Les modifications apportées aux conditions de contact s’appliqueront globalement et à tous ses clients commerciaux – qu’il s’agisse d’une entité du secteur public ou privé, d’une grande ou d’une petite entreprise, a-t-il déclaré aujourd’hui.

Les nouvelles dispositions contractuelles seront proposées à tous les clients du secteur public et des entreprises au début de 2020, ajoute le communiqué.

En octobre, le responsable de la protection des données en Europe a averti que les résultats préliminaires d’une enquête sur les conditions contractuelles applicables aux services en cloud de Microsoft avaient suscité de vives inquiétudes quant au respect des règles de protection des données de l’UE et au rôle du géant de la technologie en tant que processeur de données pour les institutions de l’UE.

Dans son blog sur les politiques européennes, Julie Brill, vice-présidente de Microsoft pour la confidentialité et les affaires réglementaires dans le monde, annonce la mise à jour des dispositions relatives à la confidentialité dans les conditions de services en ligne (OST) de ses contrats de cloud professionnel – dire que les modifications ont été apportées à la suite des «commentaires de nos clients».

«Les modifications que nous apportons offriront plus de transparence à nos clients en ce qui concerne le traitement des données dans le cloud de Microsoft», écrit-elle.

Elle a également déclaré que les modifications reflétaient celles élaborées par Microsoft en consultation avec le ministère néerlandais de la Justice et de la Sécurité – comprenant à la fois des clauses contractuelles modifiées et des sauvegardes et paramètres techniques – après que ce dernier eut effectué une évaluation des risques de l’OST de Microsoft plus tôt cette année et soulevé des préoccupations.

Plus précisément, Microsoft accepte de plus grandes responsabilités en matière de protection des données pour les traitements supplémentaires nécessaires à la fourniture de services d’entreprise, tels que la gestion de compte et les rapports financiers, par Brill:

• Grâce à la mise à jour OST que nous annonçons aujourd’hui, nous augmenterons nos responsabilités en matière de protection des données pour un sous-ensemble de traitements que Microsoft effectue lorsque nous fournissons des services d’entreprise. Dans la mise à jour OST, nous préciserons que Microsoft assume le rôle de contrôleur de données lorsque nous traitons des données à des fins administratives et opérationnelles spécifiées, afin de fournir les services cloud couverts par ce cadre contractuel, tels que Azure, Office 365, Dynamics et Intune. Ce sous-ensemble de traitement de données sert à des fins administratives ou opérationnelles telles que la gestion des comptes, la création de rapports financiers, la lutte contre les cyberattaques sur tout produit ou service Microsoft et le respect de nos obligations légales.

Actuellement, Microsoft se définit comme un processeur de données plutôt que comme un contrôleur de données pour ces fonctions administratives et opérationnelles pouvant être liées à la fourniture de services cloud commerciaux, tels que sa plate-forme Azure.

Cependant, dans le cadre général de la protection des données en Europe, le responsable du traitement des données a les obligations les plus larges en matière de traitement des données à caractère personnel – en vertu de l’article 5 du RPGD pour la légalité, l’équité et la sécurité des données traitées – et donc aussi un plus grand risque juridique s’il ne remplissait pas la norme.

Ainsi, d’un point de vue réglementaire, la structure actuelle des contrats commerciaux de Microsoft présente un risque pour les institutions européennes que les données des utilisateurs soient traitées selon un niveau de protection juridique inférieur à celui qui est mérité.

Le passage annoncé d’un processeur de données à un contrôleur devrait placer la barre plus haut pour les objectifs associés que Microsoft peut également fournir aux clients commerciaux de ses services cloud.

Pour ce dernier objectif, Microsoft indique qu’il restera le processeur de données, ainsi que pour améliorer et traiter les bogues ou autres problèmes liés au service, assurer la sécurité des services et maintenir les services à jour.

En août, une conférence organisée conjointement par le superviseur de la protection des données de l’UE et le ministère néerlandais a réuni les clients européens des géants du cloud pour travailler à une réponse commune aux risques réglementaires liés à la fourniture de logiciels dans le cloud.

Plus tôt cette année, le ministère néerlandais a obtenu des modifications contractuelles ainsi que des sauvegardes et paramètres techniques dans les contrats modifiés passés avec Microsoft.

«Les seules différences substantielles entre les conditions mises à jour [qui seront déployées à l’échelle mondiale pour tous les clients du cloud commercial] concernent les modifications spécifiques au client demandées par le MOJ néerlandais, qui ont dû être adaptées à la base de clients mondiale plus large», écrit Brill.

Le blog de Microsoft souligne également d’autres modifications mondiales liées à la confidentialité qui, selon ses dires, ont été apportées à la suite des réactions du ministère de la Justice néerlandais et d’autres, notamment: la mise en place de nouveaux outils de confidentialité pour les principaux services; modifications spécifiques apportées à Office 365 ProPlus; et une transparence accrue concernant l’utilisation des données de diagnostic.

L’article Microsoft annonce des modifications aux termes du contrat de cloud à la suite d’une enquête de confidentialité menée par l’UE est apparu en premier sur TTCgroupe.

“Mark Zuckerberg ne prendra pas la vie privée des Américains au sérieux, sauf s’il en ressent les conséquences personnelles“, a déclaré Wyden dans l’annonce du projet de loi. “Une tape sur les doigts de la FTC ne fera pas le travail, donc sous ma facture, il encourt une peine de prison pour avoir menti au gouvernement.“

Wyden a partagé le texte intégral de sa loi intitulée Mind Your Own Business Act, mais en a résumé les points essentiels dans cette annonce.

“Il repose sur trois idées de base“, a expliqué Wyden. «Les consommateurs doivent pouvoir contrôler leurs propres informations privées. les entreprises doivent offrir beaucoup plus de transparence sur la manière dont elles utilisent et partagent nos données, et les dirigeants d’entreprise doivent être tenus personnellement responsables s’ils mentent à propos de la protection de nos informations personnelles. “

Au cours des dernières années, les législateurs de tous les horizons politiques ont réprimé verbalement l’industrie des technologies de l’information – et Facebook en particulier – pour avoir régulièrement exploité et mal traité les données des utilisateurs.

Reste à savoir si tous ces discours mènent à l’action. Mais si le projet de loi de Wyden devient loi, Facebook et ses dépendants devront repenser leur approche de la confidentialité des données – sinon ils risquent de voir leurs dirigeants derrière les barreaux.

L’article Nouveau projet de loi de confidentialité pourrait envoyer Mark Zuckerberg à la prison est apparu en premier sur TTCgroupe.

Ces principales menaces démontrent la complexité de la lutte contre la cybercriminalité et soulignent que les criminels n’innovent dans leur comportement criminel que lorsque les modes opératoires existants sont devenus vains ou que des opportunités plus rentables se présentent.

Essentiellement, les nouvelles menaces ne proviennent pas seulement des nouvelles technologies, mais aussi de vulnérabilités connues des technologies existantes, qui restent non corrigées pendant de longues périodes.

Les services répressifs doivent donc non seulement se concentrer sur l’impact potentiel des futurs progrès technologiques en matière de cybercriminalité, tels que l’intelligence artificielle, mais aussi aborder la cybercriminalité dans un sens global, y compris la prévention, la sensibilisation et le renforcement de la cyberéducation et de la résilience.

La sixième évaluation annuelle de la menace liée à la criminalité organisée sur Internet (IOCTA) d’Europol offre un point de vue unique en matière d’application de la loi sur les menaces émergentes et les développements clés dans le domaine de la cybercriminalité au cours de l’année écoulée.

Phénomènes transversaux de la cybercriminalité

• Les données sont au centre des scènes de crime. Les cybercriminels ciblent les données pour leurs crimes. La sécurité des données et la sensibilisation des consommateurs sont donc primordiales pour les organisations. La sécurité des données a de nouveau pris une place centrale après la mise en œuvre du règlement général sur la protection des données (RGPD).

• La cybercriminalité est en train de mûrir et de devenir plus audacieuse, se concentrant davantage sur des cibles plus vastes et plus rentables.

Principales tendances 2019 de l’IOCTA

Les ransomwares demeurent la principale menace de cybercriminalité en 2019. Même si les forces de l’ordre ont constaté une baisse du volume global des attaques de ransomwares, celles qui sont commises sont plus ciblées, plus rentables et entraînent des dommages économiques plus importants.

Tant que les ransomwares fournissent un revenu relativement facile aux cybercriminels et continuent de causer des dommages et des pertes financières considérables, il est probable que cela reste la principale menace en matière de cybercriminalité.

Attaques DDoS: si l’utilisation de ransomware pour refuser à une organisation l’accès à ses propres données peut constituer la principale menace de l’IOCTA de cette année, le fait de refuser à d’autres utilisateurs l’accès à ses données ou services est une autre menace importante.

Le déni de service distribué (DDoS) était l’une des menaces les plus importantes signalées à Europol. De nombreuses banques signalent que les attaques par DDoS demeurent un problème important, entraînant une interruption des services bancaires en ligne, créant ainsi un impact plus public que des dommages financiers directs.

Surcharge de données dans le matériel de lutte contre l’exploitation sexuelle des enfants: la quantité de matériel détecté en ligne par les forces de l’ordre et le secteur privé continue d’augmenter. Cette augmentation alourdit considérablement les ressources en matière d’application de la loi.

Un développement qui pourrait être préoccupant pour l’exploitation sexuelle d’enfants en ligne est l’amélioration continue de deepfakes. La technologie Deepfake est une technique basée sur l’IA qui place des images ou des vidéos sur une autre vidéo.

Les contenus explicites auto-générés sont de plus en plus courants, poussés par un nombre croissant de mineurs ayant accès à des smartphones de haute qualité. Le manque de sensibilisation aux risques du côté des mineurs aggrave le problème.

Villes intelligentes: les attaques de ransomware les plus visibles en 2019 étaient celles contre les gouvernements locaux, en particulier aux États-Unis. On verra si cette tendance deviendra également une menace pour les États membres de l’UE ou ailleurs, mais les expériences aux États-Unis sont un avertissement.

Les forces de l’ordre réagissent de plus en plus aux attaques d’infrastructures critiques. Les forces de l’ordre semblent avoir été impliquées dans un éventail beaucoup plus large d’enquêtes sur des attaques d’infrastructures critiques, notamment dans les secteurs de l’énergie, des transports, de l’approvisionnement en eau et de la santé.

Il est peu probable que des criminels motivés financièrement attaquent ces infrastructures, car de telles attaques attirent l’attention de multiples autorités et posent donc un risque disproportionné.

Le réseau Darknet devient de plus en plus fragmenté: il y a de plus en plus de magasins à fournisseur unique et de marchés plus fragmentés et fragmentés sur Tor, y compris ceux proposant des langues spécifiques. Certains groupes du crime organisé fragmentent également leurs activités sur un éventail de monikers et de marchés en ligne, posant ainsi de nouveaux défis pour les forces de l’ordre.

Les marchés des chaînes de blocs: en plus de contourner les forces de l’ordre, les développeurs criminels sont également motivés par la nécessité d’accroître la confiance de leurs clients dans Tor, à la fois en termes d’anonymat mais aussi en réduisant les risques d’escroquerie à la sortie.

Black Dog, dont le lancement est prévu pour août 2019, en est un exemple. Il prétend être le «tout premier marché de la cryptographie véritablement décentralisé» et dépend de la blockchain Ethereum pour faciliter les transactions.

Compromis pour le courrier électronique professionnel: les données reviennent à la discussion du compromis concernant le courrier électronique commercial, qui est une priorité cruciale signalée à la fois par les États membres et le secteur privé. Bien que ce crime ne soit pas nouveau, il évolue.

Cette escroquerie exploite la manière dont les entreprises mènent leurs activités, en tirant parti de structures d’entreprise distinctes et des lacunes internes dans les processus de vérification des paiements.

Protocole d’intervention d’urgence des services répressifs de l’UE: la réponse coordonnée aux cyberattaques à grande échelle reste un défi majeur pour une coopération internationale efficace dans l’écosystème de la cybersécurité.

L’élaboration du protocole d’intervention d’urgence des services répressifs de l’Union européenne a considérablement amélioré la préparation aux cyber-actes en abandonnant les mesures de réaction incongrues et réactives, incohérentes, et en agissant comme des catalyseurs essentiels des capacités d’intervention rapide prenant en charge la cyber-résilience.

Catherine De Bolle, directrice exécutive d’Europol, a déclaré: «L’IOCTA de cette année montre que, même si nous devons anticiper sur les défis que les nouvelles technologies, la législation et l’innovation criminelle peuvent apporter, nous ne devons pas oublier de regarder derrière nous. Les «nouvelles» menaces continuent de naître des vulnérabilités des processus et des technologies établis.“

«En outre, la longévité des cybermenaces est évidente, de nombreux modes opératoires établis de longue date et établis persistent, malgré tous nos efforts. Certaines menaces d’hier restent pertinentes aujourd’hui et continueront de nous interpeller demain.“

«En outre, l’impact mondial de la cybersécurité sur la scène mondiale a porté la menace de la cybercriminalité à un autre niveau. À Europol, nous pensons que des outils essentiels doivent être développés pour tenir les cybercriminels à distance. C’est d’autant plus important que d’autres secteurs criminels sont de plus en plus cyber-facilités. »

Le commissaire européen chargé de la migration, des affaires intérieures et de la citoyenneté, Dimitris Avramopoulos, a déclaré: «Les cybercriminels sont de plus en plus audacieux et nous devons le faire dans notre réponse européenne commune. Je suis heureux de constater que les efforts de l’Europe pour lutter contre les cyber-attaques à grande échelle transfrontalières donnent des résultats.“

«Mais je suis bouleversé par le fait que le matériel pédopornographique continue de prospérer en ligne. Nous devons tous intensifier nos efforts à tous les niveaux, car la cybersécurité n’est pas seulement la tâche des forces de l’ordre nationales. C’est une responsabilité pour nous tous envers nos citoyens. “

L’article Cybercriminalité arrive à maturité et se concentre sur des cibles rentables est apparu en premier sur TTCgroupe.