LIVRE BLANC PROTECTION DES DONNÉES PERSONNELLES

N E T W OR K S EC U RI T Y I E N D P O I N T S E C U R I T Y I D ATA S E C U R I T Y

LIVRE BLANC

PROTECTION DES DONNEacuteES PERSONNELLESPETIT PREacuteCIS POUR UNE BONNE PRATIQUE DU GDPR (GENERAL DATA PROTECTION REGULATION) EN ENTREPRISE

PAR PASCALE MARIN PRODUCT MARKETING MANAGER - STORMSHIELD

2

Introductionbull Reacutetrospective et contextebull Reacutevolution numeacuteriquebull Crise de confiance

Les textesbull Safe Harborbull Privacy Shieldbull Avegravenement du GDPR

Le GDPR en pratiquebull Limitesbull Brexitbull Le GDPR appliqueacute aux entreprisesbull Donneacutees personnelles et speacutecialesbull La question du Shadow ITbull Le Cloud

∙ Droits des entreprises ∙ Devoirs des entreprises ∙ Heacutebergeurs Cloud

bull Les cadres ISO (International Standard Organization)bull Le rocircle du responsable du traitement de la donneacuteebull Code de conduite et certificationbull Les accompagnateurs dans la transition vers le GDPR

Cybercriminaliteacute en pratiquebull Etat des lieux globalbull En France

La Solution Stormshieldbull Best Practice

∙ Le chiffrement de bout-en-bout ∙ Data Loss Prevention ∙ Bac agrave sable ∙ Segmentation ∙ Formation et sensibilisation

bull Lrsquoapproche MLCS (Multi-Layer Collaborative Security) comme seule strateacutegie efficace

Glossaire

3

Depuis le vote du nouveau regraveglement europeacuteen pour la protection des donneacutees personnelles (GDPR) le compte agrave rebours de la transition est lanceacute pour les entreprises jusqursquoagrave mai 2018 Ces derniegraveres ont 2 ans pour se mettre en regravegle vis-agrave-vis du nouveau regraveglement europeacuteen et son corollaire de nouvelles exigences en matiegravere de protection des donneacutees cyberseacutecuriteacute renforceacutee responsabiliteacute du collecteur de donneacutees et nouvelles proceacutedures obligatoires Lanceacute en 2011 les reacuteflexions ont donneacute lieu agrave un nouveau texte de loi leacutegifeacuterant sur la protection des donneacutees personnelles Pour les politiques de lrsquoUnion europeacuteenne (UE) les intentions derriegravere le GDPR (General Data Protection Regulation) sont simples Comme lrsquoexprimait lrsquoEU International Cyberspace Policy laquo Il est temps pour lrsquoUE de rattraper son retard en matiegravere de cyberseacutecuriteacute et de preacuteparer ses Etats-membres en termes strateacutegiques leacutegislatifs et opeacuterationnels afin de reacutepondre de maniegravere efficace aux cyber-menaces et drsquoassurer la cyber-reacutesilience de lrsquoUE pour le futur1rdquo

Le GDPR marque donc lrsquoavegravenement drsquoune nouvelle egravere ougrave la donneacutee personnelle devient le centre de tous les inteacuterecircts pour les politiques comme pour les entreprises europeacuteennes et internationales Ce qui diffeacuterencie le GDPR des diverses leacutegislations anteacuterieures relatives agrave la protection des donneacutees personnelles ce sont les aspects deacutemateacuterialiseacutes et transitoires de ces derniegraveres drsquoun point de vue leacutegal On envisage donc enfin la donneacutee dans un contexte sans frontiegraveres et dans sa forme numeacuteriseacutee en tout cas on essaie Cela peut sembler ecirctre une reacuteflexion anachronique pourtant la France en 2012 parachegraveve seulement son processus de deacutemateacuterialisation des proceacutedures de marcheacutes publics initieacute en 2001 Il marque lrsquoentreacutee de lrsquoacheteur public dans lrsquoegravere de la maicirctrise des eacutechanges immateacuteriels2 et le calendrier imposant les factures eacutelectroniques pour tous srsquoeacutechelonne de 2017 agrave 2020 Force est de constater que lrsquoadoption de la reacutevolution numeacuterique via la digitalisation des donneacutees fait apparaicirctre une probleacutematique critique la cyberseacutecuriteacute Jusqursquoagrave reacutecemment ces eacuteleacutements eacutetaient du ressort des autoriteacutes nationales de chaque pays de lrsquoUnion europeacuteenne Or face agrave la difficulteacute de leacutegifeacuterer sur un domaine si mouvant et complexe lrsquoInternet et le numeacuterique constituent actuellement une certaine forme de lsquozones grisesrsquo comme lrsquoaffirme drsquoailleurs le directeur geacuteneacuteral de lrsquoENISA (Agence europeacuteenne chargeacutee de la seacutecuriteacute des reacuteseaux et de lrsquoinformation) Udo Helmbrecht laquo Internet aujourdrsquohui crsquoest le Far West Tout le monde peut faire ce qursquoil veut raquo

Pour les entreprises il srsquoagit agrave preacutesent de reacuteviser leurs proceacutedures et de srsquoassurer de leur conformiteacute au nouveau regraveglement avant que des sanctions ne commencent agrave pleuvoir Ce livre blanc se propose de faire le tour de la question en apportant une lecture simplifieacutee du regraveglement et des solutions pratiques pour une transition reacuteussie

1 Source httpeeaseuropaeupolicieseu-cyber-securityindex_enhtm

2 Source httpsfrwikipediaorgwikiDC3A9matC3A9rialisationMise_en_C593uvre

4

Reacutetrospective et contexteREacuteVOLUTION NUMEacuteRIQUESi lrsquoon considegravere ces 25 derniegraveres anneacutees il apparaicirct comme une eacutevidence que les politiques se sont fait surprendre par la rapiditeacute et lrsquoampleur de la reacutevolution numeacuterique Ces instances souffraient toutes drsquoun laquo deacutecalage alarmant raquo comme lrsquoeacutecrit Raluca Csernatoni dans son analyse de la strateacutegie europeacuteenne de cyberseacutecuriteacute1 Drsquoougrave un eacutecart important entre la compreacutehension des enjeux de cyberseacutecuriteacute par les politiques et la reacutealiteacute pragmatique des nouvelles probleacutematiques engendreacutees par la reacutevolution numeacuterique et sa structure deacutemateacuterialiseacutee

Amorceacutee en milieu de XXegraveme siegravecle et devenue le courant dominant agrave partir des anneacutees 90 la reacutevolution numeacuterique se manifeste par lrsquoadoption de lrsquoordinateur chez les particuliers la digitalisation massive des donneacutees et lrsquoutilisation deacutemocratiseacutee drsquoInternet Si en 1995 seulement 1 de la population mondiale est connecteacutee aujourdrsquohui crsquoest 40 drsquoentre nous qui surfent sur le Web2 Ceux qui ont connu cette eacutepoque se souviendront de lrsquoarriveacutee du pionnier Yahoo en 1995 La mecircme anneacutee lrsquoUnion europeacuteenne vote la Directive 9546CE pour leacutegifeacuterer sur les questions numeacuteriques eacutemergeantes et notamment les donneacutees personnelles nouvellement deacutemateacuterialiseacutees Cette directive est composeacutee de 7 principes fondateurs que sont en substance la notification de lrsquoutilisation des donneacutees personnelles le choix de la personne (agrave qui appartient ces donneacutees) le transfert ulteacuterieur des donneacutees la seacutecuriteacute lrsquointeacutegriteacute des donneacutees lrsquoaccessibiliteacute et les applications Avec lrsquoadoption du World Wide Web sa myriade de technologies et autres plateformes en SaaS (Software as a Service ou logiciel en tant que service en ligne) en corollaire la transformation va srsquoacceacuteleacuterer en lrsquoespace drsquoune deacutecennie

En 2008 Daryl Plummer MVP (Managing Vice President) Gartner annonce deacutejagrave que laquo Le Cloud deacuteclenche une eacutevolution pour lrsquoeacuteconomie qui nrsquoest pas moins influente que ce que le e-business a pu ecirctre3 raquo LrsquoUnion europeacuteenne met agrave jour sa directive de 1995 par une ultime reacutevision la mecircme anneacutee et pour la derniegravere fois avec une deacutecision-cadre (glossaire) Celle-ci sera relative agrave la protection des donneacutees agrave caractegravere personnel traiteacutees dans le cadre de la coopeacuteration policiegravere et judiciaire en matiegravere peacutenale Il srsquoagit du premier instrument geacuteneacuteral relatif agrave la protection des donneacutees A partir de 2011 un grand chantier de reacuteflexion est lanceacute et le CEPD (Controcircleur europeacuteen de la protection des donneacutees) accueille favorablement lrsquointention de reacuteformer le cadre juridique de protection des donneacutees personnelles En effet il est convaincu que le reacutegime leacutegislatif de lrsquoeacutepoque nrsquoest pas agrave mecircme drsquoassurer une protection suffisante agrave long terme dans un contexte de socieacuteteacute de lrsquoinformation en deacuteveloppement et de mondialisation4 1 Source httpwwweuropeanpublicaffairseutime-to-catch-up-the-eus-cyber-security-strategy

2 Source httpwwwinternetlivestatscominternet-users

3 Source httpwwwgartnercomnewsroomid707508

4 Source httpssecureedpseuropaeuEDPSWEBwebdavsitemySitesharedDocumentsEDPSPressNewsPress2011EDPS-2011-01_Data_protection_reform_strategy_FRpdf

5

CRISE DE CONFIANCE Pour les veacuteteacuterans du Web crsquoest-agrave-dire ceux qui en ont connu lrsquoeacutemergence la propagation et les premiers soucis que la digitalisation et un reacuteseau commun ont poseacutes les laquo menaces raquo se reacutesumaient agrave quelques virus et des pourriels proposant des solutions meacutedicamenteuses remegravedes au ceacutelibat et autres philtres drsquoamour En tout cas jusqursquoagrave un passeacute proche Pas vraiment la prioriteacute numeacutero 1 des entreprises en pleine adoption de nouvelles technologies type CRM et qui deacutecouvrent le Cloud Dans les anneacutees qui suivront quelques protagonistes vont faire gagner ses lettres de noblesse au laquo hacktivisme raquo (glossaire) et ouvrir le bal en matiegravere de fuite de donneacutees (pas seulement personnelles)

En 2013 une affaire eacuteclate et va changer la donne Un jeune collaborateur de la NSA (National Security Agency) Edward Snowden reacutevegravele les malversations drsquoespionnage auxquelles srsquoadonne son employeur lrsquoagence de renseignements gouvernementale ameacutericaine Ces actions ont une ampleur internationale et visent en particulier les donneacutees personnelles europeacuteennes Crsquoest un paveacute dans la marre qui fait peacuteniblement prendre conscience aux Etats comme aux entreprises que la cyber guerre a deacutejagrave commenceacute y compris avec un ancien allieacute comme les Etats-Unis

Un autre eacutelectrochoc deacutemarreacute un peu plus tocirct en 2011 arrive la mecircme anneacutee avec Max Schrems qui deacutecide de srsquoattaquer agrave Facebook Ce jeune eacutetudiant en droit soulegraveve agrave nouveau la probleacutematique de la confidentialiteacute des donneacutees personnelles europeacuteennes et les traitements dont elles font lrsquoobjet par le geacuteant ameacutericain Facebook Apregraves les reacuteveacutelations drsquoEdward Snowden Max Schrems deacutecide de porter plainte une nouvelle fois contre Facebook mais aussi contre Apple Skype Microsoft et Yahoo qursquoil accuse drsquoavoir collaboreacute avec la NSA Lrsquoaffaire est tregraves meacutediatiseacutee et il gagne son procegraves en appel contre Facebook agrave la Cour de justice de lrsquoUnion europeacuteenne le 6 octobre 2015

Cette deacutecision entraicircne lrsquoinvalidation du Safe Harbor le texte de loi reacutegulant les eacutechanges de donneacutees entre lrsquoEurope et les Etats-Unis1

1 Source httpcuriaeuropaeujcmsuploaddocsapplicationpdf2015-10cp150117frpdf

Les donneacutees personnelles et la loiUne donneacutee agrave caractegravere personnel repreacutesente toute information se rapportant agrave une personne physique identifieacutee ou identifiable [hellip] directement ou indirectement notamment par reacutefeacuterence agrave un identifiant tel qursquoun nom un numeacutero drsquoidentification des donneacutees de localisation un identifiant en ligne ou agrave un ou plusieurs eacuteleacutements speacutecifiques propres agrave son identiteacute physique physiologique geacuteneacutetique psychique eacuteconomique culturelle ou sociale (Rf wwwcilcnrsfr)

6

Pendant ce temps dans les entrepriseshellipSi la scegravene internationale est occupeacutee par ces grandes affaires meacutediatiques la cybercriminaliteacute a eacutegalement changeacute de visage au cours de ces derniegraveres anneacutees pour les entreprises priveacuteesEn cause le hacking le ransomware (glossaire) la fuite des donneacutees personnelles et le commerce de ces derniegraveres Plus personne nrsquoest agrave lrsquoabri et les conseacutequences vont souvent bien au-delagrave des dommages faits agrave la fameuse e-reacuteputation des entreprises Le cas du piratage du site internet Ashley Madison proposant des rencontres extra-conjugales avait asseacuteneacute une douche eacutecossaise aux 32 millions de membres dont les donneacutees personnelles avaient eacuteteacute voleacutees et publieacutees en ligne Parmi eux des hommes politiques des personnaliteacutes en vue et une entreprise totalement prise au deacutepourvu qui proposera une prime pour toute information sur les pirates Ces derniers deacuteclarent que leurs actions avaient 2 motifs Le premier eacutetait une manifestation de leur deacutesapprobation concernant le service proposeacute par le site le deuxiegraveme eacutetait une deacutenonciation de la politique de confidentialiteacute du groupe Lrsquoattaque visait agrave deacutemontrer qursquoen deacutepit des 19 dollars reacuteclameacutes par le site pour effacer les donneacutees des membres qui en faisaient la demande aucune donneacutee nrsquoeacutetait vraiment effaceacuteeAutre cas ayant pris des proportions tragiques celui drsquoOrange dont le hacking de 12 millions de comptes incluant noms numeacuteros de teacuteleacutephones et adresses emails a fait boule de neige Non seulement le groupe de Teacuteleacutecommunication srsquoest fait pirater mais en plus ses clients sont devenus agrave leur tour les dindons de la farce essuyant des tentatives reacutepeacuteteacutees de phishing teacuteleacutephonique ou par courriel Quelques mois plus tocirct crsquoeacutetait Vodafone Allemagne qui srsquoeacutetait fait voler 800 000 contacts et au Royaume-Uni le fournisseur de Teacuteleacutecom TalkTalk

Pendant ce temps dans les entrepriseshellipSi la scegravene internationale est occupeacutee par ces grandes affaires meacutediatiques la cybercriminaliteacute a eacutegalement changeacute de visage au cours de ces derniegraveres anneacutees pour les entreprises priveacutees

En cause le hacking le ransomware (glossaire) la fuite des donneacutees personnelles et le commerce de ces derniegraveres Plus personne nrsquoest agrave lrsquoabri et les conseacutequences vont souvent bien au-delagrave des dommages faits agrave la fameuse e-reacuteputation des entreprises

Le cas du piratage du site internet Ashley Madison proposant des rencontres extra-conjugales avait asseacuteneacute une douche eacutecossaise aux 32 millions de membres dont les donneacutees personnelles avaient eacuteteacute voleacutees et publieacutees en ligne Parmi eux des hommes politiques des personnaliteacutes en vue et une entreprise totalement prise au deacutepourvu qui proposera une prime pour toute information sur les pirates Ces derniers deacuteclarent que leurs actions avaient 2 motifs

Le premier eacutetait une manifestation de leur deacutesapprobation concernant le service proposeacute par le site le deuxiegraveme eacutetait une deacutenonciation de la politique de confidentialiteacute du groupe Lrsquoattaque visait agrave deacutemontrer qursquoen deacutepit des 19 dollars reacuteclameacutes par le site pour effacer les donneacutees des membres qui en faisaient la demande aucune donneacutee nrsquoeacutetait vraiment effaceacutee

Autre cas ayant pris des proportions tragiques celui drsquoOrange dont le hacking de 12 millions de comptes incluant noms numeacuteros de teacuteleacutephones et adresses emails a fait boule de neige Non seulement le groupe de Teacuteleacutecommunication srsquoest fait pirater mais en plus ses clients sont devenus agrave leur tour les dindons de la farce essuyant des tentatives reacutepeacuteteacutees de phishing teacuteleacutephonique ou par courriel Quelques mois plus tocirct crsquoeacutetait Vodafone Allemagne qui srsquoeacutetait fait voler 800 000 contacts et au Royaume-Uni le fournisseur de Teacuteleacutecom TalkTalk avait veacutecu la mecircme expeacuterience En bref personne nrsquoest agrave lrsquoabri1

Apregraves ces vagues successives de cyber-scandales les politiques ont publieacute souvent dans lrsquourgence de nombreux textes et qui ont geacuteneacutereacute beaucoup de confusion Retour sur les fondations leacutegales de la protection des donneacutees en Europe

1 Source httpwwwlemondefrpixelsarticle20151006max-schrems-le-gardien-des-donnees-personnelles-qui-fait-trembler-les-geants-du-web_4783391_4408996htmlB94g8ICsCTK1dAJz99

7

Les textesSAFE HARBORLrsquoaccord du laquo Safe Harbor raquo (ou laquo Sphegravere de Seacutecuriteacute raquo en franccedilais) avait eacuteteacute valideacute par la Commission europeacuteenne en juillet 2000 En theacuteorie cela fournissait un socle de confiance pour les eacutechanges de donneacutees entre lrsquoUnion europeacuteenne et les Etats-Unis En pratique il srsquoagissait drsquoune auto-certification les entreprises ameacutericaines qui adheacuteraient au Safe Harbor srsquoengageaient agrave respecter un cahier des charges qui devait en principe les hisser agrave un niveau conforme aux exigences du droit europeacuteen en matiegravere de protection des donneacutees (baseacutees sur les 7 piliers de la 1egravere directive 4546CE) Les affaires Snowden et Schrems nrsquoont fait que preacutecipiter une deacutecision de disqualification du texte que la Cour meacuteditait depuis deacutejagrave longtemps En effet il avait eacuteteacute constateacute de nombreuses insuffisances et 2 communications avaient deacutejagrave eacuteteacute publieacutees agrave ce sujet La premiegravere concernait le contenu des obligations preacutevues au cahier des charges nrsquoayant pas leur inclusion dans lrsquoordre juridique ameacutericain Par ailleurs il subsistait une primauteacute illimiteacutee des lois ameacutericaines sur les regravegles du Safe Harbor et une possibiliteacute tout aussi illimiteacutee de deacuteroger agrave ces regravegles pour des raisons de seacutecuriteacute nationale inteacuterecirct public ou autre leacutegislation interne Enfin la Cour avait constateacute lrsquoabsence de tout recours effectif contre ces interfeacuterences ce qui rendait le texte caduc pour ne pas dire inutile (reacutefeacuterences COM(2013)846 final et COM(2013)847 final le 27 novembre 2013)

PRIVACY SHIELD LE NOUVEL ACCORD UEUS Depuis lrsquoabrogation de lrsquoaccord laquo Safe Harbor raquo qui eacutetablissait un cadre leacutegislatif clair aux eacutechanges de donneacutees personnelles transatlantiques il existe un flou juridique certain Le nouvel accord Privacy Shield en franccedilais laquo Bouclier de Protection raquo a eacuteteacute vivement critiqueacute lors de sa preacutesentation le 2 feacutevrier 2016 puis tregraves mal accueilli par le Controcircleur europeacuteen de protection des donneacutees (CEPD) en la personne de Giovanni Buttarelli qui juge le texte trop complexe dans un communiqueacute de presse de mai 20161 Max Schrems lrsquoa mecircme qualifieacute de laquo mort-neacute raquo sur son compte Twitter De nombreuses voix se sont eacuteleveacutees pour deacutenoncer un accord eacutelaboreacute dans lrsquourgence afin de leacutegifeacuterer sur le problegraveme au plus vite sans tenir compte du regraveglement GDPR agrave venir et ne reacutepondant pas aux manquements reprocheacutes au Safe Harbor et tant deacutecrieacute par la Vox Populi Des enjeux eacuteconomiques certains entre les 2 grandes puissances ont eu une force de levier suffisante pour qursquoun texte voit le jour agrave peine 6 mois apregraves lrsquoinvalidation du Safe Harbor Cependant lrsquoassociation Data Rights Ireland a deacutejagrave attaqueacute le text en justice en octobre dernier

1 Source CEPD Europe secureedpseuropaeuEDPSWEBwebdavsitemySitesharedDocumentsEDPSPressNewsPress2016EDPS-2016-11-PrivacyShield_ENpdf

8

Pendant ce temps beaucoup drsquoentreprises utilisent les laquo clauses contractuelles types raquo afin de poursuivre leurs eacutechanges avec les Etats-Unis ce qui eacutetait deacutefini dans le cadre de la 1egravere directive de 1995 la Directive 9546CE Ces alternatives sont ineacutevitablement voueacutees agrave disparaicirctre au profit du GDPR qui impose un seul regraveglement pour toutes les donneacutees europeacuteennes et toutes les entreprises qui les collectent les heacutebergent et les manipulent

Pour lrsquoheure les Etats-Unis ne figurent donc pas dans la liste des pays preacutesentant un niveau de seacutecuriteacute adeacutequat en matiegravere de protection des donneacutees et la CNIL (Commission nationale de lrsquoinformatique et des liberteacutes) preacutecise que les donneacutees personnelles europeacuteennes ne doivent pas ecirctre transmises aux Etats-Unis sauf pour les passagers aeacuteriens

En reacutesumeacute si la loi bouge avec le texte de Privacy Shield dans les faits rien ne bouge et il faudra attendre lrsquoavegravenement de la directive GDPR pour constater une vraie volonteacute de changement

Pour les eacutechanges avec drsquoautres pays consulter la carte de la CNIL

9

AVEgraveNEMENT DU GDPR (GENERAL DATA PROTECTION REGULATION)Crsquoest dans ce nouveau contexte que lrsquoUE poursuit ses reacuteflexions entameacutees depuis 2011 pour leacutegifeacuterer sur la protection des donneacutees personnelles europeacuteennes Cette fois-ci il ne srsquoagira plus drsquoune directive (glossaire) comme en 1995 mais drsquoun regraveglement (glossaire) Cette derniegravere plus coercitive affiche la volonteacute de lrsquoUE drsquoaligner tous les pays membres drsquoici agrave 2020 dans la ligneacutee de 2 grands projets europeacuteens le Marcheacute Digital Unique1 et Horizon 20202

Ce que cette nouvelle reacutegulation tente drsquoaccomplir crsquoest de leacutegifeacuterer sur une donneacutee personnelle deacuteterritorialiseacutee transitoire et mondialiseacutee Crsquoest la donneacutee qui est au centre de lrsquoattention leacutegale et soumise agrave cette nouvelle leacutegislation et non pas le pays Cela veut dire que du moins theacuteoriquement lrsquoaspect geacuteographique de son heacutebergement nrsquoest plus un critegravere pertinent Qursquoil srsquoagisse drsquoun datacenter dans lrsquoUtah (Etats-Unis) agrave Bangalore (Inde) ou encore agrave Roubaix dans les Hauts-de-France la contrainte leacutegale est la mecircme toujours en theacuteorie Dans cette tentative lrsquoUE a joueacute drsquoingeacuteniositeacute en introduisant une sanction nouvelle pour toute entreprise reacuteticente et qui ne preacutesenterait pas les gages de conformiteacute drsquoici agrave mai 2018 Apregraves les 2 ans accordeacutes pour la mise en place les entreprises reacutecalcitrantes recevront des amendes pouvant monter jusqursquoagrave 4 de leur chiffre drsquoaffaire mondial et jusqursquoagrave 20 millions drsquoeuros A noter la subtiliteacute drsquoune sanction qui ne peut srsquoexercer que sur un territoire donneacute et qui pourtant va avoir un impact dans un espace geacuteographique eacutetranger Crsquoest cette sanction qui fait converger tous les regards surtout celui des ameacutericains qui se sont implanteacutes dans lrsquoUE car si le GDPR est un regraveglement europeacuteen avoir un pied en Europe signifie devoir potentiellement payer une amende calculeacutee sur le chiffre drsquoaffaire mondial drsquoun groupe La maison-megravere risque donc de devoir mettre la main au portefeuille de lrsquoautre cocircteacute de lrsquoAtlantique Ccedila crsquoest nouveau

Le GDPR en chiffres 2 ans crsquoest le temps qui est imparti aux entreprises agrave compter du 24 mai 2016 date de son entreacutee en vigueur pour ecirctre en conformiteacute avec le GDPR

4 crsquoest le pourcentage du revenu drsquoune entreprise qui pourra ecirctre preacuteleveacute sous la forme drsquoune amende en cas de non-respect de la leacutegislation europeacuteenne

5 ans crsquoest le nombre drsquoanneacutees de travail qursquoil a fallu pour reacuteviser la directive de 1995 qui statuait sur la protection des donneacutees jusqursquoagrave preacutesent et dont la derniegravere mise agrave jour datait de 2008

28 crsquoest le nombre de pays membres qui beacuteneacuteficieront de ce nouveau regraveglement (moins le Royaume-Uni degraves lors qursquoil sera sorti de lrsquoUE) Pour les Etats et toutes les entreprises le GDPR srsquoinscrit dans une deacutemarche coercitive drsquouniformisation des lois de protection des donneacutees

428 millions crsquoest le nombre de cyber-attaques recenseacutees en 2014 agrave travers le monde

1 Source httpeceuropaeuprioritiesdigital-single-market_fr

2 Source httpsfrwikipediaorgwikiHorizon_2020

10

Le GDPR en pratiqueLES LIMITESOn lrsquoaura compris le GDPR fait peser un risque sur des entreprises eacutetrangegraveres installeacutees physiquement sur le territoire de lrsquoUE Pour les autres la coercition est plus subtile Pour des pays comme la Suisse ou la Norvegravege allieacutes de longue date le GDPR est une opportuniteacute de renforcer des liens preacuteexistants en srsquoalignant sur les mecircmes contraintes leacutegales Pour drsquoautres pays comme les Etats-Unis le Canada ou lrsquoAustralie ayant leurs propres textes de loi et leurs entreprises qui nrsquoont pas de preacutesence physique en UE le GDPR est une eacutepine dans le pied car ils ne sont pas tenus drsquoy obeacuteir mais leur eacuteconomie deacutepend grandement de ces eacutechanges Rappelons que lrsquoUE ne compte que 7 de la population mondiale mais que ses eacutechanges commerciaux avec le reste du monde repreacutesentent environ 20 du volume total des importations et exportations mondiales1

Les sanctions preacutevues par le GDPR ne sont donc applicables que sur le territoire europeacuteen Crsquoest tout le dilemme de cette loi Ne serait-ce pas lrsquoaveu de lrsquoincapaciteacute des nations agrave sortir de leurs frontiegraveres alors que lrsquoInternet les a fait sauter depuis deacutejagrave longtemps LrsquoUnion europeacuteenne nrsquoest maicirctresse qursquoen sa demeure et les lois europeacuteennes ne reacutegulent que lrsquoUnion europeacuteenne mecircme si elles sont un signal clair aux autres nations en particulier aux Etats-Unis que lrsquoUE se dote drsquoun arsenal juridique en matiegravere de cyberseacutecuriteacute et prend la question tregraves au seacuterieux Personne nrsquoa inteacuterecirct agrave deacuteclencher un nouvel incident diplomatique car mecircme si lrsquoindustrie des technologies informatiques est encore assez largement domineacutee par des entreprises ameacutericaines lrsquoEurope eacutetant un de leurs principaux partenaires commerciaux avec lrsquoALENA (alliance USA Canada et Mexique) et la Chine

BREXITLa volonteacute de sortir de lrsquoUnion europeacuteenne exprimeacutee par le reacutecent vote du Royaume-Uni ainsi que la nomination drsquoun Premier ministre eurosceptique viennent encore compliquer la situation Le seul levier pour faire appliquer la loi de lrsquoUnion europeacuteenne est de sanctionner sur son territoire Heureusement pour lrsquoapplication du texte beaucoup drsquoentreprises ameacutericaines ont un pied physique en Europe Ces entreprises se sont eacutegalement installeacutees au Royaume-Uni pour deacutevelopper leur activiteacute en Europe continentale Microsoft ou Facebook ont mecircme investi dans des datacenters sur place Mais qursquoadviendra-t-il de lrsquoapplication de la loi europeacuteenne sur le territoire britannique Crsquoest un paramegravetre tout agrave fait essentiel sur lequel il est neacutecessaire de meacutediter avant de choisir ses fournisseurs car comme nous allons le voir la responsabiliteacute incombe drsquoabord agrave lrsquoentreprise collectrice des donneacutees

1 Source httpseuropaeueuropean-unionabout-eufigureseconomy_fr

11

LE GDPR APPLIQUEacute AUX ENTREPRISES La difficulteacute des entreprises agrave inteacutegrer la question de la protection de la donneacutee personnelle est une reacutealiteacute qursquoil va falloir deacutepasser rapidement laquo A secteur eacutequivalent une entreprise franccedilaise y consacre en moyenne un budget dix fois infeacuterieur agrave ses homologues ameacutericaines1 raquo Avec plus de 300 000 arnaques deacutetecteacutees dans lrsquoHexagone sur les reacuteseaux sociaux cela positionne la France laquo dans le rouge raquo sur ce type de cyber-menaces Le pays occupe le 2egraveme

rang europeacuteen et le 4egraveme rang mondial dans cette cateacutegorie La Chine les Etats-Unis et lrsquoInde conservant le top 3 en matiegravere de cyber menaces recenseacutees2

Dans les faits le GDPR va obliger les entreprises agrave remettre de lrsquoordre dans leurs rangs et agrave balayer devant leur porte Cependant lrsquoEurope met eacutegalement en avant les beacuteneacutefices dont les entreprises vont pouvoir profiter au-delagrave des contraintes que ce nouveau regraveglement va leur imposer Extrait de lrsquoinfographie de lrsquoUE

i

Consentement clair requis pour traiter les donneacutees

Limitation du recours au traitement automatiseacute

Droit de rectication et de suppression des donneacutees collecteacutees lorsque la personne concerneacutee a le statut drsquoenfant

y compris droit agrave lrsquooubli

Droit agrave une notication en cas de violation des donneacutees

Information plus complegravete et claire concernant le traitement

Droit de transfeacuterer les donneacutees drsquoun

prestataire agrave un autre

Accegraves plus aiseacuteaux donneacutees agrave

caractegravere personnel

Garanties plus rigoureusesen cas de transfert de donneacutees agrave caractegravere personnel hors de lrsquoUnion Europeacuteenne

Protection renforceacutee des donneacutees

Les nouveaux commandements du GDPR pour les entreprises

bull Le droit agrave lrsquooubli numeacuterique (glossaire) pour tous

bull Le consentement clair et explicite de la personne concerneacutee quant agrave lrsquoutilisation de ses donneacutees personnelles

1 Source Olivier Hassid auteur de Menaces mortelles sur lrsquoentreprise franccedilaise in Libeacuterationfr

2 Source InfoDSI

12

bull Le droit de transfeacuterer ses donneacutees personnelles vers un autre fournisseur de services facilement et rapidement

bull Le droit drsquoecirctre informeacute en cas de piratage des donneacutees personnelles etou drsquoincident lieacute agrave la seacutecuriteacute dans les 24 heures

ndash La preacutesentation obligatoire des logs sous 24 heures une fois lrsquoincident reporteacute

ndash La garantie que les politiques relatives agrave la vie priveacutee soient expliqueacutees dans un langage clair et compreacutehensible

bull Nommer un responsable de la donneacutee personnelle Le repreacutesentant devra agir pour le compte du responsable du traitement et devrait pouvoir ecirctre contacteacute par toute autoriteacute de controcircle (articles 62 et 63)

bull Srsquoassurer que le traitement des donneacutees est soumis agrave des proceacutedures documenteacutees que lrsquoentreprise effectue ce travail elle-mecircme ou que cela soit reacutealiseacute pour son compte Ces documents seront exigeacutes lors drsquoun audit

DONNEacuteES PERSONNELLES ET SPEacuteCIALESUne notion essentielle agrave inteacutegrer dans la transition vers le GDPR est que chaque entreprise possegravede des donneacutees personnelles qui tombent sous le joug du regraveglement europeacuteen

Alors qursquoauparavant la protection des donneacutees renvoyait principalement aux secteurs bancaires ou meacutedicaux la notion de laquo donneacutees personnelles raquo a eacuteteacute consideacuterablement eacutelargie laquo On entend par donneacutees agrave caractegravere personnel toutes les informations relatives agrave une personne qursquoelles se rapportent agrave sa vie priveacutee professionnelle ou publique Il peut srsquoagir drsquoun nom drsquoune photographie drsquoune adresse de courrier eacutelectronique de coordonneacutees bancaires de messages publieacutes sur des sites de socialisation de renseignements meacutedicaux ou de lrsquoadresse IP drsquoun ordinateur Selon la charte des droits fondamentaux de lrsquoUnion europeacuteenne toute personne a droit agrave la protection dans tous les aspects de sa vie des donneacutees agrave caractegravere personnel la concernant agrave son domicile sur son lieu de travail lorsqursquoelle fait des achats ou reccediloit un traitement meacutedical au poste de police ou sur Internet1 raquo La donneacutee personnelle commence donc avec le nom drsquoun client voire un email ce qui veut dire que toute entreprise a des donneacutees personnelles agrave proteacuteger Base des employeacutes salaires base clients tout cela relegraveve de la donneacutee personnelle mecircme si lrsquoactiviteacute eacuteconomique de lrsquoentreprise tourne autour drsquoun secteur a priori non strateacutegique comme la vente de chaussures de confort par exemple Pour notre vendeur de chaussures de confort qui eacutevolue dans un secteur niche et a fait deacutevelopper un site de e-commerce pour ses clients agrave mobiliteacute reacuteduite les donneacutees personnelles de ces derniers ainsi que celles des prospects seront eacutegalement les adresses IP (statiques ou dynamiques)

1 Source Rf Press release EU

13

ou encore les cookies ou les identifiants biomeacutetriques si notre entreprise-exemple deacutecidait drsquoidentifier ses clients en scannant leur plante de pied pour acceacuteder agrave ses modegraveles de chaussures compenseacutees et micro aeacutereacutees en ligne Dans le cas ougrave notre entreprise souhaiterait se doter drsquoune application pour appareils mobiles (smartphones et tablettes) les coordonneacutees GPS les identifiants personnels de compte (nom drsquoutilisateur et mot de passe) tombent aussi dans la sacro-sainte laquo donneacutee personnelle raquo Et plus lrsquoinformation est intime plus elle sera consideacutereacutee speacuteciale Dans la notion de donneacutee speacuteciale on trouvera donc par exemple le genre de la personne son orientation sexuelle ou encore son appartenance religieuse Ces donneacutees speacuteciales sont investies drsquoun cadre encore plus restrictif partant du principe que leur traitement est interdit sauf exceptions (article 9) Il est donc deacutesormais indispensable de proteacuteger toutes les donneacutees de lrsquoentreprise la notion de laquo donneacutees personnelles raquo ayant des ramifications multiples et eacutetant au cœur de toutes les convoitises cybercriminelles

LA QUESTION DU SHADOW ITRappelons que pour ecirctre conforme aux preacuteceptes eacutedicteacutes par le GDPR il faut pouvoir deacutemontrer un niveau de seacutecuriteacute adeacutequat pour toute donneacutee europeacuteenne collecteacutee et heacutebergeacutee par une socieacuteteacute crsquoest-agrave-dire laquo La mise en œuvre de politiques approprieacutees en matiegravere de protection des donneacutees par le responsable du traitement raquo (article 242) La question du Shadow IT va donc (re)devenir preacutepondeacuterante en 2018 car lrsquoideacutee que des collaborateurs deacutecident drsquoutiliser un service non reacutefeacuterenceacute par lrsquoentreprise (un outil de Web confeacuterence un SaaS meacutetier type plateforme de mass emailing etc) va preacutesenter un nouveau danger leacutegal et ajouter une couche de complexiteacute agrave un problegraveme deacutejagrave bien connu Il y a deacutejagrave plusieurs eacutecoles de penseacutees pour traiter le Shadow IT Certaines entreprises ont tout bonnement verrouilleacute leur reacuteseau et rien ne peut ecirctre installeacute sur les postes des collaborateurs sans lrsquointervention de lrsquoeacutequipe IT Un processus geacuteneacuterateur de frustrations eacutevidentes chez les collaborateurs comme pour le responsable IT Le chiffrement (glossaire) de la donneacutee peut constituer une alternative moins radicale et neacuteanmoins tregraves efficace pour minimiser lrsquoexposition des donneacutees personnelles vers des applications externes non reacutepertorieacutees

Le Cloud

Dans un contexte de migration vers le Cloud amorceacutee depuis une dizaine drsquoanneacutees la question de la protection des donneacutees europeacuteennes prend une autre dimension En effet le Cloud implique de prendre plusieurs aspects en consideacuteration pour ecirctre en conformiteacute avec le GDPR

1 La donneacutee est confieacutee agrave un partenaire externe (sous-traitant) Elle est de facto heacutebergeacutee ailleurs et sort du cadre physique de lrsquoentreprise Cela oblige agrave se poser les bonnes questions et agrave srsquoassurer que lrsquoheacutebergeur sera en mesure drsquoassurer un niveau de seacutecuriteacute

14

adeacutequat de pouvoir preacutesenter des logs en temps voulu en cas drsquoincident Car le GDPR exige une preacutesentation des informations lieacutees agrave un incident dans les 72 heures (article 33) Cela offre une garantie agrave lrsquoentreprise cliente et obliger les heacutebergeurs Cloud agrave se doter des technologies drsquoenregistrement des logs drsquoalerte et de tout lrsquoarsenal de cyberseacutecuriteacute qui de toute faccedilon devrait ecirctre explicitement inclus dans toute offre Cloud seacuterieuse et qui se respecte

2 Deacuteterritorialisation et menace drsquoespionnage Puisque la donneacutee est deacutemateacuterialiseacutee sa migration dans le Cloud peut lui faire passer des frontiegraveres Crsquoest en reacutealiteacute un risque majeur auquel il faut srsquointeacuteresser de pregraves et pour lequel des solutions existent Mecircme dans le cadre du GDPR et dans le contexte international actuel tregraves tendu certaines entreprises peuvent neacuteanmoins avoir des donneacutees heacutebergeacutees ailleurs qursquoen Europe parfois agrave cause de leur modegravele eacuteconomique (entreprises en laquo Follow the sun raquo qui transmettent de la donneacutee autour de la planegravete au rythme des rotations de leurs eacutequipes internationales) parfois agrave cause de leur structure intrinsegraveque (entreprises ayant deacutelocaliseacute une partie de leur activiteacute hors drsquoEurope ou ayant racheteacute une autre socieacuteteacute agrave lrsquoeacutetranger etc) parfois parce qursquoune application agrave valeur ajouteacutee ne propose pas drsquoautre heacutebergement qursquohors des frontiegraveres de lrsquoUnion europeacuteenne (un CRM ou un outil drsquoautomatisation marketing par exemple)

Ainsi le cadre coercitif du GDPR va imposer aux entreprises qui migrent ainsi qursquoaux heacutebergeurs Cloud de conduire la reacuteflexion suivante

Pour les entreprises

Choisir lrsquoheacutebergement en France ou dans un des pays de lrsquoEurope (il est conseilleacute drsquoexclure le Royaume-Uni de cette eacutequation car leur sortie de lrsquoUE a eacuteteacute voteacutee) pour srsquoassurer que lrsquoheacutebergeur Cloud sera tenu de respecter les contraintes imposeacutees par le GDPR dans le traitement qursquoil fera de la donneacutee qui lui est confieacutee Choisir un heacutebergement Cloud sur le territoire de lrsquoUE quand cela est possible permet de srsquoassurer que lrsquoheacutebergeur est astreint au GDPR et applique donc une politique conforme aux prescriptions du regraveglement

Le cas drsquoOffice 365 Beaucoup drsquoentreprises choisissent de migrer sur Office 365 pour beacuteneacuteficier des reacuteductions de maintenance et de coucircts que le stockage et les applications externaliseacutees peuvent offrir en mode Cloud Crsquoest une solution de choix particuliegraverement quand lrsquoIT ne fait pas partie du meacutetier de lrsquoentreprise car la sophistication des systegravemes des technologies et des attaques potentielles neacutecessitent aujourdrsquohui un savoir-faire tout agrave fait unique et que la plupart des en-treprises ne peuvent pas geacuterer en local Cette deacutemarche de migration sur le Cloud doit neacuteces-sairement amener agrave se poser la question de la seacutecuriteacute de ses donneacutees

15

Droits des entreprises vis-agrave-vis des heacutebergeurs Cloud

bull Changement drsquoheacutebergement facile

bull Remonteacutee drsquoincident sous 72 heures

bull Preacutesentation des logs sous 72 heures

bull Proceacutedures eacutecrites et preacutesentables sur demande

bull Garantie absolue que la donneacutee ne sera pas traiteacutee par lrsquoheacutebergeur sans lrsquoautorisation de lrsquoentreprise cliente et collectrice

bull Srsquoassurer que le traitement des donneacutees est soumis agrave des proceacutedures documenteacutees que lrsquoentreprise effectue ce travail elle-mecircme ou que cela soit reacutealiseacute pur son compte Ces documents seront exigeacutes lors drsquoun audit

Devoirs des entreprises vis-agrave-vis des personnes dont les donneacutees personnelles sont collecteacutees

bull Nommer un responsable de la donneacutee (en interface avec lrsquoheacutebergeur Cloud potentiel et les autoriteacutes en cas drsquoaudit)

bull Le consentement clair et explicite de la personne concerneacutee quant agrave lrsquoutilisation de ses donneacutees personnelles Lagrave encore lrsquoentreprise doit exprimer clairement ses intentions quant agrave lrsquousage qursquoelle compte faire des donneacutees qursquoelle collecte ou qui lui sont confieacutees

bull Le droit agrave lrsquooubli pour les personnes qui en font la demande Cette nouveauteacute instaureacutee par le GDPR oblige lrsquoentreprise agrave assurer laquo la possibiliteacute claire et explicite raquo de voir les donneacutees drsquoun particulier ou drsquoune autre entreprise effaceacutees sur simple demande ce qui veut dire que les bases prospects et clients existent tant que lrsquoentreprise en reccediloit le consentement par ses contacts et qursquoelle doit impeacuterativement fournir un moyen simple de proposer lrsquoeffacement des donneacutees de ses contacts si cela est leur volonteacute

bull Le droit de transfeacuterer ses donneacutees vers un autre fournisseur de services Lrsquoentreprise prendra la responsabiliteacute de cette proceacutedure qui devra ecirctre aiseacutee rapide et sur demande du contact

bull Une information claire du collecteur concernant les traitements effectueacutes sur la donneacutee personnelle collecteacutee La protection des donneacutees personnelles est un droit fondamental en vertu de lrsquoarticle 8 de la Charte des droits fondamentaux de lrsquoUnion europeacuteenne intimement lieacute au respect de la vie priveacutee preacutevu agrave lrsquoarticle 7

bull Le droit drsquoecirctre informeacute en cas de piratage des donneacutees etou drsquoincident lieacute agrave la seacutecuriteacute dans les 72 heures Voilagrave un des nouveaux points du GDPR qui sera eacutechu agrave lrsquoentreprise qui choisira un service Cloud en dehors des frontiegraveres de lrsquoUnion europeacuteenne ou qui ne sera pas heacutebergeacutee en mode Cloud Pour les autres crsquoest lrsquoheacutebergeur Cloud

16

europeacuteen qui prendra cette contrainte en charge mais il faudra la neacutegocier au moment de la signature du contrat car aux yeux du regraveglement europeacuteen crsquoest le collecteur de donneacutees le responsable

bull La garantie que les politiques relatives agrave la vie priveacutee soient expliqueacutees dans un langage clair et compreacutehensible Cela srsquoappliquera agrave toutes les entreprises

Sortir de ce peacuterimegravetre geacuteographique ougrave le GDPR doit et sera appliqueacute crsquoest srsquoexposer agrave de nouveaux risques que lrsquoheacutebergeur hors de lrsquoUnion europeacuteenne ne portera pas et qui basculeront sur lrsquoentreprise europeacuteenne qui collecte la donneacutee

LES CADRES ISO COMME SOUTIEN AU NOUVEL ORDRE EN MARCHEQursquoil srsquoagisse de proceacutedures ou de gouvernance informatique les normes ISO seront drsquoun grand soutien Les normes ISO 2700x (gouvernance informatique) et ISO 9001 (proceacutedures lieacutees aux produits et aux services) seront des cadres normatifs qui faciliteront la transition des entreprises dans leur deacutemarche de conformiteacute au GDPR Il est conseilleacute de srsquoy reporter et pourquoi pas de se certifier Lrsquoexercice permettra de faire un audit des structures en place et de construire un modegravele drsquoarchitecture de lrsquoinformation et de lrsquoentreprise garantissant lrsquoassurance de sa conformiteacute avec le regraveglement europeacuteen dans une philosophie drsquoameacutelioration continue Outre ces beacuteneacutefices lieacutes aux contraintes imposeacutees par le GDPR rappelons que les normes ISO sont toujours un gage de proceacutedures et meacutethodologies intra-entreprise coheacuterentes Cela va dans le sens de lrsquooptimisation des entreprises et doit ecirctre consideacutereacute comme une opportuniteacute drsquoameacutelioration et non une contrainte

LE ROcircLE DU RESPONSABLE DU TRAITEMENT DE LA DONNEacuteEPour les grands groupes le concept nrsquoest pas nouveau En 2011 une enquecircte reacutealiseacutee par PricewaterhouseCoopers reacuteveacutelait que 80 des entreprises avaient un CISO (Chief

Les regravegles du GDPR concernant directement les heacutebergeurs Cloudbull Le droit pour le client (entreprise) de transfeacuterer ses donneacutees vers un autre fournisseur de

services

bull Nommer un responsable de la donneacutee Le repreacutesentant devra agir pour le compte du res-ponsable du traitement et devrait pouvoir ecirctre contacteacute par toute autoriteacute de controcircle (articles 62 et 63)

bull Le droit pour le client drsquoecirctre informeacute en cas de piratage des donneacutees etou drsquoincident lieacute agrave la seacutecuriteacute sous 24 heures

bull La mise agrave disposition des logs apregraves incident sous 24 heures


17

Information amp Security Officer) ou eacutequivalent Il prendra peut-ecirctre aussi la nouvelle casquette du responsable de la protection des donneacutees personnelles On voit deacutejagrave eacutegalement apparaicirctre des DPO (Data Protection Officer) qui sont des postes speacutecifiques pour cette fonction

De maniegravere geacuteneacuterale le rocircle du responsable du traitement est de mettre en œuvre des mesures techniques et organisationnelles approprieacutees pour srsquoassurer et ecirctre en mesure de deacutemontrer que le traitement est effectueacute conformeacutement au regraveglement (article 241) Dans le cadre du GDPR la fonction devient obligatoire au sein des entreprises

Pour les plus petites entreprises il faudra donc nommer une personne responsable du traitement de la donneacutee qui puisse assumer les fonctions suivantes

bull Etre correctement informeacute(e) sur le GDPR et ses contraintes Le regraveglement parle de Code de Conduite et de certifications qui verront bientocirct le jour pour former ses collaborateurs

bull Veacuterifier et valider les propositions commerciales des sous-traitants (heacutebergeur fournisseur etc) ainsi que leur niveau de services contractuels (SLA ou laquo Service Level Agreement raquo en anglais voir le glossaire)

bull Srsquoassurer que le sous-traitant nrsquoeffectue aucun traitement des donneacutees excepteacute sur instruction du responsable du traitement

bull Veacuterifier et valider les pratiques de traitement des donneacutees en interne (avec le marketing et les ressources humaines en particulier) et srsquoassurer de la mise en œuvre de politiques approprieacutees en matiegravere de protection des donneacutees Il veillera en particulier agrave faire respecter le fameux laquo droit agrave lrsquooubli raquo (politique de reacutetention de la donneacutee) qui oblige toute entreprise agrave effacer les donneacutees drsquoun prospect ou drsquoun client sur simple demande de ce dernier

bull Etre lrsquointerlocuteur deacutedieacute pour les fournisseurs et pouvoir ecirctre joignable facilement (sous 72 heures) en cas drsquoincident

bull Veacuterifier la pertinence des proceacutedures lieacutees au traitement des donneacutees tenir agrave jour des proceacutedures eacutecrites et consultables (lrsquoUE se reacuteserve le droit de les consulter sur simple demande)

bull Srsquoassurer que la deacuteclaration drsquoun incident a bien lieu et ce dans un deacutelai de 72 heures maximum

bull Srsquoassurer de la mise en place drsquoun outil de lecteur et drsquoenregistrement des logs afin de pouvoir les preacutesenter sur demande apregraves un incident sous 72 heures (article 35)

bull Srsquoassurer qursquoun plan de continuation de reprise de lrsquoactiviteacute et de reacutetablissement apregraves deacutesastre a eacuteteacute mis en place et valideacute avec les sous-traitants potentiels et au sein de

18

lrsquoentreprise

bull Effectuer des analyses drsquoimpact en particulier dans le cadre de traitement agrave grande eacutechelle (article 35) Cela entraicircne une preacuteparation agrave la gestion des risques (analyse mitigation deacuteroulement) Certaines formations courtes (telles que la certification M_o_Rreg Risk Management Practitioner par exemple) proposent des meacutethodologies speacutecifiques qui peuvent aider les entreprises agrave adopter de bonnes pratiques en matiegravere de gestion du risque

CODE DE CONDUITE ET CERTIFICATIONPour soutenir lrsquoeffort des entreprises dans la transition vers mai 2018 lrsquoUE propose 2 eacuteleacutements le code de conduite et la certification

Dans son article 40 le regraveglement encourage la mise en place drsquoun code de conduite par les associations et autres organismes repreacutesentant des cateacutegories de responsables du traitement ou de sous-traitants pour srsquoassurer de la bonne application du regraveglement Ces codes devraient promouvoir les notions de traitement loyal et transparent les inteacuterecircts leacutegitimes poursuivis par les responsables du traitement dans des contextes speacutecifiques la collecte des donneacutees agrave caractegravere personnel lrsquoutilisation de pseudonymes pour ces derniegraveres les informations communiqueacutees au public et aux personnes concerneacutees ou encore lrsquoexercice des droits des personnes concerneacutees pour nrsquoen citer que quelques-unes

Lrsquoexistence de ce code de conduite peut servir drsquoeacuteleacutement attestant du respect des obligations incombant au responsable du traitement (article 243)

Le GDPR annonce eacutegalement la mise en place de meacutecanismes de certification en matiegravere de protection des donneacutees ainsi que de labels et de marques en la matiegravere aux fins de deacutemontrer que les opeacuterations de traitement effectueacutees par les responsables du traitement et les sous-traitants respectent le preacutesent regraveglement (article 42)

Les accompagnateurs dans la transition vers le GDPR

Dans ce tourbillon de nouvelles contraintes leacutegales compliqueacutees par la situation politique internationale (sortie de lrsquoEurope du Royaume-Uni tensions tregraves seacuterieuses avec la Russie conflits armeacutes dans certains pays du Machrek) il faut srsquoappuyer sur lrsquoaide de professionnels

1 Ne pas heacutesiter agrave faire appel agrave des cabinets drsquoavocats speacutecialiseacutes Il en existe plusieurs qui se sont fait une speacutecialiteacute du GDPR et seront capables drsquoaccompagner les entreprises qui le souhaitent pendant les 2 anneacutees de mise en conformiteacute juridique octroyeacutees Il existe mecircme des outils juridiques en ligne deacutedieacutes au GDPR comme celui du cabinet Ulys permettant de surfer au greacute des articles faire des recherches par mots cleacute et comprendre la leacutegislation actuelle et celle agrave venir

19

2 Solliciter des cabinets de consultation qui pourront apporter une analyse apregraves audit et un conseil pour geacuterer au mieux sa transition digitale en inteacutegrant toutes les contraintes du GDPR Dans cette mesure les architectes drsquoentreprises seront de bons conseils car leur action srsquoapplique en consideacuterant lrsquoentreprise dans sa globaliteacute et pas uniquement la donneacutee ou les systegravemes informatiques1

3 Exiger des garanties de la part des heacutebergeurs Cloud Certains heacutebergeurs Cloud tel qursquoOVH par exemple proposent lrsquoapplication Office 365 heacutebergeacutee dans lrsquoun de leurs datacenters en France Que lrsquoheacutebergeur Cloud soit physiquement en Europe ou non il devra apporter la garantie drsquoune conformiteacute au GDPR et crsquoest agrave lrsquoentreprise de srsquoen assurer sous peine drsquoecirctre consideacutereacutee responsable leacutegalement si un incident nrsquoest pas geacutereacute de maniegravere adeacutequate

4 Se doter des meilleures solutions en matiegravere de cyberseacutecuriteacute Apregraves les diffeacuterentes affaires de partenariats entre certains fournisseurs drsquoeacutequipement de seacutecuriteacute informatique et la NSA qui ont deacutefrayeacute la chronique lrsquoheure est agrave la prudence Car si un eacutequipement eacutetranger de cyberseacutecuriteacute est agrave lrsquoorigine drsquoune fuite de donneacutees crsquoest lrsquoentreprise victime qui en sera responsable aux yeux de la nouvelle loi Lrsquoentreprise qui collecte et heacuteberge la donneacutee doit srsquoassurer qursquoelle apporte un niveau adeacutequat de seacutecuriteacute pour preacuteserver lrsquointeacutegriteacute de ses donneacutees Il vaut mieux toujours choisir une solution certifieacutee par des organismes garantissant un haut niveau de qualiteacute tels que lrsquoANSSI lrsquoAgence nationale de seacutecuriteacute des systegravemes drsquoinformation en France le BSI en Allemagne ou lrsquoOCSTI en Espagne pour garantir lrsquoefficaciteacute drsquoune solution de cyberseacutecuriteacute Toutes ces agences nationales auront drsquoailleurs bientocirct des certifications uniformiseacutees dans toute lrsquoEurope Se souvenir eacutegalement qursquoune donneacutee chiffreacutee voleacutee nrsquoest pas consideacutereacutee comme une fuite si les cleacutes de deacutechiffrement ne sont pas accessibles Le chiffrement reste donc le meilleur moyen drsquoecirctre en conformiteacute

5 Puiser de lrsquoinformation aupregraves de la CNIL qui a mis en ligne une page reacutesumant les bonnes pratiques et ce qui change2 Le gouvernement franccedilais3 a mis agrave disposition la plateforme laquo Pharos raquo pour signaler des contenus illicites ainsi que des liens utiles vers tous les organismes de confiance susceptibles de conseiller et drsquoaccompagner les entreprises dans leur effort de protection des donneacutees4

1 Source httpswwwopengroupfrarchitecture-dentreprise 2 Source httpswwwcnilfrfrreglement-europeen-sur-la-protection-des-donnees-ce-qui-change-pour-les-professionnels

3 Source httpwwwgouvernementfrrisquesrisques-cyber

4 Source httpswwwinternetsignalementgouvfrPortailWebplanetsLiensUtilesaction

20

Cybercriminaliteacute en pratiqueETAT DES LIEUX GLOBALLe terme de laquo cyberseacutecuriteacute raquo eacutemerge au milieu du XXegraveme siegravecle Quant aux attaques elles vont connaicirctre une croissance exponentielle En 2015 la tregraves seacuterieuse enquecircte sur lrsquoeacutetat de la cyberseacutecuriteacute actuelle publieacutee sur le site wwwpwccom1 relevait une hausse de 38 des incidents de seacutecuriteacute en entreprise compareacute agrave lrsquoanneacutee preacuteceacutedente Ce chiffre monte agrave 56 pour les attaques lieacutees aux vols et piratages de proprieacuteteacutes intellectuelles Depuis le 1er janvier 2016 crsquoest pregraves de 28 millions drsquoattaques qui ont eacuteteacute recenseacutees2 et on en comptait au total 428 millions en 2014 Au Royaume-Uni lrsquoOffice for National Statitstics (ONS) a deacuteclareacute en 2015 que le cybercrime eacutetait agrave preacutesent la premiegravere menace pour les citoyens britanniques avec 68 millions drsquoincidents reacutepertorieacutes

Pour certains pays lrsquohacktivisme et le cybercrime sont devenus des sports nationaux En tecircte du palmaregraves des agreacutegeacutes du pourriel les Etats-Unis3

Depuis 2009 les incidents deacutetecteacutes ont progresseacute en moyenne de 66 par an4

EN FRANCESelon InfoDSI 500 millions drsquoinformations personnelles ont eacuteteacute voleacutees ou perdues en 2015 dans le monde La France serait agrave lrsquoorigine de plus de 99 millions drsquoattaques reacuteseaux et connaicirct un grand nombre drsquoattaques cibleacutees qui concernent agrave plus de 57 les PME et agrave 289 les entreprises de plus de 1 500 employeacutes Et avec plus de 300 000 arnaques sur les reacuteseaux sociaux deacutetecteacutees lrsquoHexagone se positionnent en tecircte sur ce type de cyber-menaces occupant le 2egraveme rang europeacuteen et le 4egraveme rang mondial dans cette cateacutegorie Si les arnaques partageacutees par les utilisateurs eux-mecircmes constituent encore lrsquoeacutecrasante majoriteacute de ce type de menaces les fausses offres sont en forte progression5

Virus phishing rootkit backdoor et autre malware la cybercriminaliteacute a agrave sa disposition un eacuteventail drsquooutils varieacutes pour nuire aux entreprises que le but poursuivi soit politique ou lucratif Depuis 2013 le ransomware ou laquo ranccedilongiciel raquo en franccedilais seacutevit dans les entreprises Ce dernier a augmenteacute de 260 en France en 2015 Enfin mention speacuteciale au RaaS ndash

1 Source The Global State of Information Securityreg a registered trademark of International Data Group Inc httpwwwpwccomgxenissuescyber-securityinformation-security-surveyhtml

2 Source httpwwwplanetoscopecomInternet-1852-cyberattaques-dans-le-mondehtml

3 Source httpwwwjournaldunetcomebusinesscrm-marketing1172848-origine-du-spam-dans-le-monde-statista

4 Source httpwwwpwcfrfrespace-pressecommuniques-de-presse2014octobrecybersecurite-alors-que-les-incidents-aug-mentent-et-sont-toujours-plus-couteuxhtml

5 Source InfoDSI httpwwwinfodsicomarticles162318france-figure-top-10-pays-cyber-criminalite-est-plus-activehtml

21

Ransomware as a service (vous ne recircvez pas) Il srsquoagit drsquoun nouveau business model du crime ougrave certain cybercriminels proposent la diffusion du malware en mode laquo service raquo contre un pourcentage de la ranccedilon1 Un business tregraves lucratif et en pleine effervescence

Crsquoest drsquoabord contre tout cela que le GDPR veut proteacuteger les entreprises Quelques bonnes pratiques simples et efficaces vont aider agrave les rendre conformes aux regraveglements

La Solution StormshieldBEST PRACTICES

Chiffrement de bout-en-bout

Que lrsquoon choisisse un heacutebergement sur le territoire de lrsquoUE astreint au GDPR ou ailleurs parce qursquoon nrsquoa pas le choix il faut impeacuterativement se preacuteoccuper de lrsquointeacutegriteacute de la donneacutee personnelle Lrsquoarticle 32a preacutecise mecircme que laquo des mesures techniques et organisationnelles approprieacutees telles que la pseudonymisation et le chiffrement sont destineacutees agrave mettre en œuvre les principes relatifs agrave la protection des donneacutees personnelles [hellip] de faccedilon effective et agrave assortir le traitement des garanties neacutecessaires afin de reacutepondre aux exigences du preacutesent regraveglement et de proteacuteger les droits de la personne concerneacutee raquo Le chiffrement reacutepond agrave ces exigences Crsquoest une solution peu oneacutereuse cleacute en main et souvent assez transparente pour lrsquoutilisateur Assurer le chiffrement de sa donneacutee nrsquoest plus lrsquoapanage de secteurs tels que la Deacutefense ou la Banque mais bien lrsquoaffaire de tous Stormshield Data Security (SDS) propose un produit tregraves simple drsquoutilisation et efficace pour proteacuteger les donneacutees de lrsquoentreprise qursquoelles soient heacutebergeacutees localement ou dans un Cloud SDS srsquoinstalle sur le poste de travail de lrsquoutilisateur et va chiffrer emails et fichiers de maniegravere transparente garantissant ainsi la possibiliteacute de deacuteplacer les fichiers drsquoun Cloud agrave un autre ou drsquoun ordinateur agrave une cleacute USB en toute tranquilliteacute SDS permet de chiffrer la donneacutee et crsquoest une solution certifieacutee par un organisme europeacuteen (lrsquoANSSI) et deacuteveloppeacutee en France Elle offre donc la garantie drsquoune technologie saine et deacutenueacutee de tout dessein drsquoespionnage informatique ou industriel Enfin une donneacutee chiffreacutee voleacutee nrsquoeacutetant pas consideacutereacutee comme une bregraveche tant que les cleacutes de deacutechiffrement sont inaccessibles et maicirctriseacutees par lrsquoentreprise on garde lrsquoesprit tranquille

DLP

Il existe eacutegalement des solutions dites de DLP (Data Loss Prevention ou laquo preacutevention de la perte des donneacutees raquo en franccedilais) Ces technologies sont baseacutees sur de la reconnaissance comportementale et agissent en correacutelant diffeacuterents eacuteleacutements fournis par les eacutequipements de

1 Source httpwwwriskcompliancebenewsla-belgique-dans-le-top-3-mondial-des-victimes-de-ransomware

22

cyberseacutecuriteacute disseacutemineacutes dans lrsquoinfrastructure les reacuteseaux et postes de travail pour deacuteclencher une politique de seacutecuriteacute stopper un chiffrement laquo sauvage raquo ou agir contre un comportement jugeacute suspect Ce comportement peut ecirctre celui drsquoun malware qui aurait reacuteussi agrave infiltrer le reacuteseau ou encore celui drsquoun collaborateur Ces solutions sont des outils tregraves puissants et doivent aujourdrsquohui ecirctre consideacutereacutees par les entreprises pour garantir une meilleure impermeacuteabiliteacute autour des donneacutees personnelles agrave proteacuteger Stormshield propose un connecteur compatible avec toutes les solutions de DLP

Bac agrave sable (Sandboxing)

Dans un contexte digital ou lrsquoutilisateur est perpeacutetuellement solliciteacute par des emails et ses attachements les technologies de sandboxing (entendez laquo bac agrave sable raquo en franccedilais) vont eacutegalement participer agrave la reacuteduction du risque drsquoinfection et de corruption des reacuteseaux des entreprises et donc de leurs donneacutees La mise en place drsquoenvironnements eacutetanches permettant effectivement de jouer un fichier une piegravece jointe ou encore un lien de maniegravere isoleacutee et sans permettre drsquointeraction entre cet environnement de test et le reste du reacuteseau de lrsquoentreprise preacuteviendra la contamination possible agrave tout un reacuteseau On ne peut pas empecirccher lrsquoutilisateur de cliquer mais on peut eacuteviter la propagation des fichiers malicieux dans lrsquoensemble de son reacuteseau Breach Fighter de Stormshield est une solution de sandboxing sucircre et qui fonctionne de concert avec les autres technologies Stormshield Si par exemple le pare-feu Stormshield Network Security (SNS) deacutetecte un fichier suspect il est capable de lrsquoenvoyer automatiquement sur Breach Fighter lrsquoenvironnement impermeacuteable de test heacutebergeacute dans le Cloud Ce fichier est ensuite analyseacute en utilisant la technologie des moteurs de preacutevention de Stormshield Endpoint Security (solution de protection des postes de travail) Le reacutesultat de lrsquoanalyse viendra enrichir la base de donneacutees partageacutee par la communauteacute Stormshield si bien qursquoagrave la prochaine apparition de ce fichier dans la messagerie de nrsquoimporte quel client Stormshield le pare-feu saura automatiquement si le fichier est bon ou mauvais

Segmentation

La micro segmentation est eacutegalement une bonne pratique qui renforcera la seacutecuriteacute des reacuteseaux et des eacutequipements (serveurs automates etc) et donc minimisera le risque drsquoaccegraves pernicieux aux donneacutees Lrsquoideacutee est drsquoinstaller un pare-feu devant chaque serveur et de segmenter chaque reacuteseau pour eacuteviter la propagation de codes malicieux ou de virus au reacuteseau dans sa globaliteacute

Formation et sensibilisation

Parce qursquoil est bien connu que la premiegravere vulneacuterabiliteacute informatique des entreprises se situe entre la chaise et le clavier il est indispensable de mettre en place des formations internes pour informer ses collaborateurs leur apprendre agrave construire un bon mot de passe se meacutefier des noms de domaines suspects et de lrsquoeacutemetteur lorsqursquoon reccediloit une piegravece jointe douteuse avoir

23

les bons reacuteflexes quand ils sont solliciteacutes pour obtenir des informations ou installer quelque chose sur leur poste de travail etc La formation laquo Menace interne raquo (mieux connue sous son nom anglais laquo Insider Threat raquo) est aujourdrsquohui une activiteacute agrave consideacuterer absolument pour tous les collaborateurs de lrsquoentreprise afin de se preacutemunir contre les deacutesagreacutements du cyber crime Des programmes tels qursquoentre autres RESALIATM proposeacute par Axelos (proprieacutetaire de certification ITIL entre autres) peuvent aider les entreprises agrave former leurs collaborateurs aux bonnes pratiques de cyberseacutecuriteacute en interne

Lrsquoapproche Multi-layer Collaborative Security comme seule strateacutegie de deacutefense efficace

Dans lrsquoapproche Stormshield la cyberseacutecuriteacute est lrsquoaffaire de tous et la seule faccedilon drsquoecirctre efficace crsquoest la collaboration Partant de cette ideacutee maicirctresse le groupe a deacuteveloppeacute une strateacutegie innovante la Multi-Layer Collaborative Security (seacutecuriteacute collaborative multi-couches) mieux connue sous lrsquoacronyme MLCS Cette strateacutegie propose une redeacutefinition des paradigmes de la cyberseacutecuriteacute pour entrer dans une egravere de collaboration et de convergence

On peut deacutefinir la strateacutegie MLCS en 3 couches collaboratives

Tout drsquoabord la convergence de technologies au sein drsquoun seul et mecircme eacutequipement Crsquoest notamment le cas de la gamme de produits Stormshield Network Security (SNS) qui a un pare-feu multifonctions ou UTM (Unified Threat Management entendez laquo gestion unifieacutee des menaces raquo) Les diffeacuterents moteurs de seacutecuriteacute de ces produits eacutechangent des informations pour prendre des deacutecisions de blocage si neacutecessaire Dans la perspective du GDPR cela va permettre non seulement de deacutetecter mais eacutegalement drsquoarrecircter les tentatives drsquointrusion de vols de donneacutees ou de prise de controcircle agrave distance (rootkit backdoor etc)

Ensuite tous les eacutequipements et logiciels deacutedieacutes vont eacutegalement collaborer et eacutechanger de lrsquoinformation entre eux Ainsi chaque eacuteleacutement de cyberseacutecuriteacute devient un capteur qui va enregistrer de lrsquoinformation et la redistribuer aux autres eacuteleacutements afin de synchroniser les politiques de deacutefense Ce peut ecirctre une alerte de lrsquoUTM SNS qui va deacuteclencher automatiquement une regravegle de flux avec SES Il peut eacutegalement srsquoagir drsquo anticiper la fuite de donneacutees quand SES va deacuteclencher lrsquoarrecirct de SDS afin de conserver les donneacutees chiffreacutee en fonction du reacuteseau utiliseacute

Enfin la derniegravere couche de cet arsenal de cyberseacutecuriteacute agrave lrsquoavant-garde consiste en le fait que lrsquoentreprise devient partie prenante de sa propre deacutefense en entrant dans la communauteacute Stormshield Chaque reacuteseau chaque utilisateur vont permettre de reacutepertorier les menaces rencontreacutees et en faire beacuteneacuteficier les autres car dans cette guerre il nrsquoest pas question de faire cavalier seul La solution est drsquoabord collaborative et technologique et crsquoest cette approche que Stormshield a choisi de privileacutegier

Stormshield fournisseur de technologies innovantes vous accompagne dans une transition reacuteussie vers le GDPR Contactez-nous pour en savoir davantage et pour comprendre comment nos technologies peuvent vous aider agrave mieux proteacuteger vos donneacutees personnelles

24

Stormshield filiale agrave 100 drsquoAirbus Defence and Space propose des solutions de seacutecuriteacute de bout-en-bout innovantes pour proteacuteger les reacuteseaux (Stormshield Network Security) les postes de travail (Stormshield Endpoint Security) et les donneacutees (Stormshield Data Security)

Ces solutions de confiance de nouvelle geacuteneacuteration certifieacutees au plus haut niveau europeacuteen (EU RESTRICTED OTAN et ANSSI EAL4+) assurent la protection des informations strateacutegiques et sont deacuteployeacutees au travers drsquoun reacuteseau de partenaires de distribution drsquointeacutegrateurs et drsquoopeacuterateurs dans des entreprises de toute taille des institutions gouvernementales et des organismes de deacutefense partout dans le monde

Contact commercialstormshieldeu

25

SaaS

Software as a Service ou logiciel en tant que service en

ligne Service proposeacute directement sur Internet dont

certaines applications sont parfois gratuites (Skype

MailChimp) geacuteneacuteralement gracircce agrave un abonnement

(Dropbox WebEx) ou un droit de licence (Office

365 Suite Adobe Salesforcecom) Ces logiciels

sont heacutebergeacutes dans le Cloud et aucune donneacutee nrsquoest

conserveacutee au sein de lrsquoentreprise Crsquoest le fournisseur

du SaaS qui propose eacutegalement un heacutebergement des

donneacutees La question du lieu drsquoheacutebergement de ces

donneacutees devient preacutepondeacuterante dans le cadre du

GDPR

Deacutecision-cadre

Dans le cadre de la coopeacuteration policiegravere et judiciaire

en matiegravere peacutenale de lrsquoUnion europeacuteenne elle

permet au Conseil de lrsquoUnion europeacuteenne statuant agrave

lrsquounanimiteacute drsquoagir laquo aux fins du rapprochement des

dispositions leacutegislatives et reacuteglementaires des Eacutetats

membres raquo

Hacktivisme

Le hacktivisme est une contraction de hacker (pirate

informatique) et activisme (politique) Des individus

choisissent des actions reacutefeacuterenceacutees comme des

cyber-crimes (piratage informatique) comme

meacutethode drsquoengagement politique en divulguant par

exemple des donneacutees confidentielles drsquoEtat comme

Julian Assange avec WikiLeaks ou en militant pour la

confidentialiteacute sur Internet comme les Anonymous

Ransomware

Cela a eacuteteacute le cas du ransomware Chimera ougrave les

pirates se targuaient de pouvoir publier en clair et sur

un site public les donneacutees qursquoils avaient chiffreacutees sur

les machines de lrsquoentreprise victime

Directive

Acte juridique europeacuteen pris par le Conseil de lrsquoUnion

europeacuteenne avec le Parlement ou seul dans certains

cas Elle lie les Eacutetats destinataires de la directive

quant agrave lrsquoobjectif agrave atteindre mais leur laisse le choix

des moyens et de la forme pour atteindre cet objectif

dans les deacutelais qursquolle a fixeacutes au preacutealable

Regraveglement

Acte juridique europeacuteen de porteacutee geacuteneacuterale dont

toutes les dispositions sont obligatoires les Eacutetats

membres sont tenus de les appliquer telles qursquoelles

sont deacutefinies par le regraveglement Celui-ci est donc

directement applicable dans lrsquoordre juridique des

Eacutetats membres Il srsquoimpose agrave tous les sujets de droit

particuliers Eacutetats institutions

Droit agrave lrsquooubli numeacuterique

Selon lrsquoarticle 17 du GDPR la personne concerneacutee

a le droit drsquoobtenir du responsable du traitement

lrsquoeffacement des donneacutees agrave caractegravere personnel la

concernant ainsi que la cessation de la diffusion de

ces donneacutees

Chiffrement (des donneacutees)

Proceacutedeacute de cryptographie permettant de rendre la

compreacutehension drsquoun document impossible agrave toute

personne qui nrsquoa pas la cleacute de (deacute)chiffrement Ce

principe est geacuteneacuteralement lieacute au principe drsquoaccegraves

conditionnel qui neacutecessite une autorisation preacutealable

Glossaire

WWWSTORMSHIELDEU

Teacuteleacutephone+33 9 69 32 96 29

(Numeacutero Cristal)

TWITTERCOMSTORMSHIELD_

WWWFACEBOOKCOMSTORMSHIELDOFFICIAL

WWWLINKEDINCOM

2

Introductionbull Reacutetrospective et contextebull Reacutevolution numeacuteriquebull Crise de confiance

Les textesbull Safe Harborbull Privacy Shieldbull Avegravenement du GDPR

Le GDPR en pratiquebull Limitesbull Brexitbull Le GDPR appliqueacute aux entreprisesbull Donneacutees personnelles et speacutecialesbull La question du Shadow ITbull Le Cloud

∙ Droits des entreprises ∙ Devoirs des entreprises ∙ Heacutebergeurs Cloud

bull Les cadres ISO (International Standard Organization)bull Le rocircle du responsable du traitement de la donneacuteebull Code de conduite et certificationbull Les accompagnateurs dans la transition vers le GDPR

Cybercriminaliteacute en pratiquebull Etat des lieux globalbull En France

La Solution Stormshieldbull Best Practice

∙ Le chiffrement de bout-en-bout ∙ Data Loss Prevention ∙ Bac agrave sable ∙ Segmentation ∙ Formation et sensibilisation

bull Lrsquoapproche MLCS (Multi-Layer Collaborative Security) comme seule strateacutegie efficace

Glossaire

3






4







5







6









7




8





9










10





11




i

















2 Source InfoDSI

12










13



Le Cloud



14







15















16







services





17













18

lrsquoentreprise









19








20











21






DLP



22




Segmentation




23









24




25

SaaS












GDPR

Deacutecision-cadre






membres raquo

Hacktivisme









Ransomware





Directive







Regraveglement













ces donneacutees







Glossaire

WWWSTORMSHIELDEU





WWWLINKEDINCOM

3






4







5







6









7




8





9










10





11




i

















2 Source InfoDSI

12










13



Le Cloud



14







15















16







services





17













18

lrsquoentreprise









19








20











21






DLP



22




Segmentation




23









24




25

SaaS












GDPR

Deacutecision-cadre






membres raquo

Hacktivisme









Ransomware





Directive







Regraveglement













ces donneacutees







Glossaire

WWWSTORMSHIELDEU





WWWLINKEDINCOM

4







5







6









7




8





9










10





11




i

















2 Source InfoDSI

12










13



Le Cloud



14







15















16







services





17













18

lrsquoentreprise









19








20











21






DLP



22




Segmentation




23









24




25

SaaS












GDPR

Deacutecision-cadre






membres raquo

Hacktivisme









Ransomware





Directive







Regraveglement













ces donneacutees







Glossaire

WWWSTORMSHIELDEU





WWWLINKEDINCOM

5







6









7




8





9










10





11




i

















2 Source InfoDSI

12










13



Le Cloud



14







15















16







services





17













18

lrsquoentreprise









19








20











21






DLP



22




Segmentation




23









24




25

SaaS












GDPR

Deacutecision-cadre






membres raquo

Hacktivisme









Ransomware





Directive







Regraveglement













ces donneacutees







Glossaire

WWWSTORMSHIELDEU





WWWLINKEDINCOM

6









7




8





9










10





11




i

















2 Source InfoDSI

12










13



Le Cloud



14







15















16







services





17













18

lrsquoentreprise









19








20











21






DLP



22




Segmentation




23









24




25

SaaS












GDPR

Deacutecision-cadre






membres raquo

Hacktivisme









Ransomware





Directive







Regraveglement













ces donneacutees







Glossaire

WWWSTORMSHIELDEU





WWWLINKEDINCOM

7




8





9










10





11




i

















2 Source InfoDSI

12










13



Le Cloud



14







15















16







services





17













18

lrsquoentreprise









19








20











21






DLP



22




Segmentation




23









24




25

SaaS












GDPR

Deacutecision-cadre






membres raquo

Hacktivisme









Ransomware





Directive







Regraveglement













ces donneacutees







Glossaire

WWWSTORMSHIELDEU





WWWLINKEDINCOM

8





9










10





11




i

















2 Source InfoDSI

12










13



Le Cloud



14







15















16







services





17













18

lrsquoentreprise









19








20











21






DLP



22




Segmentation




23









24




25

SaaS












GDPR

Deacutecision-cadre






membres raquo

Hacktivisme









Ransomware





Directive







Regraveglement













ces donneacutees







Glossaire

WWWSTORMSHIELDEU





WWWLINKEDINCOM

9










10





11




i

















2 Source InfoDSI

12










13



Le Cloud



14







15















16







services





17













18

lrsquoentreprise









19








20











21






DLP



22




Segmentation




23









24




25

SaaS












GDPR

Deacutecision-cadre






membres raquo

Hacktivisme









Ransomware





Directive







Regraveglement













ces donneacutees







Glossaire

WWWSTORMSHIELDEU





WWWLINKEDINCOM

10





11




i

















2 Source InfoDSI

12










13



Le Cloud



14







15















16







services





17













18

lrsquoentreprise









19








20











21






DLP



22




Segmentation




23









24




25

SaaS












GDPR

Deacutecision-cadre






membres raquo

Hacktivisme









Ransomware





Directive







Regraveglement













ces donneacutees







Glossaire

WWWSTORMSHIELDEU





WWWLINKEDINCOM

11




i

















2 Source InfoDSI

12










13



Le Cloud



14







15















16







services





17













18

lrsquoentreprise









19








20











21






DLP



22




Segmentation




23









24




25

SaaS












GDPR

Deacutecision-cadre






membres raquo

Hacktivisme









Ransomware





Directive







Regraveglement













ces donneacutees







Glossaire

WWWSTORMSHIELDEU





WWWLINKEDINCOM

12










13



Le Cloud



14







15















16







services





17













18

lrsquoentreprise









19








20











21






DLP



22




Segmentation




23









24




25

SaaS












GDPR

Deacutecision-cadre






membres raquo

Hacktivisme









Ransomware





Directive







Regraveglement













ces donneacutees







Glossaire

WWWSTORMSHIELDEU





WWWLINKEDINCOM

13



Le Cloud



14







15















16







services





17













18

lrsquoentreprise









19








20











21






DLP



22




Segmentation




23









24




25

SaaS












GDPR

Deacutecision-cadre






membres raquo

Hacktivisme









Ransomware





Directive







Regraveglement













ces donneacutees







Glossaire

WWWSTORMSHIELDEU





WWWLINKEDINCOM

14







15















16







services





17













18

lrsquoentreprise









19








20











21






DLP



22




Segmentation




23









24




25

SaaS












GDPR

Deacutecision-cadre






membres raquo

Hacktivisme









Ransomware





Directive







Regraveglement













ces donneacutees







Glossaire

WWWSTORMSHIELDEU





WWWLINKEDINCOM

15















16







services





17













18

lrsquoentreprise









19








20











21






DLP



22




Segmentation




23









24




25

SaaS












GDPR

Deacutecision-cadre






membres raquo

Hacktivisme









Ransomware





Directive







Regraveglement













ces donneacutees







Glossaire

WWWSTORMSHIELDEU





WWWLINKEDINCOM

16







services





17













18

lrsquoentreprise









19








20











21






DLP



22




Segmentation




23









24




25

SaaS












GDPR

Deacutecision-cadre






membres raquo

Hacktivisme









Ransomware





Directive







Regraveglement













ces donneacutees







Glossaire

WWWSTORMSHIELDEU





WWWLINKEDINCOM

17













18

lrsquoentreprise









19








20











21






DLP



22




Segmentation




23









24




25

SaaS












GDPR

Deacutecision-cadre






membres raquo

Hacktivisme









Ransomware





Directive







Regraveglement













ces donneacutees







Glossaire

WWWSTORMSHIELDEU





WWWLINKEDINCOM

18

lrsquoentreprise









19








20











21






DLP



22




Segmentation




23









24




25

SaaS












GDPR

Deacutecision-cadre






membres raquo

Hacktivisme









Ransomware





Directive







Regraveglement













ces donneacutees







Glossaire

WWWSTORMSHIELDEU





WWWLINKEDINCOM

19








20











21






DLP



22




Segmentation




23









24




25

SaaS












GDPR

Deacutecision-cadre






membres raquo

Hacktivisme









Ransomware





Directive







Regraveglement













ces donneacutees







Glossaire

WWWSTORMSHIELDEU





WWWLINKEDINCOM

20











21






DLP



22




Segmentation




23









24




25

SaaS












GDPR

Deacutecision-cadre






membres raquo

Hacktivisme









Ransomware





Directive







Regraveglement













ces donneacutees







Glossaire

WWWSTORMSHIELDEU





WWWLINKEDINCOM

21






DLP



22




Segmentation




23









24




25

SaaS












GDPR

Deacutecision-cadre






membres raquo

Hacktivisme









Ransomware





Directive







Regraveglement













ces donneacutees







Glossaire

WWWSTORMSHIELDEU





WWWLINKEDINCOM

22




Segmentation




23









24




25

SaaS












GDPR

Deacutecision-cadre






membres raquo

Hacktivisme









Ransomware





Directive







Regraveglement













ces donneacutees







Glossaire

WWWSTORMSHIELDEU





WWWLINKEDINCOM

23









24




25

SaaS












GDPR

Deacutecision-cadre






membres raquo

Hacktivisme









Ransomware





Directive







Regraveglement













ces donneacutees







Glossaire

WWWSTORMSHIELDEU





WWWLINKEDINCOM

24




25

SaaS












GDPR

Deacutecision-cadre






membres raquo

Hacktivisme









Ransomware





Directive







Regraveglement













ces donneacutees







Glossaire

WWWSTORMSHIELDEU





WWWLINKEDINCOM

25

SaaS












GDPR

Deacutecision-cadre






membres raquo

Hacktivisme









Ransomware





Directive







Regraveglement













ces donneacutees







Glossaire

WWWSTORMSHIELDEU





WWWLINKEDINCOM

WWWSTORMSHIELDEU





WWWLINKEDINCOM