Connect with us

Technologie

Le bouclier post-vie privée, quelle chance pour un accord sur l’adéquation des données du Brexit ?

Published

on


La décision rendue le 16 juillet 2020 par la Cour de justice de l’Union européenne (CJUE) selon laquelle le Bouclier de protection de la vie privée – le mécanisme juridique qui permet à des centaines de milliers d’organisations basées aux États-Unis de transférer des données à l’entrée et à l’extérieur de l’Europe – est invalide, a d’énormes répercussions sur l’industrie technologique et pour le commerce transatlantique plus large.

Toutefois, alors que le Royaume-Uni sort maintenant de l’Union européenne (UE), la décision crée également un précédent pour le Brexit, avec des ramifications majeures pour les organisations basées au Royaume-Uni qui transfèrent actuellement des données à travers la Manche après la fin de la période de transition.

Mark Kahn, avocat général et vice-président de la politique chez Segment, un fournisseur de services de plate-forme de données, a déclaré: « Lorsque la CJUE a statué sur le bouclier de protection de la vie privée la semaine dernière, il a invalidé un accord-cadre entre deux partenaires commerciaux extrêmement importants.

« La décision a apporté peu de clarté sur l’avenir des transferts de données entre l’UE et les États-Unis, et bien que son impact n’ait pas encore été pleinement compris, nous pouvons certainement nous attendre à ce que les autorités chargées de la protection des données évaluent les accords contractuels au cas par cas à partir de maintenant. »

M. Kahn a déclaré qu’avec sa décision, la Cour a fait une déclaration forte en faveur des droits individuels de protection des données, et a indirectement posé un « défi intéressant » pour la future relation de données du Royaume-Uni avec l’UE.

« toute évaluation de l’adéquation des données du Royaume-Uni fait maintenant l’objet d’un examen plus approfondi, ce qui rend le libre transfert de données entre l’EEE [European Economic Area] et le Royaume-Uni loin d’être certain après la période de transition du Brexit », a-t-il déclaré.

Bridget Treacy, associée en protection des données chez Hunton Andrews Kurth LLP, un cabinet d’avocats basé à Londres, a déclaré : « Il y a évidemment eu un examen très approfondi des pouvoirs des agences américaines et des services de renseignement pour réquisitionner l’information et y avoir accès, comme dans tous les autres pays qui l’ont fait sur la liste européenne adéquate.

« Le Royaume-Uni va également faire l’objet de cet examen. Ainsi, une fois que nous serons en dehors de l’UE et que nous demanderons la reconnaissance de l’adéquation de la Commission européenne, nous pouvons nous attendre à ce que notre législation fasse également l’objet d’un examen, tout comme les États-Unis l’ont été et, en fait, comme d’autres pays sur la liste adéquate l’auront été aussi.

« C’est là qu’il y a de l’incertitude, et vous savez qu’il y aura un examen minutieux et qu’il y aura probablement des questions soulevées. Je ne pense pas que ce soit une voie simple pour le Royaume-Uni de passer ce test et d’être désigné comme adéquat.

Lois sur la surveillance

Comme Computer Weekly l’a rapporté la semaine dernière, Kahn et Treacy ne sont pas seuls dans cette évaluation. Daniel Tozer, responsable des données et de la technologie au cabinet d’avocats Harbottle – Lewis, a également déclaré que le jugement soulevait des questions sur la capacité des organisations à déplacer facilement les données entre l’UE et le Royaume-Uni, en particulier compte tenu de l’état des lois de surveillance du Royaume-Uni et de son appartenance à Five Eyes, l’alliance anglophone de partage du renseignement qui comprend également l’Australie, le Canada, la Nouvelle-Zélande et les États-Unis.

Le directeur exécutif d’Open Rights Group, Jim Killock, a quant à lui déclaré qu’il était inévitable que le régime de surveillance du Royaume-Uni soit désormais remis en question à la suite du jugement, parce que l’Europe avait clairement indiqué qu’elle avait rejeté le bouclier de protection de la vie privée précisément en raison de problèmes de surveillance.

M. Treacy a déclaré qu’avant que le Royaume-Uni ne quitte l’UE, la sécurité nationale et la surveillance n’étaient pas un domaine qui releçait la compétence de l’UE, mais qui changerait clairement après la fin de la période de transition du Brexit.

« Une fois que nous avons quitté l’UE, ces lois font l’objet d’un examen et d’une évaluation, comme nous l’avons vu avec les États-Unis dans le contexte du Bouclier de protection de la vie privée », a-t-elle déclaré. « C’est quelque chose qui a déjà été signalé comme un obstacle potentiel pour le Royaume-Uni dans le contexte d’une évaluation de l’adéquation.

« C’est intéressant aussi, avec certains des commentaires qui ont été faits sur le jugement, en pensant à ceux-ci et au contexte plus large parce que, bien sûr, les États-Unis et le Royaume-Uni sont membres du cadre five eyes et deux autres pays qui ont été évalués comme adéquats sont la Nouvelle-Zélande et le Canada. Il sera intéressant de voir si, en fait, cela est ensuite rouvert et si l’un de ces pays fait l’objet d’un examen plus approfondi.

Il pourrait également être considéré comme quelque chose d’une ironie que l’UE n’a pas son mot à dire sur les lois de surveillance que ses membres promulguent, de sorte qu’il peut y avoir des pays dans l’UE qui ont des lois de surveillance beaucoup plus strictes que le Royaume-Uni, ouvrant la possibilité que, techniquement, les données des citoyens de l’UE pourraient être plus sûrs détenus au Royaume-Uni que dans un État membre qui avait , par exemple, a adopté une législation sur la surveillance déloyale ou a compromis l’indépendance de son système judiciaire.

Au-delà du GDPR

Treacy a noté que le Royaume-Uni visait clairement à être évalué comme une compétence du point de vue de la protection des données, et cela pourrait être vu dans certaines des décisions stratégiques prises en ce qui concerne la loi de 2018 sur la protection des données, qui va au-delà de ce qui est exigé par le Règlement général sur la protection des données (GDPR) seul.

« Nous avons cherché à avoir ici une législation très cohérente et en fait, à certains égards, plus étendue sur la protection des données que dans l’UE, et c’est évidemment chose faite en vue d’aider cette évaluation de l’adéquation », a-t-elle déclaré.

« n point important à noter est que ce jugement va faire partie de la législation britannique, nous allons donc continuer à en prendre note, et nous devrons nous conformer à ce qu’il exige même après avoir quitté l’UE, parce qu’il fera partie de notre droit »

Treacy a fait valoir que, compte tenu de ces facteurs, ainsi que d’autres tels que l’indépendance du système juridique du Royaume-Uni et de ses régulateurs de la protection des données, et le fait que les individus ont des droits et l’accès à des recours juridiques, le Royaume-Uni coche beaucoup de cases.

« La grande inconnue est de savoir comment nos lois sur la surveillance seraient évaluées », a-t-elle dit. « En fin de compte – et vous le voyez aussi avec les négociations sur le bouclier de protection de la vie privée – ce n’est pas seulement une évaluation purement objective – il y aura d’autres facteurs qui seront discutés et pris en compte aussi, et il n’est pas toujours clair exactement ce qu’ils sont. »

Que faire ensuite

Alors que nous attendons un résultat de toute façon, il est raisonnable pour les organisations de se préparer à la décision éventuelle sur l’adéquation des données pour aller à l’encontre du Royaume-Uni, et Le président de Segment Kahn a déclaré qu’il vaut la peine d’examiner cela aujourd’hui.

« Les récentes déclarations de l’OIC confirment que les entreprises britanniques peuvent continuer à s’appuyer sur le bouclier de protection de la vie privée pour l’instant – une indication claire que le Royaume-Uni souhaite se démarquer de l’UE dans son approche », a-t-il déclaré. « En plus, cela signifie que les entreprises britanniques peuvent probablement s’attendre à une voie plus simple vers les transferts de données transatlantiques après la période de transition. Avec l’UE, cependant, les choses sont devenues beaucoup plus compliquées.

« Quel que soit le résultat pour le Royaume-Uni, la décision de la CJUE indique clairement que les entreprises doivent savoir exactement quelles données elles ont, d’où elles proviennent et comment elles circulent dans leurs systèmes et services. Faire le strict minimum pour respecter le droit à la vie privée ne suffit plus au niveau éthique – et à une époque d’incertitude réglementaire, c’est aussi une mesure imprudente en termes de conformité future.

Il y a plusieurs choses que les organisations basées au Royaume-Uni peuvent faire tout de suite pour se mettre dans la meilleure position possible à l’avenir, a déclaré Hannah Ife, associée chez JMW Solicitors. La première étape consiste à examiner les flux de données à caractère personnel entrant et à sortir de l’EEE, à identifier les mécanismes clés sur lesquels s’appuient le transfert de données à caractère personnel, en accordant une attention particulière aux clauses contractuelles standard (CSC), qui pourraient devoir être révisées si l’UE en publiait de nouvelles.

Les multinationales devraient réfléchir à la façon dont elles utilisent les règles d’entreprise contraignantes actuelles approuvées par l’EEE pour les transferts à l’intérieur et à l’extérieur du Royaume-Uni, et les mettre à jour pour refléter le nouveau statut du Royaume-Uni en tant que pays tiers.

Ife a également conseillé la mise à jour de la documentation et des avis de confidentialité pour couvrir les transferts de données entre le Royaume-Uni et l’EEE en vertu des règlements d’adéquation du Royaume-Uni, et si vous transférez également des données des États-Unis, pour vérifier que celui que vous transférez des données à là a fait les mises à jour requises à leur engagement de se conformer au bouclier de confidentialité.

Les contrôleurs de données basés au Royaume-Uni qui n’ont pas de bureaux dans l’EEE mais transfèrent des données sur les citoyens européens devraient également envisager de nommer un représentant européen local en vertu de l’article 27 du RGDPR – et l’inverse est vrai pour les contrôleurs européens qui transfèrent des données sur les citoyens britanniques.

Enfin, a déclaré l’Ife, les organisations devront examiner les avis de confidentialité, les évaluations d’impact sur la protection des données (DPIA) et d’autres documents pour inclure des références actualisées au droit de l’UE, aux transferts de données entre le Royaume-Uni et l’UE, et ainsi de suite.

Continue Reading
Click to comment

Leave a Reply

Your email address will not be published. Required fields are marked *

Technologie

Comment Dharma ransomware est devenu une entreprise de services efficace

Published

on


Alors qu’une grande partie de l’attention sur ransomware a naturellement porté sur les souches de tuer des entreprises telles que Maze, ReVIL / Sodiokiobi et WastedLocker, d’autres ransomwares tels que Dharma continuent de prospérer et est devenu le centre d’une entreprise souterraine de services de cybercriminalité, selon une recherche qui révèle comment Dharma s’est établi comme un ransomware efficace et rentable comme un service (RaaS).

Dans un rapport intitulé Couleur par nombres: À l’intérieur d’une attaque Dharma RaaS, Sean Gallagher, chercheur principal sur la menace chez Sophos, a partagé un nouvel aperçu approfondi du script et du test d’outils automatisés d’attaque de Dharma, qui est offert aux acheteurs de cybercriminels pour cibler les petites et moyennes entreprises (PME).

« Avec tant de demandes de rançon de plusieurs millions de dollars, des cibles de haut niveau et des adversaires avancés comme WastedLocker qui font maintenant les manchettes, il peut être facile d’oublier que des menaces comme le Dharma sont bien vivantes et qu’elles permettent à un tout autre échelon de cybercriminels de frapper de multiples cibles plus petites pour ratisser une fortune, huit mille dollars à la fois », a déclaré M. Gallagher.

Depuis son émergence en 2016, Dharma s’est imposé comme l’un des ransomwares les plus rentables grâce à son modèle d’affaires de masse, basé sur les services. Gallagher l’a décrit comme une « franchise de restauration rapide », disant qu’il est largement et facilement disponible à peu près n’importe qui qui le veut.

« Les offres ransomware-as-a-service de Dharma élargissent la gamme de personnes qui peuvent exécuter des attaques ransomware dévastatrices. C’est assez inquiétant en soi en temps normal. Mais à l’heure actuelle, alors que de nombreuses entreprises s’adaptent à la pandémie et s’adaptent à un besoin de soutien rapide pour les travailleurs à distance, et que le personnel informatique s’est étiré, les risques de ces attaques sont amplifiés », a-t-il déclaré.

« La nécessité d’équiper et de permettre une main-d’œuvre étonnamment éloignée a laissé les petites entreprises avec une infrastructure et des dispositifs vulnérables et a entravé la capacité du personnel de soutien informatique de surveiller et de gérer adéquatement les systèmes comme ils le feraient normalement. »

La facilité d’utilisation est au cœur du modèle d’affaires du Dharma RaaS, ce qui le rend particulièrement dangereux pour les PME. Ses bailleurs de fonds offrent à leurs clients un ensemble de scripts et d’outils pré-construits et prennent relativement peu de compétences techniques pour fonctionner, en tirant parti des outils Windows internes, des logiciels gratuits tiers légitimes, des outils de sécurité bien connus et des exploits accessibles au public, intégrés par des scripts PowerShell, batch et AutoIT sur mesure.

Cela étend la portée des opérateurs de Dharma, leur permettant de profiter tandis que leurs clients – qui paient environ 2.000 $ pour Dharma sur les forums souterrains – faire le travail d’âne de la violation des réseaux, l’abandon du ransomware, et l’exécution de « er service à la client » pour les victimes.

Pour la victime, le décryptage est une tâche assez complexe qui fonctionne en deux étapes. Si vous contactez l’affilié Dharma pour les clés de récupération, vous serez donné un outil de première étape qui extrait les détails de tous vos fichiers cryptés. L’affilié partagera ensuite ces données extraites avec les opérateurs de Dharma, qui fournissent ensuite la clé de décryptage de deuxième étape pour les fichiers. Bien sûr, à quel point ce processus est efficace dans la restauration des données est en place pour le débat et beaucoup sera à cheval sur les compétences, et même l’humeur, de l’affilié.

Cela signifie qu’il est préférable d’arrêter une attaque avant qu’elle ne se produise, ou de s’assurer que vous êtes suffisamment bien protégé pour être en mesure de l’ignorer et recommencer.

Gallagher a déclaré que la plupart des attaques d’affiliation Dharma peuvent être effectivement émoussées en veillant à ce que les serveurs de protocole de bureau à distance (RDP) – l’exploitation des serveurs RDP vulnérables est derrière environ 85% des attaques de Dharma – et sécurisé derrière un réseau privé virtuel (VPN) avec authentification multifacteur.

Les PME devraient également être sur le qui-vive pour le vol d’informations d’identification par le biais d’attaques d’hameçonnage – d’autant plus que le travail à distance continue d’être la norme, et de prêter attention à leurs propres fournisseurs de services informatiques et à d’autres tiers qui peuvent avoir accès à leurs systèmes.

Continue Reading

Technologie

Le gouvernement accorde des subventions pour des projets d’innovation

Published

on


Dix-sept projets de recherche et d’innovation à travers le Royaume-Uni recevront jusqu’à 50 000 euros chacun en financement gouvernemental pour répondre à certains des défis les plus pressants au monde, y compris le changement climatique et la production de médicaments.

Le Département des affaires, de l’énergie et de la stratégie industrielle (BEIS) a également annoncé que d’autres investissements à long terme entre 10 et 50 millions d’euros seraient disponibles pour les projets couronnés de succès plus tard cette année dans le cadre de la deuxième série du Fonds phare de recherche et d’innovation au Royaume-Uni (UKRI) Strength in Places.

Les projets financés comprennent le chauffage des maisons et des entreprises à Glasgow en utilisant l’énergie des mines désaffectées, la numérisation du secteur de la construction au Royaume-Uni afin qu’il soit plus sûr et plus productif, la recherche de moyens plus rapides de diagnostiquer le cancer, et l’accélération de la construction de grands parcs éoliens offshore dans le sud-ouest de l’Angleterre.

Le gouvernement a affirmé que les projets « stimuleront la croissance économique locale, offriront une formation professionnelle et créeront des emplois de grande valeur ».

« Nous soutenons nos innovateurs avec le soutien dont ils ont besoin pour transformer de grandes idées en industries, produits et technologies de première classe », a déclaré le secrétaire d’État aux affaires, Alok Sharma.

« Des projets de construction virtuels à l’extraction de la chaleur propre des mines désaffectées, les projets pionniers que nous finançons aujourd’hui contribueront à créer des emplois et à renforcer les compétences à travers le Royaume-Uni alors que nous continuons à faire avancer notre reprise économique. »

Ce financement s’inscrit dans le cadre de l’engagement du chancelier Rishi Sunak d’augmenter les dépenses publiques en recherche et développement (R&D) à 22 milliards d’euros d’ici 2024/25, qui s’appuie sur les plans antérieurs de stratégie industrielle du gouvernement pour que le Royaume-Uni consacre 2,4 % du PIB à la R&D d’ici 2027.

Parmi les autres projets financés, mentionnons Trans-Mid, qui établira des partenariats entre les universités et les entreprises de technologie de transport, ainsi que les fournisseurs des secteurs des véhicules, de l’aérospatiale et du rail pour produire de nouveaux produits écologiques; et Creative City +, un consortium dirigé par l’Université métropolitaine de Manchester qui vise à améliorer la productivité locale en stimulant l’activité de R&D afin d’accroître les connaissances, les compétences et l’expertise dans les industries créatives.

Les projets technologiques en matière de soins de santé comprennent Accelerated Medicines Design and Development, qui cherche à développer le secteur des sciences de la vie du Kent grâce au développement d’un studio de design de médicaments à Sandwich; et une initiative de données sur la santé dans l’est de Londres, dirigée par l’Université Queen Mary, qui créera un espace pour les universitaires, les cliniciens et l’industrie de travailler avec les hôpitaux locaux pour développer et tester de nouveaux traitements.

BEIS a déjà soutenu un certain nombre de projets healthtech par le biais de son Fonds de défi stratégie industrielle, créé en 2018 par Greg Clark, alors secrétaire d’entreprise, qui a mis 16 millions d’euros à disposition en juillet 2020 pour six projets visant à diagnostiquer les maladies chroniques et potentiellement mortelles plus tôt.

L’initiative fait également suite à une série d’autres projets liés à la technologie que BEIS finance dans divers secteurs de l’économie, y compris le lancement d’un paquet de 24 millions d’euros en juillet pour financer neuf projets de technologie agricole visant à réduire les coûts et à améliorer la production alimentaire, ainsi qu’à réduire les émissions de gaz à effet de serre.

En avril 2020, BEIS a également accordé un financement supplémentaire de 40 millions de livres sterling à de nouveaux projets de réalité virtuelle (VR) dans le cadre de son concours Fast Start, géré par l’agence d’innovation Innovate UK.

Au cours du même mois, Innovate UK a été chargé par BEIS d’examiner les propositions d’utilisation de la technologie pour faire face à la crise du coronavirus, dans le cadre d’un fonds de 20 millions d’euros pour trouver des moyens d’assurer la poursuite du travail et de la productivité pendant la pandémie.

Continue Reading

Technologie

Beyond.pl trace l’expansion du campus du datacentre polonais pour tirer parti de la demande croissante de nuages continentaux

Published

on


Le fournisseur polonais de colocation Beyond.pl prévoit de plus que tripler la taille de son campus de datacentre en réponse à la demande croissante de services cloud et internet en Europe centrale.

L’opérateur a déclaré que le projet d’expansion de 3 milliards de dollars entraînerait une augmentation de cinq fois la capacité énergétique du site à propulsion renouvelable (de 8 MW à 42 MW), et augmenterait la superficie brute totale qu’il couvre de 12 000 millions2 à 45 000 m2.

Une fois les travaux sur le site, qui est basé à Poznan, en Pologne, sera terminé, le campus sera l’une des plus grandes installations de colocation en Europe centrale, affirme Michał Grzybkowski, vice-président exécutif de la technologie à Beyond.pl.

« Cela nous permettra de répondre à la demande croissante de services de colocation et de cloud dans la région », a-t-il ajouté.

L’installation sera mise en place pour accueillir des supports à haute densité de 20 kW, dans l’intérêt de l’efficacité énergétique, et pour s’assurer qu’elle peut répondre aux exigences de calcul des entreprises de cloud hyperscale, et des entreprises relativement plus petites aussi.

La demande de capacité de colocation augmente « dynamiquement » dans les entreprises de toutes tailles en ce moment, a déclaré Wojciech Stramski, PDG de Beyond.pl, alors que les organisations cherchent à intensifier leurs efforts de transformation numérique en réponse directe à la pandémie de coronavirus Covid-19.

« D’une part, les entreprises polonaises qui connaissent déjà une croissance, qui n’a été accélérée que récemment en raison de la pandémie, ont lancé ou accéléré des projets de numérisation », a-t-il déclaré.

« D’autre part, nous constatons un intérêt croissant de la part des fournisseurs mondiaux de cloud, des entreprises de logiciels en tant que service (SaaS), des webscalers et des grandes entreprises en général, qui cherchent à entrer et à mieux servir le marché d’Europe centrale. »

Selon Beyond.pl, le site neutre en matière de transport a des connexions réseau avec plus de 20 opérateurs de télécommunications et est la seule batterie de serveurs de l’Union européenne à atteindre la norme d’infrastructure de télécommunications ANSI/TIA-942 la mieux notée pour les centres de données.

« Les systèmes d’alimentation et de refroidissement du bâtiment sont totalement redondants et notre exploitation fait l’objet d’audits indépendants périodiques effectués par l’organisation ansi », a poursuivi M. Grzybkowski. « Eux confirment la capacité d’Beyond.pl à assurer une disponibilité de service pouvant atteindre 99,9999 % à un taux annualisé. »

Le maintien des titres de compétences en matière de durabilité du campus sera un objectif majeur pour l’entreprise pendant les travaux d’expansion, l’entreprise projetant que – à l’achèvement et à pleine capacité – le site atteindra une note d’efficacité de consommation d’énergie (PUE) de moins de 1,2, ce qu’elle prétend être inférieur à la moyenne de 1,4 à 1,6 que d’autres sites du pays peuvent atteindre.

« L’un des plus grands moteurs de coûts des services de centres de données est lié à la consommation d’énergie utilisée pour alimenter et refroidir l’infrastructure des centres de données et des serveurs », a ajouté M. Grzybkowski.

« Plus le taux d’E PUE est faible, plus les pertes d’énergie et les coûts d’exploitation des centres de données sont faibles. En conséquence, les services peuvent être moins chers pour le client final.

C’est l’une des principales raisons pour lesquelles les utilisateurs accordent de plus en plus une telle importance à la durabilité et aux références environnementales des entreprises technologiques dont ils s’approvisionnent en TI, a déclaré M. Stramski.

« De nombreuses grandes organisations internationales ont fait de ces valeurs un élément clé de leur stratégie. En tant que partenaire, nous les aidons à réduire leur empreinte carbone », a-t-il déclaré.

Continue Reading

Trending