Catégorie : Conformité

15 Nov 2018
Get ready for PIPEDA

ÊTES-VOUS PRÊT POUR LA LOI CANADIENNE SUR LA DÉCLARATION OBLIGATOIRE DES ATTEINTES À LA SÉCURITÉ DES RENSEIGNEMENTS PERSONNELS?

Avec l’introduction de nouvelles règles en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) (en anglais : PIPEDA) du Canada, faire des excuses pour une fuite de données est désormais insuffisant. À compter de novembre 2018, toutes les atteintes à la protection des données concernant des données canadiennes de nature personnelle devront être signalées et les parties concernées devront en être avisées.

Mais à qui la LPRPDE (PIPEDA) s’applique-t-elle ?

La LPRPDE est la loi fédérale canadienne sur la protection des renseignements personnels pour les organisations du secteur privé. Autrement dit, cette loi s’applique à tous les renseignements personnels recueillis, utilisés ou divulgués dans le cadre d’activités commerciales lorsque vous faites affaire avec le Canada. En vertu des nouvelles règles sur les atteintes à la protection des données, si l’une ou l’autre de ces données personnelles fait l’objet d’une fuite, un rapport doit être déposé auprès du Commissariat à la protection de la vie privée du Canada, un dossier décrivant cette atteinte doit être rédigé et toute personne concernée doit être avisée que leurs données ont été compromises.

Dans la lignée de l’Europe en matière de protection de la vie privée

Les mises à jour avec la LPRPDE font suite au GDPR de l’Union européenne, qui a été lancé en mai dernier. Bien que les pratiques canadiennes actuelles en matière de protection de la vie privée répondent aux exigences actuelles du GDPR, ces règles supplémentaires représentent une garantie proactive à mesure que les règles européennes continueront à se durcir au cours des prochaines années. Ils sont également conçus pour aider les entreprises canadiennes à maintenir leur compétitivité en Europe – et pour éviter des amendes considérables.

Et ces nouveaux changements à la LPRPDE ne sont pas sans conséquence !

En plus des préjudices causés à la marque et des poursuites possibles, les infractions à la LPRPDE sont maintenant passibles d’amendes pouvant atteindre 100 000 $. Bien qu’elles ne soient pas aussi élevées que les amendes écrasantes de plusieurs millions de dollars imposées par le GDPR, les pénalités sont suffisamment élevées pour faire respecter la loi.

Alors, comment faire pour rester en conformité ?

Une protection adéquate des données personnelles sensibles est plus facile à dire qu’à faire– nécessitant souvent une approche pluridimensionnelle. Afin de vous conformer aux nouvelles règles de la LPRPDE, vous devez prendre des mesures proactives pour aider à prévenir une atteinte à la vie privée – cela comprend la protection des données qui quittent votre système. De plus, le cryptage des données sensibles est un indicateur clé qui démontre que l’information a été adéquatement protégée en vertu de toute réglementation ou loi sur la protection de la vie privée.

Voici 10 façons de sécuriser les données sensibles en cours de transmission.

Alex Loo, vice-président des opérations chez Echoworx

17 Sep 2018
What is a Chief Data Officer

Qu’est-ce qu’un CDO, directeur des données

Nous vivons dans une période de post-confidentialité.

Notre position peut être localisée grâce au GPS. Nos photos et trajets sont connus dans le monde entier, grâce à nos smartphones connectés à Internet. Nous affichons nos pensées et nos opinions les plus intimes sur les médias sociaux pour que tout le monde puisse les voir. Nous parcourons la publicité ciblée basée sur nos recherches sur Google et nos habitudes d’achat en ligne.

Tom Goodwin, responsable de l’innovation chez Zenith Media, affirme que nous nous réjouissons de cette perte de confidentialité parce que nous profitons des avantages qu’elle nous procure… jusqu’à ce qu’une entreprise ne protège plus nos données. [1] Alors, nous sommes mobilisés contre la violation de notre vie privée. C’est un cauchemar de relations publiques.

Chez Echoworx, nos propres recherches ont permis de trouver un autre casse-tête en matière de protection des données : la nature transformatrice des données personnelles après une violation. Les gens sont prêts à divulguer des données quantitatives, en supposant qu’elles sont protégées. Ces mêmes données présentent des caractéristiques qualitatives embarrassantes lorsqu’elles sont rendues publiques lors d’une brèche, ce qui entraîne une perte irrémédiable de la confiance du client.

Comment les entreprises doivent-elles gérer ces contradictions ? Comment les entreprises peuvent-elles offrir aux gens les avantages de l’ère post-vie privée sans leur donner le sentiment qu’ils ont abandonné quelque chose de précieux ?

Comment les entreprises peuvent-elles gagner la confiance nécessaire pour protéger en toute sécurité les données sensibles ?

L’une des solutions réside dans l’importance croissante du Chief Data Officer.

Émergence du Chief Data Officer

Le poste de Chief Data Officer est né pendant la crise financière de 2008-09. Par la suite, il y a eu un besoin évident d’une personne capable d’assurer la conformité aux exigences réglementaires accrues. Plus que jamais dans le secteur bancaire et financier, les données et leur communication aux régulateurs nécessitent un examen plus approfondi. Pendant des années, la plupart des entreprises n’avaient pensé aux données qu’après coup. Si les données existantes avaient été gérées efficacement à l’époque, nous aurions pu être avertis de la crise ou être en mesure de faire une reprise plus complète.

Au cours de la décennie qui a suivi, cependant, le rôle du CDO s’est élargi et a évolué à l’aube de l’ère des grandes données. Soudain, la valeur des données en tant qu’actif est devenue claire. Le CDO était nécessaire pour prendre en charge la gestion de sa valorisation.

En 2012, la société de conseil NewVantage Partners a lancé un sondage annuel auprès des cadres supérieurs du Fortune-1000. Cette première année, seulement 12 % des entreprises avaient un CDO. En 2018, ce chiffre était passé à 63,4 %. Cette tendance devrait se poursuivre. Selon certaines estimations, un directeur des données sera considéré comme un rôle « indispensable au fonctionnement » de 75 % des grandes entreprises dans les 3 à 5 prochaines années. Même le Pentagone a engagé son premier CDO !

Pourquoi vous avez besoin d’un Chief Data Officer

La valeur principale du CDO aujourd’hui est en tant que personne-ressource pour optimiser les grandes quantités de données générées par les entreprises d’aujourd’hui. Il ou elle peut en tirer de la valeur et encourager l’innovation autour de Big Data et de l’analyse. Le CDO est la force motrice des solutions technologiques, améliore la cybersécurité et augmente les revenus. Il ou elle s’efforce d’éliminer les silos de données et les redondances. Le changement technologique est géré de manière à limiter les coûts des « querelles de données » au sein d’une entreprise.

Le CDO planifie et exécute la stratégie d’entreprise autour des technologies émergentes telles que l’intelligence artificielle (IA), l’apprentissage machine et la chaîne de blocage. Le CDO représente également une solution agile aux évolutions rapides de la réglementation et de la confidentialité des données pour lesquelles la gestion traditionnelle n’est pas toujours adaptée. Tandis que la technologie évolue, le rôle du CDO évolue également.

Vie privée vs valeur dans un monde post-confidentialité

Les données sont une épée à double tranchant. Il a une valeur inestimable pour les entreprises. Elle exige également une gestion prudente de l’information qui leur est confiée et promet des responsabilités (financières et de réputation) en cas d’atteinte à la vie privée.

En intégrant toutes les données et les activités connexes dans le CDO, les organisations peuvent établir des systèmes pour s’assurer que toutes les données recueillies, stockées ou partagées au sein d’une organisation sont traitées de façon sécurisée, éthique et conforme aux lois et réglementations locales et internationales en vigueur. [2] Une bonne gestion des données et l’application rigoureuse de mesures de sécurité, comme le cryptage amélioré des données sensibles, peuvent contribuer à réduire les risques de l’entreprise. Ces politiques permettent également aux entreprises de maximiser la valeur des données qu’elles recueillent.

En cette ère post-protection de la vie privée, les entreprises qui interagissent avec les données sensibles de leurs clients doivent s’adapter si elles veulent réussir. S’ils se concentrent sur « mieux servir les gens » avec des demandes explicites d’autorisation, des options de consentement clairs, une sécurité et un cryptage rigoureux, ils peuvent construire un « partage de valeurs sur toute une vie » avec leurs clients. C’est le genre de transformation que le CDO peut apporter aux organisations. De cette façon, le CDO aide à franchir la ligne de démarcation entre la confidentialité et la protection de la vie privée dans un monde interconnecté.

Par Alex Loo | Vice-président des opérations, Echoworx

___________

1: https://www.thedrum.com/opinion/2018/07/17/tom-goodwin-making-the-most-post-privacy-world
2: https://aws.amazon.com/blogs/publicsector/the-rise-of-the-chief-data-officer-as-a-data-leader/

16 Juil 2018
Loi de la Californie sur la protection des données

Le California Data Privacy Law, AB 375: C’est une affaire personnelle.

La semaine dernière, la Californie a adopté l’une des lois les plus avancées en matière de protection de la vie privée aux États-Unis, la California Consumer Privacy Act de 2018. Il est salué comme un grand pas en avant avec des comparaisons telles que «GDPR comes to America» (le RGPD arrive en Amérique) ainsi que d’autres titres de ce genre.

Après examen, la loi californienne comprend plusieurs défis, notamment le fait qu’elle ne devrait pas entrer en vigueur avant 2020, et les nombreuses grandes entreprises de technologie qui se sont déjà préparées à essayer d’amener les législateurs à modifier les dispositions de la loi.

Ce qu’il y a dans la loi

La loi instaure quelques nouveaux droits pour les résidents californiens et, comme le GDPR en Europe, s’applique à toute entreprise qui vend ou possède des données personnelles sur les résidents californiens.

Ces nouveaux droits sont les suivants:

1. Le droit des Californiens de savoir quelles sont les informations personnelles collectées à leur sujet.
2. Le droit des Californiens de savoir si leurs renseignements personnels sont vendus ou communiqués et à qui.
3. Le droit des Californiens de dire non à la vente de renseignements personnels.
4. Le droit des Californiens d’accéder à leurs informations personnelles.
5. Le droit des Californiens à un service et à un prix équivalent, même s’ils exercent leur droit à la confidentialité.

En bref, cela donne aux Californiens un moyen de se désengager de presque toutes les utilisations secondaires de leurs données, qu’il s’agisse de vente agrégée à des courtiers en données, de suivi ou d’autres utilisations non directement liées à la fourniture d’un service.

Ce que la loi ne prévoit pas

Bien que la loi prévoie des pénalités pour les infractions résultant d’une protection insuffisante de l’information, cette loi en elle-même ne contient aucune exigence quant à la façon dont les entreprises doivent protéger l’information, ou le texte qui guide un tribunal dans son analyse pour déterminer si la protection était satisfaisante.

Les répercussions sur le marché

Contrairement au Règlement Général Européen sur la Protection des Données, le California Consumer Privacy Act de 2018 ne contient pas d’exigences spécifiques que les entreprises doivent suivre pour garantir la sécurité des opérations de traitement. La Loi précise comment les entreprises doivent obtenir le consentement pour la collecte et l’utilisation des renseignements, et qu’elles ne peuvent pas faire preuve de discrimination à l’égard des consommateurs pour avoir exercé leurs droits.

Le California Consumer Privacy Act s’appuie fortement sur d’autres lois californiennes et fédérales pour fournir des conseils dans ces domaines. Il existe un certain nombre de conflits avec ces autres lois et domaines qui auraient probablement besoin d’être clarifiés par le biais d’orientations réglementaires ou de modifications éventuelles de la loi.

De plus, il y a encore un certain nombre de questions sur la façon dont la Loi pourrait être modifiée sous la pression des entreprises de technologie et des défenseurs de la protection de la vie privée, et sur les règlements qui pourraient être publiés à l’appui de la loi.

Dans l’ensemble, la véritable nature des obligations d’une entreprise ne sera pas connue avant un certain temps.

Une solution logique

Le cryptage des données de nature sensible est essentiel pour démontrer que l’information a été adéquatement protégée en vertu d’un règlement ou d’une loi sur la protection de la vie privée.

Echoworx s’engage à respecter les exigences légales et de protection de la vie privée dans les pays dans lesquels elle opère. Echoworx continue d’ajouter des centres de données dans le monde entier pour s’assurer que les données sont conservées aussi près que possible du pays ou de la région d’origine. Nous opérons actuellement des centres de données aux États-Unis, au Royaume-Uni, en Irlande, au Mexique et au Canada pour nous assurer que les données peuvent être stockées et conservées conformément à la réglementation et à la législation auxquelles nos clients sont soumis.

Le rôle de la sécurité de l’information change certainement. Joignez-vous à moi et mes collègues pour une discussion en direct, jeudi le 26 juillet, sur la façon dont cette loi et d’autres nouvelles règles de confidentialité des données aura une incidence sur les entreprises à l’échelle mondiale. A Perfect Union: Privacy, Security and What you need to know about both | 10 AM ET

Par David Broad CISSP, responsable de la sécurité de l’information et de la vérification, Echoworx

14 Avr 2018
Echoworx | Email Encryption Solutions | Travailler dans le Cloud: Comment sécuriser l'échange de fichiers volumineux

Travailler dans le Cloud: Comment sécuriser l’échange de fichiers volumineux

Échanger des fichiers – cela semble si facile. Mais si vous regardez la multitude d’activités d’échange de fichiers actuellement dans une entreprise typique, vous commencerez à comprendre le défi.

Tout d’abord, il y a la taille.

Les configurations de messagerie classiques limitent la taille des pièces jointes à 20 Mo ou moins, ce qui n’est pas réaliste par rapport à la taille réelle des fichiers envoyés actuellement. Par le passé, échanger des fichiers de 20 Mo était rare. Aujourd’hui, nos clients envoient régulièrement des fichiers de plus de 100 Mo à des destinataires se trouvant partout dans le monde.

Cela conduit à un autre problème – la performance. Le courrier électronique n’a jamais été conçu pour gérer des fichiers extrêmement volumineux, ce qui entraîne souvent des problèmes de performances de livraison et de réseau. Nous avons tous connu cela. Vous envoyez un message avec une pièce jointe volumineuse et vous recevez un message des heures, peut-être même quelques jours plus tard, vous disant que le message n’a pas été envoyé. Aujourd’hui, la plupart des politiques d’entreprise vous empêchent même de joindre des fichiers d’une certaine taille au moment de l’envoi.

Nous diriger vers la sécurité.

Le partage de fichiers via FTP est trop « technique » et difficile à utiliser pour la plupart des clients et pas du tout dans les scénarios B2C – c’est aussi un processus manuel.

Toute demande d’activation d’un compte FTP nécessite la configuration de règles de pare-feu pour autoriser les téléchargements de fichiers, ainsi que l’examen et l’approbation de la sécurité.

En outre, ils manquent de processus automatisés comme les avis de vérification. Demandez aux opérations d’ouvrir seulement quelques ports comme le FTP pour autoriser les transferts de fichiers – voyez combien sont approuvés rapidement?

Selon un récent rapport de Verizon, 58% des violations de données PHI relatives aux soins de santé ont été causées par des initiés – 29,5% provenant d’une mauvaise utilisation.

Aller vers, oui, des services de partage de fichiers non pris en charge. Ces solutions ont été adoptées dans des entreprises de toutes tailles. Ne vous méprenez pas, vos utilisateurs suivront toujours le chemin de moindre résistance. C’est un dilemme classique – un employé, sans options de partage de fichiers ou d’e-mails non envoyés, se tourne vers des solutions extérieures, quelque part, afin de pouvoir partager efficacement des fichiers.

Mais le point de basculement pour la plupart c’est les vérifications. L’évolution des réglementations mondiales – comme RGPD, Dodd-Frank Act – obligent les institutions financières à garder des rapports sur qui a accédé aux fichiers et quand.

En profitant des capacités étendues du portail de fichiers de notre plate-forme de chiffrement, les entreprises ont un contrôle total sur les gros fichiers qu’elles veulent partager.

Les employés se connectent simplement sur le portail webmail sécurisé où ils attachent un ou plusieurs gros fichiers avec une note accompagnatrice. Les fichiers sont ensuite chiffrés dans le portail et un message de notification est envoyé au destinataire, y compris un lien vers le portail avec une fonction complète de vérification et de rappel, permettant aux utilisateurs de partager facilement les politiques de gouvernance d’entreprise.

Vous pouvez voir comment cela fonctionne en regardant cette courte démonstration video.

Par Christian Peel, vice-président ingénierie clients, Echoworx

01 Avr 2018
Echoworx | Email Encryption Solutions | Quiet before the storm: CLOUD act

Le calme avant la tempête: CLOUD act

Les développements récents dans le procès entre le gouvernement des États-Unis et Microsoft ont des répercussions sur les entreprises offrant des services à l’échelle mondiale. La Loi clarifiant l’utilisation légale des données à l’étranger (CLOUD Act) vise à simplifier la façon dont les groupes chargés de l’application de la loi obtiennent des données personnelles stockées par des sociétés technologiques basées aux États-Unis.

Que s’est-il passé:

En décembre 2013, un magistrat des États-Unis a délivré à Microsoft un mandat en vertu de la loi sur les communications stockées (SCA) pour la production de données hébergées dans un centre de données Microsoft en Irlande. Microsoft a refusé de se conformer aux parties de l’ordre qui exigeaient la production de son centre de données en Irlande en vertu du mandat qui violait la loi européenne.

Microsoft a fait appel de la décision auprès de la Cour d’appel des États-Unis pour le Deuxième circuit qui a reçu des arguments en faveur de Microsoft de diverses parties. Le gouvernement irlandais a présenté un mémoire affirmant que le mandat violait la directive sur la protection des données de l’Union européenne, les lois sur la protection de la vie privée en Irlande, et que le gouvernement américain aurait dû utiliser le Traité d’assistance juridique mutuelle de longue date entre les États-Unis et l’Irlande qui permet la collecte de données par des mandats locaux. Le Deuxième circuit des États-Unis s’est prononcé en faveur de Microsoft et le département de la Justice a fait appel à la Cour suprême.

Les arguments oraux sur l’affaire ont été entendus le 27 février. Cependant, en mars, le Congrès américain a voté, et le président a signé la Loi clarifiant l’utilisation légale des données à l’étranger (CLOUD Act). Cette loi a modifié le SCA pour obliger les fournisseurs de services basés aux États-Unis à restituer les données qui sont en leur possession, quel que soit l’endroit où les données se trouvent dans le monde. Sur la base de cette évolution, le Département américain de la justice a demandé à la Cour suprême de classer l’affaire comme sans objet et Microsoft ne s’y est pas opposé.

Même avant cette décision, d’importantes questions avaient été soulevées concernant l’accès du gouvernement américain aux données sur les citoyens d’autres pays. Le groupe de travail sur l’article 29 avait publié un rapport remettant en question le respect par les États-Unis des exigences des accords États-Unis/UE sur le bouclier de protection des renseignements personnels. Dans le rapport, ils ont recommandé que de nouvelles négociations entre les États-Unis et l’UE commencent à élaborer un plan pour combler quelques lacunes identifiées. Le Groupe de travail a averti que si aucune mesure n’était prise, il porterait la question devant les tribunaux pour faire invalider l’entente sur le bouclier de protection des renseignements personnels.

Impact sur le marché:

Tout cela se passe dans le contexte de l’entrée en vigueur du règlement général de l’UE sur la protection des données, qui impose des exigences strictes aux entreprises qui traitent les données des résidents de l’UE. Plus précisément, l’article 48 du règlement général de l’UE sur la protection des données stipule que:

Tout jugement d’une juridiction ou toute décision d’une autorité administrative d’un pays tiers imposant au responsable du traitement ou au sous-traitant de transférer ou de divulguer des données personnelles ne peut être reconnu ou exécutoire que s’il est basé sur un accord international, comme un traité d’assistance judiciaire mutuelle (MLAT), en vigueur entre le pays tiers requérant et l’Union ou un État membre, sans préjudice d’autres motifs de transfert en vertu du présent chapitre.

Cela contredit directement les exigences de la CLOUD Act qui annulent directement la nécessité d’utiliser l’approche MLAT.

Naturellement, on se demande quelles sont les lois les plus pertinentes, le statut des traités et des accords précédemment convenus, et quelques autres questions. Il est également susceptible d’avoir un impact significatif sur les entreprises américaines, car les abonnés passent aux fournisseurs de services de cloud dans leurs juridictions locales – ou du moins dans les juridictions qui n’ont pas de telles imbrications juridiques.

Echoworx est une entreprise basée au Canada, et la loi canadienne actuelle exige l’utilisation des traités d’assistance judiciaire mutuelle (MLAT) lorsque ces données sont stockées dans un pays étranger. Echoworx s’engage également à respecter les exigences légales et de confidentialité des pays dans lesquels elle opère. Echoworx continue d’ajouter des centres de données à travers le monde pour s’assurer que les données résident le plus près possible du pays ou de la région d’origine. Nous exploitons actuellement des centres de données aux États-Unis, au Royaume-Uni, en Irlande, au Mexique et au Canada pour nous assurer que les données peuvent être stockées et conservées conformément à la réglementation et à la législation auxquelles nos clients sont soumis.

Par David Broad CISSP, responsable de la sécurité de l’information et de la vérification, Echoworx

07 Mar 2018
GDPR

LE CRYPTAGE, POUR AIDER À ASSURER LA CONFORMITÉ AU RGPD (GDPR)

Depuis le 25 mai 2018, toutes les sociétés qui traitent des données personnelles dans l’Union Européenne (UE) doivent avoir recours à un niveau de sécurité élevé pour protéger les informations des citoyens de l’UE. En vertu du Règlement général sur la protection des données (RGPD) « General Data Protection Regulation (GDPR) », les entreprises qui ne prennent pas les mesures nécessaires pour protéger les données des personnes résidant dans les 28 pays de l’UE (avant le Brexit) sont passibles d’amendes pouvant atteindre 20 millions d’euros (21,9 millions de dollars), soit 4 % du chiffre d’affaires annuel global d’une entreprise. Les autorités de réglementation auront des pouvoirs accrus pour agir contre les entreprises qui ne se conforment pas.

Le RGPD établit la ligne de référence
David Broad, responsable de la sécurité de l’information et de l’audit chez Echoworx, affirme que le RGPD établit la base de référence sur la manière dont les entreprises doivent protéger leurs propres informations et celles de leurs clients. Les mesures de sécurité de base doivent également être compatibles avec tout service tiers utilisé par l’entreprise (comme Amazon), même si l’entreprise est localisée en dehors de l’UE. Les réglementations à travers l’UE : « étaient un patchwork assez large », dit Broad, et le RGPD harmonisera ces règles. L’UE a toujours eu des réglementations strictes, mais il y avait des problèmes importants si une entreprise faisait des affaires dans plusieurs pays, car les règles pouvaient varier d’un pays à l’autre.

« Elle était perçue par beaucoup comme un désavantage et un obstacle aux affaires », dit M. Broad. « Maintenant, il y aura une norme que tout le monde comprend et connaît. »

Une solution logique
Le cryptage est une solution logique pour ces entreprises et bien qu’il ne soit pas obligatoire ou la seule solution, le RGPD encourage son utilisation dans le cadre des meilleures pratiques pour protéger les informations sensibles contre les intrusions. Pour Jacob Ginsberg, Directeur principal chez Echoworx, le cryptage est de plus en plus considéré comme la méthode à privilégier pour protéger les communications en cours de transmission et pour sécuriser les informations stockées.

M. Ginsberg indique que les entreprises sont conscientes de l’importance du cryptage et de la sécurité pour contrer les cyberattaques et les atteintes à la protection des données et les utiliser. Le RGPD soutient le concept de sécurité et de protection de la vie privée au stade de la conception dès les premières étapes du développement, dit-il. Ces deux aspects – la protection de la vie privée et la sécurité – n’ont pas toujours fonctionné de façon conjointe et le RGPD aidera à les harmoniser. Le cryptage peut jouer un rôle dans le rapprochement de ces éléments.

L’importance du cryptage
La protection des informations en cours de transmission – que ce soit par courrier électronique ou sous forme d’échange de fichiers volumineux – peut représenter un défi pour certaines organisations, car elles peuvent ne pas avoir le contrôle sur le réseau ou le serveur de courrier électronique, et le serveur peut même ne pas se trouver dans l’UE, explique M. Broad.

« Vous ne pouvez pas simplement envoyer des données sur un réseau dont vous n’avez pas le contrôle », dit-il. Une entreprise peut utiliser une certaine forme de cryptage pour les données en cours de transfert ou choisir de ne pas envoyer de données cryptées par courrier électronique. Au lieu de cela, il pourrait envoyer un message anodin à un client lui demandant de se connecter au portail de l’entreprise pour récupérer les informations pertinentes.

Toutes les entreprises ne veulent pas créer un portail en raison des lourds investissements technologiques nécessaires ou parce qu’elles n’en ont pas toujours besoin. Par exemple, certaines entreprises peuvent n’avoir besoin d’un portail que pendant une courte période chaque année – par exemple pour recevoir des documents fiscaux annuels.

Tout comme Amazon fournit des solutions de commerce électronique pour les vendeurs qui ne veulent pas s’occuper de logistique, de paiements, de matériel et de stockage de données, les prestataires de cryptage tels qu’Echoworx peuvent aider les entreprises à se mettre en conformité avec le RGPD en fournissant des solutions et des services de cryptage pour aider les clients à protéger les données importantes.

Joignez-vous à nous
Mes collègues seront au Sommet Annuel de l’IdentityNorth au Mattamy Athletic Centre à Toronto, Canada, en Juin. Si vous prévoyez d’être en ville, venez rencontrer l’équipe ECHOWORX! Nous présenterons des cas concrets d’utilisation de la façon dont les organisations gagnent en valeur en intégrant le cryptage dans leurs procédés d’affaires, tout en sécurisant leurs communications. Inscrivez-vous aujourd’hui, rejoignez-nous pour discuter!

Par Christian Peel, VP Customer Engineering, Echoworx

 

14 Sep 2017
RGPD

RGPD : Réduire vos risques, protéger vos clients

Vous respectez les normes du RGPD, mais vous pouvez toujours être victime d’une violation, et les amendes sont élevées. Comment pouvez-vous minimiser les risques?

D’ici le 25 mai 2018, les entreprises faisant affaire avec des résidents de l’UE devront se conformer aux normes du règlement général sur la protection des données (RGPD) ou risquer des amendes allant jusqu’à 20 millions d’euros, ou 4% de leurs bénéfices mondiaux annuels. Mais même si votre entreprise respecte le règlement, les pirates informatiques continueront d’essayer d’obtenir vos données, et s’ils réussissent, vous pourrez faire face à des poursuites en recours collectif et à la destruction de la confiance des consommateurs durement acquise.

Et vous pouvez toujours faire face aux amendes du RGPD.

L’actualité est pleine de bonnes raisons qui justifient la méfiance des consommateurs, par exemple la violation d’Equifax en 2017 lorsque 143 millions de documents ont été volés, y compris les numéros de sécurité sociale qu’ils contenaient. Mais si vous pouvez prouver que vous avez pris toutes les mesures possibles pour protéger les personnes qui comptent sur vous, vos clients et les tribunaux sont plus susceptibles de vous donner le bénéfice du doute.

Le chiffrement est une étape obligatoire qui fait partie du RGPD, donc en vertu du règlement, vous devez convertir vos données en un format codé, difficile à ouvrir qui gère l’authentification, l’intégrité et la non-répudiation. Mais vous devez également mettre en œuvre la minimisation et la dé-identification des données.

En termes simples, la minimisation des données signifie que vous ne demandez ni ne conservez plus que nécessaire, tandis que la dé-identification supprime temporairement les liens entre les points de données et les individus qu’ils décrivent.

1. Minimisation des données

Avec autant de données personnelles disponibles, il peut être tentant de collecter et de recouper de nouvelles informations pour en savoir plus sur vos clients. Mais les consommateurs n’aiment cela et se méfient de plus en plus pour partager leurs données. Ainsi, alors que le nom et le numéro de téléphone d’un proche sur un compte de services financiers pourraient aider à vérifier la famille en cas de décès du titulaire du compte, demander les données relatives au lieu de travail du proche, c’est aller trop loin. Et vous dépassez les bornes si vous utilisez les données à des fins non acceptées par le client.

Le RGPD indique explicitement que vous devez limiter la quantité de données que vous collectez, ainsi que la manière dont vous les utilisez. Il indique également que vous ne pouvez utiliser les données qu’à des fins légitimes, et souligne l’importance d’avoir un plan pour détruire les informations une fois l’utilisation convenue terminée.

Et franchement, moins de données signifie qu’il y a moins à voler.

2. Dé-identification

Dans certains cas, votre établissement peut avoir besoin de certaines données liées directement aux noms des personnes, par exemple, la conservation des noms, des numéros de compte et des adresses pour la génération des relevés de compte. Cependant, d’autres groupes de travail n’auront pas besoin d’informations d’identification, mais devront peut-être pouvoir mettre un lien plus tard.

La dé-identification est différente de l’anonymisation, les informations sont toujours liées, mais des mesures sont prises pour les masquer. Il peut s’agir de donner des pseudonymes à des personnes, plus « k-anonymisation », qui cache ou remplace des détails qui pourraient exposer une identité, comme une date de naissance.

Comme partie du chiffrement, la dé-identification rend encore plus difficile l’utilisation d’informations volées par les pirates informatiques.

Les avantages de la réduction des risques

Bien que ce soit une loi de l’UE, il est utile de se conformer au RGPD, peu importe où votre entreprise fait des affaires. Le respect de ces normes, la minimisation de la collecte de données et la dé-identification vous aideront à protéger votre réputation, à motiver vos clients et à réduire votre risque global.

Vous voulez en savoir plus? Cliquez sur le lien ci-dessous pour regarder une discussion approfondie avec la créatrice de Privacy by Design, Dr. Ann Cavoukian, et savoir comment vous préparer pour le RGPD.

 Par Alex Loo, vice-président des opérations, Echoworx

08 Sep 2017
Respect de la vie privée dès la conception

Respect de la vie privée dès la conception – ou à cause d’une catastrophe?

Vous faites des affaires en Europe? Si c’est le cas, le RGPD peut vous infliger des amendes de 20 millions d’euros après le 25 mai 2018, sauf si vous avez mis en place des niveaux très élevés de protection de la vie privée dans vos systèmes.

Le Règlement général sur la protection des données (GDPR) protège la vie privée et les droits des personnes et entre en vigueur en mai. Il s’applique aux entreprises basées dans l’UE, ainsi qu’aux entreprises étrangères faisant des affaires dans l’UE. Le champ d’application couvre un large éventail de données personnelles, par exemple, les noms, les adresses e-mail, les médias sociaux, les coordonnées bancaires et les adresses IP des ordinateurs.

Pour les entreprises qui ne respectent pas le RGPD, il y a des amendes allant jusqu’à 20 millions d’euros ou jusqu’à 4% de vos bénéfices annuels mondiaux – un coup dur pour vos profits. La bonne nouvelle c’est qu’il existe une directive pour vous guider, connue sous le nom de Respect de la vie privée dès la conception, ou « PbD ».

La protection de la vie privée dès la conception
Le RGPD signifie suivre les sept principes PbD qui sont inclus presque textuellement dans le règlement.

1. Proactif non réactif ; préventif non réparateur Pensez à cela comme « protection de la vie privée dès la conception ou à cause d’une catastrophe ». Si vous intégrez la confidentialité, le chiffrement et la cybersécurité globale appropriés dans vos produits et services, vous risquez moins d’être victime d’une violation, ce qui signifie des amendes, des recours collectifs et une atteinte à votre réputation.

2. Protection de la vie privée par défaut Beaucoup de gens ne lisent pas les CLUF ou les longs documents juridiques des institutions financières. Facilitez l’utilisation de vos offres en respectant les plus hauts niveaux de confidentialité et de chiffrement, et demandez clairement l’autorisation spécifique d’utiliser les données du client à d’autres fins que celles prévues. Par exemple, ne cochez pas les cases afin que l’utilisateur final distrait ne donne pas la permission par accident.

3. Protection de la vie privée dès la conception Quel est le niveau de chiffrement de vos applications et systèmes de gestion des données? Cela doit être un fait par défaut, sans choix, intégré dans l’ensemble de votre architecture de données.

4. Fonctionnalité complète – une somme positive, pas une somme-zéro Il y a un argument selon lequel la sécurité totale et la confidentialité totale ne sont pas compatibles, mais c’est faux – un chiffrement fort vous permet d’avoir les deux. De plus, lorsque vos clients savent que vous l’utilisez, ils auront un niveau de confiance plus élevé et seront plus disposés à partager leurs données.

5. Sécurité de bout en bout – protection complète du cycle de vie Avec votre système conçu pour respecter et préserver la confidentialité à chaque contact, que se passe-t-il lorsque vous avez terminé avec vos données ? À partir du moment où un client donne son nom, jusqu’à la fermeture du compte, vous devez vous assurer que ses données sont gérées de manière sécurisée avant d’être détruites.

6. Visibilité et transparence – ça doit rester ouvert Soyez capable de démontrer que vous utilisez les données comme prévu à chaque étape. Mais vous devez également accepter de partager avec cette personne toutes les données que vous avez recueillies sur elle, car les données lui appartiennent. Et avoir accès à ces données signifie que cette personne peut corriger les erreurs et rendre les données beaucoup plus utiles pour vous.

7. Respect de la vie privée de l’utilisateur – l’utilisateur doit être au centre Être centré sur l’utilisateur signifie que votre entreprise et vos architectes de données sont proactifs en matière de protection de la vie privée des clients. Mais l’intégration d’un chiffrement fort des données et d’une cybersécurité globale ne se limite pas à la sécurité. L’investissement dans ces technologies et pratiques favorisera le respect et la confiance de vos clients, ce qui est une bonne chose, peu importe où vous faites des affaires.

Vous avez encore des questions ? Regardez notre webinaire, avec la créatrice de Protection de la vie privée dès la conception, Dr Ann Cavoukian, afin de mieux comprendre la préparation pour le RGPD.

Par Alex Loo, vice-président des opérations, Echoworx

14 Mar 2017
Echoworx | Email Encryption Solutions | GDPR: Will You Weather the Security Storm? 1

GDPR: ALLEZ-VOUS SURVIVRE À LA TEMPÊTE DE SÉCURITÉ ?

Vous vous imaginiez qu’une communication simplifiée et sécurisée avec les employés et les clients serait en tête de liste de contrôle de toute entreprise de services financiers, n’est-ce pas ? Que le besoin de confidentialité et de conformité réglementaire n’a jamais été aussi important ? D’autant plus que les données financières ont été parmi les plus souvent exposées et volées lors de récentes intrusions récentes. Réfléchissez encore une fois ! Notre sondage de l’an dernier a révélé qu’en dépit du fait que 83 % des professionnels des services financiers utilisent le courrier électronique plus que toute autre forme de communication, 23 % n’utilisent pas ou ne connaissent aucune des technologies de cryptage du courrier électronique et du partage de fichiers existants.

Il est temps pour les entreprises de fermer les portes, car le Règlement général sur la protection des données (RGPD) « General Data Protection Regulation (GDPR) » arrive et les entreprises sont préoccupées par son impact. La Commission européenne a adopté de nouveaux règlements panrégionaux, qui entreront en vigueur en avril 2018. Les entreprises qui ne se conforment pas aux nouvelles lois pourraient se voir infliger des amendes de 20 millions d’euros ou de 4 % du chiffre d’affaires global – le montant le plus élevé étant retenu. Les amendes de ce niveau auront un impact significatif sur toute entreprise. Vous n’avez qu’à regarder les coûts encourus par TalkTalk à la suite d’une violation de données très médiatisée l’an dernier (60 millions de livres sterling et une perte considérable de clients) – et vous pouvez voir des amendes de ce genre qui empêchent le CFO de dormir la nuit.
Nous avons organisé une table ronde à l’intention des DPI et des RSSI des sociétés de services financiers. La plupart ont admis qu’ils savaient qu’il fallait faire quelque chose au sujet de la conformité au RGPD, mais ils ne savaient pas par où commencer. Il est clairement ressorti de ces entretiens avec ces hauts responsables de l’industrie des services financiers que les entreprises sont tout à fait conscientes de la menace que représentent les cybercriminels et les pirates informatiques. Ils ont déjà pris des mesures visant à les contrer. Cependant, la pression pour réduire les coûts est une lutte ressentie par tous. Une étude menée par TheCityUK Cyber Taskforce (p.11) a révélé que 46 % des entreprises considèrent les cybermenaces comme une source de préoccupation majeure pour leurs activités, contre seulement 10 % dans la même enquête un an plus tôt.

Les courriels internes ne sont pas les seuls à devoir se protéger par un niveau de sécurité adéquat. La communication externe avec les clients nécessite également des mesures de sécurité. Les récits sur la cybercriminalité et les atteintes à la protection des données continuent de faire la une des journaux tous les jours, tandis que les consommateurs sont plus avisés que jamais en matière de technique et de sécurité. En fait, une enquête récente du ministère américain du Commerce a révélé que 45 % des consommateurs ont déclaré que les préoccupations liées à la cybersécurité les empêchaient d’effectuer des transactions financières en ligne.
Les institutions de services financiers devraient disposer de solutions de cryptage solides qui sont à la fois faciles à gérer pour l’entreprise et qui sont en même temps conformes aux besoins et aux attentes des clients. Les banques ont continué à résister parce qu’elles trouvent que c’est trop compliqué. Beaucoup affirment que les clients ne parviendront pas à comprendre comment utiliser des solutions de sécurité plus complexes. Ce n’est tout simplement plus une excuse. Il existe de nombreuses options sur le marché qui privilégient l’expérience utilisateur. Avec une puissante solution de cryptage de courriels, le processus est simplifié tant pour l’expéditeur que pour le destinataire.

Le coût d’une atteinte à la protection des données pour une organisation de services financiers va bien au-delà des implications financières (bien qu’avec la perspective d’amendes énormes dans le cadre du GDPR – c’est certainement une préoccupation importante). La réduction de la confiance des clients et les dommages à la réputation sont un facteur contributif tout aussi coûteux. Depuis longtemps, les sociétés du secteur des services financiers ont renforcé leurs mesures de sécurité au niveau des limites de leurs activités. Ils doivent maintenant étendre cette protection à leurs clients. Des questions comme les intrusions dans le système de TalkTalk, ainsi que les nouveaux pouvoirs d’espionnage du gouvernement sous la forme du projet de loi sur les pouvoirs d’enquête ont suscité plus d’inquiétude que jamais chez les clients quant à la sécurité de leurs données. Les banques doivent intervenir rapidement pour rassurer les clients et éviter qu’ils se tournent vers un rival plus sûr. En outre, toutes les entreprises de services financiers doivent s’assurer qu’elles se conforment au GDPR, en adoptant le cryptage des données personnelles et toute la notion de sécurité et de respect de la vie privée dans sa conception, avant qu’il n’entre en vigueur en 2018.

Le Règlement général sur la protection des données (GDPR) entre en vigueur en Europe en mai 2018, les entreprises américaines et canadiennes qui pensent que cela ne les affectera pas seront confrontées à un dur réveil – avec des amendes de 20 millions d’euros, ou 4% de votre revenu global, la valeur la plus élevée étant retenue!

Pour en savoir plus sur le GDPR regardez notre webinaire La protection de la vie privée au niveau de la conception
« Privacy by Design » avec la créatrice, Dr. Ann Cavoukian.

Par Jacob Ginsberg, directeur principal, Echoworx

Cet article a été publié initialement dans la Global Banking & Finance Review

06 Jan 2017
National Security Laws

UN RÉTABLISSEMENT BIENVENU EN FAVEUR DU RESPECT DE LA VIE PRIVÉE DES CITOYENS

Consultation publique du Canada sur la sécurité nationale
L’idée que nous sommes scrutés par des moyens de contrôle numérique est devenue, apparemment du jour au lendemain, quelque chose que beaucoup de gens acceptent maintenant comme une réalité de la vie dans le monde moderne et post-Snowden. Comme toujours, la plupart des actualités concernant la protection de la vie privée des citoyens se sont concentrées sur les États-Unis, mais sommes-nous en marge concernant cela ? Le Canada qui participe activement au programme Five-eyes, a lancé le désormais politiquement toxique projet de Loi C-51 (Bill C-51), et en tant que membres de l’OTAN, du NORAD et avec un nombre suffisant d`acronymes pour remplir une soupe aux lettres de l’alphabet, nous jouons un rôle très actif. Sans parler de la façon dont nous sommes connectés au niveau personnel avec le monde extérieur. Je suis peut-être Canadien, mais je ne me fais pas d’illusions concernant mes données – j’existe en ligne, avec mes habitudes d’achat et de voyage, les recherches sur le Web, les courriels et les conversations sur les médias sociaux, les émissions de télévision que je regarde et, très souvent, ma localisation sur d’innombrables serveurs dans le monde – et il en va de même pour vous. La question la plus intéressante, maintenant que la surveillance extrajudiciaire est devenue la norme de facto, est de savoir comment les gouvernements ont réagi et comment, sur le plan politique, devons-nous procéder maintenant?

Attirée vers le côté obscur
Les États-Unis et le Royaume-Uni ont décidé d’aller dans une direction, tentant d’entraîner la surveillance extrajudiciaire dans un cadre de légitimité. Aux États-Unis, le FBI tente d’utiliser le All Writs Act pour obliger Apple à développer des logiciels qui briseraient leurs mécanismes de sécurité, l’utilisation acceptée des appareils Stingray au niveau local, et la liste continue. Le Royaume-Uni a également réfléchi à la législation du projet de loi sur les pouvoirs dans le cadre d’enquêtes (Investigatory Powers bill) qui obligerait les fournisseurs de services Internet, les sociétés de télécommunications et d’autres services sur lesquels vous comptez à communiquer des informations sur vos habitudes sans aucun mandat. Le Canada, de son propre chef, a pris des mesures concernant le côté obscur. Le projet de loi C-51, par exemple, était une débâcle si préoccupante que les Libéraux ont dû réaffirmer que oui, en fait, ils croient toujours à la Charte. Plus récemment, cet été, l’Association canadienne des chefs de police (Canadian Association of Chiefs of Police) a commencé à revendiquer avec véhémence le droit d’obtenir les mots de passe téléphoniques des gens dans le cadre d’une enquête.

La possibilité pour le rétablissement de la situation
Mais il semble qu’on nous ait donné l’occasion de refaire les choses. Cette année, le gouvernement canadien a ouvert plusieurs périodes de consultation publique sur la sécurité nationale et, plus précisément, sur la façon dont il adaptera les enquêtes à l’ère du numérique. Il s’agit d’une mesure encourageante pour permettre aux citoyens d’exprimer leurs préoccupations et d’apporter des améliorations aux lois et règlements du Canada en matière de sécurité nationale, notamment le projet de loi C-51. Et bien qu’il faut être deux pour faire un tango, et que certains citoyens hésitent quant à l’efficacité de ces consultations et de la réponse du gouvernement, il incombe à notre démocratie de répondre et de s’adapter, d’une manière accommodante pour le public, comme c’est leur marque de fabrique.

La voix de la résistance
Heureusement, la voix de la résistance et, dans ce cas, de la raison, continue de se faire entendre de plus en plus fort dans le monde entier quand il s’agit de la protection de la vie privée par opposition à la sécurité. Apple était prêt à braver le gouvernement plutôt que de compromettre publiquement la sécurité de ses utilisateurs. Alex Stamos, ancien RSSI de Yahoo, a remis sa démission lorsqu’il a appris l’existence d’un programme secret permettant au gouvernement de fouiller les courriels de tous les utilisateurs de Yahoo, en temps réel et sans qu’un mandat soit nécessaire. Avec la consultation publique, nous avons aussi l’occasion d’exprimer notre désaccord face à ces fortes tendances à l’invasion de la vie des citoyens et à la suppression des obstacles empêchant de porter atteinte à la vie privée.

Maintenant que le gouvernement a rendu publique votre réaction au projet de loi #C51, nous avons des suggestions pour vos prochaines étapes ! https://t.co/NFoWF6L02E #cdnpoli pic.twitter.com/PlkZQCaFyb

— OpenMedia (@OpenMediaOrg) 28 février 2017

Ainsi, avec des centaines d’autres membres du secteur de la sécurité au Canada, j’ai pris part à la période de consultation publique que le gouvernement avait consacrée à la sécurité nationale. J’espère que vous avez fait la même chose. C’était l’occasion de défendre nos droits fondamentaux et de rétablir notre législation sur la protection de la vie privée des citoyens.

Le nouveau projet de loi antiterroriste d’Ottawa pour limiter les pouvoirs des agences d’espionnage, pour assurer une meilleure surveillance. (Ottawa’s new anti-terror bill to limit powers of spy agencies, offer more oversight https://t.co/J1WKHiwHUY @GlobePolitics #cdnpoli

The Globe and Mail (@globeandmail) 20 juin 2017

Aujourd’hui, nous attendons de voir comment, face à une telle puissance technologique, ce gouvernement décide de traiter ses citoyens – comme une mine d’information à exploiter, ou comme la ressource la plus précieuse du pays à protéger. Nous allons surveiller cela.

Par Jacob Ginsberg, Directeur principal, Echoworx

27 Mai 2016
encryption laws

TOUT D’ABORD L’IP BILL, ET PUIS QUOI ENCORE?

Face au débat démocratique, contre toutes les clameurs des organisations de défense des droits de l’homme, des entreprises mondiales de technologie comme Facebook et Google, des avocats, des journalistes et une foule d’universitaires ; on dirait que c’est avec une désinvolture regrettable que le projet de loi sur les pouvoirs d’enquête sera adopté plus tard cette année.

Le dessein du gouvernement britannique en matière de surveillance systématique ouvre la porte à un « espionnage » aveugle et intrusif. En outre, les dispositions établies par Teresa May pourraient remettre en question presque toutes les mesures de cybersécurité et de cryptage actuellement en place. Ces deux arguments puissants et convaincants ont été discrètement avancés au parlement et semblent avoir été rejetés par le gouvernement britannique.

L’impact du projet de loi sur les droits de l’homme de la population britannique sera énorme, mais les conséquences mondiales et économiques ont été très peu prises en compte. Le projet de loi, tout en coûtant au pays des milliards de en termes d’affaires perdues, pourrait aussi légitimer des pratiques aussi lourdes dans d’autres pays.

Le gouvernement britannique a montré que même dans l’un des pays les plus développés sur le plan technologique, la protection de la vie privée peut être menacée par l’encerclement du processus démocratique. Le message du Royaume-Uni est clair: il est acceptable d’adopter des lois ambiguës sur l’espionnage avec très peu de soutien. Cela crée un dangereux précédent et fait courir le risque réel que d’autres pays adoptent une démarche similaire en utilisant une absence générale de compréhension en capitalisant sur la peur pour faire adopter des lois qui détruisent la vie privée des utilisateurs.

D’autres grands États envisagent déjà des mesures similaires. Les parlementaires français ont récemment réformé un projet de loi pénale qui sanctionnerait les entreprises qui refusent de fournir des versions décryptées de messages dont les produits sont cryptés. Pour l’instant, le gouvernement français a rejeté le chiffrement des portes dérobées comme « la mauvaise solution », mais le débat est à son point de basculement.

Après que WhatsApp a annoncé qu’il pousserait le cryptage plus loin dans son usage de tous les jours, il sombra immédiatement dans une situation délicate au Brésil pour ne pas avoir stocké les messages exigés par les tribunaux du pays. Après divers retards, Google est également passé au cryptage par défaut dans la version la plus récente d’Android, tandis qu’Amazon a fait marche arrière, promettant que le cryptage fera un retour sur son nouveau système d’exploitation Fire. De façon plus infâme, le débat FBI contre Apple a duré encore et encore, et semble finalement s’être arrêté sans résultat.

Ce qui est clair, c’est qu’à travers le monde, il y a de plus en plus de divergences entre les gouvernements et les entreprises technologiques. Le Royaume-Uni a créé un précédent: il suffit d’adopter des lois draconiennes en matière de surveillance et le problème est réglé.

Les répercussions mondiales sont énormes, mais le projet de loi coûtera aussi aux contribuables de deux façons tangibles. Le gouvernement estime que la mise en œuvre du projet de loi coûtera 174 millions de livres sterling, tandis que les experts estiment que ce chiffre dépassera largement un milliard de livres sterling. Ces chiffres sont basés sur un système similaire qui a été rejeté pour des raisons de coûts au Danemark, et ont été augmentés proportionnellement pour le Royaume-Uni.

Cependant, le coût économique est beaucoup plus important lorsque les entreprises fuient les côtes britanniques lorsque le projet de loi est adopté. Les entreprises craignent que le projet de loi proposé n’introduise la sécurité de l’État au cœur des opérations quotidiennes et, et par conséquent, ils déplaceront leurs quartiers généraux plus loin. Le marché britannique du stockage et de l’hébergement de données serait paralysé et le pays pourrait perdre plus de 10 milliards de livres sterling d’affaires presque du jour au lendemain.

Le projet de loi n’inspire guère confiance, d’autant plus que la mise en œuvre et les ramifications semblent à peine avoir été prises en compte. Une guerre pour le chiffrement est susceptible de faire rage, et son impact sur l’économie numérique et la vie quotidienne ne peut être surestimé.

Par Jacob Ginsberg, Directeur principal, Echoworx

Cet article a été publié initialement dans Info Security Magazine.