Comment mieux épargner ? › Forums › Crowdlending › Parlons crowdlending en général › Plateformes : cybersécurité & protection des données personnelles
Taggé: CNIL, cyberattaques, informatique, RGPD, sanction, sécurité, systèmes d'information
- This topic has 5 réponses, 2 participants, and was last updated Il y a 6 years, 6 months by Le Glaude.
-
AuteurArticles
-
17 mai 2017 à 23 h 50 min #12073Le GlaudeParticipant
La question de la sécurité informatique concerne toutes les entreprises. Toutefois, par définition, les plateformes de financement participatif recueillent en ligne et stockent un éventail considérable de données personnelles (état civil, coordonnées bancaires, numérisation de documents d’identité).
Quel qu’en soit le moyen ou les motivations (piratage depuis l’extérieur, réparateur indélicat, rancune d’un collaborateur licencié, etc.), le vol ou la divulgation de ces données pourrait donner lieu à des usurpations d’identité, prélèvements bancaires sauvages, etc.
Le code pénal de notre beau pays punit sévèrement ces éventuels délits de bout de chaîne, mais j’ouvre le présent sujet dans le forum pour une autre question : celle de la prévention, par le recours à des protections techniques adéquates et suffisantes.
Du côté de la législation « Informatique et Libertés », je n’ai pas encore regardé les textes mais le formulaire de la CNIL pour la déclaration d’un traitement de données personnelles « ordinaire » (c’est à dire ne portant pas sur des données « sensibles » sous l’angle des libertés – médicales, religieuses, politiques, etc.) n’exige apparemment, sous la rubrique Architecture du système d’information, de cocher qu’une seule des cases suivantes :
- L’accès physique au traitement est protégé (batiment local sécurisé)
- Un procédé d’authentification des utilisateurs est mis en oeuvre (ex : mot de passe individuel, carte à puce, certificat, signature)
- Une journalisation des connexions est effectuée
- Le traitement est réalisé sur un réseau interne dédié (non relié à internet)
- Si des données sont échangées en réseau, le canal de transport ou les données sont chiffrées.
https://www.declaration.cnil.fr/declarations/declaration/securite1_DN.display.action#
Du côté du Code monétaire et financier, le chapitre de la partie réglementaire consacré aux Intermédiaires en financement participatif exige un certain niveau de formation en matière financière et une assurance de responsabilité civile, mais rien de spécial à propos de la sécurité informatique.
Du coté de l’Autorité de contrôle prudentiel (ACPR), en charge de l’agrément des IFP, la sécurité ses systèmes d’information fait l’objet d’une simple page pédagogique générale : https://acpr.banque-france.fr/lacpr/missions/pole-acpr-fintech-innovation/systemes-dinformation.html
Compte tenu du nombre de matins où on a pu apprendre que telle ou telle entreprise multinationale s’était fait voler les données de milliers de clients, je ne serais pas surpris qu’on découvre tôt ou tard des trous dans le gruyère chez l’une ou l’autre de nos braves petites plateformes.
Qu’en pensez-vous? En vrac : Les normes applicables vous paraissent-elles suffisantes ? L’idée de contrôles préventifs de la sécurité des systèmes serait-elle réaliste ? Certaines plateformes vous paraissent-elles davantage soucieuses de ces questions ? Etc.
18 mai 2017 à 1 h 05 min #12081Le GlaudeParticipantPour la loi « Informatique et Libertés », voir les articles 34 et 34 bis. La faculté de fixer des normes techniques par décret n’y est ouverte que pour les données « sensibles » (renvoi à l’article 8 de la loi) : https://www.cnil.fr/fr/loi-78-17-du-6-janvier-1978-modifiee#Article34
Y a-t-il des plateformes qui revendiquent une certification de type ISO ou autre en matière de sécurité des données ?
9 juillet 2017 à 13 h 26 min #12887Le GlaudeParticipantUne étude récente montre l’ampleur du problème :
- L’exfiltration de données est le 1er type d’attaque enregistrée en France (39%) ; un chiffre (…) au dessus de la moyenne mondiale, estimée à 28 %.
- 43% des entreprises françaises interrogées ont subi 5 cyberattaques ou plus, durant les 12 derniers mois.
- L’exfiltration de données (sensibles) est malheureusement souvent ignorée car non détectée… (!).
- Cette réponse a été modifiée le Il y a 7 years, 5 months par Le Glaude.
3 juin 2018 à 22 h 19 min #15513Le GlaudeParticipantLa création récente d’une Ligue pour la Protection des Données Personnelles (LPDP):
https://xn--ligue-de-protection-des-donnes-personnelles-21d.com/
4 juin 2018 à 9 h 06 min #15514thierry_jParticipantVu
– la jeunesse des plate-formes et l’amateurisme de nombreuses d’entre elles,
– le (prétentus ou réels) problèmes techniques fréquents,
– le manque de considération des prêteurs,
– les difficultés pour s’aligner aux réglementations (on l’a vu pour la publication des défauts)
la réponse aux garanties de sécurité apportées par les plate-forme n’est pas trop dure à trouver.
On peut cependant relativiser le niveau de risques:
– les pirates visent le nombre: 10 000 inscrits sur une plate-forme vs. des centaines de millions sur Facebook, ça ne sera pas leur première cible
– la sécurité c’est aussi l’affaire de chacun localement: en choisissant des logiciels ou des DNS libres (cf l’article sur les attaques DNS), mais c’est un autre débat.
13 juin 2018 à 22 h 39 min #15595Le GlaudeParticipantOptical Center condamné par la CNIL à 250 000 euros d’amende pour négligence dans la protection des données personnelles :
-
AuteurArticles
- Vous devez être connecté pour répondre à ce sujet.