Connect with us

Technologie

L’UE et les États-Unis entament des discussions sur l’accord de partage de données sur le bouclier de protection de la vie privée « amélioré »

Published

on


L’UE et les États-Unis ont entamé des discussions sur un éventuel successeur à l’accord sur le bouclier de protection de la vie privée qui pourrait mettre le partage de données entre l’UE et les États-Unis sur une base juridique.

L’UE et le département américain du Commerce ont déclaré aujourd’hui qu’ils avaient entamé des discussions pour « évaluer le potentiel » d’un bouclier de protection de la vie privée renforcé entre l’UE et les États-Unis qui répondrait aux exigences du droit de l’UE en matière de protection de la vie privée.

Ces discussions font suite à la décision de la Cour européenne de justice (CJUE) d’annuler le bouclier de protection de la vie privée pour violation du droit de l’UE en matière de protection de la vie privée et de droits de l’homme, alors que l’on craint que la surveillance et la collecte de renseignements par les États-Unis n’offrent peu de droits de recours aux citoyens de l’UE.

Plus de 5 500 entreprises, dont Amazon et Microsoft, se sont inscrites au Bouclier de protection de la vie privée pour transférer des données de l’UE vers les États-Unis.

La CJUE a invalidé le prédécesseur du Bouclier de protection de la vie privée, Safe Harbour en 2015, en raison de préoccupations presque identiques concernant la surveillance des États-Unis et le manque de droits à la vie privée pour les citoyens de l’UE.

Les États-Unis et l’UE devront parvenir à un nouvel accord qui offre aux citoyens de l’UE des droits légaux de recours aux États-Unis, s’ils estiment que leurs données ont été utilisées illégalement par les services d’application de la loi ou de renseignement américains.

Mais il sera difficile de concilier le droit de l’UE en matière de protection de la vie privée et les droits de l’homme avec les lois américaines qui permettent ce que la Cour de justice européenne a qualifié de surveillance « massive et aveugle » contre les citoyens non américains.

Les juristes sont divisés sur la question de savoir si l’UE et les États-Unis seront en mesure de trouver une solution qui survivra aux futures contestations judiciaires devant la Cour de justice européenne.

Un accord rapide est possible

Eduardo Estaran, associé du cabinet d’avocats Hogan Lovells, a déclaré qu’il croyait que les systèmes de contrôle des États-Unis et de l’UE n’étaient pas si éloignés et que même si une résolution rapide était peu probable, ce n’est pas impossible.

« Malgré le scepticisme à cet égard, je pense qu’il est encore possible d’essayer de faire fonctionner le concept. Il ressort clairement de l’arrêt de la Cour de justice de l’Union européenne que les deux questions à traiter sont les contrôles sur les pouvoirs de surveillance et la disponibilité de recours efficaces pour les individus », a-t-il déclaré.

La CJUE s’est inquiétée du fait que les citoyens de l’UE n’ont aucun droit devant les tribunaux américains s’ils veulent contester la collecte et l’utilisation de leurs données personnelles par les organismes d’application de la loi et de renseignement américains.

Les fuites de Snowden en 2013 ont révélé que les entreprises technologiques américaines, dont Facebook et Apple, étaient obligées de partager leurs données privées avec des agences gouvernementales américaines dans le cadre du programme PRISM.

Les États-Unis ont également le pouvoir, en vertu d’un ordre émis par le président Obama, décret exécutif 12333, de recueillir et de conserver le trafic Internet et les données des câbles de télécommunications sous-marins avant que les données n’atteignent le sol américain.

Us Ombudsman régime « sans dents »

Privacy Shield a mis en place un médiateur aux États-Unis pour fournir aux citoyens de l’UE le droit de recours aux atteintes à la vie privée par le gouvernement américain.

Mais la Cour de justice de l’Union européenne a estimé que l’ombudsman n’offrait pas aux citoyens de l’UE le droit à un recours efficace aux États-Unis, comme l’exige la Charte européenne des droits fondamentaux.

Le tribunal a conclu que, bien que l’ombudsman ait été dit être « indépendant de la communauté du renseignement », dans la pratique, l’ombudsman a signalé au secrétaire d’État américain.

Il n’y a rien dans la décision du Bouclier de protection de la vie privée qui indiquait que l’ombudsman avait le pouvoir de prendre des décisions contraignantes sur les services de renseignement américains et l’accord n’offrait aucune garantie juridique aux citoyens de l’UE, a-t-il dit.

« Le système d’ombudsman devait être un mécanisme permettant aux gens de se plaindre de l’utilisation de leurs données. C’était édenté et ce n’était pas transparent », a déclaré l’avocat Dai Davis, spécialiste de la protection des données.

Tout successeur au Bouclier de protection de la vie privée devra également tenir compte des conclusions de la Cour européenne de justice lorsqu’elle a invalidé le prédécesseur de Privacy Shield, Safe Harbour, en 2016, ce qui pourrait faire pression sur les États-Unis pour qu’ils réforment leurs programmes de surveillance de masse.

Le jugement de la Cour faisait référence aux conclusions de la Haute Cour irlandaise selon lesquelles les États-Unis effectuent une surveillance et une interception aveugles à grande échelle.

« Une fois que les données personnelles ont été transférées aux États-Unis, elles peuvent être consultées par la NSA et d’autres agences fédérales, comme le Federal Bureau of Investigation (FBI), dans le cadre de la surveillance et de l’interception aveugles », a déclaré le tribunal.

Davis a déclaré qu’un bouclier de protection de la vie privée de remplacement à tout le moins, « devrait donner aux individus de l’UE le droit de contester devant les tribunaux américains le manoir et la forme dans laquelle les États-Unis recueillent des données à leur sujet. L’approche des États-Unis les décisions des tribunaux devraient s’apparenter au droit des droits de l’homme de l’U ».

Mais à moins que les États-Unis ne soient prêts à apporter des changements juridiques importants, le résultat final pourrait être un accord de « plâtre collant » qui survivra encore cinq ans jusqu’à ce qu’il soit confronté à un autre défi devant la Cour de justice européenne, a-t-il dit.

Pression pour agir rapidement

Les États-Unis et l’UE sont confrontés à de fortes pressions commerciales pour parvenir rapidement à un accord. Il a fallu neuf mois pour convenir d’un successeur à Safe Harbour, mais l’impact financier de Covide-19, combiné à l’incertitude juridique pour les entreprises qui négocient avec les États-Unis, peut conduire à une plus grande urgence.

Les entreprises ne peuvent plus légalement transférer des données aux États-Unis dans le cadre du Bouclier de protection de la vie privée et doivent effectuer des vérifications rigoureuses de la protection de la vie privée si elles utilisent d’autres mécanismes, tels que les clauses contractuelles standard (CSC), ou dans le cas des multinationales, des règles d’entreprise contraignantes (BCR) pour partager des données avec les États-Unis.

Les entreprises risquent d’être lourdes en vertu du GDPR ou de recours collectifs de la part du public si elles ne parviennent pas à garantir la vie privée des citoyens de l’UE.

Andrew Harstone, associé du cabinet d’avocats Shakespeare Martineau, a déclaré qu’il avait du mal à voir comment l’UE et les États-Unis pourraient parvenir à un accord juridiquement étanche à moins que les États-Unis ne modifient leurs pratiques en matière d’accès aux données personnelles.

« Comme pour la sphère de sécurité et le bouclier de protection de la vie privée, à moins qu’il n’y ait un changement, ce ne sera qu’un plâtre collant jusqu’à ce qu’il soit renversé par les tribunaux », a-t-il dit.

« Mais d’un point de vue commercial, je ne pense pas qu’il soit possible de ne pas autoriser les transferts de données vers les États-Unis. C’est tout simplement un partenaire commercial trop important.

Un ancien ambassadeur américain attaque Schrems

Une longue bataille juridique menée par l’avocat autrichien Max Schrems, qui s’est plaint que Facebook Ireland transfère illégalement ses données privées aux États-Unis, a conduit la cour de l’UE à faire tomber Privacy Shield et son prédécesseur Safe Harbour.

Signe de l’inquiétude ressentie par les États-Unis à l’égard de la décision de la CJUE, l’ancien ambassadeur des États-Unis auprès de l’UE, Anthony Gardner, a soulevé des questions sur la façon dont l’avocat autrichien Max Schrems finançait ses affaires dans un tweet personnel.

« Il est temps pour Max Schrems de préciser qui finance ses affaires judiciaires. Je doute qu’ils aient tous été financés par la foule. C’est drôle de voir comment il ne semble pas se soucier de l’utilisation abusive des données des citoyens de l’UE par la Russie ou la Chine », a-t-il déclaré.

Schrems a déclaré que 90% de son travail juridique a été financé par le travail bénévole et le reste a été financé par 3.300 membres de soutien de son organisation axée sur la vie privée Nyob.

L’UE et les États-Unis ont déclaré dans une déclaration commune qu’ils « econnaient l’importance vitale de la protection des données et l’importance des transferts transfrontaliers de données à nos citoyens et à nos économie ».

« Nous partageons un engagement envers la protection de la vie privée et la primauté du droit, et nous approfondissons nos relations économiques, et nous collaborons sur ces questions depuis plusieurs décennies. »



Continue Reading
Click to comment

Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Technologie

GitHub rend publique la fonctionnalité de numérisation de la vulnérabilité de code

Published

on


Un an après l’acquisition du spécialiste de la numérisation de la sécurité logicielle Semmle, et à la suite d’un processus bêta réussi de cinq mois, GitHub rend ses capacités d’analyse de code CodeQL accessibles au public, aidant les équipes et les individus à faire plus pour créer des applications sécurisées via une approche axée sur la communauté, développeur d’abord.

Au cours du processus bêta, 12 000 référentiels ont été scannés 1,4 million de fois, et plus de 20 000 problèmes de sécurité ont été découverts, y compris de multiples instances d’exécution de code à distance (RCE), d’injection SQL et de vulnérabilités de script de site croisé (XSS).

GitHub a déclaré que les développeurs et les responsables de la fonction en utilisant la fonctionnalité ont corrigé près des trois quarts des bogues divulgués au cours des 30 derniers jours – un bond substantiel étant donné que, en général, moins d’un tiers des bogues sont corrigés dans un mois.

Justin Hutchings, chef de produit de GitHub, a déclaré qu’une fois intégré à GitHub Actions ou à l’environnement CI/CD existant d’un utilisateur, le service maximiserait la flexibilité pour les équipes de développement.

« Au lieu de vous submerger avec des suggestions de linting, l’analyse de code exécute uniquement les règles de sécurité exploitables par défaut, de sorte que vous pouvez rester concentré sur la tâche à accomplir », a déclaré Hutchings.

« l analyse le code tel qu’il est créé et les surfaces des revues de sécurité exploitables dans les demandes d’attraction et d’autres expériences GitHub que vous utilisez tous les jours, automatisant la sécurité dans le cadre de votre flux de travail. Cela permet de s’assurer que les vulnérabilités ne parsent jamais à la production en premier lieu.

La plate-forme a également enregistré 132 contributions communautaires à l’ensemble de requêtes à source ouverte de CodeQL, et s’est associée à plusieurs fournisseurs de sécurité dans l’espace open source et commercial pour permettre aux développeurs d’exécuter des solutions CodeQL et de l’industrie pour les tests statiques de sécurité des applications (Sast), l’analyse de conteneurs et l’infrastructure en tant que validation de code côte à côte dans l’expérience de numérisation de code natif de GitHub.

Les utilisateurs seront également en mesure d’intégrer des moteurs de numérisation tiers pour afficher les résultats de tous leurs outils de sécurité dans une seule interface, et d’exporter plusieurs résultats d’analyse à travers une seule API. Hutchings a déclaré GitHub prévu de partager plus sur ses capacités d’extensibilité bientôt.

Le service sera offert gratuitement pour les référentiels github publics, et plus de détails sur la façon de permettre cela peut être trouvé en ligne. La fonctionnalité sera mise à la disposition des référentiels privés par l’intermédiaire des options de sécurité avancée payante de GitHub Enterprise.

Les utilisateurs intéressés à aider à sécuriser l’écosystème open source sont, comme toujours, invités à intervenir et à contribuer à la communauté CodeQL sur GitHub.

Continue Reading

Technologie

VMworld 2020 : VMware s’associe pour accélérer les applications d’entreprise

Published

on


L’événement virtuel VMworld 2020 a débuté avec VMware annonçant une collaboration avec Nvidia, dont les deux espèrent qu’elle fournira une informatique accélérée à faible coût pour l’entreprise.

Les deux entreprises ont annoncé qu’elles travailleraient sur une nouvelle architecture pour l’informatique de base, le cloud et les bords.

Grâce à ce partenariat, le hub NGC de Nvidia sera intégré à VMware vSphere, VMware Cloud Foundation et VMware Tanzu. Selon VMware, cela permettra d’accélérer l’adoption de l’intelligence artificielle (IA), permettant aux entreprises d’étendre l’infrastructure existante pour l’IA, de gérer toutes les applications avec un seul ensemble d’opérations et de déployer une infrastructure prête pour l’IA où les données résident, à travers le centre de données, le cloud et le bord.

La collaboration utilisera les unités de traitement des données (DPU) de Nvidia, l’infrastructure de nouvelle génération programmable BlueField-2 de Nvidia et VMware Cloud pour accélérer les applications d’entreprise.

« L’IA et l’apprentissage automatique sont rapidement passés des laboratoires de recherche aux centres de données dans les entreprises de pratiquement toutes les industries et toutes les géographies », a déclaré Jensen Huang, fondateur et PDG de Nvidia.

« Nvidia et VMware aideront les clients à transformer chaque centre de données d’entreprise en un supercalculateur d’IA accéléré. Nvidia DPU donnera aux entreprises la possibilité de construire des centres de données sécurisés, programmables et définis par logiciel qui peuvent accélérer toutes les applications d’entreprise à une valeur exceptionnelle.

Parallèlement au partenariat avec Nvidia, VMware a également élargi son soutien aux multi-clouds, se positionnant comme l’éditeur de logiciels qui rendra Kubernetes prêt à l’entreprise.

Dans son discours d’ouverture au début de l’événement Digital VMworld, le PDG de VMware, Pat Gelsinger, a expliqué pourquoi les délégués doivent faire avancer l’innovation numérique.

« Si nous ne prenons pas de recul et que nous réfléchissons profondément à l’avenir que nous voulons construire ensemble, ce serait une énorme occasion manquée », a-t-il déclaré.

Gelsinger a fait référence aux circonstances extraordinaires et difficiles de 2020 et a suggéré que les affaires sont au milieu d’une refonte fondamentale centrée sur l’innovation numérique.

Pour Gelsinger et VMware, Kubernetes va devenir la plate-forme d’entreprise pour les applications modernes, de la même manière que Java et Spring sont devenus les normes de facto pour le développement de logiciels. « ebernetes est l’API de facto [application programming interface] pour multi-cloud – tout comme Java il y a vingt », at-il dit. « Nous travaillons avec la communauté open source pour rendre l’entreprise Kubernetes consommable et facile à mettre en œuvre. »

C’est grâce à VMware Tanzu, qui a maintenant élargi sa portée à travers VMware Cloud sur AWS, Azure VMware Solution et Oracle Cloud VMware Solution, ainsi qu’un partenariat avec GitLab pour améliorer la vitesse avec laquelle le code peut être poussé dans la production.

VMware a déclaré qu’il a signé 75 partenaires à la communauté Tanzu, avec des centaines de clients maintenant en utilisant des produits Tanzu et un million de conteneurs en production. VMware a déclaré qu’il soutient des millions de développeurs chaque mois comme ils commencent de nouveaux projets en utilisant le cadre de printemps pour les microservices et le catalogue de la communauté Bitnami pour les images de conteneurs.

Continue Reading

Technologie

Les acteurs de la menace deviennent beaucoup plus sophistiqués

Published

on


Qu’il s’agisse de bandes criminelles organisées ou de groupes de menaces persistantes avancées (APT) soutenus par l’État ou affiliés à l’État, les acteurs de la menace ont considérablement accru leur sophistication au cours des 12 derniers mois, intégrant un arsenal de nouvelles techniques qui rend le repérage de leurs attaques de plus en plus difficile pour même les défenseurs les plus endurcis.

C’est ce qui se passe selon un nouveau rapport annuel publié aujourd’hui par Microsoft, Rapport sur la défense numérique, l’exploration de certaines des tendances les plus pertinentes en matière de cybersécurité de l’année écoulée.

« Compte tenu du bond de la sophistication des attaques au cours de l’année écoulée, il est plus important que jamais que nous prenions des mesures pour établir de nouvelles règles de la route pour le cyberespace : que toutes les organisations, qu’elles soient des agences gouvernementales ou des entreprises, investissent dans les personnes et la technologie pour aider à mettre fin aux attaques; et que les gens se concentrent sur les bases, y compris l’application régulière des mises à jour de sécurité, des politiques de sauvegarde complètes et, en particulier, permettant l’authentification multifacteur (AMF) », a déclaré Tom Burt, Microsoft corporate vice-président de la sécurité des clients et de la confiance, dans un billet de blog.

« Nos données montrent que l’activation de l’AMF aurait à elle seule empêché la grande majorité des attaques réussies. »

Entre autres choses, le rapport détaille comment les groupes APT s’engagent dans de nouvelles techniques de reconnaissance qui augmentent leurs chances de compromettre des cibles importantes, tandis que les groupes cybercriminels ciblant les entreprises sont de plus en plus dans le nuage pour se cacher parmi les services légitimes, et d’autres sont à venir avec des moyens novateurs de parcourir l’Internet public pour les systèmes qui pourraient être vulnérables.

Les acteurs de la menace ont également démontré une nette préférence pour la récolte d’informations d’identification via le phishing, et les attaques ransomware dans la dernière année – avec ransomware étant maintenant la raison la plus commune pour l’opération de sécurité de Microsoft pour lancer un engagement de réponse incident.

Les attaques ransomware sont clairement de plus en plus ciblées et planifiées, selon les données du rapport, avec des modèles d’attaque démontrant que les cybercriminels savent quand il y aura des gels de changement, tels que les jours fériés, qui ralentiront la capacité d’une organisation à répondre et à durcir leurs réseaux. Les opérateurs ransomware sont également maintenant clairement démontrer qu’ils sont bien conscients des besoins commerciaux de leurs cibles, et quels facteurs les inciteront à payer plutôt que d’encourir un long temps d’arrêt, par exemple au cours d’un cycle de facturation.

Burt a déclaré que les cybercriminels sont de plus en plus habiles à l’évolution de leurs techniques pour améliorer leurs chances de succès, l’expérimentation de nouveaux vecteurs d’attaque et des techniques d’obscurcissement, et l’exploitation de l’ordre du jour des nouvelles en évolution rapide pour changer leurs leurres. La pandémie de Covide-19 en particulier a donné aux cybercriminels une occasion en or de jouer sur la curiosité humaine et le besoin d’information.

Le rapport révèle comment la pandémie s’est également déroulée d’autres façons, les travailleurs à distance étant plus vulnérables en dehors du périmètre réseau de leurs organisations, et l’utilisation stratosphérique des applications web et cloud rendant les attaques DDoS soudainement beaucoup plus dangereuses.

Les acteurs soutenus par l’État-nation, quant à eux, évoluent également, changeant leurs objectifs pour s’aligner sur l’évolution des objectifs géopolitiques de leurs payeurs. Dans le passé, ces groupes avaient préféré se concentrer sur les vulnérabilités dans les infrastructures nationales essentielles (CNI), mais les statistiques de Microsoft ont révélé que 90% des notifications d’État-nation étaient contre d’autres cibles.

Par exemple, elle a signalé jusqu’à 16 groupes différents soutenus par l’État ciblant ses clients qui participent à la réponse de Covid-19, tels que les organismes gouvernementaux, les cibles de soins de santé, les ONG et les institutions universitaires et les organisations scientifiques travaillant sur les vaccins. Une chose qui n’a pas changé est l’origine de ces groupes, qui opèrent massivement à partir de la Chine, l’Iran, la Corée du Nord et la Russie.

Burt a exhorté à une « approche communautaire » à la cybersécurité aller de l’avant, en disant que même si le travail de sécurité de Microsoft est vaste, même une organisation de sa taille ne peut apporter une petite contribution à l’image globale.

« Il faut que les décideurs, le milieu des affaires, les organismes gouvernementaux et, en fin de compte, les individus fassent une réelle différence, et nous ne pouvons avoir un impact significatif que par le biais d’informations et de partenariats partagés », a-t-il dit.

« C’est l’une des raisons pour lesquelles nous avons lancé Rapport sur le renseignement de sécurité en 2005, et c’est l’une des raisons pour lesquelles nous avons évolué ce rapport dans ce nouveau Rapport sur la défense numérique. Nous espérons que cette contribution nous aidera tous à mieux travailler ensemble pour améliorer la sécurité de l’écosystème numérique.

Continue Reading

Trending