Embed Size (px)
Citation preview
Belgique • Brésil • Canada • Espagne • France • Roumanie • Singapour
Siège social : 11-13 rue René Jacques – 92 130 Issy-les-Moulineaux
Livre blanc
CHAPITRE 1
Les origines
RGPD : Tous concernés… Chapitre 1 2/19
Sommaire
1. Préambule : On y est ! ________________________________________________ 3
2. Contexte propice à la naissance du RGPD ________________________________ 4
3. BIG DATA et profilage ________________________________________________ 5
4. L’expérience utilisateur : un modèle de marketing généralisé __________________ 6
5. Digitalisation des métiers et nouvelles technologies _________________________ 7
6. Le réel consentement à l’utilisation de nos données ? _______________________ 11
7. L’impact de l’utilisation « abusive » des données ___________________________ 12
8. La réelle sécurité des systèmes d’information ? ____________________________ 13
9. La banalité des fuites de vos données personnelles … ______________________ 15
10. Exploitations et impacts sur la vie privée ou professionnelle ? _________________ 16
11. Une réelle crainte des citoyens vis-à-vis de leurs données ___________________ 18
12. Fin de la première partie _____________________________________________ 19
13. Envie d’en discuter ? ________________________________________________ 19
RGPD : Tous concernés… Chapitre 1 3/19
1. Préambule : On y est !
Le compte à rebours est achevé depuis le 25 mai 2018.
Après 2 années laissées pour son implémentation, votre entreprise a maintenant l’obligation d’être en conformité avec le Règlement Européen Général de Protection des Données (RGPD).
Ce nouveau règlement vous impose la mise en œuvre de nouveaux modes de fonctionnement au sein de l’entreprise et le déploiement de nouveaux services et outils destinés à mieux protéger les droits des citoyens vis-à-vis de LEURS DONNEES PERSONNELLES.
Comme la plupart des entreprises et l’ensemble des collectivités et services publics, vous êtes directement responsables et concernés par les impacts et les efforts plus ou moins importants à mettre en œuvre en fonction de votre contexte.
Que vous ayez déjà bien avancé dans la démarche ou que vous soyez encore au tout début de la réflexion comme de nombreuses entreprises, nous avons voulu vous apporter un point de vue complémentaire aux nombreuses ressources disponibles sur le sujet (détaillant essentiellement le contenu et l’interprétation juridique des textes du règlement).
Ce document en 2 parties, dont ici la première partie, a pour vocation de vous présenter :
PARTIE 1 : Les origines o Une sensibilisation au contexte du RGPD afin d’identifier le fondement et les raisons qui
ont poussé à son avènement,
PARTIE 2 : Exposition et conséquences o Une évaluation de votre exposition et une appréhension des impacts potentiels pour vous
et votre entreprise, o Une anticipation de la démarche pragmatique à entreprendre à court et moyen terme afin
d’éviter de subir les impacts négatifs (directs et indirects) de la non-conformité.
Nous espérons que vous apprécierez son format imagé et son contenu volontairement résumé afin d’être le plus didactique possible.
RGPD : Tous concernés… Chapitre 1 4/19
2. Contexte propice à la naissance du RGPD
145 milliards de mails envoyés,
4.5 milliards de recherche Google,
104 000 heures de vidéos mises en ligne sur Youtube,
400 millions de tweets postés,
552 millions d’utilisateurs se connectent à Facebook
Source : chiffres CNRS
Aujourd’hui les entreprises sont convaincues d’une chose : ne pas exploiter la donnée, c’est se faire doubler par ses concurrents et se condamner à disparaître.
Dans ce contexte, une véritable course et surenchère est constatée ces dernières années avec :
d’une part, l’acquisition de masses de données de plus en plus affinées nous concernant,
d’autre part, le développement de nouveaux outils numériques susceptibles d’en retirer le maximum « d’intelligence ».
Devenus aujourd’hui tous usagers des outils numériques, nous n’avons pas toujours pleinement conscience que ces derniers communiquent nos données personnelles à notre insu…
Infographic par Go-Gulf Web design Company
Le Wi-Fi, le Bluetooth, les connexions Internet dans les hôtels et les aéroports, les adresses IP, les mails et leurs destinataires, les applications de certains appareils (intégrant la géolocalisation sur smartphones par exemple), … trahissent en continu l'activité de « l'homme numérique » qui organise alors lui-même la propre fuite de ses informations.
La vie ultra connectée… un proche avenir (1mn25s)
https://www.youtube.com/watch?v=gtkThe9ndDg
RGPD : Tous concernés… Chapitre 1 5/19
3. BIG DATA et profilage
Le quotidien Financial Times a développé un
simulateur permettant une évaluation du prix de nos données sur le marché…
Les informations de base ne valent que 0,007 $ et les prix grimpent ensuite plus ou moins selon le profil (exemple : attendre un enfant multiplie par 15 votre valeur, la maladie est bien sûr prise en compte : souffrir d’obésité multiplie par près de 40 votre « prix »…)
https://ig.ft.com/how-much-is-your-personal-data-worth/#axzz2WfFmKwic
Idée des revenus moyens générés par votre navigation
sur Internet ?
. 2 € par clic sur un lien pub Google, 0,15 € sur Gmail, 0,65 € pour Facebook,
. 2 € pour 1000 affichages d'un pin's publicitaire sur un trajet Waze,
. 0,05 € pour chaque visionnage pub de 30 secondes sur Youtube,
. 4 € par clic sur une pub ciblant notre profil LinkedIn.
L’actualité ne cesse de nous rappeler la capacité d’exploitation, plus ou moins détournée, de nos données personnelles :
A des fins marketing pour une sollicitation accrue de l’acte d’achat à travers la personnalisation des offres commerciales,
Pour des objectifs d’influence de notre comportement (achats, vote,….) : affaire Facebook / Cambridge Analytica et ses 87 millions d’utilisateurs qui ont vu leurs données siphonnées),
Pour une analyse de nos habitudes et un profiling dans le but d’une évaluation des risques (essentiellement concernant notre état de santé) afin de déterminer le tarif d’une assurance, d’une mutuelle…,
Pour la revente de fichiers bruts des données à des tiers non identifiés, ces données devenant un véritable « or noir » du numérique.
L’or noir des données numériques
Au regard des enjeux économiques liés à l’exploitation des données personnelles, il existe maintenant un véritable marché de la donnée personnelle.
Résultats d’une étude procurant une idée du prix auquel nos informations peuvent être achetées. Quelques exemples :
Le prix moyen d’un numéro de carte de crédit est d’environ 30$ pour une carte US, entre 20$ et 35$ pour une carte du Royaume-Uni, 20$ à 40$ au Canada et $25 à 45$ en Europe,
Un accès à un compte en banque peut se vendre entre 190$ et 1200$ en fonction du montant présent sur le compte dérobé,
Des informations d’identification des programmes de fidélité des hôtels et des comptes d’enchères en ligne : entre 20$ et 1400$,
Des informations d’identification des comptes premium pour des services comme Netflix : 0,55$.
Ce marché parallèle de la donnée recueillie permet alors d’enrichir les pratiques marketing et nourrir les nouveaux usages et technologies numériques qui vont les exploiter.
RGPD : Tous concernés… Chapitre 1 6/19
4. L’expérience utilisateur : un modèle de marketing généralisé
Les sociétés spécialisées dans le ciblage publicitaire
sont devenues les nouvelles pépites de la bourse (exemple : CRITEO)
Leur métier consiste à recueillir des données de navigation personnelle, via les cookies, pour cibler les centres d’intérêt d’un individu.
Un internaute qui a cherché un lave-linge verra alors s’afficher des bannières de publicité de lave-linges sur le site sportif qu’il consulte ensuite.
Concept marketing désormais répandu, ce modèle optimise la relation entre les entreprises et leurs clients à travers l’analyse des meilleures façons d’aborder les prospects : comprendre ce qui impacte l’individu aux différents moments de son quotidien afin de lui procurer une expérience positive au bon moment qui déclenchera un possible acte achat.
Evidemment, le cœur de l’analyse se base sur les données collectées des potentiels consommateurs et les plus personnalisées possibles.
Cas d’application
Spécialisée en lingerie, cette société arrive aujourd‘hui à analyser en moins de 10 mn l’ensemble des tickets de caisse des 450 magasins en France et ainsi mesurer les performances d’une opération commerciale dans le même temps. Autre bénéfice, les taux d'ouverture des e-mails auprès de certaines audiences - mieux ciblées - atteignent des sommets, à plus de 55 %. Les données du programme fidélité - enfin exploitées - ont permis, entre autre, d'établir :
en moyenne une cliente réalise entre quatre et cinq visites sur le site Internet dans les deux semaines qui précèdent un achat en magasin,
une cliente qui achète en magasin et en ligne achète trois fois plus qu'une cliente qui n'achète que sur un des deux canaux.
En complément du BIGDATA, l'IA permet d'ores et déjà d'approfondir ses segmentations et de déterminer s'il faut faire des campagnes personnalisées ou non. Exemple :
En fin de solde il restait beaucoup de tailles extrêmes (bonnets A, E et F), il a été possible en 5 minutes d’extraire un segment des acheteuses potentielles
en s’appuyant sur les données des 25 derniers mois, La promotion a été communiquée sur Facebook en 30 minutes pour la tester, Le mail a été poussé le soir même. Résultat : la majorité des pièces a été écoulée en 48 heures et majoritairement
en magasin.
Comment gagner une élection par l’analyse des
données ? (2mn15s)
https://www.youtube.com/watch?v=TxsmhuahROI
RGPD : Tous concernés… Chapitre 1 7/19
5. Digitalisation des métiers et nouvelles technologies
TOP 3 INNOVATIONS
1. Smart City / smart building
2. Compréhension du langage
3. Reconnaissance visuelle
Selon le Gartner, 26 milliards d’objets seront connectés dans le monde en 2020 et 6 milliards pourraient bénéficier d’intelligence artificielle dès 2018.
Selon l'IDATE, 36 milliards d’objets seront connectés à Internet en 2030 ouvrant ainsi de nouvelles perspectives, parmi lesquelles la géolocalisation reste la principale information utile.
Intelligence artificielle, IoT et Big Data puisent leur raison d’être dans la donnée, et ce quelle que soit sa forme (vidéo, texte, chiffre, son, dessin, graphique, etc.) et sa provenance…
La révolution IoT (Internet Of Things) : des objets connectés pour collecter les données
Dans le secteur de l’IOT, la donnée est reine puisqu’elle constitue le fondement même de cette technologie.
Grâce à la baisse du coût des capteurs, de plus en plus d'objets sont connectés au net. Ils envoient alors en flux continu des données collectées sur leur environnement. Le résultat sera donc plus de données à traiter, beaucoup plus de données... Ces data sont analysées par les entreprises afin d’améliorer leur organisation interne ou créer de nouveaux services personnalisés pour les clients.
Ces applications améliorent alors à la fois, la sécurité des matériels et des personnes, l’efficacité opérationnelle mais aussi la rentabilité des entreprises.
Source : CODIT
Les montres surveillent maintenant notre sommeil et rendent compte de nos activités, les téléviseurs comprennent ce que nous disons, les clubs de golf nous disent comment améliorer notre swing, et les voitures, les avions ou les navires seront autonomes.
Même si nous ne désirons pas acheter ces objets connectés, nous sommes malgré nous entourés par ceux-ci au quotidien : caméras de surveillance des lieux publics ou privés (commerces, centres commerciaux, entreprises…), ampoules connectées, compteurs intelligents de gaz ou d’électricité,… et enfin le smartphone ou le bracelet d’activité connecté qui nous accompagnent au quotidien !
90% des données
existantes ont été produites au cours des deux dernières années
RGPD : Tous concernés… Chapitre 1 8/19
D’après le groupe SMA BTP, (assureur du monde de la construction) 520 000 vols /an de matériels et d'engins de chantier sont constatés.
L’Internet appliqué à l’industrie (IIoT, Industrial Internet of things) permettra de réduire les coûts liés à la maintenance « de 10 à 30 % de gains d’efficacité » selon le PDG, Guillaume Pepy.
Les usages de l’IOT ne manquent pas
Plus particulièrement la géolocalisation, via des capteurs IoT, prend toute sa valeur :
Pouvoir tracker en continu sans GPS (en entrepôt, sur la route, en boutique…) les camions, palettes, colis, produits …Un moyen efficace de dissuader ou d’empêcher les pertes et les vols à moindre coût ou avoir la capacité de suivre en temps réel un colis et de pouvoir avertir le client de l’heure précise de livraison grâce au suivi précis de son produit commandé,
Source : A.T. Kearney, étude The Internet of Things
Protéger les équipes évoluant sur des zones à risques (pétrochimie, BTP, défense….) au travers de leur géolocalisation,
Répondre aux problématiques d’écologie : la géolocalisation de containers destinés à l’évacuation de déchets permet également la traçabilité des déchets jusqu’à leur point de livraison pour s’assurer qu’ils sont déversés au bon endroit afin d’être recyclés,
Enfin, la maintenance prédictive (anticiper les opérations avant la panne) et la maîtrise du parc de matériels et équipements (comme par exemple le tracking des chariots élévateurs ou du parc d’imprimantes) sont un passage obligé pour entrer dans l’ère des usines et entreprises de nouvelle génération.
Comment fonctionne la géolocalisation ? (1mn52s)
https://www.youtube.com/watch?v=RYMqFLNifwE
RGPD : Tous concernés… Chapitre 1 9/19
Recrutement par IA
Objectifs : augmenter le nombre de candidats étudiés, réduire le temps passé aux entretiens et les importants coûts liés à l’échec d’un mauvais recrutement.
Comment ça marche ?
Des solutions automatisées d'entretiens vidéo enrichies par des algorithmes analysent le comportement des candidats.
Tout ce qui relève, par exemple, de la qualité de l'expression (richesse lexicale, vocabulaire choisi, registre de langue), de la prosodie (rythme, ton) ou encore de la manière d'être (souriant, dynamique, nonchalant ou désinvolte) va être analysé et comparé aux données recueillies sur les meilleurs talents recrutés.
I.A. : l’Intelligence Artificielle au service de l’être humain ?
Après avoir stocké de grands volumes de données (BigDATA) en attendant de trouver un moyen optimal de les utiliser et de les valoriser au sein des processus métiers, l’IA avec ses concepts (Machine Learning, Deep Learning, Cognitif) apparait comme la solution pour piocher dans la masse de données et en faire ressortir une valeur ajoutée pour les entreprises.
De plus en plus de sociétés s'intéressent aux logiciels d'intelligence artificielle (IA) qui sont censés être capables de réfléchir presque comme des êtres humains. Le champ d’application est alors très large et couvre différentes disciplines telles que la compréhension, le calcul, le raisonnement, l’apprentissage, la perception, le dialogue en langage naturel,…
Le marketing s’en est logiquement emparé, avec la volonté d’offrir une interaction avec le client plus automatisée.
Les sociétés souhaitent automatiser, via ces programmes, certaines tâches et pouvoir communiquer grâce à des bots (robot conversationnel) avec leurs clients ou encore donner du sens aux données nombreuses et variées qu'elles collectent.
Le Machine Learning (apprentissage automatique)
Pour les prochaines années on s’attend à une intégration croissante de l’apprentissage automatique dans les systèmes de communication au travail.
Cela aura pour conséquence d’aider à analyser des modèles complexes dans les données d'utilisateurs et, finalement, améliorer la productivité à travers chaque interaction. De nombreux usages de l’IA sont attendus dans l’amélioration des communications :
Déterminer, sans action de l’utilisateur, les paramètres par défaut d’une application à partir de la façon dont les utilisateurs utilisent leur webcam ou leur souris par exemple,
L’apprentissage automatique permet au commerce et aux centres de contacts d’adapter et de personnaliser leurs communications en fonction de l’interlocuteur : quels clients répondent à des appels téléphoniques ou préfèrent l’interaction vidéo, ainsi que les moments de la journée où ils ont le plus de chances de nouer un contact positif…
L’IA en video (2mn10s)
https://www.youtube.com/watch?v=KiktcDM4T-w
RGPD : Tous concernés… Chapitre 1 10/19
- Assistance à l’analyse des documents et textes pour les analystes financiers afin d’identifier les actualités positives et négatives sur une société donnée,
- Ciblage des clients susceptibles de quitter la banque. Près de 11 millions de comptes client sont ainsi analysés chaque mois afin de réduire le taux d’attrition de l’activité banque de détail du groupe : tx d’amélioration estimée x 4,
- Personnaliser les recommandations de produits poussés sur ses espaces web ainsi que pour choisir l’implantation de ses espaces pro et de DAB externe au plus près des besoins de ses clients.
Des usages d’application multiples
Vous aidez à mieux gérer votre vie
C’est grâce à l’AI que les assistants personnels peuvent écouter vos requêtes et, selon vos préférences et celles d’autres utilisateurs aux goûts similaires, choisir une playlist de vos chansons préférées.
Ces assistants personnels peuvent même planifier vos prochaines vacances, commander des billets, tout cela en respectant votre budget.
Ces applications peuvent gérer vos dépenses personnelles, superviser les activités quotidiennes ou les rendez-vous.
Optimiser votre sécurité
Enfin d’importants apports dans la lutte contre l’insécurité (cybermenaces ou terrorisme) :
A travers l’analyse comportementale des criminels sur internet ou via la surveillance des enchainements d’actions au sein du système d’information aboutissant à une vulnérabilité.
Face au volume toujours croissant de malware (et des données qui leur sont associées), les analystes ne sont plus en mesure de détecter manuellement chaque menace. Les éditeurs d’antivirus investissent dans le développement et l’application d’intelligence artificielle et d’apprentissage automatique pour optimiser la détection des logiciels malveillants.
Quand l’IA inquiète en adaptant vos prix d’achat…
Et si demain les prix bougeaient tout le temps, en fonction non seulement de la demande, mais aussi de vos données personnelles ?
Aujourd'hui, dans un avion ou un train, deux personnes assises à côté l'une de l'autre peuvent déjà avoir payé un prix totalement différent selon le jour et l'heure auxquels elles ont acheté leur billet (la tarification dynamique).
Le Big Data et les algorithmes intelligents offrent une nouvelle perspective en permettant aux sites d'e-commerce de croiser toutes sortes d'informations pour affiner les tarifs qu'ils proposent aux utilisateurs, quasiment jusqu'à les individualiser…(pratique normalement interdite car considérée comme discriminatoire). La récolte des données devient un enjeu crucial au développement de ces technologies d’avenir et l’usage raisonné de ces données doit faire partie des critères de raison.
L’IA au quotidien au sein des villes (intelligentes)
Elles attendent de la collecte des données qu'elles contribuent à :
- fluidifier le trafic et donc à diminuer le niveau de pollution,
- réduire la consommation d'énergie,
- faciliter l'accès aux services proposés par la municipalité.
RGPD : Tous concernés… Chapitre 1 11/19
6. Le réel consentement à l’utilisation de nos données ?
Un utilisateur ayant 60 applications sur son mobile
mettrait jusqu’à six mois à éplucher les conditions
générales !
Nous sommes aujourd’hui globalement avertis de l’utilisation de nos données au travers des conditions générales et mentions proposées lors des inscriptions à un service ou installation d’un programme.
Mais aujourd’hui, combien de personnes prennent le temps de lire ces informations ? Moins de 10% des usagers selon les sondages…
Ces informations et alertes sont bien souvent volumineuses et présentées sous un format peu clair, poussant rapidement les utilisateurs à accepter « en bloc » les conditions d’utilisation sans réelle lecture ni prise en compte du contenu…
Selon la Commission nationale informatique et libertés (CNIL), deux
applications sur trois récupèrent déjà des données personnelles à l’insu de leurs utilisateurs,
Via nos téléphones portables, il est possible de nous géolocaliser et d’avoir accès à des données encore plus personnelles que sur notre ordinateur.
Et les pratiques des entreprises bien souvent fautives sans réellement en être conscientes ?
En France, comme dans un certain nombre de pays occidentaux, il est interdit de demander à un candidat son état de santé, sa volonté d'avoir des enfants, son projet de déménager ou autres informations du même type, ce qui est pourtant fréquent (lors de l'embauche ou pendant la période d'essai)…
Le pistage électronique est en soi une « fuite organisée » :
dans l'entreprise (surveillance du courrier électronique, des sites
consultés, biométrie, etc.) y compris de la part d'entreprises qui pistent par GPS l'activité de leurs salariés et le trafic de leurs véhicules (transport routier, livraison, taxi, etc.),
par l'internet commercial (surveillance des habitudes, récupération des données personnelles, exploitation des profils, etc.),
par mobiles téléphoniques interposés (localisation, écoutes),
dans tous les lieux de passage avec contrôles : cartes d’accès, enregistrement à l’aéroport, péage d’autoroute, contrôle des distances de sécurité, franchissement feux rouges, caméra de surveillance routière, analyse automatique des plaques minéralogiques, cartes bancaires…..
Ici encore, le principe de la confidentialité et du respect de la vie privée des salariés, des internautes, des communicants ou des automobilistes est loin d'être respecté.
Exemple d’exploitation des données
La publicité du moteur de recherche QWANT
https://www.youtube.com/watch?v=Evahh1PXJIg
RGPD : Tous concernés… Chapitre 1 12/19
7. L’impact de l’utilisation « abusive » des données
Testez votre exposition aux recueils des données
personnelles par Google
Historique de votre activité :
https://myactivity.google.com
Dashboard de vos données :
https://myaccount.google.com/dashboard
Visualisez l’historique de vos déplacements :
https://www.google.com/maps/timeline?
Téléchargez une copie de vos données :
https://takeout.google.com
Le TOP 5 des Data Brokers
Nielsen, le précurseur de la mesure audiovisuelle
Acxiom, le pionnier des Data Brokers
Experian, le leader de la vente de données de crédits
Equifax, le pionnier des données d’assurances
Corelogic, le leader de la vente de données immobilières
Ce travail de marketing ciblé et d’exploitation massive des données peut se révéler terriblement intrusif.
Preuve en a été donnée concernant l’histoire célèbre de ce père de famille américain qui, agacé que sa fille reçoive des bons de réduction pour des produits destinés aux jeunes mamans, a déposé une réclamation auprès de son supermarché.
Pourtant, l’arrivée dans la boîte aux lettres des coupons ne devait rien au hasard. Sa fille, encore mineure, était bel et bien enceinte,
Son père l’ignorait mais une société spécialisée dans le data Mining (l’exploitation de bases de données) l’avait découvert à travers l’analyse des produits que la jeune fille achetait et de l’historique des sites internet visités,
L’entreprise avait établi un score de prévisibilité de grossesse qui s’est avéré exact …
Le risque indirect par la revente des données
A l’origine destinées à des fonctions légitimes, les données recueillies peuvent, en cas d’usages détournés, porter préjudice et avoir un impact sur la vie privée des personnes.
Ce risque peut être généré par une fuite involontaire de données mais aussi plus simplement à travers la revente volontaire par une société des fichiers acquis dans le cadre de son activité et qui présente une valeur pour des acteurs d’autres secteurs d’activités ou sociétés spécialisées dans le marketing direct.
Un exemple de revente possible : le recueil par un constructeur automobile des
données de fonctionnement des balais d’essuie-glace sur ses véhicules. Mesurant avec précision (géolocalisation) l’emplacement et la force des précipitations, ces données sont susceptibles d’intéresser les opérateurs d’autoroutes et les opérateurs météo dans un but de prévisions accrues.
Professionnels de la revente des données, les data brokers ou courtiers en données. Ils vendent et achètent des fichiers en masse, les agrègent et les font parler (Datamining).
Les chiffres officiels de la société Acxiom peuvent donner le tournis :
7000 collaborateurs, 7000 clients, un chiffre d’affaires de 1,2 milliards de dollars et surtout « 1 trillion d’interactions » collectées et analysées chaque semaine. L’objectif est simple : récolter un maximum de données, via des sources variées, numériques ou non, pour permettre aux marques de prendre des décisions adaptées à leur marché et cibler les personnes les plus à même d’être intéressées par leurs produits.
RGPD : Tous concernés… Chapitre 1 13/19
8. La réelle sécurité des systèmes d’information ?
Les vols de données personnelles de masse les
plus connus en 2017
Instagram : 6 millions de comptes touchés (emails et téléphones).
Equifax : 143 million de clients d’un organisme de crédit (emails, adresses, téléphones, dates de naissance. numéros de permis de conduire, carte de crédit et de sécurité sociale).
Numéricable : nombre de comptes touchés non communiqué (noms, prénoms, emails, adresses, téléphones et services souscrits).
Axa Singapour : 5.400 clients (emails, téléphones mobiles, date de naissance.)
Accenture : piratage du service de cloud (identifiants et clés de chiffrement).
UniCredit : 400.000 clients (IBAN, noms, téléphones et adresses).
Uber : 57 millions de comptes piratés (noms, emails, téléphones, de clients et conducteurs).
Comme vu précédemment, les enjeux business et les évolutions technologiques imposent une collecte et un stockage des données au sein de l’entreprise ou dans des Datacenters de partenaires.
L’actualité des fuites de données de masse démontre la constante fragilité des protections mises en œuvre au sein des entreprises et des organismes publics qui stockent et exploitent ces données :
Malgré tous les efforts et solutions de sécurité déployées, tout spécialiste de la cybersécurité vous le dira : « il n’existe aucune sécurité du SI fiable à 100% »
Ce n’est qu’une question d’efforts et de temps à consacrer pour pénétrer un système d’information… et lorsque la fuite est provoqué depuis l’intérieur (erreur humaine, vengeance d’un ex-salarié, copie illégale de base de données….) il est encore plus difficile de s’en prémunir.
Quelques chiffres éloquents de cybersécurité
RGPD : Tous concernés… Chapitre 1 14/19
Pourquoi tant d’entreprises américaines touchées par les
fuites ?
Les entreprises américaines seraient-elles moins bien protégées ou plus visées par les cyberpirates ? La raison est tout autre : depuis plusieurs années, les lois de la majorité des États américains obligent les entreprises à déclarer toute atteinte à la protection des données ce qui n’est pas le cas en France ou le culte du secret à ce sujet est important par crainte d’atteinte à la marque…
Selon Edouard Geffray, ex-Directeur Général de la CNIL «nous [les entreprises] avons
un niveau d’hygiène en matière de sécurité
informatique de base qui est désespérant (…) Il faut en moyenne 240 jours pour
détecter un hacker qui s’est introduit dans votre SI.
Vous imaginez un cambrioleur qui se promène pendant 240 jours dans votre maison sans que vous l’ayez remarqué ?»
En dehors de la fragilité inhérente à la complexité du système d’information d’une entreprise et face à l’acharnement d’un pirate informatique à vouloir pénétrer le réseau, l’accès aux outils et aux connaissances nécessaires à la pratique sont aujourd’hui facilement accessibles à tous au travers de forums spécialisés.
Exemple du fonctionnement simplifié d’une cyber attaque :
En complément, il s’est développé et même généralisé un véritable business de la cybercriminalité avec la capacité pour tous d’accéder à des sites essentiellement disponibles au travers du Dark Web (sites internet qui se trouvent sur un réseau crypté et qui ne sont pas référencés par les moteurs de recherche traditionnels) qui proposent « en libre-service » et à travers une interface digne d’un site d’e-commerce un large choix de malware à concevoir sur-mesure...
Le « pirate amateur » aura alors le simple choix entre des fonctionnalités plus ou moins avancées pour son virus qui vont alors déterminer son développement sur mesure et son coût (le plus souvent proportionnel à la rançon finale perçue dans le cas répandu d’un ransomware qui chiffrent les disques durs des pc et serveurs et exigent un paiement pour déblocage via mot de passe).
Outre le Dark Web, les données finissent systématiquement par se retrouver sur le net “standard”. Il existe par exemple différents forums (dont l’accès est plus ou moins privé/restreint) où les utilisateurs se partagent les liens des leaks (fuites de données) récents.
La boite à outil du Hacker (1mn10s)
https://www.youtube.com/watch?v=fjJFNdtBsIY
RGPD : Tous concernés… Chapitre 1 15/19
9. La banalité des fuites de vos données personnelles …
Plus de 5 milliards de comptes mail piratés
Votre adresse email concernée par une potentielle fuite massive de données ? Testez la.
https://haveibeenpwned.com/
- Créé par Troy Hunt, un expert en sécurité, développeur chez Microsoft, ce site permet aux internautes de vérifier si leurs comptes n’ont pas été compromis.
- Vous pouvez aussi effectuer une recherche à partir d’un nom d’utilisateur, d’un nom de domaine, ou accéder à la liste des sites compromis.
Entrer votre adresse email pour découvrir si elle a été compromise :
Si le site affiche "Good news – no pwnage found", c’est que votre mail ne se trouve dans aucun des listings ayant fuités
En revanche, si vous voyez apparaître "Oh no –pwned !", il est urgent de changer de vos mots de passe
Conséquences de la cyber fraude sur les entreprises
La notion de fuite de données ne se limite pas aux situations dans lesquelles des personnes mal intentionnées (hackers) réussissent à subtiliser ou altérer vos données… 80% des fuites de données se produisent « par accident ».
Quelques exemples typiques « d’accidents » :
- la perte d’un smartphone ou d’une clé USB contenant un document reprenant les noms de tous les membres du personnel, leurs salaires et bonus,
- l’envoi de ce document par email à une personne externe ou interne mais n’étant pas supposée y avoir accès,
- Lorsqu’un ordinateur plante sans qu’aucun backup n’ait été fait entraînant la perte de toutes les données, …
Au regard de la vulnérabilité des protections destinées à lutter contre les fuites de données ou tout simplement de la négligence de certaines sociétés à
assumer cette protection (et son coût), de nombreux cas sont relevés chaque jour. Visualisez les plus importantes fuites de données mondiales :
http://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/
RGPD : Tous concernés… Chapitre 1 16/19
10. Exploitations et impacts sur la vie privée ou professionnelle ?
Histoire vraie : Adrien a 13 ans (âge légal pour être inscrit sur Facebook) mais un jour Adrien clique par inadvertance sur l'une des innombrables sollicitations qui apparaissent sur le réseau social (applications extérieures à Facebook mais proposées dans le cadre de la plateforme).
Conséquence : en un instant, Adrien, pourtant mineur, se retrouve inscrit sur le site de rencontre pour adultes Badoo. Son identité et sa photo sont aspirés. Et une simple requête Google sur son nom dans le moteur de recherche fait apparaître désormais "sa page Badoo " en deuxième position parmi les réponses…
Suite au piratage de Ashley Madison en 2015 (suivi de la publication sauvage de données personnelles de 33 millions de personnes inscrites sur le site de rencontres adultères), les données ont été utilisées afin de procéder à un chantage vis à vis des personnes inscrites. Certains utilisateurs sont même allés jusqu’au suicide après la diffusion publique de la liste des utilisateurs…
Ceci illustre tout l’impact que peut générer la fuite de telles informations. Mais concrètement, qu’est-ce qu’un utilisateur a à craindre d’un vol massif de données ?
1. Identifier des comptes personnels associés
Il est fortement conseillé d’utiliser un mot de passe différent pour chaque compte mais cela n’est pas toujours appliqué. Ainsi, il est souvent possible de gagner l’accès à d’autres comptes que celui de la plateforme visée.
Exemple du leak sur “Yahoo!” : - On peut s’attendre à ce que l’adresse mail d’un utilisateur soit utilisée comme
adresse mail d’inscription pour d’autres sites, que l’on peut potentiellement trouver sur les moteurs de recherche à partir du pseudo, nom+prénom ou adresse mail de l’utilisateur visé.
- De la même façon, si le mot de passe ressemble à quelque chose comme “MonSuperMotdepasse!Yahoo“, on peut s’attendre à ce que son mot de passe Facebook ressemble à “MonSuperMotdepasse!Facebook“…
2. Porter atteinte à l’image d’une entreprise ou d’une personne
Il est très courant de retrouver, dans les leaks de données, des données relatives aux entreprises.
Ainsi le leak du site de rencontre Badoo (juin 2016) : l’occasion, d’y retrouver un nom/prénom précis pour voir si telle ou telle personne avait un compte Badoo par exemple, ou a plus grande échelle savoir que plusieurs centaines d’inscrits utilisaient leur mail .gouv.fr (nom de domaine appartenant au gouvernement français) … d’où l’atteinte à l’image de marque.
On comprend alors la réticence des entreprises à communiquer spontanément sur les vols de données les concernant.
L’impact peut là aussi être important au niveau de l’image de l’entreprise et peut même aller jusqu’à une compromission d’accès aux comptes professionnels (comptes en ligne, accès aux applications métier…).
Comprendre l’affaire FACEBOOK (2mn45s)
2.7 millions d’Européens touchés…
https://www.youtube.com/watch?v=KZI9PRg32Pg
Outil pour vérifier si vous êtes concerné :
https://www.facebook.com/help/1873665312923476?helpref=search&sr=1&query=cambri
dge
RGPD : Tous concernés… Chapitre 1 17/19
Que faire pour mieux se protéger des fuites de
données ?
. Un mot de passe différent pour chaque compte,
. Posséder plusieurs adresses email (une pour les services importants type banque et une pour services secondaires (forums, …),
. Favoriser l’authentification à double facteur qui protège mieux l’accès à un compte,
. Modifier fréquemment ses mots de passe (plus de 50% des internautes n’ont pas changé depuis 12 mois),
. Limitez le plus possible les informations renseignées dans les formulaires (n’inscrire que les obligatoires).
3. Construction de listes de spam mail
Comment telle marque de parfum ou tel vendeur d’assurance s’est retrouvé en possession de notre adresse mail ?
Les adresses mails, et plus généralement les données personnelles ont une valeur certaine et la vente/achat d’identité est très courant.
Ainsi, un pirate qui se retrouve en possession des adresses mails de tous les comptes “Linkedin” par exemple, peut facilement établir une campagne de spam ou de phishing avec ces informations.
4. Usurpation d’identité avec les informations complémentaires
Le vol de compte ainsi que la corrélation d’informations retrouvées dans un leak de données peut conduire à une usurpation d’identité, que cela soit sur des réseaux sociaux, des forums ou même des plateformes de vente en ligne.
Hors du monde “web”, vos données restent valables : il est tout à fait possible qu’un pirate se fasse passer pour vous auprès de votre banque simplement par un coup de téléphone.
Plus le pirate disposera d’informations précises sur votre vie privée (adresse postale, nom des enfants, questions secrètes, etc.) plus l’usurpation d’identité sera crédible auprès d’une banque ou d’un autre organisme.
Le Président de la République Française piraté
Septembre 2008 : Nicolas Sarkozy (alors Président de la République française) repère des prélèvements inhabituels sur son compte bancaire privé.
La bande est parvenue à obtenir les coordonnées bancaires de Nicolas Sarkozy avant de faire établir un faux relevé d'identité bancaire (RIB) au nom de l'un d'eux à la Société Générale de Neuilly (Hauts-de-Seine). Ils auraient ensuite ouvert des abonnements téléphoniques à l’aide de ces documents.
RGPD : Tous concernés… Chapitre 1 18/19
11. Une réelle crainte des citoyens vis-à-vis de leurs données
35 % des internautes ont déjà renoncé à
un achat en ligne ou changé de
moyen de paiement pour ne pas laisser de traces sur Internet.
76 % des internautes estiment qu'un label
en matière de protection des
données personnelles aurait une influence sur leur choix de
navigation sur Internet.
Source : Institut Mines-Télécom – Médiamétrie – 2017
Moins de 10 % des personnes estiment avoir un réel contrôle sur leurs données ….
Comme eux : • Vous devez de plus en plus renseigner des données personnelles lors
d’une commande et vous ignorez totalement ce que deviennent les éléments fournis ?
• Vous ne souhaitez pas que vos données soient exploitées à des fins commerciales, surtout si elles sont transmises aux divers partenaires de la plateforme d’où votre commande est effectuée ?
• Vous craignez une divulgation de données confidentielles ou de vos coordonnées bancaires permettant des achats non désirés sur votre compte ?
• Vous avez, sans succès, essayé de vous désabonner de mailing list ou supprimer certaines de vos données personnelles présentes sur internet ?
Les principales craintes évoquées
Les attentes des citoyens…
Face aux risques permanents et aux craintes accentuées par une actualité récurrente de fuites massives de données, les citoyens sont maintenant demandeurs d’une plus grande connaissance et protection vis-à-vis de leurs données.
La communication de France 2 sur le respect des données personnelles
https://www.youtube.com/watch?v=TZ5Uj59uCMU
RGPD : Tous concernés… Chapitre 1 19/19
12. Fin de la première partie
Nous espérons que vous avez apprécié ce premier document et vous invitons à vous procurer la suite (RGPD : Exposition et conséquences) qui aborde les points suivants :
Face aux attentes, quelles sont les réponses aux attentes apportées par le RGPD ?
Quel est votre degré d’exposition et votre responsabilité ?
Quelle est la démarche à adopter pour initier et viser la conformité ?
13. Envie d’en discuter ?
Contactez-moi : [email protected]
