Est ce que si l'Eysée faisait un communiqué similaire ça changerait grand chose en France ?
J'en doute.
On voit probablement ça différemment quand ça vient d'un pays étranger, mais quand on est directement concernés par ce genre de communiqués, on réduit ça à de la simple comm'.
Voter une loi permettant d'attaquer une entreprise en justice en cas de fuite de données à cause d'une faille de sécurité, ça pourrait avoir un certain impact.
(ou au moins mettre en place un système de compensation comme dans le système bancaire).
Maintenant je pari qu'il y a des failles de sécurités dont les gouvernements s’accommodent très bien, donc pas sûr qu'ils soient près à en faire des tonnes :p
Tu sais bien que nous sommes des gentils… :->
rot13 est le moyen le plus simple (symétrie) et aisé/rapide (à scripter si on n’a pas quelque part un outil qui le fait) quand on n’a pas de balise à se poiler :-)
“It is seldom that liberty of any kind is lost all at once.” ― David Hume
Voter une loi permettant d'attaquer une entreprise en justice en cas de fuite de données à cause d'une faille de sécurité, ça pourrait avoir un certain impact.
Maintenant, il faut bien voir que la majorité des failles ne sont pas exploité, cf les chiffres d'un collégue. Les chiffres tournent autour de 0.37% de failles exploitées l'année de leur découverte.
Le même collègue détaille aussi le coût du déploiement des patchs dans un autre article. Il indique aussi que la majorité des problèmes sont des configs incorrects, pas des failles.
C'est pas pour de rire : par exemple Bouygues Telecom a eu une amende copieuse de 250000€ pour défaut de sécurisation.
Il a un autre truc, c'est que dans le texte du RGPD, il est constamment mentionné que la sécurisation doit être adaptée et proportionnée au risque. Hors, relativement peu de TPE/PME/travailleurs indépendants/micro-entrepreneurs font des analyses de risque.
J'ai jamais le courage de me plonger dans les textes de lois, mais ça m'a l'air un peu éclaté comme concept (je parle de l'article 32 que tu donnes en source)
a) la pseudonymisation et le chiffrement des données à caractère personnel;
b) des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement;
c) des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique;
Autrement dit si je comprends bien il faut tout chiffrer mais avoir les moyens de déchiffrer pour pouvoir fournir au client ses données d'origine.
Donc on oubli le chiffrement de bout en bout et on garde toujours des clés de déchiffrement dans un coin chez le fournisseur de service.
En sommes si le serveur qui stocke les clés venait à être piraté, c'est la catastrophe.
A mon sens le chiffrement de bout en bout est la solution la plus sûr, mais ça oblige quelques efforts au client.
Je comprends le point c) comme obligeant à avoir un plan de reprise en cas de catastrophe. Mais si l'entreprise n'a que la version chiffrée (ou pseudonymisée) des données personnelles des clients, ben c'est uniquement ceci qu'elle doit pouvoir rétablir.
Je comprends le chiffrement comme étant la pour éviter le vol de données pendant qu'on transmet (eg, https, etc), et quand on vole du matériel directement.
le but n'est pas de dire "l'entreprise ne doit pas pouvoir accéder aux données sous aucun cas", ça n'aurait aucun sens dans énormement de cas. Par exemple, une banque a des obligations divers (lutte contre la fraude, etc), une plateforme de vente en ligne doit avoir ton adresse pour envoyer les choses, etc.
# Un vœu pieux, mais une prise de conscience du politique
Posté par SpaceFox (site web personnel, Mastodon) . Évalué à 4.
Évidemment, cette demande est un vœu pieux, à peu près aussi crédible que de dire « Maintenant, faisons des logiciels sans bugs ».
Pour moi, le point intéressant n’est pas dans la demande en elle-même, mais dans ce que l’existence de cette demande implique. En particulier :
La connaissance libre : https://zestedesavoir.com
[^] # Re: Un vœu pieux, mais une prise de conscience du politique
Posté par Florian.J . Évalué à 4.
Est ce que si l'Eysée faisait un communiqué similaire ça changerait grand chose en France ?
J'en doute.
On voit probablement ça différemment quand ça vient d'un pays étranger, mais quand on est directement concernés par ce genre de communiqués, on réduit ça à de la simple comm'.
Voter une loi permettant d'attaquer une entreprise en justice en cas de fuite de données à cause d'une faille de sécurité, ça pourrait avoir un certain impact.
(ou au moins mettre en place un système de compensation comme dans le système bancaire).
Maintenant je pari qu'il y a des failles de sécurités dont les gouvernements s’accommodent très bien, donc pas sûr qu'ils soient près à en faire des tonnes :p
[^] # Re: Un vœu pieux, mais une prise de conscience du politique
Posté par Gil Cot ✔ (site web personnel, Mastodon) . Évalué à 2.
Dhnaq p'rfg hgvyvfr cne yn AFN, pr a'rfg cnf har snvyyr znvf har srngher…
“It is seldom that liberty of any kind is lost all at once.” ― David Hume
[^] # Re: Un vœu pieux, mais une prise de conscience du politique
Posté par Florian.J . Évalué à 1.
Pas que la NSA, je suppose que les renseignements Français doivent aussi avoir des moyens de ce type.
PS: Le code de César est un peu surcoté si tu veux mon avis.
[^] # Re: Un vœu pieux, mais une prise de conscience du politique
Posté par Gil Cot ✔ (site web personnel, Mastodon) . Évalué à 4. Dernière modification le 28 février 2024 à 05:04.
Tu sais bien que nous sommes des gentils… :->
rot13 est le moyen le plus simple (symétrie) et aisé/rapide (à scripter si on n’a pas quelque part un outil qui le fait) quand on n’a pas de balise à se poiler :-)
“It is seldom that liberty of any kind is lost all at once.” ― David Hume
[^] # Re: Un vœu pieux, mais une prise de conscience du politique
Posté par Misc (site web personnel) . Évalué à 4.
L'article 32 du RGPD s'en rapproche.
Maintenant, il faut bien voir que la majorité des failles ne sont pas exploité, cf les chiffres d'un collégue. Les chiffres tournent autour de 0.37% de failles exploitées l'année de leur découverte.
Le même collègue détaille aussi le coût du déploiement des patchs dans un autre article. Il indique aussi que la majorité des problèmes sont des configs incorrects, pas des failles.
[^] # Re: Un vœu pieux, mais une prise de conscience du politique
Posté par cg . Évalué à 4.
C'est pas pour de rire : par exemple Bouygues Telecom a eu une amende copieuse de 250000€ pour défaut de sécurisation.
Il a un autre truc, c'est que dans le texte du RGPD, il est constamment mentionné que la sécurisation doit être adaptée et proportionnée au risque. Hors, relativement peu de TPE/PME/travailleurs indépendants/micro-entrepreneurs font des analyses de risque.
[^] # Re: Un vœu pieux, mais une prise de conscience du politique
Posté par Florian.J . Évalué à 2.
J'ai jamais le courage de me plonger dans les textes de lois, mais ça m'a l'air un peu éclaté comme concept (je parle de l'article 32 que tu donnes en source)
Autrement dit si je comprends bien il faut tout chiffrer mais avoir les moyens de déchiffrer pour pouvoir fournir au client ses données d'origine.
Donc on oubli le chiffrement de bout en bout et on garde toujours des clés de déchiffrement dans un coin chez le fournisseur de service.
En sommes si le serveur qui stocke les clés venait à être piraté, c'est la catastrophe.
A mon sens le chiffrement de bout en bout est la solution la plus sûr, mais ça oblige quelques efforts au client.
[^] # Re: Un vœu pieux, mais une prise de conscience du politique
Posté par Frédéric Perrin (site web personnel) . Évalué à 2. Dernière modification le 28 février 2024 à 12:58.
Je comprends le point c) comme obligeant à avoir un plan de reprise en cas de catastrophe. Mais si l'entreprise n'a que la version chiffrée (ou pseudonymisée) des données personnelles des clients, ben c'est uniquement ceci qu'elle doit pouvoir rétablir.
[^] # Re: Un vœu pieux, mais une prise de conscience du politique
Posté par Misc (site web personnel) . Évalué à 3.
Je comprends le chiffrement comme étant la pour éviter le vol de données pendant qu'on transmet (eg, https, etc), et quand on vole du matériel directement.
le but n'est pas de dire "l'entreprise ne doit pas pouvoir accéder aux données sous aucun cas", ça n'aurait aucun sens dans énormement de cas. Par exemple, une banque a des obligations divers (lutte contre la fraude, etc), une plateforme de vente en ligne doit avoir ton adresse pour envoyer les choses, etc.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.