Après des mois de rumeurs, voir des années, il semble que l’Europe soit désormais officiellement en train de s’aligner sur les Etats-Unis. En effet, la législation européenne évolue et va prévoir la mise en œuvre de sanctions (amendes pouvant aller jusqu’à 5% du chiffre d’affaire) pour les entreprises ayant perdues des données. Ces dernières auront 24H pour déclarer officiellement l’incident une fois détecté.
Alors oui, c’est vrai, nous n’y sommes pas encore si l’on considère que l’adaptation de cette recommandation, qui sera dévoilée en Janvier 2012, doit d’abord être validée par les systèmes parlementaires des différents pays membres (2 à 4 ans de délai). Néanmoins il s’agit d’un tournant clair et explicite dans la gestion des incidents qui touchent les données de l’entreprise et des utilisateurs.
Le laps de temps restant avant l’implémentation dans chaque pays pourra, sans aucun doute, être utilisé pour se mettre en conformité et éviter toute sanction lors d’un incident. Car honnêtement, qui peut réellement déclarer qu’il n’y a pas eu de perte de clés USB, smartphones, ordinateurs portables, ou pire pénétration de son SI ces dernières années ? Alors que nos homologues outre atlantique font des déclarations très régulières, j’ai du mal à croire qu’il ne se passe absolument rien en Europe (un article du figaro qui ne fait que renforcer ce sentiment ici). Nous allons bientôt commencer à apercevoir la base de l’iceberg.
Source: Financial Time
Cedric
Bonjour
de quelles types de données s'agit-il ?
Cordialement
Toute donnée qui touche un client, un fournisseur, un partenaire ou même un employé de la société incriminée est concernée. Le scope est donc extrêmement large.
Si seulement on pouvait faire pareil pour les particuliers dont le PC fait partie d'un botnet, on arriverait à faire du ménage. Là les attaquants oeuvrent en toute sérénité avec le consentement tacite de leurs victimes de premier rang puisqu'elles ne risquent rien !