- Ce sujet contient 5 réponses, 2 participants et a été mis à jour pour la dernière fois par , le Il y a 5 années, 10 mois.
-
Articles
-
La question de la sécurité informatique concerne toutes les entreprises. Toutefois, par définition, les plateformes de financement participatif recueillent en ligne et stockent un éventail considérable de données personnelles (état civil, coordonnées bancaires, numérisation de documents d’identité).
Quel qu’en soit le moyen ou les motivations (piratage depuis l’extérieur, réparateur indélicat, rancune d’un collaborateur licencié, etc.), le vol ou la divulgation de ces données pourrait donner lieu à des usurpations d’identité, prélèvements bancaires sauvages, etc.
Le code pénal de notre beau pays punit sévèrement ces éventuels délits de bout de chaîne, mais j’ouvre le présent sujet dans le forum pour une autre question : celle de la prévention, par le recours à des protections techniques adéquates et suffisantes.
Du côté de la législation « Informatique et Libertés », je n’ai pas encore regardé les textes mais le formulaire de la CNIL pour la déclaration d’un traitement de données personnelles « ordinaire » (c’est à dire ne portant pas sur des données « sensibles » sous l’angle des libertés – médicales, religieuses, politiques, etc.) n’exige apparemment, sous la rubrique Architecture du système d’information, de cocher qu’une seule des cases suivantes :
- L’accès physique au traitement est protégé (batiment local sécurisé)
- Un procédé d’authentification des utilisateurs est mis en oeuvre (ex : mot de passe individuel, carte à puce, certificat, signature)
- Une journalisation des connexions est effectuée
- Le traitement est réalisé sur un réseau interne dédié (non relié à internet)
- Si des données sont échangées en réseau, le canal de transport ou les données sont chiffrées.
https://www.declaration.cnil.fr/declarations/declaration/securite1_DN.display.action#
Du côté du Code monétaire et financier, le chapitre de la partie réglementaire consacré aux Intermédiaires en financement participatif exige un certain niveau de formation en matière financière et une assurance de responsabilité civile, mais rien de spécial à propos de la sécurité informatique.
Du coté de l’Autorité de contrôle prudentiel (ACPR), en charge de l’agrément des IFP, la sécurité ses systèmes d’information fait l’objet d’une simple page pédagogique générale : https://acpr.banque-france.fr/lacpr/missions/pole-acpr-fintech-innovation/systemes-dinformation.html
Compte tenu du nombre de matins où on a pu apprendre que telle ou telle entreprise multinationale s’était fait voler les données de milliers de clients, je ne serais pas surpris qu’on découvre tôt ou tard des trous dans le gruyère chez l’une ou l’autre de nos braves petites plateformes.
Qu’en pensez-vous? En vrac : Les normes applicables vous paraissent-elles suffisantes ? L’idée de contrôles préventifs de la sécurité des systèmes serait-elle réaliste ? Certaines plateformes vous paraissent-elles davantage soucieuses de ces questions ? Etc.
Vu
– la jeunesse des plate-formes et l’amateurisme de nombreuses d’entre elles,
– le (prétentus ou réels) problèmes techniques fréquents,
– le manque de considération des prêteurs,
– les difficultés pour s’aligner aux réglementations (on l’a vu pour la publication des défauts)
la réponse aux garanties de sécurité apportées par les plate-forme n’est pas trop dure à trouver.
On peut cependant relativiser le niveau de risques:
– les pirates visent le nombre: 10 000 inscrits sur une plate-forme vs. des centaines de millions sur Facebook, ça ne sera pas leur première cible
– la sécurité c’est aussi l’affaire de chacun localement: en choisissant des logiciels ou des DNS libres (cf l’article sur les attaques DNS), mais c’est un autre débat.
- Vous devez être connecté pour répondre à ce sujet.