News TECH IN France

[Workshop cyber sécurité] Comment protéger les données des entreprises ?

Publié le June 12, 2017

Le 8 juin dernier, TECH IN France, en partenariat avec le cabinet Apollo Conseil et courtage, a organisé un workshop cyber sécurité consacré à la protection des données des entreprises.

A cette occasion,  Thierry Peliks du cabinet d’avocats blumlegal a présenté les principales dispositions relatives au règlement européen sur la protection des données personnelles, Christophe Gautie, associé du cabinet Apollo a fait un état des lieux des solutions d’assurance pour la protection financière liées à la perte de données, Philippe Boyon, Senior Manager, Product & content marketing de Oodrive et Vincent Maury, Chief TechnicalOfficer de Denyall ont présenté des bonnes pratiques à mettre en place pour la protection des données.  

Thierry Peliks a ouvert la matinée en rappelant que l’objectif du règlement européen sur la protection des données personnelles qui entrera en vigueur le 25 mai 2018 est de responsabiliser les acteurs économiques sur la protection des données personnelles. Il est notamment revenu sur le renforcement de l’obligation de sécurité prévu par l’article 32 qui pourrait se recouper avec l’article 14 de la directive NIS, dès lors que les éditeurs de logiciels sont sous-traitants des données à caractère personnel. Par ailleurs, l’article 35 du GDPR qui prévoit la mise en place d’études d’impact implique un nouvel état de conscience quant à la protection des données. Thierry Peliks a également rappelé que la notion de responsabilité va évoluer avec l’entrée en vigueur du GDPR qui, par l’article 26, consacre la notion de responsabilité conjointe entre le responsable de traitement et le sous-traitant. Les modalités devront être négociées contractuellement. Christophe Gautie a ensuite présenté les garanties traditionnelles prévues pour la perte dedonnées des entreprise causée par un événement matériel ou immatériel ainsi que les nouvelles formes de garantie qui prennent en compte les risques liés à la cyber sécurité. Tous les frais consécutifs à une perte de données sont pris en charge par les assurances : pertes d’exploitation, pertes de chiffres d’affaires, frais annexes… Par ailleurs, en cas de piratage, les assurances cyber prennent en charge les préjudices causés aux clients, et ceux causés aux éditeurs de logiciels. 

 Philippe Boyon a exposé des bonnes pratiques à mettre en place en entreprise pour la gestion des données et la protection de celles-ci. Il est par exemple essentiel d’identifier la nature de la donnée (non secrète, sensible, confidentielle…) pour choisir un système de protection adapté. Par ailleurs il est crucial d’assurer une sécurité globale de la donnée (logiciel, organisation, hébergement, légal, support). En outre, afin de rassurer les clients et justifier d’un niveau de sécurité élevé il existe des normes et des certifications telles que iso27001 ou encore SecNum Cloud.  Pour finir, Vincent Maury de Denyall a présenté des cas de faille de sécurité aux conséquences non négligeables notamment dans le cadre de la communication machine to machine, qui se développe rapidement avec la croissance des objets connectés. Les deux risques majeurs identifiés pour les entreprises sont l’envoi d’un malware qui se diffuse dans l’entreprise et est activé par l’utilisation d’un individu alors que le second vecteur repose sur l’applicatif. Vincent Maury a notamment présenté les expériences de Nissan, Tesla ou encore Tinder. Aujourd’hui une grande partie des attaques est automatisée : dépôt d’un malware, récupération dinformations… Afin de bloquer ces attaques automatisées, il existe différentes techniques comme le captcha qui est , dans sa dernière mouture, invisible. L’objectif de cet outil est de vérifier que l’utilisateur n’est pas un robot à travers son comportement (taper sur le clavier, mouvement de la souris…).