Nous utilisons des témoins à des fins d’analyse du Site Web, de statistiques, de profilage et de reciblage publicitaire. Nous pouvons aussi partager de l’information sur votre utilisation du Site Web avec nos partenaires publicitaires et analytiques. Vous pouvez désactiver les témoins dans les paramètres de votre navigateur à tout moment. Politique de confidentialité .
FERMER X
 Dans Blogue, Général, Sécurité, Technologie

Découvrez l’avis du vice-président exécutif et chef de la technologie de XMedius sur la conformité au GDPR, la protection des données et les nouvelles tendances technologiques en 2018!

Sébastien Boire-Lavigne (surnommé affectueusement SBL), vice-président exécutif et chef de la technologie de XMedius, joue un rôle capital et déterminant dans la stratégie technologique de l’entreprise. Depuis plus de 20 ans, SBL a mené de nombreuses réalisations au sein de XMedius, il est notamment à l’origine de la technologie de pointe de fax sur IP, des plateformes dans le Cloud et de la solution XM SendSecure.

2017 a été une année marquante en matière de sécurité informatique, de technologie et l’année de l’annonce de lois majeures sur la protection des données. Les révélations de violation de données personnelles de millions de personnes ont contribué à accroître la prise de conscience en matière de protection des données et nous laissent songeurs quant aux surprises que 2018 nous réserve. Nous nous sommes entretenus avec SBL pour parler de conformité, de la sécurité de l’information, et des technologies qui selon lui joueront un rôle essentiel dans l’année à venir.

Le GDPR va entrer en vigueur au mois de mai, selon vous quelles seront les principales répercussions de ce règlement sur les entreprises?

Le règlement général sur la protection des données (GDPR) est probablement la mesure législative la plus radicale qui transformera le monde du numérique. Évidemment, les entreprises ont engagé une course contre la montre pour se conformer au règlement, mais au-delà de ce phénomène, le GDPR influencera longtemps et durablement l’architecture des données de production en Europe et dans le monde. L’Europe innove avec le GDPR, ce règlement deviendra probablement la norme de facto sur la protection de la vie privée pour le monde entier.

Le GDPR renforce les nouveaux droits fondamentaux des citoyens européens : ils jouissent désormais d’un droit inaliénable sur leurs données à caractère personnel. Les entreprises qui collectent les données à caractère personnel des citoyens européens ne sont que les dépositaires de ces données et ne peuvent pas se les approprier. Dans le monde du numérique, il s’agit du droit humain le plus important.

Traditionnellement, les entreprises ont toujours considéré que les renseignements qu’elles collectaient leur appartenaient, le GDPR change considérablement la donne en matière de données à caractère personnel. En fait, non seulement les entreprises sont reléguées au rang de dépositaire, mais en plus elles doivent désormais assumer d’importantes responsabilités en matière de protection des données. À l’instar des médecins et des ingénieurs, les entreprises ont désormais l’obligation de protéger les données à caractère personnel qu’elles collectent.

Ainsi, les entreprises n’ont d’autre choix que de jeter les bases d’un système de gestion de la sécurité de l’information (SGSI), qui soit au moins centré sur la confidentialité des données à caractère personnel. Ceci contribue de manière importante au développement de la sécurité de l’information sur tous les plans. Si les entreprises s’organisent, elles pourront largement bénéficier du cadre de gouvernance qui sera mis en place dans le but de protéger les données à caractère personnel.

Une autre avancée considérable du GDPR : avant ce règlement, les données à caractère personnel « numériques » jouissaient d’un « coût de possession » extrêmement faible. Ainsi, les données pouvaient être gérées de manière plus souple, dupliquées dans plus plusieurs systèmes, conservées pendant une durée indéterminée, etc. Les nouvelles exigences en matière de contenu, d’accès, de suppression et de protection des données vont entraîner des coûts considérables en ce qui concerne la collecte et la conservation des données à caractère personnel et transformeront l’architecture des données. En raison de ces coûts supérieurs, les entreprises auront tendance à centraliser les données dans un nombre réduit de systèmes mieux protégés et mieux gérés. Ce type de changement ne se produira pas dans les six prochains mois, mais sera plutôt un effet à long terme du GDPR.

 

Plus tôt cette année vous avez été panéliste à une conférence de BrightTALK peu après l’attaque massive du rançongiciel WannaCry qui a affecté des entreprises dans le monde entier. Comment les entreprises peuvent-elles se protéger des rançongiciels en 2018?

La protection contre les rançongiciels illustre parfaitement la nécessité d’une « défense en profondeur ». Il n’existe pas de solution magique pour se protéger des rançongiciels. Tout d’abord, il est important de comprendre que les rançongiciels sont là pour durer, et vont probablement se multiplier et s’intensifier dans les années à venir.

Le boom des rançongiciels va de pair avec la banalisation de la cryptomonnaie. La cryptomonnaie est un moyen d’échanger des valeurs assimilables à des espèces sans être repéré, permettant aux organisations criminelles d’étendre leur activité d’extorsion au milieu du numérique sans que les autorités aient les moyens de les en empêcher.

  1. Les attaques de rançongiciels ne sont pas rentables quand elles visent les vulnérabilités « jour zéro », elles visent donc les vulnérabilités bien connues. L’application de correctifs agressifs est donc la meilleure protection contre les rançongiciels. Appliquer des correctifs est une tâche ingrate. L’installation de correctifs interrompt le travail des utilisateurs, arrête les systèmes de manière inattendue, nécessite des tests et entraîne des pannes de serveur, mais prévenir les violations ou limiter la contagion est l’un des meilleurs moyens de défense contre les rançongiciels. Prenons, par exemple les deux violations les plus importantes qui ont eu lieu en 2017 : le service public de santé britannique (NHS) et Equifax. Ces deux attaques auraient pu être évitées ou modérées en grande partie si les correctifs avaient été correctement appliqués. Les technologies sophistiquées sont inutiles, il suffit de travailler dur, de faire preuve d’engagement et rigueur.
  2. Les sauvegardes. Si vos données font l’objet d’une rançon, les sauvegardes seront vos meilleures alliées. Mais les sauvegardes peuvent ne pas suffire. Les rançongiciels qui s’attaquent aux entreprises peuvent également prendre les serveurs de sauvegarde pour cible ou chiffrer le stockage réseau utilisé pour les sauvegardes. Les sauvegardes hors ligne ou hors site sont le meilleur moyen pour contrer les agents malveillants qui vous empêchent d’utiliser vos sauvegardes qui servent à restaurer les données chiffrées par le rançongiciel.
  3. Le recours aux antivirus et aux anti-programmes malveillants constitue la ligne de défense suivante. Ils permettent d’empêcher l’exécution de codes/programmes malveillants. Un antivirus/anti-programme malveillant est obligatoire, mais ne vous leurrez pas : ces technologies ne sont pas infaillibles, et les programmes malveillants peuvent toujours les contourner.
  4. Une formation et une sensibilisation à la sécurité ainsi qu’une formation relative aux conséquences de l’hameçonnage sont également d’excellents moyens de lutter contre les rançongiciels. Les utilisateurs peuvent être votre meilleur atout pour assurer la protection contre les rançongiciels, mais ils peuvent également être votre pire ennemi.
  5. Un pare-feu/système de détection d’intrusion dans les réseaux de pointe peut détecter ou bloquer les agents malveillants qui communiquent avec leur commandement et contrôle, et peut grandement atténuer les dommages.

 

Le modèle « confidentialité, intégrité et disponibilité » (CID) est souvent utilisé pour orienter les politiques de sécurité de l’information dans les entreprises. Quelles seraient les mesures supplémentaires pour les entreprises en 2018?

Le modèle de sécurité de l’information actuel se fonde en grande partie sur le modèle CID, mais c’est la première fois que l’information revêt autant d’aspects physiques différents. Avec l’avènement de l’internet des objets, il nous faudra probablement évaluer également les objectifs en matière de sécurité des ressources d’information pour ce qui est de l’intégrité physique des êtres humains. Le cas se pose tout particulièrement pour les robots et les véhicules autonomes.

Quel est le niveau de sécurité approprié pour la vie humaine? Voici un très bon exemple qui illustre la frontière floue entre l’information et la sécurité physique : des chercheurs ont récemment démontré que l’on pouvait « pirater » les systèmes autonomes de conduite en posant de simples autocollants sur un panneau indicateur d’arrêt pour le rendre méconnaissable, ce qui pourrait provoquer des accidents routiers graves ou fatals.

Quel est le niveau de protection physique acceptable requis lorsque l’on élabore des robots chirurgicaux? Des robots armés? Des avions autonomes? Des robots industriels? Des drones?

L’intelligence artificielle et l’internet des objets créent de nouveaux types d’objets autonomes et il devient donc indispensable d’adopter une approche intégrée de sécurité en ce qui concerne l’information et la sécurité physique. Une approche intégrée est plus à même de parer aux risques et d’offrir des contrôles de sécurité dans le but de répondre à des objectifs communs.

 

Pour ceux d’entre nous toujours à l’affût des dernières avancées technologiques, quelles sont les idées les plus novatrices qui vont émerger sur le marché en 2018?

L’interface invisible : Associer la technologie de la reconnaissance vocale, les API de langage naturel et l’apprentissage profond pourrait finalement tenir les promesses de l’interface invisible. L’interface invisible permet de poser des questions et d’obtenir des réponses sous la forme d’une conversation normale, et détrônerait l’interface utilisateur formelle. L’interface invisible a obtenu un succès nuancé pour ce qui des assistants virtuels, mais il est fort probable que cette technologie sera perfectionnée et intégrée à des systèmes plus variés.

L’intelligence artificielle spécialisée : En dépit de tout le battage qui a été fait, les ordinateurs qui feraient preuve d’une intelligence « générale » similaire à celle des humains ne vont pas arriver demain sur le marché – cela prendra encore des dizaines d’années. Toutefois, les systèmes informatiques qui font preuve d’intelligence humaine pour réaliser des tâches extrêmement précises existent déjà. Ces systèmes vont révolutionner le monde du travail à l’instar des ordinateurs et d’Internet il y a plusieurs dizaines d’années. L’intelligence artificielle ne « remplacera » pas les humains, mais changera la manière dont nous travaillons, augmentera notre productivité et nous permettra de nous concentrer sur des tâches de valeur supérieure. Cependant, le fossé numérique entre la main d’œuvre qui maîtrise le numérique/l’intelligence artificielle et les autres risque de se creuser davantage.

La conformité : On a estimé que les coûts associés à la cybercriminalité auraient dépassé les 3 mille milliards de dollars et ce montant pourrait doubler d’ici 2021, les experts considèrent qu’il s’agit d’un phénomène qui « échappe à tout contrôle ».

Les autorités du monde entier préparent de nouveaux règlements pour imposer des normes fondamentales qui encadrent l’approche que vont adopter les entreprises pour protéger les données à caractère personnel. D’autres réglementations vont très probablement succéder aux lois HIPPA, FERPA, PCI-DSS, et au GDPR, qu’elles soient obligatoires ou prescrites par la loi, en 2018 et dans les années à venir. Toutes les entreprises devront être à l’affût et ajuster conformément leur stratégie informatique. Pour les entreprises qui ne sont pas préparées, le changement sera douloureux.

Automatisation : Avec la hausse des salaires en Extrême-Orient, la tendance est au rapprochement entre le secteur manufacturier et son marché cible. Les robots et l’automatisation des tâches ont atteint un point de non-retour pour les tâches qui peuvent être automatisées ou réalisées par des machines et peuvent désormais remplacer les travailleurs peu rémunérés dans de nombreux secteurs. Ce phénomène changera non seulement le secteur manufacturier, mais également des services comme la restauration et les commerces de détail qui peuvent être désormais automatisés de manière rentable.

 

Quelles ressources recommandez-vous à ceux qui veulent en savoir plus sur la protection des données (pratiques exemplaires, etc.)?

Pour ce qui est de la sécurité 101, je trouve que Dan Goodin qui travaille à Ars Technica fait un excellent travail de vulgarisation sur les dernières avancées en matière de technologie de sécurité. Suivez Dan sur Twitter. Pour se faire une idée des méthodes de piratage émergentes (et vous faire peur), suivez Dragos Ruiu.

Ressources :

Communautés de sécurité des réseaux :

Conférences :

 

Vous voulez en apprendre davantage sur la manière de se conformer aux règlementations, de prévenir les violations de données et de faire passer votre entreprise au niveau supérieur pour ce qui est du cadre de gouvernance? Parlez avec un expert dès aujourd’hui pour découvrir les solutions qui répondent à vos besoins spécifiques.

 

PARLEZ À UN EXPERT

 

Leave a Comment