Redstone Consulting SA

- Experts en Cybersécurité et en Protection des données - CISO et DPO externes -

Category Archive News

ByRedstone admin

Etude sur le métier de DPO

Enquêtes et statistiques sur les DPO en France !! Très intéressant !

De quel milieu viennent les DPO, combien en France, interne, externe, plein temps, autre ? bref plein de réponses !!

Rappel : Redstone peut être votre DPO externe ! Demandez nous des informations.

AFCDP – Etude sur le métier de DPO

ByRedstone admin

Fuite de données médicales

Hack de données patient…. il faut redoubler de prudence en ces temps de COVID

La collècte de donnée augmente, il faut assurer la Confidentialité, l’Intégrité et la Disponibilité des données.

Si vous avez des questions, Redstone est là pour vous aider !

Medical data of 500,000 French patients leaked online – The Local

ByRedstone admin

Plus gros leak de comptes et pass au monde !

Plus gros #leak de #password au monde, et presque pas de news !

3 millards de comptes, pass,… Linkedin, Nextflix, Gmail…

Bref changez votre password, et vite !!! (et pas pour abc123 si possible 🙂

#Hack #Netflix #Gmail #Linkedin

What You Need to do Following the Biggest Ever Data Leak | Tech.co

ByRedstone admin

Des explications pour la votation LSIE du 07 mars

Bonjour, jai compilé quelques sources d’information, et ajouté quelques points pour que vous puissiez vous faire une opinion !

Rappel – Historique de la LSIE

·      Le 13 mai 2015, l’Office fédéral de la police ouvre une consultation informelle sur le concept pour des systèmes d’e-ID suisses reconnus par l’Etat. Cette consultation s’est achevée le 5 juin 2015.

·      Concernant les identités électroniques reconnues par l’Etat (e-ID), le Conseil fédéral mise sur des systèmes développés par le marché. L’Etat doit se concentrer sur la définition du cadre juridique et la mise à disposition des données d’identité.

·      Le 22 février 2017, le Conseil fédéral envoie en consultation une loi fédérale sur les services d’identification électronique (loi e-ID).

·      Le 15 novembre 2017, le Conseil fédéral prend acte des résultats de la procédure de consultation et charge le Département de justice et police (DJFP) d’élaborer un message.

·      Le 1er juin 2018, à l’issue d’un examen approfondi, le Conseil fédéral a publié le message relatif à la LSIE. Cette dernière a ensuite été débattue devant les Chambres fédérales.

·      Les débats parlementaires ont lieu en 2019, et le 27 septembre 2020 les 2 chambres adoptent le texte avec une nette majorité. (179 voix contre 53 au total pour les deux chambres)

·      Le projet de loi avait toutefois suscité de vifs débats concernant le recours à des entreprises privées pour l’émission de l’e-ID. C’est cet aspect qui a motivé l’organisation d’un référendum.

·      En effet, un référendum a été déposé en février 2020 avec plus de 55 000 signatures pour dénoncer l’absurdité de faire appel aux grands groupes privés suisses pour fournir nos prochains «passeports numériques».

·      Le 12 février 2020, la Chancellerie fédérale confirme l’aboutissement du référendum.

·      En mars 2021, le peuple suisse sera donc amené à se prononcer sur le projet de loi fédérale concernant les services d’identification électronique (LSIE).

Qu’est-ce que l’identité électronique ?

Dans ce contexte où nous utilisons de plus en plus de services sur internet, que ce soit pour faire des achats ou pour obtenir des services publics ou privés, il est nécessaire de s’identifier. Ce processus se fait généralement par l’intermédiaire d’un nom d’utilisateur et d’un mot de passe. Véritable problème de sécurité, responsable de nombreuses failles, nous en possédons tous d’innombrables, identiques ou différents de quelques caractères, rarement complexes, dispersés sur nos ordinateurs, tablettes, téléphones, aux quatre coins du web et de notre mémoire. Si il sont majoritairement peu sûrs, cela implique qu’ils sont facilement falsifiables, susceptibles d’être volés, revendus ou encore usurpés par des personnes malveillantes (hackers).

Certaines fois, ces identifications passent encore par des démarches artisanales, comme la vérification d’une adresse email ou d’une photo de documents d’identité. Comme aucune loi suisse n’encadre jusqu’ici ces procédures, le Conseil fédéral a décidé de clarifier la chose et, «soucieux que seul l’Etat puisse vérifier et confirmer officiellement l’existence d’une personne et les éléments de son identité», il a enjoint au parlement de légiférer sur une sorte de nouveau «passeport numérique» individuel comprenant les données personnelles de chacun: nom, prénom, lieu et date de naissance, état civil, sexe, nationalité(s) et une photographie.

Le projet suisse prévoit quoi ?

Le projet de loi prévoit donc que des fournisseurs du secteur privé (des « Identity Provider » (IdP)) fournissent les identifications électroniques et que l’Etat surveille le processus ; toutefois, si aucun fournisseur ne se présente, l’Etat peut intervenir et délivrer lui-même les e-ID. Ce scénario paraît toutefois improbable, puisque SwissSign (consortium formé de sociétés proches de l’Etat, d’établissements financiers, de compagnies d’assurances et de caisses maladie dont les CFF, La Poste, Swisscom, Credit Suisse, UBS, la Bâloise, la Vaudoise et Helvetia) s’est d’ores et déjà annoncé prêt à remplir ce mandat.

La loi prévoit par ailleurs la possibilité d’avoir plusieurs fournisseurs différents, avec l’obligation de se reconnaître les uns les autres et de garantir une interopérabilité, dont les prix et prestations pourraient potentiellement varier.

Enfin, pour s’assurer que le secteur privé remplisse sa mission correctement, la loi prévoit la création de deux nouveaux organismes :

·      Le service d’identité, rattaché à l’Office fédéral de la police (Fedpol), qui sera chargé de contrôler l’exactitude des données d’identification personnelle avant l’établissement de l’e-ID.

·      La Commission fédérale indépendante des e-ID (EIDCOM), qui devra certifier les fournisseurs d’identités numériques (IdP) dès lors que le résultat de l’examen du dossier est positif et surveiller la bonne application de la loi.

Concrètement, comment fonctionnera l’e-ID?

Tout citoyen qui souhaitera obtenir une identité numérique – elle n’est pas obligatoire – devra contacter le fournisseur privé (IdP) chargé de leur émission.

La demande reçue, ce dernier la transfère aux autorités, qui demandent confirmation auprès du citoyen avant de faire parvenir ses données au fournisseur, qui peut alors établir le précieux sésame.

Une fois la clé d’identification en possession de l’usager, l’Etat sort de l’équation. Dès cet instant, à chaque fois qu’un particulier utilise son passeport web pour faire un achat, commander un document officiel ou encore signer un contrat, il revient uniquement à l’entreprise privée chargée de l’émission du justificatif de confirmer son identité. La loi prévoit que les nouvelles e-ID puissent être délivrées selon trois degrés de garantie différents : «faible», «substantiel» et «élevé». Les différents degrés de prestations privées ou publiques auxquelles ces derniers donneront accès, ainsi que leur prix, ne sont pour l’instant pas connus. A noter que les données générées par l’utilisation de l’e-ID devront être détruites après six mois.

Qui est en faveur de la loi et pourquoi ?

Le Conseil fédéral et les partis bourgeois supportent la loi, cependant il faut noter que plusieurs membres de l’UDC, du PDC et du PLR s’y opposent.

Le Conseil fédéral rétorque aux référendaires qu’avec cette loi, la Confédération conserve sa fonction souveraine en vérifiant et confirmant l’identité d’une personne à l’aide des registres dont elle dispose. Dans son communiqué, Digitalswitzerland affirme qu’une identité électronique approuvée par l’Etat est à la base de nombreuses innovations numériques. Et de souligner qu’un vote négatif creuserait encore le retard de la Suisse dans ce domaine.

La Conférence des gouvernements cantonaux (CdC) entre davantage en matière sur la question de la collaboration public-privé, en citant les exemples des pays ou cela marche déjà.

Qui est contre la loi et pourquoi ?

Pour rappel, les 50 000 signatures nécessaires au référendum ont été récoltées par un comité citoyen formé de l’association Public Beta, qui gère notamment la plateforme WeCollect, portail soutenant l’aboutissement d’initiatives et de référendums en ligne, et de l’association Société numérique, qui vise la protection des internautes. Huit cantons, Vaud, Genève, Neuchâtel, Schwytz, Zoug, Bâle-Ville, Obwald et Soleure sont également opposés au projet de loi. Le référendum a aussi les faveurs du Parti vert’libéral, des Verts, du Parti pirate et du PS.

Les référendaires ne sont pas contre l’introduction d’une e-ID reconnue par l’Etat mais s’opposent à l’implication d’entreprises privées – « tout en lui permettant d’en tirer du profit». Ils dénoncent un projet «à contre-courant de la prise de conscience mondiale de la toute-puissance des entreprises sur le web», qui «menace la souveraineté de l’Etat» et pourrait introduire de «graves discriminations entre citoyens» du fait des divers degrés de protection prévus – vraisemblablement disponibles à des prix différents. L’e-ID doit absolument être la même pour tout le monde et son émission doit revenir à l’Etat et à l’Etat seul, soulignent les référendaires. D’autant, disent-ils, qu’elle pourrait un jour servir à voter en ligne.

Sources :

Page dédiée sur le site de l’OFJ : Loi fédérale sur les services d’identification électronique (admin.ch)

Votations de 2019 : 18.049 | Loi sur les services d‘identification électronique | Objet | Le Parlement suisse (parlament.ch)

Article du temps : L’identité numérique, ou la question de la souveraineté étatique en ligne – Le Temps

Association Suisse des banquiers : Identification électronique (e-ID) — Association suisse des banquiers (swissbanking.org)

ByRedstone admin

Hausse de sanctions #RGPD en 2020

Une hausse des sanctions financière substancielle malgré le #COVID19

Ce que je note de mon coté, c’est que suivant le pays, le comportement des autorités est très différent :

– On prononce moins de sanction, mais plus importante : France, Irelande

– On prononce un tas de petites sanctions : pays de l’est entre autre

Donc attention, suivant où vous operez, le risque n’est pas le même !!

Et vous, vous avez déjà eut affaire à une autorité de protection des données ? Redstone est là pour vous aider !!

https://www.infosecurity-magazine.com/news/gdpr-fines-surge-39-over-past-year/

ByRedstone admin

RGPD – Amende pour une université

L’université de Umeå récolte environs 55000€ d’amende pour avoir stocké des données sensibles, sans les avoir correctement protégées.

Petit rappel, pour traiter des données sensibles (et donc les stocker), il faut une base légale, et surtout, surtout bien les protéger !

https://portswigger.net/daily-swig/swedish-university-fined-66-000-for-gdpr-violations

ByRedstone admin

Whatsapp et Facebook

Whatsapp conditionne son accès au transfert des données à Facebook !!

https://arstechnica.com/tech-policy/2021/01/whatsapp-users-must-share-their-data-with-facebook-or-stop-using-the-app/

Pour info il existe des alternatives comme Signal.

ByRedstone admin

RGPD et Brexit

Bonne année, et meilleurs voeux pour 2021 !!

News de la reprise : RGPD et Royaume Unis : encore valable 6 mois !!!

https://www.lesaffaires.com/monde/europe/le-rgpd-en-sursis-au-royaume-uni/622131