Cyber : l’émergence des offres pour les PME et ETI

Étiquettes

AFCDP, assurance, assureur, audit, CNIL, conformité, contrainte, courtier, cybersécurité, déclaration, données, DPO, ETI, européen, ex-CIL, formation, gestion, gestion de crise, identification, notification, piratage, PME, prévention, protection, protection des données, règlementation, RGPD, sécurisation, scénarios, sensibilisation, TPE, violation, vol, vulnérabilité

 

Contraintes par le durcissement de la réglementation sur la protection des données et par des tentatives de piratage de plus en plus fréquentes, les petites entreprises sont en demande d’un accompagnement global. Des offres spécifiques qui intègrent un volet prévention et gestion de crise voient le jour.
Piratages, vols de données, défaillances informatiques, 80% des PME ont fait objet d’une tentative de cyberattaque en 2016, selon le rapport de Symantec Internet Security. Par ailleurs, le Règlement européen sur la protection des données (RGPD) qui entrera en vigueur le 25 mai oblige les entreprises de toutes tailles à renforcer la protection des données personnelles. Les entreprises victimes d’une attaque auront l’obligation de notifier toute violation de données à caractère personnel auprès de la CNIL dans un délai de 72 heures et cela conduira les entreprises sinistrées à souscrire une couverture cyber.
Surfant sur la vague de RGPD et de la cybercriminalité, des offres cyber spécifiquement conçues pour les TPE-PME émergent. Assureurs et courtiers s’associent avec des sociétés spécialisées pour proposer des services de gestion de crise et de mise en conformité.

https://www.bing.com/cr?IG=E6F50A94CA544BD9ACBD5EE25B74404C&CID=03BF7B5963946E770843708962556F60&rd=1&h=eoqhbATbohDPw4Uddt_-Gae2XOGQWQtseTo3cyT8Xf0&v=1&r=https%3a%2f%2fwww.newsassurancespro.com%2fcyber-lemergence-offres-pme-eti%2f0169511281&p=DevEx,5031.1

 

A consulter également :

Les données personnelles en entreprise : Le délégué à la protection des données comme garant de leur sécurité

Cybersécurité : gare à l’illusion de sécurité !

« Il ne faut pas voir le RGPD comme un couperet en 2018 », Isabelle Falque-Pierrotin

Protection des données – Des règles plus adaptées pour les petites entreprises

Les atteintes aux données ne sont pas nécessairement dues aux cybercriminels

RGPD, le dossier pour tout comprendre

 

 

 

Le système de contrôle interne de la Défense pourrait être « corrompu »

Étiquettes

aérien, armée, audit, Belgique, contrôle interne, defense, F16, fragilité, informations, intérêts, manipulation, système

Si cela s’avère exact, après la réalisation de vérifications approfondies, il y a de quoi rester « bouche bée » et « estomaqué ».

Selon un mémoire publié au nord du pays, le système de contrôle de la Défense pourrait comporter des fragilités importantes dues notamment à des intérêts contradictoires.

 

Des failles dans le système de contrôle de la Défense pourraient exister selon les conclusions d’un mémoire à l’Antwerp Management School que révèlent De Standaard et Gazet van Antwerpen, lundi. Le travail a été réalisée en 2017 par Jimmy Van de Putte, adjudant à la composante aérienne, et traite de possibles manipulations d’information au sein de l’armée.

…

https://www.rtl.be/info/le-systeme-de-controle-interne-de-la-defense-pourrait-etre-quot;corrompu-quot;-1013602.aspx

A conversation about risk with a CEO — Norman Marks on Governance, Risk Management, and Audit

Étiquettes

CEO, corporate, Europe, governance, practices, risk, risk-management, risk-manager

This last week, I was privileged to share a trans-Atlantic flight with the chancellor of one of the top universities in Europe. The time passed much more quickly than usual, especially when I was able to talk to him about risk management and how (IMHO) it should be practiced – in a way that focuses […]

via A conversation about risk with a CEO — Norman Marks on Governance, Risk Management, and Audit

 

A consulter également :

Interworld relance le débat sur le Risk-Management

Risk Management : Avoiding Blind Spots – Corporate Compliance Insights

How good is your chief risk officer ? — Norman Marks on Governance, Risk Management, and Audit

What is the future for risk management? – Norman Marks

«Organiser une veille permanente des risques»

Partager :

Étiquettes

affaires, compliance, conformité, Ethique, whistleblowing

Nouvelles – Magazine – Curation – Partage professionnel

Je vous invite à prendre connaissance de mon magazine professionnel intitulé « Conformité / Compliance » http://flip.it/2s1hP

Son principal contenu : A propos de la compliance et du whistleblowing. Tout en n’omettant pas l’éthique des affaires.

Je vous en souhaite une bonne lecture et, si vous le trouvez intéressant, n’hésitez pas à vous inscrire comme lecteur ou comme abonné.

Partager :

Étiquettes

Bâle III, contrôle, contrôle interne, COSO, COSO2, COSO3, CRBF, ERM, ISO, R&D, résilience, Solvency II

 

Nouvelles – Magazine – Curation – Partage professionnel

Je vous invite à prendre connaissance de mon magazine professionnel (533 Lecteurs|370 Abonnés|426 Articles ) intitulé « Intelligence des Risques / Contrôle Interne intégré » http://flip.it/NgyFo

Son principal contenu :
Résilience et R&D contrôle interne.
COSO, COSO II (ERM), COSO III.
AMF 2007-2008.
ISO 31000, ISO 27000.
ex. CRBF 97.02, Bâle II & III, Solvency II.
…

Il est régulièrement actualisé et je serai heureux, si vous le trouvez intéressant, de vous compter parmi mes lecteurs ou comme abonnés.

L’humain reste le maillon faible de la sécurité des entreprises — Cybercriminalité

Étiquettes

entreprises, humain, maillon faible, risque, sécurité, sensibilisation, variable

 

Variable imprévisible, le facteur humain reste le maillon faible des entreprises en matière de cyber sécurité. Si d’importants efforts de sensibilisation ont été entrepris par les entreprises depuis, une nouvelle étude de Kaspersky Lab vient rappeler que le chemin est encore long pour réduire le risque posé par le facteur humain. http://www.infodsi.com/articles/170213/humain-reste-maillon-faible-securite-entreprises.html

via L’humain reste le maillon faible de la sécurité des entreprises — Cybercriminalité

 

A consulter également :

Un ancien salarié sur trois pourrait toujours avoir accès au réseau de l’entreprise

L’humain, le maillon faible de la sécurité des entreprises

Audit : concilier libertés supplémentaires et garanties nouvelles

Étiquettes

audit, audit externe, auditeur, commissaire aux comptes, commissariat aux comptes, gouvernement, intervention, réforme, seuil

Auditer – Contrôler – Vérifier

Le gouvernement envisage de revoir les seuils d’intervention des commissaires aux comptes. Travaillons ensemble avant de décider de fixer « la barre » à tel ou tel niveau.

Le gouvernement, sous la conduite du président de la République et de son Premier ministre, affiche une volonté courageuse de réformer notre pays et de simplifier la vie des entreprises. Dans ce contexte, il envisage de revoir les seuils d’intervention des commissaires aux comptes dans les entreprises. Ouvrir cette réflexion a un sens. Mais le sujet est plus complexe qu’il n’y paraît au premier abord et nécessite du temps et de la…

https://www.google.com/url?rct=j&sa=t&url=https://www.lesechos.fr/idees-debats/cercle/0301494320557-audit-concilier-libertes-supplementaires-et-garanties-nouvelles-2165563.php&ct=ga&cd=CAIyGTc1YWY0ZDk0NTNiNzQ2YjQ6ZnI6ZnI6RlI&usg=AFQjCNGrNBLVJ1lw5xkr4MJHQ6Y4-gQasg

 

A consulter également :

La certification des comptes, une démarche vertueuse, sous conditions

Ce que l’économie demande aujourd’hui à « la profession réglementée du chiffre »

Les données personnelles en entreprise : Le délégué à la protection des données comme garant de leur sécurité

Étiquettes

adresse, Big Data, consentement, conservation, délégué, département, données, DPO, entreprise, Europe, faille, fonctionnement, IP, juridique, maîtrise, marketing, métiers, mouvements, nom, processus, protection, protection des données, règles, règles internes, RGPD, RH, risque, sécurité, services, surveillance

Tout le monde en parle, ce qui a pour conséquence que tout paraît évident (« çà ne change pas le monde, sauf que… » – slogan percutant de Loto-Québec pour promouvoir la Lotto [loterie] 6/49).

Cependant, il y a souvent un écart important entre la communication externe et l’exacte réalité organisationnelle en interne. Ou, plus précisément, en matière de transition des règles existantes vers la mise en place de nouvelles règles de gestion sur ce sujet et à leurs applications.

La Commission européenne s’inquiète de la lenteur de la préparation à la mise en oeuvre de cette nouvelle directive : la RGPD.

La prise de connaissance des différents écrits à propos de ce sujet, peut laisser penser au « néophyte » qu’il s’agit seulement d’une problématique juridique. Ce point peut se confirmer dans son esprit par le fait que certains délégués à la protection des données (DPO), ainsi que certains intervenants à ce propos, sont des juristes. Ce qui n’est pas illogique dans la mesure où nous nous situons dans le domaine de la conformité.

La directive RGPD et sa transition en droit national impliquent pour certaines organisations de profonds changements dans leur mode de fonctionnement.

 

 »  DU BIG DATA A LA RGPD OU DE L’IMMENSITE

A LA PRECISION ET A L’EXACTITUDE »

 

A l’ère du Big Data, tout entité peut-elle s’enorgueillir de connaître techniquement (à 100 %) toutes ses bases de données ? Le même commentaire peut s’appliquer aux flux  de données et à la conservation de ces dernières. Enfin, tout acteur n’aura pas personnellement la même définition à propos de la notion de « données sensibles » et une simple définition ne peut correspondre à chaque secteur d’activité et à chaque marché (national ou international).

Les points de vigilance pour l’entreprise :

• Confidentialité : respect des règles de protection de la clientèle (Loi informatique et libertés, CNIL…) : la collecte d’informations personnelles nécessite l’accord de la personne ou de la structure intéressée
• Structuration des données et continuité d’activité (PCA/PRA):

1. Forte augmentation du volume d’informations, mais baisse de la qualité des données
2. Tri nécessaire et identification des données sensibles, impliquant des changements organisationnels :

• Vigilance particulière sur la qualité des données utilisées pour les modèles internes et les plans de continuité de l’activité (PCA)
•  Urbanisme des systèmes d’information : facteur de complexification des architectures SI avec la création de nouvelles bases de données, voire de nouvelles briques applicatives hétérogènes
• Impact des volumes sur les traitements statistiques et décisionnels
• Problème de stockage et d’accès à ces données : risques liés au recours aux services de Cloud Computing
• Cybercriminalité : vulnérabilité liée aux nouveaux points d’accès

Confère Slideshare Stephane Droxler, Associate at UDITIS S.A :   http://fr.slideshare.net/StephaneDroxler/big-data-contrle-des-donnesv

A – La nécessité et l’attention à porter à la qualité des données :

• exhaustivité.
• pertinence.
• exactitude.
• gouvernance des données.

Les organismes doivent mettre en place un dispositif de gouvernance des données : art. 48 sur la fonction actuarielle et art. 19, 20, 244 et 265 du règlement 2015/35 qui précisent notamment les critères de qualité de données, la gouvernance, le répertoire des données…

B – Les objectifs à inclure obligatoirement dans la gouvernance des données :

1. Responsabilisation et transversalité : intégration dans la gouvernance globale de l’organisme en associant plusieurs directions (DSI, Métiers).
2. Harmonisation et cohérence de l’utilisation des données dans l’entreprise.
3. Agilité : permettre une prise de décision rapide.

C – Les dispositifs de contrôle interne et de conformité contribuent également au contrôle de la qualité des données (combinaison des art. 41, 46 de la directive et art. 256 du règlement 2015/35).

Je vous invite à consulter la présentation d’ATOS Consulting and Technologies Services au sein de l’EIFR (European Institute of Financial Regulation) 15/09/2015  » Qualité des données dans le cadre réglementaire : Les enjeux de conformité et de performance. Développer et promouvoir une « smart regulation » à travers l’échange entre régulateurs et régulés » http://www.eifr.eu/files/file5059961.pdf

 

Le règlement général sur la protection des données (RGPD) impose aux entreprises françaises et européennes de revoir leurs pratiques de traitement des données clients, internes et externes.

A l’heure du big data, les entreprises sont amenées à gérer des flux de données de plus en plus importants ; la mise en place d’une réglementation se révèle une mesure nécessaire pour la préservation des données sensibles. Le RGPD se substitue à la directive sur la protection des données et prévoit de nouvelles conditions concernant la collecte, l’exploitation et le transfert des données, dont le non-respect entraînera de lourdes amendes. Toutefois, dans certains domaines, ses exigences restent vagues et il peut être complexe à mettre en œuvre. Pour y pallier, plusieurs entreprises ont nommé un délégué à la protection des données personnelles (DPO, Data Personal Officer), afin d’assurer son application. Le big data implique pour les entreprises la mise en oeuvre de moyens parfois difficiles à appliquer en interne : le délégué à la protection des données est un intermédiaire clé pour maîtriser les risques.

Le RGPD va modifier en profondeur le fonctionnement de tous les départements de l’entreprise (marketing, services RH, services juridiques, etc.). Il concerne les avis de confidentialité, les notifications de consentement ou encore les notifications de faille de sécurité. Dans les RH, l’indication « données personnelles » désignera désormais toute information permettant d’identifier une personne de façon directe ou indirecte (date de naissance, adresse IP ou nom). Les entreprises devront rendre ces données accessibles aux personnes concernées, permettre leur suppression – sous conditions –, et les informer sur leur durée de conservation et leurs mouvements. Les dirigeants cherchent à réajuster en conséquence leurs règles internes. Source : Undernews  https://www.undernews.fr/libertes-neutralite/les-donnees-personnelles-en-entreprise-le-delegue-a-la-protection-des-donnees-comme-garant-de-leur-securite.html/amp

 

A consulter également : 

Le délégué à la protection des données : un rôle essentiel — Cybercriminalité

Data Protection Officer : un gardien pour les données personnelles

Portrait Hélene Legras DPO AREVA « Le DPO est plus un profil du savoir être que du savoir faire »

La protection des données dans le monde

 Les chief digital officer se multiplient, surtout en France

Data protection officer (DPO) : définition, formation et salaire

La fonction de DPO attise les convoitises et déclenche des luttes de pouvoirs dans les entreprises

 

 

Akerva ouvre un centre de cybersécurité dédié aux ETI et aux PME

Étiquettes

Akerva, analyste, conseil, cyberdéfense, cybersécurité, ETI, expertise, formation, informatique, ingénieur, IoT, Paris, PME, Rennes, sécurisation, sécurité informatique, système d'information, système informatique

Le cabinet de conseil rennais spécialisé dans la sécurisation des systèmes et des données des entreprises ouvrira mi-avril un centre de cyberdéfense exclusivement dédié entreprises de l’Ouest. Avec un chiffre d’affaires en croissance de 250 % en 2017, Akerva élargit son expertise aux objets connectés et compte doubler ses effectifs d’ici à la fin de l’année.

Pour 2018, le cabinet de conseil et d’expertise en cybersécurité Akerva fait du recrutement de nouveaux talents l’une de ses priorités. La société rennaise espère même une croissance de 100% de ses effectifs. Le marché de la cybersécurité étant en forte croissance, elle veut renforcer ses équipes afin de soutenir sa stratégie de développement. Sur la seule journée du 29 novembre dernier, elle a engagé quatre personnes lors du forum de recrutement de la Cyber Week organisée par le Pôle d’Excellence Cyber de Rennes.
Implantée à Rennes et à Paris, Akerva recherchait plus précisément des analystes SOC (Security Operations Center) et des ingénieurs informaticiens avec une spécialisation en sécurité des systèmes d’information (SSI). L’an passé, Akerva a embauché six personnes en CDI en prévision de la mise en production du centre de cyberdéfense, qu’elle ouvrira mi-avril. Cette équipe dédiée devrait s’étoffer cette année d’une dizaine d’experts.
Basé à Rennes, le futur centre sera exclusivement destiné aux PME et ETI de Bretagne et des Pays de la Loire. https://www.latribune.fr/regions/bretagne/akerva-ouvre-un-centre-de-cybersecurite-dedie-aux-eti-et-aux-pme-773831.html

Cybersécurité : gare à l’illusion de sécurité !

Étiquettes

agence, agence de notation, assurance, éditeur, cyberassurance, cybersécurité, direction, direction générale, DSI, faille, informatique, notation, risque, RSSI, sécurité, sécurité informatique, solution, système d'information

Pour contenter les directions générales, certains acteurs visent la simplicité à outrance pour essayer de répondre vite et bien à leurs exigences d’efficacité. En réalité, ils le font de manière biaisée. Deux exemples récents me viennent à l’esprit pour illustrer ce propos : les agences de notation en cybersécurité et les offres des constructeurs, en particulier celles liées aux cyberassurances.

La note en trompe-l’oeil
Dans le premier cas, les acteurs de ce marché évaluent le niveau de sécurité et donnent une note, souvent en comparant au reste du secteur. Cela paraît presque magique ! Dans les faits, elles n’évaluent qu’une partie infime du système d’information, en particulier les sites Internet et la messagerie externe. Si cette note est bien réelle, elle est souvent volatile et trompeuse.

Des équipements en apparence sécurisés
Le deuxième cas a eu une déclinaison très récente. Le secteur de la sécurité est trop habitué à recevoir des messages plus ou moins « trompeurs » des éditeurs. Qui n’a pas lu le fameux « achetez ma solution, vous serez conforme au règlement européen RGPD » ou « le cloud, c’est sécurisé, il n’y a rien à faire » ? …

Les Échos : Cybersécurité : gare à l’illusion de sécurité ! https://business.lesechos.fr/directions-numeriques/technologie/cybersecurite/0301303627888-cybersecurite-gare-a-l-illusion-de-securite-318999.php

 

A consulter également :

L’idée de labélisation et de certification fait son chemin en Europe

La cybersécurité face aux changements de paradigme — Cybercriminalité

Rencontres IHEDN du 20 mai 2017 – Guerre pas net — Cybercriminalité

[Gestion des risques] Assurance des cyber-risques: quelle couverture adopter?

La cybersécurité doit devenir l’affaire de tous

Cybersécurité : l’hygiène de base continue de faire défaut

Décryptage : les risques liés à la sécurité informatique en entreprise