Catégorie : Information et la sécurité.

27 Nov 2018
protecting your customers is more than just building a bigger firewall

Le monde est-il complètement chamboulé ? Confiance, paradoxe et cryptage numériques

Gagner la confiance d’un client est une récompense qui ne se gagne qu’après de nombreuses années d’attention à votre marque, de service irréprochable et de qualité de produit. Et un client en confiance est un client loyal sur lequel vous pouvez compter pour travailler avec vous en toutes circonstances, peu importe la situation.

N’est-ce pas ?

Pas tout à fait.

Lorsqu’il s’agit de gagner la confiance du public à l’égard du numérique, les méthodes traditionnelles peuvent être ébranlées rapidement. Curieusement, par opposition aux relations précieuses hors ligne que vous entretenez avec tant de soin, acquérir la confiance dans le numérique est un jeu d’enfant, où les utilisateurs sont plus susceptibles de partager avec vous plus de détails personnels plutôt qu’une personne dont ils se font la complice. En fait, selon une étude d’Echoworx, l’utilisateur moyen ne prend que 30 secondes pour évaluer la sécurité d’un courriel avant d’envoyer ses données les plus personnelles.

Ça a l’air sympa ? Ça l’est effectivement. Peut-être même un peu trop – puisque la facilité pour inciter les clients à faire confiance à votre marque en ligne s’accompagne d’une énorme responsabilité dont le prix est trop élevé pour les personnes non préparées au numérique. Et vous n’êtes qu’à une erreur de les perdre à jamais – avec 80 % des clients qui envisagent de quitter votre marque après une brèche au niveau de la sécurité.

Donc, étant donné que votre organisation investit tant d’argent et de temps à bâtir son image de marque, pourquoi prendre le risque de ne pas protéger de façon adéquate les données sensibles pour éviter que tout ne s’écroule ? C’est là que les investissements préventifs dans l’infrastructure de cyber sécurité commencent soudainement à prendre tout leur sens – dans le sens organisationnel du terme.

Dans le passé, la cybersécurité était généralement perçue comme une question relevant davantage de la sphère interne. En termes simples, le mantra était le suivant : si vous empêchez les méchants d’entrer, l’argent reste à la banque. Mais, compte tenu de la perspective actuelle, centrée sur la clientèle, sur la façon de fournir des services numériques et des menaces réelles que représentent les attaques ransomware, cette conception a évolué vers un problème organisationnel – une crise touchant les marques.

Dans ce cas, comment éviter de perdre vos clients ?

Facile : Il faut les protéger.

Et protéger vos clients, c’est bien plus que mettre en place un pare-feu plus important. Vous devez également tenir compte des données sensibles qui sortent de votre parc informatique cloisonné. Alors que le cryptage est un moyen efficace de sécuriser vos communications, les solutions peu pratiques font passer vos messages pour du spam – au détriment de l’utilisateur final ou du client, ce qui va à l’encontre du but recherché.

Les messages cryptés sécurisés doivent avoir un aspect authentique et être flexibles pour répondre aux besoins de votre clientèle. L’image de marque, les langues et tout autre détail propre à chaque entreprise devraient être personnalisables de manière à ne pas affecter l’expérience utilisateur. Cela permet non seulement d’éliminer la confusion (quelque chose qui plaît aux fraudeurs), mais c’est aussi simplement un bon service pour les clients.

Vous devez également envisager d’offrir plusieurs méthodes de transmission pour répondre aux différents besoins des clients. Par exemple, vous souhaitez parfois crypter un document, pas un message entier. Vous pouvez rechercher une méthode de transmission qui permet le cryptage des pièces jointes uniquement.

Plus vos messages cryptés reproduisent l’aspect et la convivialité de vos communications régulières, sans sacrifier l’expérience utilisateur, vos clients accorderont davantage leur confiance aux interactions en lignes avec vous. Et plus vous les protégez, moins vous risquez de subir une intrusion catastrophique. C’est ainsi qu’investir dans la confidentialité des données est non seulement bon pour protéger votre infrastructure organisationnelle, mais aussi pour votre entreprise, votre marque et tout simplement pour un bon service client.

Par Lorena Magee, vice-présidente du marketing chez Echoworx

27 Nov 2018
TLS encrypted delivery

Est-ce que le TLS est une solution adéquate pour les courriels sécurisés ?

Lorsqu’il s’agit de recueillir des données sensibles des clients, vous ne pouvez tout simplement pas vous permettre de prendre le moindre risque. Vos clients vous font confiance et vous devez les protéger, ainsi que leurs données les plus personnelles. Mais, bien qu’il soit important de protéger votre périmètre numérique, votre entreprise doit également s’assurer que les données sensibles restent sécurisées pendant le transport.

Une des méthodes pour y parvenir est d’utiliser une solution de cryptage TLS. Mais qu’est-ce que le TLS exactement ? Comment fonctionne-t-elle ? Et quand est-ce que c’est assez bon pour les courriels sécurisés ?

Voici ce que vous devez savoir sur le TLS :

Qu’est-ce que TLS ?

En termes plus simples, TLS (Transport Layer Security) est une méthode de cryptage de la connexion entre deux parties communiquant sur Internet – pensez à un tunnel crypté. TLS peut être appliqué au courrier électronique pour éviter que des yeux indiscrets puissent voir les messages en cours de transmission – ou accéder aux données transmises entre un utilisateur et un site Web. La facilité de ce type de cryptage des messages en fait l’un des modes de transmission les plus populaires.

Quand faut-il accroître la sécurité des messages ?

Le TLS est l’une des méthodes les plus simples et les plus simples pour transmettre des messages sécurisés. Mais est-il assez sûr ? Cela dépend – à vous de nous le dire.

Avez-vous accès à d’autres méthodes de cryptage si une connexion TLS n’est pas disponible ? Quels sont exactement vos besoins en matière de sécurité ? Vous vous méfiez des sociétés tierces, comme Google via Gmail, qui scannent votre correspondance ? Êtes-vous préoccupé par les Attaques de l’homme du milieu « man-in-the-middle », où une connexion sécurisée est compromise ? Ce ne sont là que quelques-unes des questions auxquelles vous devez répondre pour déterminer si le TLS est suffisamment sécurisé pour vous.

Que faire pour renforcer la sécurité des messages ?

Bien que les messages standards avec un cryptage TLS aient leurs avantages, cette méthode de transfert ne répond pas toujours aux besoins de chacun de vos clients. C’est pourquoi Echoworx OneWorld va plus loin en offrant automatiquement un plus grand nombre de méthodes de cryptage de la transmission. OneWorld offre également de la flexibilité au sein de l’environnement TLS – avec la possibilité de créer des politiques spécifiques pour l’utilisation de TLS et des pieds de page de courriel de marque signalant que le message a été transmis de façon sécurisée.

Existe-t-il des alternatives sécurisées au TLS ?

Dans les cas où TLS n’est pas une option souhaitable, vous devez disposer d’autres options – pour vous assurer qu’aucun message n’est envoyé sans cryptage ou dans un environnement compromis. Par ailleurs, il existe une variété d’autres options de transmission sécurisée, allant des méthodes de cryptage à clé publique, comme S/MIME et PGP, aux portails Web protégés.

La plateforme de cryptage OneWorld d’Echoworx offre toutes ces options, ainsi que des pièces jointes cryptées. Et comme OneWorld vérifie si le TLS est disponible avant le transfert, les messages sensibles ne sont jamais envoyés non cryptés.

Consultez plus de méthodes de transmission de messages sécurisés.

Par Christian Peel, VP Ingénierie, Echoworx

22 Oct 2018
Am i a data controller or data processor

UNE UNION RÉALISÉE DANS LE CLOUD : LE RESPONSABLE DU TRAITEMENT DE DONNÉES ET LE SOUS-TRAITANT DE DONNÉES

Le Règlement général sur la protection des données (GDPR) de l’UE est entré en vigueur le 25 mai 2018. En particulier, le GDPR donne aux particuliers un plus grand contrôle sur leurs données personnelles, et il exige que les entreprises précisent clairement les raisons pour lesquelles elles recueillent ces informations. Dans le cadre du GDPR, les sociétés qui accèdent à l’information sur les clients sont définies comme étant des responsables du traitement et/ou des sous-traitants. Toute entreprise qui fait des affaires au sein de l’UE ou avec des citoyens ou des résidents de l’UE doit se conformer au GDPR, même si elle est basée en dehors de l’Europe.

Quelle est la relation entre les responsables du traitement et les sous-traitants ?

Le responsable du traitement est la personne, l’entreprise ou l’agence qui détermine quelles données seront collectées, auprès de qui et dans quel but. Le responsable du traitement détermine également où et comment les données à caractère personnel sont stockées et gérées. Le sous-traitant est la personne, la société ou l’agence qui traite les données pour le compte d’un responsable du traitement. En effet : le responsable du traitement est à la recherche d’un stockage de données, et le sous-traitant fournit le stockage. Mais les deux sont assujettis au GDPR.

Dans la plupart des cas, les responsables du traitement téléchargent les données vers un processeur. Le responsable du traitement traitera ensuite les données et les stockera dans le nuage. Comme le responsable du traitement conserve le contrôle des données, il est essentiel de faire confiance au responsable du traitement.

Voici quelques questions à considérer :

  • Savez-vous où se trouvent les serveurs de vos sous-traitants ?
  • Est-ce que votre sous-traitant se conforme au GDPR ?
  • Leurs procédures en matière de cloud sont-elles sécurisées ? Peuvent-ils le prouver à l’aide d’audits effectués par des tiers ?
  • Est-ce que votre sous-traitant est certifié WebTrust ? Sont-ils en conformité avec SOC2 ?

 

Les responsables du traitement doivent également être clairs sur les politiques de conservation des données. Les personnes doivent savoir combien de temps leurs données seront conservées, et les données ne peuvent être conservées au-delà du temps nécessaire. À la fin de cette période, toutes les données doivent être détruites. Les sous-traitants qui sauvegardent des données dans plusieurs systèmes doivent mettre en place des procédures pour s’assurer qu’elles peuvent être supprimées.

En tant qu’entreprise de traitement de données, Echoworx ne distribue du courrier qu’aux utilisateurs finaux. Nous stockons tous les courriels sous forme cryptée et les supprimons rapidement. Nous sommes en totale conformité avec le GDPR.

Qu’est-ce que cela signifie pour moi ?

Il existe de nombreux cas où les entreprises peuvent rencontrer des points de contact dans la relation entre le responsable du traitement et le sous-traitant. Prenons l’exemple des services bancaires : vous êtes peut-être une grande banque qui a tout simplement trop de clients pour fournir un cryptage de données fiable et efficace en interne. Votre banque signe une entente contractuelle avec un fournisseur de cryptage tiers pour crypter et envoyer de gros volumes d’états financiers sécurisés. Étant donné que vous conservez le contrôle des coordonnées du client et des détails du relevé, votre rôle dans cette relation est celui d’un contrôleur de données – alors que la plate-forme de cryptage tierce partie, qui traite les données pour un transit sécurisé, est le processeur de données.

En fin de compte, vous êtes responsable d’assurer la sécurité des données sensibles des clients, qu’il s’agisse d’informations aussi simples que leur adresse ou plus complexes comme leur historique financier. De plus, en vertu de règlements comme le GDPR et de règlements encore plus récents, comme l’AB 375 de la Californie, vous êtes également responsable de vous assurer que vos sous-traitants de données tiers respectent les normes de sécurité que vous leur imposez.

Pour vous aider à établir une base de référence de ce qui est nécessaire, vous pourriez faire appel à un audit de cybersécurité réalisé par un tiers – voici ce que vous devez savoir.

Le Cybersecurity Leadership Exchange Forum (CLX Forum) offre de nouvelles perspectives

Une analyse approfondie du GDPR et de ses implications est fournie par le Forum CLX, une communauté de réflexion du leadership canadien, dans son livre Canadian Cybersecurity 2018 : An Anthology of CIO/CISO Enterprise Level Perspectives. Parmi les nombreuses observations les plus intéressantes, Edward Kiledjian, VP Information Security, Compliance and CISO chez OpenText, aborde la question de savoir à qui appartiennent les informations personnelles. Bien que cette question n’ait pas encore été tranchée en Amérique du Nord, le GDPR indique clairement qu’en Europe, les particuliers sont désormais propriétaires de leurs données. À tout moment, un citoyen de l’UE peut révoquer le droit d’une organisation de stocker ses données personnelles. Et si un citoyen de l’UE demande à une entreprise de détruire des données, l’entreprise doit le faire dans un délai d’un mois. Il est également important de noter que les données recueillies précédemment ne sont pas exemptées de ce règlement. Si votre entreprise a déjà recueilli des données auprès de résidents de l’UE dans le passé, les responsables du traitement doivent obtenir leur consentement pour l’utilisation actuelle de ces données. [1]

Un autre aspect important du GDPR est que son agence de réglementation teste activement la sécurité. Dans le cadre de ce processus, elle mesure également la façon dont les entreprises réagissent aux attaques. Comme le souligne Amir Belkhelladi, associé, Risk Advisory, chez Deloitte Canada, les conseils d’administration des sociétés sont maintenant directement responsables devant l’organisme de réglementation de GDPR. Les conseils doivent comprendre comment les données sont collectées, utilisées, sauvegardées et supprimées. Ils doivent également s’assurer que la direction suit ces nouveaux règlements. [2]

Des Sanctions à travers des amendes.

Avant le GDPR, les entreprises se faisaient surtout du souci quant à l’impact sur la réputation d’une atteinte à la cybersécurité. Aujourd’hui, en plus des dommages coûteux causés aux marques, les failles de sécurité ont de graves conséquences financières. Les entreprises qui ne protègent pas suffisamment les données peuvent se voir infliger des amendes allant jusqu’à 20 millions d’euros, soit 4 % de leur chiffre d’affaires annuel global, le montant le plus élevé étant retenu. Les entreprises n’ont que 72 heures pour signaler un incident, et elles sont tenues d’aviser les clients « sans délai indu » après avoir pris connaissance d’un incident.

Les entreprises qui ne fournissent pas de biens ou de services aux résidents de l’UE ne sont pas tenues de se conformer au GDPR. Mais le protocole GDPR s’applique également aux résidents de l’UE résidant à l’étranger et aux entreprises qui engagent des tiers ayant des liens avec des pays de l’UE. Pour ceux qui continuent à faire des affaires en Europe, la protection de la vie privée par la conception deviendra leur nouveau mot d’ordre. Les organisations doivent s’assurer que leurs systèmes répondent à ces normes strictes. Certaines petites organisations décideront-elles qu’elles ne peuvent plus faire affaire avec des citoyens de l’UE ? Presque certainement. Mais pour chaque entreprise opérant en Europe, la mise en conformité devrait être obligatoire. Et comme GDPR est l’ensemble le plus rigoureux de règlements sur la protection de la vie privée jamais adoptée, les entreprises qui sont en conformité peuvent être assurées qu’elles sont en conformité à l’échelle mondiale.

Par Nicholas Sawarna, Sr. Spécialiste en Content Marketing, chez Echoworx


[1] CLX Forum, Chapter 12, “General Data Protection Regulation (GDPR)”

[2] CLX Forum, Chapter 3, “Coaching Your Board and Leadership Peers on Cybersecurity Issues”

17 Oct 2018
trust is the new currency in banking

Comment la « confiance » est-elle devenue la nouvelle devise dans le secteur bancaire ?

Un récent sondage d’Echoworx révèle que près de la moitié des clients envoient des renseignements personnels par courriel et font confiance à la sécurité d’un courriel en 30 secondes ou moins. Mais cette confiance est-elle garantie ?  Lorsqu’on les interroge, seulement 40 % des entreprises qui disposent de moyens de cryptage utilisent largement cette technologie pour protéger les données sensibles – un tiers des e-mails qui devraient être cryptés étant envoyés sur des réseaux non sécurisés. Ce qui est plus préoccupant, c’est que la plupart des atteintes à la protection des données ne sont pas détectées et que 61 % des employés admettent avoir envoyé des renseignements confidentiels par courriel non crypté.

La confiance est primordiale

Mark Carney, Gouverneur de la Banque d’Angleterre, affirme que le fait de préserver la confiance du public est la fonction principale des banques centrales. En outre, le « passé, le présent et l’avenir » des institutions financières sont tributaires de la confiance du public.

Et pour pouvoir inspirer de la confiance, selon une récente étude de Javelin, une banque doit être fiable dans la manière dont elle protège les données sensibles des clients. Cette fiabilité se traduit par la façon dont les données personnelles sont sauvegardées, les mesures proactives mises en place pour empêcher tout accès non désiré à leurs comptes et les formules d’indemnisation en place en cas de perte ou de fraude.

Quelles seront les répercussions du GDPR ?

Avec l’adoption récente du GDPR (RGPD) dans l’UE, les institutions sont désormais tenues de rendre publique toute infraction dans les 72 heures. Cela aura presque certainement une incidence sur la perception des consommateurs à l’égard des banques et de leurs mesures de sécurité, d’autant plus que la perception du public est en contradiction avec la réalité à cet égard : un établissement sur quatre a été piraté, mais seulement 3 % des clients pensaient que leur propre établissement avait subi ce sort. Parlant de la nature éphémère de la confiance, Mark Carney a déclaré : « La confiance arrive à pied, mais part en Ferrari. » Dans le sillage du GDPR, un plus grand nombre d’institutions risquent de comprendre cela.

Les données des clients : un atout et une responsabilité

La confiance dans les institutions financières incite davantage de clients à partager leurs données. 60 % des clients sont prêts à échanger des données personnelles en échange de certains avantages – par exemple, des tarifs réduits sur un produit financier. Les millénaires sont le groupe qui est le plus disposé à partager leurs données ; ils sont aussi le groupe qui est le plus au courant de leurs données et de la façon dont les banques les recueillent. Les baby-boomers et les personnes âgées ont un niveau de confiance élevé, mais cela ne se traduit pas par une disposition à partager leurs données.

Les institutions financières savent que 65 % des clients choisissent leur institution financière en fonction de la confidentialité et de la sécurité. Par conséquent, plus de la moitié des clients ont confiance en leur institution financière principale.

Mais dans quelle mesure la confiance peut-elle subsister en cas d’atteinte à la protection des données ? 86 % des clients ont indiqué qu’ils changeraient d’institution financière en cas d’atteinte à la protection des données, et ceux qui privilégiaient la confidentialité et la sécurité seraient bien placés pour conquérir une partie de cette clientèle.

En réalité, il est évident que de nombreux clients trouveraient que changer de prestataire est un inconvénient. Mais même si ces clients ne s’en vont pas, ils limitent quand même leurs activités : 35 % des clients ont déclaré qu’ils allaient réduire le nombre de transactions qu’ils effectuent, 28 % redistribueraient certains actifs à un autre fournisseur et 28 % seraient prudents quant aux investissements supplémentaires qu’ils feraient dans leur institution. Dans tous ces cas de figure, la banque aurait un impact financier.

Les banques peuvent tout de même instaurer la confiance envers le numérique

Il existe de nombreuses façons pour les banques d’instaurer la confiance des clients à l’égard du numérique, ce qui se traduira par un engagement et une fidélisation accrus des clients. En voici quelques-unes des plus importantes :

  1. Mettre l’accent sur le client. Les banques devraient se focaliser sur les services numériques dont les clients ont besoin et qui sont dans leur meilleur intérêt. Cette vision axée sur le client devrait se manifester à tous les niveaux de l’institution.
  2. Éliminer les sources de frictions. Supprimez les erreurs et simplifiez les services numériques. S’efforcer de comprendre pourquoi les clients ont des difficultés : cela permettra d’obtenir une solution durable.
  3. Communications sécurisées à travers le marquage. Les clients ne doivent jamais être induits en erreur par les communications numériques, que ce soit au niveau des paiements ou des relevés électroniques. Les courriels malveillants imitent vos communications authentiques dans le but de tromper vos clients. Toute communication sécurisée nécessite un marquage (branding) adéquat et des options en matière de langue.
  4. Protéger les clients. Mettre en place des stratégies pour protéger les données et protéger la vie privée des clients. Se défendre activement contre les menaces à la cybersécurité à l’aide de mesures proactives – comme le cryptage.

La confiance attire les clients et les encourage à rester. La confiance permet aux banques d’accéder à l’information qui leur permet d’améliorer leurs services. La confiance est la devise que les clients apprécient par-dessus tout. Il n’y a pas de doute : les institutions qui privilégient la confiance, qui la placent au cœur de leur façon de faire des affaires, prospéreront, même dans un contexte difficile où les menaces sont en constante évolution.

Par Derek Christiansen, responsable de l’engagement, Echoworx

———

[1] https://www.bloomberg.com/news/articles/2018-05-25/boe-s-carney-says-central-banking-comes-down-to-trust-in-money

[2] https://www.javelinstrategy.com/sites/default/files/18-4003J-FM-2018%20Trust%20in%20Banking%20Awards%20Whitepaper.pdf

[3] https://www.javelinstrategy.com/sites/default/files/18-4003J-FM-2018%20Trust%20in%20Banking%20Awards%20Whitepaper.pdf

01 Oct 2018
Sécurité 101

GUIDE DE SÉCURITÉ DE BASE: UN THESAURUS 2018 POUR LA SÉCURITÉ DE L’INFORMATION

On accorde beaucoup d’importance à la sécurité des données dans le monde numérique d’aujourd’hui, et c’est vraiment le besoin du moment – vous trouverez ci-dessous des réponses à certains des sujets les plus pertinents en matière de sécurité informatique.

Slava Ivanov, Ingénieur logiciel éminent chez Echoworx avec ses années d’expérience progressives dans la fourniture de solutions de sécurité pour résoudre les défis d’affaires, couplé à sa connaissance approfondie des cycles de développement logiciel est engagé dans le développement d’un Thésaurus 2018 pour la sécurité de l’information.

 

NOVEMBRE |

 

Q : QU’EST-CE QUE L’INGÉNIERIE SOCIALE ?

R : L’ingénierie sociale est l’art de manipuler les gens pour qu’ils dévoilent des informations confidentielles. Même les systèmes les plus sécurisés qui ne peuvent être pénétrés par des moyens numériques ou cryptographiques peuvent être compromis par un simple appel téléphonique à un employé de la société ciblé et en se faisant passer pour un collègue ou un employé du service informatique. Certaines techniques d’ingénierie sociale bien connues incluent l’hameçonnage, le détournement de clic, l’hameçonnage par téléphone, et le baiting (appâtage). Il n’existe pas de solution miracle pour prévenir une attaque d’ingénierie sociale, mais la meilleure défense est la formation des utilisateurs et de les sensibiliser à la sécurité.

Q : VULNÉRABILITÉ VS EXPLOIT : QUELLE EST LA DIFFÉRENCE ?

R : Une vulnérabilité de sécurité est une faille de sécurité involontaire d’un logiciel ou d’un système qui le laisse ouvert à une exploitation potentielle, comme un accès non autorisé ou un autre comportement malveillant, comme des virus, vers et autres programmes malveillants. Le terme « exploit » est un autre terme pour désigner une vulnérabilité de sécurité, cependant il désigne un problème de sécurité en cours, et non pas un problème potentiel. Par exemple, une serrure endommagée sur la porte de votre chalet serait une vulnérabilité qui doit être corrigée le plus rapidement possible. Mais une serrure de porte endommagée dans une grande ville serait un exemple d’exploit – il pourrait y avoir des gens dans les environs, qui exploitent activement cette vulnérabilité connue.

Q : QU’EST-CE QU’UN PENTEST (TEST D’INTRUSION) ?

R : Un Pentest est une forme abrégée pour un test d’intrusion. Il s’agit d’un exercice de sécurité où un expert de confiance en cybersécurité va tenter de trouver les vulnérabilités d’un système avant que les intrus malveillants puissent les exploiter. Pour produire un rapport de test d’intrusion, le système est ciblé par des attaques simulées : force brute, injections SQL, etc. Les résultats sont ensuite partagés avec l’équipe de sécurité de l’entreprise ciblée pour la mise en œuvre des correctifs de sécurité et des correctifs ultérieurs. Afin d’assurer la sécurité du système, le test d’intrusion doit être effectué régulièrement, surtout lorsque de nouvelles technologies sont ajoutées.

Q : QU’EST-CE QUE LA CIA A À VOIR AVEC LA CYBERSÉCURITÉ ?

Dans le monde de la sécurité informatique, le trio d’acronyme CIA signifie confidentialité, intégrité, disponibilité – à ne pas confondre avec l’Agence centrale de renseignement américaine. La confidentialité – pour assurer la sécurité des données sensibles ; le cryptage est une solution fiable pour garantir la confidentialité. L’Intégrité – dans la conservation de l’intégrité des données ; les hachages cryptographiques et la signature numérique sont utilisés pour vérifier que les informations n’ont pas été altérées. Disponibilité – maintenir l’accessibilité des données ; la planification stratégique et l’allocation des ressources dans le but d’assurer la disponibilité des services et des applications 24 heures sur 24, 7 jours sur 7, y compris les plans de sauvegarde, la récupération des données, ainsi que la capacité à évoluer des services.

 

OCTOBRE |

 

Q: QU’EST-CE QU’UN BOTNET ?

R : Le mot « Botnet » est une combinaison des mots robot et réseau. Le botnet est considéré comme un groupe d’appareils connectés à Internet – tel que les IoT et appareils mobiles, ordinateurs, réseaux – infectés par un logiciel malveillant. Chaque dispositif compromis est appelé « bot » et peut être contrôlé à distance par l’émetteur d’un botnet, connu sous le nom de « bot master ». Les botnets sont de plus en plus souvent proposés en location par des cybercriminels comme marchandises et utilisés couramment dans les attaques DDoS. Les botnets sont capables de tirer profit de la puissance collective des ordinateurs, pour envoyer de gros volumes de spam, voler des informations d’identification en masse ou espionner des personnes ou des entreprises.

Q : LE CRYPTOJACKING EST-T-IL LA NOUVELLE MENACE AMBIANTE ?

R : Le cryptojacking est l’utilisation non autorisée de l’ordinateur d’une victime pour miner de la crypto-monnaie. Selon un récent rapport de sécurité de Symantec, le cryptojacking est apparu de nulle part et a explosé comme rien auparavant. Les pirates informatiques considèrent qu’il s’agit d’un moyen simple et peu coûteux de gagner plus d’argent avec moins de risques. Contrairement à d’autres types de logiciels malveillants, le cryptojacking n’endommage pas les données de la victime ou son ordinateur. Mais, puisqu’ils utilisent les ressources en matière de traitement du processeur, la victime devra faire face à des coûts liés à la réduction de la durée de vie de l’appareil, à une consommation d’énergie accrue et à des problèmes de performance globale.

Q : QU’EST-CE QU’UN LOGICIEL ESPION ?

R : Un logiciel espion est un type de logiciel malveillant qui est installé sur votre ordinateur, souvent à votre insu. Il est conçu pour surveiller vos activités informatiques et pour recueillir et transmettre les données à des entreprises à des fins de marketing. La collecte de données comprend en général vos informations personnelles telles que votre nom, adresse, habitudes en matière de navigation Internet, préférences, intérêts ou téléchargements. En plus d’être une atteinte à la vie privée, ce logiciel peut causer de sérieux problèmes en termes de niveau des performances du système.

Q : QU’EST-CE QUE L’ATTAQUE DES ANNIVERSAIRES ?

R : L’attaque des anniversaire est un type d’attaque brutale basée sur le paradoxe de l’anniversaire, qui affirme que sur 253 personnes dans une pièce, il y a 50 % de chances que quelqu’un ait votre date de naissance ; cependant, seulement 23 personnes doivent être dans la pièce pour obtenir 50 % de chances que deux personnes partagent le même anniversaire. C’est parce que les concordances sont basés sur des paires. Ce phénomène statistique s’applique également à la recherche de collisions dans les algorithmes de hachage car il est beaucoup plus difficile de trouver quelque chose qui entre en collision avec un hachage donné que de trouver deux entrées qui ont la même valeur de hachage.

Q : QUELLE EST LA POLITIQUE D’ORIGINE COMMUNE ?

R : En informatique, « Same-Origin Policy » Politique d’origine commune est le mécanisme de défense basé sur le navigateur qui garantit que certaines conditions doivent être remplies avant que le contenu (généralement JavaScript) ne soit exécuté lorsqu’il est servi depuis une application Web donnée. En vertu de la politique, le navigateur permet à un script de page Web d’accéder aux données d’une autre page Web uniquement lorsqu’elles ont la même origine, c’est-à-dire lorsque l’origine est une combinaison du protocole, du domaine et du port des ressources Web.

 

SEPTEMBRE |

 

Q : LES PROJETS OPEN SOURCE SONT-ILS PLUS SÛRS QUE LES PROJETS PROPRIÉTAIRES ?

R : Une fausse idée répandue est que les projets open source sont plus sûrs, soit parce que n’importe qui peut en vérifier le code source, soit parce que les observateurs sont si nombreux à le scruter. Et inversement, un produit commercial d’une entreprise bien connue est plus sûr parce que tout le monde lui fait confiance. La sécurité du projet dépend d’une combinaison de nombreux facteurs, notamment le nombre de développeurs qui y travaillent, leurs antécédents, le contrôle de la qualité du projet, etc. Il y a de nombreux exemples d’applications affreusement peu sûres qui proviennent des deux camps.

Q : QU’EST-CE QUE LA FALSIFICATION DES DEMANDES INTERSITES (Cross-Site Request Forgery) ?

R : Le Cross-Site Request Forgery (CSRF) est un genre d’attaque sur un site Web où un intrus se camoufle comme un utilisateur légitime et de confiance. Par exemple, une balise image d’une page Web peut être compromise et pointer vers une URL liée à une action ; lorsque l’utilisateur charge cette page, le navigateur exécute cette action et l’utilisateur peut ne pas être conscient qu’une telle attaque a eu lieu. L’attaque peut être utilisée pour changer les paramètres du pare-feu, afficher des données non autorisées sur un forum ou effectuer des transactions financières frauduleuses.

Q : POURQUOI MON IDENTIFIANT PKI COMPREND-IL DEUX CLÉS ?

R : La combinaison de clés publiques et privées est une paire de clés asymétriques qui exécutent les fonctions de cryptage/décryptage lors d’une transmission de données sécurisée. La clé publique est donc publique et accessible à tous. D’autre part, la clé privée doit rester confidentielle pour son propriétaire respectif. Lors du cryptage des données, la clé publique du destinataire est utilisée – et seul ce destinataire sera en mesure de les décrypter. Lors de la signature, la clé privée est employée pour confirmer l’identité de l’expéditeur.

Q : QU’EST-CE QUE LA FALSIFICATION DE REQUÊTE INTERSITES (CRSF) ?

R : La falsification de requête intersites (cross-site request forgery) (CSRF) est le type d’attaque sur un site Web où un pirate se fait passer pour un utilisateur légitime et fiable. Par exemple, une balise image d’une page Web peut être compromise et pointer vers une URL associée à une action ; lorsque l’utilisateur charge cette page, le navigateur exécute cette action et l’utilisateur peut ne pas être conscient qu’une telle attaque a eu lieu. L’attaque peut être utilisée pour modifier les paramètres du pare-feu, afficher des données non autorisées sur un forum ou procéder à des transactions financières frauduleuses.

Q : EST-CE QUE LES PROJETS OPEN SOURCE SONT PLUS SÉCURISÉS QUE LES PROJETS PROPRIÉTAIRES ?

R : On pense souvent à tort que les projets open source sont plus sûrs, soit parce que n’importe qui peut vérifier le code source, soit parce que de nombreux utilisateurs l’observent. Et inversement, un produit commercial d’une entreprise bien connue est plus sûr parce que tout le monde leur accorde sa confiance. La sécurité du projet dépend d’une combinaison de nombreux facteurs, notamment le nombre de développeurs qui y travaillent, leurs qualifications, le contrôle de la qualité du projet, etc. Il y a de nombreux exemples d’applications effroyablement insécurisées qui proviennent des deux camps.

Q : S’AGIT-IL D’UNE ATTAQUE « DOS » OU « DDOS » ?

R : Une attaque par déni de service (DoS) est un type de cyberattaque conçu pour rendre un ordinateur ou un réseau inaccessible à ses utilisateurs en perturbant les services d’un hébergeur. Cela se fait généralement en inondant le serveur d’un nombre incalculable de paquets pour en saturer la capacité, ce qui entraîne un déni de service ou un dépassement de mémoire tampon qui peut faire consommer de l’espace disque, de la mémoire, ou le temps de traitement du processeur du serveur. Une attaque par déni de service distribué (DDoS) est similaire à une attaque par déni de service (DoS), mais le trafic est généré par différentes sources, ce qui rend impossible sa prévention en bloquant simplement une source unique d’attaque.

 

AOÛT |

 

Q : J’UTILISE GOOGLE CHROME, ET VOUS ?

R : De nos jours, il y a beaucoup de navigateurs à votre disposition : Chrome, avec son moteur de recherche Google intégré ; Edge, avec sa capacité à prendre des notes directement sur la page ; Firefox, avec son option pour continuer à lire les pages où vous étiez dans un autre appareil ; Safari, parfaitement adapté aux appareils mobiles. Quels que soient vos critères de sélection pour choisir votre navigateur Internet, le plus important est de le maintenir à jour avec tous les correctifs et mises à jour de sécurité. Profitez d’une navigation sur Internet en toute sécurité.

Q : QU’EST-CE QU’UN CERTIFICAT NUMÉRIQUE?

R : Dans le secteur de la cryptographie, un certificat numérique est une forme électronique d’identification, tout comme votre passeport ou votre permis de conduire. Il fournit des informations sur votre identité et est établi par une autorité de certification (AC) pour une période de temps spécifique. L’AC assure la validité des informations contenues dans le certificat. Le format le plus courant pour les certificats numériques est défini par la norme X.509. Il y a une variété de domaines où les certificats sont utilisés : SSL/TLS, S/MIME, signature de code, etc.

Q : QUEL EST LE GOÛT DES COOKIES INFORMATIQUES?

R : Un cookie est un petit fichier provenant d’un site web qui est sauvegardé dans votre ordinateur par le navigateur web. La partie savoureuse du cookie est qu’il peut stocker, par exemple, les informations de connexion, le code postal, etc. de sorte que vous n’avez pas besoin de le taper à plusieurs reprises. La partie amère, c’est qu’il peut suivre vos habitudes et être utilisé par les réseaux publicitaires. La saveur désagréable survient lorsqu’un cookie contenant des informations sensibles est intercepté par un pirate informatique. Débarrassez-vous régulièrement des cookies, gardez votre logiciel antivirus à jour et visitez les sites web auxquels vous faites confiance – et profitez ainsi de la saveur des cookies !

Q: QUE SIGNIFIE SSO?

A: SSO est l’acronyme de Single Sign-On (authentification unique). Avec l’authentification unique, l’utilisateur peut s’authentifier une seule fois, puis utiliser plusieurs systèmes ou applications sans avoir à entrer à nouveau ses identifiants. Sans aucune SSO, les utilisateurs doivent retenir un nom d’utilisateur et un mot de passe différents (identifiants différents) pour chaque système utilisé. Cela conduit l’utilisateur à utiliser des mots de passe courts, simples ou similaires pour chaque ressource. Pour réduire la contrainte liée aux mots de passe, le temps nécessaire pour saisir à nouveau les informations d’identité, les demandes de « mot de passe oublié », etc. de nombreuses entreprises mettent en œuvre l’authentification unique.

Q: QU’EST-CE QUE S/MIME?

A: S/MIME (Extensions de messagerie Internet polyvalentes sécurisées) est la norme pour sécuriser les messages MIME. Elle fait passer la communication SMTP à un niveau supérieur en permettant l’utilisation d’un protocole de messagerie largement supporté sans compromettre la sécurité. Elle utilise l’infrastructure à clé publique (PKI) pour chiffrer et/ou signer les données. S/MIME apporte les avantages du service cryptographique au courrier électronique : confidentialité et intégrité des données avec cryptage des messages ; authentification et non-répudiation avec signature numérique.

 

JUILLET|

 

Q: QU’EST-CE QUE MIME?

A: MIME (Multipurpose Internet Mail Extensions) est la norme Internet qui définit la manière dont un message doit être formaté pour être transféré entre différents systèmes de messagerie. MIME est un format très souple qui permet d’inclure presque tous les types de données telles que le texte, les images, l’audio, les applications, etc. Avec un encodage approprié, MIME est également capable de gérer les messages écrits dans les différentes langues internationales. MIME est conçu pour les communications SMTP, mais de nombreuses définitions de la norme sont largement utilisées dans les protocoles de communication WWW.

Q:QU’EST-CE QUE LE TABNABBING?

R:Le Tabnabbing, également connu sous le nom de Tabjacking, est une attaque par hameçonnage qui utilise l’inattention d’un utilisateur pour ouvrir plusieurs onglets de navigateur afin de voler les informations sensibles de l’utilisateur. Par exemple, vous avez ouvert la page touchée par cette attaque avec d’autres onglets du navigateur. Si le script de l’onglet malveillant détecte une inactivité, la page Web sera alors rechargée et affichera, par exemple, une fausse page de connexion de Gmail à la place. En raison d’un manque d’attention aux onglets ouverts, l’utilisateur peut entrer les informations d’identification demandées et elles seront volées par les cybercriminels.

Q: COMMENT UN VPN PEUT-IL AMELIORER LA PROTECTION DE MA VIE PRIVEÉ ET MA SECURITÉ?

R: Un VPN (Virtual Private Network) permet d’étendre un réseau privé   (ex: réseau d’entreprise) sur un réseau public (ex. : Internet) et permet aux utilisateurs d’accéder aux ressources du réseau privé comme s’ils étaient directement connectés à ce réseau privé. Un VPN utilise une technologie de cryptage pour crypter le trafic réseau, ainsi, si un pirate détecte les paquets, il ne reçoit que des données cryptées. Il identifie la modification des données transmises et les rend intacts. Un VPN utilise l’authentification pour empêcher l’accès non autorisé aux ressources.

Q: EST-CE QUE LE « PHARMING » EST UN AUTRE MOT DE PLUS AVEC UNE ERREUR?

R: Le pharming est un type avancé de cybercriminalité, qui ressemble à l’hameçonnage, qui combine les sens des mots « Phishing » et « Farming ». La principale motivation du pharming est d’obtenir des noms d’utilisateur et des mots de passe auprès de détaillants ou de banques en ligne, sans avoir besoin de vous hameçonner avec des courriels ou des liens malveillants. Vous allez sur une ressource Web bien connue, comme toujours, mais vous vous retrouvez sur le système du pirate informatique – qui a été modifié pour ressembler à un site Web légitime. L’une des techniques utilisées dans une attaque de pharming est le piratage des services DNS sur un système informatique par un code malveillant désigné sous le nom d’Empoisonnement du cache DNS.

 

JUIN |

 

Q: COMMENT ÊTRE EN SÉCURITÉ EN FAISANT DES PAIEMENTS EN LIGNE?

R: Il y a quelques points à considérer lorsque vous faites des achats en ligne : 1. Assurez-vous que le site Web de vente en ligne utilise une connexion SSL et que l’entreprise est digne de confiance. 2. Toujours préférer les transactions par carte de crédit à celles par débit. 3. N’effectuez pas de paiements lorsque vous êtes connecté à un réseau Wi-Fi public. 4. Pensez à refuser de mémoriser les données de votre carte de crédit sur le site Web d’un vendeur – même si vous l’utilisez souvent. 5. Ne saisissez jamais votre code PIN ou le mot de passe de votre banque lorsque vous effectuez une transaction. Le dernier mot : Vérifiez votre relevé de carte de crédit régulièrement, inscrivez-vous pour les notifications de transaction, si possible, et soyez en sécurité.

Q : COMMENT ÊTRE EN SÉCURITÉ SUR LES WI-FI STARBUCKS?

R: Pour être en sécurité lorsque vous utilisez un réseau Wi-Fi public, utilisez uniquement une connexion sécurisée (SSL) sur des sites Web fiables. Évitez d’utiliser des noms d’utilisateur et des mots de passe personnels, même si c’est pour vérifier votre courrier électronique, car les pirates peuvent surveiller les réseaux Wi-Fi non protégés et vos informations peuvent être volées. Désactivez les options Partage de fichiers et AirDrop et vérifiez que le pare-feu de votre ordinateur portable est activé. Pour une protection encore meilleure, sécurisez et chiffrez votre connexion en utilisant un réseau privé virtuel (VPN) – un tunnel numérique sécurisé vers votre périphérique.

Q: QU’EST-CE QUE l’IDO DE TOUTE FAÇON?

R: L’Internet des Objets (IoT) est un écosystème d’appareils connectés capables de communiquer avec nous, et entre eux, sur Internet. Un thermostat intelligent, contrôlable à partir de nos téléphones et tablettes, par exemple, est un appareil bien connu connecté à l’IoT. De nos jours, tout est « intelligent », des simples capteurs et actionneurs aux réfrigérateurs et voitures. L’avenir de l’IoT est très passionnant et va révolutionner notre façon de vivre, en rendant des villes et des pays entiers plus intelligents et plus efficaces. C’est vraiment un âge d’or pour les appareils IoT.

Q:COMMENT EST-CE QUE LE BLOWFISH ÉVOLUE DANS LE DOMAINE DE LA CRYPTOGRAPHIE?

R: Le Blowfish est un algorithme de cryptage symétrique conçu par Bruce Schneier en 1993 pour remplacer les anciens algorithmes DES et IDEA. Il a une taille de bloc de 64 bits et utilise une clé à longueur variable, de 32 bits à 448 bits, ce qui convient à la fois à l’usage local et à l’exportation. Blowfish cherche à rendre difficile une attaque par force brute en rendant l’installation de la clé initiale assez lente. Cet algorithme n’est pas breveté, sans licences, et est disponible gratuitement pour tout le monde. Blowfish ne devrait pas être utilisé pour les gros fichiers en raison de la petite taille des blocs (64 bits par opposition à la taille des blocs de 128 bits de l’AES).

 

MAI |

 

Q: BLUEJACKING, BLUESNARFING ET BLUEBUGGING EST-CE DE NOUVELLES NUANCES DE BLEU?

R: Le bluejacking, la première attaque bluetooth, est l’envoi de messages non sollicités vers des périphériques dont le bluetooth est activé. Le bluejacking n’est pas très méchant et se limite généralement à envoyer des messages texte, des images ou des sons à un périphérique ciblé. Le bluesnarfing est plus méchant et cible les informations confidentielles de l’utilisateur – avec un attaquant qui se connecte à un périphérique bluetooth, à l’insu du propriétaire, et télécharge son répertoire, son calendrier et plus encore. Le bluebugging va plus loin – c’est une prise de contrôle virtuelle complète du périphérique. Une fois connecté, un attaquant peut accéder à vos contacts, passer et écouter des appels, lire vos messages et e-mails et même suivre votre position, à votre insu.

Q: SAML OU OAUTH?

R: SAML (langage de balisage d’assertion de sécurité) est généralement utilisé lorsque la solution nécessite une gestion centralisée des identités ; implique SSO avec au moins un participant d’entreprise ; donne accès à une application. OAuth (autorisation ouverte) est généralement utilisé lorsqu’une solution fournit un accès à des ressources, comme des comptes, des fichiers, etc . ; ou implique des périphériques mobiles. Les deux technologies peuvent être utilisées en même temps. Par exemple : SAML pour l’authentification ; une fois le jeton SAML traité, utilisez-le comme jeton de support OAuth pour accéder aux ressources protégées via HTTP.

Q: QUELS SONT LES TYPES DE BIOMÉTRIE?

R: Il y a deux principaux types de biométrie : La biométrie physiologique est quelque chose lié à ce que nous sommes, y compris les tailles spécifiques, les dimensions et les caractéristiques de notre corps. Votre visage, vos yeux, vos veines ou vos empreintes digitales sont un exemple de données biométriques physiologiques. Ce que nous faisons c’est de la biométrie comportementale qui est liée à nos habitudes personnelles et à nos mouvements uniques. Votre voix, vos gestes, votre façon de marcher et votre signature manuscrite sont l’exemple le plus simple de ce type.

Q: EST-IL POSSIBLE D’ARRÊTER LE VOL D’IDENTITÉ?

R: Il est presque impossible d’empêcher complètement le vol d’identité, mais il est possible de réduire le risque en suivant quelques conseils simples : 1. Faites attention à vos paramètres de confidentialité sur les médias sociaux. 2. Utilisez des mots de passe forts et différents lors de la création de comptes en ligne. 3. Ne consultez pas les e-mails suspects qui peuvent être un hameçonnage pour les données. 4. Ne fournissez aucune information à des sites Web n’utilisant pas de connexion SSL. 5. Protégez votre PC en utilisant un logiciel de protection pare-feu, antivirus et anti-espion, et à jour.

 

AVRIL |

 

Q: POURQUOI UTILISER SAML ?

R: Le langage SAML (Security Assertion Markup Language) est une norme ouverte qui représente un cadre XML pour le partage d’informations de sécurité sur l’identité, l’authentification et l’autorisation entre différents systèmes. SAML élimine la nécessité de disposer de plusieurs mots de passe d’applications et de services en permettant un échange d’authentification basé sur des jetons. Il résout le défi clé en activant la fonctionnalité d’authentification unique (SSO). SAML permet de gagner du temps sur le plan administratif et d’accroître la sécurité grâce à un contrôle centralisé de l’authentification et de l’accès.

Q: QU’EST-CE QUE LA CONFORMITÉ PCI ?

A: Le PCI est un acronyme pour Payment Card Industry et est souvent suivi des lettres DSS pour Data Security Standard. Les entreprises conformes à la norme PCI doivent respecter les règles définies par le PCI Security Standards Council. Certains d’entre eux sont : Maintenir une politique de sécurité de l’information ; surveiller et maintenir un réseau sécurisé ; mettre en œuvre des contrôles d’accès rigoureux ; protéger les renseignements de nature délicate. Les clients de ces entreprises doivent se sentir en sécurité et confiants que leurs données seront protégées.

Q:QU’EST-CE QUE LE VOL D’IDENTITÉ?

R: Le vol d’identité est un accès non désiré ou non autorisé à vos renseignements personnels. Une fois que quelqu’un s’empare de vos données personnelles, il peut commettre toutes sortes de crimes en les utilisant, y compris la fraude dans les télécommunications, le blanchiment d’argent, les cybercrimes, et plus encore. Les criminels utilisent des renseignements apparemment inoffensifs, comme votre date de naissance, pour avoir accès à d’autres renseignements à votre sujet, y compris votre adresse, votre courriel, votre lieu de naissance, vos numéros d’assurance et vos mots de passe. Prenez soin de protéger vos données en veillant à la protection de votre vie privée lorsque vous partagez des données sensibles.

Q: QU’EST-CE QUI EST LE STANDARD DE CRYPTAGE AVANCÉ (AES)?

R: L’Advanced Encryption Standard (AES) est un algorithme de cryptage par blocs à clé symétrique. AES est un sous-ensemble du cryptage Rijndael développé par deux cryptographes belges, Vincent Rijmen et Joan Daemen. AES est capable de gérer des blocs de 128 bits, en utilisant des clés de 128, 192 et 256 bits. La taille de la clé est illimitée, alors que la taille maximale du bloc est de 256 bits. AES est plus sûr et permet un cryptage plus rapide que ses prédécesseurs DES et 3DES. Globalement, AES s’est avéré être un cryptogramme fiable au fil du temps.

 

MARS |

 

Q: BLUETOOTH: LA FACILITÉ A UN PRIX?

R: Nous utilisons la technologie Bluetooth tous les jours pour connecter nos écouteurs, nos trackers de fitness, le système mains libres de la voiture, etc. Il est important de connaître les questions de sécurité associées à la technologie. Bluetooth envoie des données sans fil qui peuvent être interceptées par les mauvaises personnes. Pour protéger vos informations, pensez à régler vos appareils sur « indétectable » lorsqu’ils ne sont pas utilisés. N’acceptez jamais les demandes d’appariement de parties inconnues. Téléchargez et installez régulièrement des mises à jour de sécurité sur vos appareils.

Q: Y A-T-IL UNE ERREUR DANS LE MOT «PHISHING»?

R: Les arnaques d’hameçonnage imitent des entreprises comme les banques, les fournisseurs de services en ligne, les organisations légitimes et autorisées afin d’obtenir des informations sensibles comme les noms d’utilisateur, les mots de passe, les détails des cartes de crédit, etc. On le nomme Phishing en raison de la longue tradition des hackers d’utiliser « PH » au lieu de « F ». Faites attention à ne pas tomber dans les pièges mis en place par ces Phishermen et évitez de vous faire prendre dans le filet des Phish.

Q: QU’EST-CE QUE C’EST LE DIFFIE-HELLMAN KEY EXCHANGE?

R: Diffie-Hellman (DH) est un protocole d’échange de clés conçu à l’origine par Ralph Merkle. Il porte le nom de Whitfield Diffie et Martin Hellman – deux cryptographes. DH permet d’échanger en toute sécurité des clés cryptographiques sur un canal public sans rien partager au préalable. Une clé secrète partagée peut alors être utilisée pour crypter les communications consécutives. L’échange DH lui-même ne fournit pas d’authentification des parties et pourrait être vulnérable à l’attaque man-in-the-middle. Les variantes de DH avec authentification devraient être considérées.

Q: QU’EST-CE QUE LA NÉGOCIATION (HANDSHAKE) SSL?

A: La connexion SSL/TLS entre un client et un serveur commence par une négociation « handshake ». Cela comprend un certain nombre d’étapes – en commençant par la validation de l’identité de l’autre partie et se terminant par la génération d’une clé de session commune. Le client génère une clé symétrique, la crypte et la renvoie, puis le serveur décrypte cette clé de session à l’aide de sa clé privée. Le serveur et le client sont maintenant prêts à utiliser cette clé symétrique pour crypter et décrypter le transfert de données.

 

FÉVRIER |

 

Q: EST-CE QUE LA TECHNOLOGIE DE RECONNAISSANCE FACIALE PERMET UNIQUEMENT L’AUTHENTIFICATION?

R: La technologie de reconnaissance faciale nous aide déjà dans de nombreux domaines de notre vie, comme le contrôle de sécurité dans les aéroports, la vidéosurveillance de façon simple et amicale, les enquêtes sur les scènes de crime, etc. Examinons comment la technologie peut être utilisée pour adapter les approches marketing ? Il peut, par exemple, remplacer une carte de fidélité de magasin. Lorsque vous entrez dans le magasin, le personnel saura ce que vous avez acheté la dernière fois, vous fera des offres personnelles et échangera vos points. Le magasin lui-même peut adapter vos offres en analysant les données faciales, telles que le sexe, l’âge et l’origine ethnique. Les possibilités sont infinies.

Q: EST-CE QUE LE TLS UTILISE UN CRYPTAGE SYMÉTRIQUE OU ASYMÉTRIQUE?

R: Les deux. TLS utilise un algorithme de cryptage asymétrique uniquement pour établir une session client-serveur sécurisée. Pour le cryptage asymétrique, l’expéditeur a besoin d’une clé publique pour crypter les données et le destinataire a besoin d’une clé privée pour les décrypter. Le cryptage du volume de la charge utile exige de la vitesse, de sorte qu’un algorithme de cryptage symétrique est utilisé pour échanger des informations sur une session sécurisée établie. Pour le cryptage symétrique, l’expéditeur et le destinataire partagent une seule clé symétrique pour crypter et décrypter les données.

Q: «OK, GOOGLE» DOIS-JE ME FAIRE DU SOUCI AU SUJET DU RESPECT DE MA VIE PRIVÉE?

R: Les assistants vocaux, comme Google Home, Amazon Echo, etc., peuvent répondre à vos questions, fournir un rapport météo, monter le thermostat, contrôler les lumières ou même commander une pizza. Cette solution pratique a un prix. L’assistant est toujours à l’écoute. Envisagez d’utiliser le bouton « mic mute » pour l’éteindre lorsqu’il n’est pas nécessaire. N’importe qui peut contrôler votre appareil. Envisagez de ne pas connecter certains appareils IdO (Internet des objets) comme les serrures de porte intelligentes ; désactivez les options de paiement qui ne sont pas utilisées. Profitez de votre assistant numérique, mais n’en faites pas le maître de maison.

Q: QU’EST-CE QUE LE CAMOUFLAGE?

R: Le but du camouflage est d’empêcher quelqu’un de comprendre le contenu de quelque chose. Dans le développement de logiciels, il est souvent utilisé sur le code informatique pour rendre plus difficile l’altération, l’ingénierie inverse ou le vol de la fonctionnalité d’un produit. Il est important de comprendre que le camouflage n’est pas comme le cryptage, mais plutôt comme de l’encodage. Il peut être inversé en utilisant la même technique ou simplement comme un processus manuel qui prend du temps.

Q: QUELLES SONT LES MÉTHODES D’AUTHENTIFICATION?

R: Il existe trois grandes catégories d’authentification:

La connaissance est quelque chose que vous connaissez, par exemple un simple nom d’utilisateur et un mot de passe ;
La possession est quelque chose que vous avez, il peut s’agir d’une carte d’accès ou d’une télécommande ;
L’inhérence est quelque chose qui vous est propre, votre caractéristique biométrique, comme une empreinte digitale.

Parfois, votre localisation est considérée comme la 4e méthode. L’authentification multifactorielle augmente significativement la sécurité, mais aura évidemment un impact sur l’expérience utilisateur.

 

JANVIER |

 

Q: QU’EST-CE QUE L’ENCODAGE DES DONNÉES?

R: En informatique, l’encodage consiste à transformer les données originales dans un autre format afin qu’elles puissent être transférées et utilisées par différents systèmes. Par exemple, utiliser l’encodage binaire en texte Base64 pour les fichiers binaires pour les envoyer par courriel. L’encodage utilise des algorithmes accessibles au public et peut être facilement inversé (décodé). Le but principal de l’encodage n’est pas de garder l’information secrète, mais de s’assurer qu’elle est utilisée dans des conditions de sécurité et de façon appropriée.

Q: LA BIOMÉTRIE EST-ELLE LA SOLUTION PAR EXCELLENCE EN MATIÈRE D’AUTHENTIFICATION?

R: La biométrie est le terme technique qui fait référence aux mesures liées aux caractéristiques humaines, comme l’empreinte digitale, la voix, l’iris des yeux, etc. De nombreux produits de consommation ont adopté la biométrie pour l’authentification pour des raisons de commodité pour l’utilisateur, tandis que les produits d’entreprise choisissent de se retirer afin d’assurer une sécurité maximale des données. Le principal moyen d’authentification est la connaissance, comme un mot de passe ou un NIP (PIN). Les données biométriques n’ont jamais été conçues pour être le secret. Pouvez-vous vous imaginer porter des gants tout le temps ?

Q: EST-CE QUE LE FACE ID EST PLUS SÛR QUE LE TOUCH ID?

R: Apple affirme qu’il y a une chance sur un million que quelqu’un puisse débloquer votre appareil en utilisant Face ID comparé à 1 chance sur 50000 que quelqu’un ait la même empreinte digitale que vous. Est-ce que cela signifie que la sécurité de Face ID est 20 fois plus élevée ? Il est important de se rappeler que le Face ID et le Touch ID sont davantage une question de fonctionnalité et de design que de sécurité. Votre mot de passe (PIN) restera toujours le plus grand point faible de votre appareil. Donc, c’est mieux d’en faire un qui soit puissant.

Q: QU’EST-CE QUE LE «HEX»?

R: Les nombres hexadécimaux (hexadécimale ou base-16) sont largement utilisés en calcul et en mathématiques comme représentation de valeurs binaires. Chaque chiffre hexadécimal représente quatre bits ou un demi-octet. 16 symboles uniques 0-9 et A-F utilisés pour représenter une valeur.

Cette couleur pourpre porte le numéro hexadécimal #7334A4
#73(hexadécimal) est (7×16) + (3×1) = 115 (décimale) de bleu
#34(hexadécimal) est (3×16) + (4×1) = 52 (décimale) de vert
#A4 (hexadécimal) est (10×16) + (4×1) = 164 (décimale) de bleu
Dans l’espace RVB (RGB) notre couleur sera rvb (115, 52, 164) (115, 52, 164)

Il s’agit d’une version très résumée des nombreux termes et acronymes de sécurité utilisés de nos jours, mais nous espérons que cela vous aidera. Ne vous arrêtez pas maintenant. Renseignez-vous sur la façon dont vous pouvez utiliser le cryptage pour créer des communications fiables avec des livres blancs, des rapports, des webinaires et des vidéos.

RESSOURCES DE CRYPTAGE

17 Sep 2018
What is a Chief Data Officer

Qu’est-ce qu’un CDO, directeur des données

Nous vivons dans une période de post-confidentialité.

Notre position peut être localisée grâce au GPS. Nos photos et trajets sont connus dans le monde entier, grâce à nos smartphones connectés à Internet. Nous affichons nos pensées et nos opinions les plus intimes sur les médias sociaux pour que tout le monde puisse les voir. Nous parcourons la publicité ciblée basée sur nos recherches sur Google et nos habitudes d’achat en ligne.

Tom Goodwin, responsable de l’innovation chez Zenith Media, affirme que nous nous réjouissons de cette perte de confidentialité parce que nous profitons des avantages qu’elle nous procure… jusqu’à ce qu’une entreprise ne protège plus nos données. [1] Alors, nous sommes mobilisés contre la violation de notre vie privée. C’est un cauchemar de relations publiques.

Chez Echoworx, nos propres recherches ont permis de trouver un autre casse-tête en matière de protection des données : la nature transformatrice des données personnelles après une violation. Les gens sont prêts à divulguer des données quantitatives, en supposant qu’elles sont protégées. Ces mêmes données présentent des caractéristiques qualitatives embarrassantes lorsqu’elles sont rendues publiques lors d’une brèche, ce qui entraîne une perte irrémédiable de la confiance du client.

Comment les entreprises doivent-elles gérer ces contradictions ? Comment les entreprises peuvent-elles offrir aux gens les avantages de l’ère post-vie privée sans leur donner le sentiment qu’ils ont abandonné quelque chose de précieux ?

Comment les entreprises peuvent-elles gagner la confiance nécessaire pour protéger en toute sécurité les données sensibles ?

L’une des solutions réside dans l’importance croissante du Chief Data Officer.

Émergence du Chief Data Officer

Le poste de Chief Data Officer est né pendant la crise financière de 2008-09. Par la suite, il y a eu un besoin évident d’une personne capable d’assurer la conformité aux exigences réglementaires accrues. Plus que jamais dans le secteur bancaire et financier, les données et leur communication aux régulateurs nécessitent un examen plus approfondi. Pendant des années, la plupart des entreprises n’avaient pensé aux données qu’après coup. Si les données existantes avaient été gérées efficacement à l’époque, nous aurions pu être avertis de la crise ou être en mesure de faire une reprise plus complète.

Au cours de la décennie qui a suivi, cependant, le rôle du CDO s’est élargi et a évolué à l’aube de l’ère des grandes données. Soudain, la valeur des données en tant qu’actif est devenue claire. Le CDO était nécessaire pour prendre en charge la gestion de sa valorisation.

En 2012, la société de conseil NewVantage Partners a lancé un sondage annuel auprès des cadres supérieurs du Fortune-1000. Cette première année, seulement 12 % des entreprises avaient un CDO. En 2018, ce chiffre était passé à 63,4 %. Cette tendance devrait se poursuivre. Selon certaines estimations, un directeur des données sera considéré comme un rôle « indispensable au fonctionnement » de 75 % des grandes entreprises dans les 3 à 5 prochaines années. Même le Pentagone a engagé son premier CDO !

Pourquoi vous avez besoin d’un Chief Data Officer

La valeur principale du CDO aujourd’hui est en tant que personne-ressource pour optimiser les grandes quantités de données générées par les entreprises d’aujourd’hui. Il ou elle peut en tirer de la valeur et encourager l’innovation autour de Big Data et de l’analyse. Le CDO est la force motrice des solutions technologiques, améliore la cybersécurité et augmente les revenus. Il ou elle s’efforce d’éliminer les silos de données et les redondances. Le changement technologique est géré de manière à limiter les coûts des « querelles de données » au sein d’une entreprise.

Le CDO planifie et exécute la stratégie d’entreprise autour des technologies émergentes telles que l’intelligence artificielle (IA), l’apprentissage machine et la chaîne de blocage. Le CDO représente également une solution agile aux évolutions rapides de la réglementation et de la confidentialité des données pour lesquelles la gestion traditionnelle n’est pas toujours adaptée. Tandis que la technologie évolue, le rôle du CDO évolue également.

Vie privée vs valeur dans un monde post-confidentialité

Les données sont une épée à double tranchant. Il a une valeur inestimable pour les entreprises. Elle exige également une gestion prudente de l’information qui leur est confiée et promet des responsabilités (financières et de réputation) en cas d’atteinte à la vie privée.

En intégrant toutes les données et les activités connexes dans le CDO, les organisations peuvent établir des systèmes pour s’assurer que toutes les données recueillies, stockées ou partagées au sein d’une organisation sont traitées de façon sécurisée, éthique et conforme aux lois et réglementations locales et internationales en vigueur. [2] Une bonne gestion des données et l’application rigoureuse de mesures de sécurité, comme le cryptage amélioré des données sensibles, peuvent contribuer à réduire les risques de l’entreprise. Ces politiques permettent également aux entreprises de maximiser la valeur des données qu’elles recueillent.

En cette ère post-protection de la vie privée, les entreprises qui interagissent avec les données sensibles de leurs clients doivent s’adapter si elles veulent réussir. S’ils se concentrent sur « mieux servir les gens » avec des demandes explicites d’autorisation, des options de consentement clairs, une sécurité et un cryptage rigoureux, ils peuvent construire un « partage de valeurs sur toute une vie » avec leurs clients. C’est le genre de transformation que le CDO peut apporter aux organisations. De cette façon, le CDO aide à franchir la ligne de démarcation entre la confidentialité et la protection de la vie privée dans un monde interconnecté.

Par Alex Loo | Vice-président des opérations, Echoworx

___________

1: https://www.thedrum.com/opinion/2018/07/17/tom-goodwin-making-the-most-post-privacy-world
2: https://aws.amazon.com/blogs/publicsector/the-rise-of-the-chief-data-officer-as-a-data-leader/

16 Juil 2018
Loi de la Californie sur la protection des données

Le California Data Privacy Law, AB 375: C’est une affaire personnelle.

La semaine dernière, la Californie a adopté l’une des lois les plus avancées en matière de protection de la vie privée aux États-Unis, la California Consumer Privacy Act de 2018. Il est salué comme un grand pas en avant avec des comparaisons telles que «GDPR comes to America» (le RGPD arrive en Amérique) ainsi que d’autres titres de ce genre.

Après examen, la loi californienne comprend plusieurs défis, notamment le fait qu’elle ne devrait pas entrer en vigueur avant 2020, et les nombreuses grandes entreprises de technologie qui se sont déjà préparées à essayer d’amener les législateurs à modifier les dispositions de la loi.

Ce qu’il y a dans la loi

La loi instaure quelques nouveaux droits pour les résidents californiens et, comme le GDPR en Europe, s’applique à toute entreprise qui vend ou possède des données personnelles sur les résidents californiens.

Ces nouveaux droits sont les suivants:

1. Le droit des Californiens de savoir quelles sont les informations personnelles collectées à leur sujet.
2. Le droit des Californiens de savoir si leurs renseignements personnels sont vendus ou communiqués et à qui.
3. Le droit des Californiens de dire non à la vente de renseignements personnels.
4. Le droit des Californiens d’accéder à leurs informations personnelles.
5. Le droit des Californiens à un service et à un prix équivalent, même s’ils exercent leur droit à la confidentialité.

En bref, cela donne aux Californiens un moyen de se désengager de presque toutes les utilisations secondaires de leurs données, qu’il s’agisse de vente agrégée à des courtiers en données, de suivi ou d’autres utilisations non directement liées à la fourniture d’un service.

Ce que la loi ne prévoit pas

Bien que la loi prévoie des pénalités pour les infractions résultant d’une protection insuffisante de l’information, cette loi en elle-même ne contient aucune exigence quant à la façon dont les entreprises doivent protéger l’information, ou le texte qui guide un tribunal dans son analyse pour déterminer si la protection était satisfaisante.

Les répercussions sur le marché

Contrairement au Règlement Général Européen sur la Protection des Données, le California Consumer Privacy Act de 2018 ne contient pas d’exigences spécifiques que les entreprises doivent suivre pour garantir la sécurité des opérations de traitement. La Loi précise comment les entreprises doivent obtenir le consentement pour la collecte et l’utilisation des renseignements, et qu’elles ne peuvent pas faire preuve de discrimination à l’égard des consommateurs pour avoir exercé leurs droits.

Le California Consumer Privacy Act s’appuie fortement sur d’autres lois californiennes et fédérales pour fournir des conseils dans ces domaines. Il existe un certain nombre de conflits avec ces autres lois et domaines qui auraient probablement besoin d’être clarifiés par le biais d’orientations réglementaires ou de modifications éventuelles de la loi.

De plus, il y a encore un certain nombre de questions sur la façon dont la Loi pourrait être modifiée sous la pression des entreprises de technologie et des défenseurs de la protection de la vie privée, et sur les règlements qui pourraient être publiés à l’appui de la loi.

Dans l’ensemble, la véritable nature des obligations d’une entreprise ne sera pas connue avant un certain temps.

Une solution logique

Le cryptage des données de nature sensible est essentiel pour démontrer que l’information a été adéquatement protégée en vertu d’un règlement ou d’une loi sur la protection de la vie privée.

Echoworx s’engage à respecter les exigences légales et de protection de la vie privée dans les pays dans lesquels elle opère. Echoworx continue d’ajouter des centres de données dans le monde entier pour s’assurer que les données sont conservées aussi près que possible du pays ou de la région d’origine. Nous opérons actuellement des centres de données aux États-Unis, au Royaume-Uni, en Irlande, au Mexique et au Canada pour nous assurer que les données peuvent être stockées et conservées conformément à la réglementation et à la législation auxquelles nos clients sont soumis.

Le rôle de la sécurité de l’information change certainement. Joignez-vous à moi et mes collègues pour une discussion en direct, jeudi le 26 juillet, sur la façon dont cette loi et d’autres nouvelles règles de confidentialité des données aura une incidence sur les entreprises à l’échelle mondiale. A Perfect Union: Privacy, Security and What you need to know about both | 10 AM ET

Par David Broad CISSP, responsable de la sécurité de l’information et de la vérification, Echoworx

12 Juin 2018
femme choquée

UN DÉSORDRE IMPORTANT: LE CRYPTAGE, LES RENCONTRES ET L’AMÉLIORATION DE LA PROTECTION DE LA VIE PRIVÉE

Vous sentez-vous à l’aise d’envoyer des renseignements personnels par courriel sans chiffrement? Sentez-vous timide en répondant « oui? » Vous n’êtes pas seul. En fait, près de 50 % des gens choisissent de partager des renseignements personnels de nature délicate en ligne. Et notre confiance envers les personnes et les entreprises auxquelles nous les envoyons est souvent considérée comme tout à fait normale.

Vous pourriez être surpris d’apprendre jusqu’à quel point vos clients sont réellement exposés.

Dans une récente enquête menée par Echoworx auprès des professionnels et des décideurs du secteur informatique, une tendance claire de l’importance accordée au chiffrement a émergé, 75 % des personnes interrogées ayant répondu  » oui  » à la question de savoir si leur entreprise dispose d’une stratégie de cryptage. Mais, comme moins de la moitié des personnes interrogées ont répondu par l’affirmative que leur organisation utilise effectivement le cryptage à grande échelle, l’application réelle du cryptage est discutable.

En d’autres termes: Que les renseignements personnels que vos clients fournissent à toute une équipe hétéroclite de banques, de professionnels de la santé et d’organismes gouvernementaux? Il y a une chance que leurs destinataires, qui pourraient même être votre propre personnel, le stockent librement, de façon accessible et sans aucune sécurité sur leurs serveurs.

Barriers that are Preventing More Extensive Use of EncryptionChoquant, n’est-ce pas?

Pour mieux comprendre le revers de la médaille, nous avons posé des questions aux consommateurs sur leur volonté de fournir des renseignements personnels sous forme numérique et lors des premières rencontres. Les résultats ont été surprenants – les personnes interrogées étaient plus que disposées à fournir des renseignements personnels, de leur nom complet à leur numéro d’assurance sociale dans les deux cas.

Encryption is hot infographCe que les résultats de notre Enquête sur le chiffrement révèlent
sur notre point de vue sur la confidentialité des données. En savoir plus.

Et, Alors?

Lorsqu’ils sont réunis, il nous reste deux récits qui racontent l’histoire de deux villes. Et c’est désordonné, mais pas aussi énigmatique que cela en a l’air. Il semble plutôt y avoir un décalage entre notre volonté d’adopter le cryptage et sa mise en pratique dans nos activités professionnelles.

Plus de la moitié des professionnels du secteur des technologies de l’information interrogées, notamment, ont répondu favorablement à l’adoption du cryptage – soulignant que la technologie de protection de la vie privée est très importante ou primordiale pour leur entreprise. Et près des trois quarts de ce groupe ont indiqué qu’ils élaboraient activement des stratégies de cryptage. Cela semble une progression?

Et ensuite, le constat s’impose: seulement la moitié d’entre eux sont là pour l’amélioration de la protection des renseignements personnels. L’autre moitié, soit près de 50 %, admettent qu’ils préconisent le cryptage pour se conformer aux règlements sur la protection de la vie privée et éviter les intrusions qui sont très coûteuses – non pas parce qu’ils se préoccupent de la sécurité des données sensibles des clients.

Le manque d’enthousiasme pour les applications de cryptage se retrouve dans l’ensemble de leurs entreprises – seulement 40 % d’entre elles utilisent intensivement leur technologie de cryptage existante. Et le domaine dans lequel ils mettent l’accent sur le cryptage, dans les communications externes, ne semble pas suffisant étant donné que de nombreuses entreprises migrent désormais leurs serveurs de messagerie vers le Cloud – ce qui rend même les communications internes externes par nature.

Et pourtant, les clients continuent de vous faire confiance sans cryptage

Alors que les trois quarts des clients savent ce que signifie le cryptage et pourquoi il existe, 45 pour cent d’entre eux continuent d’envoyer des données personnelles par courrier électronique en clair – et ils font confiance aux personnes auxquelles ils les envoient. Prenons par exemple la sécurité d’un courriel. Malgré l’augmentation de harponnage et d’autres types d’attaques par courriel visant à exploiter des données personnelles, la personne moyenne évalue la sécurité d’un courriel en moins de 30 secondes.

Donneriez-vous vos données personnelles à quelqu’un dans la rue en moins de 30 secondes? Cela semble insensé, mais d’après les résultats de l’enquête, une personne moyenne pourrait le faire. Saviez-vous, par exemple, que près du quart des gens sont susceptibles de partager leur date de naissance réelle, leur adresse de courriel, leur nom complet et leur numéro de téléphone le premier jour ? Et ces chiffres préoccupants sont encore plus importants chez les hommes – 12 % d’entre eux sont tout aussi susceptibles de divulguer leur numéro de carte d’assurance sociale lors d’une première rencontre ainsi que de se vanter au sujet de leur salaire.

Et cela ne s’arrête pas là.

Lorsqu’il s’agit de formulaires en ligne, plus des trois quarts de vos clients reconnaissent qu’ils fournissent des renseignements personnels de nature délicate. Et, considérant qu’ils prennent une demi-minute pour examiner la sécurité d’un formulaire en ligne, la quantité de détails qu’ils fournissent est stupéfiante.

Saviez-vous, par exemple, que plus de 10 % de vos clients sont disposés à fournir leur code PIN bancaire au moyen d’un formulaire en ligne ? Ou que 34 % d’entre eux ont donné leur numéro de carte d’assurance sociale ? Et qu’un petit, mais plus confiant, 5 % dévoilent volontairement leur numéro de passeport lorsqu’on leur demande de remplir des formulaires anonymes?

Mais, en fin de compte, pourquoi cela a-t-il de l’importance pour votre entreprise?

Les atteintes à la protection des données constituent des dégâts coûteux à réparer et elles se produisent plus souvent qu’on ne le pense – près d’un quart des gens admettant que leurs renseignements personnels ont été volés. En plus des amendes massives qui peuvent atteindre des dizaines de millions de dollars et des recours collectifs prolongés, une infraction très médiatisée peut causer des dommages irréparables pour la confiance accordée à votre marque.

En fournissant à vos clients et employés une solution de cryptage concise, mais complexe et hautement performante, vous pouvez contribuer à réduire certains problèmes de confidentialité au sein de votre entreprise, en particulier pour les téléphones mobiles. Les nouvelles plateformes de cryptage s’intègrent facilement aux systèmes informatiques existants et offrent de multiples méthodes flexibles de protection des informations en cours de transfert.

En résumé, le cryptage est important, et les professionnels de l’informatique en sont conscients – même si leurs motivations se situent principalement dans une optique de mise en conformité. Mais l’application du cryptage dans l’ensemble de votre entreprise est un tout autre problème et repose sur la simplification de votre processus de protection de la vie privée et la réduction des contraintes pour les utilisateurs. Mais les bénéfices de la préparation à la protection de la vie privée sont énormes – et vos efforts seront remarquables.

Consultez quelques-unes des façons créatives dont les entreprises utilisent notre plateforme de cryptage Echoworx OneWorld pour aider à assurer le transfert sécurisé de toutes les opérations, de la distribution massive de millions de relevés électroniques aux documents d’intégration sensibles pour les nouveaux clients. Les applications de cryptage proactives sont illimitées et peuvent être automatisées quand le comportement de vos employés ne peut pas l’être.

Par Nicholas Sawarna, spécialiste principal du marketing de contenu, Echoworx.

 

01 Avr 2018
Echoworx | Email Encryption Solutions | Quiet before the storm: CLOUD act

Le calme avant la tempête: CLOUD act

Les développements récents dans le procès entre le gouvernement des États-Unis et Microsoft ont des répercussions sur les entreprises offrant des services à l’échelle mondiale. La Loi clarifiant l’utilisation légale des données à l’étranger (CLOUD Act) vise à simplifier la façon dont les groupes chargés de l’application de la loi obtiennent des données personnelles stockées par des sociétés technologiques basées aux États-Unis.

Que s’est-il passé:

En décembre 2013, un magistrat des États-Unis a délivré à Microsoft un mandat en vertu de la loi sur les communications stockées (SCA) pour la production de données hébergées dans un centre de données Microsoft en Irlande. Microsoft a refusé de se conformer aux parties de l’ordre qui exigeaient la production de son centre de données en Irlande en vertu du mandat qui violait la loi européenne.

Microsoft a fait appel de la décision auprès de la Cour d’appel des États-Unis pour le Deuxième circuit qui a reçu des arguments en faveur de Microsoft de diverses parties. Le gouvernement irlandais a présenté un mémoire affirmant que le mandat violait la directive sur la protection des données de l’Union européenne, les lois sur la protection de la vie privée en Irlande, et que le gouvernement américain aurait dû utiliser le Traité d’assistance juridique mutuelle de longue date entre les États-Unis et l’Irlande qui permet la collecte de données par des mandats locaux. Le Deuxième circuit des États-Unis s’est prononcé en faveur de Microsoft et le département de la Justice a fait appel à la Cour suprême.

Les arguments oraux sur l’affaire ont été entendus le 27 février. Cependant, en mars, le Congrès américain a voté, et le président a signé la Loi clarifiant l’utilisation légale des données à l’étranger (CLOUD Act). Cette loi a modifié le SCA pour obliger les fournisseurs de services basés aux États-Unis à restituer les données qui sont en leur possession, quel que soit l’endroit où les données se trouvent dans le monde. Sur la base de cette évolution, le Département américain de la justice a demandé à la Cour suprême de classer l’affaire comme sans objet et Microsoft ne s’y est pas opposé.

Même avant cette décision, d’importantes questions avaient été soulevées concernant l’accès du gouvernement américain aux données sur les citoyens d’autres pays. Le groupe de travail sur l’article 29 avait publié un rapport remettant en question le respect par les États-Unis des exigences des accords États-Unis/UE sur le bouclier de protection des renseignements personnels. Dans le rapport, ils ont recommandé que de nouvelles négociations entre les États-Unis et l’UE commencent à élaborer un plan pour combler quelques lacunes identifiées. Le Groupe de travail a averti que si aucune mesure n’était prise, il porterait la question devant les tribunaux pour faire invalider l’entente sur le bouclier de protection des renseignements personnels.

Impact sur le marché:

Tout cela se passe dans le contexte de l’entrée en vigueur du règlement général de l’UE sur la protection des données, qui impose des exigences strictes aux entreprises qui traitent les données des résidents de l’UE. Plus précisément, l’article 48 du règlement général de l’UE sur la protection des données stipule que:

Tout jugement d’une juridiction ou toute décision d’une autorité administrative d’un pays tiers imposant au responsable du traitement ou au sous-traitant de transférer ou de divulguer des données personnelles ne peut être reconnu ou exécutoire que s’il est basé sur un accord international, comme un traité d’assistance judiciaire mutuelle (MLAT), en vigueur entre le pays tiers requérant et l’Union ou un État membre, sans préjudice d’autres motifs de transfert en vertu du présent chapitre.

Cela contredit directement les exigences de la CLOUD Act qui annulent directement la nécessité d’utiliser l’approche MLAT.

Naturellement, on se demande quelles sont les lois les plus pertinentes, le statut des traités et des accords précédemment convenus, et quelques autres questions. Il est également susceptible d’avoir un impact significatif sur les entreprises américaines, car les abonnés passent aux fournisseurs de services de cloud dans leurs juridictions locales – ou du moins dans les juridictions qui n’ont pas de telles imbrications juridiques.

Echoworx est une entreprise basée au Canada, et la loi canadienne actuelle exige l’utilisation des traités d’assistance judiciaire mutuelle (MLAT) lorsque ces données sont stockées dans un pays étranger. Echoworx s’engage également à respecter les exigences légales et de confidentialité des pays dans lesquels elle opère. Echoworx continue d’ajouter des centres de données à travers le monde pour s’assurer que les données résident le plus près possible du pays ou de la région d’origine. Nous exploitons actuellement des centres de données aux États-Unis, au Royaume-Uni, en Irlande, au Mexique et au Canada pour nous assurer que les données peuvent être stockées et conservées conformément à la réglementation et à la législation auxquelles nos clients sont soumis.

Par David Broad CISSP, responsable de la sécurité de l’information et de la vérification, Echoworx

07 Mar 2018
GDPR

LE CRYPTAGE, POUR AIDER À ASSURER LA CONFORMITÉ AU RGPD (GDPR)

Depuis le 25 mai 2018, toutes les sociétés qui traitent des données personnelles dans l’Union Européenne (UE) doivent avoir recours à un niveau de sécurité élevé pour protéger les informations des citoyens de l’UE. En vertu du Règlement général sur la protection des données (RGPD) « General Data Protection Regulation (GDPR) », les entreprises qui ne prennent pas les mesures nécessaires pour protéger les données des personnes résidant dans les 28 pays de l’UE (avant le Brexit) sont passibles d’amendes pouvant atteindre 20 millions d’euros (21,9 millions de dollars), soit 4 % du chiffre d’affaires annuel global d’une entreprise. Les autorités de réglementation auront des pouvoirs accrus pour agir contre les entreprises qui ne se conforment pas.

Le RGPD établit la ligne de référence
David Broad, responsable de la sécurité de l’information et de l’audit chez Echoworx, affirme que le RGPD établit la base de référence sur la manière dont les entreprises doivent protéger leurs propres informations et celles de leurs clients. Les mesures de sécurité de base doivent également être compatibles avec tout service tiers utilisé par l’entreprise (comme Amazon), même si l’entreprise est localisée en dehors de l’UE. Les réglementations à travers l’UE : « étaient un patchwork assez large », dit Broad, et le RGPD harmonisera ces règles. L’UE a toujours eu des réglementations strictes, mais il y avait des problèmes importants si une entreprise faisait des affaires dans plusieurs pays, car les règles pouvaient varier d’un pays à l’autre.

« Elle était perçue par beaucoup comme un désavantage et un obstacle aux affaires », dit M. Broad. « Maintenant, il y aura une norme que tout le monde comprend et connaît. »

Une solution logique
Le cryptage est une solution logique pour ces entreprises et bien qu’il ne soit pas obligatoire ou la seule solution, le RGPD encourage son utilisation dans le cadre des meilleures pratiques pour protéger les informations sensibles contre les intrusions. Pour Jacob Ginsberg, Directeur principal chez Echoworx, le cryptage est de plus en plus considéré comme la méthode à privilégier pour protéger les communications en cours de transmission et pour sécuriser les informations stockées.

M. Ginsberg indique que les entreprises sont conscientes de l’importance du cryptage et de la sécurité pour contrer les cyberattaques et les atteintes à la protection des données et les utiliser. Le RGPD soutient le concept de sécurité et de protection de la vie privée au stade de la conception dès les premières étapes du développement, dit-il. Ces deux aspects – la protection de la vie privée et la sécurité – n’ont pas toujours fonctionné de façon conjointe et le RGPD aidera à les harmoniser. Le cryptage peut jouer un rôle dans le rapprochement de ces éléments.

L’importance du cryptage
La protection des informations en cours de transmission – que ce soit par courrier électronique ou sous forme d’échange de fichiers volumineux – peut représenter un défi pour certaines organisations, car elles peuvent ne pas avoir le contrôle sur le réseau ou le serveur de courrier électronique, et le serveur peut même ne pas se trouver dans l’UE, explique M. Broad.

« Vous ne pouvez pas simplement envoyer des données sur un réseau dont vous n’avez pas le contrôle », dit-il. Une entreprise peut utiliser une certaine forme de cryptage pour les données en cours de transfert ou choisir de ne pas envoyer de données cryptées par courrier électronique. Au lieu de cela, il pourrait envoyer un message anodin à un client lui demandant de se connecter au portail de l’entreprise pour récupérer les informations pertinentes.

Toutes les entreprises ne veulent pas créer un portail en raison des lourds investissements technologiques nécessaires ou parce qu’elles n’en ont pas toujours besoin. Par exemple, certaines entreprises peuvent n’avoir besoin d’un portail que pendant une courte période chaque année – par exemple pour recevoir des documents fiscaux annuels.

Tout comme Amazon fournit des solutions de commerce électronique pour les vendeurs qui ne veulent pas s’occuper de logistique, de paiements, de matériel et de stockage de données, les prestataires de cryptage tels qu’Echoworx peuvent aider les entreprises à se mettre en conformité avec le RGPD en fournissant des solutions et des services de cryptage pour aider les clients à protéger les données importantes.

Joignez-vous à nous
Mes collègues seront au Sommet Annuel de l’IdentityNorth au Mattamy Athletic Centre à Toronto, Canada, en Juin. Si vous prévoyez d’être en ville, venez rencontrer l’équipe ECHOWORX! Nous présenterons des cas concrets d’utilisation de la façon dont les organisations gagnent en valeur en intégrant le cryptage dans leurs procédés d’affaires, tout en sécurisant leurs communications. Inscrivez-vous aujourd’hui, rejoignez-nous pour discuter!

Par Christian Peel, VP Customer Engineering, Echoworx

 

26 Fév 2018
Echoworx | Email Encryption Solutions | Is there a certainty to security?

Y a-t-il une certitude en matière de sécurité?

Le choix entre Protection + Prévention et Détection + Réponse est une illusion. En tant que professionnels de la sécurité, nous avons tous appris que la défense en profondeur était la clé. Mais on était trop focalisé sur la défense comme un mur ou une ligne qui pouvait nous protéger. Cette façon de penser s’est avérée inefficace plusieurs fois.

Au début, on a installé des pare-feu et on pensait que l’on était en sécurité. Ensuite, nous avons réalisé que nous avions besoin d’IDS et éventuellement d’IPS. Ensuite c’était au tour des SIEM et d’autres outils. Ceux-ci résolvent certaines parties de l’équation, mais pas toutes. Une fois que vos défenses sont statiques et n’évoluent pas en fonction de la rétroaction de ce qui se passe réellement, on peut les contourner. L’alignement sur seulement Protection + Prévention ou Détection + Réponse laissera des vides.

Si les menaces modernes nous ont appris quelque chose, c’est qu’aucune solution ne résoudra tous les problèmes. Nous avons besoin d’approches mixtes qui mettent en œuvre des outils pour protéger nos périmètres, mais aussi d’autres outils et systèmes capables de détecter le trafic anormal et de régler les réseaux à la volée pour répondre.

Aucune norme importante en matière de sécurité de l’information – qu’il s’agisse de la norme ISO 27001, du cadre de sécurité informatique du NIST, de Webtrust ou d’autres – ne s’arrête simplement à un aspect de la sécurité. La solution consiste à les équilibrés et alimentés tous avec des outils, des ressources et des fonds pour améliorer les capacités à tous les niveaux.

Plusieurs entreprises pensent qu’une fois qu’elles ont déployé quelques outils pour contrôler leur périmètre, elles ont terminé. Mais quelle est l’efficacité de ces outils déployés ? Juste parce que les outils ne détectent rien ne veut pas dire qu’il n’y a rien. Pour chaque outil déployé, les entreprises doivent penser à la façon dont elles mesureront son efficacité.

• À quoi ressemblait le trafic avant son déploiement?
• A quoi ça ressemble après?
• À quoi il ressemblerait s’il ne fonctionnait pas?
• Qu’est-ce qui pourrait manquer?

Comprendre les limites des outils déployés est essentiel pour savoir ce que vous devez surveiller et être capable de les intégrer dans vos processus de gestion des risques afin de prévoir les prochains outils que vous devez déployer. C’est trop tard de réagir après une attaque. Le mal est fait.

Ce n’est pas une question de Protection + Prévention ou Détection + Réponse, c’est plus une question de Protection + Prévention + Détection + Réponse. L’espoir serait que si vous surveillez vos outils actuels, alors vous détecterez les lacunes avant qu’elles ne soient un problème et la réponse sera une mise à niveau ou un déploiement planifié par opposition à une enquête d’incident.

Par David Broad, responsable de la sécurité de l’information et de la vérification, Echoworx

23 Nov 2017
sécuriser les communications

Faites-moi confiance : Soyez la bonne banque

Hé les banques, la génération Y a des problèmes de confiance. Oui, ces gens raffinés, qui ont beaucoup voyagé et très instruits, ont des relations conflictuelles avec les renseignements personnels.

Un nouveau sondage OnePoll commandé par Echoworx a révélé que la génération Y est plus prudente avec les partenaires romantiques qu’avec les institutions financières. Près de 50% des répondants âgés de 18 à 35 ans ne donneraient pas à leur partenaire l’adresse de leur domicile avant au moins cinq rencontres. Pourtant, 56% d’entre eux avaient partagé des informations sensibles par e-mail avec leurs banquiers et leurs courtiers, sans se rendre compte que le courrier électronique pouvait facilement être piraté et filtré pour dérober des identités et des informations essentielles. Et ce n’est pas pour trop enfoncer le clou, mais moins de 60 pour cent des millénaires interrogés pouvaient définir avec précision « chiffrement ».

Tous vos clients s’attendent à ce que vous les traitiez bien, donc votre capacité à gagner leur confiance repose sur la qualité de vos interactions. Et une grande partie de cela est possible grâce à une forte cybersécurité afin qu’ils n’aient pas à s’inquiéter de la perte ou du vol de leurs données.

Nouvelle culture de l’information

Les contradictions de la génération Y autour des renseignements personnels ont un sens lorsque vous pensez à la façon dont les interactions humaines ont changé. Aujourd’hui, les rencontres ne consistent pas seulement à rencontrer quelqu’un via le passe-temps, le travail ou les amis – vous pouvez aussi le faire via des applications. Mais avec les applications, les relations communautaires sont absentes, alors les millénaires sont naturellement prudents quant à la révélation de leurs adresses personnelles. D’autre part, ils sont tellement habitués à l’amélioration continue de la technologie, en particulier dans les affaires, qu’ils se fient à elle.

Les personnes nées dans les années 1980 et 1990 ont grandi avec la transformation des dispositifs portatifs en portails multimédias. Ils prennent pour acquis la commodité numérique de la même manière qu’ils prennent leurs mains et leurs pieds pour acquis, et pour cette raison, ils n’ont pas la méfiance de leurs parents à l’égard des périphériques et logiciels. Mais ils n’ont pas non plus autant le sens des médias que la génération qui les suit et qui a commencé à connaître la confidentialité et la sécurité sur Internet dès l’école primaire.

Le bien, le mal et le non-engagement

La génération Y s’attend à ce que les institutions financières intègrent de façon transparente leurs processus dans les mobiles, ce qui a créé une bataille classique entre le bien et le mal.

Du mauvais côté, il y a des gens qui font tout ce qu’ils peuvent pour voler des informations. Du bon côté, il y a les entreprises qui utilisent les protocoles de sécurité les plus avancés dans toutes leurs communications. Mais entre le bien et le mal, vous trouverez d’autres qui espèrent simplement ne pas subir les conséquences quand les choses vont mal.

La génération Y est maintenant votre principale main-d’œuvre et clientèle, et le mauvais côté exploitera toutes les occasions. Toutes les communications sur le lieu de travail sont des cibles, de sorte qu’un chiffrement fort est essentiel pour les principaux outils et tous les médias internes.

Les relations d’affaires, comme les relations amoureuses, reposent sur la confiance, et il est beaucoup plus difficile de reconstruire que de se comporter de façon responsable dès le départ. Soyez du bon côté –sécuriser les communications, chiffrer tout au plus haut niveau, et ne jamais demander de l’information via des e-mails ou des applications non sécurisés.

15 Nov 2017
piraté

Exposition Indécente et Piratage Robotique

Enverriez-vous un selfie nu par courriel? Beaucoup d’entre nous dirons « non », parce que nous sommes bien conscients de ce qui peut mal tourner. Que faire si la personne à qui vous envoyez le message le partage accidentellement (ou délibérément) en l’envoyant à quelqu’un d’autre? Que faire si votre compte e-mail ou leur est piraté ? Nous avons vu trop de personnalités humiliées lorsque leurs courriels privés ont été exposés.

Mais même si nous ne partageons pas certaines photos, beaucoup d’entre nous ignorerons le bon sens du 21ème siècle et partagerons d’autres informations extrêmement personnelles par courriel, simplement parce qu’une banque, un courtier ou un autre fournisseur de services nous le demande. Bon sang, s’ils nous disent de faire ça, ça doit être OK, n’est-ce pas?

Les gars, faites confiance à votre instinct

Dans un nouveau sondage OnePoll commandé par Echoworx, 45% des membres de la génération Y ont été invités à envoyer des informations sensibles par courrier électronique à leurs banques, et 85% d’entre eux ont indiqué que leurs numéros de sécurité sociale leur avaient été demandés. Près de 60% des personnes interrogées se sont demandé si l’envoi de ces informations par courrier électronique était une bonne idée, et 55% d’entre elles se sont fait voler leurs informations personnelles ou soupçonnaient qu’elles l’avaient été.

Pourtant, ils ont donné ces renseignements personnels par courrier électronique non sécurisé. Et soit dit en passant, moins de 60% pouvaient définir avec précision le mot « chiffrement », qui est le processus de conversion des informations en code afin que les mauvaises personnes ne les voient pas.

Les pirates robotiques sont réels

Plus de cinq millions de données personnelles sont perdues ou volées chaque jour parce qu’elles ne sont pas correctement stockées ou cryptées. Et lorsque vous transférez des informations de votre porte-monnaie à votre banque, vous augmentez les risques de devenir une victime, surtout si vous utilisez un courrier électronique.

La plupart des services de courrier électronique peuvent être facilement piratés. Ce n’est pas parce qu’un génie maléfique vous poursuit personnellement, mais plutôt parce que des gens créent des robots (logiciels de robot avec un code malveillant) qui attaquent tout le monde simultanément. Ces robots ont des bases de données qui comprennent tous les mots de passe qui ont été piratés, ainsi que les dictionnaires et les langages et autres sources de texte que l’on peut utiliser comme mots de passe et pour les connexions. Les robots utilisent rapidement des combinaisons de mots de passe et de connexions jusqu’à ce qu’ils pénètrent dans votre compte, puis ils le fouillent pour chercher des informations personnelles.

C’est vraiment aussi simple que ça.

Même si les sociétés financières ne peuvent pas contrôler vos courriels, elles peuvent contrôler leurs processus, interfaces, serveurs et chiffrements. En fait, il y a plusieurs règlements dans le monde qui disent aux entreprises qu’elles doivent le faire ou subir des conséquences. Par exemple, un règlement connu sous le nom de RGPD s’applique à tous ceux qui font des affaires en Europe (par exemple, la plupart des grandes sociétés financières américaines), avec des amendes de 20 millions d’euros si elles ne protègent pas les données des clients. Pourtant, il semble que certaines de nos institutions de confiance préfèrent courir le risque plutôt que de créer de manière proactive des interfaces sécurisées, afin que nous puissions toujours envoyer et recevoir des informations personnelles par e-mail.

Alors que pouvez-vous faire pour vous protéger? Commencez par refuser d’échanger des informations privées par e-mail non sécurisé. Demandez ce que votre institution fait pour protéger vos communications électroniques sensibles et posez-vous des questions sur celles qui n’ont pas mis des politiques et des pratiques claires en place. Et visitez notre Portail Renseignements Personnels pour en savoir plus sur les risques et les opportunités liés au partage d’informations sensibles.

Par Alex Loo, vice-président des opérations, Echoworx

04 Oct 2017
détails personnels

Renseignements personnels : Confiance, nouveaux amoureux et Internet

Vous êtes une femme célibataire lors de votre premier rendez-vous avec un nouveau gars. Tout se passe bien, il rit de vos blagues – mais vous ne voulez pas partager votre nom complet ou révéler exactement où vous vivez.

Pourtant, vous pouvez facilement donner des renseignements personnels dans un formulaire en ligne ou dans un courriel à une entité du cyberespace que vous ne connaissez pas.

Un nouveau sondage, commandé par Echoworx et effectué par la société d’études de marché OnePoll, a révélé que si la plupart des gens ne donnent pas de renseignements personnels à un partenaire potentiel après deux rendez-vous et demi en moyenne, ils sont beaucoup plus disposés à fournir des informations sensibles en ligne. L’étude, réalisée en août 2017, a interrogé 2 000 adultes vivant aux États-Unis.

Est-ce que cela vous surprend d’apprendre que beaucoup de gens sont plus enclins à fournir des renseignements personnels en ligne qu’à quelqu’un qu’ils viennent de rencontrer?

Si vous êtes comme la plupart des Américains dans l’enquête, vous prenez seulement 20 secondes pour décider si un e-mail dans votre boîte de réception est sûr. Vous prenez 28 secondes pour décider si vous pouvez saisir vos données personnelles en toute sécurité dans un formulaire en ligne. Si un article sur un site d’achat en ligne attire votre attention, vous prenez 31 secondes pour décider si le site est sûr pour faire un achat par carte de crédit. Pourtant, vous ne donnerez probablement l’adresse de votre domicile à un partenaire potentiel qu’après quatre rendez-vous en moyenne et vous ne discuterez de votre salaire qu’après six rendez-vous et demi. Une personne sur trois n’aime pas parler de son salaire après un certain nombre de rendez-vous.

Avez-vous partagé des données sensibles ou personnelles en remplissant un formulaire en ligne ou dans un e-mail?

Vous n’êtes pas seul. Les trois quarts des participants à l’enquête ont admis avoir partagé des renseignements personnels en remplissant un formulaire en ligne et, en moyenne, ils partagent trois renseignements personnels par courriel chaque semaine.

Vous avez peut-être envoyé des informations en ligne à un fournisseur de soins de santé, à une banque ou à un fonctionnaire. Mais si vous êtes comme la plupart des gens, vous dites qu’un achat en ligne – peut-être les fabuleux Manolo Blahniks – était la principale raison pour laquelle vous avez partagé vos données en ligne. Il y a d’autres raisons comme postuler un emploi, faire une demande de prêt hypothécaire ou d’assurance.

Si vous avez partagé vos informations en ligne, vous vous êtes peut-être demandé si c’était sûr. Trente pour cent des personnes interrogées n’aiment pas donner des informations en ligne. Avez-vous envoyé un e-mail et regretté plus tard de l’avoir envoyé ? C’est le cas de 40 pour cent des personnes interrogées.

On a peut-être volé vos informations personnelles (24% le disent) ou le soupçonnez (22%) ou votre ordinateur a été piraté, comme un Américain sur cinq. Vous ne savez peut-être pas ce que signifie le chiffrement, même si c’est un outil puissant pour protéger vos données sensibles.

Maintenant, revenons à ce premier rendez-vous. Si la romance continue, vous donnerez votre adresse, votre date de naissance, vos antécédents médicaux et autres données personnelles à ce partenaire potentiel, mais vous serez prudent et prendrez votre temps.

Quand il s’agit d’informations comme votre numéro de sécurité sociale et vos coordonnées bancaires, il vaut peut-être mieux faire attention avant de divulguer vos données en ligne.

Avant de partir, assurez-vous de visiter notre portail Renseignements personnels pour en savoir plus sur les risques et les opportunités associés au partage d’informations sensibles.

Vous pourriez aussi aimer: Résoudre l’énigme du chiffrement dans les services financiers

08 Sep 2017
Respect de la vie privée dès la conception

Respect de la vie privée dès la conception – ou à cause d’une catastrophe?

Vous faites des affaires en Europe? Si c’est le cas, le RGPD peut vous infliger des amendes de 20 millions d’euros après le 25 mai 2018, sauf si vous avez mis en place des niveaux très élevés de protection de la vie privée dans vos systèmes.

Le Règlement général sur la protection des données (GDPR) protège la vie privée et les droits des personnes et entre en vigueur en mai. Il s’applique aux entreprises basées dans l’UE, ainsi qu’aux entreprises étrangères faisant des affaires dans l’UE. Le champ d’application couvre un large éventail de données personnelles, par exemple, les noms, les adresses e-mail, les médias sociaux, les coordonnées bancaires et les adresses IP des ordinateurs.

Pour les entreprises qui ne respectent pas le RGPD, il y a des amendes allant jusqu’à 20 millions d’euros ou jusqu’à 4% de vos bénéfices annuels mondiaux – un coup dur pour vos profits. La bonne nouvelle c’est qu’il existe une directive pour vous guider, connue sous le nom de Respect de la vie privée dès la conception, ou « PbD ».

La protection de la vie privée dès la conception
Le RGPD signifie suivre les sept principes PbD qui sont inclus presque textuellement dans le règlement.

1. Proactif non réactif ; préventif non réparateur Pensez à cela comme « protection de la vie privée dès la conception ou à cause d’une catastrophe ». Si vous intégrez la confidentialité, le chiffrement et la cybersécurité globale appropriés dans vos produits et services, vous risquez moins d’être victime d’une violation, ce qui signifie des amendes, des recours collectifs et une atteinte à votre réputation.

2. Protection de la vie privée par défaut Beaucoup de gens ne lisent pas les CLUF ou les longs documents juridiques des institutions financières. Facilitez l’utilisation de vos offres en respectant les plus hauts niveaux de confidentialité et de chiffrement, et demandez clairement l’autorisation spécifique d’utiliser les données du client à d’autres fins que celles prévues. Par exemple, ne cochez pas les cases afin que l’utilisateur final distrait ne donne pas la permission par accident.

3. Protection de la vie privée dès la conception Quel est le niveau de chiffrement de vos applications et systèmes de gestion des données? Cela doit être un fait par défaut, sans choix, intégré dans l’ensemble de votre architecture de données.

4. Fonctionnalité complète – une somme positive, pas une somme-zéro Il y a un argument selon lequel la sécurité totale et la confidentialité totale ne sont pas compatibles, mais c’est faux – un chiffrement fort vous permet d’avoir les deux. De plus, lorsque vos clients savent que vous l’utilisez, ils auront un niveau de confiance plus élevé et seront plus disposés à partager leurs données.

5. Sécurité de bout en bout – protection complète du cycle de vie Avec votre système conçu pour respecter et préserver la confidentialité à chaque contact, que se passe-t-il lorsque vous avez terminé avec vos données ? À partir du moment où un client donne son nom, jusqu’à la fermeture du compte, vous devez vous assurer que ses données sont gérées de manière sécurisée avant d’être détruites.

6. Visibilité et transparence – ça doit rester ouvert Soyez capable de démontrer que vous utilisez les données comme prévu à chaque étape. Mais vous devez également accepter de partager avec cette personne toutes les données que vous avez recueillies sur elle, car les données lui appartiennent. Et avoir accès à ces données signifie que cette personne peut corriger les erreurs et rendre les données beaucoup plus utiles pour vous.

7. Respect de la vie privée de l’utilisateur – l’utilisateur doit être au centre Être centré sur l’utilisateur signifie que votre entreprise et vos architectes de données sont proactifs en matière de protection de la vie privée des clients. Mais l’intégration d’un chiffrement fort des données et d’une cybersécurité globale ne se limite pas à la sécurité. L’investissement dans ces technologies et pratiques favorisera le respect et la confiance de vos clients, ce qui est une bonne chose, peu importe où vous faites des affaires.

Vous avez encore des questions ? Regardez notre webinaire, avec la créatrice de Protection de la vie privée dès la conception, Dr Ann Cavoukian, afin de mieux comprendre la préparation pour le RGPD.

Par Alex Loo, vice-président des opérations, Echoworx