Connect with us

Technologie

Schrems v Facebook: la Cour européenne annule l’accord UE-US Sur le bouclier de protection de la vie privée

Published

on


La plus haute juridiction européenne a invalidé aujourd’hui l’accord UE-US Sur le bouclier de protection de la vie privée, annulant la base juridique qui permet à plus d’un demi-million d’entreprises américaines d’échanger des données avec l’Europe.

La Cour de justice de l’Union européenne (CJUE) a statué que privacy Shield ne parvient pas à garantir aux citoyens européens un droit de recours adéquat lorsque des données sont recueillies par la National Security Agency (NSA) des États-Unis et d’autres services de renseignement américains dans un jugement de 63 pages.

La Cour a confirmé la validité d’un autre mécanisme juridique, les clauses contractuelles standard (CSC), qui permettent aux entreprises européennes de partager légalement des données avec les États-Unis et d’autres pays – mais a ajouté des mises en garde à leur utilisation.

Cette décision obligera l’UE et les États-Unis à revenir à la table des négociations pour rédiger une version du bouclier de protection de la vie privée qui accorde aux citoyens de l’UE un plus grand droit à la vie privée en vertu des lois américaines sur la surveillance.

Le secrétaire américain au Commerce, Wilbur Ross, a déclaré que le département du Commerce était « profondément déçu » de la décision de supprimer le bouclier de protection de la vie privée.

« Nous avons été et resterons en contact étroit avec la Commission européenne et le Conseil européen de protection des données sur cette question et espérons être en mesure de limiter les conséquences négatives sur les 7,1 billions de dollars de relations économiques transatlantiques qui sont si vitales pour nos citoyens, entreprises et gouvernements respectifs », a-t-il déclaré.

Les entreprises qui s’appuient sur l’accord sur le bouclier de protection de la vie privée pour échanger des données entre les États-Unis et l’UE dans le cadre de leur commerce international seront confrontées à l’incertitude et à la perturbation alors qu’elles cherchent d’autres mécanismes juridiques pour transférer des données.

L’affaire est le dernier rebondissement d’une bataille juridique de sept ans menée par l’avocat autrichien Max Schrems contre Facebook Irlande, sur la légalité de son transfert de données personnelles de ses clients de l’UE vers les États-Unis.

« La Cour a précisé, pour la deuxième fois, qu’il y avait un conflit entre le droit de l’UE en matière de protection de la vie privée et la loi américaine sur la surveillance », a déclaré M. Schrems. « Comme l’UE ne changera pas ses droits fondamentaux pour plaire à la NSA, la seule façon de surmonter cet affrontement est que les États-Unis introduisent des droits à la vie privée solides pour tous – y compris les étrangers. La réforme de la surveillance devient donc cruciale pour les intérêts commerciaux de la Silicon Valley.

Le bouclier de protection de la vie privée annulé

La décision d’aujourd’hui marque la deuxième fois que la Cour européenne a annulé l’accord de partage de données entre l’UE et les États-Unis.

Le tribunal a conclu que Privacy Shield, comme son prédécesseur Safe Harbour, qui a été invalidé par le tribunal en 2015, a donné la priorité aux exigences des organismes américains de sécurité nationale et d’application de la loi sur les droits des citoyens de l’UE.

Privacy Shield « condon » l’ingérence dans les droits fondamentaux des citoyens de l’UE lorsque leurs données sont transférées aux États-Unis, a-t-il dit.

La Cour européenne a estimé que les lois américaines sur la surveillance signifiaient que les États-Unis n’offraient pas des protections de la vie privée équivalentes à celles du droit de l’Ue, statuant qu’elles n’étaient pas proportionnées et allaient au-delà de ce qui était strictement nécessaire.

En particulier, elle a constaté que les lois américaines ne donnaient pas aux citoyens de l’UE le droit de recours devant les tribunaux si leurs données étaient utilisées à mauvais escient.

La Cour n’était pas d’accord avec la Commission européenne sur le fait que l’ombudsman, mis en place dans privacy Shield pour fournir réparation aux citoyens de l’UE, offrait une réparation efficace aux citoyens de l’UE.

Il a dit que le mécanisme de l’ombudsman « ne fournit pas aux personnes concernées une cause d’action devant un organe qui offre des garanties sensiblement équivalentes à celles exigées par le droit de l’UE  » et il n’a pas veillé à ce que l’ombudsman soit indépendant ou ait le pouvoir de prendre des décisions contraignantes pour les services de renseignement américains.

Les CSC ont donné leur feu vert – avec des conditions

La Cour a estimé que le droit de l’UE et le règlement général sur la protection des données (GDPR) en particulier s’appliquent lorsque les entreprises transfèrent des données à des pays extérieurs à l’UE, même lorsque ces données sont traitées par des gouvernements tiers pour la sécurité nationale, la défense et la sécurité de l’État.

Les personnes doivent bénéficier d’une « rotection essentiellement équivalent » pour leurs données lorsqu’elles sont transférées aux États-Unis et dans d’autres pays, comme elles le recevraient dans l’UE en vertu du RGDPR et de la Charte européenne des droits fondamentaux, qui garantit aux personnes le droit aux communications privées et à la protection de leurs données privées.

Les CSC sont utilisés pour transférer des données de l’UE vers quelque 180 pays, dont l’Australie, Singapour, la Corée du Sud, le Brésil, l’Inde et le Mexique, selon la Business Software Alliance (BSA).

Bien que le tribunal ait conclu que les CSC étaient légalement valides, il a déclaré que tout accord de transfert de données devait tenir compte du système juridique du pays qui reçoit les données et de toutles autorités publiques doivent disposer de données sur les citoyens de l’UE.

La Cour a déclaré que les entreprises avaient la responsabilité de veiller à ce que les entreprises en dehors de l’UE qu’elles envisagent de partager des données avec une protection de la vie privée accordée équivalente au droit de l’UE.

La société bénéficiaire doit informer l’exportateur de données de toute incapacité à se conformer à la CSC et la société qui envoie les données est tenue de suspendre les transferts de données si les lois de l’UE sur la protection de la vie privée sont violées, a-t-il dit.

La Cour a clairement indiqué que les régulateurs de la protection des données seraient tenus d’agir si les entreprises transfèrent des données aux États-Unis ou à d’autres pays sans respecter les garanties européennes en matière de protection de la vie privée.

« Les entreprises se tourneront maintenant vers les régulateurs de l’UE pour proposer une forme de transition pour leur permettre de s’éloigner du bouclier de protection de la vie privée sans la menace de sanctions importantes et de demandes d’indemnisation civile »

Tanguy Van Overstraeten, Linklaters

Les autorités de protection des données (DPA) sont « tenues de suspendre ou d’interdire un transfert de données à caractère personnel vers un pays tiers » lorsqu’elles estiment que ce pays ne peut pas se conformer aux clauses standard de protection des données.

Le tribunal a déclaré que les régulateurs doivent agir si une entreprise exportatrice des données n’a pas réussi à suspendre elle-même les transferts de données et que la protection des données ne peut être assurée d’aucune autre manière.

Tanguy Van Overstraeten, associé et responsable mondial de la protection de la vie privée et des données au cabinet d’avocats Linklaters, a déclaré que cette décision aurait un impact sur les grandes entreprises, qui effectuent des centaines ou des milliers de transferts de données par le biais de clauses contractuelles standard.

« Les grandes entreprises ont des réseaux complexes de transferts de données à des centaines, voire des milliers, de bénéficiaires à l’étranger. Le tribunal a clairement indiqué que les entreprises ne peuvent pas les justifier à l’aide d’un exercice de case à cocher mettant en place des CSC. Au lieu de cela, les risques associés à ces transferts doivent être correctement évalués », a-t-il dit.

M. Van Overstraeten a déclaré qu’il deviendrait plus difficile pour les entreprises de transférer des données vers des pays dotés de puissants pouvoirs de surveillance, dont les États-Unis, l’Inde et la Chine.

« Les entreprises vont maintenant se tourner vers les régulateurs de l’UE pour proposer une forme de transition pour leur permettre de s’éloigner du bouclier de protection de la vie privée sans la menace de sanctions importantes et de demandes d’indemnisation civile », a-t-il déclaré.

Max Schrems: Les régulateurs doivent faire respecter la loi

M. Schrems a déclaré que cette décision avait mis fin au pouvoir discrétionnaire des autorités chargées de la protection des données de décider de ne pas prendre de mesures lorsque les transferts de données sont en violation de la législation de l’UE en matière de protection des données.

Schrems a fait pression sur le commissaire irlandais à la protection des données (DPC) pour qu’il prenne des mesures contre Facebook après avoir déposé une plainte en 2013 selon laquelle Facebook Ireland transférait des données personnelles de citoyens de l’UE à Facebook Inc aux États-Unis, en violation de la législation de l’UE en matière de protection des données et de droits de l’homme.

NYOB

« Les autorités comme le DPC irlandais ont jusqu’à présent sapé le succès du GDPR en ne traitant tout simplement pas les plaintes. Le tribunal a clairement dit aux DPA d’aller de l’avant et d’appliquer la loi.

Max Schrems

Il a fait valoir que les programmes de surveillance américains, y compris le programme Prism mis au jour par le lanceur d’alerte Edward Snowden, qui extrait des données de sociétés de services de communication, y compris Facebook, ne respectaient pas le droit à la vie privée des citoyens non américains.

« La Cour ne dit pas seulement au DPC irlandais de faire son travail après sept ans d’inaction, mais elle dit aussi à tous les DPA européens qu’ils ont le devoir d’agir et qu’ils ne peuvent pas simplement regarder ailleurs. Il s’agit d’un changement fondamental qui va bien au-delà des transferts de données entre l’UE et les États-Unis », a-t-il déclaré.

« Les autorités comme le DPC irlandais ont jusqu’à présent sapé le succès du GDPR en ne traitant tout simplement pas les plaintes. Le tribunal a clairement dit aux DPA d’aller de l’avant et d’appliquer la loi.

Il a déclaré que cette décision signifiait que Facebook ne serait pas en mesure d’utiliser les CSC pour les transferts de données ue-États-Unis, et si elle continuait à violer la loi, le DPC devrait « prendre des mesures urgentes ».

La décision de la Cour affectera le commerce entre l’UE et les États-Unis

La Business Software Alliance, l’une des parties à l’affaire, a déclaré que la décision de la Cour d’invalider le bouclier de protection de la vie privée créerait un obstacle pour le commerce électronique entre les États-Unis et l’UE.

« La décision d’aujourd’hui du Bouclier de protection de la vie privée vient de retirer de la table l’une des rares façons, et les plus fiables, de transférer des données outre-Atlantique », a déclaré Thomas Boué, directeur général de la BSA.

« La décision d’aujourd’hui du Bouclier de protection de la vie privée vient d’être retirée de la table, l’une des rares façons, et les plus fiables, de transférer des données de l’autre côté de l’Atlantique. Les impacts seront ressentis par les entreprises, grandes et petites »

Thomas Boué, BSA

« Les répercussions seront ressenties par les grandes et les petites entreprises des deux côtés de l’Atlantique, lorsque les entreprises les impacts économiques de Covide-19 et s’appuient de plus en plus sur des outils et des services axés sur les données pour le faire », a-t-il déclaré.

Renzo Marchini, associé du cabinet d’avocats Fieldfisher, a déclaré que bien que les entreprises puissent continuer à utiliser les CSC, il y avait « un grand mais » – le tribunal a clairement indiqué que les entreprises devront s’assurer que tout pays qu’elles transfèrent des données offre une protection « essentiellement équivalente » à l’UE.

« Comment les entreprises européennes – certainement les plus petites – sont-elles censées le faire ? », a-t-il déclaré. « Cela demande des conseils urgents de la part des organismes de réglementation. Il n’est pas pratique pour les entreprises, sauf les plus grandes, de faire cette évaluation.

Il est difficile de voir comment les régulateurs seraient en mesure d’autoriser les transferts de données aux États-Unis en vertu de clauses contractuelles standard, à la suite de l’invalidation de la Cour de protection de la vie privée, a déclaré Marchini.

Caitlin Fennessy, directrice de recherche à l’International Association of Privacy Professionals, a affirmé que la décision de la Cour aurait un impact négatif sur les entreprises américaines qui partagent des données avec les États-Unis.

« La décision d’aujourd’hui bloque effectivement les transferts légaux de données personnelles de l’UE vers les États-Unis. Il laissera sans aucun doute des dizaines de milliers d’entreprises américaines brouillées et sans aucun moyen légal de mener des affaires transatlantiques, d’une valeur de billions de dollars par an », a-t-elle déclaré.

Max Schrems a déclaré aujourd’hui que les groupes de pression de l’industrie avaient exagéré l’impact de la décision sur les entreprises, comme dans la pratique les flux de données « nécessaires » peuvent encore continuer légalement en vertu de l’article 49 du GDPR.

« Il s’agit d’une base solide pour la plupart des transactions légales avec les États-Unis. En termes simples, les États-Unis ont maintenant été ramenés à la situation « ormal » que l’UE a avec la plupart des autres pays tiers, mais ont perdu leur accès spécial au marché de l’UE sur la surveillance des États-Unis, at-il dit.

Les entreprises peuvent délocaliser des données en Europe

Il est peu probable que les flux de données entre les États-Unis et l’UE se tarissent immédiatement. Il est probable que la Commission européenne accordera aux entreprises qui comptent sur privacy Shield un délai de grâce pour prendre de nouvelles dispositions.

« e que nous voyons ici ressemble étrangement à une guerre commerciale de la vie privée, où l’Europe dit que ses normes de données peuvent faire confiance, mais ceux aux États-Unis ne peuvent pas »

Jonathan Kewley, Clifford Chance

On s’attend à ce que de nombreuses entreprises passent du bouclier de protection de la vie privée aux clauses contractuelles standard pour continuer à transférer des données légalement.

La Commission européenne est en train de réviser les CSC pour tenir compte du RGDPR et a confirmé qu’elle les modifiait à la suite de la décision de la Cour européenne.

Le vice-président de la Commission européenne Jourova a déclaré aujourd’hui lors d’une conférence de presse que la Commission travaillera avec ses homologues américains, y compris le secrétaire américain au Commerce Wilbur Ross, et le procureur général William Bar, pour développer des transferts de données robustes entre l’UE et les États-Unis.

Jonathan Kewley, co-responsable de la technologie au cabinet d’avocats Clifford Chance, a déclaré que certaines entreprises étaient susceptibles de répondre en localisant leurs données en Europe.

« Ce que nous voyons ici ressemble étrangement à une guerre commerciale de la vie privée, où l’Europe dit que ses normes de données peuvent être fiables, mais ceux aux États-Unis ne peuvent pas », a-t-il dit. « Nous prévoyons que le résultat pourrait être une plus grande localisation des données en Europe, avec plus de données clients restant en Europe en conséquence. »

La décision pourrait affecter les transferts de données entre l’UE et le Royaume-Uni

La décision d’aujourd’hui est susceptible d’avoir un impact sur les transferts de données entre l’UE et le Royaume-Uni après le Brexit. Les transferts de données du Royaume-Uni vers l’UE ne seront pas affectés jusqu’en 2024.

Mais il n’est pas encore certain que l’UE conclut que le Royaume-Uni offre aux citoyens de l’UE une protection adéquate pour leurs données, en vertu de la loi britannique sur la surveillance, la Loi sur les pouvoirs d’enquête.

Daniel Tozer, responsable des données et de la technologie au cabinet d’avocats Harbottle & Lewis, a déclaré que la capacité des entreprises à transférer des données entre l’UE et le Royaume-Uni était incertaine à la suite du jugement.

« Ce jugement soulève des questions quant à la capacité du Royaume-Uni à se voir accorder une « adéquation » de la protection des données par l’UE, compte tenu des lois du Royaume-Uni en matière de surveillance et de son adhésion au programme Five Eyes. Les transferts de données entre l’UE et le Royaume-Uni à partir du 1er janvier 2021 pourraient bien devenir très difficiles », a-t-il déclaré.

Jim Killock, directeur exécutif de l’Open Rights Group, a déclaré qu’à la suite de l’arrêt, le Royaume-Uni devrait choisir entre maintenir les normes élevées en matière de protection de la vie privée de l’UE ou abaisser les normes de confidentialité des États-Unis après le Brexit.

« Le régime de surveillance du Royaume-Uni sera remis en question après ce jugement, car l’Europe a rejeté le bouclier de protection de la vie privée précisément en raison de préoccupations concernant la surveillance. De même, on ne peut plus compter sur des clauses contractuelles types », a-t-il déclaré.

DPC irlandais: Les transferts de données vers les États-Unis maintenant « discutable »

Lla La Commission irlandaise de protection des données, qui a renvoyé l’affaire devant la Cour de justice de l’Union européenne, a déclaré que la décision appuyait les préoccupations du régulateur et de la Haute Cour irlandaise selon lesquelles les citoyens de l’UE ne bénéficient pas du niveau de protection exigé par l’UE lors du transfert de leurs données aux États-Unis.

« Bien que le jugement capture le plus évidemment les transferts de données de Facebook concernant M. Schrems, il est bien sûr le cas que sa portée s’étend bien au-delà, en abordant la position des citoyens de l’UE en général », a-t-il déclaré dans un communiqué.

Bien que le tribunal ait conclu que les CSC étaient valides, leur utilisation pour transférer des données personnelles aux États-Unis était maintenant discutable, a déclaré l’organisme de réglementation, dirigé par Helen Dixon.

« Il s’agit d’une question qui nécessitera un examen plus approfondi et plus approfondi, notamment parce que les évaluations devront être faites au cas par cas », a-t-il déclaré.

Facebook tient compte des implications

Eva Nagle, avocate générale associée de Facebook, a déclaré que le réseau de médias sociaux examinait les implications de la décision du tribunal d’annuler le bouclier de protection de la vie privée.

« ous nous félicitons de la décision de la Cour de justice de l’Union européenne de confirmer la validité des clauses contractuelles types pour les transferts de données vers des pays tiers. Celles-ci sont utilisées par Facebook et des milliers d’entreprises en Europe et fournissent d’importantes garanties pour protéger les données des citoyens de l’UE », a-t-elle déclaré.

Continue Reading
Click to comment

Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Technologie

SonicWall corrige 11 vulnérabilités de pare-feu

Published

on


Le constructeur de pare-feu SonicWall a corrigé un total de 11 vulnérabilités et expositions communes (CVE) divulguées dans son système d’exploitation SonicOS par des chercheurs de Positive Technologies, dont l’un s’est vu attribuer un score CVSS critique de 9,4.

La vulnérabilité la plus grave, CVE-2020-5135, est une vulnérabilité de débordement tampon dans SonicOS Gen 6, versions 6.5.4.7, 6.5.1.12, 6.0.5.3 et SonicOSv 6.5.4.v. Il pourrait être utilisé contre les produits affectés par des acteurs malveillants pour provoquer le déni de service (DoS) et exécuter du code arbitraire.

« La solution testée utilise un service d’accès à distance SSL-VPN sur les pare-feu, et les utilisateurs peuvent être déconnectés des réseaux internes et de leurs postes de travail en cas d’attaque DoS », a déclaré Nikita Abramov, chercheur chez Positive Technologies, qui a travaillé sur la divulgation aux côtés de Craig Young de Tripwire.

« Si les attaquants parviennent à exécuter du code arbitraire, ils peuvent être en mesure de développer une attaque et de pénétrer les réseaux internes de l’entreprise », a déclaré M. Abramov.

Une deuxième vulnérabilité, CVE-2020-5133, a été notée 8.2 sur la matrice CVSS, et pourrait permettre à un attaquant distant et non authenté de provoquer des attaques DoS en raison d’un débordement de mémoire tampon, conduisant à un crash pare-feu. D’autres défaillances dans SonicOS pourraient également être causées par l’exploitation réussie des CVE 2020-5137, 5138, 5139 et 5140, tous exploitables à distance, et les CVE 2020-5134 et 5136, qui sont moins sévères que de les exploiter nécessiteraient l’authentification.

D’autres vulnérabilités détectées, selon Positive Technologies, incluent CVE-2020-5141, qui pourrait permettre à un attaquant distant et non authentisé de forcer brutalement une identité de billet d’assistance virtuelle dans le service SSL-VPN ; CVE-2020-5142, une vulnérabilité de script inter-sites (XSS) qui permet à un attaquant distant et non authentint d’exécuter du code JavaScript arbitraire dans le portail SSL-VPN pare-feu ; et CVE-2020-5143, qui existe dans la page de connexion SonicOS SSL-VPN et qui pourrait permettre à un attaquant distant et non auuthnisé d’effectuer l’énumération du nom d’utilisateur de l’administrateur de gestion du pare-feu en fonction des réponses du serveur.

SonicWall, qui est derrière un cinquième des appareils de sécurité de passerelle selon les statistiques IDC, a déclaré qu’il n’était pas au courant de l’une des vulnérabilités traitées ayant été exploitées de manière proactive par les cybercriminels jusqu’à présent.

Tout client utilisant un produit impacté est conseillé de mettre à niveau son firmware – un contrat de support valide n’est pas tenu de le faire.

SonicWall a déclaré à Computer Weekly qu’il maintient les normes les plus élevées pour assurer l’intégrité de ses produits, solutions, services, technologie et toute propriété intellectuelle connexe et, en tant que telle, prend chaque divulgation ou découverte très au sérieux.

« C’est la meilleure pratique pour la collaboration fournisseur-chercheur dans l’ère moderne », a déclaré Aria Eslambolchizadeh, responsable de l’ingénierie de la qualité chez SonicWall.

« Ces types de relations ouvertes et transparentes protègent l’intégrité du paysage en ligne et assurent une meilleure protection contre les menaces avancées et les vulnérabilités émergentes avant qu’elles n’aient un impact sur les utilisateurs finaux, comme ce fut le cas ici. »

La liste complète des vulnérabilités divulguées est disponible auprès de SonicWall, ainsi que des instructions et des conseils sur la façon de mettre à jour les produits à risque.

Continue Reading

Technologie

Les organismes de bienfaisance mis en garde contre les cybercriminels « Robin des Bois »

Published

on


Les organismes de bienfaisance, les organismes sans but lucratif et les organisations connexes devraient être sur leurs gardes contre un nouveau développement dans le monde de la cybercriminalité qui a des experts en sécurité perplexe et les experts juridiques alarmés – le don d’argent extorqué de victimes ransomware à la charité.

D’abord rapporté par la BBC, la tactique a été adoptée par un groupe de ransomware relativement nouveau connu sous le nom DarkSide, l’un d’un nombre croissant de groupes de plus en plus sophistiqués et professionnalisés cybercriminalité qui prennent une approche commerciale au jeu ransomware.

DarkSide, lors de son émergence au début de 2020, est allé jusqu’à produire un communiqué de presse réel révélant comment il analyse soigneusement les finances de ses cibles avant une attaque, et fait un point de ne jamais attaquer les organisations médicales, les organismes à but non lucratif ou les organismes gouvernementaux.

Maintenant, le groupe a pris la décision de « donner quelque chose en retour » et dans un billet de blog fait le 13 Octobre, a déclaré qu’il était « seulement juste » que certains de l’argent qu’il a extorqué devrait aller à la charité. Elle a effectué deux paiements de 0,88 bitcoin, soit 10 000 $, à deux organismes de bienfaisance basés aux États-Unis, Children International dans le Missouri et The Water Project dans le New Hampshire, par l’intermédiaire de The Giving Block, une entité créée spécifiquement pour gérer les dons de crypto-monnaie à des œuvres caritatives. Le groupe DarkSide a également affiché des reçus d’impôt pour les dons.

Selon les premiers rapports, Children International a déclaré qu’il n’a pas l’intention de garder l’argent, tandis que the Giving Block a déjà commencé une enquête sur l’endroit où les fonds provenaient et comment les retourner.

Mais quelles sont les ramifications pour les organisations qui pourraient se trouver sur la fin de réception d’un tel don? Pour Judy Krieg, associée au cabinet d’avocats Fieldfisher, ce n’est pas une question délicate. « En bref, la réponse est : ne le faites pas », a-t-elle déclaré à Computer Weekly.

En vertu de la loi, techniquement parlant, l’acceptation des paiements ransomware sous quelque forme que ce soit constituerait un blanchiment d’argent.

L’argent extorqué par des attaques ransomware devient des produits de la criminalité, qui est également connu sous le nom de biens criminels. Par conséquent, a déclaré Krieg, en vertu de l’article 329 de la Loi de 2002 sur les produits de la criminalité du Royaume-Uni, la principale loi britannique sur le blanchiment d’argent, une organisation ou une personne qui acquiert, utilise ou possède des biens criminels commet une infraction.

Dilemme moral

Même si la loi est très claire sur le profit de la cybercriminalité, Javvad Malik, défenseur de la sensibilisation à la sécurité à KnowBe4, dit que de tels actes de philanthropie supposée aurait encore présenté les bénéficiaires avec un dilemme moral, bien que celui qui devrait être facile à surmonter.

« Il ne faut pas regarder au-delà du fait que l’argent a été obtenu illégalement par le biais d’actions criminelles et qu’aucun montant de contributions de bienfaisance ne peut effacer cela », a déclaré Malik.

« haque fois qu’une organisation est extorquée par ransomware ou d’autres moyens, que l’argent a un impact sur les individus réels. Beaucoup de gens ont perdu leur emploi au fil des ans, il ya eu des organisations qui ont cessé d’exister, et il ya même eu quelques discussions récemment sur le rôle que ransomware a dû jouer dans la mort malheureuse d’un patient transporté dans un autre hôpital.

« Les criminels doivent comprendre qu’il y a un impact très réel de leurs actions, et le simple fait de donner un montant à des organismes de bienfaisance ne peut compenser cela. »

Relations publiques

Kelvin Murray, un chercheur principal sur la menace à Carbonite Webroot, a déclaré que les dons semblaient être en ligne avec une tendance croissante parmi les opérateurs ransomware pour essayer de blanchir leur image.

« Nous l’avons vu avec le gang Maze, entre autres, où, tout au long de la pandémie de Covid-19, ils nous ont constamment rappelé qu’ils n’ont pas ciblé les hôpitaux par souci moral », a-t-il dit.

« Cela coïncide également avec leur tactique relativement nouvelle consistant à voler des données à leurs victimes et à les publier publiquement sur des sites Web. Ces grands gangs font également beaucoup d’affichage public sur le dark web comme ils courtisent les clients et forment des alliances d’affaires.

« J’imagine que les relations publiques sont plus préoccupantes pour eux maintenant, parce qu’ils comptent davantage sur la publicité et la bonne foi de leurs parties prenantes et de leurs victimes pour que leurs tactiques d’extorsion soient couronnées de succès. »

Comparitech.com spécialiste de la sécurité Brian Higgins prend une ligne similaire. « Je doute que ce soit autre chose que la recherche d’attention de la part du groupe DarkSide », a-t-il déclaré.

« Tout d’abord, 10 000 $ est une somme dérisoire par rapport aux énormes sommes d’argent qu’ils ont extorquées à leurs victimes, donc ce n’est guère un grand geste philanthropique, et deuxièmement, aucun organisme de bienfaisance crédible n’acceptera jamais des dons qui sont manifestement le produit de la criminalité. »

Selon Higgins, il reste un minuscule possibIl est que, en faisant ces dons, DarkSide testait les eaux pour essayer de blanchir le produit de ses entreprises, mais il a dit qu’il est plus probable que les criminels ont juste trop de temps sur leurs mains, sans parler de « trop » d’argent volé frapper. Il ya, après tout, une limite au nombre de Lamborghini on peut afficher en évidence sur Instagram sans attirer l’attention.

« S’ils étaient vraiment sérieux au sujet de « faire du monde un meilleur endroit », ils vendraient tous leurs ordinateurs portables et resteraient hors de l’Internet, » a dit Higgins.



Continue Reading

Technologie

De la conformité à l’ouverture bancaire en passant par la finance intégrée – tout cela grâce aux API

Published

on


Les banques, les assurances et la finance ont toujours été fortement centralisées dans leur hiérarchie, leurs modèles d’affaires et leurs systèmes d’information. Mais à l’ère numérique, ces industries nécessitent des modifications et de l’innovation.

Avec l’explosion des canaux et des applications numériques, les générations modernes ne visitent plus leur succursale bancaire locale pour leurs besoins financiers. Ils veulent avoir accès aux services bancaires non pas là où se trouvent les banques, mais où ils sont. C’est à la banque de s’adapter aux trajets clients modernes et multicanals.

Cette nouvelle demande, combinée à l’émergence de technologies logicielles innovantes, crée une nouvelle forme de financement qui est intégrée par des interfaces de programmation d’applications (API) qui permettent à vos services bancaires et vos données de se retrouver sur des applications tierces.

Les dirigeants bancaires qui n’obtiennent pas le potentiel commercial créé par les API vont manquer le passage de la banque traditionnelle à la banque moderne et distribuée, ce qui représente un passage de 3,6 milliards de dollars à 7,2 milliards de dollars, selon Simon Torrance, conseiller financier au Forum économique mondial. La prochaine croissance du secteur bancaire sera-t-elle une croissance des banques ? Pas si sûr.

En 2010, les décideurs britanniques et européens ont créé des réglementations obligeant les banques à ouvrir des données et des services à des tiers en toute sécurité afin de favoriser l’innovation qui transformerait et créerait de meilleurs produits financiers pour les consommateurs. Cela a conduit à des investissements plus importants dans l’écosystème des fintech, car de nombreux entrepreneurs et investisseurs ont saisi l’occasion de revolutiser les banques avec le soutien de l’infrastructure actuelle en place, qui pourrait enfin être accessible et exploité par les startups.

Cette initiative, appelée open banking, a été repoussée au Royaume-Uni avec la réglementation Open Banking UK et en Europe continentale avec la directive 2 du service de paiement (PSD2). Certains chefs de file de l’industrie ont compris le potentiel commercial passionnant, mais beaucoup ont choisi de maintenir le statu quo en se concentrant simplement sur la conformité.

Ils ne pouvaient pas voir que, alors que la concurrence est maintenant sur le produit bancaire vs produit, il serait bientôt sur la plate-forme vs plate-forme, puis l’écosystème vs écosystème. Et comment devenir une plate-forme et un écosystème ? En étant intégré et intégré dans les applications et les expériences clients d’autres personnes.

Beaucoup d’entreprises regardent venir la vague de l’économie axée sur l’API, mais si elles ne sont pas prêtes à surfer – elle finira par les noyer.

Les logiciels mangent le monde bancaire

Les API permettent aux applications de connecter et d’échanger des données de manière programmable et automatisée. Par exemple, si vous souhaitez connecter plusieurs comptes bancaires en une seule application, l’application en coulisses doit se connecter aux API des différentes banques pour déclencher et agréger les données. Nous ne le voyons pas comme des utilisateurs, mais en fait les applications qui sont connectées à de nombreuses API font bouger les choses.

Et ces interfaces techniques ont d’énormes avantages commerciaux. Cela signifie que vous pouvez être intégré dans des applications tierces et conquérir des expériences client qui étaient auparavant hors de portée.

Grâce à ces interfaces, les banques et les assureurs peuvent exporter leurs services vers d’autres voyages clients et se retrouver non seulement sur leur propre application mobile, mais dans un trésor de plates-formes extérieures. Des applications pour des choses comme l’achat de véhicules ou les agences immobilières qui aident à faire des offres de location ou d’achat, les sites web de commerce électronique qui permettent aux consommateurs de payer à crédit au moment de l’achat et une multitude d’autres expériences client existent en dehors du monde bancaire, mais bénéficient énormément des services bancaires.

Pour cette raison, l’économie de la banque et de la finance embarquée est estimée à près de 7,2 milliards de dollars – soit plus du double du marché bancaire actuel. Cela a créé une opportunité monumentale pour les acteurs traditionnels et les fintechs.

L’apocalypse de l’API bancaire

Dans un contexte commercial, les API ne sont pas des interfaces techniques, ce sont des produits numériques prêts à être intégrés pour fournir et exporter des capacités permettant de nouvelles expériences bancaires clients.

Selon le rapport État trimestriel de l’API bancaire de la marquet 2020, nous avons plus de 200 banques avec une plate-forme d’API ouverte, représentant plus de 1 400 produits API disponibles, intégrables et intégrés dans d’autres applications de sociétés accréditées. Principalement poussée par la réglementation, la repartition des produits API est principalement l’information sur les comptes (31%), suivie par les paiements (25%), car ces deux types de produits API sont ceux exigés par les règlements Open Banking UK et PSD2.

Mark Boyd, auteur du rapport, dit: « es banques en Europe sont en train de passer aux exigences réglementaires et créent la « onfirmation des fonds’ API en plus de leurs exigences d’ouverture des paiements PSD2. Cela aide les banques à offrir une suite complète de traitement des paiements d’API à la fintech.

« Il est intéressant de noter qu’à la suite d’une tendance amorcée par Capital One aux États-Unis dès les premiers jours de l’exposition d’API ouvertes pour de nouvelles affaires, les banques ouvrent connaissance de votre client (KYC)/API d’identité. Les API de pré-approbation de notation de crédit et de prêt augmentent également en fréquence. Les banques ouvrent souvent des guichets automatiques et des produits bancaires API d’abord, car ceux-ci sont à faible risque. Dans des régions comme l’Australie et le Royaume-Uni, elles sont également obligatoires dans le cadre de la réglementation.

« À mesure que les API commencent à être consommées par les fintech dans les applications de budgétisation et d’épargne, ces API de produits pourraient être utiles pour créer des fonctionnalités comme la commutation de produits et l’identification de meilleurs produits bancaires de création de richesse pour les consommateurs. »

En Europe, le nombre d’entreprises accréditées autorisées à construire des applications bancaires embarquées a augmenté de 7,5 % entre le premier trimestre et le deuxième trimestre pour atteindre plus de 2 500. Le Royaume-Uni est en tête du mouvement avec 189 fournisseurs accrédités – plus de 40% de plus que le deuxième pays sur la liste, l’Allemagne, avec seulement 115 fournisseurs accrédités.

Il est intéressant de noter que cela ne concerne pas la taille du pays, mais se concentre principalement sur la part du PIB apporté par la finance dans l’économie, par exemple le Luxembourg 16ème avec 77, ou la numérisation de la société avec l’Estonie (18ème) avec 72.

Les banques n’étaient pas préparées

Pendant des années, les décideurs ont travaillé sur la réglementation du bâtiment pour ouvrir les banques afin de créer de l’innovation dans l’industrie pour tous les utilisateurs. Les banques n’étaient pas préparées, parce que leur modèle d’affaires était basé sur des clients retenus captifs par leur monopole. Maintenant, ils sont obligés d’ouvrir des API, ce qui a nivelé les règles du jeu. En conséquence, les startups sont en mesure d’attirer de nouveaux utilisateurs, grâce à des méthodes plus agiles et plus de boucles de rétroaction qui leur permettent d’offrir une meilleure expérience utilisateur.

Aujourd’hui, nous avons un niveau de concurrence beaucoup plus sain entre les titulaires et les nouveaux acteurs, même si les startups sont autorisées à utiliser l’infrastructure des acteurs établis.

En 1994, Bill Gates a déclaré : « Nous avons besoin de services bancaires, nous n’avons pas besoin de banques. » Vingt-six ans plus tard, les banques sont toujours là et plus fortes que jamais, mais les banques vont au-delà de leurs murs d’entreprise, vers une pléthore de nouveaux canaux et d’expériences d’utilisateurs finaux. Les banques gagnent largement et fortement, mais pas nécessairement en raison des institutions financières traditionnelles.

Les banques qui ne restent ouvertes qu’à suivre la réglementation bancaire ouverte seront perdantes face à toutes les entreprises qui viendront consommer leurs API et les concurrencer. Pour réagir, survivre et continuer à croître, les banques, les compagnies d’assurance et les sociétés financières traditionnelles doivent adopter l’esprit API et viser à être intégrés dans toutes les applications potentielles et les expériences clients qui ont besoin de services bancaires, de continuer à atteindre de nouveaux clients à leurs propres conditions.

Les banques ne seront pas en mesure d’attirer tous les utilisateurs sur leurs canaux numériques – la seule façon de les atteindre est d’être intégrées dans les applications d’autres personnes.

Le besoin de services financiers ne disparaîtra jamais. En fait, nous avons besoin de plus de services bancaires que jamais auparavant. Ce qui a changé, c’est que nous avons besoin de plus de services bancaires intégrés dans nos vies pour nous donner ce que nous voulons, quand et où nous en avons besoin, et pour ce faire, plus de banques ont besoin de plus d’API.

C’est l’avenir de la banque. Ignorer la finance intégrée n’est pas une option.

Mehdi Medjaoui est un entrepreneur en logiciels et auteur qui a cofondé la plateforme API d’identité OAuth.io. Il est également le fondateur de Conférences APIdays et professeur invité dans les principaux MBA de l’UE et EMBA (HEC, EMLyon). APIdays Londres aura lieu virtuellement les 27 et 28 octobre et explorera comment les API permettront aux titulaires de capitaliser sur Finances.

Continue Reading

Trending