Cybersécurité et la protection des consommateurs par le NIST
Le 12 février dernier le NIST (National Institute of Standards and Technology) en collaboration avec l’université de Stanford a organisé un workshop sur l’amélioration de la cybersécurité et la vie privée des consommateurs.
Ce workshop a rassemblé des acteurs de différents domaines en relation directe avec les consommateurs (Exemple de domaine : Vente au détail, hôtellerie, santé…). L’objectif était de discuter des défis que rencontrent leurs secteurs d’activité et leurs organisations face à la mise en œuvre des technologies de cybersécurité et de confidentialité avancée.
Malgré l’éventail des entreprises représentées, plusieurs points clés ont émergé. Les participants sont rapidement venus à un consensus : la sécurité, la vie privée et la convivialité sont les préoccupations primordiales au même titre que la protection des informations et des biens de l’entreprise ou des clients.
Les consommateurs pourraient considérer les entreprises comme responsables de leurs données car elles les détiennent. Cependant, les participants au workshop ont vu cela comme une responsabilité partagée.
En plus des logiciels de sécurité qu’ils mettent en place, les organisations devraient aider à renforcer la protection de la cybersécurité pour leurs clients. Ils pourraient, par exemple, faire cela à travers l’éducation, la formation et des politiques de confidentialité claires. Les consommateurs seraient alors plus prompts à l’utiliser.
Il y a aussi eu des discussions autour du développement d’applications. Sur ce point, les participants ont conclu que les développeurs doivent être considérés comme des consommateurs et que l’accès à la sécurité doit leur être facilité.
Sur la mise en place de produits et des services de cybersécurité, les participants étaient d’accord sur le fait qu’ils doivent être plus facile utiliser. Bien qu’il existe, aujourd’hui, un certain nombre d’outils et de technologies, il y a de sérieux défis à la mise en œuvre de ces derniers. Les thèmes suivants ont été évoqués:
- L’authentification et l’authentification multi-facteurs
- La détection d’intrusion avancée
- Outils de récupération
- Sécurité adaptative en réponse à une évolution de la menace
- Intégrité des données et non uniquement de la confidentialité des données
- Accès externe au SI des compagnies
- Système décentralisé
- Analyse du trafic réseau
Les participants au workshop ont discuté de plusieurs sujets d’aujourd’hui et en devenir :
- Augmenter l’éducation et la formation
- Protection de la vie privée
- Rendre la sécurité plus abordable
- Détection et action plus rapide
- Faire de l’authentification plus forte et plus simple à utiliser
- Nouveau moyen de paiement
- Plus se concentrer sur l’intégrité des données
- La gestion des comptes sur les environnements décentralisés
- Sécuriser les accès des parties tierces
- Rendre les attaques plus complexes et montrer que la sécurité rapporte
Pour plus de détails, je vous invite à lire le résumé du workshop publié début avril:
http://nccoe.nist.gov/sites/default/files/NISTIR_8050_draft_final.pdf
Il ne s’agit ici que d’un lancement d’un travail de longue haleine.
Source:
http://www.nist.gov/itl/201504_report_on_consumer_data_protection.cfm
Aurélien
Consultant Sécurité