Accueil Forums Crowdlending Parlons crowdlending en général Plateformes : cybersécurité & protection des données personnelles

Ce sujet a 2 réponses, 1 participant et a été mis à jour par  Le Glaude, il y a 1 mois et 2 semaines.

3 sujets de 1 à 3 (sur un total de 3)
  • Auteur
    Messages
  • #12073

    Le Glaude
    Participant

    La question de la sécurité informatique concerne toutes les entreprises. Toutefois, par définition, les plateformes de financement participatif recueillent en ligne et stockent un éventail considérable de données personnelles (état civil, coordonnées bancaires, numérisation de documents d’identité).

    Quel qu’en soit le moyen ou les motivations (piratage depuis l’extérieur, réparateur indélicat, rancune d’un collaborateur licencié, etc.), le vol ou la divulgation de ces données pourrait donner lieu à des usurpations d’identité, prélèvements bancaires sauvages, etc.

    Le code pénal de notre beau pays punit sévèrement ces éventuels délits de bout de chaîne, mais j’ouvre le présent sujet dans le forum pour une autre question : celle de la prévention, par le recours à des protections techniques adéquates et suffisantes.

    Du côté de la législation « Informatique et Libertés », je n’ai pas encore regardé les textes mais le formulaire de la CNIL pour la déclaration d’un traitement de données personnelles « ordinaire » (c’est à dire ne portant pas sur des données  « sensibles » sous l’angle des libertés – médicales, religieuses, politiques, etc.) n’exige apparemment, sous la rubrique Architecture du système d’information, de cocher qu’une seule des cases suivantes :

    • L’accès physique au traitement est protégé (batiment local sécurisé)
    • Un procédé d’authentification des utilisateurs est mis en oeuvre (ex : mot de passe individuel, carte à puce, certificat, signature)
    • Une journalisation des connexions est effectuée
    • Le traitement est réalisé sur un réseau interne dédié (non relié à internet)
    • Si des données sont échangées en réseau, le canal de transport ou les données sont chiffrées.

    https://www.declaration.cnil.fr/declarations/declaration/securite1_DN.display.action#

    Du côté du Code monétaire et financier, le chapitre de la partie réglementaire consacré aux Intermédiaires en financement participatif exige un certain niveau de formation en matière financière et une assurance de responsabilité civile, mais rien de spécial à propos de la sécurité informatique.

    Du coté de l’Autorité de contrôle prudentiel (ACPR), en charge de l’agrément des IFP, la sécurité ses systèmes d’information fait l’objet d’une simple page pédagogique générale : https://acpr.banque-france.fr/lacpr/missions/pole-acpr-fintech-innovation/systemes-dinformation.html

    Compte tenu du nombre de matins où on a pu apprendre que telle ou telle entreprise multinationale s’était fait voler les données de milliers de clients, je ne serais pas surpris qu’on découvre tôt ou tard des trous dans le gruyère chez l’une ou l’autre de nos braves petites plateformes.

    Qu’en pensez-vous? En vrac : Les normes applicables vous paraissent-elles suffisantes ? L’idée de contrôles préventifs de la sécurité des systèmes serait-elle réaliste ? Certaines plateformes vous paraissent-elles davantage soucieuses de ces questions ? Etc.

     

     

     

    • Ce sujet a été modifié le il y a 3 mois et 1 semaine par  Le Glaude.
    • Ce sujet a été modifié le il y a 3 mois et 1 semaine par  Le Glaude.
    #12081

    Le Glaude
    Participant

    Pour la loi « Informatique et Libertés », voir les articles 34 et 34 bis. La faculté de fixer des normes techniques par décret n’y est ouverte que pour les données « sensibles » (renvoi à l’article 8 de la loi) : https://www.cnil.fr/fr/loi-78-17-du-6-janvier-1978-modifiee#Article34

    Y a-t-il des plateformes qui revendiquent une certification de type ISO ou autre en matière de sécurité des données  ?

    • Cette réponse a été modifiée le il y a 3 mois et 1 semaine par  Le Glaude.
    • Cette réponse a été modifiée le il y a 3 mois et 1 semaine par  Le Glaude.
    #12887

    Le Glaude
    Participant

    Une étude récente montre l’ampleur du problème :

    • L’exfiltration de données est le 1er type d’attaque enregistrée en France (39%) ; un chiffre (…)  au dessus de la moyenne mondiale, estimée à 28 %.
    • 43% des entreprises françaises interrogées ont subi 5 cyberattaques ou plus, durant les 12 derniers mois.
    • L’exfiltration de données (sensibles) est malheureusement souvent ignorée car non détectée… (!).

    Source : https://www.docaufutur.fr/2017/06/27/letude-mondiale-defficientip-revele-attaques-dns-coutent-annee-plus-de-2-millions-deuros-aux-entreprises/

    • Cette réponse a été modifiée le il y a 1 mois et 2 semaines par  Le Glaude.
3 sujets de 1 à 3 (sur un total de 3)

Vous devez être connecté pour répondre à ce sujet.