Protection des données des entreprises

869 vues

Publié le

Les pratiques de la NSA en matière d’espionnage tous azimuts, notamment industriel, révélées par Snowden, confirment que la protection des données et la cyber-sécurité sont deux thèmes plus que jamais au cœur des problématiques des entreprises. Représentant un risque pour leur stratégie globale, il revient aux dirigeants de s’assurer de leur protection. En plus d’une vision globale sur le marché européen, vous retrouverez dans ce livre blanc des recommandations concrètes.

Publié dans : Technologie
0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
869
Sur SlideShare
0
Issues des intégrations
0
Intégrations
101
Actions
Partages
0
Téléchargements
21
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Protection des données des entreprises

  1. 1. Les thèmes de protection des données et de cyber sécurité ne sont pas nouveaux pour l’économie, mais l’affaire d’espionnage de l’Agence nationale américaine de la sécurité (NSA) a de nouveau fait de cette problématique un sujet d’actualité pour les preneurs de décision. Si les entreprises ont tiré quelques leçons du débat actuel, elles savent désormais que la protection des données et de la confidentialité ne relève pas seulement des domaines des services informatiques et de l’expertise en matière de sécurité, mais que les gérants d’entreprise et les comités de direction sont également directement responsables. CONTEXTE Edward Snowdeni constitue le portrait des révélations faites dans le cadre de l’affaire de surveillance de la NSA. Début juin 2013, l’ancien collaborateur du service secret américain a tout d’abord donné un aperçu de l’efficacité des programmes d’espionnage en place aux États-Unis. Il a rendu public la manière dont les États-Unis ont, depuis des années, surveillé des millions de données Internet et téléphoniques dans le monde. Par conséquent, il s’agit de mener non seulement la lutte indispensable contre le terrorisme, mais également celle contre l’espionnage industriel à grande échelle. Les services secrets américains espionnent ainsi des entreprises européennes de manière systématique et transmettent les informations obtenues à des entreprises américaines à finalité de renseignement, comme dans l’exemple de Ferrostaal. Selon des rapports officiels, le prestataire allemand de services industriels aurait perdu un contrat d’un volume de 34 millions de dollars, au profit d’un concurrent américain. Depuis, la perte de confiance dans l’environnement informatique américain et ses fournisseurs de logiciels et prestataires s’est considérablement accrue. D’après les résultats d’un sondage mené auprès des membres de la Cloud Security Alliance, la Fondation sur les technologies de l’information et l’innovation (Information Technology & Innovation Foundation) a prévenu les fournisseurs de services informatiques en Cloud qu’une perte du chiffre d’affaires de 22 à 35 milliards de dollars surviendrait sur les trois années à venir. L’économie européenne en bénéficie avant tout, car l’affaire de surveillance mènera à une augmentation de l’obtention de contrats par des fournisseurs européens. L’illustration suivante montre l’évolution probable du marché mondial concernant les solutions d’informatique en Cloud pour lequel la croissance forte se poursuivra au cours des prochaines années. ii LA PERTE DE DONNEES CONFIDENTIELLES NE PEUT PAS ETRE CONSIDEREE COMME UNE SIMPLE MISSION TECHNIQUE, CAR ELLE REPRESENTE UN RISQUE STRATEGIQUE GLOBAL POUR L’ENTREPRISE. L’EUROPE APRES LE SCANDALE SUR LA PROTECTION DES DONNEES : COMMENT DES DONNEES D’ENTREPRISE CONFIDENTIELLES PEUVENT-ELLES ETRE PROTEGEES ?
  2. 2. L’EUROPE APRÈS LE SCANDALE SUR LA PROTECTION DES DONNÉES : COMMENT DES DONNÉES D’ENTREPRISE CONFIDENTIELLES PEUVENT-ELLES ÊTRE PROTÉGÉES ? Illustration 1 : Souscriptions mondiales pour l’informatique en cloud pour les marchés américains et non américains ; 2009 à 2016 en milliards, US$ COMPOSANTS ESSENTIELS DE L’INFRASTRUCTURE EN CLOUD : « ÉCHANGE DE DONNEES D’ENTREPRISE CONFIDENTIELLES » Toutes les entreprises ont en leur possession des documents et informations confidentiels qui doivent être protégés des accès non autorisés internes et externes. Toutefois, dans un environnement commercial mondialisé et numérique, un accès à ces informations confidentielles doit justement être accordé à des catégories de personnes spécifiques en interne et en externe dans le monde entier. Cas de figure 1 : Transactions Les transactions sont des cibles intéressantes pour l’espionnage industriel, car le savoir d’initiés est particulièrement exploité à des fins de spéculation et d’avantages concurrentiels. L’entreprise cible présente soigneusement tous les documents sensibles, comme : ‒ Propriété intellectuelle, par exemple secteur pharmaceutique Les informations concernant la composition de médicaments, les avancées en matière de recherche et les séries d’expériences, la propriété intellectuelle (PI) d’une compagnie pharmaceutique se trouvant juste avant le rachat par un LA QUANTITE D’INFORMATIONS CONFIDENTIELLES DES ENTREPRISES ET LE NOMBRE DES PARTIES IMPLIQUEES DEVANT Y AVOIR ACCES SONT CONSIDERABLES. En tant que secrets de fabrication et commerciaux sont considérés tous les faits, toutes les circonstances et toutes les opérations se rapportant à une entreprise qui ne sont pas publics, qui ne sont divulgués qu’à un cercle restreint de personnes et pour lesquels l’entité dispose d’un intérêt légitime de non diffusion. Les secrets de fabrication concernent le savoir technique au sens large, tandis que les secrets commerciaux se rapportent principalement au savoir commercial. Parmi ces secrets figurent par exemple les chiffres d’affaires, les résultats d’exploitation, les livres de compte, les listes de clients, les sources d’approvisionnement, les conditions de stratégies commerciales, la documentation relative au degré de solvabilité, les documents de calcul, les demandes de brevets et autres projets de développement et de recherche susceptibles de largement déterminer les conditions économiques d’une entreprise. (Définition selon la décision de la Cour constitutionnelle fédérale allemande (BVerfG) du 14 mars 2006)
  3. 3. L’EUROPE APRÈS LE SCANDALE SUR LA PROTECTION DES DONNÉES : COMMENT DES DONNÉES D’ENTREPRISE CONFIDENTIELLES PEUVENT-ELLES ÊTRE PROTÉGÉES ? concurrent sont déterminantes en matière d’évaluation et d’une importance capitale pour l’entreprise industrielle, même après la transaction. ‒ Données contractuelles et de clients sensibles, par exemple appels d’offres Les informations relatives à l’offre de toute entreprise se trouvant dans une procédure d’appel d’offres peuvent être décisives pour le succès de concurrents. ‒ Salaires de dirigeants Les salaires de dirigeants d’entreprise et de membres des comités de direction présentent souvent un intérêt accru pour le grand public et pour les concurrents dans le cadre d’initiatives de débauchage. L´entreprise vendeuse doit dans tous les cas surveiller et garantir la sécurité des documents. Cas de figure 2 : Communication des comités (Conseil de surveillance, Comité de direction, Direction de la société) La communication des comités de direction, des conseils de surveillance et des directions de sociétés est strictement confidentielle. Dès lors, l’information des membres de comités et la préparation de réunions doivent être organisées en conséquence et de manière sécurisée. Les courriels de comptes de sociétés ou de comptes privés ne peuvent pas être utilisés à cette fin, car ils possèdent le même niveau de sécurité non codé que des cartes postales et d’autres collaborateurs de l’entreprise peuvent, en règle générale, également y accéder. Toutefois, les courriels codés ne satisfont souvent pas aux exigences de sécurité, car l’expéditeur se dessaisit du contrôle du document envoyé par courriel. Les exemples de la presse démontrent quels enjeux importants la perte de documents volés de comptes de courriels privés ou professionnels comporte. Il peut en résulter une perte de contrats, la divulgation prématurée de stratégies d’entreprise ainsi qu’une perte de réputation interne et externe. Les informations relatives au personnel sont notamment souvent très difficiles à catégoriser dans les entreprises. SUPPORTS D’INFORMATION = FACTEURS DE RISQUE La quantité d’informations confidentielles des entreprises et le nombre des parties impliquées devant y avoir accès sont considérables : des collaborateurs spécialisés et de l’informatique, aux conseillers en passant par les partenaires commerciaux, les clients, les prestataires de services et les fournisseurs. L’étude e-Crime menée par KPMG relative à la criminalité informatique dans l’environnement économique allemand a interrogé des entreprises à ce sujet, qui ont été concernées par e-Crime au cours des deux dernières années, sur les auteurs d’infractions et a obtenu les résultats suivants :
  4. 4. L’EUROPE APRÈS LE SCANDALE SUR LA PROTECTION DES DONNÉES : COMMENT DES DONNÉES D’ENTREPRISE CONFIDENTIELLES PEUVENT-ELLES ÊTRE PROTÉGÉES ? L’Illustration 2 montre que les initiés d’entreprise surtout ont également appartenu aux groupes de risques. Source : étude e-Crime, KPMG Le besoin de protection de données confidentielles en interne et en externe est particulièrement grand.iii CONTEXTE EN MATIERE DE PROTECTION DES DONNEES EN EUROPE En 1995, la Communauté européenne a promulgué la directive 95/46/CEiv pour la protection de personnes physiques à l’égard du traitement des données à caractère personnel et pour la protection de la libre circulation des données. Cette directive décrit les normes minimales pour la protection des données qui sont garanties par des lois nationales dans tous les États membres de l’Union européenne. Il convient toujours de vérifier, avant la transmission de données à caractère personnel vers l’étranger, que l’utilisation des données soit avant tout autorisée sur le territoire national. Ainsi, le consentement de la partie intéressée ou une autorisation légale pour l’utilisation des données doit être établi. De surcroît, il doit être garanti, lors de la transmission de données vers l’étranger, que le pays de destination dispose d’un niveau de protection de données approprié. Cependant, dans quel cas le niveau de protection des données est-il considéré comme « approprié » ? Dans les pays de l’UE et les pays de l’EEE, le niveau de protection des données est considéré comme approprié et la transmission de données est généralement autorisée dans la mesure où toutes les autres dispositions en matière de protection des données sont respectées. En revanche, si les pays de destination se trouvent en dehors de l’UE/de l’EEE, il convient alors de distinguer entre les pays tiers sécurisés et ceux non sécurisés : ‒ Les pays tiers sécurisés sont les États pour lesquels la Commission européenne a confirmé, par le biais d’une décision d’adéquation, que ces États disposent d’un niveau de protection de données approprié suffisamment comparable à celui exigé par la législation de l’UE ou les lois nationales des États membres de l’UE. Actuellement, ces États sont : la
  5. 5. L’EUROPE APRÈS LE SCANDALE SUR LA PROTECTION DES DONNÉES : COMMENT DES DONNÉES D’ENTREPRISE CONFIDENTIELLES PEUVENT-ELLES ÊTRE PROTÉGÉES ? Suisse, l’Argentine, l’Andorre, l’Uruguay, l’Australie, la Nouvelle-Zélande, les îles Féroé, Guernesey, Israël, l’île de Man, Jersey et le Canadav . ‒ À l’inverse, les pays tiers non sécurisés sont les pays qui ne disposent pas d’un niveau de protection de données approprié et comparable à celui exigé par les normes européennes comme, par exemple, les États-Unis, le Japon, l’Inde et la Chine. La transmission de données à caractère personnel dans ces pays tiers non sécurisés n’est autorisée que sous certaines conditions préalables. Parmi ces conditions figurent, par exemple, le consentement de la partie intéressée ou la convention de clauses contractuelles types de l’UE qui contiennent les normes minimales exigées en matière de protection des données. Sphère de sécurité (Safe Harbor) Afin de ne pas complètement bloquer la circulation des données et les relations d’affaires transatlantiques, la Commission européenne a reconnu que les entreprises américaines, qui acceptent les principes approuvés de la sphère sécurisée établis par le ministère du commerce américain et qui ont fait l’objet d’une certification respective, disposent d’un niveau de protection des données approprié (décision relative à la Sphère de sécurité). Cette décision fait cependant l’objet de critiques dans le cadre des débats politico-juridiques, car la Sphère de sécurité implique un mécanisme total, facultatif et autorégulateur. USA PATRIOT Act (« Loi pour unir et renforcer l’Amérique en fournissant les outils appropriés pour déceler et contrer le terrorisme ») En ce qui concerne les États-Unis, la situation s’aggrave encore plus, au vu de l’USA PATRIOT Act, loi qui a été approuvée en 2001 à la suite du 11 septembre. Cette loi permet au FBI et à d’autres autorités américaines, sans la supervision de tribunaux, d’exiger des données auprès de prestataires de services Internet et de fournisseurs de services informatiques en Cloud, sans le besoin d’informer les particuliers ou les entreprises. Traitement de données relatives aux contrats Les principes de la protection des données s’appliquent également au traitement de données relatives aux contrats, à savoir à l’obtention, au traitement ou à l’utilisation de données à caractère personnel par un prestataire de services mandaté, comme dans le cas de prestataires de services logiciels. Par exemple, lorsqu’une entreprise allemande mandate un fournisseur de services informatiques étranger pour le traitement de données à caractère personnel, l’entreprise doit s’assurer que les dispositions en matière de protection des données en vigueur en Allemagne sont respectées. En effet, l’externalisation de l’activité n’implique pas la cession systématique du risque juridique, car il relève toujours de la responsabilité de l’entreprise en tant que mandante de respecter les dispositions en matière de protection des données.
  6. 6. L’EUROPE APRÈS LE SCANDALE SUR LA PROTECTION DES DONNÉES : COMMENT DES DONNÉES D’ENTREPRISE CONFIDENTIELLES PEUVENT-ELLES ÊTRE PROTÉGÉES ? IMPORTANCE EN MATIERE DE PROTECTION DE DONNEES D’ENTREPRISE CONFIDENTIELLES Le PATRIOT Act permet, sous certaines conditions, l’accès par des autorités américaines non seulement aux entreprises américaines ayant leur siège aux États- Unis, mais également à leurs filiales implantées dans l’UE. Le facteur déterminant n’est pas seulement le lieu de stockage des données, mais également une liaison en termes de groupe du fournisseur de services informatiques avec les États-Unis. Par conséquent, les données européennes ne sont toutefois pas toujours protégées de l’accès par des autorités américaines, même si elles n’ont absolument aucune présence sur un serveur aux États-Unis. Lors de l’attribution d’un mandat à des fournisseurs de services informatiques, les facteurs déterminants d’un point de vue de protection des données sont le lieu de stockage/du serveur auquel se trouvent les données (dans l’UE/dans l’EEE/dans un pays tiers sécurisé) et si oui ou non le fournisseur de services informatiques a une liaison en termes de groupe sous une forme ou une autre avec les États-Unis. Cette situation rend donc impossible une collaboration conforme à la protection des données entre des entreprises européennes, qui sont également soumises aux normes européennes de protection des données, et des prestataires de services Internet et fournisseurs de services informatiques en Cloud américains, ainsi que leurs filiales en Europe. Dès lors, les experts en matière de protection des données recommandent des prestataires de services européens dont les serveurs se trouvent au sein de l’UE, afin de pouvoir gérer les risques juridiques. Par ailleurs, d’autres critères techniques doivent bien évidemment être satisfaits pour que la plateforme en elle-même se prémunisse contre les attaques extérieures. Ci-après figurent quelques exemples seulement. Illustration 3 : L’Europe après le scandale sur la protection des données : perspectives pour l’échange de données d’entreprise confidentielles LA PREVENTION DE RISQUES LIES A LA SECURITE NE PEUT ETRE ENGAGEE DE MANIERE SATISFAISANTE QUE DANS LE CAS OU LES CONVENTIONS, LES CONTRATS AINSI QUE L’ORGANISATION ET LA TECHNIQUE S’UNISSENT.
  7. 7. L’EUROPE APRÈS LE SCANDALE SUR LA PROTECTION DES DONNÉES : COMMENT DES DONNÉES D’ENTREPRISE CONFIDENTIELLES PEUVENT-ELLES ÊTRE PROTÉGÉES ? Conventions et contrats Technique Organisation RECOMMANDATIONS CONCRETES La protection de secrets commerciaux et de fabrication n’implique pas seulement la sélection de moyens techniques appropriés, elle concerne également les aspects organisationnels et juridiques. Les gérants d’entreprise doivent en l’occurrence tenir compte des points suivants : 1. Analyse des exigences légales, classification d’informations selon le besoin de protection requis et détermination d’un niveau de protection approprié compte tenu du rapport coûts-avantages. 2. Détermination de compétences et de règles décisionnelles. La direction de la société est responsable et garante de la protection des données et de la confidentialité. 3. Prise de mesures organisationnelles en vue de la réduction du cercle de personnes ayant accès à des documents et informations confidentiels. Sensibilisation des personnes internes et externes grâce à des formations et convention de déclarations de confidentialité, d’accords dits Non-Disclosure Agreements (NDA), comprenant des clauses de surveillance. 4. Conventions avec des conseillers et prestataires de services tenant compte du respect des règles de protection des données et de la confidentialité. La prévention de risques liés à la sécurité ne peut être engagée de manière satisfaisante que dans le cas où les conventions, les contrats ainsi que l’organisation et la technique s’unissent. Toutefois, la praticabilité de la solution est finalement et en l’occurrence aussi déterminante en termes de réussite. Du point de vue de l’entreprise, il est indispensable que les processus opérationnels ne soient pas restreints ou complexes, car tous les destinataires d’informations confidentielles sont largement impliqués dans des processus décisionnels et doivent avoir un accès facile aux informations à tout moment. Dès lors, ce point revêt une importance particulière dans le cadre de la définition des mesures de sécurité. i Les informations générales concernant Edward Snowden peuvent être consultées sur le lien suivant : http://www.slate.fr/monde/73701/edward-snowden-nsa ii Les résultats détaillés du sondage peuvent être consultés sur le lien suivant : http://www2.itif.org/2013-cloud-computing- costs.pdf iii Les résultats détaillés de l’étude peuvent être consultés sur le lien suivant : http://www.kpmg.com/ch/en/library/articles- publications/Pages/e-crime-survey-2013.aspx iv Le texte de la directive peut être consulté sur http://eur- lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:31995L0046:fr:HTML. v Version : mai 2013.

×