Data Breach / Violation de données



Documents pareils
Denis JACOPINI est l auteur de ce document. Il est joignable au et sur conferences@lenetexpert.fr

Atelier C06. Cyber résilience : Protéger ses données et celles de ses clients

Stratégie de gestion des cyber-risques dans les entreprises : Quelles (ré)actions?

TEST D INTRUSION : UNE SIMULATION DE HACKING POUR IDENTIFIER LES FAIBLESSES DE VOTRE SYSTÈME

L entreprise face à la Cybercriminalité : menaces et enseignement

INCIDENTS DE SECURITE : cadre juridique et responsabilités de l'entreprise

Stratégies de protection de l information

CyberRisks Pro. Questionnaire. Nom de la société proposante. Description des activités de la société proposante. Informations financières

Gestion des cyber-risques

Outil d évaluation aux fins de la notification en cas d atteinte à la vie privée

Périphériques de stockage amovibles : une menace réelle pour la sécurité des informations en entreprises

Qualité et ERP CLOUD & SECURITY (HACKING) Alireza MOKHTARI. 9/12/2014 Cloud & Security

Assurance des risques cybernétiques

Le BIG DATA. Les enjeux juridiques et de régulation Claire BERNIER Mathieu MARTIN. logo ALTANA CABINET D AVOCATS

TIC : QUELS RISQUES JURIDIQUES POUR L ENTREPRISE? COMMENT LES LIMITER? Présentation 9 Avril 2015

L assurance et le risque Data. Clusir 25 avril 2012 Lyon François Brisson - Hiscox France

La situation de la sécurité des clés USB en France

La sécurité de l'information

L impact d un incident de sécurité pour le citoyen et l entreprise

Compte rendu de recherche de Websense. Prévention de la perte de données et conformité PCI

IBM Security Systems Les nouveaux enjeux de la sécurité Serge Richard - CISSP - Senior Security Architect. serge.richard@fr.ibm.

données à caractère personnel (ci-après "la LVP"), en particulier l'article 30 ;

Intégrer l assurance dans la gestion des risques liés à la sécurité des données

Contrat de licence d utilisation First

Stratégie nationale en matière de cyber sécurité

BANQUE CENTRALE EUROPÉENNE

Face aux nouvelles menaces liées aux cyber attaques et l évolution des technologies, comment adapter son SMSI? CLUB27001 PARIS 22 novembre 2012

POINTS D ATTENTION ET PRÉCAUTIONS À PRENDRE LORS DE LA NÉGOCIATION ET DE LA CONCLUSION D UN CONTRAT DE CLOUD COMPUTING

Obligation de notification des failles de sécurité : quand l Union Européenne voit double

Gestion des incidents

GRIFES. Gestion des risques et au-delà. Pablo C. Martinez. TRMG Product Leader, EMEA Symantec Corporation

Managing the Lifecycle of. Encryption Keys with RSA. Rationaliser les opérations de. sécurité avec les solutions. Data Loss Prevention et


Présentation CERT IST. 9 Juin Enjeux et Mise en Œuvre du DLP. Alexandre GARRET Directeur des Opérations ATHEOS agarret@atheos.

Sécurité des Systèmes d Information. Le pragmatisme et l innovation de PwC à votre service

Cyber Secure. Déjeuner SMCAR 13 Novembre 2014

L USAGE PAISIBLE DE L INFORMATIQUE. Les solutions assurantielles pour mieux gérer les risques de dommages immatériels

REGLES INTERNES AU TRANSFERT DE DONNEES A CARACTERE PERSONNEL

CONDITIONS GENERALES DE VENTE

Règlement d INTERPOL sur le traitement des données

DDN/RSSI. Engagement éthique et déontologique de l'administrateur systèmes, réseaux et de système d'informations

Agenda numérique - Partie V. Juillet 2015

politique de la France en matière de cybersécurité

Présenté par : Mlle A.DIB

La cyberassurance reste aujourd hui un

Conditions générales de vente OPHOS SYSTEM Hébergement Mutualisé version janvier 2007

Release Status Date Written by Edited by Approved by FR_1.00 Final 19/03/2014

Conditions générales d'adhésion au programme d'affiliation

DOSSIER D ADHESION LA COMPAGNIE DES CARTES CARBURANT LIBRE REPONSE - AUTORISATION N SAINT OUEN CEDEX

Un guide LE CLOUD COMPUTING DÉMYSTIFIÉ 5 IDÉES REÇUES QUE TOUTES LES PETITES ENTREPRISES DEVRAIENT CONNAÎTRE SUR LE CLOUD COMPUTING

Les nouveaux guides de la CNIL. Comment gérer des risques dont l impact ne porte pas sur l organisme

l informatique est vitale pour mon activité je protège mon matériel et mon entreprise

Ci-après individuellement désigné une «Partie» et collectivement les «Parties». Les parties sont convenues de ce qui suit :

Conditions Générales de Vente

LA COMPAGNIE DES CARTES CARBURANT AUTORISATION SAINT DENIS

Médiathèque DASTRI Mentions légales

Téléphone : Télécopieur : ATS : info@ipc.on.ca

onditions Générales P h o n e W e b M é d i t e r r a n é e Club des Pins - STAOUELI- Tél : Fax: info@phoneweb-med.

Atelier B 06. Les nouveaux risques de la cybercriminalité

LICENCE D UTILISATION DE LA DO NOT CALL ME LIST : CONDITIONS GENERALES

SAINT-GOBAIN. DSI Groupe. Un outil ITSM pour renforcer la Gouvernance. V. Broussin 26 février 2013

La protection de la vie privée et les appareils mobiles

Retour d expérience PCI DSS OSSIR. Gérard Boudin. 8 avril 2014

Risques liés aux systèmes informatiques et de télécommunications

Groupe Banque européenne d investissement. Politique de vidéosurveillance

Gestion des incidents de sécurité. Une approche MSSP

5 novembre Cloud, Big Data et sécurité Conseils et solutions

La gestion des risques en entreprise de nouvelles dimensions

Charte de Qualité sur l assurance vie

Introduction à la Sécurité Informatique

La gestion des mots de passe pour les comptes à privilèges élevés

Charte Ethique CMA CGM

Le Cloud Computing 10 janvier 2012

menaces persistantes avancées : se défendre de l intérieur

Mireille DESHAYES INSTITUT SUPERIEUR D ELECTRONIQUE DE PARIS (ISEP)

Approche Méthodologique de la Gestion des vulnérabilités. Jean-Paul JOANANY - RSSI

Se préparer à la réponse judiciaire contre les attaques informatiques

GESTION DE FLOTTE MOBILE (MDM), LE GUIDE DES BONNES PRATIQUES

la réponse sur incident de sécurité

Les métiers des médias, les métiers de l'informatique et les prestataires de services :

Processus: Gestion des Incidents

Contrat d Hébergement de données

CHARTE D UTILISATION DU SYSTÈME D INFORMATION ET EN PARTICULIER DES RESSOURCES INFORMATIQUES.

CYBERSÉCURITÉ. Des capacités globales de cybersécurité pour une transformation numérique en toute confiance. Delivering Transformation. Together.

Des capacités de cybersécurité et de confiance numérique pour accélérer votre transformation digitale

1. Procédure. 2. Les faits

INTERNATIONAL CONSULTANT & SUPPLIERS TO THE WINE & SPIRITS TRADE

CONDITIONS GENERALES D UTILISATION «inwi cloud»

SUPPLEMENT TRADING ELECTRONIQUE

Contrat d interface pour l enregistrement et la gestion des noms de domaine qui dépendent du domaine ".ch" et ".li" conclu entre

Annexe 5. Kaspersky Security For SharePoint Servers. Consulting Team

Gestion des Incidents SSI

Conditions Générales de Vente et d Utilisation

Transcription:

GDF SUEZ, SCOR Data Breach / Violation de données Fabien Gandrille, Group DPO & CIL, SCOR Jacques Perret, Group DPO & CIL, GDF SUEZ Document confidentiel Ne pas diffuser sans autorisation 1

AGENDA Présentation des sociétés GDF SUEZ et SCOR Violations de données personnelles : une réalité Renforcement du cadre réglementaire Violation de données personnelles : un processus de traitement 2

PRÉSENTATION DES SOCIÉTÉS GDF SUEZ 138 000 collaborateurs 81,3 Mds 22 millions de clients en Europe B to B B to C SCOR 2400 collaborateurs 10,2 Mds 4000 clients dans le monde Essentiellement B to B 3

VIOLATIONS DE DONNÉES PERSONNELLES : UNE RÉALITÉ Quelques incidents types Yahoo Orange Target - 2013 70 millions d enregistrements Données cartes bancaires Impact financier : 1,5 Mds $ (estimation Ponemon Institute) Sony - 2011 100 millions d enregistrements Données d identification et données bancaires Impact financier : 1,7 Mds $ (estimation Ponemon Institute) Adobe - 2013 3 millions d enregistrements Données d identification et données bancaires 4

VIOLATIONS DE DONNÉES PERSONNELLES : UNE RÉALITÉ Conséquences financières d un Data Breach Source : 2013 Cost of Data Breach Study (Ponemon Institute) Un incident impact en moyenne 23 647 personnes (*) Le coût moyen d un incident par enregistrement est de 136 $, cela comprend Détection, escalade, notification de l Autorité et des victimes Réponse (mise en place des mesures, accompagnement des victimes) Perte de clients, perte de confiance Coût des incidents les plus élevés (All = 4.8 M$ ; USA = 5.4 M$) En France (sur une base de 26 Data Breaches étudiés) Un incident impacte en moyenne 22 462 personnes Le coût moyen d un incident est de 3.7 M$ (*) Les incidents impactant + 100 000 personnes ne sont pas pris en compte car ne représentant pas la majorité des incidents rencontrés 5

RENFORCEMENT DU CADRE RÉGLEMENTAIRE Une obligation de notifier pour les seuls opérateurs d abord Violation de données personnelles loi 6 janvier 1978 (art. 34 bis) directive 2009/136/CE (modifiant la directive 2002/58/CE, E-privacy directive) règlement 611/2013 (notification des violations) Incidents de réseaux code des postes et des télécommunications électroniques (article L. 33-1 I.a) et D.98-5 III) directive 2009/140/CE (réseaux) 6

RENFORCEMENT DU CADRE RÉGLEMENTAIRE Avec une généralisation par certains pays ex. Royaume-Uni «Although there is no legal obligation on data controllers to report breaches of security which result in loss, release or corruption of personal data, the Information Commissioner believes serious breaches should be brought to the attention of his Office.» Puis une obligation pour de nouveaux acteurs ex. les OIV en France Loi du 18 décembre 2013 relative à la programmation militaire 2014-2019 : les OIV «informent sans délai le Premier ministre des incidents affectant le fonctionnement ou la sécurité» de leurs systèmes d'information 7

RENFORCEMENT DU CADRE RÉGLEMENTAIRE Et des projets d extension Projet de règlement européen sur la protection des données personnelles Projet de directive sur la sécurité des réseaux et de l information entreprises et administrations des secteurs critiques «tenues de signaler aux autorités compétentes tout incident qui compromet sérieusement leurs réseaux et systèmes informatiques et a un impact significatif sur la continuité des services critiques.» Projet de règlement sur l'identification électronique et les services de confiance (2012) Les prestataires de services de confiance notifient «toute atteinte à la sécurité ou toute perte d'intégrité ayant une incidence importante sur le service de confiance fourni et sur les données à caractère personnel qui y sont liées». Directive services de paiement (révision) 8

VIOLATION DE DONNÉES PERSONNELLES : UN PROCESSUS Violation de données personnelles Personne concernée Vol / Usurpation d identité Perte financière Dommage physique Humiliation grave Atteinte à la réputation Atteinte aux droits et intérêts légitimes Impact image / réputation Perte clients / marchés Pertes financières Poursuites judiciaires 9

VIOLATION DE DONNÉES PERSONNELLES : UN PROCESSUS Non DCP Préparer plan de réaction générique Data Breach Détecter Endiguer Évaluer Corriger / Restaurer Activer le plan de réaction DCP 10

VIOLATION DE DONNÉES PERSONNELLES : UN PROCESSUS Évaluer Origine de la violation Perte / Vol ordinateur, clé USB, sauvegarde, négligence d un collaborateur Vol ciblé / intrusion, Catégorie de personnes concernées + nombre d enregistrements Collaborateurs, Partenaires, Clients, Public, Catégorie de données personnelles Non sensibles : identifiant, adresse, tel, email, données bancaires Sensibles : opinions philosophiques, religieuses, données de santé, 11

VIOLATION DE DONNÉES PERSONNELLES : UN PROCESSUS Évaluer Classement du risque : Faible => traitement technique Moyen Elevé Gestion de crise Mesures de sécurité en place Chiffrement, tracking, effacement à distance, Conséquences de la violation Vol / Usurpation d identité Perte financière Dommage physique Humiliation grave Atteinte à la réputation Atteinte aux droits et intérêts légitimes 12

VIOLATION DE DONNÉES PERSONNELLES : UN PROCESSUS Adapter, Activer le plan de réaction Identification des mesures à activer Au niveau du Responsable de traitements Au niveau des personnes concernées, pour atténuer les conséquences Changement des mots de passe Identifier les droits des personnes concernées (y compris leurs recours). Notifier la ou les autorités de contrôle Sur base des informations collectées 13

VIOLATION DE DONNÉES PERSONNELLES : UN PROCESSUS Adapter, Activer le plan de réaction Notifier les personnes concernées Informer les personnes potentiellement concernées Communiquer vers les médias S appuyer sur un partenaire spécialisé dans la gestion et la résolution des violations de données personnelles qui mettra à disposition : - un service de protection des identités - un service de résolution des fraudes - un call center spécialisé. 14

Questions - Réponses 15

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back