La sécurité du contenu aujourd’hui : un danger évident et omniprésent

En matière de sécurité du contenu, vos pires ennemis peuvent être vos meilleurs employés.

Aujourd’hui, le contenu est assailli de tous côtés. Lorsqu’elles ne font pas l’objet d’attaques directes de pirates extérieurs, vos données sensibles sont mises en danger par vos employés qui utilisent des plateformes de partage de fichiers non sécurisées et non supervisées, des appareils mobiles non sécurisés ou encore des méthodes obsolètes (comme l’email et les clés USB) qui vous privent de tout contrôle sur la sécurité de votre contenu.

Dans cette série de vidéos, Rainer Gawlick, Partenaire stratégique d'Intralinks et Arne Schönbohm, président du Cyber-Security Council en Allemagne, présentent une vue générale de la situation et des pratiques actuelles en matière de partage de fichiers. Vous y apprendrez ce que vous pouvez faire pour protéger vos données de haute valeur des dangers externes mais aussi internes à l’entreprise.

En savoir plus

Pour regarder une vidéo, sélectionnez une rubrique ci-dessous.

Le contenu : le nouveau périmètre

Arne Schönbohm et Rainer Gawlick montrent comment la protection doit aujourd’hui se déplacer avec le contenu pour assurer une collaboration sûre au-delà du firewall de l’entreprise.

Copie de l’interview

En savoir plus

Transcription

Rainer Gawlick

Je m’appelle Rainer Gawlick, je suis avec Arne Schönbohm pour parler de sécurité. La sécurité est un sujet très important dans la presse ces derniers temps. Des données ont été perdues. Les salariés ont bien conscience des problèmes de sécurité.

 

Parallèlement, ils ont également besoin de faire leur travail tous les jours, et il y a une tension entre ce que les responsables de la sécurité

informatique doivent faire et ce que les salariés doivent faire. Comment certaines sociétés de votre association gèrent-elles ces problèmes ?

 

Arne Schönbohm

Vous avez absolument raison. Tout le monde parle de sécurité. On voit tous ces incidents dans les journaux, à la télévision, etc. Il y a eu TV5, par exemple, en France, alors nous savons tous que c’est un problème essentiel.

 

En même temps, il faut aller de l’avant et travailler de façon adaptée. Donc le responsable de la sécurité a deux préoccupations. La première, c’est que les gens soient formés jour après jour pour qu’ils sachent ce qu’ils peuvent faire ou ne doivent pas faire. La seconde, c’est de savoir

quelle est la technologie qu’il faut choisir. Quelles sont les procédures à connaître. Donc il cherche de nouvelles techniques. Il y a cent ans,

on protégeait sa ville en construisant un mur de briques autour de la ville, et ainsi, elle était protégée.

 

Aujourd’hui, ce n’est pas suffisant. Si on compare les anciennes villes

à une entreprise, une protection autour de la ville ne suffit pas. Il faut beaucoup mieux protéger sa ville. Il faut protéger les différentes maisons. Une banque, par exemple, a beaucoup de données, beaucoup d’argent – c’est la pierre angulaire de votre entreprise. Il lui faut une protection spéciale et c’est ce genre de problèmes que gère un responsable de la sécurité, à savoir comment protéger les différents niveaux de l’entreprise, pas seulement à la périphérie, mais au sein de l’entreprise.

 

Rainer Gawlick

J’aime votre comparaison avec le mur d’une ville. Vous avez raison, autrefois, les gens protégeaient le réseau, principalement, grâce à diverses technologies utilisées dans ces cas-là, et une fois à l’intérieur, on avait accès à tout.

 

En tant qu’entreprise, nous pensons vraiment qu’en plus de protéger le périmètre, il faut protéger les données, où qu’elles soient, de façon à ce que, même si quelqu’un entre dans le périmètre - par exemple, une menace persistante avancée, dont on voit beaucoup d’exemples –, une fois

que cette personne est dans la ville, elle ne puisse pas accéder à toutes les données, qu’il y ait des mécanismes de sécurité sur ces données, et que seules les personnes autorisées puissent y accéder.

 

Bien sûr, des données quittent aussi l’entreprise, des marchandises  quittent la ville, alors comment être sûr qu’elles sont également protégées ? Nous protégeons les données grâce à une technologie appelée Gestion des droits relatifs à l’information, pour que même quand les données sont en dehors des murs de la ville, on puisse encore avoir une visibilité et contrôler ce que deviennent ces données. Les données sont, selon notre formule, le nouveau périmètre.

 

Arne Schönbohm

C’est très important, car c’est comme dans une ville actuelle. Même si la police patrouille pour protéger les périphéries, on a toujours une clé  différente pour chaque maison. C’est exactement comme ça qu’on doit aller de l’avant de façon appropriée. Il faut proposer des formations, avoir la bonne idée et la bonne technologie, c’est là qu’est la solution.

 

Rainer Gawlick

Merci.

 

Arne Schönbohm

Je vous en prie.

Visibilité du cycle de vie

La cybercriminalité est désormais plus répandue – et plus rentable – que le trafic de drogue. Rainer Gawlick et Arne Schönbohm analysent la hausse spectaculaire des vols de propriétés intellectuelles.

Copie de l’interview

En savoir plus

Transcription

Rainer Gawlick

Je m’appelle Rainer Gawlick, je suis avec Arne Schönbohm pour parler de quelques points intéressants concernant la sécurité. L’un des points que nous observons chez un grand nombre de nos clients, c’est la conjonction de deux situations qui semblent entrer en conflit. D’un côté, des lois demandent de plus en plus aux entreprises de se concentrer sur les problèmes de sécurité pour assurer la protection de leurs données, à la fois les données privées et les propriétés intellectuelles. De l’autre côté, les entreprises ont une chaîne d’approvisionnement de plus en plus désagrégée. Elles utilisent beaucoup plus de partenaires qu’autrefois. C’est l’un des grands sujets abordés lors d’un récent congrès en Allemagne, le Salon de Hanovre, où l’on a parlé de l’idée d’« Industrie 4.0 ». Comment peut-on concilier ces deux situations ?

 

J’allais d’abord vous poser une question sur les problèmes de sécurité que le gouvernement vise, en matière de législation. Quel genre de réglementation applique le gouvernement concernant la protection des données ?

 

Arne Schönbohm

Nous n’en sommes qu’au début. Examinons le passé. Pourquoi le gouvernement évolue-t-il en ce qui concerne la législation ? Parce que le crime organisé gagne, depuis 2009, plus d’argent avec la cybercriminalité qu’avec la drogue. Vous savez à quel point notre législation est dure avec la drogue et à quel point l’application de la loi est forte.

 

En Allemagne, nous arrêtons 25 % des voleurs. Donc, dans 75 % des cas, nous n’arrêtons pas les responsables, les criminels du crime organisé. C’est pourquoi le gouvernement évolue en ce sens. Nous avons beaucoup de lois en Allemagne, ainsi qu’en France et au Royaume-Uni. Et il y a des crimes informatiques très graves. Prenez TV5 en France, par exemple. Ce n’est pas si loin. C’est pour ça que les gouvernements évoluent,

et c’est très important pour eux d’évoluer de cette façon. Mais d’un autre côté, cela devient de plus en plus difficile pour les entreprises de réagir à ces différentes formes de législation, parce qu’en Espagne, les lois sont très différentes de celles de l’Italie ou de la Grèce.

 

Comment travailler dans cet environnement très fluctuant ? Pensez à l’Internet des objets, ou Industrie 4.0,

l’énergie intelligente, etc., C’est là qu’il faut être très adaptable et avoir à l’esprit toutes les lois. Je trouve que c’est vraiment un très grand défi à relever pour les entreprises dans cet environnement.

 

Rainer Gawlick

On a, à bien des égards, un contraste. D’un côté, on veut protéger ses données et d’un autre côté, on doit avoir une approche d’entreprise très agile et respectueuse des partenaires. L’une des choses que nous faisons à Intralinks qui peut s’avérer utile, c’est de trouver vraiment des technologies qui prennent en considération les lois, mais aussi les salariés et le comportement qu’ils doivent avoir.

 

L’une des deux choses sur lesquelles nous travaillons, c’est la capacité pour l’entreprise de placer des données

où elle le souhaite. Si c’étaient des données sur des citoyens allemands, ce serait en Allemagne. Si c’étaient des données sur des citoyens français, ce serait en France.

On pourrait appliquer les lois relatives à la vie privée propres à chaque pays différent, tout en ayant la possibilité de partager ces données avec nos partenaires qui pourraient être, par exemple, en Chine. Et nous ajoutons des  systèmes technologiques qui nous permettent de contrôler un fichier donné une fois que le salarié l’envoie par email ou le télécharge dans un pays différent.

 

On peut contrôler qui le voit, quand et pendant combien de temps, et enfin annuler également l’accès aux  données. Ainsi, nous essayons de trouver un moyen de connaître les lois et de les suivre d’un côté, mais aussi de permettre à l’industrie 4.0 un engagement flexible avec nos partenaires.

 

Arne Schönbohm

C’est très important, comme vous l’avez dit, que ce soit une solution adaptable et fiable. Et au final, s’il y a un problème, le conseil de surveillance, le conseil d’administration, etc.,  peut contrôler qui a fait quoi, quand et à quelle heure, et quelle est la réaction à avoir. On peut régler le problème de la bonne manière pour que’entreprise agisse en conséquence. Je pense que c’est très important, et que vous proposez là une solution très intéressante.

 

Rainer Gawlick

Merci.

Le chaos des applications

Arne Schönbohm et Rainer Gawlick parlent de l’explosion des applications dangereuses et des appareils personnels que les employés utilisent sans supervision ni autorisation. 

Copie de l’interview

En savoir plus

Transcription

Rainer Gawlick

Je m’appelle Rainer Gawlick, je suis avec M. Schönbohm pour parler de questions intéressantes relatives à la  sécurité. Le sujet particulier dont nous voulons parler aujourd’hui est le chaos en matière d’applications. Aujourd’hui, on voit dans de nombreuses entreprises deux tendances qui font entrer un grand nombre  d’applications dans l’entreprise. La première est, bien sûr, les nouvelles applications, comme Slack, Wunderlist, Trello, au premier plan, de très bonnes applications qui aident les gens à être productifs. La seconde est la prévalence de l’informatique grand public : les gens trouvent des outils qu’ils utilisent en tant que  consommateurs et ils les font entrer dans l’entreprise.

 

Nous avons tous vu récemment l’exemple aux États-Unis de notre secrétaire d’État candidate à la présidence qui n’aimait pas le système de courrier électronique du ministère des Affaires étrangères et qui a apporté son propre

système dans l’entreprise. Cela crée évidemment des problèmes de sécurité et de gouvernance pour les entreprises. Comment les entreprises font-elles pour gérer le problème des outils de travail que veulent les salariés, et, en même temps, pour garantir que la gouvernance et la sécurité ne sont pas rendues trop compliquées, et compromises ?

 

Arne Schönbohm

C’est une vraie difficulté pour le PDG de l’entreprise ou pour le responsable de la sécurité de détecter les bons  outils. Les salariés n’utilisent pas ces outils pour nuire à l’entreprise. Ils les utilisent parce qu’ils sont pratiques, adaptables et qu’ils augmentent sans doute leur productivité. Ils ne savent pas quoi utiliser d’autre.

 

C’est aujourd’hui la vraie difficulté pour le responsable de la sécurité : leur donner les bons outils pour qu’ils  soient très productifs, mais, en même temps, très sûrs. C’est un grand défi pour eux, et les entreprises cherchent à trouver un équilibre entre la sécurité et la productivité, surtout pour les applications. C’est ce qu’ils cherchent à faire, et c’est l’un des plus grands défis que nous devons relever actuellement. Alors même la secrétaire d’État

aurait utilisé le système de courrier électronique du ministère, ’qui aurait été beaucoup plus adaptable, fiable

et sûr que le sien.

 

Rainer Gawlick

Oui, je suis sûr qu’elle regrette de ne pas l’avoir fait. C’est l’une des choses sur lesquelles notre entreprise, Intralinks, se concentre, à savoir deux aspects que vous mentionnez et qui sont très importants. D’un côté, il faut créer un logiciel que les gens sont contents d’utiliser, qui a une interface utilisateur compatible avec l’expérience

que le consommateur a chez lui, et qui possède les caractéristiques de productivité qu’il recherche.

 

Une IU agréable, c’est très, très important, et on travaille très dur sur ce sujet. D’un autre côté, il faut proposer un ensemble d’outils qui permettent d’utiliser un grand nombre d’applications d’une façon sécurisée. Par exemple, nous avons des technologies qui permettent de sécuriser les fichiers, et même si ces fichiers sont utilisés dans d’autres applications, on peut maintenir un certain niveau de sécurité, de contrôle et surtout une certaine visibilité pendant l’utilisation de ces fichiers dans ces applications.

 

Arne Schönbohm

Ce genre de solution est très importante car, au final, quand il y a une atteinte grave à la sécurité, il faut que les autorités judiciaires puissent accéder à toutes les données possibles. Elles se fichent de savoir si l’entreprise ou le salarié utilise une autre solution qui n’entre pas dans le cadre normal. Il faut que ce soit juridiquement contraignant pour l’entreprise, sinon, vous aurez de gros problèmes.

 

Par conséquent, il faut que l’entreprise ait une solution sûre et productive, qui soit aussi la bonne solution d’un point de vue juridique.

 

Rainer Gawlick

Merci.

 

Arne Schönbohm

Je vous en prie.

Travaillez n’importe où et n’importe quand

Les heures de bureau sont désormais 24 h/24 et 7 j/7. Rainer Gawlick et Arne Schönbohm montrent comment la collaboration sécurisée est possible sur les appareils mobiles.

Copie de l’interview

En savoir plus

Transcription

Rainer Gawlick

Je m’appelle Rainer Gawlick, je suis ici avec Arne Schönbohm pour parler de quelques points intéressants concernant la sécurité. Aujourd’hui, nous aimerions parler de l’idée de travailler n’importe où et n’importe  quand. Nous travaillons désormais 24 h/24 et 7 j/7. On ne va plus au travail à 8 h du matin, pour revenir à la maison à 17 h, et on ne travaille plus uniquement entre les quatre murs de l’immeuble de notre employeur.

On travaille souvent à la maison, avec nos propres appareils, pendant qu’on se déplace.

 

Cas extrême, on se rend même dans un café Internet, où on utilise un PC qui n’appartient à personne en particulier, il est public. Quand les gens font cela, ils le font pour de bonnes raisons : pour rester très productifs

dans un monde où ils ont des partenaires dans le monde entier et dans des fuseaux horaires différents. Mais, naturellement, cela crée des problèmes de sécurité assez importants, j’imagine.

 

Arne Schönbohm

Vous avez absolument raison. C’est une question très difficile, parce que, d’un côté, il y a la productivité, et d’un autre côté, la sécurité. Comment les concilier ? Les gens doivent travailler, apporter leur propre appareil parce qu’ils ont différents types de clients. Est-ce qu’on se balade avec cinq smartphones pour chaque client, quand on a des données spécifiques sur le savoir-faire de ces clients ?

 

C’est très difficile. Comment allez-vous les protéger ? Si on parle de protection, il faut faire en sorte que cela ne nuise pas à la productivité. C’est vraiment un gros problème. Bien sûr, il y a des entreprises et des responsables de la sécurité qui essaient sérieusement de trouver une solution intéressante, qui améliore la sécurité tout en améliorant la productivité. Et il ne faut pas qu’elles s’opposent, mais qu’elles s’ajoutent l’une à l’autre. C’est dans ce domaine que les entreprises cherchent de bonnes solutions.

 

Rainer Gawlick

Oui, j’aime bien votre exemple d’un conseiller qui travaille pour plusieurs entreprises.  Il doit y avoir un exemple où les données sont sur un PC qui n’est pas contrôlé par l’entreprise. Notre approche, c’est l’idée qu’on appelle la Gestion des droits relatifs à l’information. En tant qu’entreprise, je pourrais mettre une enveloppe de sécurité autour des données que je veux protéger, et même si ces données circulent dans d’autres secteurs qui ne sont  pas contrôlés par mon service informatique – un PC chez soi, le PC d’un partenaire, un iPad, ou même un café Internet, dans un cas extrême –, on peut accéder à ces données, les consulter et les utiliser ’dans les limites établies par cette enveloppe de sécurité. Dès que l’enveloppe de sécurité est violée, les données sont bloquées. La personne qui essaie de violer les données ne peut pas y accéder.

 

Arne Schönbohm

Vous pouvez m’expliquer ça plus en détail ? Je suis devant un restaurant, par exemple, et je lis mes emails, j’ai tous mes contacts, mon agenda, tout est confidentiel et c’est sur mon iPad. Mais pendant que je paie la note, mon appareil disparaît. Que va-t-il se passer ? Les données ont disparu avec le voleur, alors que se passe-t-il ?

 

Rainer Gawlick

Nous mettons une enveloppe autour du document pour le protéger. Il y a deux procédés clés pour mettre cette enveloppe. Idéalement, il ne faut pas qu’il y ait de plug-ins pour ne pas être obligé d’installer des logiciels  partout. Le fait de ne pas avoir de plug-in est très important.

 

La deuxième chose importante, c’est la notion d’IRM sans friction. En d’autres termes, je dois pouvoir faire tout ce que je veux sans créer de friction dans mon flux de travail. Je vous donne un exemple : pour y arriver, nous  protégeons toutes les pièces jointes présentes dans l’email et si je perds mon iPad, ou si on me le prend, quand la personne essaie d’ouvrir les documents, même si elle est dans l’iPad, et que l’on n’a pas mis de mot de passe our l’iPad, quand elle clique sur le document, un autre mot de passe est demandé, et si la personne qui a volé l’iPad

n’a pas le mot de passe pour ce document, elle ne peut pas y accéder.

 

Par ailleurs, si le salarié signale le vol de l’iPad, nous pouvons annuler l’accès au document par qui que ce soit. Même si le mot de passe pour ce document est perdu – peut-être que le salarié l’avait noté sur un bout de papier–, on peut aussi l’annuler. Ce qui est bien, c’est qu’il y a une notion de transportabilité : imaginons que le voleur se soit procuré le mot de passe, et qu’ensuite nous refusions l’accès. L’accès disparaît en temps réel. On peut récupérer les données même si elles ont été perdues et compromises.

 

Arne Schönbohm

Ça a l’air intéressant.

 

Rainer Gawlick

Merci.

 

Arne Schönbohm

Je vous en prie.

Yeah. I like your example of a contract, perhaps, who works with many companies in some sense, inherently. They must be an example where data resides on a PC that's not controlled by the company. The approach that we are trying to take, is this concept called Information Rights Management. So the idea here would be that data, that I as a company, want to protect. 

I can put a security wrapper around that data. And then, even if the data wanders off into areas that aren't controlled by my IT department, be that a home PC, be that a partner's PC, be that an iPad. Be it, as I said, an extreme case , in an internet cafe, that data can be accessed, looked at, and used. 

But within the confines in the rules established by that security envelope. And as soon as that security envelope as violated, the data, essentially, is shut out. And the person who's trying to violate it can't look at that data. 

But can you explain a little bit more in detail. Because, hey, come on I'm outside in a restaurant, for example. And then I'm reading all my emails, I have all my contact datas, all my calendar issues, and so on. And they are really confidential. And I have it, say, on my iPad. 

And I'm just paying the invoice, and then it's gone. So what is going to happen there? Because all the data is gone with the thief. So what's happening? 

As I said, what we do, is we put this wrapper around the document. And so this document has to protected. And there's too many key concepts around how we put the wrapper around. The first is that it needs to be ideally without any plug-ins. So people will have to install software everywhere. 

And so this notion of plug-in free is very, very important. And the second thing that is important that we think about is this notion called friction-free IRM. So in other words, I should be able to do whatever I do without creating friction in my workflow. So I'm going to your specific example. 

The way that we would do this is we protect all the attachments that are in the email, for example. And if I lose my iPad, or someone loses it for me, by taking it, and they try to open the documents, even if they're already in the iPad, let's say the person didn't put a password for the iPad itself. When they then click on the document, another password is going to be asked for. 

And if that person who stole the iPad doesn't have that password for that document, they have no ability to access it. And, furthermore, if the employee that reports the iPad is stolen, we can revoke access to the document for anyone in total. So even if, for example, their password for that document, some also get lost, maybe. 

They had it on a piece of paper or something. That can also be revoked. A nice thing is there's a transferability to do this in the following sense. Let's say this thief initially got the password, and then we revoke access. Then the access goes away in, kind of essentially, in real time. 

And so we can kind of go back and grab the data, so to speak, even if it has been lost and compromised. 

That sounds interesting. 

Thank you. 

Welcome. 

Législation européenne sur la confidentialité des données

Rainer Gawlick et Arne Schönbohm discutent du cloud computing mondial dans le contexte des nouvelles lois européennes de protection en vertu desquelles les données doivent être maintenues à l’intérieur de frontières politiques.

Copie de l’interview

En savoir plus

Transcription

Rainer Gawlick

Je m’appelle Rainer Gawlick, je suis avec Herr Schönbohm pour parler de sécurité. Aujourd’hui, nous allons parler

de questions et de règles concernant la sécurité que l’on voit souvent dans le marché allemand. Le marché allemand, le gouvernement allemand et la société allemande ont vraiment été à l’avant-garde des problèmes de sécurité de façon très élaborée et réfléchie, je trouve.

 

En tant qu’entreprise américaine basée dans le Cloud, il y a certaines choses auxquelles nous devons faire attention pour réussir dans ce marché. Peut-être pourriez-vous expliquer à quelles exigences importantes

des entreprises comme la nôtre doivent répondre pour réussir en Allemagne.

 

Arne Schönbohm

C’est très important d’être un partenaire fiable, de ne pas faire de ventes en disant :  « Je suis un vendeur sympa,

il me faut juste votre signature pour décrocher le contrat, et ensuite, je m’en irai. »

C’est important de rester avec le client, de montrer que vous êtes un partenaire fiable. Et pour être un partenaire fiable dans l’entreprise cloud, qui est une entreprise virtuelle, il faut localiser les données ici, en Allemagne,

à cause des changements que l’on observe actuellement dans le monde, avec la NSA et toutes les discussions,

d’un côté.

 

Par ailleurs même s’il y a des règles juridiques, il faut que les données soient protégées, qu’elles restent chez le client. Car c’est l’entreprise qui en est propriétaire, et pas le fournisseur de cloud. C’est très important d’avoir une solution dans ce domaine. Ce n’est pas seulement un problème allemand, mais aussi européen, car beaucoup d’autres États membres de l’Union européenne, comme les Pays-Bas, l’Espagne, l’Italie, etc., étudient la question, et si vous regardez Oettinger, le commissaire européen, et les projets numériques de l’Union européenne, c’est exactement ce qu’ils font : étudier comment protéger les données, et pour ça, il faut une bonne solution.

 

Rainer Gawlick

Oui, nous essayons d’aborder cela sous différents angles. Nous allons avoir un centre de données allemand cette année, ce qui est très important, comme vous le soulignez, mais nous pensons qu’en plus de la sécurité physique,

il est très important d’avoir des mesures de sécurité logique.

 

Nous avons donc ce qu’on appelle des clés gérées par le client. Je chiffre des données avec les clés que le client fournit et dont il est propriétaire, sous le contrôle du client. En tant que fournisseur, nous ne voyons pas les clés,

nous n’y avons pas accès. Puis, quand les données sont chiffrées avec ces clés, peu importe où elles se trouvent,

c’est le client, qui possède les clés, qui contrôle tout et c’est lui qui décide qui peut accéder aux données ou pas.

C’est la deuxième idée.

 

La troisième idée importante est la suivante. Évidemment, si je suis une entreprise allemande, j’aurai des partenaires qui ne sont pas allemands, en général. Je devrai parfois échanger des données avec ces clients.

Quand je leur enverrai ces données, ce ne sera pas en Allemagne. Ce sera chez le client, où qu’il soit, et la question est : Puis-je appliquer certains contrôles même dans ce genre de situation ? Pour cela, nous avons

un concept, l’IRM, ou Gestion des droits relatifs à l’information, qui met une enveloppe de sécurité autour des données, et même si ces données quittent l’Allemagne pour communiquer avec ce partenaire et qu’il les télécharge pour faire ce qu’il doit faire avec, en tant qu’entreprise allemande propriétaire de ces données, vous contrôlez tout : vous décidez qui voit ces données, quand la personne les voit et ce qu’elle peut faire avec. Vous pouvez refuser l’accès à tout moment et vous avez une complète visibilité de ce qui se passe.

 

C’est important de ne pas uniquement parler de l’endroit où les données sont immobiles, mais de ce que vous pouvez faire pour continuer à contrôler ces données quand elles sont mobiles.

 

Arne Schönbohm

J’aimerais bien qu’on entre plus dans les détails. Si vous envoyez les données par le biais d’une enveloppe, parce qu’elle est sécurisée, on n’en voit pas le contenu, si vous relevez de la juridiction américaine, parce que vous êtes une entreprise américaine et que la cour dit : « On a besoin des données pour une enquête criminelle », pouvez-vous faire passer les données d’un centre de données allemand à la cour de justice américaine ?

Comment ça marche?

 

Rainer Gawlick

Excellente question. C’est pour ça que le concept ’de Clés gérées par le client est très important. Le client est

propriétaire de la clé, il peut en changer à tout moment. Il peut la jeter, s’il le veut. Si le gouvernement américain

nous a demandé les données, sauf si l’entreprise allemande nous a clairement permis d’accéder aux données –

et je ne vois pas pourquoi ce serait le cas, car nous ne sommes pas un partenaire, nous sommes juste un fournisseur de cette technologie spécifique –, nous n’y avons pas accès. Le gouvernement peut nous demander

de lui donner les données, et on peut lui donner une pile de données. Mais sans les clés, ces données ne servent à rien.

 

Nous devrons donc, malheureusement – ou heureusement, plutôt – dire au gouvernement américain : « Si vous voulez ces données, nous pouvons vous les donner, mais si vous voulez les lire, vous devez demander les clés de chiffrement à l’entreprise allemande. Voici leur nom et leur adresse. » Alors l’entreprise allemande peut décider de sa façon de répondre. Elle aura peut-être envie d’être coopérative, ou elle trouvera peut-être la demande inadaptée, auquel cas elle a la possibilité de la refuser au gouvernement américain.

 

Arne Schönbohm

Pouvez-vous donner plus de précisions sur le niveau de sécurité du chiffrement ?

 

Rainer Gawlick

Nous utilisons les systèmes de codage les plus récents. Cela s’appelle le chiffrement elliptique, qui est à la fois très sûr et très rapide. C’est le meilleur système et le plus récent à ce jour pour tous ceux qui travaillent dans  cette industrie, et on ne peut pas le casser, à moins d’avoir les clés, et c’est le client allemand qui aurait les clés heureusement.

 

Arne Schönbohm

Ça a l’air très intéressant. Merci.

 

Rainer Gawlick

Merci à vous.

Une sensibilisation insuffisante à la sécurité

Les outils de sécurité ne suffisent pas. Arne Schönbohm et Rainer Gawlick soulignent la nécessité d’enseigner aux employés comment reconnaître et gérer les informations sensibles de l’entreprise.

Copie de l’interview

En savoir plus

Transcription

Rainer Gawlick

Je m’appelle Rainer Gawlick, je suis avec Herr Schönbohm pour parler de sécurité. Aujourd’hui, nous allons parler de culture. Ce que j’ai remarqué, c’est qu’à mon âge, je ne suis pas très fan de Facebook. Je n’ai pas très envie de dévoiler ma vie à tout le monde et de permettre aux gens de voir tout ce que je fais. Par contre, j’ai remarqué que pour mes enfants adolescents, c’est le contraire. Ils utilisent beaucoup Facebook, Twitter et Snapchat. Par conséquent, ils montrent leur vie privée à leurs amis en temps réel.

 

C’est intéressant car cela crée une culture différente de celle dans laquelle vous et moi avons grandi. La question est : que se passe-t-il lorsque ce genre de culture et d’attitude est introduite dans les entreprises ? Les nouveaux jeunes salariés accèdent tout à coup à des données très sensibles, très importantes, qu’il ne faut pas perdre. Mais, en même temps, ils ont une attitude inspirée par les réseaux sociaux en matière de vie privée, ou d’absence de vie privée. Comment les entreprises ont-elles géré ces questions ?

 

Arne Schönbohm

C’est un grand défi pour les entreprises car les jeunes salariés sont un de leurs meilleurs atouts. Mais il faut les  former, ils doivent apprendre ce que veut dire vie privée. Je vais vous donner un exemple. Prenons l’exemple des nouvelles voitures, quand on fait des séances photos quelque part, dans le désert américain, dans un endroit où le ciel est bleu, pour des nouvelles voitures. Par exemple, la Classe S, vous faites de belles photos, vous avez une grosse équipe de photographes, beaucoup de personnel. Il y a de jeunes types sympas qui apprennent le métier de photographe professionnel et qui les secondent.

 

Que font-ils avec leur téléphone mobile, ils font des photos très rapidement. Quand on était jeunes, on faisait probablement la même chose. On allait au bar et on expliquait à notre voisin, qui buvait une bière ou un Coca, qu’on était super et ce qu’on avait fait ce jour-là, qu’on avait fait des photos géniales sue la nouvelle Mercedes  Classe S, etc. Notre voisin était mis au courant.

 

Aujourd’hui, que font-ils ? Ils postent les infos sur Facebook ou Twitter. Ils font ce qu’ils veulent, mais  évidemment, ce sont des données très sensibles. Il faut donc absolument que les entreprises forment leurs salariés, mais aussi les salariés des entreprises de leurs partenaires et de leurs fournisseurs pour savoir ce qu’on entend par données sensibles et comment les gérer. C’est très important, parce qu’il ne s’agit pas seulement de technologie ou d’un produit, mais de tout un concept, et c’est ce que les entreprises recherchent.

 

Rainer Gawlick

Il faut parler de ce grand concept : la formation. Chez Intralinks, nous avons toute une série de technologies très utiles pour cela. La plus importante, c’est la gestion ’des droits relatifs à l’information qui nous permet de contrôler les données n’importe où. Pour arriver à trouver une solution qui fonctionne pour le client, il faut proposer des services de formation qui soient associés à l’’adoption, et assurent ’une adoption correcte.

En d’autres termes, quand on introduit la nouvelle technologie, on a des ateliers et on crée une campagne ’de formation associée à cette nouvelle technologie.

 

Ainsi, malgré l’attitude très ouverte face à la technologie qui est le fruit de leur vie personnelle, nous leur expliquons qu’il faut faire attention aux données de l’entreprise et nous leur montrons comment le faire de façon à ce que cela ne les frustre pas trop dans leur travail quotidien.

 

Arne Schönbohm

Je trouve que c’est très important. Pouvez-vous expliquer comment vous formez les gens, les salariés, quand vous introduisez une nouvelle technologie ? Je pense que c’est nécessaire.

 

Rainer Gawlick

Une partie de la solution que nous apportons au client, en plus de la technologie elle-même, ce sont les services d’adoption. Nous avons une équipe qui est responsable des services d’adoption. Elle étudie les workflows présents dans l’entreprise, à quel endroit notre technologie va être intégrée, de façon à modifier les workflows au minimum, et on travaille avec le client pour communiquer une série de messages, des emails, des affiches, des séances de formation, peut-être même des vidéos sur les médias sociaux – on peut se servir des dirigeants pour faire des vidéos amusantes – pour faire cette formation.

 

Pour nous, c’est aussi important que la technologie, parce que la meilleure technologie du monde aura très peu d’impact positif si elle n’est pas utilisée correctement. Absolument.

 

Arne Schönbohm

Ça a l’air très intéressant.

Merci.

 

Rainer Gawlick

Merci à vous.