À emporter: L'animateur Eric Kavanagh discute du futur règlement général de l'UE sur la protection des données et de ses effets sur le secteur. Il est accompagné de William McKnight de McKnight Consulting Group et de Kim Brushaber de IDERA.
Vous n'êtes actuellement pas connecté. Veuillez vous connecter ou vous inscrire pour voir la vidéo.
Eric Kavanagh: OK, mesdames et messieurs, bonjour et bienvenue à nouveau. C’est mercredi à 16 heures, heure de l’Est, ce qui signifie une nouvelle fois - une des dernières fois en 2017 - pour Hot Technologies. Oui, en effet, je m'appelle Eric Kavanagh. Je serai votre modérateur pour l’événement d’aujourd’hui. Nous parlons d’un sujet qui va loin, pour le moins. À l’heure actuelle, cela ne semble pas être le cas: le concept de GDPR, le règlement mondial sur la protection des données. Allons de l'avant et plongeons droit dans ceci, ce n'est pas vraiment le vôtre, mais assez de moi. Cette année est chaude, très chaude à bien des égards, mais les règlements imminents de GDPR et d’autres organisations nous forcent très franchement à nous obliger à repenser ce qui se passe dans le monde des affaires, plus précisément comme résultat, ou en ce qui concerne les données. Nous entendrons Kim Brushaber de l’IDERA ainsi que William McKnight du groupe de conseil McKnight.
Quelques mots rapides sur le sujet, chers amis. Le GDPR indique essentiellement que les organisations doivent avoir une politique de sécurité d'abord et de sécurité en ce qui concerne les données. En fait, il s'agit de certaines choses que vous avez peut-être entendues - tout le droit d'être oublié, par exemple, fait partie intégrante de tout ce moment, et c'est très intéressant. C’est certainement valable en termes de principes et d’éthique. En termes de mise en œuvre réelle, cependant, c’est un défi assez sérieux. Le droit à l'oubli signifie que si vous souhaitez que certaines organisations ne disposent pas de vos données personnelles, elles doivent les supprimer. Eh bien, vous pouvez imaginer, quand certains de ces environnements de données vraiment hétérogènes, seront difficiles. Pour pouvoir accéder à tous les endroits où vos données sont persistantes et les extraire, cela ne va tout simplement pas se produire, c’est l’essentiel. Néanmoins, les organisations doivent avoir des politiques en place afin de pouvoir répondre à ces préoccupations, et c’est ce que les régulateurs, je suis presque sûr, vont rechercher.
C’est un gros problème. Non seulement l’organisation doit supprimer vos données si vous le dites, mais si elles ont formé des algorithmes sur ces données, elles sont techniquement censées les reformer. C’est un défi de taille, je dois vous le dire, mais c’est à venir, c’est la réalité, ce sera une réalité en mai de l’année prochaine et il existe également d’autres règlements. Le Canada a adopté une loi antispam qui a un impact sur la façon dont nous traitons les informations personnelles. La neutralité de l'internet est en train de faire rage, maintenant, bien sûr, elle a été déracinée, essentiellement, et cela va changer certaines choses. Un grand nombre de ces réglementations très sérieuses affectent les entreprises du monde entier et du monde entier, auxquelles les grandes organisations doivent vraiment commencer à réfléchir et à se préparer.
Pour cela, nous avons contacté William McKnight de McKnight Consulting Groups pour nous dire ce qu’il en pense et pourquoi GDPR n’est en réalité que la partie visible de l’iceberg. Sur ce, William, je vais vous le remettre. Emportez-le.
William McKnight: Merci, Eric, et comme vous le dites, comme le dit la diapositive, ce GDPR est peut-être la partie visible de l’iceberg - c’est certainement ce que nous pensons. Il est important que nous approfondissions le GDPR de manière approfondie, car je pense que cela représente une vague de réglementation à venir. Heureusement, Eric, il existe des normes raisonnables relatives à ce droit d’être oublié, que je vais comprendre. Néanmoins, quand je parle cette année du GDPR, j’estime que de nombreuses entreprises, en particulier les entreprises américaines, ne sont pas encore préparées à cela. Il fait définitivement chaud et nous ne pensions pas à cela il y a un an, alors qu'ils essayaient de mettre en avant certaines choses, mais maintenant c'est un règlement et nous devons nous en occuper en, comme vous l'avez dit, Eric, May arrive à point. ici - donc pas si loin du tout.
Un peu de moi, je vais aborder cette question du point de vue des données. Pour vous faire savoir que je suis une personne permanente dans le domaine des données, je travaille maintenant dans le domaine des données depuis 19 ans et que le GDPR est une affaire de données. Je vais présenter un ensemble de solutions ici, en abordant ma présentation sur la gouvernance des données. De toute évidence, j'ai participé à beaucoup de programmes de gouvernance des données et je pense que si vous vous conformez à ce concept, vous faites de la gouvernance des données, de nombreuses entreprises vont être assez loin dans la voie. En réalité, pour se conformer au GDPR, mais il y en aura beaucoup, et le plus franchement, qui sont en retard dans la gouvernance et donc tout à fait en retard dans leurs préparatifs pour le GDPR. Voyons le niveau défini ici et comprenons ce que signifie le GDPR. À mesure que nous approfondirons la conversation, nous entrerons davantage dans les ramifications du GDPR sur la vie des affaires à l’avenir dans la nouvelle année et au-delà.
Le GDPR est destiné à la confidentialité des données des citoyens de l'Union européenne. C’est un règlement - ça veut dire qu’il a des dents, ça veut dire qu’il est exécutoire. Ce n’est pas une suggestion qui a été faite - c’est déjà arrivé et maintenant cela a été transformé en un règlement avec des pénalités. J'aime commencer par les pénalités car cela attire vraiment l'attention des gens. Ce sont des pénalités sévères. Deux pénalités, soit 2% du chiffre d’affaires annuel mondial ou 10 millions d’euros si une entreprise ne respecte pas ses obligations en matière de sécurité, mais tout le reste, en violation d’autres dispositions - et j’y entrerai - 4%. Vous entendez dire environ 4%. Et au fait, c’est 4% ou 10 millions d’euros, le plus élevé des deux. C'est très raide. Les gens sont très sérieux à ce sujet. En vigueur à partir du 25 maith, 2018 - c’est une date clé, c’est le moment où les vérifications peuvent commencer, le moment où vous pouvez obtenir votre amende. Vous voulez certainement être prêt pour cela. Toutes les entreprises avec lesquelles je fais affaire, je traite avec beaucoup d’entreprises de Global 2000, elles sont quelque part dans leur préparation du GDPR, certaines plus que d’autres et certaines doivent être plus que d’autres à ce stade. Certes, il sera difficile de respecter cette date pour certains, et nous verrons.
C’est le régime de conformité de la confidentialité des données le plus complet que nous ayons vu à ce jour. Quand nous verrons quelque chose de plus raide ou qui touchera peut-être plus directement la population américaine, qui sait, mais c’est là-bas et il faut absolument y adhérer. Les organisations doivent comprendre les informations personnelles identifiables, le numéro de sécurité sociale, le numéro de téléphone, l’adresse, les informations identifiables personnellement, la sécurité sociale, tout ce qui peut identifier une personne de manière unique ou assez simplement une personne. Ce qu’ils ont et comment ils l’utilisent. Cela signifie inventaire. Cela signifie une réglementation au sein de vos propres entreprises autour de ce type de données. En passant, les États-Unis n’ont pas de loi nationale sur la protection des données. Les États-Unis ont toujours été - je dirai derrière, pour mettre les choses en perspective - derrière l’Europe en termes de ce type de réglementation, et cela continue. Cela continue avec le GDPR, c’est assez évident. Certains d’entre vous connaissent peut-être le bouclier de protection de la vie privée, vous vous demandez peut-être à ce sujet. Le RGPD comporte environ trois ou quatre dispositions qui recoupent quelque peu le bouclier de protection de la vie privée, mais il en existe une centaine. C'est donc bien plus que cela et, bien sûr, il existe toujours et concerne l'échange de données entre les États-Unis et l'Union européenne. seulement, bien que ce soit important.
Encore une fois, j'aime bien commencer par les chiffres. Vous avez entendu parler des amendes, comment vous y êtes vous préparé. La budgétisation pour le GDPR et ce faisant, cela dépend de deux facteurs. La quantité de données PII que vous collectez sur les citoyens de l'UE. Si vous ne collectez rien, OK, vous êtes probablement conforme et n'avez pas à vous en occuper, mais vous êtes probablement sur cet appel parce que vous en collectez quelque part. La taille de votre entreprise et la maturité de votre gouvernance des données, qui, comme je l’ai déjà dit, risquent d’être proches de ce que vous devez faire pour répondre au GDPR. Vous pouvez vous attendre à plusieurs millions USD ou euros, le cas échéant, de conformité. Cependant, nous voulons, nous ne voulons pas simplement nous conformer au GDPR, cocher cette case, bien sûr, nous devons le faire. J'espère que vous n'êtes pas dans cette situation plus grave où vous êtes juste désespéré de cocher cette case. Recherchez des avantages commerciaux, car bon nombre de choses que vous faites pour soutenir GDPR sont bonnes pour votre entreprise. La gouvernance des données est bonne pour votre entreprise. En ce qui concerne la quantité de données PII, certaines sont plus importantes que d'autres, certaines vont être examinées plus attentivement que d'autres, comme la santé liée aux données, elles seront réglementées beaucoup plus rigoureusement dans le RGP que d'autres types de données et nécessiteront la conformité. avec des obligations supplémentaires telles que la réalisation d’analyses d’impact sur la protection des données, ce qui, évidemment, augmente votre budget.
Peu de choses sur la budgétisation. Au cas où vous êtes au Royaume-Uni ou aux États-Unis et vous vous demandez comment cela vous affecte - le GDPR concerne le Royaume-Uni, qui est toujours dans l'UE, soit dit en passant, jusqu'au 29 marsth gouvernement de 2019 et dont le gouvernement a indiqué que le GDPR continuerait après cette date, car «c’est une bonne idée». Les entreprises du Royaume-Uni doivent la respecter. Les données sur les citoyens britanniques sont certainement sur la table pour cela. Si cela n’est pas clair, il existe des entreprises basées aux États-Unis, si vous traitez dans l’UE avec des données sur les citoyens de l’UE, cela s’applique certainement à vous. Cela a des conséquences sur votre architecture de données car vous risquez de devoir bloquer toutes vos données européennes et de les traiter différemment. Comme le disait Eric, cela affecte l'analyse, dans la manière dont vous compilez ces analyses, etc. Il sera peut-être plus difficile maintenant de mettre en place des analyses globales à l’échelle du concept. Ils peuvent devenir plus localisés à la suite de GDPR.
Qu'y a-t-il dans les provisions? Il existe des normes de protection des données. Celles-ci dictent le cryptage des données au repos et en mouvement. Je parlerai ensuite du cryptage. Il existe des normes de notification de violation de données. Plus besoin d'attendre des mois, des trimestres pour que tout le monde sache. Je pense qu'il y en a eu un important l'autre jour et nous avons découvert «Oh, c'est arrivé il y a un an». Rien de tout cela avec le GDPR, vous avez 72 heures. C’est une politique de nom et de honte. J'espère que personne n'y parviendra, certaines personnes le feront clairement. Les violations continueront, même après le GDPR, bien sûr. Il existe des processus pour surveiller l'emplacement et la qualité des données. Semble familier? C’est vraiment le cœur de la gouvernance des données. J'espère que vous en avez quelques-uns.
Les citoyens de l'UE ont le droit d'être oubliés, comme Eric l'a mentionné. Il existe certaines normes de raisonnabilité à cela, Eric. Vous n'êtes pas obligé de tout effacer nécessairement si vous devez contacter à nouveau ce client, cet employé, vous êtes autorisé à conserver certains aspects de leurs données personnelles. Mais, néanmoins, ces citoyens ont le droit d’être oubliés, mais il ne peut y avoir aucun effort démesuré - c’est le langage - qui vous porte préjudice à la société, c’est à vous d’effacer vos données. Je ne veux pas le minimiser, mais vous devez également publier des copies des données personnelles conservées et vous ne pouvez obtenir ces données qu’avec le consentement. Ce consentement doit être donné par des personnes ayant l'âge minimum requis pour accorder une telle permission. C’est une bouchée, mais cela donne aux citoyens beaucoup de droits sur leurs données. C’est la portabilité ici, au cas où cela se produirait. Le droit à l’oubli, c’est clair, mais aussi - et c’est quelque chose qui ne figure pas sur ma diapositive - que la personne concernée aura le droit de ne pas être soumis à une décision fondée uniquement sur un traitement automatisé. À quoi avons-nous bougé? Le traitement automatisé, autour de l’acceptation du prêt, des offres que nous allons donner, doit être réglé en fonction de la manière dont cela va se dérouler et de la mesure dans laquelle cela va se passer. Ce que cela signifie essentiellement, c'est la transparence sur la raison pour laquelle j'ai été rejeté, pourquoi je suis traité d'une certaine manière par cette société. C'est un droit en ce moment, étant accordé à un citoyen de l'UE.
De toute évidence, notre façon de faire des affaires a des ramifications et nous espérons que vous constaterez que le GDPR n’est pas un problème informatique, pas un problème uniquement informatique. Tous ces processus commerciaux sont impliqués. Cela impliquera des personnes de toute l'entreprise. La nomination d’un responsable de la protection des données est recommandée pour les entreprises de plus de 250 employés et vous maîtrisez le «calcul critique avec les données de l’indice PII de l’UE». Vous pouvez décider vous-même si vous avez ce calcul critique, c’est parfois évident, c’est parfois faux. Mais, il y a un nouveau rôle - il ne doit pas nécessairement être un rôle à temps plein, la personne peut avoir d'autres responsabilités, mais je ne le sais pas - dans certaines grandes et moyennes entreprises, je pense que l'adhésion au RGP va être proche d'un rôle à temps plein. Je dirais de commencer comme ça et de voir si vous pouvez y faire face. Surtout au cours de la prochaine année, lorsque vous vous mobiliserez autour du RGPD, une fois que tout sera en place, vous pourrez peut-être ralentir le travail à ce sujet, mais cela demandera beaucoup de temps à certaines entreprises. Permettez aux individus de voir leurs propres données et leur propre portabilité, comme je l’ai déjà mentionné.
Soit dit en passant, tout n’est pas nouveau, mais croyez-le ou non, le droit à l’oubli existe bel et bien. Les règles actuelles de l'UE prévoient déjà le droit de supprimer ou de rendre indisponibles les données à caractère personnel. Cependant, maintenant cela fait partie du RGPD, il sera appliqué beaucoup plus largement. Cryptage des données - Cryptez vos données au repos. Utilisez des méthodes de cryptage standard, n’utilisez pas votre propre cryptage local ou non standard. AES est l'un de ceux que nous recommandons un peu. Utilisez des clés de chiffrement sécurisées par cryptographie. Changer ces clés périodiquement. Empêchez également la perte de ces clés. Ce ne sont que de bonnes pratiques en matière de cryptage, mais elles passent maintenant au premier plan avec le GDPR. C’est là que réside le problème: je n’ai atteint que la partie émergée de l’iceberg. Il y a évidemment plus de dispositions à examiner, mais ce sont les principales.
Maintenant, solution. La gouvernance des données, le cadre de votre conformité, du moins la perspective que je vous présente ici. Heureusement, il existe une discipline bien exercée qui, une fois parvenue à maturité, répond à la plupart des exigences et à la gouvernance des données - c’est bien ce que je dis. Les programmes de gouvernance doivent avoir un glossaire de données. J'utilise ici le glossaire de données au sens générique pour désigner la documentation de manière globale pour vos processus. C’est fondamental pour répondre aux besoins en inventaire du GDPR, qui, comme nous l’avons vu, sont immenses. Le programme, le programme de gouvernance, devrait faciliter les protocoles de sécurité des données - et je le souligne car beaucoup de programmes de gouvernance de données ne le font pas actuellement, mais je pense que c'est un endroit logique pour cela car ils assis sur le programme qui détermine qui sont les propriétaires d'entreprise? Qui a besoin de le voir? Ensuite, l'étape suivante consiste à accorder ces autorisations. Cela doit être centralisé, formalisé. Des règles internes doivent être utilisées. L'intendance doit être assignée à tous les éléments pour apporter une contribution à tout ce qui précède. La gouvernance des données peut également faciliter l’ingénierie des processus métiers, ce qui sera nécessaire.
Avant de quitter cette diapositive, les entreprises adopteront de saines pratiques commerciales en guise de sous-produit afin d'éviter les lourdes amendes. J'aime dire que c’est plus qu’un sous-produit, mais c’est en fait une activité saine et de qualité qui peut vous conduire dans de nouveaux endroits d’un point de vue commercial. Certes, vous obtiendrez beaucoup d’efficacité pour mener à bien toutes les initiatives. Si vous avez une bonne gouvernance des données, c’est ce que j’ai vu au fil des ans. En ajoutant certaines de ces choses que je mentionne, à la gouvernance des données, elles ne feront que s’améliorer. Dans l’ingénierie des processus de votre entreprise, nous vous recommandons de poser ces questions à tous les niveaux, touchant tous les domaines d’activité. Quel type de données recueillons-nous sur nos clients européens? Je ne les lirai pas tous. Certaines des clés ici. Qui a besoin de voir ces données et cela est-il suivi? Qui est le responsable des données pour ces données? Qui est ma personne de référence dans l'entreprise? C'est un gros problème: partageons-nous ces données avec des tiers? Le fait que vous les transmettiez à un tiers ne vous dispense pas de la responsabilité qui vous incombe en ce qui concerne ces données - elles restent vos données, celles que vous avez collectées. De nombreux contrats conclus avec des tiers font actuellement l'objet d'un examen approfondi à la suite du GDPR. Ces systèmes ont-ils des défaillances déterministes? Ce qui signifie quand ils échouent, ils échouent dans un chemin que nous avons prédéterminé, ou juste ont-ils échoué, sont-ils tombés en panne, sont-ils brûlés et nous partons de rien en creusant dedans? Ce sera évidemment beaucoup mieux. C’est déjà une bonne pratique, mais de toute évidence, c’est beaucoup mieux pour la rétro-ingénierie, si vous rencontrez de grandes défaillances déterministes dans votre système.
La conservation des données, nous parlons depuis toujours de la conservation des données. De nombreuses entreprises ont des politiques, mais elles ne les respectent pas toutes. De toute évidence, dans les domaines de la santé et de la finance, nous voulons conserver des données, nous devons les conserver pendant un certain nombre d'années. Certains des analystes de ces entreprises qui conservent des données pendant sept ans ou plus, disent: «Oh, après cette période, je veux encore ces données». Certains avocats de ces entreprises disent: «Mais nous devons nous en débarrasser. à des fins de responsabilité », etc. Cela ne peut tout simplement pas rester en place, ce qui pose problème plus longtemps avec GDPR. Nous devons avoir une période de conservation, qui doit être suivie systématiquement dans l’ensemble de l’organisation.
Et enfin, comment vous mobilisez-vous pour une violation de données? Ces pires scénarios qui pourraient vous arriver. Évidemment, nous essayons de les prévenir, mais que se passe-t-il si cela se produit? Comment mettez-vous en garde contre le problème et assurez-vous de respecter à présent les dispositions du RGPD dans votre réponse? Je suis un architecte de données, je pense à l’architecture de données. Si vous êtes une société basée aux États-Unis avec des opérations dans l’UE, c’est-à-dire des données sur les citoyens de l’UE - vous les collectez, vous devrez déterminer si vous souhaitez appliquer les normes de protection des données à toutes les données ou uniquement aux données de l’UE. Oui, j'ai des clients qui prennent cette décision maintenant. En tant que pratique commerciale sensée, ils pourraient vouloir transmettre cela aux États-Unis. Ils pourraient avoir l’impression d’avoir le temps, mais cela nous amène au point deux. Si vous ne pouvez pas garantir que les systèmes américains géreront les données de manière appropriée, vous devrez peut-être exclure les données européennes des systèmes américains. Est-ce que cela sépare les données aux fins de l'analyse? Les analyses sont-elles même valables si vous essayez de les faire d’un pays à l’autre? Parfois oui, parfois non, non? Vous constaterez peut-être que votre analyse va être mise en sourdine.
Comme je l'ai déjà mentionné, l'intelligence artificielle joue ici parce que nous pouvons évidemment utiliser l'intelligence artificielle pour rechercher toutes les données, nous aider à trouver toutes les données, mais si nous utilisons l'intelligence artificielle dans nos interfaces client, nous devons maintenant disposer de transparence avec notre client. interfaces et cela n'a jamais été le point fort de l'IA. Pour essayer de dire à un client: «Vous avez été rejeté parce que bla, bla, blah», alors qu'en réalité c'était AI. Cela doit maintenant être fait. Nous devons comprendre comment fonctionne l'IA, quels sont les facteurs? Vous ne pouvez plus rester là et être une boîte noire pour vous. Qu'est-ce qu'on fait maintenant? Établissez votre conseil GDPR. Je suggère que vous ayez votre agent principal à la protection de la vie privée ou, si vous avez un agent à la protection des données, évidemment cette personne. Les responsables de la gouvernance des données, du risque opérationnel et / ou de la conformité, s’ils s’appliquent, le responsable informatique, le CIO si c’est la personne. Si vous avez changé de membre de la direction, ce serait une personne formidable. Juste les chefs des départements les plus importants de votre entreprise, ainsi que le responsable des ressources humaines, car la formation à la protection de la vie privée va maintenant être énorme. Tout le monde va suivre une formation en matière de protection de la vie privée ou devrait le faire dès son embarquement dans une entreprise, même des consultants.
Si vous ne faites pas ce que vous voyez ici, vous allez devoir agir plus rapidement que vous ne le souhaitez. Vous devez également commencer à espérer que vous n’êtes pas l’un des premiers à être audité, car franchement, il ya beaucoup de travail ici si vous partez de zéro et que vous gérez beaucoup de données sur les citoyens de l’UE. Louez votre DPO, inventoriez vos données et vos processus. Construisez ce plan pour la gouvernance des données, allez de là où il se trouve, là où il doit être. Le cas échéant, vous voudrez peut-être commencer. Fabriquez vos politiques de confidentialité et vos avis de politique. Les politiques de confidentialité sont internes. Les avis de politique deviennent externes. Nous constatons qu'une culture commence à être créée maintenant autour des avis de politique. Beaucoup de comparaisons et de formulations soigneuses ont été faites autour de ces avis de politique. Chargez une vérification de conformité GDPR pour tous les systèmes, y compris les nouveaux systèmes. Vous devrez peut-être les séquencer et les faire dans un ordre d'importance quelconque, mais c'est une autre façon de résoudre le problème. Examinez les systèmes et ce qu’ils sont censés faire et comment ils gèrent ces données.
Qu'est-ce que le signal GDPR? C’est ce dont nous sommes ici pour parler un peu plus. J'attends avec impatience ce que Kim a à dire à ce sujet. Le GDPR est une évolution des contrôles de la confidentialité des données vers la réglementation. C’est une tendance à la transparence, cela est dit dans les dispositions. Nous avons créé cette culture d’avis de confidentialité, comme je l’ai dit plus tôt. Nous allons assister à des conférences sur les avis de confidentialité, etc. Le changement dans le RPGD est orienté vers les droits fondamentaux des personnes. Les questions ouvertes seront résolues. Il y a des questions clairement ouvertes, j’en ai laissé quelques-unes sur la table pour nous. Personne n'a la réponse. Ils vont être mis au point. Une tendance à une meilleure compréhension par les individus de leurs données et de leur utilisation. Je pense que cela a sensibilisé la population de l'UE à l'importance de leurs données et à la considérer comme l'un de leurs avoirs personnels, dont ils ont besoin pour gérer davantage. C’est quelques-uns des premiers signaux que j’ai vus, et Eric, je vais vous le transmettre maintenant.
Eric Kavanagh: Très bien, laissez-moi remettre les clés à Kim, qui peut partager une partie de son point de vue, mais je pense que c’était un bon aperçu, William, et vous avez cerné les points clés - à savoir que cela va de soi, c’est certain, et nous avons à tous être très prudent, très franchement. Sur ce, laissez-moi remettre les clés à Kim et vous pourrez partager votre écran et le prendre à partir de là.
Kim Brushaber: Salut, tu m'entends?
Eric Kavanagh: Je peux t'entendre.
Kim Brushaber: Impressionnant. William a couvert certaines des choses que je vais couvrir, mais je pense qu’elles méritent d’être couvertes à nouveau car elles sont vraiment importantes. Je pense que lorsqu’un nouveau règlement est adopté, il est très utile de connaître le point de vue et l’interprétation de nombreuses personnes afin que quelque chose vous vienne à l’esprit et vous permette de devenir encore plus en conformité. Je suis encouragé par toutes les personnes participant à cet appel qui veulent en savoir plus car je pense venir le 25 maith, il peut y avoir beaucoup de panique pour les entreprises qui sont poursuivies après, ne pas être en conformité.
Je m'appelle Kim Brushaber, je suis chef de produit senior chez IDERA. J'ai plusieurs produits sous moi qui aident à la conformité au GDPR ainsi qu'à d'autres réglementations. Je vais sauter dans certaines informations. Je vais commencer par quelques faits et quelques chiffres, puis un peu plus en avant sur le RGPD, puis sur la manière dont nos outils peuvent vous aider. Un fait est que plus de 5 millions d’enregistrements de données sont perdus ou volés chaque jour. Nous n'entendons pas parler de cela aux nouvelles, nous ne l'entendrons pas venir d'autres endroits, mais plus de 5 millions d'enregistrements de données sont volés tout le temps, juste sous nos pieds. Le nombre médian de jours que les attaquants restent en veille sur votre réseau est de 200 jours. De nombreux systèmes sont déjà infiltrés par des personnes qui - avec des intentions malveillantes - attendent simplement l’opportunité de capitaliser sur vos informations, principalement dans le domaine de la sécurité et des certificats, mais elles attendent juste le moment de leur apparition. C’est pourquoi il est de plus en plus important de gérer la sécurité de vos données. Le coût moyen d'une violation de données unique en 2020 devrait dépasser 150 millions de dollars, à mesure que davantage d'infrastructures commerciales seront connectées à des ressources en ligne et que de plus en plus de choses passeront dans le cloud. C’est un bon budget si vous êtes vraiment préoccupé par la sécurité des données, que vous pouvez donner à votre équipe de direction, pour lui dire que c’est une affaire sérieuse qui pourrait nous coûter très cher.
Je vais passer brièvement en revue la violation de données à Equifax, car je pense que c’était la plus grande violation de données de 2017, afin de brosser un tableau de ce que c’était de vivre cela. La brèche a touché 145,5 millions de clients. Les employés ont reconnu le problème de sécurité lié à leur application Web deux mois avant la violation. Les employés disaient: «Ceci est un problème». Et même un peu avant, c'était lorsque le correctif est sorti. Une fois la faille survenue, il a fallu une journée entière pour réagir et mettre l’application Web hors ligne. Étant donné qu’Equifax n’avait pas de protocole de sécurité des données défini, il leur a fallu beaucoup de temps pour comprendre ce qui se passait et pouvoir ensuite mettre le système hors ligne. Six semaines après la violation, le public a été alerté. Avec GDPR - comme nous l’avons dit plus haut et je le répète, vous devez faire rapport dans les 72 heures, et Equifax aurait eu les mains liées et aurait été incapable de respecter cette conformité car ils avaient attendu six semaines pour le signaler. La communication pour réagir à la violation comprenait un site Web qui n'était même pas la propriété d'Equifax. Equifax eux-mêmes retweetait ce tweet qui n’était même pas dans leur domaine - ils avaient inversé certains mots. Heureusement, ce n’était pas un site malveillant qui en tirait parti, mais ils n’étaient évidemment pas préparés. Ils n’avaient pas de plan en place et cela est devenu très conscient sur la scène publique. Equifax n’est pas le seul pays: il ya eu plus de 25 attaques de très haut profil informatique en 2017 et nous pourrions encore en trouver d’autres avant la fin de l’année. Les entreprises doivent vraiment commencer à prendre cela au sérieux parce que les gens sont présents et si vous leur donnez une raison de vouloir vous affronter, vous feriez mieux de vous préparer à y faire face.
Quelques autres données factuelles sur la façon dont les individus considèrent la sécurité des données. D'ici 2020, 30 milliards d'appareils seront connectés à Internet via nos maisons, nos appareils vestimentaires, nos téléphones, nos tablettes et qui sait ce qui pourrait encore se produire dans les années à venir. De nombreux appareils restent vulnérables à ces attaques. Quarante-neuf pour cent des Américains estiment que leurs informations personnelles sont moins sécurisées qu'il y a cinq ans. Soixante-treize pour cent des consommateurs américains souhaitent que les entreprises fassent preuve de transparence concernant leurs données personnelles. Soixante-dix-huit pour cent des personnes interrogées affirment être conscientes des risques encourus en cliquant sur des liens inconnus, mais ils cliquent néanmoins sur ces liens - cela représente plus des trois quarts de notre population, et ils cliquent encore sur les liens même s'ils sais que cela pourrait être un problème. Quatre-vingt-six pour cent des internautes cherchent activement à minimiser, rendre anonyme et à masquer la visibilité de leurs pieds numériques. Mon beau-père aime sortir et créer de faux noms quand il remplit des formulaires, car il pense que cela le rend anonyme, mais il sait très peu que son adresse IP fait également l'objet d'un suivi. Il y a beaucoup d’inquiétudes individuelles et c’est ce qui engendre de nombreux règlements du RGPD et probablement d’autres règlements qui suivront.
En ce qui concerne le secteur de la sécurité des données, 90% des enregistrements de données sur les violations en 2016 provenaient du gouvernement, de la vente au détail et de la technologie. Quarante-trois pour cent des cyberattaques ont attaqué des petites entreprises. Si vous pensez: "Oh, je ne suis pas un grand gars, ils ne vont pas me poursuivre", il y a toujours près de la moitié d'entre eux qui se lancent dans de petites entreprises. Soixante-quinze pour cent des professionnels de la santé ont été infectés par des logiciels malveillants au cours de la dernière année. Soixante-dix pour cent des sociétés pétrolières et gazières américaines ont été piratées au cours de la dernière année. Cela a un impact significatif sur les différentes industries en activité, et ce nombre ne fera qu'augmenter à partir de maintenant.
Du point de vue des dirigeants, 90% des DSI admettent avoir gaspillé des millions de dollars en cybersécurité inadéquate. Quatre-vingt-dix pour cent affirment également avoir été attaqués ou s'attendre à être attaqués par des personnes cachées dans leur cryptage. Quatre-vingt-sept pour cent pensent que leurs contrôles de sécurité ne parviennent pas à protéger leur entreprise. Quatre-vingt-cinq pour cent des DSI prévoient une aggravation de l'utilisation abusive de leurs clés et certificats par des criminels. C’est un très grand nombre d’entreprises qui se penchent sur ce problème de sécurité des données. En réalité, beaucoup d’entre elles n’ont pas de très bonnes solutions en place pour pouvoir y faire face quand cela se produit, même si elles croient que ça va arriver.
En 2014, 70% des millennials ont admis avoir introduit dans leur entreprise des applications externes en violation des règles informatiques. Soixante-dix pour cent l’ont admis - il y en a probablement même un plus grand que celui qui l’a fait. Cinquante-deux pour cent des entreprises qui ont subi des cyberattaques avec succès en 2016 n'ont apporté aucun changement à leur sécurité en 2017. Même si elles ont été attaquées une fois, elles ne sont toujours pas allées anéantir les murs - elles sont aussi vulnérables qu'elles étaient avant l'attaque. Cela soulève vraiment la question suivante: que doivent faire les entreprises pour se préparer à ces choses? Trente-huit pour cent des entreprises mondiales se disent prêtes à faire face à une cyberattaque sophistiquée. C’est bien - près de la moitié sont là, et je suis généreux avec cela, nous n’en sommes vraiment qu’à un tiers, mais il en reste au moins la moitié qui dit: «Je ne suis pas prêt. Si je suis attaqué, je ne suis pas prêt et les pirates le savent bien. »Trente-huit pour cent des organisations ont un plan de réaction aux incidents informatiques. La plupart des entreprises se trouvent dans le même panier qu’Equifax, où elles ne savent pas ce qu’elles vont faire. S'ils l'obtiennent, ils vont devoir réagir et trouver ces choses à la volée, et les règlements comme GDPR disent: «Vous devez les avoir en place. Vous devez les avoir publiés. Vous devez le prouver aux auditeurs de la sécurité. »Avec de tels impacts, avec une telle réglementation, nous pourrons aller au-delà de cette courbe et, au lieu d'être réactionnaires, nous pourrons être proactifs.
Parlons un peu du GDPR. Certains de ces propos de William ont déjà été abordés, mais je vais y revenir, juste à partir de ma prise, de ma voix, de ma perspective. Beaucoup d'entreprises à qui je parle, disent: «Je suis aux États-Unis, pourquoi devrais-je même me soucier de cette réglementation européenne?» Le fait que plus de gens ne bourdonnent pas et plus de gens ne parlent pas ils pensent que seuls les membres de l'UE sont concernés, mais je vous demanderais, si vous consultez cette liste, collectez-vous ces données auprès des membres de l'UE? Si vous collectez ces informations, vous êtes soumis aux limites du RGPD, ainsi qu'aux pénalités pour non-conformité. Je vais vous donner une seconde pour simplement absorber cela et le comprendre. Comme William l’a mentionné plus tôt, il s’agit des peines et sanctions mentionnées à l’article 83 du RGPD. Au début, vous pouvez recevoir une gifle, un petit avertissement disant: «Hé, agis bien. Mettez ceci en place. »Mais si vous avez une très grosse infraction - et en fonction de l’ampleur de la transaction -, ils vous demanderont réparation, ce qui est un nombre considérable. Pas 10 millions, mais 20 millions d'euros ou 4% de votre chiffre d'affaires / chiffre d'affaires de l'année précédente. C'est beaucoup d'argent. Cela représente beaucoup de budget pour que vos équipes de direction puissent se dire: «C’est une chose que nous devons commencer à prendre au sérieux et sur laquelle nous devons agir.»
Permettez-moi de revenir un peu sur les principes du RGPD tels qu'ils sont exposés à l'article 5. Ils affirment notamment que les données à caractère personnel doivent être traitées de manière légale, équitable et transparente. Cela signifie que le public veut savoir ce que vous faites avec ses données. Soyez transparent à ce sujet et il faut que ce soit publié. La plupart des gens ne lisent pas les conditions d'utilisation, mais il s'agit d'informations nouvelles que vous devez être en mesure de communiquer, de sorte que vous puissiez leur dire: «Vos données sont traitées de manière appropriée." Les données personnelles doivent être collectées pour une raison spécifique, fins explicites et légitimes. Cela signifie que nous espérons pouvoir éliminer certains de ces spams. Les entreprises affirment collecter des informations pour répondre à un questionnaire qui vous dit à quel point vous êtes peut-être intéressant. En réalité, elles récupèrent vos données et les revendent à quelqu'un d'autre. , pour pouvoir les utiliser quels que soient leurs objectifs. Les entreprises doivent maintenant être beaucoup plus responsables et dire exactement pour quoi elles utilisent vos informations. Ils disent également que les données personnelles doivent être adéquates, pertinentes et limitées à ce qui est nécessaire. Un grand nombre d'entreprises aiment prendre toutes leurs informations et les mettre dans un pool de données volumineuses, puis elles comprennent ce qu'elles veulent faire de ces informations plus tard et elles collectent bien plus que nécessaire. Cela signifie que vous ne pouvez pas le collecter et l’utiliser ailleurs. Vous ne pouvez pas non plus tout collecter et espérer que cela vous sera utile plus tard. Vous devez être très explicite sur la raison pour laquelle vous collectez les informations et elles doivent être pertinentes pour les données que vous collectez.
Les données personnelles doivent également être précises et tenues à jour. Vous devez donner aux utilisateurs des moyens de mettre à jour leurs données, une fois que vous les avez collectées. ils doivent pouvoir revenir en arrière et dire: «Vous savez, j'ai eu cette opinion sur un sondage que vous m'avez demandé sur des informations personnellement identifiables et je veux revenir en arrière et je veux changer cela et le mettre à jour maintenant." Et vous avez pour leur donner un moyen de pouvoir le faire. Les données à caractère personnel doivent être conservées sous une forme permettant l'identification des personnes concernées plus longtemps que nécessaire. Pour revenir à l’argument de William, vous ne pouvez pas collecter ces informations pour toujours - vous devez proposer ce que vous pensez être valide et nécessaire, puis vous devez effacer les données. Il doit également être traité de manière à garantir une sécurité appropriée, y compris une protection contre un traitement non autorisé ou illégal, une perte accidentelle, une destruction ou des dommages.
Comme je l'ai déjà dit, il est temps de prendre les choses au sérieux et de mettre un terme à ces atteintes à la confidentialité des données, car non seulement votre entreprise pourrait subir des dommages, notamment des pertes de revenus, une perte de revenus et le coût de la consolidation de vos processus. , mais vous pouvez aussi avoir une pile d'amendes sur GDPR. Il est temps que nous prenions vraiment au sérieux ce problème et je pense que, à mesure que le GDPR entrera en vigueur, les entreprises devront faire face à la dure réalité et que, heureusement, ceux d'entre vous qui sont au téléphone aujourd'hui peuvent commencer à penser à cela et à savoir comment vous allez mettre ces choses en action.
Le GDPR parle aussi beaucoup de ce que sont les droits des individus; il s’agit vraiment des utilisateurs individuels. La première chose est le droit d'accéder à vos données personnelles. Les utilisateurs doivent savoir quelles informations vous avez collectées, en ce qui concerne les informations personnellement identifiées, et vous devez leur donner un moyen de pouvoir y accéder. Il existe également un droit de rectification, qui est une manière élégante de dire: «Je dois pouvoir corriger les informations que vous possédez sur moi.» Le droit d’effacer - qui, encore une fois, est formulé comme le droit de être oublié - si une personne dit: «Vous savez quoi, je ne veux plus que vous sachiez que je suis un collectionneur de bandes dessinées vraiment amusant, vous devez vous en débarrasser. J'ai des amis qui me taquinent à ce sujet et m'effacent complètement de votre liste ", vous devez être capable de le faire. Il existe également le droit de limiter le traitement, ce qui signifie que les utilisateurs peuvent limiter le traitement de leurs informations. Ils peuvent dire: «Cela ne me dérange pas que vous preniez mes informations parce que j'achète une nouvelle voiture, mais ne les utilisez pas pour moi et n'envoyez pas de spams sur de nouvelles offres chaque fois que de nouvelles voitures sont libérées. droit à la portabilité des données, ce qui signifie que les utilisateurs devraient pouvoir obtenir une copie de leurs données et pouvoir les emporter ailleurs. De nombreuses organisations collectent des informations. Celles-ci ont un facteur de rigidité. Désormais, les utilisateurs peuvent dire: «Vous savez quoi, je veux que vous preniez toutes mes informations et maintenant je veux que vous les transmettiez à votre concurrent afin que je puisse les transmettre. plus de."
Il y a beaucoup de choses à penser d’une organisation prospective sur la façon dont vous allez pouvoir le faire et sur les informations que vous voulez pouvoir collecter. Il existe également un droit d’objection et les utilisateurs peuvent également s’opposer au traitement de leurs données. Le droit de ne pas être soumis à une décision basée uniquement sur un traitement ou un profilage automatique. Cela a un impact significatif sur le marketing B2B - si vous êtes assis et que vous essayez d'effectuer des tests A / B et d'identifier le Colorado, il sera plus influencé par la Californie que la Californie. Eh bien, vous venez de faire du profilage en regardant un État. par rapport à un autre, et vous devez regarder comment une personne devrait pouvoir se retirer de cela.
Étant donné que nous avons des problèmes inquiétants concernant la violation de données et la façon dont les gens examinent leurs données et que nous avons cette énorme réglementation qui nous échappe, nous sommes ici pour vous donner la solution sur la façon dont IDERA peut aider. L'article 15 parle de la manière de contrôler l'exposition aux données personnelles. Vous devez savoir qui accède à vos données. Comment ils l’utilisent. Combien de données ont été traitées et les produits SQL Compliance Manager, pour lesquels je suis le responsable produit, vous permettent de savoir qui accède à vos données et comment. Le responsable de la conformité SQL est destiné aux solutions SQL Server. Si vous avez une base de données SQL Server, vous pouvez connecter ce produit pour pouvoir auditer et consulter ces informations, de manière à être en conformité avec le GDPR et de savoir exactement comment il est utilisé. Vous pouvez également voir les violations de données avant qu'elles ne se produisent, et j'en parlerai dans une autre diapositive. Il y a aussi un article qui dit: «J'ai besoin d'un enregistrement des activités de traitement. Je dois me connecter et surveiller les opérations, ainsi que savoir qui traite les données personnelles et qui a accès à ces systèmes. »SQL Compliance Manager assure l'audit des serveurs et des bases de données, y compris la sécurité, le DDL, le DML, ainsi que la définition de données sensibles. . SQL Compliance Manager vous permet d’auditer les accès de sécurité et de consigner une tentative. Vous pouvez ainsi savoir qui accède aux informations, mais aussi qui se connecte, qu’il s’agisse d’un utilisateur privilégié, d’un utilisateur connu ou d’un utilisateur malveillant.
L'article 33 parle de la notification d'une violation de données à caractère personnel à une autorité de contrôle. Vous devez être capable de détecter ces violations; vous devez avoir des dossiers pour pouvoir évaluer l'impact; vous devez savoir à quelle vitesse vous allez y remédier. Pour ce faire, SQL Compliance Manager vous permet de configurer des alertes sur vos bases de données afin qu'elles soient visibles par les personnes qui ont accès à vos données sensibles, quand elles y ont accédé, à quoi ils ont accédé. Il vous permet également d’exclure vos utilisateurs privilégiés habituels de votre audit. Si vous savez que des administrateurs de système ou des administrateurs de réseau vont y accéder et que vous ne voulez pas encombrer vos rapports, vous pouvez les écarter et leur dire: «Donnez-moi tout ce qui se passe en dehors de ces informations». vous identifiez rapidement si une personne accède à vos données par malveillance et que vous pouvez avoir des alertes en place, qui vous informent du moment où cela commence à se produire et du moment où vous accédez à l'information, pour pouvoir la détruire, de sorte que vous n'avez pas besoin d'attendre une journée complète pour comprendre ce qui se passe, comme l'a fait Equifax.
Il existe également un article sur la protection des données et l’analyse d’impact. Il s'agit d'évaluer vos risques et de comprendre ce qu'ils sont, ainsi que de démontrer et de documenter votre conformité au GDPR. SQL Compliance Manager vous permet de générer des rapports sur les éléments surveillés. En un mot, en vérifiant vos données avec SQL Compliance Manager, SQL Compliance Manager vous permet de détecter les échecs de connexion (ce qui est un signe potentiel de violation) - surveillez les activités administratives et les modifications de sécurité, avertissez-vous des modifications de la base de données, effectuez un audit. les colonnes que vous définissez comme informations sensibles, identifient les utilisateurs privilégiés et suivent leur activité séparément des autres utilisateurs de votre système, signalent que les informations sont auditées conformément à plusieurs directives réglementaires. Nous couvrons non seulement le RPGD, mais également les normes HIPAA, PCI, FERPA, SOX et toutes les directives réglementaires concernant l’audit de vos informations et la compréhension de ce qui est consulté, nous avons ces directives réglementaires en place.
IDERA propose également des produits supplémentaires pour la préparation du GDPR. Outre la vérification effectuée par SQL Compliance Manager, ER / Studio Enterprise Team Edition est une solution qui peut vous aider à documenter vos processus de données et à intégrer des normes de données dans votre modèle de données. Vous pouvez créer des glossaires de données dont William a parlé dans une diapositive précédente. . Comme je l’ai indiqué ici dans cette présentation, SQL Compliance Manager peut vous aider à auditer vos informations pour vous assurer que les mauvaises personnes n’accèdent pas à vos données, ainsi que le prouver aux auditeurs. SQL Safe Backup peut vous aider à chiffrer vos données et vos sauvegardes. Le chiffrement est un élément essentiel du GDPR, ce que je n’ai pas expliqué en détail car je voulais me concentrer beaucoup sur les actifs de Compliance Manager, mais SQL Safe Backup effectue une grande partie du chiffrement pour vous afin que vos données restent en sécurité. SQL Inventory Manager peut garantir que les serveurs sont corrigés et à jour. Vous ne vous retrouvez donc pas dans un cas comme celui d'Equifax, où ils disposaient d'un correctif obsolète qui leur offrait une grande faille en matière de sécurité. utiliser malicieusement. SQL Secure peut auditer les normes de confidentialité et de cryptage.
Pour plus de détails sur le site Web de la communauté IDERA, sous notre blog, j'ai également publié un article intitulé Se préparer pour GDPR, Looking Towards 2018 et Comprendre l'impact de GDPR. Vous pouvez également télécharger une version d'essai de SQL Compliance Manager. chez IDERA ainsi que tous les autres produits que je viens de mentionner précédemment dans la diapositive.
À ce stade, je vais donner la parole à Eric afin que nous puissions poser des questions.
Eric Kavanagh: OK bien. Vous avez abordé un certain nombre de points très intéressants, Kim, dont l’un - je pense que c’est assez simple, mais c’est assez malin - vous avez parlé de la détection des échecs de connexion. Il me semble que c’est un très bon signe que personne n’a pas raison, non?
Kim Brushaber: Absolument. Si vous voyez quelqu'un qui tente d'accéder à votre mot de passe et de le déchiffrer, c'est un moyen très rapide de pouvoir dire à quelqu'un de ne pas faire ce qu'il devrait être. Vous aurez peut-être mal saisi votre mot de passe à quelques reprises, mais si vous en voyez 30, c'est un mauvais signe.
Eric Kavanagh: Ouais. La clé ici est de définir vos alertes avec le bon con. Que pouvez-vous nous dire de plus sur la façon de gérer le processus de configuration des alertes et de désactivation de celles qui ne font pas ce qu’elles devraient faire et sur la quantité de données pouvant être automatisées?
Kim Brushaber: Compliance Manager dispose de nombreuses alertes configurables, ainsi que de rapports que vous pouvez consulter. Nous parcourons vos traces SQL et nous effectuons ce suivi automatiquement. Nous en avons déjà une bonne partie déjà prédéfinie et prédéfinie, mais vous pouvez également effectuer une importante personnalisation.
Eric Kavanagh: William, je vais vous parler de cela. Il me semble que l’un des domaines dans lequel nous allons voir la machine apprendre à jouer pour les années à venir, c’est examiner toutes les possibilités. En examinant les différentes manières dont un système peut optimiser son efficacité, il examine son efficacité face à des problèmes tels que les violations, etc. Est-ce que vous prenez aussi?
William McKnight: Oui, absolument. Je pense que nous construisons des systèmes qui se réparent eux-mêmes. La surveillance 24 heures sur 24, 7 jours sur 7, commence à disparaître et à appartenir au passé, bien que nous ayons encore besoin de ce temps de disponibilité. Je pense que les systèmes sont en grande partie en train de construire cela et de déterminer ce qui ne va pas. Avons-nous besoin d'allouer plus d'espace ici ou qu'avez-vous? Oui, je pense que cela fait définitivement partie de notre avenir. Tout ce qui peut être mis en correspondance avec certaines étapes d'action à prendre pour réagir à quelque chose est définitivement vulnérable à l'intelligence artificielle.
Eric Kavanagh: C'est un bon point. Je vais vous poser une autre question, William, car je sais que vous effectuez beaucoup de recherches dans ce domaine. L’une des choses que j’attends depuis un certain temps déjà et je ne pense pas que nous soyons déjà là - je pense que nous nous rapprochons, rien que par ce que j’ai lu et réfléchi à ce sujet - est un jour où il y aura une technologie pour absorber les problèmes de réglementation, la formulation même de ces choses et la mapper à la fonctionnalité et aux logiciels. Comme je le disais, nous avons encore du chemin à faire - je ne peux pas imaginer qu’il n’ya personne qui y travaille. Avez-vous rencontré quelque chose de ce genre ou en sommes-nous encore à un point où les êtres humains doivent examiner les règles, réellement essayer de les comprendre, les codifier dans le code machine, essentiellement, puis les appliquer à leurs diverses applications?
William McKnight: Eh bien, je comprends certainement le concept que vous partagez ici. Je ne suis au courant de rien en ce qui concerne le déploiement dans un environnement lié à cela. Je dirai cependant qu'en général, nous commençons évidemment à dire aux machines non pas quoi faire, mais quel est l'objectif de ce que nous voulons faire et les machines deviennent beaucoup plus intelligentes pour comprendre les détails. Je pense que lorsque nos organisations disposeront de plus d’intelligence artificielle, il sera tout à fait possible que de nouvelles réglementations puissent être élaborées de concert avec l’intelligence artificielle déployée au sein des organisations, de sorte qu’elles puissent être appliquées de la manière que vous avez décrite à l’avenir. Pour le moment, nous n'agissons pas avec cela.
Eric Kavanagh: Voici une question que je vais vous poser, Kim, car c’est aussi intéressant. Vous parlez de la latence moyenne ou du temps qu'une personne qui se connecte à votre système cache et attend juste - nombre de jours pendant lesquels un attaquant reste inactif au sein d'un réseau - la détection est de 200. Je suis curieux de savoir comment pensez-vous améliorer ça d'abord? Mais aussi, y a-t-il un moyen d'utiliser ce type de règle pour explorer votre propre système? Pour explorer vos propres données, faire un meilleur travail de garder ce genre de personnes?
Kim Brushaber: Oui, je pense que la détection précoce est évidemment la clé. Vous devez comprendre que ces sites malveillants accèdent à vos informations et sont en mesure de les verrouiller. Je pense que dans les autres diapositives où nous montrons que la plupart des organisations n’ont pas ces politiques en place. C’est pourquoi ils sont assis là. Je pense que si vous aviez une politique en place pour verrouiller votre accès et vous assurer que les bonnes personnes y ont accès. Assurez-vous que vous tournez vos clés régulièrement et que vous les mettez à jour. Assurez-vous que vos mots de passe sont mis à jour régulièrement et réalisez ce genre de choses qui semblent assez basiques. À l’heure actuelle, la plupart des organisations ne le font même pas, et commencer à mettre en place ces éléments vous aidera à aller plus loin.
Cela signifie bien sûr que les pirates vont devenir plus astucieux à ce sujet, mais pour le moment, c'est facile, c'est comme: «Je vais regarder les maisons dans la rue dans lesquelles je sens que je veux faire irruption, seront-elles alarmées systèmes? Ont-ils un petit signe d'alarme et que l'on a des chiens? Je vais en choisir un qui n’a pas de signe d’alarme, qui n’a pas de chien et c’est la maison dans laquelle je vais entrer par effraction. »Ils vont découvrir les entreprises qui ne le font pas. Ces correctifs ne sont pas en place, ils n’ont pas la sécurité en place et ils ne mettent pas à jour leurs mots de passe. Ils vont y passer du temps et utiliser votre carte de crédit à une station-service à quelques reprises pour s’assurer que vous ne l'avez pas fermé et quand ils peuvent influencer un grand changement, normalement, une sorte de déclaration politique ou autrement, c'est quand vous les voyez surgir. En mettant ces politiques en place, je pense qu’à ce stade, vous pouvez prendre quelques mesures assez minimes pour pouvoir prendre une longueur d’avance sur ce match.
Eric Kavanagh: C’est probablement le meilleur conseil et j’entends toujours cela lorsque nous parlons à des personnes travaillant dans le domaine de la sécurité ou de la réglementation, que les bases couvriront 80% de votre problème, et c’est beaucoup de terrain à couvrir - c’est un bon point. L’un des participants a demandé s’il était possible d’exploiter les opportunités commerciales qui pourraient découler des efforts de mise en conformité du GDPR. Je me suis rappelé de Sarbanes-Oxley, et je suppose, William, je vais vous en parler. En tant que consultant, vous cherchez toujours des moyens d’aider vos clients en dehors du cadre d’un projet particulier - du moins si vous êtes un bon consultant, vous le faites. Quand vous parlez du RGPP aux gens, quels sont les avantages accessoires que vous pourrez prétendre qu'ils obtiendront s'ils s'engagent dans un projet axé sur cela?
William McKnight: Tout d’abord, il est important de noter que l’idée derrière le GDPR n’est pas du tout un droit pour le citoyen. L’autre aspect du GDPR est qu’il va améliorer la confiance des citoyens dans nos entreprises et encouragez-les à faire plus d'affaires dans les entreprises conformes. En réalité, les programmes de gouvernance des données que nous mettons en œuvre facilitent toutes sortes d’initiatives lancées au sein d’organisations et, aujourd’hui, dans la plupart des cas, d’initiatives lancées au sein de sociétés. hors de l'intérieur des organisations. J'ai récemment planifié quelques jours pour 2018 avec beaucoup d'entre eux. Ils ont à voir avec les données. Ils représentent entre 65% et 90% des données, qu'il s'agisse de télématique ou de programme client 360. ou un tableau de bord pour surveiller les vendeurs, il s'agit en grande partie de données. Tout ce qui gère mieux les données, le met dans une meilleure architecture qui nomme les personnes qui sont les plus aptes à répondre à toutes les questions sur ces données, qui sont vraiment importantes, comme le ferait un programme de gouvernance des données. Tout ce qui nous donne un glossaire de données - comme Kim en parlait avec ses outils - tout ce qui fait cela, est très utile pour rendre ces initiatives beaucoup plus efficaces, les réduire, minimiser le temps, réduire le budget et nous obtenir temps agile pour commercialiser beaucoup plus rapidement et de bonnes choses pour une entreprise qui prend des initiatives, qui est toutes les entreprises.
Eric Kavanagh: J'aime ce concept de confiance. Je pense que la confiance est une réalité très sous-estimée dans notre monde et, franchement, la plupart des entreprises fonctionnent sur le principe de la confiance - c'est ce qui se passe vraiment quand on y arrive. Je vais vous laisser la parole pour quelques remarques de clôture, Kim. Je pense que l’une des principales valeurs ajoutées ici est d’améliorer la confiance et de favoriser une culture de confiance, car cela aura non seulement des impacts positifs sur la société elle-même, sur les personnes à l’intérieur de la société, mais aussi sur ce que le public perçoit la chose déborde, me semble-t-il, mais vous en pensez quoi?
Kim Brushaber: Oui, je pense que lorsque je discute avec des amis qui travaillent chez Google ou dans l'une des plus grandes organisations de premier plan, ils n'implémentent pas autant de nouvelles fonctionnalités que les protocoles de sécurité et les problèmes de performances et d'évolutivité, car ils veulent que leur expérience d'utilisateur leur permette de faire confiance à ces informations. Je pense que les entreprises ont cette responsabilité alors que nous continuons d’avancer pour créer ce type de confiance. Je me souviens de la première fois où les gens ont commencé à utiliser les cartes de crédit en ligne et qui se disaient: «Oh mon Dieu, je ne vais pas donner cette information là-bas parce que ce n’est pas sûr.»
Et maintenant, votre carte de crédit va dans tous les sens car vous pensez, en théorie, que vous pouvez faire confiance à la société car elle possède un certificat HTTPS. Ensuite, vous avez entendu parler des atteintes à la sécurité des données de la cible, dans lesquelles les cartes de crédit disaient: «Oh, mieux vaut échanger votre carte de crédit car nous laissons ces informations de côté». Je pense que le sentiment est double. Je pense que les individus, tout en voulant avoir davantage confiance en eux parce que c'est beaucoup plus facile, pour pouvoir avoir confiance en ceux-ci dans de grandes organisations, les grandes organisations doivent intervenir et mettre ces éléments en place de manière à ne pas t blesser l'individu ou vous perdez une part de marché. Les gens disent: «Eh bien, vous savez quoi, je ne vais plus faire mes achats chez Target, maintenant je vais faire mes achats chez Amazon.» Je pense que la confiance est un gros problème, même si, comme nous l'avons dit, 78% continue à cliquer sur ce lien dans un, même s’ils savent qu’ils pourraient ne pas le faire. Il existe une certaine protection des personnes, même quand elles vous font confiance.
Eric Kavanagh: C'est un bon point. Vous savez quoi, je vais vous poser une dernière question, William, ou au moins une autre, nous en avons de bonnes qui arrivent maintenant. Un participant a écrit: «Le GDPR transfère la gestion des identités au client, là où elle appartient. Equifax a définitivement endommagé 149 millions de consommateurs, «très vrais», contaminant l’économie numérique. Quels changements voyez-vous aux États-Unis en ce qui concerne la propriété des clients en matière de gestion des identités?
William McKnight: Eh bien, nous sommes toujours en retard aux États-Unis pour ce genre de chose, n'est-ce pas? Cent quarante-neuf millions, ce n’est pas une goutte d’eau dans le seau. C’est presque comme du terrorisme, non? Nous sommes tellement habitués, cela se produit tout le temps. Je pense que quelque chose doit être fait. Je pense que le GDPR, j’aime les droits qu’il confère aux citoyens, mais cela ne semble pas être une priorité, il y en a beaucoup d’autres et je ne sais pas où il va aller. Je pense, comme je l’ai mentionné dans les ramifications que j’ai eues, que cela indique un changement dans le sens où le consommateur dispose de plus de droits sur ses données. Quand cela se passe ici aux États-Unis? Je ne sais pas, il pourrait s’agir d’une pause pouvant aller jusqu’à cinq ans pour que quelque chose à la hauteur du GDPR se passe ici aux États-Unis. Juste des spéculations à ce stade.
Eric Kavanagh: C’est un très bon point et je pense que nous allons voir plus d’efforts dans ce domaine car, voyons les choses en face, nous passons à une telle économie numérique ces jours-ci. Et en guise de conclusion, je voudrais parler d’un peu philosophique et politique, c’est ce qui m’inquiète le plus à propos du passage à une société sans numéraire, car lorsque l’argent disparaît, si cela se produit, tout est numérique et chaque système peut être piraté. et l'identité de chaque personne peut être volée. Il me semble qu’il s’agit d’un assez gros éléphant dans la salle, alors que nous envisageons l’avenir de la gestion de l’identité.
Tout cela est génial, les gars. Merci à William McKnight pour son temps et son attention aujourd'hui. Merci à Kim Brushaber d'IDERA. Nous archivons toutes ces webémissions pour les visionner plus tard. N'hésitez donc pas à revenir dans quelques heures et les archives seront prêtes. Sur ce, nous allons vous dire au revoir, chers amis. Merci encore pour votre temps et votre attention Faites attention. Bye Bye.