Actualités : analyse de données, Business Intelligence, Data Science, Big Data


RGPD : peut mieux faire !


Rédigé par Communiqué de FireEye le 21 Mai 2018

Le règlement RGPD une illusion de maitrise ou un réel changement ? Un tigre de papier. Les organisations ne seront pénalisées que si elles n’informent pas l’autorité concernée dans les délais imposés de l‘existence d’une attaque ou d’une fuite de données.



Or une entreprise peut mettre beaucoup de temps à découvrir un incident de sécurité comme nous le décrivons chaque année dans notre rapport MTrend. Néanmoins, elle respecte la réglementation si elle signale simplement l’incident dans les délais légaux après sa détection. Dans l’intervalle, un grand nombre de données peut avoir été volées, sans parler d’autres dommages. Il est également difficile de vérifier quand un incident a effectivement été découvert et si l’entreprise concernée ne l’a pas simplement dissimulé pendant un certain laps de temps. Dans ce cas de figure, elle ne sera soumise à aucune pénalité même si elle n’a pas pris les mesures de protection nécessaires.
Même si le RGPD est une première avancée positive, elle ne peut et ne doit pas être la seule. Car elle ne va pas assez loin. Le législateur devra promulguer d’autres lois sanctionnant également des précautions de sécurité inadéquates. Punir uniquement le défaut de signalement d’une attaque est comparable au fait de punir un braqueur de banque non pas pour le vol lui-même, mais pour un excès de vitesse durant sa fuite.
De plus, le RGPD offre aux cybers criminels de nouveaux vecteurs d’attaque qui peuvent profiter des incertitudes et interrogations de beaucoup d’employés dans les entreprises, spécialement durant les dernières phases de mise en œuvre de la réglementation. Des campagnes d’hameçonnage ciblées ayant pour thème la conformité au RGPD ont déjà été observées, et leur nombre continuera d’augmenter dans les prochains mois.
En outre, il sera intéressant de voir comment l’Union Européenne va gérer les initiatives de certains états membres visant à affaiblir le règlement au niveau national avec des clauses de souplesse conçues spécialement pour cela. Le premier exemple de ce comportement est fourni par l’Autriche. Dans ce pays, la législation nationale affaiblit le règlement européen à un point tel que même dans le cas d’une violation manifeste du RGPD, beaucoup d’entreprises ne risquent que très peu de pénalités, voire pas du tout. Après tout, à quoi sert une réglementation au niveau européen si elle peut être vidée de sa substance au niveau national sans conséquence pour le pays concerné ? Il n’est pas dans l’intérêt de l’Europe de voir se former des enclaves où des cybers criminels peuvent agir en toute impunité, en contrevenant légalement à des directives européennes.
„Mettre en place des règles de transparence et de sécurisation des données personnelles est une obligation dans le monde connecté d’aujourd’hui, mais l’homogénéité des mesures à travers l’Europe à minima est elle aussi un enjeu important“ rappelle David Grout, Directeur Technique Europe Du Sud pour FireEye. „il est crucial de mettre en place des capacités de détections, d’investigations sur les réseaux informatiques permettant, de réduire le temps de résidence des attaquant, d’accélérer la notification aux autorités et de définir les périmètres impactés et les conséquences, c’est ce que nous prônons depuis des années au sein de FireEye.




Nouveau commentaire :
Twitter

Vous pouvez commenter ou apporter un complément d’information à tous les articles de ce site. Les commentaires sont libres et ouverts à tous. Néanmoins, nous nous réservons le droit de supprimer, sans explication ni préavis, tout commentaire qui ne serait pas conforme à nos règles internes de fonctionnement, c'est-à-dire tout commentaire diffamatoire ou sans rapport avec le sujet de l’article. Par ailleurs, les commentaires anonymes sont systématiquement supprimés s’ils sont trop négatifs ou trop positifs. Ayez des opinions, partagez les avec les autres, mais assumez les ! Merci d’avance. Merci de noter également que les commentaires ne sont pas automatiquement envoyés aux rédacteurs de chaque article. Si vous souhaitez poser une question au rédacteur d'un article, contactez-le directement, n'utilisez pas les commentaires.


Twitter
Rss
LinkedIn
Facebook
Apple Podcast
App Store
Google Play Store