X
Conformité d’un hébergeur cloud au RGPD : des preuves techniques ?

News Partenaire

Conformité d’un hébergeur cloud au RGPD : des preuves techniques ?

A l’heure où le règlement général sur la protection des données va entrer en application, entreprises et administrations se demandent toujours comment procéder. Certaines décident d’y aller seules, d’autres se tournent vers des hébergeurs cloud pour les aider et les accompagner. Agarik assume ce rôle en mettant en avant son expertise en matière de sécurité.

Equifax dans le… souci

Près d’une trentaine de plaintes ont déjà été déposées à l’encontre de la société de crédit ce qui ouvre la voie à une action collective. Par ailleurs de nouvelles failles ont été découvertes et certains médias américains réclament un renforcement des sanctions en cas de fuite de données.

Il fallait s’y attendre. Après la publication jeudi dernier d’une faille pouvant potentiellement affecter plus de 140 millions de clients américains de l’entreprise Equifax, les plaintes ont commencé à s’accumuler. Tout particulièrement à cause d’une nouvelle maladresse de l’entreprise qui proposait une protection de ses clients en échange d’un renoncement à une action en justice, ainsi que nous en faisions mention la semaine dernière.

Selon Reuters, une trentaine de plaintes ont déjà été déposées entre vendredi et mardi. Les termes des plaintes sont variés : certains plaignants accusent l’entreprise de fraude sur la sécurité, d’autres parlent de négligence. Certains enfin estiment qu’Equifax a trompé intentionnellement ses actionnaires à propos de sa capacité à protéger les données de ses clients, notamment en tardant à révéler la faille. Sans compter les soupçons de délit d’initiés qui pèsent sur plusieurs cadres suspectés d’avoir vendu une partie de leurs actions quelques jours avant que l’affaire ne soit rendue publique. Tout ceci a pour conséquence immédiate de faire dégringoler le cours de l’action, laquelle a perdu 20,7% de sa valeur en deux séances, soit 3,5 milliards de dollars de capitalisation boursière.

Nouveaux trous

Et tout ceci ne constitue peut-être que les prémices d’une longue descente aux enfers. En effet, notre confrère de ZDNet vient de découvrir une autre faille de sécurité importante sur le site d’Equifax. Elle serait située au niveau de la configuration du suivi des comptes de crédit. Dès le lendemain de la divulgation de la faille, de nombreux clients se sont précipités sur leurs comptes pour changer les mots de passe et essayer de se protéger contre les risques d’attaque. Le problème tient dans l’implémentation des alertes, laquelle présente elle aussi des failles qui permet de siphonner toutes les données personnelles d’un visiteur. Comme l’explique notre confrère : « le site est vulnérable à une attaque de script multi-site (XSS) qui permet à un attaquant d’exécuter une code malveillant sur un site ou une application web légitimes, comme le site d’Equifax ».

Il semble peu probable que cette faille ait été exploitée, mais la légèreté des équipes d’Equifax est une nouvelle fois mise en cause. En effet, le chercheur en sécurité Martin Hall qui a repéré le problème (et d’autres) a contacté l’équipe de sécurité et attend toujours une quelconque réponse. Il en va de même pour notre confrère qui a également contacté l’entreprise et attend toujours une réponse.

RGPD Yankee ?

Finalement, cet énième piratage aura peut-être une vertu. En effet, on commence à voir fleurir des tribunes dans les médias américains réclamant moins d’impunité pour les entreprises qui se font dérober des données. « Nous avons le regret de vous informer que… » ne suffit plus écrit Zeynep Tufekci dans le New York Times. Il est vrai que la législation américaine en matière de protection des données privées est bien pauvre pour ne pas dire inexistante. Nous ne saurions trop recommander à nos voisins d’outre-Atlantique de regarder ce qui se met en place en Europe avec le Référentiel Général sur la Protection des Données (RGPD) qui sera en place au mois de mai 2018. Le RGPD concernera l’ensemble des données des citoyens européens, indépendamment du lieu de stockage ou de la nationalité de l’entreprise qui les hébergent. Certes, d’aucuns raillent déjà le procédé en indiquant qu’on voit mal comment des CNIL européennes pourraient aller farfouiller dans les serveurs de Google ou Facebook mais c’est déjà un premier pas dont les Américains pourraient s’inspirer. On parle de plus en plus de gouvernance mondiale (ou du moins occidentale) pour ce qui concerne la protection des données. Un RGPD étendu est sans doute une piste à explorer.


Inscription gratuite à la newsletter de L'Informaticien.


Noter cet article (de 1 = Nul à 5 = Excellent) Valider
Autres infos Sécurité


A votre avis...
Honolulu

Honolulu

Certains diront «Enfin !»… Avec Project Honolulu, Microsoft compte révolutionner le pilotage de Windows Server au travers d’une console web moderne et graphique, unifiant les divers anciens outils...

WebForce3

WebForce3

L’école WebForce3, après avoir lancé une première formation rapide de développeur web – sur 3,5 mois –, multiplie cette fois les formations accélérées autour de la...

Afficher tous les dossiers

FAKEBOOK : l'affaire Cambridge Analytica/Facebook - RGPD : 1ers retours d'expérience - Cryptojacking, la nouvelle menace - Laval Virtual ou l'(AR/VR)évolution par les usages - Au coeur d'Hexatrust... Wallix : du courage et du plaisir - Google AMP - Robotic Process Automation...

 

BIG DATA : technologies, usages et futur - La 5G en ordre de bataille - Windows Server Project Honolulu - Serverless : le calcul sans serveur prêt pour la production ? - Faille memcached - Bootcamp WebForce3 - Comparatif smartphones - Rencontre avec Idriss Aberkane...

 

GUIDE DES GRANDS CLOUDS PUBLICS - Sécurité 2.0 Threat Intelligence - Logiciels Libres, le secteur public dit oui ! - Big Data & RGPD - Enceintes connectées : pour l'entreprise aussi ! - Développez des jeux vidéo avec Unity 3D - Le Wagon, le bootcamp coding qui cartonne...

 

Afficher tous les derniers numéros
News Mag-Securs
12345678910Last

Retrouvez actualités, dossiers et communiqués sur la sécurité du système d'information sur le portail Mag-Securs

Adoptée le 6 juillet 2016, la directive NIS (pour Network Infrastructure Security) doit être transposée par les Etats membres de l’Union Européenne au plus tard le 9 mai 2018.

Ce Livre Blanc éclaire les enjeux et les impacts de la directive NIS sur les pratiques de cybersécurité des pays européens.

  


"L'entreprise numérique", un Livre Blanc IDC/Interxion.

Ce livre blanc présente les résultats d'une enquête menée auprès de plus de 750 entreprises européennes.

Vous y découvrirez l'approche adoptée par les leaders du numérique, combinant l’adoption des services Cloud avec une politique d’hébergement externalisé.  

  


La maintenance prédictive, pilier de la transformation digitale, un Livre Blanc Econocom.

LA MAINTENANCE IT, L’INVISIBLE PIERRE ANGULAIRE DE L’ENTREPRISE DIGITALE

La transformation digitale rebat les cartes de la performance des entreprises. Face à l’évolution simultanée des attentes des clients, des modèles économiques, des conditions de marché et des modes de travail, chaque métier doit revoir sa contribution aux trois axes qui conditionnent dorénavant la réussite: l’excellence opérationnelle, l’expérience utilisateurs et l’innovation métier.


CARTOGRAPHIE DU PAYSAGE DES RANSOMWARES, un Livre Blanc Fortinet.

Comprendre la portée et la sophistication de la menace.

Lorsque les cybermenaces sont multipliées par 35 en un an, chaque entreprise doit en tenir compte. C’est précisément le cas avec les ransomwares. Les hacktivistes ont ciblé des entreprises de pratiquement toutes les tailles et représentant une multitude de secteurs industriels dans le monde entier.


Comment moderniser ses centres de données, un Livre Blanc HPE.

La transformation numérique des entreprises crée de nouvelles contraintes sur les directions informatiques, en particulier pour les environnements de stockage. 

La croissance exponentielle des données, la virtualisation massive, l'évolution des charges de travail et la mise en place permanente de nouvelles applications (devops) obligent l'infrastructure de stockage informatique à évoluer. 


Tous les Livres Blancs
Derniers commentaires
Le règlement européen de protection des données personnelles (RGPD) apporte ou renforce des droits existants pour l'ensemble des citoyens européens, au prix d'une série d'obligations pour les entreprises, variables selon leur taille et l'usage qu'ils font des donnéesLe règlement européen de protection des données personnelles (RGPD) apporte ou renforce des droits existants pour l'ensemble des citoyens européens, au prix d'une série d'obligations pour les entreprises, variables selon leur taille et l'usage qu'ils font des données. [Lire la dépêche...]

Dans l'Union européenne, la protection des données personnelles des internautes est désormais renforcéeUn arsenal de nouvelles règles est entré en application vendredi dans l'UE pour mieux protéger les données personnelles à l'ère numérique, suscitant sans tarder de premières plaintes contre des géants comme Facebook et Google déjà accusés de les enfreindre. [Lire la dépêche...]

Benoît Battistelli, président de l'Office européen des brevets (OEB), table sur un lancement du brevet unitaire européen début 2019

des brevets (OEB)L'Office européen des brevets (OEB) est "prêt" à délivrer le futur brevet unitaire européen, "une réforme très importante pour l'économie européenne" et notamment pour ses PME, assure à l'AFP son président, le Français Benoît Battistelli. [Lire la dépêche...]

Max Schrems,  activiste autrichien, lors d'une interview avec l'AFP à Vienne, le 24 mai 2018Alors que le nouveau règlement européen sur la protection des données personnelles (RGPD) entre en vigueur vendredi, un activiste autrichien, Max Schrems, dépose déjà les premières plaintes contre les géants du numérique. Cet homme âgé de 30 ans a mené bataille contre Facebook et obtenu des règles plus strictes dans le transfert des données personnelles.  [Lire la dépêche...]

Dans l'Union européenne, la protection des données personnelles des internautes est désormais renforcéeUn arsenal de nouvelles règles est entré en application vendredi dans l'UE pour mieux protéger les données personnelles à l'ère numérique, suscitant sans tarder de premières plaintes contre des géants comme Facebook et Google déjà accusés de les enfreindre. [Lire la dépêche...]

Bo Ewald, président du fabricant d'ordinateurs quantiques D-Wave, le 24 mai 2018 à ParisL'informatique quantique va franchir un nouveau palier cette année, même si l'on est encore loin du moment où ces ordinateurs super performants auront prouvé leur efficacité en entreprise, estime Bo Ewald, le président du fabricant d'ordinateurs quantiques D-Wave.  [Lire la dépêche...]

Technologie sous-jacente au bitcoin et autres monnaies virtuelles, la blockchain suscite l'engouement dans de nombreux secteurs d'activitéSécuriser les échanges de données de patients, améliorer la conduite des essais cliniques ou la traçabilité des médicaments: les promesses de la blockchain font rêver le secteur de la santé qui commence à l'expérimenter, mais à petite dose et en ordre dispersé. [Lire la dépêche...]

Une femme joue avec Pepper, un robot humanoïde fabriqué par SoftBank Robotics et exposé au salon Vivatech à Paris, le 24 mai 2018Les femmes ont gagné en visibilité dans les rendez-vous de jeunes pousses comme le salon Vivatech, qui bat son plein à Paris, mais elles restent trop rares à fonder leur entreprise, au risque d'affaiblir l'innovation technologique. [Lire la dépêche...]

Toutes les dépêches AFP
AgendaIT

VIVA TECHNOLOGY

Pour sa 3ème édition, Viva Technology, salon de l'innovation et de la croissance des start-up, se tient du 24 au 26 mai 2018 à Paris (Paris Expo, porte de Versailles). Organisé par Publicis et Les Echos.

WWDC

Conférence développeurs d'Apple, la WWDC18 se tiendra du 4 au 8 juin 2018 à San José (McEnery Convention Center) en Californie. Organisée par Apple.

COMPUTEX

Plus grand événement IT de la zone Asie du Sud-Est, Computex couplé avec InnoVEX se tient à Taipei du 5 au 9 juin 2018. Organisé par Taitra.

AI PARIS

Conférence, exposition et rendez-vous d'affaires sur l'intelligence artificielle à Paris, Cité de la Mode et du Design les 11 et 12 juin 2018. Organisé par Corp Agency.

CEBIT

Nouvelles dates et nouveau format pour le CeBIT, plus grand salon européen de l'IT, qui a lieu du 11 au 15 juin 2018 à Hanovre (Allemagne). Organisé par Deutsche Messe.

CRIP

Rendez-vous annuel des 7800 membres du CRIP (association indépendante d'utilisateurs), DSI, CTO, responsables d'infrastructure, de technologies, de production et d'innovation IT à Paris (Espace Champerret) les 12 et 13 juin 2018. Organisé par le CRIP.
Outscale vous donne rendez-vous pour la 5ème édition des Cloud Days le 21 juin 2018 à Paris (Châteauform' City George V).
RSS
Voir tout l'AgendaIT