étaient trop faibles pour avoir un effet préventif. Des sanctions plus sévères sont prises dans d autres domaines (par exemple le droit des cartels ou le droit pénal de la corruption); les fortes amendes prévues conduisent les entreprises à mieux respecter les règles. C est pourquoi le Conseil fédéral a annoncé un relèvement des amendes encourues en cas d infractions liées à la protection des données. Il souhaite en outre renforcer la position du Préposé fédéral à la protection des données et à la transparence (PFPDT) et lui donner davantage de compétences. La conformité en matière de protection des données n est pas un obstacle insurmontable Dans toutes les entreprises, des données personnelles sont traitées, ne serait-ce que dans le cadre de l administration du personnel. Si la législation sur la protection des données revêt davantage d importance pour la branche des communications et de l Internet et pour les prestataires financiers, la LPD s applique néanmoins à toutes les entreprises. La conformité en matière de protection des données n est pas un obstacle insurmontable. Elle peut être obtenue de manière efficace et efficiente, conformément aux principes de protection des données, par un inventaire précis de son propre traitement des données. Le site Internet du PFPDT fournit des aides et informations intéressantes en la matière. Le responsable de la protection des données devrait participer à toutes les décisions de l entreprise importantes pour la protection des données. Il est conseillé, dans un premier temps, de répertorier tous les fichiers existant dans l entreprise. Les bases et traitements de données ainsi obtenus doivent être analysés sous l angle de la protection des données, et il faut clarifier s il y a obligation de déclarer des fichiers au PFPDT. Lors de cette évaluation, il convient aussi d établir si des données sont transmises à des tiers (en font partie aussi les autres sociétés du groupe) ou transférées dans d autres pays. Avant de transmettre des données personnelles vers l étranger, le maître du fichier doit s assurer que le niveau de protection des données dans le pays destinataire est adéquat. Si le PFPDT a déjà procédé à une évaluation correspondante, on peut s appuyer sur ses vérifications. Le PFPDT a publié une liste d États offrant selon lui un niveau de protection des données adéquat. Quand le pays destinataire n atteint pas un niveau de protection suffisant, le transfert n est permis que si des garanties contractuelles permettent d assurer un niveau de protection adéquat, ou si la personne concernée a donné son consentement. Le PFPDT doit être tenu informé des garanties contractuelles. Il faut ensuite suivre l évolution sur le long terme et garantir une protection efficace des données. Pour cela, il est recommandé de désigner une personne chargée de veiller au respect de la protection des données ou, dans les grandes entreprises, de nommer un responsable de la protection des données interne ou externe. Celui-ci devrait avoir accès à tous les fichiers et traitements de données ainsi qu à l ensemble des informations. Il devrait aussi participer à toutes les décisions de l entreprise importantes pour la protection des données. C est en effet la seule manière pour lui de mener à bien sa mission. 20 Disclose Décembre 2013

> livre blanc. Mettez-vous vos données et celles de vos clients en danger?

> livre blanc. Mettez-vous vos données et celles de vos clients en danger? > livre blanc Mettez-vous vos données et celles de vos clients en danger? QU EST-CE QUE CELA SIGNIFIE? VOTRE ENTREPRISE N EST PAS TROP GRANDE NI TROP PETITE POUR ÊTRE PIRATÉE Revenons dix ans en arrière,

Plus en détail

Pour bien commencer avec le Cloud

Pour bien commencer avec le Cloud Pour bien commencer avec le Cloud Pour s informer sur les solutions et les services du Cloud Pour déterminer si le Cloud correspond à vos besoins Pour bien initialiser votre démarche vers le Cloud I -

Plus en détail

10 conseils infaillibles pour garantir la sécurité de votre activité. your

10 conseils infaillibles pour garantir la sécurité de votre activité. your 10 conseils infaillibles pour garantir la sécurité de votre activité on en keep top your 10 conseils infaillibles pour garantir la sécurité de votre activité Avec l évolution et le développement constant

Plus en détail

Sécurité sur le web : protégez vos données dans le cloud

Sécurité sur le web : protégez vos données dans le cloud Livre blanc Sécurité sur le web : protégez vos données dans le cloud Présentation Les équipes de sécurité ne peuvent pas être partout, et pourtant le contexte actuel exige des entreprises qu elles protègent

Plus en détail

Trois entreprises sur cinq souffrent d une infrastructure informatique inadaptée

Trois entreprises sur cinq souffrent d une infrastructure informatique inadaptée L environnement commercial actuel présente à la fois d innombrables opportunités et de multiples risques. Cette dichotomie se révèle dans le monde de l informatique (et dans les conseils d administration

Plus en détail

Déterminer quelle somme dépenser en matière de sécurité des TI

Déterminer quelle somme dépenser en matière de sécurité des TI Déterminer quelle somme dépenser en matière de sécurité des TI Un InfoDossier d IDC 2015 Introduction Les organisations peinent à déterminer quelle somme dépenser en matière de sécurité des TI, un investissement

Plus en détail

Stratégie nationale en matière de cyber sécurité

Stratégie nationale en matière de cyber sécurité Stratégie nationale en matière de cyber sécurité 1 INTRODUCTION Le fonctionnement de notre société est aujourd hui étroitement lié aux infrastructures et systèmes de communication et de traitement de l

Plus en détail

SERVICES DE RENSEIGNEMENTS ET DE SÉCURITÉ

SERVICES DE RENSEIGNEMENTS ET DE SÉCURITÉ COMITÉ PERMANENT DE CONTRÔLE DES SERVICES DE RENSEIGNEMENTS ET DE SÉCURITÉ Enquête de contrôle 2007.181 Conclusions et recommandations de l enquête sur la manière dont les services belges de renseignement

Plus en détail

The Arab Cloud Computing Study Days Tunis- Tunisia 4-5 December 2014. M elle Rafia BARKAT. Chargée d Etudes Experte

The Arab Cloud Computing Study Days Tunis- Tunisia 4-5 December 2014. M elle Rafia BARKAT. Chargée d Etudes Experte The Arab Cloud Computing Study Days Tunis- Tunisia 4-5 December 2014 M elle Rafia BARKAT Chargée d Etudes Experte Quels sont les avantages du Cloud Computing? Quels sont les risques et les principales

Plus en détail

Protéger l expérience client contre les attaques par déni de service distribué (attaques par DDOS)

Protéger l expérience client contre les attaques par déni de service distribué (attaques par DDOS) Une étude personnalisée de la série Technology Adoption Profile commandée par Bell Canada Juin 2014 Protéger l expérience client contre les attaques par déni de service distribué (attaques par DDOS) Introduction

Plus en détail

Ready? Or not? Comparer les opportunités de demain et les risques futurs. Une enquête mondiale sur les tendances en termes de sécurité informatique.

Ready? Or not? Comparer les opportunités de demain et les risques futurs. Une enquête mondiale sur les tendances en termes de sécurité informatique. Ready? Or not? Comparer les opportunités de demain et les risques futurs. Une enquête mondiale sur les tendances en termes de sécurité informatique. Be Ready for What s Next. kaspersky.com/fr/beready Sommaire

Plus en détail

I-Checkit est l outil dont les services chargés de l application de la loi ont besoin au 21 ème siècle pour mettre au jour et neutraliser les réseaux

I-Checkit est l outil dont les services chargés de l application de la loi ont besoin au 21 ème siècle pour mettre au jour et neutraliser les réseaux INTERPOL I-Checkit Pour votre sécurité I-Checkit est l outil dont les services chargés de l application de la loi ont besoin au 21 ème siècle pour mettre au jour et neutraliser les réseaux criminels et

Plus en détail

LES AVANTAGES DU CLOUD

LES AVANTAGES DU CLOUD 1 INTRODUCTION Toutes les entreprises ont un point en commun : la volonté d accroître leurs revenus et leur productivité. Mais beaucoup d entreprises ne profitent pas des ressources à leur disposition

Plus en détail

La France, un pays où les cyberattaques ont davantage augmenté en 2015 que dans le reste du monde

La France, un pays où les cyberattaques ont davantage augmenté en 2015 que dans le reste du monde Direction Communication 63 rue de Villiers, 92200 Neuilly-sur-Seine Tél. 01 56 57 58 59 Communiqué de presse Contact : PwC, Hélène Coulbault, 01 56 57 88 26, helene.coulbault@fr.pwc.com Neuilly-sur-Seine,

Plus en détail

LIVRE BLANC. Mise en œuvre d un programme efficace de gestion des vulnérabilités

LIVRE BLANC. Mise en œuvre d un programme efficace de gestion des vulnérabilités Mise en œuvre d un programme efficace de gestion des vulnérabilités Sommaire Les défis de la gestion des vulnérabilités 3 Identification des principales faiblesses 3 Développement d un programme efficace

Plus en détail

Exigences de contrôle pour les fournisseurs externes

Exigences de contrôle pour les fournisseurs externes Exigences de contrôle pour les fournisseurs externes Cybersécurité Pour les fournisseurs à cyber-risque faible Exigences de cybersécurité 1. Protection des actifs et configuration des systèmes Les données

Plus en détail

-------------------------------------------------------------------------------------------------------------

------------------------------------------------------------------------------------------------------------- En bref : En moyenne, un tiers environ des salariés voyagent régulièrement dans le cadre de leur travail. Seule une entreprise sur trois, cependant, prépare ces déplacements professionnels au moyen de

Plus en détail

DOCUMENT DE TRAVAIL DES SERVICES DE LA COMMISSION RÉSUMÉ DE L'ANALYSE D'IMPACT. accompagnant le document: Recommandation de la Commission

DOCUMENT DE TRAVAIL DES SERVICES DE LA COMMISSION RÉSUMÉ DE L'ANALYSE D'IMPACT. accompagnant le document: Recommandation de la Commission COMMISSION EUROPÉENNE Bruxelles, le 14.7.2014 SWD(2014) 233 final DOCUMENT DE TRAVAIL DES SERVICES DE LA COMMISSION RÉSUMÉ DE L'ANALYSE D'IMPACT accompagnant le document: Recommandation de la Commission

Plus en détail

MISE EN OEUVRE D UNE ARCHITECTURE D ANALYSE PRÉDICTIVE DE LA SÉCURITÉ

MISE EN OEUVRE D UNE ARCHITECTURE D ANALYSE PRÉDICTIVE DE LA SÉCURITÉ MISE EN OEUVRE D UNE ARCHITECTURE D ANALYSE PRÉDICTIVE DE LA SÉCURITÉ Présentation de solution RÉSUMÉ Les nouvelles menaces de sécurité nécessitent une nouvelle approche de la gestion de la sécurité. Les

Plus en détail

Transcription médicale: comment faire le bon choix

Transcription médicale: comment faire le bon choix Transcription médicale: comment faire le bon choix La réduction des coûts et l optimisation des investissements sont des préoccupations majeures pour tout entrepreneur qui se respecte. À travers ce document,

Plus en détail

politique de la France en matière de cybersécurité

politique de la France en matière de cybersécurité dossier de presse politique de la France en matière de cybersécurité 20 février 2014 Contact presse +33 (0)1 71 75 84 04 communication@ssi.gouv.fr www.ssi.gouv.fr Sommaire L ANSSI L ANSSI en chiffres Le

Plus en détail

NOTE D INFORMATION. Conseils sur l autoévaluation en matière de cybersécurité

NOTE D INFORMATION. Conseils sur l autoévaluation en matière de cybersécurité Date : Le 28 octobre 2013 NOTE D INFORMATION Destinataires : Institutions financières fédérales Objet : Conseils sur l autoévaluation en matière de cybersécurité Les cyberattaques sont de plus en plus

Plus en détail

SERVICES D INFOGERANCE SECURITE DE SYMANTEC. Fournir les informations pertinentes et opérationnelles pour la sécurité de votre entreprise

SERVICES D INFOGERANCE SECURITE DE SYMANTEC. Fournir les informations pertinentes et opérationnelles pour la sécurité de votre entreprise SERVICES D INFOGERANCE SECURITE DE SYMANTEC Fournir les informations pertinentes et opérationnelles pour la sécurité de votre entreprise L adoption d une stratégie de sécurité efficace commence par un

Plus en détail

Management de la sécurité des technologies de l information

Management de la sécurité des technologies de l information Question 1 : Identifiez les causes d expansion de la cybercriminalité Internet est un facteur de performance pour le monde criminel. Par sa nature même et ses caractéristiques, le monde virtuel procure

Plus en détail

Guide de planification de la transition d entreprise

Guide de planification de la transition d entreprise Guide de planification de la transition d entreprise Votre conseiller de confiance Depuis plus de 100 ans, des générations de Canadiens comptent sur le savoir-faire des conseillers PME CIBC pour gérer

Plus en détail

Sécurité. Tendance technologique

Sécurité. Tendance technologique Sécurité Tendance technologique La sécurité englobe les mécanismes de protection des données et des systèmes informatiques contre l accès, l utilisation, la communication, la manipulation ou la destruction

Plus en détail

TRIBUNE BRAINWAVE GOUVERNANCE ET SéCURITé. Shadow IT, la menace fantôme. Une tendance irréversible mais pas dénuée de risques.

TRIBUNE BRAINWAVE GOUVERNANCE ET SéCURITé. Shadow IT, la menace fantôme. Une tendance irréversible mais pas dénuée de risques. TRIBUNE BRAINWAVE GOUVERNANCE ET SéCURITé Shadow IT, la menace fantôme Une tendance irréversible mais pas dénuée de risques. Par Sébastien Faivre Chief Marketing Officer de Brainwave Shadow IT, la menace

Plus en détail

Risques liés aux systèmes informatiques et de télécommunications

Risques liés aux systèmes informatiques et de télécommunications Risques liés aux systèmes informatiques et de télécommunications (Juillet 1989) La vitesse de l innovation technologique liée aux ordinateurs et aux télécommunications, ces dernières années, et l intégration

Plus en détail

Une nouvelle enquête montre un lien entre l utilisation du Cloud Computing et une agilité accrue de l entreprise ainsi qu un avantage concurentiel.

Une nouvelle enquête montre un lien entre l utilisation du Cloud Computing et une agilité accrue de l entreprise ainsi qu un avantage concurentiel. un rapport des services d analyse de harvard business review L agilité de l entreprise dans le Cloud Une nouvelle enquête montre un lien entre l utilisation du Cloud Computing et une agilité accrue de

Plus en détail

Surveillance de réseau : un élément indispensable de la sécurité informatique

Surveillance de réseau : un élément indispensable de la sécurité informatique Surveillance de réseau : un élément indispensable de la sécurité informatique Livre Blanc Auteur : Daniel Zobel, Responsable Developpement Logiciel, Paessler AG Publication : juillet 2013 PAGE 1 SUR 8

Plus en détail

Prise en compte des nouvelles technologies dans les risques d audit

Prise en compte des nouvelles technologies dans les risques d audit DES COLLECTIVITÉS PUBLIQUES LATINES Prise en compte des nouvelles technologies dans les risques d audit SEPTEMBRE 2013 1 AGENDA 1. Contexte réglementaire 2. Objectifs de l audit 3. Nouvelle technologies

Plus en détail

Club des Experts de la Sécurité de l Information et du Numérique

Club des Experts de la Sécurité de l Information et du Numérique Club des Experts de la Sécurité de l Information et du Numérique Cybersécurité dans les entreprises 9 ème Entretiens de Télécom ParisTech Alain Bouillé Président du CESIN Sommaire 1. Quel terrain de jeu

Plus en détail

Vulnérabilités et cybermenaces des SI modernes

Vulnérabilités et cybermenaces des SI modernes Vulnérabilités et cybermenaces des SI modernes CNIS Event, 1 er juillet 2014 Frédéric Connes Frederic.Connes@hsc.fr 1/16 Plan! Caractéristiques des SI modernes! Recours de plus en plus fréquent au cloud

Plus en détail

Enquête Unisys Security Insights : 2015 Point de vue des consommateurs français

Enquête Unisys Security Insights : 2015 Point de vue des consommateurs français L opinion des consommateurs français sur : Le niveau de sécurité des données personnelles pour chaque industrie Les organisations collectant des données personnelles via les appareils connectés Les recherches

Plus en détail

SERVICES GÉRÉS DE SÉCURITÉ (MSS)

SERVICES GÉRÉS DE SÉCURITÉ (MSS) SERVICES GÉRÉS DE SÉCURITÉ (MSS) L INITIATIVE EN CYBERSÉCURITÉ La cybercriminalité devient un facteur important pour les chefs de l information, les professionnels en TI, mais aussi pour les chefs des

Plus en détail

Outsourcing : la sauvegarde en ligne des données de l entreprise.

Outsourcing : la sauvegarde en ligne des données de l entreprise. Outsourcing : la sauvegarde en ligne des données de l entreprise. Sur quels marchés votre entreprise de Sauvegarde en Ligne évolue t elle? Dans un contexte de montée en puissance de l insécurité, les solutions

Plus en détail

La situation du Cloud Computing se clarifie.

La situation du Cloud Computing se clarifie. Résumé La situation du Cloud Computing se clarifie. Depuis peu, le Cloud Computing est devenu un sujet brûlant, et à juste titre. Il permet aux entreprises de bénéficier d avantages compétitifs qui leur

Plus en détail

Solutions de sécurité des données Websense. Sécurité des données

Solutions de sécurité des données Websense. Sécurité des données Sécurité des données Data Security Suite Data Discover Data Monitor Data Protect Data Endpoint Solutions de sécurité des données Sécurité des Données: l approche de permet d assurer l activité de l entreprise

Plus en détail

Passer de l ISO 9001:2008 à l ISO 9001:2015

Passer de l ISO 9001:2008 à l ISO 9001:2015 ISO 9001 Guide de transition Révisions ISO Passer de l ISO 9001:2008 à l ISO 9001:2015 La nouvelle norme internationale pour les systèmes de management de la qualité ISO 9001 - Système de Management de

Plus en détail

Stratégies gagnantes pour les prestataires de services : le cloud computing vu par les dirigeants Dossier à l attention des dirigeants

Stratégies gagnantes pour les prestataires de services : le cloud computing vu par les dirigeants Dossier à l attention des dirigeants Dossier à l attention des dirigeants Centres d évaluation de la technologie inc. Le cloud computing : vue d ensemble Les sociétés de services du monde entier travaillent dans un environnement en pleine

Plus en détail

COMITE EUROPEEN POUR LES PROBLEMES CRIMINELS (CDPC)

COMITE EUROPEEN POUR LES PROBLEMES CRIMINELS (CDPC) Strasbourg, 14 mai 2004 MONEYVAL (2004)6 Res COMITE EUROPEEN POUR LES PROBLEMES CRIMINELS (CDPC) COMITE RESTREINT D'EXPERTS SUR L'EVALUATION DES MESURES DE LUTTE CONTRE LE BLANCHIMENT DE CAPITAUX (MONEYVAL)

Plus en détail

La sécurité intelligente intégrée pour protéger vos données critiques

La sécurité intelligente intégrée pour protéger vos données critiques IBM Software Livre blanc sur le leadership éclairé Avril 2013 La sécurité intelligente intégrée pour protéger vos données critiques Exploitez des informations décisionnelles afin de réduire les risques

Plus en détail

Sécurité informatique : sensibiliser votre personnel

Sécurité informatique : sensibiliser votre personnel En bref : Les politiques strictes de sécurité informatique et les avancées techniques ne suffisent pas à elles seules à assurer la protection des entreprises. Les mécanismes de protection sont souvent

Plus en détail

TOP 3. des raisons de donner une identité unifiée aux initiés

TOP 3. des raisons de donner une identité unifiée aux initiés TOP 3 des raisons de donner une identité unifiée aux initiés Même si le battage médiatique autour de la sécurité informatique concerne, pour la plupart, les pirates et autres attaques externes, les menaces

Plus en détail

Cisco AMP Threat Grid : sécurité proactive face aux programmes malveillants avancés

Cisco AMP Threat Grid : sécurité proactive face aux programmes malveillants avancés Présentation Cisco AMP Threat Grid : sécurité proactive face aux programmes malveillants avancés BÉNÉFICES Un accès à des informations plus précises qui permet une protection renforcée grâce à l analyse

Plus en détail

Étude : les PME à l heure du Cloud

Étude : les PME à l heure du Cloud Étude : les PME à l heure du Cloud Synthèse des principaux enseignements 27 avril 2012 1 FICHE TECHNIQUE DE L ETUDE Echantillon : 301 entreprises de 20 à 499 salariés. Représentativité assurée par des

Plus en détail

Cisco Advanced Malware Protection

Cisco Advanced Malware Protection Présentation Cisco Advanced Malware Protection Prévention, détection, riposte et correction : la solution concrète contre les intrusions LES BÉNÉFICES Obtenez des renseignements inédits sur les menaces

Plus en détail

RAPPORT. 1. Appréciation générale des problématiques de cybersécurité

RAPPORT. 1. Appréciation générale des problématiques de cybersécurité Réponse de la France à la résolution 68/243 relative aux «Développements dans le domaine de l information et des télécommunications dans le contexte de la sécurité internationale» RESUME ANALYTIQUE A titre

Plus en détail

Politique de sécurité de l actif informationnel

Politique de sécurité de l actif informationnel TITRE : Politique de sécurité de l actif informationnel Adoption par le conseil d administration : Résolution : CARL-130924-11 Date : 24 septembre 2013 Révisions : Résolution : Date : Politique de sécurité

Plus en détail

Sécurité e-mail : Guide de l acheteur

Sécurité e-mail : Guide de l acheteur Sécurité e-mail : Guide de l acheteur Introduction La quantité croissante de données sensibles et personnelles envoyées par e-mail accentue le risque de fuites et de piratages de données dans des proportions

Plus en détail

LE LIVRE BLANC Le Cloud, nouvelle source de performance pour votre entreprise. [ NetExplorer, partage de fichier et travail collaboratif ]

LE LIVRE BLANC Le Cloud, nouvelle source de performance pour votre entreprise. [ NetExplorer, partage de fichier et travail collaboratif ] LE LIVRE BLANC Le Cloud, nouvelle source de performance pour votre entreprise. [ NetExplorer, partage de fichier et travail collaboratif ] LE CLOUD, UNE NOUVELLE SOURCE DE PERFORMANCE POUR VOTRE ENTREPRISE.

Plus en détail

Le nuage : Pourquoi il est logique pour votre entreprise

Le nuage : Pourquoi il est logique pour votre entreprise Le nuage : Pourquoi il est logique pour votre entreprise TABLE DES MATIÈRES LE NUAGE : POURQUOI IL EST LOGIQUE POUR VOTRE ENTREPRISE INTRODUCTION CHAPITRE 1 CHAPITRE 2 CHAPITRE 3 CONCLUSION PAGE 3 PAGE

Plus en détail

Un livre blanc des L EMAIL, VECTEUR DE MENACES POUR LA SÉCURITÉ DES PME 5 RÉALITÉS QUE TOUTE PME DOIT CONNAÎTRE SUR LA SÉCURITÉ DE L EMAIL

Un livre blanc des L EMAIL, VECTEUR DE MENACES POUR LA SÉCURITÉ DES PME 5 RÉALITÉS QUE TOUTE PME DOIT CONNAÎTRE SUR LA SÉCURITÉ DE L EMAIL Un livre blanc des L EMAIL, VECTEUR DE MENACES POUR LA SÉCURITÉ DES PME 5 RÉALITÉS QUE TOUTE PME DOIT CONNAÎTRE SUR LA SÉCURITÉ DE L EMAIL En dépit du succès grandissant des outils de communication en

Plus en détail

Sécurité des Systèmes d Information. Le pragmatisme et l innovation de PwC à votre service

Sécurité des Systèmes d Information. Le pragmatisme et l innovation de PwC à votre service Sécurité des Systèmes d Information Le pragmatisme et l innovation de PwC à votre service Réduire les risques par une meilleure mise en œuvre des politiques de sécurité IT Global State of Information Security

Plus en détail

Sécurité de données holistique. Comment protéger vos données sensibles contre toutes les menaces

Sécurité de données holistique. Comment protéger vos données sensibles contre toutes les menaces Comment protéger vos données sensibles contre toutes les menaces Sécurité de communications holistique Comment protéger vos données sensibles contre toutes les menaces Quand il s agit d informations relevant

Plus en détail

Stratégie intelligente de reprise d activité pour les postes de travail : postes de travail sous forme de service (DaaS) LIVRE BLANC

Stratégie intelligente de reprise d activité pour les postes de travail : postes de travail sous forme de service (DaaS) LIVRE BLANC Stratégie intelligente de reprise d activité pour les postes de travail : postes de travail sous forme de service (DaaS) LIVRE BLANC Sommaire Résumé analytique.... 3 L improbable n a jamais été aussi probable....

Plus en détail

Big Data : se préparer au Big Bang

Big Data : se préparer au Big Bang Big Data : se préparer au Big Bang Initialement confinées au cœur des moteurs de recherche et des réseaux sociaux, les technologies du Big Data s'exportent désormais avec succès dans de nombreux secteurs

Plus en détail

Fonctionne avec toute plate-forme de virtualisation contrôle centralisé des postes de travail et serveurs physiques, virtuels et mobiles contrôlée

Fonctionne avec toute plate-forme de virtualisation contrôle centralisé des postes de travail et serveurs physiques, virtuels et mobiles contrôlée Fonctionne avec toute plate-forme de virtualisation pas de dépendance à l égard d un fournisseur de virtualisation Propose un contrôle centralisé des postes de travail et serveurs physiques, virtuels et

Plus en détail

Cyberguerre et cyberdéfense

Cyberguerre et cyberdéfense Cyberguerre et cyberdéfense 23.03.2015 LTC Réserve Citoyenne de Cyberdéfense DGGN gerard.peliks@noos.fr Expert Sécurité 1/ 47 Cyberguerre et cyberdéfense Les dangers du cyberespace Des attaques sur les

Plus en détail

HÉBERGEMENT INFORMATIQUE

HÉBERGEMENT INFORMATIQUE HÉBERGEMENT INFORMATIQUE Environnement dédié et sécurisé sur mesure Pour les clients exigeants Prix selon consommation Service sur mesure Environnement dédié Introduction L intérêt et l'utilisation du

Plus en détail

Pourquoi toutes les entreprises peuvent se priver de centrale téléphonique?

Pourquoi toutes les entreprises peuvent se priver de centrale téléphonique? WHITE PAPER Pourquoi toutes les entreprises peuvent se priver de centrale téléphonique? Le «cloud voice» : l avenir de la communication Introduction Il fut un temps où, par définition, les entreprises

Plus en détail

Actualités Administrateurs

Actualités Administrateurs ORGANISMES SANS BUT LUCRATIF Actualités Administrateurs Décembre 2013 L informatique en nuage questions que les administrateurs devraient poser Auteure : Jodie Lobana, CPA, CA, CISA, CIA, CPA (IL), PMP

Plus en détail

Credit Suisse Invest Le nouveau conseil en placement

Credit Suisse Invest Le nouveau conseil en placement Credit Suisse Invest Le nouveau conseil en placement Vos besoins au centre Credit Suisse Invest Mandate Expert Partner Compact 2 / 20 4 Des arguments qui font la différence Profitez d un conseil en placement

Plus en détail

10 astuces pour la protection des données dans le nouvel espace de travail

10 astuces pour la protection des données dans le nouvel espace de travail 10 astuces pour la protection des données dans le nouvel espace de travail Trouver un équilibre entre la sécurité du lieu de travail et la productivité de l effectif La perte ou la fuite d informations

Plus en détail

Global State of Information Security Survey 2013. Antoine Berthaut Director Business Technology

Global State of Information Security Survey 2013. Antoine Berthaut Director Business Technology Global State of Information Security Survey 2013 24 mai 2013 Etat des Lieux dans le monde, en Europe et en Suisse Antoine Berthaut Director Business Technology Que se passe-t-il? Mai 2013 2 Florilège d

Plus en détail

Qu est-ce que l infonuagique?

Qu est-ce que l infonuagique? Qu est-ce que l infonuagique? L informatique en nuage est la toute dernière méthode de travail et de stockage de données d affaires. C est la toute dernière tendance sur le marché. Sa popularité est entièrement

Plus en détail

Questions / Réponses concernant le piratage de «L Explora Park» - VTech 4 décembre 2015

Questions / Réponses concernant le piratage de «L Explora Park» - VTech 4 décembre 2015 Questions / Réponses concernant le piratage de «L Explora Park» - VTech 4 décembre 2015 Dernière mise à jour: 11h, heure française Sur l incident 1. Est-il vrai que le site VTech a été piraté? Nous confirmons

Plus en détail

CHAPITRE 3 : INTERVENTIONS SUR INCIDENTS

CHAPITRE 3 : INTERVENTIONS SUR INCIDENTS CHAPITRE 3 : INTERVENTIONS SUR INCIDENTS CINQ RECOMMANDATIONS ESSENTIELLES 1 CINQ RECOMMANDATIONS ESSENTIELLES CINQ RECOMMANDATIONS ESSENTIELLES BASÉES SUR UNE ANALYSE DES INCIDENTS OBSERVÉS En 2014, le

Plus en détail

5 Bonnes raisons de sécuriser vos données de Santé

5 Bonnes raisons de sécuriser vos données de Santé www.enovacom.fr Sécurité 5 Bonnes raisons de sécuriser vos données de Santé SOMMAIRE 1/ L année de tous les dangers 3 2/ Bonne raison N 1 : l explosion des données de santé 4 3/ Bonne raison N 2 : les

Plus en détail

Sécurisation des données

Sécurisation des données Sécurisation des données 1 Sommaire Introduction Les données informatiques et ce qu il faut savoir. Comment faire? Les solutions. Démo Présentation de deux logiciels Conclusion Pour conclure ce qu il faut

Plus en détail

Pandémie : comment assurer la continuité d activité de l entreprise?

Pandémie : comment assurer la continuité d activité de l entreprise? Pandémie : comment assurer la continuité d activité de l entreprise? Les entreprises françaises sont peu préparées à affronter une éventuelle pandémie Le concept de plan de continuité d activité n est

Plus en détail

L Évaluation des impacts des mesures de sécurité sur les droits de la personne

L Évaluation des impacts des mesures de sécurité sur les droits de la personne L Évaluation des impacts des mesures de sécurité sur les droits de la personne Développement de mesures de sécurité respectueuses des droits de la personne Pour obtenir de plus amples renseignements sur

Plus en détail

POLITIQUE DE SÉCURITÉ DES TECHNOLOGIES DE L INFORMATION

POLITIQUE DE SÉCURITÉ DES TECHNOLOGIES DE L INFORMATION POLITIQUE DE SÉCURITÉ DES TECHNOLOGIES DE L INFORMATION VERSION 1 Créée le 24 août 2012 (v1), par Christian Lambert Table des matières 1 INTRODUCTION 1 2 ÉNONCÉ DE POLITIQUE DE SÉCURITÉ 2 2.1 VERROUILLAGE

Plus en détail

Comités d audit et Cybersécurité

Comités d audit et Cybersécurité AUDIT COMMITTEE INSTITUTE Comités d audit et Cybersécurité Mai 2014 kpmg.fr 2 AUDIT COMMITTE INSTITUTE LA CYBERSÉCURITÉ : présentation à l attention des comités d audit Les comités d audit ont un rôle

Plus en détail

CyberEdge de Chartis

CyberEdge de Chartis Protection contre les conséquences de cyber-risques. CHARTIS FINANCIAL LINES CyberEdge de Chartis Les cyber-risques sont une réalité quotidienne dans le monde de l information et des systèmes d information.

Plus en détail

Commentaires du CCBE sur le document de travail de la Commission

Commentaires du CCBE sur le document de travail de la Commission Représentant les avocats d Europe Representing Europe s lawyers Commentaires du CCBE sur le document de travail de la Commission «L application à la profession d avocat de la directive 91/308/CEE relative

Plus en détail

Investor Services Votre partenaire pour les solutions de fonds individuelles

Investor Services Votre partenaire pour les solutions de fonds individuelles Investor Services Votre partenaire pour les solutions de fonds individuelles Un partenariat fiable Avec la bonne expertise vers le succès Des arguments qui font la différence Les avantages d une solution

Plus en détail

Global State of Information Security Survey 2014

Global State of Information Security Survey 2014 www.pwc.com/gsiss2014 Global State of Information Security Survey 2014 Defending yesterday Agenda Page 1 Méthodologie de l enquête 1 2 Les entreprises restent confiantes face à des risques 5 toujours

Plus en détail

GROUPE DE CONTACT DES DIRECTEURS

GROUPE DE CONTACT DES DIRECTEURS GROUPE DE CONTACT DES DIRECTEURS PREMIÈRE ÉDITION (4 Juin 2014) LISTE DE CONTROLE POUR ENGAGER UN BON CONSULTANT I. Travaux préparatoires en interne II. Critères personnels concernant le consultant III.

Plus en détail

LES ATTEINTES À L ENVIRONNEMENT: DU VOL À L ÉCHELLE MONDIALE

LES ATTEINTES À L ENVIRONNEMENT: DU VOL À L ÉCHELLE MONDIALE LES ATTEINTES À L ENVIRONNEMENT: DU VOL À L ÉCHELLE MONDIALE INTERPOL PROGRAMME SUR LES ATTEINTES À L ENVIRONNEMENT istock.com 2 PROGRAMME INTERPOL SUR LES ATTEINTES À L ENVIRONNEMENT istock.com QUE SE

Plus en détail

Assurance médicaments 2.0

Assurance médicaments 2.0 PRINCIPES ET PRIORITÉS Assurance médicaments 2.0 Avant-propos Objectif Pour renouveler les discussions nationales sur un cadre pancanadien d assurance médicaments, il faut présenter des preuves claires

Plus en détail

Meilleures pratiques de l authentification:

Meilleures pratiques de l authentification: Meilleures pratiques de l authentification: mettre le contrôle à sa place LIVRE BLANC Avantages d un environnement d authentification totalement fiable : Permet au client de créer son propre token de données

Plus en détail

Développer le marché de la publicité pour les PME : l expérience de Katalyst au Bangladesh

Développer le marché de la publicité pour les PME : l expérience de Katalyst au Bangladesh Études de cas Miehlbradt A., Developing the advertising market for SMEs in Northern Bangladesh, The Katalyst Cases, Case Study n o 3, Katalyst Bangladesh, juin 2007. Développer le marché de la publicité

Plus en détail

Changement dans les achats de solutions informatiques

Changement dans les achats de solutions informatiques Changement dans les achats de solutions informatiques Ce que cela signifie pour l informatique et les Directions Métiers Mai 2014 Le nouvel acheteur de technologies et la nouvelle mentalité d achat Un

Plus en détail

RENDEZ VOS CLEFS OU L AUTHENTIFICATION FORTE SANS SUPPORT PHYSIQUE

RENDEZ VOS CLEFS OU L AUTHENTIFICATION FORTE SANS SUPPORT PHYSIQUE 12/02/2013 RENDEZ VOS CLEFS OU L AUTHENTIFICATION FORTE SANS SUPPORT PHYSIQUE LE 12 FEVRIER 2013 SOMMAIRE PREAMBULE_VOTRE VISION DE LA SECURITE INTRODUCTION_QU EST-CE QUE LA SECURITE LA SECURITE FAIT PENSER

Plus en détail

En tant que (expert-) comptable

En tant que (expert-) comptable En tant que (expert-) comptable Doc-it-Easy Doc-it-Easy optez pour une collaboration intelligente avec votre client Doc-it-Easy Contenu Introduction Les PME et les entrepreneurs veulent des conseils stratégiques...

Plus en détail

Division Espace et Programmes Interarméeses. État tat-major des armées

Division Espace et Programmes Interarméeses. État tat-major des armées Division Espace et Programmes Interarméeses LE MINDEF en quelques mots 295 000 personnes, militaires et civils. 7000 personnes engagées en opérations extérieures, 80% au sein d une coalition internationale

Plus en détail

Améliorer durablement la qualité de l audit. Juin 2014

Améliorer durablement la qualité de l audit. Juin 2014 Améliorer durablement la qualité de l audit Juin 2014 L enjeu Selon les résultats du plus récent cycle d inspection du Conseil canadien sur la reddition de comptes (CCRC), sur le plan de la qualité de

Plus en détail

Sécurisation du centre de services au sein du cloud computing La stratégie de sécurité de BMC pour l environnement SaaS LIVRE BLANC

Sécurisation du centre de services au sein du cloud computing La stratégie de sécurité de BMC pour l environnement SaaS LIVRE BLANC Sécurisation du centre de services au sein du cloud computing La stratégie de sécurité de BMC pour l environnement SaaS LIVRE BLANC TABLE OF C0NTENTS INTRODUCTION...............................................................

Plus en détail

La sécurité informatique

La sécurité informatique La sécurité informatique SOMMAIRE 1. Présentation générale a. La SARL Invesys b. Pourquoi la sécurité informatique? c. Qu est-ce qu un audit de sécurité? 2. Espionnage industriel a. Définition b. Enjeux

Plus en détail

Description des prestations

Description des prestations 1. Dispositions générales La présente description de prestations a pour objet les services (ciaprès dénommés les «services») de Swisscom (Suisse) SA (ci-après dénommée «Swisscom»). Elle complète les dispositions

Plus en détail

Protection pour site web Sucuri d HostPapa

Protection pour site web Sucuri d HostPapa Protection pour site web Sucuri d HostPapa Prévenez et nettoyez maliciels, listes noires, référencement infecté et autres menaces de votre site web. HostPapa inc. 1 888 959 PAPA [7272] +1 905 315 3455

Plus en détail

Perception et utilisation des solutions de radio-identification (RFID) dans les entreprises françaises

Perception et utilisation des solutions de radio-identification (RFID) dans les entreprises françaises Perception et utilisation des solutions de radio-identification (RFID) dans les entreprises françaises Synthèse de l enquête PricewaterhouseCoopers Mars 2010 Sommaire Page 1 Introduction 1 2 Description

Plus en détail

CYBERSÉCURITÉ. Des capacités globales de cybersécurité pour une transformation numérique en toute confiance. Delivering Transformation. Together.

CYBERSÉCURITÉ. Des capacités globales de cybersécurité pour une transformation numérique en toute confiance. Delivering Transformation. Together. CYBERSÉCURITÉ Des capacités globales de cybersécurité pour une transformation numérique en toute confiance Delivering Transformation. Together. Sopra Steria, leader européen de la transformation numérique,

Plus en détail

La gestion des risques en entreprise de nouvelles dimensions

La gestion des risques en entreprise de nouvelles dimensions La gestion des risques en entreprise de nouvelles dimensions Octobre 2006 La pratique de la gestion des risques en entreprise devient plus cruciale et plus complexe de jour en jour. Les entreprises doivent

Plus en détail

Agenda. Engagement de Microsoft envers la protection des renseignements personnels et la sécurité Questions

Agenda. Engagement de Microsoft envers la protection des renseignements personnels et la sécurité Questions Agenda Le marché global entourant l infonuagique Le Cloud vs le Gouvernement du Québec Position officielle Communauté Européenne Approche globale entourant la sécurité Centre de traitement Sécurité Conformité

Plus en détail

La sécurité informatique, c est votre problème aussi!

La sécurité informatique, c est votre problème aussi! INFOSAFE Un certificat universitaire en management de la Sécurité des Systèmes d Information. Une approche pragmatique pour répondre aux besoins des entreprises et des administrations. La sécurité informatique,

Plus en détail

Rapport d étape Examen des hauts fonctionnaires de l Assemblée législative le 7 juillet 2011

Rapport d étape Examen des hauts fonctionnaires de l Assemblée législative le 7 juillet 2011 A. Examen Rapport d étape Examen des hauts fonctionnaires de l Assemblée législative le 7 juillet 2011 En mai 2011, le président de l Assemblée législative du Nouveau-Brunswick a officiellement chargé

Plus en détail

Piloter un Curriculum:

Piloter un Curriculum: G U I D E T E C H N I Q U E D E X E C U T I O N N 3, I - T E C H Piloter un Curriculum: Evaluer l Efficacité d une Nouvelle Formation Les Guides Techniques d Exécution d I-TECH consistent en une série

Plus en détail

Innovation chez les PME : nécessité, diversité et facteurs de succès

Innovation chez les PME : nécessité, diversité et facteurs de succès Innovation chez les PME : nécessité, diversité et facteurs de succès Par : Josée St-Pierre 1, Ph.D., professeure titulaire Directrice du Laboratoire de recherche sur la performance des entreprises Présidente

Plus en détail