Alcees vous propose la quinzaine du numérique : « Impact 2027 », l'ENISA développe une nouvelle certification de cybersécurité, Free Pro en voie de certification SecNumCloud, Data Privacy Day... Explorez toutes les dernières actualités compilées, tous secteurs d'activités confondus, du 15 au 30 janvier 2024 tous inclus.

Partager cet article

Alcees vous propose les dix infos de la quinzaine qu'il ne fallait pas manquer

1. L’Autorité des Marchés Financiers (AMF) présente son plan stratégique « Impact 2027 » et définit pour 2024

L’Autorité des Marchés Financiers (AMF) présente son plan stratégique « Impact 2027 » et définit pour 2024, 15 priorités de supervision incluant : la protection des épargnants (éducation financière), le suivi des premiers rapports de durabilité dans le cadre de la CSRD, la gouvernance et le contrôle des activités externalisées, le dispositif d’abus de marché, la qualité des données de reporting, la gouvernance et le rôle des dirigeants, et bien plus encore…

L’Autorité des Marchés Financiers (AMF), le régulateur français des marchés financiers, a récemment présenté son plan stratégique pour les années à venir, intitulé « Impact 2027 ». Ce plan ambitieux s’inscrit dans un contexte marqué par l’accroissement continu de ses missions.

Pour l’année 2024, l’AMF a défini 15 priorités de supervision. Ces priorités couvrent un large éventail de domaines, allant de la protection des épargnants à la gouvernance et au contrôle des activités externalisées.

Parmi ces priorités, on retrouve :

  • Garantir le bon fonctionnement des marchés et la bonne information des investisseurs
  • Œuvrer à l’attractivité de la Place financière de Paris grâce à une supervision de qualité
  • Cibler l’action de l’AMF dans les instances européennes et internationales
  • Promouvoir une convergence de la supervision fondée sur la bonne compréhension des pratiques de marché
  • Plaider pour adapter les règles de fonctionnement du marché unique afin de mieux protéger les épargnants
  • Protéger l’épargnant et stimuler son esprit critique
  • Renforcer la veille et les outils dans un univers financier de plus en plus digitaliser et ouvert
  • Favoriser une distribution des supports d’épargne adaptés au profil de l’investisseur et contribuer à améliorer le rapport qualité-prix de l’offre d’épargne financière
  • Contribuer à la finalisation d’un cadre réglementaire européen et international clair et cohérent
  • Garantir la qualité de l’information extrafinancière
  • Identifier les nouveaux enjeux de l’innovation financière et développer des savoirs clés sur ces thématiques
  • Mettre en œuvre la nouvelle réglementation européenne sur les crypto-actifs
  • Confirmer le statut de l’AMF en tant qu’employeur exemplaire et attractif
  • Accompagner et faire grandir les talents
  • Poursuivre la transformation de l’AMF dans une dynamique d’amélioration de la performance

Ces priorités témoignent de l’ambition de l’AMF de devenir un régulateur à fort impact, à la fois en amont de l’adoption des textes – souvent européens – et dans leur déploiement, et aussi dans ses pratiques de supervision et dans le quotidien de son activité.

2. L’ENISA développe une nouvelle certification de cybersécurité

L’Union européenne par l’intermédiaire de l’ENISA développe une certification de cybersécurité permettant de fournir à des parties prenantes intéressées, la preuve de conformité à un niveau de confiance numérique donné

L’Union européenne, par l’intermédiaire de l’Agence de l’Union européenne pour la cybersécurité (ENISA), développe une nouvelle certification de cybersécurité. Cette certification vise à fournir aux parties prenantes intéressées la preuve de conformité à un niveau de confiance numérique donné.

La mission de l’ENISA dans le cadre du cadre de certification de cybersécurité de l’UE est de contribuer de manière proactive à l’émergence d’un cadre de l’UE pour la certification des produits et services TIC, et de réaliser l’élaboration de systèmes de certification candidats conformément à la loi sur la cybersécurité.

L’ENISA, avec son rôle central en tant qu’agence qui interagit avec les services publics ainsi qu’avec l’industrie et les organisations de normalisation, fournit un point de référence solide pour développer des systèmes de certification de cybersécurité candidats.

Trois systèmes sont actuellement en cours de développement à différents stades. L’ENISA, la Commission européenne, soutenue par des groupes de travail représentant l’écosystème et les autorités compétentes des États membres, travaillent ensemble pour établir les premiers systèmes.

Le premier système, l’EUCC (European Cybersecurity Certification Scheme on Common Criteria), cible les produits TIC tels que les produits matériels et logiciels et les composants. Le 3 octobre 2023, un premier projet d’acte d’exécution a été publié par la Commission européenne et est ouvert aux commentaires jusqu’au 30 octobre 2023.

3. Free Pro en voie de certification SecNumCloud par l’ANSSI

Free Pro, la filiale B2B d’Illiad a annoncé que sa candidature à la certification SecNumCloud de l’ANSSI pour son offre de cloud privé sécurisé a été approuvée. Elle devrait décrocher le certificat d’ici 18 à 24 mois

Free Pro, la filiale B2B du Groupe Iliad, a récemment annoncé son entrée dans le processus de qualification SecNumCloud de l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) pour son offre de cloud privé sécurisé appelée « Dedicated secured cloud ». Le référentiel SecNumCloud, développé par l’ANSSI, est l’un des plus exigeants et sélectifs. Il garantit un haut niveau d’exigence tant d’un point de vue technique, qu’opérationnel ou juridique. Plus précisément, le référentiel SecNumCloud couvre des exigences relatives au prestataire de service, à son personnel, ainsi qu’au déroulement des prestations.

Cette démarche renforce le positionnement de Free Pro au service d’une transformation numérique des entreprises et des organisations publiques dans un cadre de confiance. Plus de 50 000 entreprises, collectivités locales et administrations font déjà confiance à Free Pro pour leurs besoins d’infrastructure télécom, cloud et cyber.

La qualification SecNumCloud est en phase avec les attentes des Organismes d’Importance Vitale. Elle est liée à un Visa de Sécurité et est la prestation d’excellence des services cloud. Cette qualification atteste de la robustesse et de la qualité d’une offre de service cloud ainsi que de l’expertise et la confiance apportée par l’opérateur.

Free Pro devrait décrocher le certificat d’ici 18 à 24 mois. Pendant cette période, Free Pro travaillera avec des clients sur cette offre, qui sera auditée par l’ANSSI. Cette première étape marque le début d’un processus d’évaluations de robustesse de la solution réalisé par un centre agréé par l’ANSSI.

4. La 43ème journée mondiale de la protection des données (Data Privacy Day)

Le 28 janvier 2024 a marqué la commémoration de la 43ème journée mondiale de la protection des données (Data Privacy Day). A cette occasion, et dans un contexte d’usage croissant de l’intelligence artificielle, les consultants en protection des données du cabinet Alcees ont partagé un rappel important sur 11 droits RGPD fondamentaux des clients et des prospects, et l’obligation pour les entreprises d’en faciliter l’exercice dans le délai légal de 30 jours (1 mois)

Le 28 janvier 2024 a marqué la commémoration de la 43ème Journée Mondiale de la Protection des Données, également connue sous le nom de Data Privacy Day. Cette journée internationale vise à sensibiliser le public à l’importance de la protection des données et du droit à la vie privée.

Dans un contexte d’utilisation croissante de l’intelligence artificielle, les consultants en protection des données du cabinet Alcees ont saisi cette occasion pour partager un rappel important sur les 11 droits fondamentaux du Règlement Général sur la Protection des Données (RGPD). Ces droits concernent les clients et les prospects et couvrent des aspects tels que le droit d’accès, le droit de rectification, le droit à l’effacement, le droit à la limitation du traitement, entre autres.

Il est crucial de noter que les entreprises ont l’obligation de faciliter l’exercice de ces droits dans le délai légal de 30 jours (1 mois). Cette obligation souligne l’importance de la transparence et du respect de la vie privée dans le monde numérique actuel.

Alcees, en tant que cabinet de conseil en management de la sécurité des systèmes d’information (SSI), propose une expertise indépendante et sur-mesure pour aider les entreprises à naviguer dans le paysage complexe de la protection des données. Leur travail contribue à renforcer la confiance numérique et à assurer la conformité avec les réglementations en vigueur.

5. Publication du guide TIBER-FR par la Banque de France et l’Autorité de contrôle et de résolution (ACPR)

Le 23 janvier 2024, la Banque de France et l’Autorité de contrôle et de résolution (ACPR) ont annoncé la publication du guide TIBER-FR, transposition nationale du cadre volontaire de tests d’intrusion fondés sur la menace (TLPT) rendus obligatoires pour certains établissements financiers, conformément au règlement DORA

Le 23 janvier 2024, la Banque de France et l’Autorité de contrôle prudentiel et de résolution (ACPR) ont annoncé la publication du guide TIBER-FR. Ce guide est une transposition nationale du cadre volontaire de tests d’intrusion fondés sur la menace (TLPT), qui sont désormais rendus obligatoires pour certains établissements financiers conformément au règlement DORA.

Le guide TIBER-FR est destiné à aider les institutions financières à mettre en œuvre le cadre TIBER-EU dans le contexte juridique français. Il couvre des aspects tels que la gestion des risques pour le test TIBER-FR et la confidentialité, les principaux acteurs impliqués dans un test TIBER-FR, et le processus TIBER-FR.

Les TLPT sont des tests de sécurité renforcés, commandés par l’Article 26 du Digital Operational Resilience Act (DORA), et réservés aux entités financières dont la défaillance aurait des effets systémiques. Ces tests visent à évaluer le niveau de sécurité des entités financières dans des situations aussi proches que possible de la réalité.

La publication du guide TIBER-FR marque une étape importante dans l’effort continu de la Banque de France et de l’ACPR pour renforcer la résilience opérationnelle numérique des institutions financières en France. Cela s’inscrit dans le cadre plus large des efforts de l’Union Européenne pour renforcer la résilience opérationnelle numérique du secteur financier à travers le règlement DORA.

6. Premier volet de normes techniques réglementaires (RTS) publié par l’European Banking Autority (EBA)

L’European Banking Autority (EBA) publie un premier volet de normes techniques réglementaires (RTS) sur la résilience cyber dans le cadre du règlement DORA ; au programme : critères de classification des incidents liés aux TIC, gestion des risques des prestataires de services TIC tiers

L’European Banking Authority (EBA), l’autorité bancaire européenne, a publié un premier ensemble de normes techniques réglementaires (RTS) sur la résilience cyber dans le cadre du règlement DORA. Ce règlement, qui vise à renforcer la résilience opérationnelle numérique des acteurs des secteurs bancaires et financiers, a été publié au Journal Officiel de l’Union Européenne le 16 janvier 2023.

Le 19 juin 2023, les Autorités Européennes de Surveillance (AES) ont lancé la première consultation publique sur un premier lot de normes techniques et d’implémentation (RTS et ITS) pour faciliter sa mise en œuvre opérationnelle. Les exigences de DORA seront applicables au 17 Janvier 2025.

Parmi les éléments clés de ce premier volet de RTS figurent :

  • Critères de classification des incidents liés aux TIC : Ces critères permettront de classer les incidents liés aux technologies de l’information et de la communication (TIC) en fonction de leur gravité et de leur impact sur les opérations bancaires et financières.
  • Gestion des risques des prestataires de services TIC tiers : Les RTS mettent l’accent sur la nécessité pour les institutions financières de gérer efficacement les risques associés à l’utilisation de prestataires de services TIC tiers.

7. La CNIL sanctionne YAHOO à hauteur de 10 millions d’euros

Le 18 janvier 2024, la CNIL inflige une sanction de 10 millions d’euros à YAHOO suite à l’instruction de 27 plaintes justifiant de violations à l’article 82 de la Loi Informatique et Libertés. Dans les faits reprochés, YAHOO déposait des cookies publicitaires sans recueillir préalablement le consentement de l’internaute (5 millions de personnes concernées)

Le 18 janvier 2024, la Commission Nationale de l’Informatique et des Libertés (CNIL) a infligé une sanction de 10 millions d’euros à YAHOO. Cette décision fait suite à l’instruction de 27 plaintes dénonçant des violations à l’article 82 de la Loi Informatique et Libertés.

Dans les faits reprochés, YAHOO déposait des cookies publicitaires sans recueillir préalablement le consentement de l’internaute. Ces actions ont concerné environ 5 millions de personnes.

L’article 82 de la Loi Informatique et Libertés stipule que tout abonné ou utilisateur d’un service de communications électroniques doit être informé de manière claire et complète de toute action tendant à accéder à des informations déjà stockées. En outre, il doit être informé des moyens dont il dispose pour s’opposer à cette action.

La CNIL a constaté que lorsqu’un internaute se rendait sur le site “Yahoo.com”, le bandeau cookies affiché donnait accès à une page composée de nombreux boutons destinés à recueillir le consentement au dépôt de cookies. Cependant, malgré l’absence de tout consentement exprimé, une vingtaine de cookies poursuivant des finalités publicitaires étaient tout de même déposés sur le terminal de l’internaute.

De plus, lorsque qu’un utilisateur de la messagerie “Yahoo! Mail” souhaitait retirer le consentement qu’il avait donné au dépôt de cookies, la société l’informait que son action aurait pour conséquences qu’il ne pourrait plus accéder aux services proposés par la société et qu’il perdrait l’accès à sa messagerie.

8. Renouvellement des décisions d’adéquations de 11 pays par la Commission européenne

Le 15 janvier 2024, la Commission européenne a décidé de renouveler les décisions d’adéquations de 11 pays présentant des garanties suffisantes en matière de protection des données personnelles pour que des transferts de données y soient opérés de façon libre et fiable : Andorre, Argentine, Canada, Iles Féroé, Guernesey, Israel, Nouvelle-Zélande, Suisse et Uruguay

Le 15 janvier 2024, la Commission européenne a décidé de renouveler les décisions d’adéquation de 11 pays présentant des garanties suffisantes en matière de protection des données personnelles. Ces pays sont : Andorre, Argentine, Canada, Iles Féroé, Guernesey, Israël, Nouvelle-Zélande, Suisse et Uruguay.

Ces décisions d’adéquation permettent aux données personnelles de circuler librement de l’Union européenne vers ces pays, sans restriction supplémentaire, car ces pays offrent un niveau de protection des données personnelles équivalent à celui de l’UE.

La Commission européenne a achevé avec succès son réexamen de ces 11 décisions d’adéquation existantes en matière de protection des données. L’examen a montré que les cadres de protection des données dans ces pays ont encore convergé avec le cadre de l’UE et ont renforcé la protection des données à caractère personnel dans leurs juridictions.

9. Dernière ligne droite pour la 6ème directive sur la lutte contre le blanchiment de capitaux (AMLR)

Finalisation de l’accord sur la 6ème directive sur la lutte contre le blanchiment de capitaux (AMLR) renforçant les pouvoirs des cellules de renseignement financier, élaborant une limite européenne pour les paiements en espèces d'un montant supérieur à 10 000 euros, et des règles de transparence applicables aux clubs de football à partir de 2029 (nouveau)

La finalisation de l’accord sur la 6ème directive sur la lutte contre le blanchiment de capitaux (AMLR) marque une étape importante dans la lutte contre le blanchiment d’argent et le financement du terrorisme. Cet accord renforce les pouvoirs des cellules de renseignement financier, qui jouent un rôle crucial dans la détection et la perturbation des flux financiers illicites.

L’un des aspects clés de cet accord est l’élaboration d’une limite européenne pour les paiements en espèces d’un montant supérieur à 10 000 euros. Cette mesure vise à dissuader les activités lucratives illicites et à faciliter la lutte contre le blanchiment d’argent et le financement du terrorisme.

En outre, l’accord introduit des règles de transparence applicables aux clubs de football à partir de 2029. Ces règles obligent les clubs de football professionnels à vérifier l’identité de leurs clients, à surveiller les transactions et à signaler toute transaction suspecte aux cellules de renseignement financier. Cette mesure vise à prévenir l’utilisation du football professionnel comme moyen de blanchiment d’argent.

10. Échange sur le thème de l’intelligence artificielle avec nos consultants

Le 25 janvier 2024, Catherine AUBIN, fondatrice du très estimé poscast Mam’IA, recevait en partenariat avec Stéphann FOURNIER dirigeante de la DPO Agency & DPO certifiée CNIL, Carole NJOYA dirigeante du cabinet Alcees, DPO certifiée UE CDPO et ISO 27001 Lead Implémenter pour échanger sur le thème : « RGPD et Droits d’auteur : L’Intelligence Artificielle générative défie-t-elle les limites de la loi ? ». Ce débat était animé par Catherine AUBIN

Le 25 janvier 2024, un débat crucial a été organisé par Catherine Aubin, fondatrice du podcast Mam’IA, sur l’intelligence artificielle générative. Plusieurs experts, dont Stéphann Fournier, dirigeante de la DPO Agency & DPO certifiée CNIL, et Carole Njoya, dirigeante du cabinet Alcees, DPO certifiée UE CDPO et ISO 27001 Lead Implémenter, ont partagé leurs points de vue sur les défis et les opportunités de l’IA générative.

L’IA générative, capable d’analyser des données massives, y compris des données personnelles, sensibles et de propriété intellectuelle, soulève des questions importantes en termes de responsabilité, de confidentialité et de sécurité des données. Carole Njoya a souligné l’importance de la gestion des risques de confidentialité des données traitées par cette technologie prometteuse et de l’application des réglementations telles que le RGPD pour favoriser la transparence et obtenir un consentement clair et positif de la personne concernée.

Stéphann Fournier a également souligné la nécessité de promouvoir des usages data plus éthiques. Des questions concrètes et pragmatiques ont été posées pour s’assurer que l’analyse des données de masse ne conduit pas à des abus ou à des violations des droits des individus.

Dans ce contexte, une liste de mesures RGPD à prendre en compte dans les projets a été proposée par Carole Njoya, soulignant l’importance de la conformité réglementaire dans le domaine de l’IA générative.

Le cabinet Alcees vous accompagne dans le cadre de l’intégration de la cybersécurité et de la protection des données à caractère personnel dans vos projets informatiques/data/IA.

 

Ensemble, donnons du sens éthique à vos projets et formons vos équipes ! Partageons nos expertises !

Partager cette publication à un collègue ou une connaissance

Alcees_logo_baseline

Fondée en 2018, Alcees est une entreprise de services du numérique (esn) d’essence française et européenne, 100% cyber centric. Alcees propose aux collectivités et entreprises publiques, aux banques, aux assureurs, aux éditeurs de logiciels, aux opérateurs de santé, des solutions-conseils sur-mesure pour améliorer la performance de leurs opérations et simplifier leur exposition aux risques cyber par la conformité aux normes et standards les plus élevés et par mesures simples.

Suivez-nous et prolongez l'expérience

La mission de l’ENISA dans le cadre du cadre de certification de cybersécurité de l’UE est de contribuer de manière proactive à l’émergence d’un cadre de l’UE pour la certification des produits et services TIC, et de réaliser l’élaboration de systèmes de certification candidats conformément à la loi sur la cybersécurité.

L’ENISA, avec son rôle central en tant qu’agence qui interagit avec les services publics ainsi qu’avec l’industrie et les organisations de normalisation, fournit un point de référence solide pour développer des systèmes de certification de cybersécurité candidats.

Trois systèmes sont actuellement en cours de développement à différents stades. L’ENISA, la Commission européenne, soutenue par des groupes de travail représentant l’écosystème et les autorités compétentes des États membres, travaillent ensemble pour établir les premiers systèmes.

Le premier système, l’EUCC (European Cybersecurity Certification Scheme on Common Criteria), cible les produits TIC tels que les produits matériels et logiciels et les composants. Le 3 octobre 2023, un premier projet d’acte d’exécution a été publié par la Commission européenne et est ouvert aux commentaires jusqu’au 30 octobre 2023.

Nos derniers articles