Par Techopedia Staff, 6 décembre 2017
À retenir: l' hôte Eric Kavanagh discute du prochain règlement général de l'UE sur la protection des données et des effets qu'il aura sur l'industrie. À ses côtés, William McKnight du McKnight Consulting Group et Kim Brushaber de l'IDERA.
Vous n'êtes actuellement pas connecté. Veuillez vous connecter ou vous inscrire pour voir la vidéo.
Eric Kavanagh: OK, mesdames et messieurs, bonjour et bienvenue encore une fois. Nous sommes mercredi à 16 heures, heure de l'Est, ce qui signifie qu'il est à nouveau temps - l'une des dernières fois en 2017 - pour Hot Technologies. Oui, en effet, je m'appelle Eric Kavanagh - je serai votre modérateur pour l'événement d'aujourd'hui. Nous parlons d'un sujet de grande envergure, c'est le moins qu'on puisse dire. À l'heure actuelle, cela ne semble pas être le cas - le concept du RGPD, le règlement mondial sur la protection des données. Allons de l'avant et plongeons-y bien, ce n'est pas vraiment le vôtre, assez de moi. Cette année est chaude, elle a été vraiment chaude de nombreuses manières différentes, mais les réglementations imminentes du RGPD et d'autres organisations, très franchement, nous obligent à repenser ce qui se passe dans le monde des affaires, en particulier en tant que résultat, ou en ce qui concerne les données. Nous allons entendre Kim Brushaber de l'IDERA et aussi William McKnight du McKnight Consulting Group.
Juste quelques mots rapides sur le sujet à traiter, les amis. Le RGPD dit essentiellement que les organisations doivent avoir une politique de confidentialité d'abord et de sécurité d'abord en ce qui concerne les données et en réalité, il s'agit de certaines des choses que vous avez peut-être entendues - le droit à l'oubli, par exemple, fait partie et partie de tout ce moment, et c'est des trucs très intéressants. C'est certainement valable en termes de principes et d'éthique. En termes de mise en œuvre réelle, cependant, c'est un défi assez sérieux. Le droit à l'oubli dit que si vous voulez que certaines organisations n'aient pas vos données, vos données personnelles sensibles, elles doivent s'en débarrasser. Eh bien, vous pouvez simplement imaginer quand certains de ces environnements de données vraiment hétérogènes, à quel point cela va être difficile. Pour être en mesure d'accéder à tous les endroits où vos données sont persistantes et de les extraire, cela ne se produira tout simplement pas, c'est la ligne de fond. Néanmoins, les organisations doivent avoir des politiques en place pour pouvoir répondre à ces préoccupations, et c'est ce que les organismes de réglementation, j'en suis sûr, vont rechercher.
C'est un gros problème. Non seulement l'organisation doit supprimer vos données si vous le dites, mais si elle a formé des algorithmes sur ces données, techniquement, elle est également censée recycler les algorithmes. C'est un défi de taille, je dois vous dire, mais ça vient, ça descend le brochet, ça va être une réalité en mai de l'année prochaine et il y a aussi d'autres règlements. Le Canada a adopté une loi antispam, ce qui a une incidence sur la façon dont nous traitons les renseignements personnels. La neutralité du Net est en train de baisser maintenant, bien sûr, elle a été déracinée, essentiellement, et cela va changer certaines choses. Il y a beaucoup de ces réglementations très sérieuses qui affectent les entreprises à travers le monde et dans le monde, auxquelles les grandes organisations doivent vraiment commencer à penser et à s'y préparer.
Pour cela, nous avons William McKnight en ligne de McKnight Consulting Groups pour nous faire savoir ce qu'il pense et pourquoi le GDPR n'est, en fait, que la pointe de l'iceberg. Sur ce, William, je vais vous le remettre. Emportez-le.
William McKnight: Merci, Eric, et comme vous le dites, comme l'indique la diapositive, ce RGPD n'est peut-être que la pointe de l'iceberg - c'est certainement ce que nous pensons. Il est important que nous plongions dans le RGPD en profondeur, car je pense que cela représente une vague de réglementation qui descend dans le tuyau que nous devons traiter. Heureusement, Eric, il existe des normes raisonnables autour de ce droit à l'oubli, que j'aborderai. Mais néanmoins, dans ma marche cette année en parlant du RGPD, je pense qu'il y a beaucoup d'entreprises, en particulier américaines, qui ne sont pas encore préparées pour cela. Il fait vraiment chaud et quelque chose auquel nous ne pensions certainement pas il y a un an, alors qu'ils ne faisaient que tester des choses, mais maintenant c'est un règlement et nous devons y faire face, comme vous l'avez dit, Eric, May arrive à droite ici - donc pas si loin du tout.
Un peu sur moi, je vais y venir du point de vue des données. Pour vous faire savoir, je suis une personne à vie dans le domaine des données et je suis consultant depuis maintenant 19 ans dans le domaine des données, et le RGPD est beaucoup de données. Je vais proposer un ensemble de solutions ici, alors que j'entre dans ma présentation sur la gouvernance des données. Évidemment, je fais beaucoup de programmes de gouvernance des données et je pense que si vous êtes aligné avec ce concept, vous faites de la gouvernance des données, beaucoup d'entreprises vont être assez loin sur la voie en fait, à la conformité au RGPD, mais il y en aura beaucoup, et franchement, qui sont en retard dans la gouvernance et donc assez en retard dans leurs préparatifs du RGPD. Fixons le niveau fixé ici et comprenons ce qu'est le RGPD et à mesure que nous approfondirons la conversation, nous aborderons davantage les ramifications du RGPD sur la vie des entreprises à mesure que nous progressons dans la nouvelle année et au-delà.
Le RGPD est pour la confidentialité des données des citoyens de l'Union européenne. C'est un règlement - signifie qu'il a des dents, signifie qu'il est exécutoire. Ce n'est pas quelque chose qui est présenté comme une suggestion - cela s'est déjà produit et maintenant, il a été transformé en un règlement assorti de sanctions. J'aime commencer par les sanctions, car cela attire vraiment l'attention des gens. Ce sont des sanctions sévères. Il y a deux pénalités, il y a 2% des revenus annuels mondiaux ou 10 millions d'euros si une entreprise ne respecte pas les obligations de sécurité, mais tout le reste, en violation d'autres dispositions - et je vais y entrer - c'est 4%. Vous l'entendez dire environ 4%. Et soit dit en passant, c'est 4% ou 10 millions d'euros, le plus élevé des deux. C'est très rigide. Les gens sont très sérieux à ce sujet. En vigueur à compter du 25 mai 2018 - c'est une date clé, c'est à ce moment que les audits peuvent commencer, c'est à ce moment que vous pouvez obtenir votre amende. Certainement, vous voulez être prêt pour cela. Chaque entreprise avec laquelle je traite, je traite avec beaucoup d'entreprises du Global 2000, elles sont quelque part dans leur préparation au RGPD, certaines plus que d'autres et certaines doivent être plus que d'autres à ce stade. Certes, il sera difficile de respecter cette date pour certains, et nous verrons.
Il s'agit du régime de conformité des données le plus complet que nous ayons vu à ce jour. Quand nous verrons quelque chose de plus rigide ou quelque chose qui affecte peut-être plus directement la population américaine, qui sait, mais c'est là-bas et doit absolument être respecté. Cela nécessite que les organisations comprennent ce que les PII des citoyens de l'UE - nous connaissons bien les PII - les informations personnellement identifiables, la sécurité sociale, le numéro de téléphone, l'adresse, les choses qui peuvent identifier de manière unique une personne ou identifier une personne de manière assez unique. Ce qu'ils ont et comment ils l'utilisent. Cela signifie l'inventaire. Cela signifie une réglementation au sein de vos propres entreprises autour de ce type de données. Soit dit en passant, les États-Unis ne disposent d'aucune loi nationale sur la protection des données. Les États-Unis ont toujours été - je dirai derrière, pour le mettre en perspective - derrière l'Europe en ce qui concerne ce type de réglementation, et cela continue. Cela se poursuit avec le RGPD, c'est assez évident. Certains d'entre vous connaissent peut-être le bouclier de protection des données, vous vous posez peut-être des questions à ce sujet. Il y a environ trois ou quatre dispositions dans le RGPD qui ont un chevauchement avec le bouclier de confidentialité, mais il y a une centaine de dispositions dans le RGPD, donc c'est beaucoup plus que cela et bien sûr, cela est toujours en place et cela a à voir avec l'échange de données aux États-Unis et dans l'UE seulement, bien que ce soit important.
Encore une fois, j'aime commencer par les chiffres. Vous avez entendu parler des amendes, de la façon dont vous vous y préparez. Budgétiser le RGPD et faire une partie de cela, cela dépend de quelques facteurs. La quantité de données PII que vous collectez sur les citoyens de l'UE. Si vous n'en collectez aucun, d'accord, vous êtes probablement conforme et vous n'avez pas à vous en occuper, mais vous êtes probablement à cet appel parce que vous en collectez quelque part. La taille de votre entreprise et la maturité de votre gouvernance des données, ce qui, comme je l'ai déjà dit, pourrait être proche de ce que vous devez faire pour répondre au RGPD. Vous pouvez vous attendre à plusieurs millions USD ou euros, selon le cas, pour la conformité. Cependant, nous voulons, ne voulons pas simplement nous conformer au RGPD, cocher cette case, bien sûr, nous devons le faire. Avec un peu de chance, vous n'êtes pas dans une situation aussi désastreuse où vous êtes juste désespéré de cocher cette case. Recherchez les avantages commerciaux, car beaucoup de choses que vous faites pour soutenir le RGPD sont bonnes pour votre entreprise. La gouvernance des données est bonne pour votre entreprise. En ce qui concerne la quantité de données PII, certaines sont plus importantes que d'autres, certaines vont être examinées plus que d'autres, comme la santé liée aux données, vont être réglementées beaucoup plus strictement en vertu du RGPD que d'autres types de données et exigeront la conformité avec des obligations supplémentaires telles que la réalisation d'évaluations d'impact sur la protection des données qui, évidemment, ajoutent à votre budget.
Un peu là sur la budgétisation. Si vous êtes au Royaume-Uni ou aux États-Unis et que vous vous demandez comment cela vous affecte - le RGPD affecte le Royaume-Uni, qui est toujours dans l'UE, soit dit en passant, jusqu'au 29 mars 2019 et dont le gouvernement a indiqué que quelque chose comme le RGPD continuerait après cette date parce que «c'est une bonne idée». Les entreprises britanniques doivent s'y conformer. Les données sur les citoyens britanniques sont certainement sur la table pour cela. Dans le cas où ce n'est pas clair, il existe des entreprises basées aux États-Unis, si vous traitez dans l'UE avec des données sur les citoyens de l'UE, cela s'applique certainement à vous. Cela a des ramifications sur votre architecture de données, car vous risquez de devoir bloquer vos données européennes de tout le reste et de les traiter différemment. Cela affecte l'analyse, comme le disait Eric, dans la façon dont vous compilez ces analyses, etc. Il peut être plus difficile maintenant de lancer n'importe quel type d'analyse à l'échelle du concept et à l'échelle mondiale. Ils peuvent devenir plus localisés en raison du RGPD.
Que contiennent les dispositions? Il existe des normes de protection des données. Celles-ci dictent pratiquement le cryptage des données au repos et en mouvement. Je parlerai du cryptage ensuite. Il existe des normes de notification des violations de données. Plus de cette attente pendant des mois, attendant des quartiers pour que tout le monde le sache. Je pense qu'il y en avait un gros l'autre jour et nous avons découvert: «Oh, c'est arrivé il y a un an.» Rien de tout cela avec le RGPD - vous avez 72 heures. C'est une politique de nom et de honte. J'espère que personne n'y arrivera, clairement certaines personnes le feront. Les violations continueront, même après le RGPD, bien sûr. Il existe des processus pour surveiller l'emplacement et la qualité des données. Semble familier? C'est vraiment le cœur de la gouvernance des données. J'espère que vous en avez.
Les citoyens de l'UE ont le droit d'être oubliés, comme Eric l'a mentionné. Il y a des normes de raisonnabilité à cela, Eric. Vous n'êtes pas obligé de tout effacer nécessairement, si vous devez contacter à nouveau ce client, cet employé, vous êtes autorisé à conserver certains aspects de ses données personnelles. Mais, néanmoins, ces citoyens ont le droit d'être oubliés, mais il ne peut y avoir d'effort disproportionné - c'est la langue - sur vous ou de nuire à l'entreprise, c'est à vous d'effacer ces données. Je ne veux pas minimiser cela, mais vous devez également divulguer des copies des données personnelles détenues et vous ne pouvez obtenir ces données qu'avec le consentement. Ce consentement doit être donné par des personnes qui ont un âge minimum pour accorder cette autorisation. C'est une bouchée, mais cela donne aux citoyens beaucoup de droits sur leurs données. C'est la portabilité là, au cas où cela arriverait. Le droit à l'oubli, clairement, mais aussi - et quelque chose qui n'est pas sur ma diapositive qui est assez important - est que la personne concernée a le droit de ne pas être soumise à une décision basée uniquement sur un traitement automatisé. Sur quoi avons-nous travaillé dur? Traitement automatisé, autour de l'acceptation des prêts, des offres que nous allons faire, tout cela doit être élaboré en termes de comment cela va se dérouler et jusqu'où cela va aller. Ce que cela signifie essentiellement, c'est la transparence sur les raisons pour lesquelles j'ai été rejeté, pourquoi je suis traité d'une certaine manière par cette entreprise. C'est un droit en ce moment, accordé à un citoyen de l'UE.
De toute évidence, il y a des ramifications sur la façon dont nous faisons des affaires et nous espérons que vous voyez que le RGPD n'est pas un problème informatique, pas seulement un problème informatique. Tous ces processus opérationnels sont impliqués. Il impliquera des personnes de toute l'entreprise. La nomination d'un délégué à la protection des données est recommandée pour les entreprises de plus de 250 employés et vous avez des «calculs critiques avec les données PII de l'UE». Vous pouvez décider vous-même si vous avez ces calculs critiques, parfois c'est évident, parfois non. Mais, il y a un nouveau rôle - ne doit pas nécessairement être à temps plein, la personne peut avoir d'autres responsabilités, mais je ne sais pas - dans certaines moyennes et grandes entreprises, je pense à peu près que le respect du RGPD va être proche d'un poste à temps plein. Je dirais de commencer de cette façon et de voir si vous pouvez le gérer. Surtout au cours de l'année prochaine, alors que vous vous réunissez autour du RGPD, une fois qu'il est installé, vous pouvez peut-être ralentir le travail, mais cela va prendre du temps à certaines entreprises. Permettre aux individus de voir leurs propres données et leur portabilité, comme je l'ai mentionné précédemment.
Soit dit en passant, ce n'est pas tout nouveau, mais le droit à l'oubli existe, croyez-le ou non. Les règles actuelles de l'UE prévoient déjà le droit de supprimer ou de rendre indisponibles les données personnelles. Cependant, maintenant qu'il fait partie du RGPD, il va être appliqué beaucoup plus largement. Cryptage des données - cryptez vos données au repos. Utilisez des méthodes de cryptage standard, n'utilisez pas votre propre cryptage local ou non standard. AES est celui que nous recommandons beaucoup. Utilisez des clés de chiffrement sécurisées cryptographiquement. Modifiez ces clés périodiquement. Empêchez également la perte de ces clés. Ce ne sont que de bonnes pratiques de chiffrement, mais maintenant elles arrivent au premier plan avec le RGPD. C'est là que réside le problème - je n'ai touché que la pointe de l'iceberg. Il y a évidemment plus de dispositions à examiner, mais ce sont les principales.
Maintenant, solution. La gouvernance des données, le cadre de votre conformité, du moins c'est la perspective que je propose ici. Heureusement, il existe une discipline active bien nantie qui peut et qui, lorsqu'elle est mature, répond à la plupart des exigences, et c'est la gouvernance des données - c'est ce que je dis évidemment. Les programmes de gouvernance devraient avoir un glossaire de données, et ici j'utilise le glossaire de données dans un sens générique pour désigner la documentation à tous les niveaux pour vos processus. C'est fondamental, pour répondre aux besoins d'inventaire du RGPD qui, comme nous l'avons vu, sont assez immenses. Le programme, le programme de gouvernance, devrait faciliter les protocoles de sécurité des données - et je le souligne parce que ce n'est pas quelque chose que beaucoup de programmes de gouvernance des données font actuellement, mais je pense que c'est un endroit logique pour que cela soit fait parce qu'ils sont assis sur le programme qui détermine qui sont les propriétaires d'entreprise? Qui a besoin de le voir? Et puis la prochaine étape consiste à accorder ces autorisations. Cela doit être centralisé, cela doit être officialisé. Il doit y avoir des politiques internes qui sont utilisées. L'intendance doit être assignée à tous les éléments pour fournir une contribution à tout ce qui précède. La gouvernance des données peut également être le facilitateur de l'ingénierie des processus métier, qui va être nécessaire.
Avant de quitter cette diapositive, afin d'éviter les lourdes amendes, les entreprises adopteront de saines pratiques commerciales comme sous-produit. J'aime dire que c'est plus qu'un sous-produit, mais c'est en fait juste une bonne entreprise saine qui peut vous conduire dans de nouveaux endroits du point de vue commercial. Vous obtiendrez certainement beaucoup d'efficacité pour toutes les initiatives à tous les niveaux, si vous avez une bonne gouvernance des données, c'est ce que j'ai vu au fil des ans. En ajoutant certaines de ces choses que je mentionne à la gouvernance des données, elles ne feront que s'améliorer. Dans votre ingénierie des processus d'entreprise, nous vous recommandons de poser ces questions dans tous les domaines, de toucher chaque domaine d'activité. Quel type de données collectons-nous sur nos clients européens? Je ne les lirai pas tous. Certaines des clés ici. Qui a besoin de voir ces données et est-ce que cela est suivi? Qui est le gestionnaire des données pour ces données? Qui est mon interlocuteur privilégié dans l'entreprise? C'est un gros problème: partageons-nous ces données avec des tiers? Le fait que vous le cédiez à un tiers n'excuse pas votre responsabilité à l'égard de ces données - ce sont toujours vos données, ce sont toujours les données que vous avez collectées. De nombreux contrats avec des tiers font actuellement l'objet d'un examen approfondi à la suite du RGPD. Ces systèmes ont-ils des défaillances déterministes? Ce qui signifie quand ils échouent, ils échouent dans un chemin que nous avons prédéterminé, ou ont-ils simplement échoué, planté, brûlé et nous recommençons à zéro en creusant dessus? Ça va évidemment être beaucoup mieux. C'est déjà une bonne pratique, mais évidemment beaucoup mieux pour la rétro-ingénierie de certaines de ces choses, si vous avez de grandes défaillances déterministes dans votre système.
Conservation des données, nous avons toujours parlé de la conservation des données. Beaucoup d'entreprises ont des politiques, mais elles ne les respectent pas toutes. Évidemment, dans le domaine de la santé et des finances, nous voulons conserver les données, nous devons les conserver pendant un certain nombre d'années. Certains des analystes de ces cabinets qui conservent des données pendant sept ans, etc., disent: «Oh, après cette période, je veux toujours ces données.» Certains des avocats de ces sociétés disent: «Mais nous devons nous en débarrasser. à des fins de responsabilité ", etc. Cela ne peut pas simplement rester là, comme un problème aux couteaux tirés avec le GDPR. Nous devons avoir la période de rétention, la faire suivre de manière cohérente à tous les niveaux au sein de l'organisation.
Et enfin, comment vous mobilisez-vous pour une violation de données? Ces pires scénarios qui pourraient vous arriver. Évidemment, nous essayons de les empêcher, mais que se passe-t-il si cela se produit? Comment mettez-vous en danger la chose et assurez-vous que vous suivez maintenant les dispositions du RGPD dans votre réponse? Je suis architecte de données, je pense à l'architecture de données. Si vous êtes une entreprise basée aux États-Unis avec des opérations dans l'UE, c'est-à-dire des données sur les citoyens de l'UE - vous les collectez, vous devrez déterminer si vous devez appliquer les normes de protection des données à toutes les données ou uniquement aux données de l'UE. Oui, j'ai des clients qui prennent cette décision maintenant. En tant que pratique commerciale saine, ils voudront peut-être apporter cela aux États-Unis, mais ils auront peut-être le temps, mais cela nous amène à la deuxième puce. Vous devrez peut-être bloquer les données européennes des systèmes américains si vous ne pouvez pas garantir que les systèmes américains traiteront les données de manière appropriée. Ces données sont-elles séparées à des fins d'analyse? Les analyses sont-elles même valables si vous essayez de les faire à travers le pays? Parfois oui, parfois non, non? Vous constaterez peut-être que vos analyses seront mises en sourdine en conséquence.
Comme je l'ai mentionné précédemment, l'intelligence artificielle joue ici car, évidemment, nous pouvons utiliser l'IA pour rechercher toutes les données, nous aider à trouver toutes les données, mais si nous utilisons l'IA dans nos interfaces client, nous devons maintenant avoir de la transparence avec notre client interfaces et cela n'a jamais été le point fort de l'IA. Pour essayer de dire à un client: «Vous avez été rejeté parce que bla, bla, bla», alors que c'était vraiment de l'IA. Cela doit maintenant être fait. Nous devons comprendre comment fonctionne l'IA, quels sont les facteurs? Je ne peux plus rester là et être une boîte noire pour toi. Qu'est-ce qu'on fait maintenant? Établissez votre carte GDPR. Je suggère que vous ayez votre responsable de la protection des renseignements personnels là-bas ou si vous avez un responsable de la protection des données, évidemment cette personne. Les responsables de la gouvernance des données, du risque opérationnel et / ou de la conformité, selon le cas, le responsable informatique, CIO si tel est le cas. Si vous avez changé de cadre, ce serait une personne formidable. Juste les chefs de certains des départements les plus importants de votre entreprise, ainsi que le chef des RH, car la formation sur la confidentialité va maintenant être énorme. Tout le monde va suivre une formation sur la confidentialité ou devrait suivre une formation sur la confidentialité lors de l'embauche d'une entreprise, même les consultants.
Si vous ne faites pas ces choses que vous voyez ici, vous devrez vous déplacer plus rapidement que vous ne le souhaiteriez pour respecter la date limite. Vous devez également commencer à espérer que vous n'êtes pas l'un des premiers à faire l'objet d'un audit car, franchement, il y a beaucoup de travail ici si vous partez de zéro et que vous traitez beaucoup de données sur les citoyens de l'UE. Louez votre DPO, inventoriez vos données et vos processus. Construisez ce plan de gouvernance des données, amenez-le de l'endroit où il se trouve à l'endroit où il doit être. Selon le cas, vous voudrez peut-être le démarrer. Élaborez vos politiques de confidentialité et vos avis de politique. Les politiques de confidentialité sont internes. Les avis de politique deviennent externes. Nous voyons une culture commencer à se créer maintenant autour des avis de politique. Beaucoup de comparaison est en cours et beaucoup de libellés ont été faits autour de ces avis de politique. Affrétez un contrôle de conformité au RGPD pour tous les systèmes, y compris les nouveaux systèmes. Vous devrez peut-être les séquencer et les faire dans un ordre d'importance, mais c'est une autre façon de résoudre le problème. Regardez les systèmes et ce qu'ils sont censés faire et comment ils gèrent ces données.
Que signale le GDPR? C'est de cela que nous sommes ici pour parler un peu plus. J'attends avec impatience ce que Kim a à dire à ce sujet. Le RGPD est une évolution des contrôles de confidentialité des données vers la réglementation. C'est une tendance à la transparence, comme le dit clairement les dispositions. Nous créons cette culture des avis de confidentialité, comme je l'ai dit, c'est une chose maintenant. Nous allons voir des conférences sur les avis de confidentialité, etc. Le changement du RGPD va vers les droits fondamentaux des personnes. Des questions ouvertes seront élaborées. Il y a clairement des questions ouvertes, j'en ai laissé quelques-unes ici pour nous. Personne n'a la réponse. Ils vont être réglés. Une tendance vers une meilleure compréhension par les individus de leurs données et de leur utilisation. Je pense que cela a sensibilisé la population de l’UE à l’importance de ses données et qu’elle considère comme l’un de ses atouts personnels qu’elle doit gérer davantage. Voilà quelques-uns des premiers signaux que j'ai vus, et Eric, je vais vous le renvoyer maintenant.
Eric Kavanagh: Très bien, permettez-moi de remettre les clés à Kim, qui peut partager une partie de son point de vue, mais je pense que c'était un bon aperçu, William, et vous avez touché les points clés - à savoir que cela descend à coup sûr et nous devons tous être très prudents, très franchement. Sur ce, laissez-moi remettre les clés à Kim et vous pourrez partager votre écran et le prendre à partir de là.
Kim Brushaber: Hé là, tu m'entends?
Eric Kavanagh: Je vous entends.
Kim Brushaber: Génial. William a couvert certaines des mêmes choses que je vais couvrir, mais je pense qu'elles valent la peine d'être couvertes parce qu'elles sont vraiment importantes. Je pense que lorsque de nouveaux règlements sont adoptés, il est vraiment bon d'avoir le point de vue et l'interprétation de nombreuses personnes différentes à ce sujet afin que quelque chose vous étonne et vous permette d'être encore plus en conformité. Je suis encouragé par toutes les personnes qui participent à cet appel et qui veulent en savoir plus, car je pense que le 25 mai, il y aura peut-être beaucoup de panique pour les entreprises qui sont pourchassées, non conformes.
Je m'appelle Kim Brushaber, je suis chef de produit senior chez IDERA. J'ai plusieurs produits sous moi qui aident à la conformité au RGPD ainsi qu'à d'autres réglementations. Je vais sauter dans certaines informations. Je vais commencer par quelques faits et quelques chiffres, puis j'entrerai un peu dans le RGPD, puis comment nos outils peuvent vous aider. Un fait est que plus de 5 millions d'enregistrements de données sont perdus ou volés chaque jour. Nous n'entendons pas ce reportage aux nouvelles, nous n'entendons pas cela venir d'autres endroits, mais il y a plus de 5 millions d'enregistrements de données qui sont volés tout le temps, directement sous nous. Le nombre médian de jours pendant lesquels les attaquants restent inactifs au sein de votre réseau est de 200 jours. De nombreux systèmes sont déjà infiltrés par des personnes qui, avec des intentions malveillantes, n'attendent que l'occasion de tirer parti de vos informations, principalement dans le domaine de la sécurité et des certificats, mais n'attendent que leur moment pour bondir. C'est pourquoi il est devenu de plus en plus important de gérer la sécurité de vos données. Le coût moyen d'une violation de données unique en 2020 devrait dépasser 150 millions de dollars, à mesure que davantage d'infrastructures commerciales sont connectées aux ressources en ligne et que plus de choses montent dans le cloud. C'est un bon chiffre budgétaire si vous êtes vraiment préoccupé par la sécurité des données, à donner à votre équipe de direction, pour leur dire que c'est une question sérieuse et pourrait nous coûter beaucoup d'argent à l'avenir.
Je vais brièvement passer en revue la violation de données d'Equifax parce que je pense que c'était la plus grande violation de données de 2017, pour donner une idée de ce que c'est que de traverser cela. La violation a touché 145, 5 millions de clients. Les employés ont reconnu le problème de sécurité de leur application Web deux mois avant la violation. Les employés disaient: «C'est un problème.» Et même un peu avant, c'était quand le patch est sorti. Il a fallu une journée entière une fois que la violation s'est produite pour y répondre et mettre l'application Web hors ligne. Parce qu'Equifax n'avait pas de protocole de sécurité des données défini, il leur a fallu beaucoup de temps pour même comprendre ce qui se passait et ensuite être en mesure de mettre le système hors ligne. Six semaines après la brèche, le public a été alerté. Avec le RGPD - comme nous l'avons indiqué ci-dessus et je le répète - vous devez vous présenter dans les 72 heures, et Equifax aurait eu les mains liées et n'aurait pas été en mesure de respecter cette conformité car ils ont attendu six semaines pour le signaler. La communication pour répondre à la violation comprenait un site Web qui n'appartenait même pas à Equifax. Equifax eux-mêmes retweetait ce tweet qui n'était même pas dans leur domaine - ils avaient inversé certains mots autour. Heureusement, ce n'était pas un site malveillant qui en tirait parti, mais ils n'étaient évidemment pas préparés. Ils n'avaient pas de plan en place, et cela est devenu très conscient dans l'arène publique. Equifax n'est pas le seul - il y a jusqu'à présent plus de 25 attaques à très haut profil cybernétique en 2017, et nous pourrions encore en trouver d'autres avant la fin de l'année. Les entreprises doivent vraiment commencer à prendre cela au sérieux parce que les gens sont là-bas et si vous leur donnez une raison de vouloir vous attaquer, vous feriez mieux d'être prêt à être en mesure de le gérer.
Quelques autres données et faits concernant la façon dont les individus envisagent la sécurité des données. D'ici 2020, 30 milliards d'appareils seront connectés à Internet via nos maisons, via nos appareils portables, via nos téléphones, nos tablettes et qui sait quoi d'autre peut encore arriver dans les années à venir. Il y a beaucoup, beaucoup d'appareils qui sont vulnérables à ces attaques. Quarante-neuf pour cent des Américains pensent que leurs informations personnelles sont moins sécurisées qu'il y a cinq ans. Soixante-treize pour cent des consommateurs américains souhaitent que les entreprises soient transparentes quant à leurs données personnelles. Soixante-dix-huit pour cent des gens affirment être conscients des risques de cliquer sur des liens et des e-mails inconnus, mais ils cliquent sur ces liens de toute façon - c'est plus des trois quarts de notre population, et ils continuent de cliquer sur les liens même s'ils sais que cela pourrait être un problème. Quatre-vingt-six pour cent des internautes tentent activement de minimiser, anonymiser et masquer la visibilité de leurs empreintes numériques. Mon beau-père aime sortir et créer de faux noms lorsqu'il remplit des formulaires parce qu'il pense que cela le rend anonyme, mais il ne sait pas que son adresse IP est également suivie. Il y a beaucoup d'inquiétude individuelle et c'est ce qui génère beaucoup de réglementations RGPD et probablement des réglementations supplémentaires qui suivront.
En ce qui concerne les faits de l'industrie de la sécurité des données, 90% des enregistrements de données de violation en 2016 provenaient du gouvernement, du commerce de détail et de la technologie. Quarante-trois pour cent des cyberattaques ont attaqué de petites entreprises. Si vous pensez: «Oh, je ne suis pas un grand gars, ils ne viendront pas après moi», il y en a encore, près de la moitié d'entre eux s'en prennent aux petites entreprises. Soixante-quinze pour cent de l'industrie des soins de santé ont été infectés par des logiciels malveillants au cours de la dernière année. Soixante-dix pour cent des sociétés pétrolières et gazières américaines ont été piratées l'année dernière. Il s'agit d'un impact important sur diverses industries différentes qui fonctionnent et ce nombre ne fera qu'augmenter à partir d'ici.
Du point de vue des dirigeants, 90% des DSI admettent avoir gaspillé des millions de dollars pour une cybersécurité inadéquate. Quatre-vingt-dix pour cent disent également qu'ils ont été attaqués ou qu'ils s'attendent à être attaqués par des gars qui se cachent dans leur cryptage. Quatre-vingt-sept pour cent pensent que leurs contrôles de sécurité ne parviennent pas à protéger leur entreprise. Quatre-vingt-cinq pour cent des DSI s'attendent à une mauvaise utilisation criminelle de leurs clés et certificats. C'est un grand nombre d'entreprises qui se penchent sur ce problème de sécurité des données et la réalité est que beaucoup d'entre elles n'ont pas de très bonnes solutions en place pour même pouvoir y faire face quand cela se produit, même si elles croient que cela va arriver.
Lorsque nous examinons la préparation de celui-ci, en 2014, 70% des milléniaux ont admis avoir introduit des applications externes dans leur entreprise en violation des politiques informatiques. Soixante-dix pour cent l'ont admis - il y a probablement même un plus grand nombre que cela, qui l'a effectivement fait. Cinquante-deux pour cent des organisations qui ont subi des cyberattaques réussies en 2016 n'ont apporté aucun changement à leur sécurité en 2017. Même si elles ont été attaquées une fois, elles ne sont toujours pas allées consolider les murs - elles sont tout aussi vulnérables qu'elles étaient avant l'attaque. Cela soulève vraiment la question: qu'est-ce que les entreprises doivent commencer à faire pour se préparer à ces choses? Trente-huit pour cent des organisations mondiales affirment être prêtes à gérer une cyberattaque sophistiquée. C'est bien - près de la moitié sont là, et je suis généreux avec ça, nous n'en sommes vraiment qu'à un tiers, mais il y a encore au moins la moitié qui disent: «Je ne suis pas prêt. Si je suis attaqué, je ne suis pas prêt et les pirates le savent. »Trente-huit pour cent des organisations ont un plan de réponse aux incidents cybernétiques. La plupart des entreprises sont dans le même panier qu'Equifax, où elles ne savent pas ce qu'elles vont faire. S'ils obtiennent cela, ils devront réagir et proposer ces choses à la volée, et des réglementations comme le RGPD disent: «Vous devez les avoir en place. Vous devez les faire publier. Vous devez le prouver aux vérificateurs de sécurité. »Espérons qu'avec des impacts comme celui-ci, avec des réglementations comme celle-ci, nous serons en mesure de devancer cette courbe et au lieu d'être réactionnaires, nous pourrons être proactifs dans nos activités.
Parlons un peu du RGPD. Une partie de ce William a déjà couvert, mais je vais aller de l'avant et le couvrir à nouveau, juste de mon point de vue, ma voix, mon point de vue. Beaucoup d'entreprises à qui je parle, elles se disent "Je suis aux États-Unis, pourquoi devrais-je même me soucier de cette réglementation européenne?" Le fait que plus de gens ne bourdonnent pas et plus de gens ne parlent pas de cela, ils pensent que seuls les membres de l'UE sont concernés, mais je vous demanderais, si vous regardez cette liste, collectez-vous ces données auprès des membres de l'UE? Si vous collectez l'une de ces informations, vous êtes soumis aux limites du RGPD, ainsi qu'aux sanctions en cas de non-conformité. Je vais vous donner une seconde pour absorber cela et comprendre cela. Comme William l'a mentionné plus tôt, ce sont les pénalités et sanctions mentionnées à l'article 83 du RGPD. Au début, vous pouvez avoir une gifle sur la main, un petit avertissement disant: «Hé, agissez ensemble. Mettez cela en place. »Mais si vous avez une très grosse brèche - et selon la taille d'une affaire - ils vous reviendront pour restitution, et c'est un nombre important. Pas 10 millions, mais 20 millions d'euros, soit 4% de votre chiffre d'affaires / chiffre d'affaires de l'année précédente. C'est beaucoup d'argent. C'est beaucoup de budget pour aller à vos équipes de direction et dire: «C'est quelque chose que nous devons commencer à prendre au sérieux et nous devons prendre des mesures."
Permettez-moi de passer en revue un peu les principes du RGPD tels qu'ils sont énoncés à l'article 5. L'une des choses qu'ils disent est que les données à caractère personnel doivent être traitées de manière licite, équitable et transparente. Cela signifie que le public veut savoir ce que vous faites avec ses données. Soyez transparent à ce sujet et cela doit être publié. La plupart des gens ne lisent pas les termes et conditions, mais il s'agit de nouvelles informations dont vous avez besoin pour pouvoir communiquer, afin de pouvoir leur dire: "Vos données sont traitées de manière appropriée". Les données personnelles doivent être collectées pour une durée spécifiée, fins explicites et légitimes. Cela signifie que nous espérons pouvoir nous débarrasser de certains de ces spams, où les entreprises disent collecter des informations pour un quiz qui vous indique à quel point vous pourriez être intéressant, et en réalité, elles prennent vos données et les revendent à quelqu'un d'autre, pour pouvoir l'utiliser à quelque fin que ce soit. Les entreprises doivent désormais être beaucoup plus responsables et dire exactement à quelles fins elles utilisent vos informations. Ils disent également que les données personnelles doivent être adéquates, pertinentes et limitées à ce qui est nécessaire. Beaucoup d'entreprises aiment prendre toutes leurs informations et les mettre dans un pool de Big Data, puis elles découvrent ce qu'elles veulent faire avec les informations plus tard et elles collectent beaucoup plus que ce qui peut être nécessaire. Cela signifie que vous ne pouvez pas le collecter et l'utiliser ailleurs. Vous ne pouvez pas non plus tout simplement collecter tout et espérer que plus tard vous le trouverez utile. Vous devez être très explicite dans la raison pour laquelle vous collectez les informations et cela doit être pertinent pour les données que vous collectez.
Les données personnelles doivent également être exactes et tenues à jour. Vous devez donner aux utilisateurs des moyens de mettre à jour leurs données, une fois que vous les avez collectées sur eux; ils doivent pouvoir revenir en arrière et dire: «Vous savez, j'avais cette opinion sur un sondage que vous m'avez demandé sur des informations personnellement identifiables et je veux revenir en arrière et je veux changer cela et le mettre à jour maintenant.» Et vous avez pour leur donner un moyen de le faire. Les données personnelles doivent être conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire. Revenons au point de William, selon lequel vous ne pouvez pas collecter ces informations pour toujours - vous devez trouver ce que vous pensez être valide et nécessaire et ensuite, vous devez effacer les données. Il doit également être traité de manière à garantir une sécurité appropriée, y compris une protection contre le traitement non autorisé ou illégal, la perte accidentelle, la destruction ou les dommages.
Comme je l'ai déjà dit, il est temps de prendre les choses au sérieux, de mettre un terme à ces violations de données, car non seulement vous risquez de subir des dommages à votre entreprise sous la forme de violations de données, de pertes de revenus et de coûts de renforcement de vos processus., mais vous pouvez également avoir une pile d'amendes giflées sur vous du RGPD. Il est temps de vraiment commencer à devenir très sérieux à ce sujet et je pense que lorsque le RGPD entrera en vigueur, les entreprises vont être confrontées à la dure réalité, et heureusement, ceux d'entre vous qui sont au téléphone aujourd'hui peuvent commencer à y penser et à savoir comment vous allez mettre ces choses en action.
Le GDPR parle également beaucoup des droits des individus; il est vraiment attentif aux utilisateurs individuels. La première chose est le droit d'accéder à vos données personnelles. Les utilisateurs doivent savoir quelles informations vous avez collectées sur eux, en ce qui concerne les informations personnellement identifiées, et vous devez leur donner un moyen de pouvoir y accéder. Il y a aussi un droit de rectification, ce qui est une façon élégante de dire: «Je dois être en mesure de corriger les informations que vous avez sur moi.» Le droit à l'effacement - qui encore une fois, beaucoup de gens énoncent le droit de être oublié - si un individu dit: «Vous savez quoi, je ne veux plus que vous sachiez que je suis un collectionneur de bandes dessinées super amusant, vous devez vous débarrasser de cela. J'ai des amis qui me taquinent à ce sujet et m'effacent complètement de votre liste », vous devez être en mesure de le faire. Il y a également le droit de restreindre le traitement, ce qui signifie que les utilisateurs peuvent limiter la façon dont leurs informations sont traitées. Ils peuvent dire: "Cela ne me dérange pas que vous preniez mes informations parce que j'achète une nouvelle voiture, mais n'utilisez pas ces informations pour m'envoyer des e-mails et me spammer sur de nouvelles offres chaque fois que de nouvelles voitures sont publiées." le droit à la portabilité des données, ce qui signifie que les utilisateurs devraient pouvoir obtenir une copie de leurs données et pouvoir les emmener ailleurs. De nombreuses organisations collectent des informations et ces informations ont un facteur d'adhérence, et maintenant les individus peuvent dire: «Vous savez quoi, je veux que vous preniez toutes mes informations et maintenant je veux que vous les donniez à votre concurrent, donc je peux les déplacer plus de."
Il y a beaucoup de choses à penser d'une organisation prospective sur la façon dont vous allez pouvoir faire cela et quelles informations vous voulez pouvoir collecter et envoyer. Il existe également un droit d'opposition, et les utilisateurs peuvent également s'opposer au traitement de leurs données. Le droit de ne pas être soumis à une décision basée uniquement sur le traitement automatique ou le profilage. Cela a un impact significatif sur le marketing B2B - si vous êtes assis et essayez de tester A / B et d'identifier le Colorado va être plus influencé par un message que la Californie, eh bien vous venez de faire le profilage, en regardant un état contre un autre, et vous devez voir comment un individu devrait pouvoir se retirer de cela.
Étant donné que nous avons des choses effrayantes qui arrivent en ce qui concerne la violation de données et la façon dont les gens regardent leurs données et que nous avons cet énorme règlement qui se jette sur nos épaules, je suis maintenant ici pour vous donner la solution sur la façon dont IDERA peut vous aider. L'article 15 explique comment contrôler l'exposition aux données personnelles. Vous devez savoir qui accède à vos données. Comment ils l'utilisent. La quantité de données traitées et le gestionnaire de conformité des produits SQL, dont je suis le chef de produit, vous permet de voir qui accède à vos données et comment. SQL Compliance Manager est destiné aux solutions SQL Server. Si vous disposez d'une base de données SQL Server, vous pouvez connecter ce produit pour pouvoir auditer et consulter ces informations, afin d'être en conformité avec le RGPD et de savoir exactement comment il est utilisé. Vous pouvez également voir les violations de données avant qu'elles ne se produisent, et j'en parlerai dans une autre diapositive. Il y a aussi un article qui dit: «J'ai besoin d'un enregistrement des activités de traitement. Je dois me connecter et je dois surveiller les opérations et je dois savoir qui traite les données personnelles et qui a accès à ces systèmes. »SQL Compliance Manager maintient l'audit des serveurs et des bases de données, y compris la sécurité, DDL, DML ainsi que la définition des données sensibles . SQL Compliance Manager vous permet d'auditer l'accès à la sécurité et de consigner une tentative, afin que vous puissiez voir qui accède aux informations, ainsi que qui se connecte, qu'il s'agisse d'un utilisateur privilégié, qu'il s'agisse d'un utilisateur connu ou d'un utilisateur malveillant.
L'article 33 parle de la notification d'une violation de données à caractère personnel à une autorité de contrôle. Vous devez être en mesure de détecter ces violations; vous devez avoir des dossiers pour pouvoir évaluer l'impact; vous devez savoir à quelle vitesse vous allez y remédier. Pour ce faire, SQL Compliance Manger vous permet de configurer des alertes sur vos bases de données pour être vu par qui a accès à vos données sensibles, quand ils y ont accédé, ce qu'ils ont accédé. Il vous permet également d'exclure vos utilisateurs privilégiés normaux de votre audit. Si vous avez un administrateur système ou un administrateur réseau que vous savez pouvoir y accéder et que vous ne voulez pas obstruer vos rapports, vous pouvez les exclure et dire: «Donnez-moi tout ce qui se passe en dehors de ces informations». vous pour identifier rapidement si quelqu'un accède par malveillance à vos données et vous pouvez avoir des alertes qui sont en place, qui vous permettent de savoir le moment où elles commencent à se produire, puis le moment où les informations sont consultées, pour pouvoir les contrôler, afin que vous pas besoin d'attendre une journée entière pour comprendre ce qui se passe, comme l'a fait Equifax.
Il y a aussi un article qui parle de protection des données et d'évaluation d'impact. Il s'agit d'évaluer vos risques et de comprendre ce qu'ils sont, ainsi que de démontrer et de documenter votre conformité au RGPD. SQL Compliance Manager vous permet de générer des rapports sur les éléments surveillés. Juste pour passer un peu en revue, l'audit de vos données avec SQL Compliance Manager, SQL Compliance Manager vous permet de détecter les échecs de connexion - ce qui est un signe potentiel de violation - surveiller les activités administratives et les changements de sécurité, vous alerter des modifications de la base de données, auditer les colonnes que vous définissez comme informations sensibles, identifiez les utilisateurs privilégiés et suivez leur activité séparément des autres utilisateurs de votre système, signalez que les informations sont auditées conformément à plusieurs directives réglementaires. Non seulement nous couvrons le RGPD, mais nous couvrons HIPAA, PCI, FERPA, SOX, toutes les directives réglementaires en matière d'audit de vos informations et de compréhension de ce qui est consulté, nous avons ces directives réglementaires en place.
IDERA propose également des produits supplémentaires pour la préparation du RGPD. Au-delà de l'audit effectué par SQL Compliance Manager, nous avons ER / Studio Enterprise Team Edition, qui peut vous aider à documenter vos processus de données et à incorporer des normes de données dans votre modèle de données, vous pouvez créer des glossaires de données dont William parlait dans une diapositive précédente . Comme je l'ai indiqué ici avec cette présentation, SQL Compliance Manager peut vous aider à auditer vos informations pour vous assurer que les mauvaises personnes n'accèdent pas à vos données, ainsi que le prouver aux auditeurs. SQL Safe Backup peut vous aider à chiffrer vos données et vos sauvegardes. Le chiffrement est un élément essentiel du RGPD, que je n'ai pas couvert en détail parce que je voulais me concentrer beaucoup sur les actifs de Compliance Manager, mais SQL Safe Backup effectue une grande partie du chiffrement pour vous, afin que vos données puissent rester en sécurité. SQL Inventory Manager peut garantir que les serveurs sont corrigés et à jour, donc vous ne vous retrouvez pas dans un cas comme Equifax, où ils avaient un correctif obsolète qui leur a donné un gros trou de sécurité que les gens ont pu utiliser avec malveillance. SQL Secure peut auditer les normes de confidentialité et de chiffrement.
Pour plus de détails sur le site Web de la communauté IDERA, sous notre blog, j'ai publié un document Préparer le GDPR ainsi que Regard vers 2018 et Comprendre l'impact du GDPR et il y a aussi, vous pouvez certainement télécharger une copie d'essai de SQL Compliance Manager chez IDERA ainsi que dans tous les autres produits que je viens de mentionner dans la diapositive.
À ce stade, je vais continuer et remettre la présentation à Eric afin que nous puissions poser quelques questions.
Eric Kavanagh: OK, bien. Vous avez abordé un certain nombre de choses vraiment intéressantes là-bas, Kim, dont l'une - je pense que c'est un peu simple mais c'est assez intelligent - vous avez parlé de la détection des échecs de connexion. Il me semble que c'est un assez bon signe que quelqu'un n'est pas bon, non?
Kim Brushaber: Absolument. Si vous voyez quelqu'un qui a essayé d'accéder à votre mot de passe et de le casser, c'est un moyen très rapide de pouvoir dire que quelqu'un ne fait pas ce qu'il devrait être. Peut-être quelques fois vous pourriez taper votre mot de passe incorrectement, mais si vous voyez 30 de ceux-ci passer, c'est un mauvais signe.
Eric Kavanagh: Ouais. La clé ici est de définir vos alertes avec le contexte approprié. Que pouvez-vous nous dire d'autre sur la façon de gérer le processus de configuration des alertes et de désactivation de celles qui ne font pas ce qu'elles devraient faire et combien de ces choses peuvent être automatisées?
Kim Brushaber: Compliance Manager propose de nombreuses alertes configurables, ainsi que des rapports que vous pouvez consulter. Nous parcourons vos traces SQL et nous avons ce suivi automatiquement et nous en avons beaucoup qui sont déjà prédéfinis et prédéfinis, mais il y a certainement une quantité importante de personnalisation que vous pouvez également faire.
Eric Kavanagh: William, je vais vous expliquer ceci - il me semble que c'est l'un des domaines dans lesquels nous allons voir l'apprentissage automatique entrer en jeu au cours des deux à dix prochaines années environ. différentes possibilités. En examinant toutes les différentes façons dont un système peut optimiser son efficacité, son efficacité concerne des problèmes tels que les violations, etc. Est-ce aussi votre point de vue?
William McKnight: Oui, absolument. Je pense que nous construisons maintenant des systèmes qui se réparent eux-mêmes. La surveillance 24h / 24 et 7j / 7 commence à se dérober et à devenir une chose du passé, même si nous avons encore besoin de ce type de disponibilité. Je pense que les systèmes intègrent largement cela et déterminent ce qui ne va pas. Avons-nous besoin d'allouer plus d'espace ici ou qu'avez-vous? Oui, je pense que cela fait définitivement partie de notre avenir. Tout ce qui peut être associé à certaines étapes de l'action, à prendre en réponse à quelque chose, est définitivement vulnérable à l'intelligence artificielle.
Eric Kavanagh: C'est un bon point. Je vais vous poser une autre question, William, car je sais que vous faites beaucoup de recherches sur cet espace. L'une des choses que j'attends depuis un bon moment et je ne pense pas que nous y soyons encore - je pense que nous nous rapprochons, juste d'après ce que j'ai lu et pensé - c'est un jour où il y aura de la technologie pour absorber les problèmes réglementaires, le libellé réel de ces choses et les associer aux fonctionnalités et aux logiciels. Comme je l'ai dit, nous sommes encore loin de cela - je ne peux pas imaginer que personne ne travaille dessus. Avez-vous rencontré quelque chose comme ça, ou sommes-nous encore à un point où les êtres humains doivent regarder les règles, vraiment essayer de les comprendre, les codifier essentiellement dans le code machine, puis les adapter à leurs diverses applications?
William McKnight: Eh bien, je comprends certainement le concept que vous partagez ici. Je ne connais rien à ce qui se passe en vue d'un déploiement dans un environnement lié à cela. Je dirai cependant qu'en général, nous commençons évidemment à dire aux machines non pas quoi faire, mais quel est le but de ce que nous voulons faire et les machines deviennent beaucoup plus intelligentes pour comprendre les détails. Je pense qu'une fois que nous aurons plus d'intelligence artificielle dans nos organisations, il est tout à fait possible que de nouvelles réglementations puissent être développées de concert avec l'IA déployée à l'intérieur des organisations afin qu'elles puissent être déployées de la manière que vous avez décrite à l'avenir. Pour l'instant, nous n'agissons pas avec ça.
Eric Kavanagh: Voici une question que je vais vous poser, Kim, car c'est aussi assez intéressant. Vous parlez de la latence moyenne ou du temps pendant lequel une personne qui se connecte à votre système se cache et attend - nombre de jours pendant lequel un attaquant est resté en sommeil dans un réseau - la détection est de 200. Je suis curieux de savoir, que pensez-vous de la façon d'améliorer ça, tout d'abord? Mais aussi, existe-t-il un moyen d'utiliser ce type de règle pour explorer votre propre système? Pour explorer vos propres données, pour mieux empêcher ces types de personnes?
Kim Brushaber: Oui, je pense que la détection précoce est évidemment la clé. Vous devez comprendre que ces sites malveillants accèdent à vos informations et pouvoir les verrouiller. Je pense que dans les autres diapositives où nous montrons que la plupart des organisations n'ont pas ces politiques en place. Voilà pourquoi ils sont assis là. Je pense que si vous aviez effectivement une politique en place pour passer et bloquer votre accès et vous assurer que les bonnes personnes y ont accès. Assurez-vous de faire tourner régulièrement vos clés et de les mettre à jour. Assurez-vous que vos mots de passe sont mis à jour régulièrement et faites ce genre de choses, qui semblent assez basiques. À l'heure actuelle, la plupart des organisations ne font même pas cela, et commencer à mettre ces éléments en place vous aidera à aller au-delà de cela.
Cela signifie bien sûr que les hackers deviendront plus rusés à ce sujet, mais pour le moment c'est facile, c'est comme: «Je vais regarder les maisons dans la rue dans lesquelles j'ai envie de pénétrer, est-ce que ceux-ci auront l'alarme systèmes? Ont-ils un petit signe d'alarme et que l'on a des chiens? Je vais aller à celui qui n'a pas de panneau d'alarme, qui n'a pas de chien et c'est la maison dans laquelle je vais pénétrer. »Eh bien, ils vont découvrir les entreprises qui ne le font pas. t ont ces correctifs en place et ils n'ont pas la sécurité en place et ils ne mettent pas à jour leurs mots de passe et ils vont aller traîner et utiliser votre carte de crédit sur une station-service plusieurs fois pour vous assurer vous ne l'avez pas fermé et puis quand ils peuvent influencer un grand changement, normalement une sorte de déclaration politique ou autrement, c'est quand vous les voyez surgir la tête. En mettant ces politiques en place, je pense qu'à ce stade, vous pouvez prendre des mesures assez minimes pour être en mesure de prendre de l'avance sur ce jeu.
Eric Kavanagh: C'est probablement le meilleur conseil et j'entends toujours cela lorsque nous parlons à des gens qui se trouvent dans l'espace de sécurité ou de réglementation, que les bases couvriront 80% de votre problème, et c'est beaucoup de terrain à couvrir - c'est un bon point. L'un des participants a demandé si quelqu'un pouvait développer les opportunités commerciales qui pourraient être extraites des efforts de conformité au RGPD, je me souviens de Sarbanes-Oxley, et je suppose, William, je vais vous le céder. En tant que consultant, vous cherchez toujours des moyens d'aider vos clients en dehors de la portée d'un projet particulier - du moins si vous êtes un bon consultant, vous le faites. Lorsque vous parlez aux gens du RGPD, quels sont les avantages accessoires que vous pouvez espérer qu'ils obtiendront s'ils s'engagent dans un projet axé sur cela?
William McKnight: Tout d'abord, il est important de noter que l'idée derrière le RGPD n'est pas du tout les droits du citoyen. Il y a l'autre côté du RGPD qui est, cela va améliorer la confiance que les citoyens ont dans nos entreprises et cela va les encourager à faire plus d'affaires dans les entreprises conformes. Il y a ces avantages accessoires à réaliser réellement votre RGPD, maintenant en interne, les programmes de gouvernance des données que nous mettons en œuvre servent à faciliter toutes sortes d'initiatives, vraiment, qui sont lancées au sein des organisations et aujourd'hui, de loin, les initiatives qui sont lancées au sein des organisations. J'ai récemment fait de la planification pour 2018 avec beaucoup d'entre eux, ils ont beaucoup à voir avec les données, ils sont comme 65% à 90% tout sur les données - quand vous parlez de télématique ou de programme client 360 ou un tableau de bord pour surveiller les vendeurs, c'est en grande partie sur les données. Tout ce qui gère mieux ces données, qui les met dans une meilleure architecture qui nomme les personnes qui sont les personnes de référence qui peuvent répondre à toutes les questions sur ces données, qui se soucient vraiment comme le ferait un programme de gouvernance des données. Tout ce qui nous donne un glossaire de données - comme Kim en parlait avec ses outils - tout ce qui le fait, il est très utile de rendre ces initiatives beaucoup plus efficaces, de les minimiser, de réduire le temps, de réduire le budget pour elles et de nous obtenir à une époque agile pour commercialiser beaucoup plus rapidement et de bonnes choses pour une entreprise qui prend des initiatives, ce qui est toutes les entreprises.
Eric Kavanagh: J'adore ce concept de confiance. Je pense que la confiance est une réalité très sous-estimée dans notre monde et, franchement, la plupart des entreprises reposent sur la confiance - elle le fait vraiment quand on y va. Je vous le cède juste pour quelques observations finales, Kim. Je pense que l'une des principales valeurs ajoutées ici est d'améliorer la confiance et de favoriser une culture de la confiance, car cela aura non seulement des impacts positifs sur l'entreprise elle-même, sur les personnes à l'intérieur de l'entreprise en soi, mais aussi sur ce que le public perçoit parce que ce genre de chose déborde, il me semble, mais qu'en pensez-vous?
Kim Brushaber: Oui, je pense que lorsque je parle à des amis qui travaillent chez Google ou à Facebook ou à certaines des organisations les plus importantes et les plus prestigieuses, ils n'implémentent pas autant de nouvelles fonctionnalités qu'ils impliquent des protocoles de sécurité et des performances. et les problèmes d'évolutivité, car ils veulent que leur expérience utilisateur soit celle où ils pensent pouvoir faire confiance à ces informations. Je pense que les entreprises ont cette responsabilité alors que nous continuons à offrir ce type de confiance. Je me souviens quand les gens ont commencé à mettre des cartes de crédit en ligne et que les gens se disaient: "Oh mon dieu, je ne vais pas donner cette information là-bas parce que ce n'est pas sûr."
Et maintenant, votre carte de crédit va dans tous les sens parce que, en théorie, vous pensez que vous pouvez faire confiance à l'entreprise car elle a un certificat HTTPS. Ensuite, vous entendez parler des violations de données cibles où les cartes de crédit, où elles étaient, "Oh, vous feriez mieux d'échanger votre carte de crédit parce que nous lâchons ces informations." Je pense que c'est un sentiment à double sens. Je pense que les individus, alors qu'ils veulent être plus confiants parce que c'est beaucoup plus facile, pour pouvoir faire confiance et avoir confiance en cela dans les grandes organisations, les grandes organisations doivent intervenir et mettre ces pièces en place pour qu'elles ne '' t blesser l'individu ou vous perdez des parts de marché. Les gens disent: «Eh bien, vous savez quoi, je ne vais plus acheter chez Target, maintenant je vais faire des achats chez Amazon.» Je pense que la confiance est un gros problème, même si, comme nous l'avons dit, 78% des gens sont va toujours cliquer sur ce lien dans un e-mail, même s'ils savent qu'ils ne le peuvent pas. Il y a une certaine protection des personnes, même lorsqu'elles vous font confiance.
Eric Kavanagh: C'est un bon point. Vous savez quoi, je vais vous poser une dernière question, William, ou au moins une autre - nous en avons de bonnes maintenant. Un participant écrit: «Le RGPD ramène la gestion des identités au client, où il appartient. Equifax a endommagé de façon permanente 149 millions de consommateurs, «très vrai», contaminant l'économie numérique. Quels changements voyez-vous se produire aux États-Unis concernant la propriété des clients en ce qui concerne la gestion de l'identité? »
William McKnight: Eh bien, nous sommes toujours en retard aux États-Unis en ce qui concerne ce genre de choses, n'est-ce pas? Cent quarante-neuf millions, ce n'est pas une goutte dans le seau juste là. C'est presque comme du terrorisme, non? Nous y sommes tellement habitués, ça arrive tout le temps. Je pense que quelque chose doit être fait. Je pense que le RGPD, j'aime les droits qu'il donne aux citoyens, mais cela ne semble pas être une priorité - il y a beaucoup d'autres priorités et je ne sais pas où cela va aller. Je pense, comme je l'ai mentionné dans la diapositive de ramifications que j'ai eue, que cela indique une évolution vers plus de droits par le consommateur sur ses données. Quand cela se passe-t-il ici aux États-Unis? Je ne sais pas, il pourrait y avoir jusqu'à cinq ans de congé, pour voir quelque chose de proportionnel au RGPD se produire ici aux États-Unis. Juste de la spéculation à ce stade.
Eric Kavanagh: C'est un très bon point et je pense que nous allons voir plus d'efforts à ce sujet parce que, avouons-le, nous nous dirigeons vers une telle économie numérique ces jours-ci. Et comme un commentaire de clôture ici, devenir un peu philosophique, orienté vers les politiques, c'est ce qui me préoccupe le plus dans le passage à une société sans espèces, car lorsque l'argent disparaît, si cela se produit, alors tout est numérique et chaque système peut-il être piraté et l'identité de chaque personne peut être volée. Il me semble que c'est un assez gros éléphant dans la pièce ici, alors que nous regardons vers le bas pour l'avenir de la gestion de l'identité.
Ce sont toutes de bonnes choses, les amis. Merci à William McKnight pour son temps et son attention aujourd'hui. Merci à Kim Brushaber d'IDERA. Nous archivons toutes ces webémissions pour une visualisation ultérieure, alors n'hésitez pas à revenir, généralement en quelques heures seulement et l'archive sera prête. Sur ce, nous allons vous dire adieu, les amis. Merci encore pour votre temps et votre attention. Bye Bye.
