Par Thomas Mannierre, Directeur EMEA Sud de BeyondTrust L’IA a fait entrer les braquages dans une nouvelle dimension. Plus besoin d’une cagoule noire désormais. En améliorant les attaques d'ingénierie sociale modernes, l’IA a donné naissance à un autre type de menaces : les deepfakes. Bienvenue dans ce qui pourrait être un épisode de Black Mirror ! Le faux CFO de Hong Kong En début d’année, une entreprise à Hong Kong s’est vue escroquée de 25,6 millions de dollars par un hacker utilisant l’IA et la technologie deepfake pour usurper l’identité d’un directeur financier. Si l'on en croit les rapports d’enquête, l'attaque a simulé un environnement de vidéoconférence complet et utilisé une fausse identité d'un important directeur financier de Hong Kong et d'autres participants à la réunion. La victime ciblée du département financier s'est d'abord méfiée d'un e-mail de phishing prétendant provenir du directeur financier. Cependant, la victime a rejoint une con
Par Carole Maréchal, Secrétaire Générale & Responsable Juridique Senior & GRC (gouvernance, risques et conformité) de Telehouse France
Selon IDC, 8,6 millions de datacenters auront fleuri dans le monde à l’aube 2017. Usines des temps modernes, les datacenters abritent les données de nombreuses entreprises. Comment les protéger ? La sécurité des données est aujourd’hui un des enjeux majeurs des hébergeurs.
La sécurité des données
Panne, inondation, foudre ou piratage, un datacenter peut être soumis à de nombreux risques qui adressent in fine la même problématique : la protection des données du client. Il faut donc replacer l’usage client au cœur du sujet et s’intéresser à ses besoins. A ce titre, une cartographie des données est un atout majeur côté client pour analyser leur niveau de sensibilité, déterminer les niveaux de redondance et les engagements de services les plus adaptés. Il n’existe pas de solution unique : à chaque type de données son Cloud (public, privé, hybride), à chaque niveau de sensibilité des données (bancaires, industrielles, personnelles, défense nationale), son niveau de sécurité.
La transparence des contrats
Le contrat doit répondre à sa manière à ce besoin de sécurité des données en donnant des engagements contractuels au client et en l’informant régulièrement (obligation d’information y compris pre-contractuelle) de changements qui pourraient impacter la gouvernance ou la compliance du client. A ce titre, les points suivants doivent être abordés dans les contrats :
· Les niveaux d’engagement de service du fournisseur,
· La transparence sur la chaine des contrats, l’existence éventuelle de sous-traitants avec possibilité de sortie du contrat par le client en cas de refus de ces changements,
· La localisation des données et l’obligation d’information préalable du client en cas de changement en cours d’exécution, voire possibilité de résilier le contrat par le client en cas de refus de ce changement,
· L’intégrité, la confidentialité et la disponibilité des données,
· La réversibilité et la destruction des données le cas échéant en fin de contrat
· Une clause d’audit.
A cela s’ajoutent les nouvelles obligations issues de la réforme du droit des obligations entrée en vigueur le 1er octobre 2016 et le Règlement Européen sur la protection des données qui entrera en vigueur en 2018, notamment :
· L’obligation d’information pré-contractuelle généralisée et insérée dans le code civil,
· L’obligation à partir de 2018 de déclarer tous les violations de sécurité impactant les données dans les 72 heures (à compter de la connaissance de l’évènement), l’obligation d’introduire la notion de « privacy by design » (prise en compte des enjeux liés à la protection des données dès la conception) et du principe d’ « accountability » (capacité du responsable de traitement à démontrer le respect effectif du cadre légal en matière de protection des données) dans les services Cloud.
Adresser les problématiques de sécurité des données et de transparence dans les contrats, c’est répondre à l’enjeu de la confiance sur le marché du Cloud, enjeu primordial à l’échelle du monde digital.