Warning: Creating default object from empty value in /home/lyonelva/public_html/wp-content/themes/platform/includes/class.layout.php on line 165

Warning: Creating default object from empty value in /home/lyonelva/public_html/wp-content/themes/platform/includes/class.layout.php on line 167

Warning: Creating default object from empty value in /home/lyonelva/public_html/wp-content/themes/platform/includes/class.layout.php on line 170

Warning: Creating default object from empty value in /home/lyonelva/public_html/wp-content/themes/platform/includes/class.layout.php on line 173

Warning: Creating default object from empty value in /home/lyonelva/public_html/wp-content/themes/platform/includes/class.layout.php on line 176

Warning: Creating default object from empty value in /home/lyonelva/public_html/wp-content/themes/platform/includes/class.layout.php on line 178

Warning: Creating default object from empty value in /home/lyonelva/public_html/wp-content/themes/platform/includes/class.layout.php on line 180

Warning: Creating default object from empty value in /home/lyonelva/public_html/wp-content/themes/platform/includes/class.layout.php on line 202

Warning: Creating default object from empty value in /home/lyonelva/public_html/wp-content/themes/platform/includes/class.layout.php on line 206

Warning: Creating default object from empty value in /home/lyonelva/public_html/wp-content/themes/platform/includes/class.layout.php on line 214

Warning: Creating default object from empty value in /home/lyonelva/public_html/wp-content/themes/platform/includes/class.layout.php on line 215

Warning: Creating default object from empty value in /home/lyonelva/public_html/wp-content/themes/platform/includes/class.layout.php on line 217

Warning: Creating default object from empty value in /home/lyonelva/public_html/wp-content/themes/platform/includes/class.layout.php on line 321

Warning: Creating default object from empty value in /home/lyonelva/public_html/wp-content/themes/platform/includes/class.layout.php on line 321

Warning: Creating default object from empty value in /home/lyonelva/public_html/wp-content/themes/platform/includes/class.layout.php on line 321

Warning: Creating default object from empty value in /home/lyonelva/public_html/wp-content/themes/platform/includes/class.layout.php on line 321

Warning: Creating default object from empty value in /home/lyonelva/public_html/wp-content/themes/platform/admin/class.options.metapanel.php on line 56

Warning: Creating default object from empty value in /home/lyonelva/public_html/wp-content/themes/platform/admin/class.options.metapanel.php on line 56

Warning: Creating default object from empty value in /home/lyonelva/public_html/wp-content/themes/platform/admin/class.options.metapanel.php on line 56

Warning: Creating default object from empty value in /home/lyonelva/public_html/wp-content/themes/platform/admin/class.options.metapanel.php on line 49

Warning: Cannot modify header information - headers already sent by (output started at /home/lyonelva/public_html/wp-content/themes/platform/includes/class.layout.php:165) in /home/lyonelva/public_html/wp-includes/feed-rss2.php on line 8
Lyonel Vallès, M. Sc., M. Adm., CISM, CISA, CRISC http://lyonelvalles.com Un site traitant de la Gouvernance de la Sécurité des TI et de la Stratégie Web Tue, 05 Jun 2018 12:17:49 +0000 fr-FR hourly 1 https://wordpress.org/?v=4.9.10 87084419 RGPD ; quelles implications pour l’entreprise et le citoyen ? http://lyonelvalles.com/2018/05/31/rgpd-quelles-implications-pour-lentreprise-et-le-citoyen/ http://lyonelvalles.com/2018/05/31/rgpd-quelles-implications-pour-lentreprise-et-le-citoyen/#comments Fri, 01 Jun 2018 02:34:15 +0000 http://lyonelvalles.com/?p=417 Peut-être que vous n’y avez pas prêté attention, ces dernières semaines, la majorité des sites Internet auxquels vous êtes abonnés vous demandent d’accepter leurs nouvelles conditions d’utilisation ou leurs nouvelles règles de confidentialité. Certains d’entre eux précisent que lesdites nouvelles mesures sont applicables à partir du 25 mai 2018.  Pourquoi ces demandes soudaines ?  C’est que [...]]]> Peut-être que vous n’y avez pas prêté attention, ces dernières semaines, la majorité des sites Internet auxquels vous êtes abonnés vous demandent d’accepter leurs nouvelles conditions d’utilisation ou leurs nouvelles règles de confidentialité. Certains d’entre eux précisent que lesdites nouvelles mesures sont applicables à partir du 25 mai 2018.  Pourquoi ces demandes soudaines ?  C’est que le monde était à l’approche du 25 mai 2018, date de la mise en vigueur du RGPD.

RGPD; implications pour l’entreprise et le citoyen

C’est quoi le RGPD ?

Le RGPD est le Règlement Général sur la Protection des Données. En anglais GDPR : General Data Protection Regulation.  Ce règlement européen a été adopté le 26 avril 2016, publié le 4 mai 2016 au journal officiel de l’Union européenne. Il est entré en vigueur le 25 mai 2018 et a pour vocation de donner aux utilisateurs de l’Internet le plein contrôle sur leurs données personnelles.  Cette mesure a aussi pour effet de conduire à un changement d’approche pour les entreprises de leur façon de gérer les renseignements personnels de leurs clients ou de tout autre résident de l’Union européenne avec lesquels elles font affaire et pour lesquels elles manipulent les renseignements personnels.  Le RGPD a trois principaux objectifs :

  1. Renforcer les droits des personnes eu égard à leur renseignements personnels ;
  2. Accroitre la responsabilité des opérateurs traitant des données personnelles ;
  3. Rendre la régulation crédible.

Pourquoi le RGPD ?

Les dispositions du RGPD ne sont pas nouvelles.  En effet,  elles ne font que permettre le renforcement des mesures existantes au niveau des pays avec notamment les sévères sanctions qui s’imposent en cas de non-conformité.  Le RGPD s’est avéré une nécessité face à la perte de confiance de l’utilisateur dans Internet et pour promouvoir la protection des renseignements personnels de l’utilisateur.  Comme corollaire, il aura aussi pour effet de faire grandir la maturité du numérique et renforcer le développement du commerce électronique.

Les grands principes du RGPD

Pour atteindre ses objectifs, le RGPD s’est doté de certains grands principes  en ce qui concerne notamment les données elles-mêmes et le traitement des données .

Concernant les données, les grands principes sont notamment la transparence, la limitation des finalités, la minimisation des données, la limitation dans la conservation des données, l’exactitude des données, la sécurité, l’intégrité et la confidentialité des données.  Par ces principes, le RGPD entend à ce que les entreprises qui collectent les renseignements personnels des citoyens de l’Union Européenne encadrent leurs actions par des mesures responsables. Ainsi, les utilisateurs doivent être informés de la nature des données collectées de même que sur la finalité de la collecte.  De cette façon, les données ne peuvent pas être utilisées à des fins pour lesquelles la collecte n’était pas destinée. Les données recueillies ne doivent pas non plus être conservées au-delà de la  durée nécessaire à l’accomplissement des finalités pour lesquelles elles étaient recueillies.  De plus, les données de l’utilisateur doivent être recueillies conservées, traitées et détruites en tenant compte des objectifs de sécurité de l’information notamment l’intégrité et la confidentialité.

Concernant les traitements, les grands principes sont notamment le consentement de la personne et  la nécessité objective du traitement.  Ainsi tout traitement de données personnelles doit recevoir le consentement de l’utilisateur concerné.  De même, ce traitement doit être nécessaire à la réalisation d’actes convenus entre l’entreprise et l’utilisateur, comme la réalisation d’un contrat par exemple, ou à l’exécution d’une obligation légale.  Ou encore le traitement des données doit répondre à la nécessité de la sauvegarde des intérêts des parties y compris des sous-contractants.

Droits de l’utilisateur ou du citoyen

On comprend bien qu’avec l’entrée en vigueur du RGPD les droits des utilisateurs sur leurs données personnelles sont renforcés. Ces principaux droits sont notamment :

  • Le droit à l’information et le droit d’accès;
  • Le droit à l’obtention de la rectification;
  • Le droit à l’obtention de l’effacement des données, droit à l’oubli ;
  • Le droit à la limitation des traitements.

Le RGPD apporte donc un nouveau paradigme pour les entreprises en leur imposant une nouvelle obligation de la gouvernance des données.  Est notamment pris en compte le principe du Privacy by design / Privacy by default qui veut que les mesures de protection des renseignements personnels soient prises en compte dès la conception de tout projet de l’entreprise. Vous trouverez plus de détails sur le Privacy by Design dans mes précédents articles.

Les sanctions au titre du RGPD

Pour forcer à la bonne gouvernance des données, la vraie nouveauté apportée par le RGPD réside surtout dans la sévérité des sanctions qu’il impose en cas de non-conformité.  En effet, le RGPD prévoit des sanctions extrêmement lourdes; Le montant le plus élevé sera celui appliqué :

  • Jusqu’à 10 millions d’euros ou, dans le cas d’une entreprise, 2% du chiffre d’affaires annuel mondial total de l’exercice précédent, pour manquement à la gouvernance des données (Privacy by design, PIA etc.);
  • Jusqu’à 20 millions d’euros ou, dans le cas d’une entreprise, 4% du chiffres d’affaires annuel mondial total de l’exercice précédent,  pour manquement notamment aux droits des personnes (droits d’accès, de rectification, d’opposition, de suppression, droit à l’oubli, etc.).

 A ces sanctions administratives peuvent s’ajouter des sanctions pénales à appliquer à la discrétion des états concernés.  Suivant les dispositions de l’article 84  alinéa 1, les États peuvent déterminer le régime des sanctions applicables en cas de violation des obligations prévues, autres que les sanctions administratives. Voici la teneur de cet article :

« Les États membres déterminent le régime des autres sanctions applicables en cas de violations du présent règlement, en particulier pour les violations qui ne font pas l’objet des amendes administratives prévues à l’article 83, et prennent toutes les mesures nécessaires pour garantir leur mise en œuvre. Ces sanctions sont effectives, proportionnées et dissuasives.»

Quelles implications pour le reste du monde?

Puisqu’il s’agit d’une réglementation européenne, en quoi le reste du monde est-il concerné ? C’est la première question qui vient à l’esprit des entreprises non européennes. Au cas où elles collectent ou traitent des données personnelles des résidents de l’Union Européenne, elles sont concernées par le RGPD.  Le RGPD est donc un règlement ayant un caractère extraterritorial et les mêmes lourdes sanctions s’imposent pour les entreprises du reste du monde. Voir à ce sujet l’article de la presse canadienne attirant l’attention des firmes canadiennes sur leur obligation de conformité au RGPD.

Du point de vue de la protection de ses propres données personnelles, tout le monde est concerné. Car il incombe à chaque individu de s’intéresser à la protection de ses informations. Voir à ce sujet le texte de l’ancien directeur du Conatel en Haïti : Qui est concerné par la protection des données personnelles sur Internet ?

De son côté, le site GoDaddy a présenté une liste de pays impactés par le RGPD en annonçant « qu’à partir du 25 mai 2018, le service WHOIS doit être modifié conformément au RGPD. Lorsqu’une recherche Whois est effectuée dans un domaine enregistré auprès de l’EEE (Espace économique européen), les résultats n’afficheront que les informations techniques du domaine, le pays et l’état/la province du déposant. Cela a une incidence sur les clients GoDaddy de l’EEE ainsi que sur ceux des pays utilisant les mêmes langues et les mêmes devises que les régions concernées par le RGPD . »  Cependant, vu le caractère extraterritorial du règlement, cette liste ne semble pas complète; les enjeux de protection des renseignements personnels concernant en effet les entreprises de tous les pays.

Il est aussi à prévoir qu’à l’instar des entreprises, les organismes gouvernementaux devront se mettre en conformité avec le RGPD. Cela entrainera à n’en pas douter des orientations et des positionnements gouvernementaux à l’égard de cette nouvelle règlementation ; et cela dans un objectif de protection des citoyens.

Déjà des plaintes

Après seulement quelques jours de l’entrée en vigueur du règlement des plaintes sont déjà portées contre les géants du Web au titre de la non-conformité au RGPD.  En témoignent les manchettes suivantes rapportées par la presse spécialisée sur le sujet :

  1. RGPD : une plainte demande déjà des milliards d’euros à Google et Facebook;
  2. RGPD : premières plaintes contre les géants du Web en France et en Europe;
  3. RGPD : La Quadrature du Net dépose 5 plaintes contre les GAFA.

Le RGPD inaugure, bien sûr, une nouvelle ère dans l’utilisation des renseignements personnels par les entreprises. Espérons que son application avec le temps, et la maturité numérique qu’il entrainera, pourront aider à une protection effective de nos informations personnelles et permettre ainsi une utilisation plus sereine du Réseau mondial et la sécurisation des échanges électroniques.

]]>
http://lyonelvalles.com/2018/05/31/rgpd-quelles-implications-pour-lentreprise-et-le-citoyen/feed/ 3 417
Privacy By Design dans les systèmes d’information; Les sept principes du PbD. http://lyonelvalles.com/2016/10/27/privacy-by-design-dans-les-systemes-dinformation-les-sept-principes-du-pbd/ http://lyonelvalles.com/2016/10/27/privacy-by-design-dans-les-systemes-dinformation-les-sept-principes-du-pbd/#respond Fri, 28 Oct 2016 01:13:50 +0000 http://lyonelvalles.com/?p=384 Privacy By Design (PbD) ou  Protection intégrée de la vie privée (PIVP) est un concept développé par Docteure, alors, Commissaire à la vie privée de l’Ontario.

Troisième et dernière partie.  Voir notre précédent article: Privacy By Design dans les systèmes d’information; La démarche de l’ICO (03 septembre 2016).

Arrimage des recommandations [...]]]> Privacy By Design (PbD) ou  Protection intégrée de la vie privée (PIVP) est un concept développé par Docteure, alors, Commissaire à la vie privée de l’Ontario.

Troisième et dernière partie.  Voir notre précédent article: Privacy By Design dans les systèmes d’information; La démarche de l’ICO (03 septembre 2016).

Arrimage des recommandations du rapport de l’ICO aux principes de Privacy By Design.

Les recommandations faites par l’ICO dans le but d’assurer l’implémentation de Privacy by design dans les systèmes  ne se départissent pas de la trilogie des applications supportée  par le concept qui sont :

  • Technologies de l’Information;
  • Pratiques d’affaires responsable;
  • Conception physique.

Faye-Enide Ombre

En effet, l’idée même de l’instauration de l’écosystème du Privacy By Design tente d’embrasser l’ensemble des applications visées par le concept pour la mise en place de la culture du respect de la vie privée qui doit traverser l’organisation dans tous ses compartiments.

Et comme il est développé sur le site de Privacy By Design, nous rappelons ci-après les sept principes qui s’articulent autour de cette trilogie d’applications, et qui sont :

 

  1. Proactivité
  2. Caractère implicite
  3. Intégration
  4. Somme positive
  5. Période de conservation complète
  6. Visibilité et transparence
  7. Respect des utilisateurs
  1. Proactivité

Prendre des mesures proactives et non réactives; des mesures préventives et non correctives.

La protection intégrée de la vie privée (PIVP) se caractérise par des mesures proactives et non réactives. Elle consiste à prévoir et à prévenir les incidents d’atteinte à la vie privée avant qu’ils se produisent. En effet, la PIVP n’attend pas que des risques pour la vie privée se concrétisent, et elle ne propose aucune solution pour résoudre les cas d’atteinte à la vie privée qui se sont déjà produits. Elle vise plutôt à les prévenir. Bref, la protection intégrée de la vie privée vient avant et non après de tels incidents.

  1. Caractère implicite

Assurer la protection implicite de la vie privée.

On peut être sûr d’une chose : la protection intégrée de la vie privée est implicite. Elle vise à procurer le maximum de vie privée en veillant à ce que les renseignements personnels soient systématiquement protégés au sein des systèmes informatiques ou dans le cadre des pratiques internes. Donc, la vie privée d’un particulier est protégée même si ce dernier ne pose aucun geste, car la protection de la vie privée est intégrée dans le système, implicitement.

  1. Intégration

Intégrer la protection de la vie privée dans la conception des systèmes et des pratiques.

La protection intégrée de la vie privée, comme son nom le suggère, est intégrée dans la conception et l’architecture des systèmes informatiques et des pratiques des organismes; elle n’y est pas greffée après coup. La protection de la vie privée devient donc un élément essentiel des fonctionnalités de base. Elle fait partie intégrante du système, sans porter atteinte à ses fonctions.

  1. Somme positive

Assurer une fonctionnalité intégrale selon un paradigme à somme positive et non à somme nulle.

La protection intégrée de la vie privée vise à tenir compte de tous les intérêts et objectifs légitimes en cause selon un paradigme à somme positive et non selon une approche périmée à somme nulle, qui nécessite des compromis inutiles. La protection intégrée de la vie privée évite ces fausses dichotomies, par exemple celle qui oppose la protection de la vie privée à la sécurité, en démontrant qu’il est vraiment possible de réaliser ces deux objectifs à la fois.

  1. Période de conservation complète

Assurer la sécurité de bout en bout, pendant toute la période de conservation des renseignements. La protection intégrée de la vie privée, lorsqu’elle est intégrée dans le système avant que l’on ne commence à recueillir les renseignements qu’il contiendra, persiste de façon sécurisée pendant toute la période de conservation de ces renseignements, du début jusqu’à la fin. Cela permet de faire en sorte qu’à la fin du processus, toutes les données sont détruites de façon sécurisée et en temps opportun. Ainsi, la protection intégrée de la vie privée assure une gestion intégrale et de bout en bout des renseignements pendant toute leur période de conservation.

  1. Visibilité et transparence

Assurer la visibilité et la transparence

Grâce à la protection intégrée de la vie privée, tous les intervenants seront assurés que sans égard aux pratiques ou aux technologies employées, le système fonctionne conformément aux promesses et aux objectifs établis, sous réserve d’une vérification indépendante. Les éléments et le fonctionnement du système demeurent visibles et transparents, tant pour les utilisateurs que pour les fournisseurs. La vérification permet d’établir un climat de confiance.

  1. Respect des utilisateurs

Respecter la vie privée des utilisateurs

Avant tout, la protection intégrée de la vie privée oblige les concepteurs et utilisateurs à privilégier les intérêts des particuliers en prévoyant notamment des mesures strictes et implicites de protection de la vie privée, des exigences appropriées quant aux avis et des fonctions habilitantes et conviviales, axées sur l’utilisateur.

Bien accueilli par la profession, le concept de Privacy By Design a connu ces dernières années des avancées significatives au point d’être en voie devenir un standard de fait.  La prochaine étape pour son plein développement est de s’approprier ses prescrits en travaillant à instaurer dans les organisations son écosystème, garant de cette souhaitable culture de la protection de la vie privée notamment par la mise en place de standards internationalement reconnus.  Alors comme pour la sécurité, le respect de la vie privée sera considéré comme un facteur contribuant, dans un environnement de confiance, à la réussite des objectifs de l’entreprise.

]]> http://lyonelvalles.com/2016/10/27/privacy-by-design-dans-les-systemes-dinformation-les-sept-principes-du-pbd/feed/ 0 384
Privacy By Design dans les systèmes d’information; La démarche de l’ICO http://lyonelvalles.com/2016/09/03/privacy-by-design-dans-les-systemes-dinformation-la-demarche-de-lico/ http://lyonelvalles.com/2016/09/03/privacy-by-design-dans-les-systemes-dinformation-la-demarche-de-lico/#respond Sat, 03 Sep 2016 20:53:22 +0000 http://lyonelvalles.com/?p=360 Privacy By Design (PbD) ou  Protection intégrée de la vie privée (PIVP) est un concept développé par Docteure, alors, Commissaire à la vie privée de l’Ontario.

Deuxième partie.  Voir notre précédent article: Privacy By Design dans les systèmes d’information (28 juin 2016).

Les recommandations pour intégrer Privacy by Design dans les systèmes d’information

L’intégration [...]]]> Privacy By Design (PbD) ou  Protection intégrée de la vie privée (PIVP) est un concept développé par Docteure, alors, Commissaire à la vie privée de l’Ontario.

Deuxième partie.  Voir notre précédent article: Privacy By Design dans les systèmes d’information (28 juin 2016).

Les recommandations pour intégrer Privacy by Design dans les systèmes d’information

L’intégration de la notion de la protection de la  vie privée dans les systèmes d’information a  été ces dernières décennies une préoccupation majeure pour les personnes intervenant dans le domaine.  Au Canada, la  Docteure Ann Cavoukian, Commissaire à la vie Privée de l’Ontario, promoteure du concept, a dans différents documents montré comment le respect de la vie privée peut être intégré dans différents systèmes.  Un exemple concerne les systèmes RFID pour lesquels elle a proposé l’ajout d’un bouton On/Off qui pourrait donner aux utilisateurs le choix  de permettre que leurs données personnelles présentes sur leurs dispositifs RFID peuvent être accédés à distance ou non. Elle en a fait de même en soulevant les risques concernant la  protection des renseignements personnels dans l’utilisation des équipements sans-fil et elle a démontré les possibilités d’intégration du concept de protection de la vie privée dans le Smart Grid.

 Faye-Enide OmbreLa démarche de l’ICO

En proposant sa démarche, l’ICO présente Privacy By Design comme un facteur devant faire partie intégrante du cycle de vie des systèmes.  Pour y parvenir, les points suivants sont proposés :

  1. Engager le haute direction
  2. Planifier les systèmes pour l’intégration de Privacy by design
  3. Prendre en compte le partage de l’information
  4. Développer des standards de respect de la vie privée
  5. Faire la promotion des PET’s
  6. Gérer la conformité à la vie privée
  1. Engager le haute direction

L’engagement de la haute direction constitue l’un des déterminants du succès de toute activité de l’organisation.  Cela est vrai tant pour la Fonction Publique que pour les institutions privées.  En faisant une bonne promotion du concept de Privacy By Design par une sensibilisation réussie auprès  de la haute direction, on s’assure que l’idée de protection de la vie privée sera communiquée  plus facilement à l’intérieur de l’organisation et cela chez les  membres du personnel, à tous les niveaux. Pour parvenir à la sensibilisation de la haute Direction, on devra lui démontrer ses responsabilités par rapport à la protection de la vie privée.  On devra aussi lui démontrer les bénéfices à tirer de la conformité et les coûts associés tant à la conformité qu’à la non-conformité, en faisant ressortir les avantages de la première.  On devra aussi mettre en place un vocabulaire compréhensible que la haute direction pourrait facilement s’approprier quand il sera question de traiter de la protection de la vie privée.

  1. Planifier les systèmes pour l’intégration de Privacy by Design

La planification des systèmes pour l’intégration du Privacy By Design permettra d’avoir dans les organisations un cadre structuré de procédures et de technologies permettant la mise en place des politiques et standards favorisant cette intégration.  L’un des facteurs déterminants pour la réalisation de ce cadre et le Privacy Impact Assessment, PIA.  La réalisation du PIA permettra  d’indiquer que l’organisation est consciente des risques relatifs à la vie privée auxquels elle est exposée.  Elle permettra de plus de définir l’appétence aux risques de l’organisation, c’est-a-dire le niveau de non-conformité qu’elle est prête à accepter sans mettre en danger son fonctionnement eu égard à la protection de la vie privée.  La planification de l’organisation ou l’entreprise pour l’intégration du Privacy By Design suppose donc  qu’elle ait intérêt à encourager la mise en place  à haut niveau de telles politiques relatives à la vie privée.

  1. Prendre en compte le partage de l’information

Le partage de l’information doit se faire dans un cadre permettant aux individus d’avoir la confiance que la communication de leurs renseignements personnels est faite dans des conditions qui respectent  leur vie privée.  Ils doivent ainsi être au courant des personnes détentrices de leurs informations et ils doivent aussi avoir le droit de les consulter et d’en demander correction.  Pour arriver à cet environnement de confiance, les gouvernements, les régulateurs, l’industrie et les universités doivent mettre leurs efforts en commun pour la mise en  place de standards  entourant le partage des informations personnelles.  Cela se fera notamment par la formalisation des approches pour la collecte et la gestion des informations et le développement des procédures relatives à l’échange des informations personnelles dans le cadre du Privacy Impact Assessment.  Des contrôles de sécurité touchant le partage de informations personnelles doivent aussi être mis en place.

  1. Développer des standards de respect de la vie privée

Actuellement  des standards reliés à la protection de la vie privée n’existent pas au niveau international. Les efforts des gouvernements, des régulateurs, de l’industrie et des universités doivent aussi converger dans ce sens. Cela permettrait aux organisations et aux entreprises d’avoir ces standards comme points de repère pour opérer de façon conforme  au respect de la vie privée comme cela est actuellement possible en ce qui concerne la sécurité.

  1. Faire la promotion des PET’s

Les Privacy Enhanced Tools, PET’s constituent des outils de prise en compte de la protection de la vie privée de façon intrinsèque dans les applications et les systèmes.  Pour l’intégration du Privacy By Design, leur recommandation sera donc d’un apport important.  Cela permettra la consolidation du marché de ces outils et leur reconnaissance effective comme support à la protection des données personnelles dans l’industrie. Il en résultera aussi l’adoption de ces outils par les entreprises dans les cas appropriés.

  1. Gérer la conformité à la vie privée

La gestion de la conformité à la vie privée mettra en œuvre les mesures à prendre par les gouvernements et les régulateurs pour permettre l’application des règlements par toutes les entités concernés par la protection des renseignements personnels.  Ces entités sont les gouvernements, les organisations, les entreprises ou toute personne physique et morale intervenant dans  la collecte, le stockage, la gestion et la communication d’informations contenant des renseignements personnels.  Des règlements seront mis en place établissant un cadre favorable à la reddition de compte et à la réparation des torts causés à autrui par l’utilisation non-conforme de leur informations personnelles.

 

A suivre. Voir la troisième et dernière partie :  Privacy By Design dans les systèmes d’information; Les sept principes du PbD.

]]> http://lyonelvalles.com/2016/09/03/privacy-by-design-dans-les-systemes-dinformation-la-demarche-de-lico/feed/ 0 360
Privacy By Design dans les systèmes d’information http://lyonelvalles.com/2016/06/28/privacy-by-design-dans-les-systemes-dinformation/ http://lyonelvalles.com/2016/06/28/privacy-by-design-dans-les-systemes-dinformation/#respond Wed, 29 Jun 2016 00:10:29 +0000 http://lyonelvalles.com/?p=346 Privacy By Design

Privacy By Design (PbD) ou  Protection intégrée de la vie privée (PIVP) est un concept développé par la Docteure Ann  Cavoukian, alors Commissaire à la vie privée de l’Ontario.

Première partie.

L’idée générale du concept de  Privacy by [...]]]> Privacy By Design

Privacy By Design (PbD) ou  Protection intégrée de la vie privée (PIVP) est un concept développé par la Docteure Ann  Cavoukian, alors Commissaire à la vie privée de l’Ontario.

Première partie.

L’idée générale du concept de  Privacy by Design est que la protection des renseignements personnels fasse partie de la culture des personnes et des organisations.  La protection des renseignements personnels doit ainsi être vue de façon proactive et considérée comme faisant partie intrinsèque des systèmes.  Elle intégrera ainsi les organisations et les entreprises de façon transversale.

Le rapport de l’Information Commissioner’s Office (ICO) du Royaume Uni paru en novembre 2008 préconise la conception de tout système d’information en tenant compte de la protection de la vie privée,  par le Privacy By Design, tout au long du cycle de vie du système. L’ICO est un organisme public indépendant britannique créé pour promouvoir l’accès aux informations officielles et protéger les données personnelles.

L’idée maîtresse de l’intégration du Privacy by Design dans les organisations passe d’abord par l’instauration d’une culture de respect et la protection de la vie privée dans l’organisation.  En s’appuyant sur les principes édictés par Docteure Ann Cavoukian, et dans le cadre d’une bonne gestion des risques liés à la vie privée, l’implémentation du Privacy By Design se réalisera en suivant les recommandations faites par l’Information Commissioner’s Office (ICO).

Nécessité de la prise en compte  et de l’implémentation de Privacy by Design dès le départ de tout projet de l’organisation

La preuve étant faite que la protection de la vie privée doit être pour les organisations non plus uniquement unFaye-Enide Ombrefacteur de mise en conformité mais un réel besoin d’affaires, il importe de tenter de comprendre comment on peut rendre concrète l’implémentation effective de la protection de la vie privée dans les systèmes utilisés par les organisations tant publiques que privées.

L’Information Commissioner’s Office, dans son rapport a émis diverses recommandations à mettre en place dans le but de rendre réelle l’implémentation de Privacy By Design en vue de la protection intégrée du respect de la vie privée dans les systèmes.

L’écosystème du Privacy By Design

Tout comme l’a confirmé le constat de  la  Docteure Cavoukian, le succès de l’implémentation de Privacy by design dépend de la mise en place d’un écosystème favorisant  la culture de la protection de la vie privée. Il s’agit d’une attitude qui portera toutes les parties prenantes,  à tous les niveaux de l’organisation à s’intégrer dans une dynamique de respect et de protection de la vie privée.  Cela établira un environnement qui encouragera les décideurs à investir dans des démarches et des technologies qui promeuvent le respect de la vie privée à travers toute l’organisation.

Selon le rapport,  un tel écosystème n’existe pas à l’heure actuelle et les besoins de confidentialité ne font souvent pas partie du cycle de vie des systèmes. Il s’avère donc nécessaire de réfléchir aux nouveaux moyens permettant la prise en compte et l’implémentation des exigences de protection de la vie privée dès les premières phases de la vie de tout projet de l’organisation.  L’écosystème du privacy by design favoriserait le dialogue entre les gouvernements, les entreprises et les fournisseurs de technologies pour que des normes de protection de la vie privée soit mises en place et respectées dans la conception des applications et dans les dispositifs entrant dans le fonctionnement des systèmes.

Une bonne approche de l’intégration du respect de la vie privée dans les systèmes  impliquera aussi, selon l’ICO, la destruction de certaines barrières existantes  dans la pratique de la mise en place des systèmes d’information.  Ces barrières concernent d’après le rapport les points suivants :

  • l’incapacité pour la haute direction de reconnaître la protection de la vie privée comme un enjeu de très grand intérêt pour l’organisation ;
  • le manque d’intérêt pour l’intégration  du concept de respect de la vie privée dans le cycle de vie des systèmes ;
  • le conflit d’intérêt entre le besoin de communication des informations et la protection de la vie privée ;
  • l’absence de normes internationales sur la gestion de la vie privée.

De plus, le caractère immature des  Privacy Enhancing Technologies (PET’s) constitue aussi un frein à l’acceptation de l’intégration de la protection de la vie privée dans le développement des systèmes.  Ajouté à cela, il faudra penser au renforcement des moyens d’actions et les capacités de Commissariats à la vie privée à l’échelle des pays.  Rappelons que les PET’s sont un ensemble d’outils technologiques incorporés dans les systèmes d’information dans le but de permettre la protection des informations relatives à la vie privée.

Le rapport de l’ICO tente donc une approche qui préconise l’intégration de Privacy By Design en présentant le respect de la vie privée comme partie intégrante du cycle de vie des applications. De même, un exercice de gestion des risques relatifs à la vie privée devra être mené par l’organisation pour qu’elle soit consciente de son degré d’exposition et des remèdes qu’elle aurait à y apporter.  C’est ainsi que l’ICO prévoit dans le processus d’implémentation du Privacy By Design le Privacy Impact Assessment (PIA).

Le Privacy Impact Assessment (PIA)

Le Privacy Impact Assessment (PIA) est un processus utilisé pour évaluer les risques liés à la vie privée dans les systèmes d’information. C’est une approche qui s’applique tant au secteur privé que public. Il   évalue les systèmes et la technologie et ses caractéristiques relativement à la vie privée.  Centré sur les intérêts de la personne et prenant en compte leurs attentes, le PIA identifie  les risques et propose des recommandations en vue de leur atténuation. Pour asseoir ses recommandations, le PIA évalue clairement les fonctionnalités de confidentialité et de sécurité des systèmes. De plus il permet une évaluation exhaustive des contrôles en place, de la gouvernance des organisations et de leur degré de responsabilisation eu égard à la protection des renseignements personnels.

L’instauration dans les organisations d’une culture de respect de la vie privée sera la résultante de la mise en place l’écosystème du Privacy By Design. De même, la réalisation du PIA, et surtout la bonne gestion des risques liés à la protection des données pourraient permettre la mise en place  d’un environnement de confiance en ce qui concerne la protection de la vie privée.  Cela contribuera à promouvoir chez ces organisations  le développement de systèmes d’information bien conçus, répondant à l’esprit du Privacy by Design par opposition à ceux qui n’en tiennent pas du tout compte dans la conception de leurs produits.

S’inspirer de la réussite de l’implémentation du Security by design

Pour bien arriver à son intégration dans les systèmes, Privacy By Design doit s’inspirer du  succès  remporté par la Sécurité dans le domaine des systèmes d’information.  En effet la pratique de ces dernières années accorde une place très importante  à la sécurité dans les systèmes.  Cela est notamment dû à la reconnaissance de la profession que la sécurité  est importante pour l’atteinte des objectifs des organisations. De plus,  il a été mis en évidence les risques de sécurité qui menacent l’organisation et les efforts à consentir pour les atténuer. Cela a permis le développement de standards de gestion de la sécurité, le développement d’un vocabulaire de la sécurité ainsi qu’une plus grande sensibilisation de la haute direction à la question de la sécurité.

Privacy By Design pourrait donc en apprenant des succès du domaine de la sécurité mettre en place ses propres méthodologies pour permettre aux gouvernements et aux entreprises de favoriser l’implémentation du respect de la vie privée dans le processus de la mise en place des systèmes.  Les risques concernant la vie privée devront aussi être révélés, et les moyens à mettre en œuvre pour les contrôler identifiés. Et c’est le rôle qu’est appelé à jouer la Privacy Impact Assessment, l’une des étapes importantes de l’intégration du Privacy By Design comme nous l’avons vu précédemment.

A suivre. Voir la deuxième partie : Privacy By Design dans les systèmes d’information – La démarche de l’ICO.

]]> http://lyonelvalles.com/2016/06/28/privacy-by-design-dans-les-systemes-dinformation/feed/ 0 346
Le risque informationnel et l’urgence de le gérer de façon adéquate http://lyonelvalles.com/2015/12/20/le-risque-informationnel-et-lurgence-de-le-gerer-de-facon-adequate/ http://lyonelvalles.com/2015/12/20/le-risque-informationnel-et-lurgence-de-le-gerer-de-facon-adequate/#respond Mon, 21 Dec 2015 01:58:12 +0000 http://lyonelvalles.com/?p=325 Dans la littérature scientifique, le terme risque revient souvent. Peu importe la discipline considérée, la composante risque agit comme un dénominateur commun dans la réflexion sur les sujets sous étude.  Dans tous les domaines pris en compte, les managers et autres parties prenantes sont d’accord pour évoluer dans un environnement  exposé au risque minimum, sachant [...]]]>

Dans la littérature scientifique, le terme risque revient souvent. Peu importe la discipline considérée, la composante risque agit comme un dénominateur commun dans la réflexion sur les sujets sous étude.  Dans tous les domaines pris en compte, les managers et autres parties prenantes sont d’accord pour évoluer dans un environnement  exposé au risque minimum, sachant que le risque, s’il ne peut pas être éliminé, doit au moins être réduit de telle façon que sa concrétisation ne représente plus aucun danger pour le domaine, l’activité ou le projet considéré.

Bien que tout le monde fasse référence au risque et à l’effort qui doit être consenti pour sa maitrise, aucun consensus n’est vraiment trouvé pour une définition généralement et universellement accepté pour le risque.  En effet les divers domaines scientifiques tentent d’expliquer ou de définir le risque en fonction des spécificités propres à chacune de ces disciplines.

1- Une approche sociologique pour la compréhension du risque

Bien qu’une approche scientifique soit utilisée pour trouver les différentes versions de définition, une tentative d’explication de cette divergence de vues  peut être trouvée dans une approche sociologique de la façon de définir le concept de risque.  En effet, le risque se définit à partir de la façon dont les professionnels de chaque discipline le perçoivent.  Ce facteur de perception jouera ainsi un grand rôle dans la définition du risque non seulement par les scientifiques mais aussi par le commun des mortels.

 

Si aujourd’hui le concept de risque prend toute sa place dans les politiques de l’entreprise, il a toujours été une composante très présente dans le quotidien de l’homme. Les dangers et les occasions de leur concrétisation font partie intégrante  de notre vie.  Et c’est à chaque instant que nous devons faire des choix pour minimiser l’impact du risque sur notre vie.  Et cela concerne notre bonheur, notre santé, notre intégrité physique et morale, nos relations avec les autres humains et avec l’environnement, nos relations familiales et professionnelles

Ainsi tant du point de vue de l’individu que de l’entreprise, la constante du risque est toujours présente.  Ce qui amène à développer des stratégies pour minimiser ses impacts.

Dife-1La perception du risque ajoute ainsi une composante très subjective dans la définition que chacun donnera au risque.  Cette perception est fonction des facteurs sociaux et culturels touchant l’environnement de la personne tentant de définir le risque y compris les cindyniciens et les gestionnaires de risque.

2- Tentative de défintion du risque

Tenant compte de la sphère d’activité dans laquelle son organisation évolue, les professionnels tentent une classification des risques  dans le but de mieux cerner lesquels ont la plus grande probabilité de toucher ses actifs.  Ainsi, une entreprise qui entend se protéger du risque fera l’exercice d’inventorier tous les risques auxquels elle pourrait  être exposée. A partir de cet inventaire, elle met en place des catégories de risques desquels elle a la perception qu’elle devrait  se prémunir. Ainsi, ont été définies ces catégories  non exhaustives mais significatives de risques:

  • Risque de crédit
  • Risque de taux d’intérêt
  • Risques d’affaires
  • Risque industriel
  • Risque opérationnel
  • Risque informationnel.

Suite à ces considérations, quelle définition pourrait-on retenir pour le risque ?  Avant de tenter une réponse, commençons par  citer quelques définitions auxquelles a fait référence la littérature consacrée, suivant des disciplines spécifiques:

  1. Le risque est la probabilité qu’un effet spécifique se produise dans une période donnée ou dans des circonstances déterminées. En conséquence, un risque se caractérise par deux composantes : la probabilité d’occurrence d’un événement donné ; la gravité des effets ou des conséquences de l’événement supposé pouvoir se produire.
  2. Le risque est un événement incertain contre la réalisation duquel on s´assure. Par extension, les assureurs appellent « risque » le bien sur lequel porte l’assurance : risque locatif, ou la personne assurée.
  3. Il n’existe à l’heure actuelle aucune définition universelle du risque opérationnel. Pour de nombreuses banques, le terme désigne tout risque n’appartenant pas aux catégories des risques de marché et du risque de crédit; pour d’autres, il s’agit du risque de perte engendré par diverses sortes d’erreurs humaines ou techniques. Il est souvent associé aux risques inhérents aux règlements ou aux paiements, à l’interruption de l’activité ainsi qu’aux risques administratif et juridique.
  4. Quand on ne peut exprimer l’aléatoire par des probabilités, même subjectives, on doit plutôt parler d’incertitude.  Le mot  risque est  généralement utilisé  lorsqu’il  existe au moins  la  possibilité  de  conséquences négatives, s’il ne s’agit que de conséquences probables positives, on parlera plutôt de possibilités. L’adjectif informationnel étant relatif à l’information, et notamment à sa sélection, sa  mise en  forme,  son transfert  et  son  utilisation,  le risque  informationnel  est  celui  associé  à  la sélection, la  mise en forme, le transfert et l’utilisation de l’information.

Ces quelques définitions en essayant d’apporter un éclairage sur la question, ont en même temps traité le problème sous un angle réducteur, le ramenant uniquement à  la discipline à laquelle appartient chaque auteur.  On y retrouve  cependant des constantes intéressantes qui pourraient être utilisées pour tenter une définition au concept de risque.  En effet,  toutes ces définitions suggèrent que le risque a un impact négatif sur les activités de l’entreprise.  A cela s’ajoute une idée d’incertitude et de probabilité d’occurrence des évènements qui pourraient entrainer cet impact négatif.  Bien entendu l’idée de perception du risque ou l’élément subjectif vu précédemment, est aussi présente dans ces définitions.

3- Le risque informationnel

Le risque informationnel, dans une large mesure, prend en compte les menaces auxquelles sont exposés  les actifs  informationnels de l’entreprise. Dans ce contexte, ces actifs doivent être considérés en évitant toute définiton réductrice tendant à y classer uniquement les biens ayant rapport avec l’informatique.  Les actifs informationnels, en effet, touchent tous les éléments rentrant dans le processus  de mise en place et d’exploitation des systèmes d’information de l’entreprise.  Cela prend en compte le matériel informatique, les processus, les données, de même que l’information conservée sur support papier ou sur tout autre type de support.

En traitant du risque informationnel, l’attention est notamment portée sur les opérations effectuées sur les données ou les informations.  Le risque informationnel est ainsi associé au processus de traitement de l’information, traitement qui prend place comme composante du système d’information.

Partant notamment de cette association, on serait tenté de considérer le risque informationnel comme la probabilité qu’une menace exploite les failles des systèmes d’information en les impactant de façon négative.  Les conséquences porteront ainsi atteinte aux objectifs de sécurité de l’information qui sont la disponibilité, l’intégrité et la confidentialité des systèmes et de ses composantes.   Plus concrètement, ces conséquences se traduiront en termes de perte ou de destruction de données, de divulgation d’information confidentielle, de modification non autorisée des données, de destruction, sabotage ou vol d’actifs informationnels.  En bout de ligne si ces risques se matérialisent, il en résultera pour l’entreprise des  effets négatifs touchant notamment le domaine financier, opérationnel, technique et légal, de même que son image et sa renommée.

A ce stade, il serait intéressant de noter que la littérature tend aujourd’hui à attribuer des conséquences positives au risque.  Elle fait ainsi intervenir la notion d’opportunité. Bien que cette idée soit de plus en plus partagée dans la communauté, pour le moment, nous trouvons difficilement une application de ce concept dans le traitement  du risque informationnel.  Une analyse plus poussée de cette proposition trouvera peut-être sa concrétisation dans la gestion  des risques d’affaires où l’exposition à un risque plus grand rapportera plus de gains à l’entreprise.

4- De l’urgence de la gestion des risques informationnels

Si l’unanimité ne peut pas être faite sur la définition à apporter au risque informationnel, tout le monde est d’accord que ses conséquences impactent négativement les organisations.  Ce consensus explique la nécessité de bien gérer son risque informationnel de façon à minimiser ses effets.  Pour tout gestionnaire, l’idéal serait d’évoluer dans un environnement sans risque.  Etant donné que toute activité humaine comporte des risques inhérents, la gestion des risques se bornera-telle à essayer de minimiser les risques en sachant que le « risque zéro » n’existera jamais. Le risque résiduel de l’entreprise sera donc fonction de son appétence pour le risque.

Cette notion d’appétence pour le risque fait référence au niveau de risque que l’entreprise est prête à assumer dans le cadre de la réalisation de ses objectifs d’affaires.  Ainsi la gestion des risques s’évertuera à ramener tous les risques auxquels l’entreprise est exposée au niveau qu’elle trouve acceptable.  Comme nous l’avons fait remarquer, cette évaluation se basera sur une approche vraiment subjective où rentreront  en ligne de compte, la personnalité, la culture et les valeurs en lesquelles croient les gestionnaires ; tout cela basé sur la perception du risque et l’appétence pour le risque.  Ainsi, il sera logique de constater que deux entreprises évoluant  dans le même domaine gèrent leurs risques façon fort différente alors que l’analyse montre bien qu’elles sont exposées aux mêmes menaces.

Le développement des systèmes d’information entrainant avec lui l’augmentation des risques informationnels a permis une forte avancée de la discipline de la gestion des risques informationnels.  Gérer ses risques informationnels dans l’organisation, constitue ainsi,  non un simple projet avec un début et une fin, mais un processus formel et itératif. Il part de la classification des actifs informationnels, et de l’identification des risques pour aboutir à l’adoption d’une stratégie de gestion. Suivant un processus basé sur l’amélioration continue, la gestion des risques fournira  au gestionnaire l’option de réduire le risque, de le transférer, de le minimiser ou de l’accepter en toute connaissance de cause, c’est-à-dire en fonction de sa perception du risque et de son appétence pour le risque.

Après avoir tenté de faire le tour de la question, nous pensons qu’il reste toujours ce consensus à trouver en faveur d’une définition pour le risque informationnel.  Nous croyons malgré tout que le concept est bien compris par la communauté scientifique. Les études sur le risque  et les différentes tentatives de définition montrent que pour qu’il y ait risque et pour que ses effets négatifs se réalisent, il faut la conjugaison  des trois composantes que constituent la menace, la vulnérabilité et l’impact.  C’est donc sur ces facteurs qu’il faut agir dans l’élaboration de toute politique visant la réalisation des objectifs d’affaires de l’organisation.  Cela  permettra au gestionnaire de porter une attention particulière au risque, ce paramètre qui, s’il n’est pas maitrisé, constituera un facteur qui fera dévier l’entreprise de ses objectifs et peut à terme  compromettre sa survie.

]]>
http://lyonelvalles.com/2015/12/20/le-risque-informationnel-et-lurgence-de-le-gerer-de-facon-adequate/feed/ 0 325
Le palmarès 2014 des pires mots de passe sur Internet http://lyonelvalles.com/2015/01/26/le-palmares-2014-des-pires-mots-de-passe-sur-internet/ http://lyonelvalles.com/2015/01/26/le-palmares-2014-des-pires-mots-de-passe-sur-internet/#respond Tue, 27 Jan 2015 02:38:50 +0000 http://lyonelvalles.com/?p=310 Parmi les mots de passe les plus rencontrés lors du dévoilement des mots de passe contenus dans les données capturées en  ligne par les pirates en 2014, la société Splashdata en a relevé le top 25 des pires que les utilisateurs ont choisis.   Cela montre que malgré les campagnes de sensibilisation autour du [...]]]> Parmi les mots de passe les plus rencontrés lors du dévoilement des mots de passe contenus dans les données capturées en  ligne par les pirates en 2014, la société Splashdata en a relevé le top 25 des pires que les utilisateurs ont choisis.   Cela montre que malgré les campagnes de sensibilisation autour du choix de mots de passe très forts, les internautes continuent à risquer leurs données en ligne, faisant ainsi la joie des pirates, en leur offrant des mots de passe faciles à craquer.

motdepasse

N’est-il pas surprenant de constater que aujourd’hui encore, 123456, password ou 111111 sont encore utilisés comme mot de passe? Indiquer comme mot de passe le nom de son sport favori comme football ou baseball , n’est-ce pas offrir ses données aux pirates informatiques sur un plateau d’argent?

Nous pensons qu’au regard de ce palmarès des pires mots de passe de 2014,  qu’il n’est pas superflu de rappeler aux utilisateurs des technologies le soin qu’ils doivent apporter dans le choix des mots de passe appelés à protéger leurs données. S’ils n’ont pas assez d’imagination ou d’inspiration pour confectionner des mots de passe forts, ils peuvent toujours confier cette tâche à des générateurs de mots de passe offerts en ligne.

S’il  vous est difficile de vous souvenir de vos mots de passe, vous pouvez aussi utiliser des gestionnaires de mots de passe  (password manager) offerts aussi en ligne.

Choisir un bon mot de passe et le garder à l’abri des regards indiscrets constituent, en effet, la première ligne de défense dans l’adoption d’une posture sécuritaire dans l’utilisation des technologies de l’information et de la communication et surtout d’internet.

Voici, ci-après, le top des 25 pires mots de passe relevés par Splasdata pour 2014:

1 – 123456
2 – password
3 – 12345
4 – 12345678
5 – qwerty
6 – 123456789
7 – 1234
8 – baseball
9 – dragon
10 – football
11 – 1234567
12 – monkey
13 – letmein
14 – abc123
15 – 111111
16 – mustang
17 – access
18 – shadow
19 – master
20 – michael
21 – superman
22 – 696969
23 – 123123
24 – batman
25 – trustno1

En présentant son palmarès, Splashdata a aussi offert des conseils permettant un bon choix et une bonne gestion des mots de passe.  Vous pouvez vous en inspirer pour la sécurisation de vos données dans votre utilisation régulière d’Internet.

]]>
http://lyonelvalles.com/2015/01/26/le-palmares-2014-des-pires-mots-de-passe-sur-internet/feed/ 0 310
Attention, SoakSoak frappe les sites WordPress http://lyonelvalles.com/2014/12/18/attention-soaksoak-frappe-les-sites-wordpress/ http://lyonelvalles.com/2014/12/18/attention-soaksoak-frappe-les-sites-wordpress/#respond Fri, 19 Dec 2014 04:46:25 +0000 http://lyonelvalles.com/?p=297

Pendant le week-end dernier, il a été rapporté que plus de 100 000 sites adossés à WordPress ont été attaqués par le malware SoakSoak.  Cette nouvelle a été publiée par le blog Sucuri.net traitant de la sécurité informatique.

L’action de SoakSoak est de transformer le site WordPress infecté en un [...]]]>

Pendant le week-end dernier, il a été rapporté que plus de 100 000 sites adossés à WordPress ont été attaqués par le malware SoakSoak.  Cette nouvelle a été publiée par le blog Sucuri.net traitant de la sécurité informatique.

L’action de SoakSoak est de transformer le site WordPress infecté en un point d’attaque contre d’autres sites.  SoakSoak est ainsi nommé puisque, lors de l’infection le premier nom de domaine obtenu dans son chemin de redirection est le site soaksoak.ru.

Les investigations ont démontré que cette vulnérabilité n’est pas nouvelle.  Elle a été découverte au moins à partir de septembre 2014 dans le plugin RevSlider utilisé par plusieurs sites sous WordPress.  À l’époque, la faille a été corrigée discrètement privant ainsi la communauté de utilisateurs de WordPress et, notamment les utilisateurs du plug-in Revslider,  de prendre, de leur côté, les mesures qui s’imposaient.

 L’infection par Soaksoak se caractérise au prime abord par la modification, notamment des deux fichiers suivants du site WordPress piraté :

·         template-loader.php

·         swfobject.js

 

Cependant les experts pensent que le malware ne présente pas toujours le même comportement sur tous les sites attaqués.

Le remplacement de ces fichiers pourrait constituer un début de solution au rétablissement de son site.  En effet, par cette action, le site pourrait encore être réinfecté dans un très court délai.  SoakSoak étant un malware qui a placé une porte dérobée sur les sites WordPress, le meilleur remède consiste, en plus de faire la mise à jour du plug-in RevSlider, d’agir sur la porte dérobée  en vue d’empêcher les prochaines attaques.

En plus de rétablir le site WordPress dans sa version originelle, les mesures prises permettront aussi de l’enlever de la blacklist des sites dangereux sur Internet.  Google a déjà recensé plus de 11 000 sites affectés par Soaksoak qu’il a portés sur sa liste noire. Et si des mesures ne sont pas prise de façon urgente, tout porte à croire que le nombre de sites portés sur cette liste croitra de façon exponentielle.

 

]]> http://lyonelvalles.com/2014/12/18/attention-soaksoak-frappe-les-sites-wordpress/feed/ 0 297
10 avril 2012, sortie officielle de Cobit 5 http://lyonelvalles.com/2012/04/10/10-avril-2012-sortie-officielle-de-cobit-5/ http://lyonelvalles.com/2012/04/10/10-avril-2012-sortie-officielle-de-cobit-5/#respond Tue, 10 Apr 2012 22:44:58 +0000 http://lyonelvalles.com/?p=274 Comme les professionnels de la gouvernance de technologies de l’information s’y attendaient, l’ISACA a lancé ce 10 avril 2012, Cobit 5, la nouvelle version du célèbre référentiel de gouvernance des technologies de l’information.

Cobit 5 est conçu pour être utilisé par les entreprises de tout type et de toute taille. Il peut aussi [...]]]> Comme les professionnels de la gouvernance de technologies de l’information s’y attendaient, l’ISACA a lancé ce 10 avril 2012, Cobit 5, la nouvelle version du célèbre référentiel de gouvernance des technologies de l’information.

Cobit 5 est conçu pour être utilisé par les entreprises de tout type et de toute taille. Il peut aussi convenir à accompagner le professionnel dans divers domaines de la gouvernance des TI, sécurité de l’information, gestion des processus, conformité, gestion des risques etc…

S’articulant autour de cinq grands principes, Cobit 5 met en perspective l’importance que joue l’information au sein de toute entreprise. Il met aussi en perspective le rôle central de la technologie dans tout le cycle de vie de l’information; sa création, son traitement, sa conservation et sa destruction. Cobit 5 insiste ainsi sur le fait que la technologie est devenue omniprésente dans tous les aspects de l’organisation et même dans les usages privés de notre vie.

Cobit5_5principes; Crédit ISACA

Cobit5_5principes; Crédit ISACA

Les cinq principes sur lesquels s’est basé COBIT 5 sont les suivants :
• Principe 1: Prise en compte de besoins des parties prenantes;
• Principe 2: Prise en compte de tous les processus de l’entreprise; affaires et TI;
• Principe 3: Application d’un référentiel unique;
• Principe 4: Mise en place d’une approche holistique;
• Principe 5: Séparation des principes de la gouvernance de ceux de a gestion.

COBIT 5 met en place ces cinq principes qui permettent à l’entreprise de construire une gouvernance des technologies de l’information efficace. Il permet aussi un cadre de gestion fondé sur un ensemble holistique de sept catalyseurs qui optimise l’information et apporte de la valeur à l’investissement technologique. Tout cela est conçu pour permettre une utilisation efficace de l’information au bénéfice des parties prenantes.

Par le lancement de Cobit 5, Un référentiel unique peut être utilisé pour regrouper toutes les fonctions de gouvernance des TI, alliant la gouvernance, la gestion des risques et la création de la valeur; toutcela vu sous un angle d’optimisation des ressources en vue de l’atteinte des objectifs globaux de l’organisation ce qui dépasse largement les seules préoccupations technologiques.

Avec la sortie de Cobit 5, l’ISACA annonce d’autres produits qui seront publiés dans les mois à venir. Citons par exemple :
• COBIT 5 for Information Security
• COBIT 5 for Assurance
• COBIT 5 for Risk
Les professionnels de la Gouvernance, de l’Audit et de la sécurité des TI de même que les gestionnaires devraient aussi s’attendre à ce que le fameux outil COBIT ON LINE soit aussi mis à jour pour refléter les réalités de Cobit 5.
Pour aller plus loin, chacun peut réclamer sa copie de Cobit 5 sur le site de l’ISACA.

]]> http://lyonelvalles.com/2012/04/10/10-avril-2012-sortie-officielle-de-cobit-5/feed/ 0 274
eG8 ou la gouvernance d’Internet à l’ombre du G8 http://lyonelvalles.com/2011/05/31/eg8-ou-la-gouvernance-dinternet-a-lombre-du-g8/ http://lyonelvalles.com/2011/05/31/eg8-ou-la-gouvernance-dinternet-a-lombre-du-g8/#respond Tue, 31 May 2011 20:30:00 +0000 http://lyonelvalles.com/?p=224 Du 26 au 27 mai 2011, s’est tenue à Deauville en France, la rencontre du G8.  Ce forum tient lieu de carrefour où les états les plus puissants du monde  tentent de définir la  courbe de tous les dossiers importants concernant notre planète.  Entre autres sujet, cette année, la question de l’Internet a [...]]]> Du 26 au 27 mai 2011, s’est tenue à Deauville en France, la rencontre du G8.  Ce forum tient lieu de carrefour où les états les plus puissants du monde  tentent de définir la  courbe de tous les dossiers importants concernant notre planète.  Entre autres sujet, cette année, la question de l’Internet a été à  l’ordre du jour.  Internet a revêtu une telle importance pour le G8 qu’il lui a été consacré à lui seul son propre sommet : le  eG8.

 

Le  eG8 vient d’une initiative du président français Nicolas Sarkozy.  Par ce geste, il a convoqué tous les grands ténors de l’Internet  pour discuter de l’avenir de cet incontournable outil indispensables pour l’avenir de la planète quelques soit l’angle considéré.   C’est dans cet esprit que se sont tenues les assises du  eG8, dans les jardins des Tuileries à Paris du 24 au 25 mai 2011.   Qu’est qui se discutait au eG8? Selon le communiqué de presse  produit à la clôture de ce sommet, « Les deux jours du eG8 ont été l’occasion de débattre et de réfléchir collectivement à un grand nombre des thèmes cruciaux du numérique – allant du soutien à l’innovation, au développement d’Internet, à la liberté des réseaux, de la protection de la vie privée à la lutte contre la cybercriminalité ou la protection des mineurs, et concernant plus globalement la concrétisation des virtualités offertes par le numérique dans des champs aussi différents que l’accélération de la croissance, la création d’emploi, la vie démocratique et l’administration,  l’éducation, l’information, et la santé. »   Du point de vue de la participation les acteurs important de la planète Web ont fait le déplacement où ils côtoyaient les hommes politiques et les dirigeants de grandes entreprises. Les débats tournaient autour de thèmes divers comme

  • L’Internet et la croissance de l’économie
  • Internet et Société
  • Le futur de l’Internet
  • La propriété intellectuelle et la culture économique à lère du numérique
  • Encourager l’innovation : Comment construire le future
  • La transformation digitale : Réinventer les affaires

Cliquer ici pour l’agenda au complet Cliquer ici pour la liste des participants Dans l’ensemble il était question d’une part de promouvoir le développement de l’Internet et d’autre part de préconiser certaines mesures devant le rendre plus  sure  en réfléchissant sur des moyens de possibles réglementations.  Ce dernier point a notamment alimenté les débats entre ceux qui souhaitent une forte réglementation et ceux qui ne voudraient aucune entrave à l’imagination et à l’innovation.

]]>
http://lyonelvalles.com/2011/05/31/eg8-ou-la-gouvernance-dinternet-a-lombre-du-g8/feed/ 0 224
Incident de sécurité chez WordPress http://lyonelvalles.com/2011/04/13/incident-de-securite-chez-wordpress/ http://lyonelvalles.com/2011/04/13/incident-de-securite-chez-wordpress/#respond Thu, 14 Apr 2011 03:38:10 +0000 http://lyonelvalles.com/?p=211 Il a été rendu publique  ce 13 avril 2011 une difficile annonce de la part de WordPress.  Des attaques au niveau root ont réussi à toucher plusieurs serveurs de la maison. Théoriquement les intrus ont pu prendre connaissance de tout le contenu des serveurs compromis.  Les investigations sont toujours en cours pour que [...]]]> Il a été rendu publique  ce 13 avril 2011 une difficile annonce de la part de WordPress.  Des attaques au niveau root ont réussi à toucher plusieurs serveurs de la maison. Théoriquement les intrus ont pu prendre connaissance de tout le contenu des serveurs compromis.  Les investigations sont toujours en cours pour que l’on apprécie la vraie nature et l’étendue des intrusions.

Cet incident doit être un motif  supplémentaire pour encourager les utilisateurs des nouvelles technologies à  prendre conscience des dangers inhérents à l’utilisation du web et à  intégrer de plus en plus les règles de sécurité.  Cela pour plusieurs raisons.

D’abord, nos systèmes et nos données sont pour nous des actifs d’une valeur inestimable.  Ce serait dommage que des intrus puissent nous empêcher de les utiliser aux fins pour lesquelles nous les avons conçus.  De plus il est un fait connu que l’on s’attaque surtout à ce qui présente de la valeur. Ainsi c’est vers les systèmes qui représente une valeur pour son propriétaire ou pour le  public que les attaques se dirigent le plus souvent.

Ainsi les sites et les actifs qui présentent un réel intérêt pour la  communauté des internautes seront toujours les plus susceptibles d’être attaqué.

Dans le but de permettre aux  utilisateurs de WordPress  de mieux se protéger,  il est fait recommandation aux membres de la communauté  d’insister sur les mesures fondamentales de sécurité; des mesures simples, non nécessairement en relation avec l’incident.  Nous reprenons ici  les conseils prodigués par Automattic :

« Utilisez des mots de passe robustes, c’est à dire aléatoires, incluant chiffres et ponctuation.

  • Utilisez des mots de passe différents pour des sites différents.
  • Si vous avez utilisé le même mot de passe sur plusieurs sites, changez-les pour d’autres plus sécurisés.

(Des outils comme 1Password, LastPass, and KeePass facilitent la gestion de mots de passe multiples.) »

Il est intéressant de noter le jeu de la transparence réalisé par Automattic en publiant cette annonce à l’intention du public et des utilisateurs de WordPress.  Cela a la vertu de les inciter à la prise en compte de la sécurité dans leur pratique. Cela a aussi l’intérêt de montrer que les développeurs de WordPress informe la communauté sur la vie du produit même quand l’annonce a été difficile comme l’a souligné Matt Mullenweg et peut faire mal. Et c’est tout à leur honneur.

]]>
http://lyonelvalles.com/2011/04/13/incident-de-securite-chez-wordpress/feed/ 0 211