Identification électronique et services de confiance : la position européenne

Proposition  de RÈGLEMENT DU PARLEMENT EUROPÉEN ET DU CONSEIL[1] – COM(2012) 238 – sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur  -  L’aveu d’une lacune  dans les échanges électroniques et les transactions au sein de l’UE

 Le cadre juridique proposé consiste  en un règlement du Parlement européen et du Conseil sur   l’identification   électronique   et   les   services   de   confiance   pour   les   transactions électroniques au sein du marché intérieur. Ce règlement vise à permettre des interactions électroniques sûres et sans discontinuité entre les entreprises, les particuliers et les pouvoirs publics et à accroître ainsi l’efficacité des services en ligne publics et privés et du commerce électronique dans l’UE.

Ce projet prévoit aussi l’instauration d’un cachet qualifié et d’un horodatage qualifié sur le modèle de la signature qualifiée c’est à dire qu’il y aura présomption de fiabilité si ces mécanismes « qualifiés » sont utilisés (c’est à l’attaquant de prouver que la signature/cachet/horodatage n’est pas fiable).

La législation de l’UE existant en la matière, à savoir la directive 1999/93/CE sur un cadre communautaire pour les signatures électroniques, ne couvre, comme son nom l’indique, que les signatures électroniques. « L’UE ne dispose encore d’aucun cadre transnational et intersectoriel complet pour des transactions électroniques sûres, fiables et aisées, qui recouvre l’identification, l’authentification et les signatures électroniques ».

Le but est donc d’étoffer la législation actuelle et de l’étendre à la reconnaissance et à l’acceptation mutuelles, au niveau de l’UE, des systèmes d’identification électronique notifiés et des principaux autres services de confiance électroniques qui y sont associés.

I – De l’utilité d’un tel règlement

La reconnaissance mutuelle des moyens d’identification électronique et la large acceptation des signatures électroniques ont pour finalité la fourniture transnationale de nombreux services dans le marché intérieur et « permettront aux entreprises d’étendre leurs activités à l’étranger sans rencontrer d’obstacle dans leurs relations avec les pouvoirs publics ».

S’agissant d’effectuer des formalités administratives, cela signifiera, dans la pratique, des gains d’efficacité importants pour les entreprises comme pour les particuliers.

  • Par exemple : il sera possible à un étudiant de s’inscrire par voie électronique dans une université à l’étranger, à un contribuable de remettre à un autre État membre une déclaration d’impôts en ligne ou à un patient d’accéder à son dossier médical en ligne. Sans reconnaissance mutuelle des moyens d’identification électronique, un médecin ne peut pas avoir accès aux informations dont il a besoin pour soigner un patient et il faut que ce dernier refasse les examens et analyses qu’il a déjà effectués.

Le texte de la proposition ne contient malheureusement pas d’exemple concret concernant l’aide à l’activité transnationale et intracommunautaire des entreprises.

II – D’une nécessaire harmonisation

L’article 5 du règlement prévoit la reconnaissance et l’acceptation mutuelles des moyens d’identification électronique relevant d’un système qui sera notifié à la Commission selon les conditions fixées dans le règlement. En effet, « la plupart des États membres ont adopté un type de système d’identification électronique, mais ces systèmes diffèrent sur de nombreux points ».

L’absence de base juridique commune imposant à chaque État membre de reconnaître et d’accepter les moyens d’identification électronique délivrés dans d’autres États membres pour accéder à des services en ligne, ainsi que l’insuffisante interopérabilité transnationale des identifications électroniques nationales constituent des obstacles qui empêchent les particuliers et les entreprises de profiter pleinement du marché unique du numérique.

La reconnaissance et l’acceptation mutuelles de tout moyen d’identification électronique relevant d’un système notifié en vertu du présent règlement permettent de lever ces obstacles juridiques.

« Le règlement ne fait cependant pas obligation aux États membres de mettre en place ou de notifier des systèmes d’identification électronique, mais de reconnaître et d’accepter les identifications électroniques notifiées pour les services en ligne dont l’accès au niveau national exige une telle identification

En l’état actuel de l’avancée des travaux, il est intéressant de se pencher sur deux articles majeurs, le 6ème et le 7ème :

L’article 6 définit les cinq conditions auxquelles serait soumise la notification des systèmes d’identification électronique :

1. Les systèmes d’identification électronique sont susceptibles de notification conformément à l’article 7 si toutes les conditions suivantes sont remplies:

  • Les moyens d’identification électronique sont délivrés par l’État membre notifiant ou en son nom ou sous sa responsabilité;
  • Les moyens d’identification électronique peuvent être utilisés pour accéder au moins aux services publics exigeant l’identification électronique dans l’État membre notifiant
  • L’Etat membre notifiant veille à ce que les données d’identification de la personne soient attribuées sans ambiguïté à la personne physique ou morale visée à l’article 3, point 1;

  • L’État membre notifiant veille à ce qu’une possibilité d’authentification en ligne soit disponible à tout moment et gratuitement afin de permettre aux parties utilisatrices de valider les données d’identification personnelle reçues sous forme électronique. Les États membres n’imposent aucune exigence technique spécifique aux parties utilisatrices établies en dehors de leur territoire, qui envisagent de procéder à cette authentification. Lorsque le système d’identification notifié ou la possibilité d’authentification sont violés ou partiellement compromis, les États membres suspendent ou révoquent immédiatement le système d’identification notifié ou la possibilité d’authentification ou les éléments compromis en cause et en informent les autres États membres et la Commission conformément à l’article 7;

 

  • L’État membre notifiant est responsable:

 

–               De l’attribution univoque des données d’identification personnelle visées au point c);

–               Et de la possibilité d’authentification indiquée au point d).

  •  Les États membres peuvent notifier les systèmes d’identification électronique qu’ils acceptent sous leur juridiction lorsqu’une identification électronique est exigée pour accéder à des services publics. Une exigence supplémentaire impose que le moyen d’identification électronique respectif soit délivré par l’État membre notifiant le système, en son nom ou, au moins, sous sa responsabilité.

L’article 7 contient les règles de notification des systèmes d’identification électronique à la Commission

1. Les États membres qui notifient un système d’identification électronique transmettent les informations suivantes à la Commission et lui communiquent toute modification ultérieure dans les meilleurs délais:

  • description du système d’identification électronique notifié;
  • autorités responsables du système d’identification électronique notifié;
  • indication   des   personnes   chargées   de   gérer   l’enregistrement   des   identifiants personnels univoques;
  • description de la possibilité d’authentification;
  • dispositions concernant la suspension ou la révocation du système d’identification notifié, de la possibilité d’authentification ou des parties compromises en cause.

2. Six mois après l’entrée en vigueur du règlement, la Commission publie au Journal officiel de l’Union européenne la liste des systèmes d’identification électronique qui ont été notifiés conformément au paragraphe 1, ainsi que les informations essentielles à leur sujet.

3. Si la Commission reçoit une notification après expiration du délai visé au paragraphe 2, elle modifie la liste dans les trois mois qui suivent.

4. La Commission peut définir, au moyen d’actes d’exécution, les circonstances, les formats et procédures de la notification visée aux paragraphes 1 et 3. Ces actes d’exécution sont adoptés conformément à la procédure d’examen visée à l’article 39, paragraphe 2.

Les intentions sont louables et nécessaires. Reste au règlement à être adopté.

III – Détails de la proposition[2]

 

CHAPITRE I – DISPOSITIONS GÉNÉRALES

L’article 1 définit l’objet du règlement ;

L’article 2 définit le champ d’application matériel du règlement ;

L’article 3 définit les termes employés dans le règlement ;

L’article 4 définit les principes du marché intérieur en ce qui concerne l’application territoriale du règlement.

CHAPITRE II – IDENTIFICATION ÉLECTRONIQUE

L’article 5 prévoit la reconnaissance et l’acceptation mutuelles des moyens d’identification électronique relevant d’un système qui sera notifié à la Commission selon les conditions fixées dans le règlement ;

L’article 6 définit les cinq conditions auxquelles est soumise la notification des systèmes d’identification électronique ;

L’article 7 contient les règles de notification des systèmes d’identification électronique à la Commission ;

L’article 8 vise à assurer l’interopérabilité technique des systèmes d’identification notifiés, selon une approche de coordination ainsi que des actes délégués .

 CHAPITRE III – SERVICES DE CONFIANCE

 Section 1 – Dispositions générales

L’article 9  pose  les  principes  relatifs  à  la  responsabilité  des  prestataires  de  services  de confiance qualifiés et non qualifiés ;

L’article 10 décrit le mécanisme de reconnaissance et d’acceptation des services de confiance qualifiés fournis par un prestataire établi dans un pays tiers ;

L’article 11 pose les principes de la protection et de la limitation des données utilisées ;

L’article 12 dispose que les services de confiance sont accessibles aux personnes handicapées.

Section 2 – Contrôle

L’article 13 fait obligation aux États membres de mettre en place des organes de contrôle ;

L’article 14  instaure  un  mécanisme  spécifique  d’assistance  mutuelle  entre  les  organes  de contrôle dans les États membres ;

L’article 15 instaure l’obligation, pour les prestataires de services de confiance qualifiés et non qualifiés, d’appliquer les mesures techniques et organisationnelles appropriées afin de garantir la sécurité de leurs activités ;

L’article 16  définit  les  conditions  du  contrôle  des  prestataires  de  services  de  confiance qualifiés et des services de confiance qualifiés qu’ils fournissent ;

L’article 17 concerne l’activité exercée par l’organe de contrôle à la demande d’un prestataire de service de confiance en vue de fournir un service de confiance qualifié ;

L’article 18 prévoit l’établissement de listes de confiance contenant des informations sur les prestataires de services de confiance qualifiés soumis à contrôle et sur les services qualifiés qu’ils offrent ;

L’article 19 définit les exigences auxquelles les prestataires de services de confiance qualifiés doivent  satisfaire  afin  d’être  reconnus  comme  tels.

Section 3 – Signature électronique

L’article 20 consacre les règles relatives à l’effet juridique des signatures électroniques des personnes  physiques ;

L’article 21 définit les exigences applicables aux certificats de signature qualifiés ;

L’article 22  définit  les  exigences  applicables  aux  dispositifs  de  création  de  signature électronique  qualifiés ;

L’article 23 introduit le concept de certification des dispositifs de création de signature électronique qualifiés afin de déterminer leur conformité aux exigences de sécurité ;

L’article 24 concerne la publication, par la Commission, d’une liste de dispositifs de création de  signature  électronique  qualifiés,  après  notification  de  leur  conformité  par  les  États membres ;

L’article 25 repose    sur    les    recommandations,    figurant    à    l’annexe IV    de    la directive 1999/93/CE, de soumettre la validation des signatures électroniques qualifiées à des exigences contraignantes en vue d’accroître la sécurité juridique de cette validation ;

L’article 26 définit les conditions applicables aux services de validation qualifiés ;

L’article 27 définit les conditions de conservation à long terme des signatures électroniques qualifiées.

Section 4 – Cachets électroniques

L’article 28 concerne l’effet juridique des cachets électroniques des personnes morales ;

L’article 29 définit les exigences applicables aux certificats qualifiés de cachet électronique ;

L’article 30 définit les exigences applicables à la certification et à la publication d’une liste des  dispositifs de création de cachet électronique qualifiés ;

L’article 31 définit les conditions de validation et de conservation des cachets électroniques qualifiés.

Section 5 – Horodatage électronique

L’article 32 concerne l’effet juridique des horodatages électroniques ;

L’article 33 définit les exigences applicables aux horodatages électroniques qualifiés.

Section 6 – Documents électroniques

L’article 34  traite  des  effets  juridiques  et  des  conditions  d’acceptation  des  documents électroniques.

Section 7 – Services de fourniture électronique

L’article 35 concerne l’effet juridique des données envoyées ou reçues à l’aide d’un service de fourniture électronique ;

L’article 36 définit les exigences applicables aux services de fourniture électronique qualifiés.

Section 8 – Authentification de site Web

L’article 37 définit les exigences applicables aux certificats qualifiés d’authentification de site Web.

CHAPITRE IV – ACTES DÉLÉGUÉS

L’article 38 contient  les  dispositions  types  applicables  à  l’exercice  de  la  délégation, conformément à l’article 290 du TFUE (actes délégués).

 CHAPITRE V – ACTES D’EXÉCUTION

L’article 39 contient la disposition relative à la procédure de comité nécessaire pour conférer des compétences d’exécution à la Commission dans les cas où, conformément à l’article 291 du TFUE, il est nécessaire de prévoir des conditions uniformes d’exécution d’actes de l’Union juridiquement contraignants. La procédure d’examen s’applique.

CHAPITRE VI – DISPOSITIONS FINALES

L’article 40 fait  obligation  à  la  Commission  d’évaluer  le  règlement  et  de  présenter  ses conclusions ;

L’article 41  abroge  la  directive 1999/93/CE  et  consacre  la  transition  harmonieuse  entre l’infrastructure de signature électronique existante et les nouvelles exigences du règlement ;

L’article 42 fixe la date d’entrée en vigueur du règlement.


[1] RAPPEL : Le règlement est un acte juridique européen. De portée générale, il est obligatoire dans toutes ses dispositions : les États membres sont tenus de les appliquer telles qu’elles sont définies par le règlement. Le règlement est donc directement applicable dans l’ordre juridique des États membres. Seules les mesures prévues par le règlement peuvent être prises par les autorités des États membres.

Il s’impose à tous les sujets de droit : particuliers, États, institutions. Ceci le différencie de la décision, autre acte européen obligatoire dans toutes ses dispositions, mais seulement pour les destinataires qu’il désigne.

Il existe deux types de règlements :

• ceux adoptés sur proposition de la Commission par le Conseil de l’Union européenne (Conseil des ministres) seul ou avec le Parlement européen ;

ceux adoptés par la Commission, en tant que pouvoir propre ou en exécution des décisions du Conseil de l’Union européenne.

La publication des règlements au Journal officiel de l’Union européenne est obligatoire. Elle s’effectue dans la rubrique « Actes dont la publication est une condition de leur applicabilité ». La non-publication n’entraîne pas l’illégalité du règlement mais exclut son effet obligatoire. Les règlements entrent en vigueur à la date qu’ils fixent ou, à défaut, le 20e jour suivant leur publication.(Source : http://www.vie-publique.fr/decouverte-institutions/union-europeenne/action/textes-juridiques/qu-est-ce-qu-reglement.html)

[2] L’ensemble de la proposition est consultable à l’adresse : http://ec.europa.eu/information_society/policy/esignature/docs/regulation/com_2012_238_fr.pdf

Publié dans Analyse, arsenal juridique, Documentation | Commentaires fermés

Beaucoup de bruits pour rien !

La presse belge évoque, ce matin, les défaillances du site Internet du Ministère de la Défense belge.

Il est toujours étonnant de lire les commentaires de la presse et de certains professionnels de la sécurité « informatique »;  erreurs de vocabulaire et manque de compétences en la matière sont malheureusement les vecteurs d’une mauvaise information erronée et incomplète.

En effet, crier au loup parce que le site du Ministère de la Défense est vulnérable à des attaques classiques (voire faciles selon les soi-disant experts ayant testé le site Internet en question), c’est ne pas faire preuve de compétences.

Tout d’abord il faut tempérer le caractère « gravissime » de la chose.  Ce ne sont pas les serveurs internes qui contiennent les informations sensibles du Ministère de la Défense qui sont vulnérables mais le site Internet – autrement dit des données tout à fait publiques.  Même si le site était mis en berne, « défacé » ou s’il n’était plus accessible cela ne porterait atteinte qu’à l’image de marque de l’armée.

Bien sûr que ce genre de site doit être sécurisé !  Bien sûr que le site doit être robuste et que toute forme de piratage doit être évitée !  Cela dit, il faut raison garder lorsque ce genre de failles apparaissent et sont dévoilées au grand public.

Ensuite, il est assez choquant de constater dans l’article diffusé par le site de  la chaîne d’information nationale que l’amalgame est fait entre la sécurité informatique et le pirates !  Depuis quand les pirates sont des experts en sécurité informatique ???  Le piratage est une option offensive alors que la sécurité informatique induit des opérations défensives.

Pour finir, l’article semble (à demi-mot) évoquer le fait que la société qui a testé le site a choisi sa cible – le site du Ministère de la Défense – pour évaluer de son propre chef les manquements des pouvoirs publics quant à leurs obligations pour ce qui concerne la sécurité !  Si la société en question a effectivement été mandaté par le Ministère pour réaliser un test, je ne vois pas l’intérêt de communiquer sur les failles.  Si aucun mandataire public n’a commandité le test, alors il s’agit d’une faute professionnelle et d’éthique !  Du point de vue légal, il s’agit d’une tentative d’intrusion a minima.

A.F.L.

Publié dans Analyse, Piratage, Revue de presse, Script Kiddies | Marqué avec , , , | Commentaires fermés

Paparazzi d’un genre nouveau !

La presse dite « people » fait régulièrement état depuis quelques mois de fichiers-images dérobés dans les boîtes emails de stars.  

Ces faits pourraient faire sourire  mais il n’en est rien.  Même si le monde des « people » est habitué à la fuite d’informations, la généralisation de ces faits commence à faire peur puisque certains politiques sont maintenant visés par le piratage de leur boîte de courrier électronique.  Ce fût d’ailleurs le cas d’Herman Van Rompuy et de certains membres de son cabinet.

Les paparazzis n’ont qu’à bien se tenir, le métier change.  Fini les planques et les longues heures d’attente.  Fini aussi les « billets » laissés aux portiers d’hôtels et « exit » la fouille des poubelles.  Enfin pas tout à fait !  Il suffira maintenant de fouiller les corbeilles des « inbox » et de glisser un billet numérique à un pro du piratage.  De belles failles en perspective.

A.F.L.

Publié dans espionnage, justice, Piratage | Marqué avec , , , | Commentaires fermés

Wozniak dit non au « cloud »

Selon Steve Wozniak, les problèmes liés au « cloud » vont devenir épouvantables.

Morceaux choisis : « Avec le nuage, rien ne vous appartient (…) Moi, j’aime savoir que les choses sont à moi. Beaucoup disent « oh ! c’est dans mon ordinateur ! » mais plus on transfère dans le nuage, moins on garde le contrôle ! » 

A.F.L.

Publié dans Business, Piratage | Marqué avec , , | Commentaires fermés

Quand R.S.F. fait appel aux hackers !

Selon plusieurs sources, Reporters Sans Frontières a fait appel à plusieurs « hackers » (hacktivistes) pour éprouver la sécurité de se nouvelle plateforme Web.

Le rapprochement entre certaines ONG et le monde de l’Underground est, depuis longtemps, un fait avéré. Mais cela semble se généraliser.  De sources confidentielles, les ONG « vertes » utilisent les services de pirates informatiques depuis longtemps.

L’on est alors en droit de se poser deux questions fondamentales :

1. les pirates sont-ils utilisés uniquement pour mener des actions défensives ?

2. les ONG ont-elles mesuré les risques de pénétration par des organismes terroristes ou criminels dans la nébuleuse du piratage informatique ?

Quoiqu’il en soit, lorsqu’un chien a, un jour, goûté au sang …

A.F.L.

Publié dans Piratage, Script Kiddies | Marqué avec , , , , | Commentaires fermés

La Lutte Anti-Blanchiment (LAB) va-t-elle être hélas sacrifiée sur l’autel de la rigueur ?

En ces temps difficiles, dans ce contexte de crise économique et financière dont nul n’ose plus se risquer à en prédire l’issue, quoique l’on en dise, la rigueur est officiellement de mise. Aussi peut-on se poser cette question : « la lutte anti-blanchiment va-t-elle être sacrifiée sur l’autel de la rigueur ? » tout en s’interrogeant sur l’avenir qui sera désormais le sien à court, moyen ou long terme.

Déjà considérée comme onéreuse, pas suffisamment efficace et aussi quelque peu décevante en terme de retour sur investissement dans des périodes où régnait pourtant la croissance, la LAB risque en effet d’être aujourd’hui sacrifiée sur l’autel de la rigueur et ce, au profit de thématiques jugées comme étant davantage prioritaires. Ce constat est également partagé au sein des institutions bancaires et financières et, a fortiori, au sein de toutes les autres professions concernées, étant précisé que la banque demeurera néanmoins le fer de lance de la LAB pour la simple raison que près de 70 % des sommes blanchies, transitent un jour ou l’autre au travers des banques qui demeurent encore le vecteur privilégié par les blanchisseurs professionnels et aussi, nous dit-on, par les financiers du terrorisme.

Or, il faut se rendre à l’évidence, la LAB n’est plus désormais perçue comme prioritaire, et ce, même au sein de la banque et de la finance internationales. Ceci a d’ailleurs été confirmé brillamment par une étude entreprise par l’un des grands cabinets d’audit financier international. Publiée fin 2011, cet audit révèle que, pour plus de 60 % des professionnels travaillant dans le domaine de la conformité, la LAB est aujourd’hui qualifiée de « sujet mineur (sic) ».

Ce qui confirme, par conséquent ce que l’on supposait, à savoir un intérêt décroissant manifesté de par le vaste monde envers la lutte contre le blanchiment de capitaux et le financement du terrorisme. Y compris, et c’est d’ailleurs à la fois grave et à la fois effrayant, au sein-même du personnel de direction et d’encadrement des professions bancaires et financières et plus particulièrement de la part des spécialistes de la conformité, malgré les belles déclarations d’intentions que l’on entend çà et là.

Et pourtant, même si cela peut paraître contradictoire pour certains, le renforcement de la LAB s’avère plus que jamais nécessaire, ne serait-ce que pour contrer certaines tentations spéculatives observées sur les marchés financiers, ne serait-ce que pour le principe moral de tenter de priver les criminels des avoirs acquis illégalement et d’empêcher les terroristes de disposer de capitaux pour financer leurs actions. Ne rien faire, baisser les bras ne peut que contribuer à affaiblir encore davantage le système bancaire et financier dans son ensemble et donc à le rendre encore plus attractif pour tous les vils spéculateurs, blanchisseurs et financiers qui opèrent ou bien au profit du crime organisé transnational ou bien pour le compte du terrorisme international sous toutes ses formes.

Par conséquent il est plus qu’urgent de réagir, d’autant plus que, selon l’étude mentionnée ci-dessus, plus de 2/3 des personnels spécialisés des institutions bancaires et financières avouent bien naïvement être « incapables de détecter et de suivre à la trace une transaction de blanchiment, fût-elle la plus simple (sic) possible ».  Ce  constat est pour le moins inquiétant, surtout dans le contexte actuel.

C’est dans ce contexte que chez Vincibilis, nous considérons que, plus que jamais, la LAB devrait être considérée comme une absolue priorité. Et c’est pourquoi Vincibilis et ses experts, pour mieux lutter contre le blanchiment de fonds criminels et le financement du terrorisme, proposent des solutions LAB clés en mains, originales et innovantes, qui diffèrent quelque peu de tout ce qui ce fait çà et là en la matière. Cycles de formations, séminaires, conférences, ateliers de travail ad hoc, audit, conseil permettent en effet de former efficacement des professionnels qui soient mieux à même d’identifier, de détecter des opérations financières douteuses, de mieux les suivre (pas seulement celles basées sur des schémas simplistes) et enfin de les déclarer aux cellules nationales de renseignement financier.

Car, contrairement aux idées reçues la LAB n’est pas un investissement se traduisant systématiquement en pure perte. Bien au contraire, c’est le pare-feu idéal et véritablement essentiel pour éviter malheureusement qu’un jour prochains les tristes prophéties de certaines Cassandres ne se réalisent. Le Juge espagnol Balthazar Garçon ne disait-il pas il y a déjà de nombreuses années qu’il est « plus facile d’acheter une banque que de la dévaliser » ; prédiction qui demeure hélas, à méditer !

Car la réalité bancaire et financière lui a hélas donné raison à maintes reprises au cours de ces dernières années. Et pour reprendre un exemple relativement récent, en fin d’année dernière, des dizaines et des dizaines de milliers de particuliers et d’entrepreneurs se sont retrouvés  victimes de plusieurs séismes financiers qui ont ébranlé la Lituanie et la Lettonie.

Or, de telles catastrophes auraient pu être aisément évitées si une véritable politique anti-blanchiment efficace avait été mise en place et appliquée à la lettre au préalable ! Chose à ne pas dire bien sûr, aux victimes de ces établissements qui ont fait faillite après avoir été rachetés à la va-vite et apparemment sans les précautions d’usage, par des personnes physiques et morales pourtant clairement identifiées comme étant proches d’organisations criminelles notoirement connues pour opérer dans la région.

Raison de plus pour ne pas sacrifier la lutte anti-blanchiment sur l’autel de la rigueur mais au contraire pour faire confiance à Vincibilis et ses solutions LAB. Puissions-nous ainsi contribuer à inverser la tendance en rendant la LAB plus attractive, plus efficace et plus rentable !

Car c’est loin d’être un sujet mineur contrairement à ce que certains continuent de penser.

Bien au contraire, une politique de lutte anti-blanchiment menée plus intelligemment ne pourra que contribuer au renforcement du système bancaire et financier et au redressement de l’économie tout en reconstituant un capital « confiance » (hélas passablement ébranlé au cours de ces dernières années) qui doit être à la base de toute relation bancaire et financière.

Vincibilis et ses spécialistes sont prêts à relever le défi.

Et vous ? …

M.J.J. pour contacter l’auteur

Publié dans Analyse, blanchiment, corruption, Lutte active, terrorisme | Marqué avec , , , , | Commentaires fermés

La lettre de la sécurité économique

La Délégation Interministérielle à l’Intelligence Economique vient de faire paraître sa « Lettre de la sécurité économique ».  A lire ici.

AFL

Publié dans Conseil, espionnage, espionnage industriel, justice, Lutte active, Outils, Piratage | Commentaires fermés

L’UK Bribery Act : un an déjà…


1)     Rappel

L’ UK Bribery Act 2010 ( ou « UKBA ») est une loi britannique relative à la répression et la prévention de la corruption. Cette législation est considérée comme la plus sévère en matière de lutte contre la corruption au sein des entreprises dépassant à plusieurs égards les critères déjà très durs de la loi équivalente aux États-Unis, le Foreign Corrupt Practices Act 1977. L’UKBA s’inscrit dans le cadre d’une lourde tendance mondiale de renforcement de la lutte contre la corruption, dont les législations sont promises à un essor considérable, notamment sous l’impulsion de l’Organisation de Coopération et de Développement Économiques (OCDE) qui a publié une Convention et un Guide sur la problématique de la lutte contre la corruption.

L’UKBA a été adopté par le Parlement britannique le 8 avril 2010. Il est entré en vigueur le 1er juillet 2011. Cette loi britannique abroge et remplace les précédentes dispositions législatives par quatre infractions visant :

  • La corruption active (le fait de corrompre) ;
  • La corruption passive (le fait d’être corrompu) ;
  • La corruption active d’agent public étranger ;
  • Le défaut de prévention de la corruption par les entreprises qui conduit les personnes morales à devoir mettre en œuvre des règles et procédures internes anti-corruption.

2) Le constat un an après l’entrée en vigueur de l’UKBA

Une étude conduite par DELOITTE  en mai 2012 auprès de près de 2000 entreprises sur l’évolution global du dispositif légal de lutte contre la corruption révèle les chiffres suivants :

• Près de 50% des entreprises interrogées estiment que les risques de corruption ont augmenté en un an dans les pays émergents ;

• Près de  54% n’ont pas répondu ou ignorent la réponse quant à la question « En juillet 2012, un an après l’entrée en vigueur  de l’UKBA, votre entreprise a-t-elle mis en conformité sa politique de lutte contre la corruption ? » ;

• 51% pensent  qu’au cours du second semestre 2012  le nombre de membres de comité de direction inculpés personnellement de violations des dispositifs anti-corruption va augmenter ;

• 62 % pensent  que les occasions de corruption de personnes morales ont été accentuées par la crise économique et financière ;

• Un an après l’entrée en application des dispositions de l’UKBA, 57 % estiment que leur entreprise n’est pas concernée par une action du  gouvernement britannique.

3) Des formations et des outils indispensables à développer

Outre  un soutien et un engagement  explicites et visibles, au plus haut niveau de la direction, concernant les programmes ou mesures de contrôle interne, les mesures de déontologie et de conformité aux fins de prévention et de détection de la corruption transnationale, une politique interne clairement formulée et visible interdisant la corruption transnationale est nécessaire. Il appartient aux entreprises d’établir et de veiller à l’efficacité des programmes ou mesures de contrôle interne, de déontologie et de conformité pour prévenir et détecter la corruption d’agents publics étrangers dans leurs transactions commerciales internationales. Pour être efficaces, ces programmes ou mesures doivent être liés au cadre général de conformité de l’entreprise et passer avant tout  par des actions de formation et de conseils :

  • Informer sur les questions de corruption transnationale, y compris celles concernant les évolutions intervenues à cet égard dans les forums internationaux et régionaux ;
  • Offrir un accès à des banques de données pertinentes ;
  • Mettre à disposition des outils de formation, de prévention, de vérification préalable et d’autres instruments de conformité ;
  • Proposer des conseils d’ordre général concernant la réalisation des vérifications préalables ;
  • Proposer des conseils et un soutien d’ordre général sur les moyens de résister aux tentatives d’extorsion et aux sollicitations ;
  • Proposer des vérifications préalables (« due diligence ») fondées sur les risques, documentées et basées sur l’exercice d’une surveillance appropriée et régulière des partenaires commerciaux ;
  • Fournir des lignes directrices et des conseils aux directeurs, cadres, employés et, en tant que de besoin, aux partenaires commerciaux, sur le respect du programme ou des mesures de déontologie et de conformité de l’entreprise, notamment lorsque ceux-ci ont besoin d’un avis urgent en cas de situations difficiles dans des pays étrangers.

Publié dans corruption, ukba | Marqué avec , , , , | Commentaires fermés

Communiqué de presse

TELOVIA and VINCIBILIS team up to offer integrated approach to new enterprise risks

Luxembourg (LU) and Lille (FR), July 6, 2012 – The recent rise of cybercrime that affects financial institutions and corporates worldwide has forced enterprises to rethink their risk assessment and protection strategies.

VINCIBILIS has a long experience in assisting clients with risk-related issues such as data protection, cybercrime prevention, data forensic or corporate intelligence. TELOVIA has been designing tools to analyze data, assess and monitor risk since 2008. Initially focused on the financial sector, TELOVIA has later expanded in the corporate domain in the wake of reinforced anti-corruption regulations.

As part of the agreement, VINCIBILIS will use the PANORAMA investigative case management solution from TELOVIA to fulfill its assignments, and act as a reseller and integration partner for the solution. TELOVIA has designed specific modules for information discovery and forensic investigation at the demand of VINCIBILIS.

“The migration of threats from the office PC to the industrial infrastructure, the exploitation of protocols like SCADA, the change in the attacker’s profile from amateur to professional, all this indicates that corporates have to improve their defenses. A preventive approach, with our expertise combined with tools like PANORAMA, has a far better ROI than a curative solution to mitigate the consequences after the facts” said Alexandre LIENARD, president of VINCIBILIS.

“From KYC to KYE (Know Your Enemy), the alliance of the analytic power of Panorama with the expertise of Vincibilis creates a unique offering that will interest not only our financial institutions customers, but also the industry at large” said Pascal AERENS, Managing Director of TELOVIA.

 

About TELOVIA

Founded in 2008, TELOVIA S.A. is a technology company based in Luxembourg and Belgium. The main products the company proposes are PANORAMA, an investigative case management system, and IDENTITY, a high-performance sanction screening solution.

More informations on TELOVIA : www.telovia.com

About VINCIBILIS

Present on the market since 2010, VINCIBILIS regroups over 15 experts in cybercrime and provides information security consulting, penetration testing and support to legal action. Many of those experts are former members of intelligence services, police and counter-cybercrime special units.

More informations on VINCIBILIS : www.vincibilis.org

 

 

TELOVIA et VINCIBILIS proposent une offre intégrée pour lutter contre les nouveaux risques d’entreprise.

Luxembourg (LU) et Lille (FR), 6 juillet 2012 – L’augmentation récente de la cyber-criminalité qui affecte les institutions financières et les industries force les entreprises à repenser leurs évaluations de risque et leurs stratégies de protection.

VINCIBILIS bénéficie d’une longue expérience dans le conseil en gestion du risque, notamment la protection et la récupération de données ainsi que l’intelligence stratégique. TELOVIA conçoit des solutions d’analyse de données, d’analyse du risque et de surveillance depuis 2008. Initialement spécialisée dans le domaine bancaire, TELOVIA a ensuite étendu son champ d’activité aux industries suite à l’élargissement des législations anti-corruption.

Suite à l’accord entre les deux sociétés, VINCIBILIS utilisera la plateforme d’investigation PANORAMA de TELOVIA pour mener à bien ses missions, et deviendra revendeur et partenaire d’intégration de la solution. TELOVIA a d’autre part développé des modules spécifiques de récupération et d’analyse d’information à la demande de VINCIBILIS.

« La migration des attaques du PC de bureau vers les systèmes de production, l’exploitation de protocoles industriels tels SCADA, l’évolution du profil de l’assaillant de l’amateur vers le professionnel, tout cela indique que les entreprises doivent renforcer leurs défenses. Une approche préventive comme la nôtre, combinée avec des outils comme PANORAMA, a un bien meilleur retour sur investissement que les actions curatives quand il faut gérer les conséquences après les faits » déclare Alexandre LIENARD, président de VINCIBILIS.

“Du KYC au KYE (Know Your Enemy), l’alliance de la capacité d’analyse de PANORAMA avec l’expertise de VINCIBILIS crée une offre unique qui est intéressante non seulement pour nos clients bancaires et financiers, mais aussi pour nos clients industriels » déclare Pascal AERENS, administrateur-délégué de TELOVIA.

 

A propos de TELOVIA

Fondé en 2008, TELOVIA S.A. est un éditeur de logiciel basé au Luxembourg et en Belgique. Les produits proposés par la société sont PANORAMA, une plateforme de gestion d’enquête, ainsi que IDENTITY, une solution de filtrage de noms.

Plus d’informations sur TELOVIA : www.telovia.com

A propos de VINCIBILIS

Présente sur le marché depuis 2010, VINCIBILIS regroupe plus de 15 experts en lutte contre la cyber-criminalité.  Les services proposes par l’entreprise s’étendent du conseil en sécurité de l’information au tests de pénétration en passant par le support à l’action judiciaire.  La plupart des experts bénéficient d’une longue expérience en la matière et sont généralement issus de services publics : police, gendarmerie, sécurité intérieure, sécurité extérieure…

Plus d’informations sur VINCIBILIS : www.vincibilis.org

Publié dans Infoflash, Lutte active, Revue de presse | Marqué avec , , , , , , , , , , , , , , , , , , , , , | Commentaires fermés

Êtes-vous concernés par le UK Bribery Act ?

La loi extra-territoriale britannique UKBA (UK Bribery Act), contrairement à la plupart des lois internationales et nationales traitant de corruption active et passive, introduit clairement la notion de « défaut de prévention par les entreprises ».

Or, les entreprises européennes en affaires avec des partenaires britanniques peuvent faire l’objet de sanctions importantes qui pourraient entraîner des obstacles majeurs voire des impacts sur la continuité des activités.   Tout cela sans compter l’obligation de se mettre en conformité en passant par des cabinets juridiques anglo-saxons facturant des honoraires exorbitants.

C’est dans l’optique de protéger les actifs et activités de nos clients que nous avons mis au point un outil de diagnostic UKBA qui permet :

  • de découvrir si l’entreprise est concernée par le UKBA
  • de déceler d’éventuels problèmes à venir
  • d’identifier la manière de se mettre en conformité d’une manière préventive

Nous proposons aussi, spécialement pour les PME, un diagnostic rapide (environ une journée).  Le rapport comprend une matrice des risques et un calcul de l’exposition à ces derniers.

A.F.L.

Publié dans ukba | Commentaires fermés