Sécurité des données : les mesures urgentes à mettre en place

Comme le prévoit l’article 32 du RGPD, les entreprises doivent adopter des mesures impératives pour protéger la sécurité des données. Il leur faudra établir en priorité un framework de conformité, qui dictera, après une analyse complète des risques, à la fois les éléments de sécurité et les politiques associées.

secruté des données

L'auteur

Revue de l'article

Cet article est extrait de
Banque & Stratégie n°360

Les enjeux juridiques et technologiques des données personnelles

Depuis quelques mois, le Règlement général sur la protection des données personnelles (RGPD) est devenu, pour beaucoup d’entreprises, l’une des pierres angulaires (et souvent un casse-tête) de la gouvernance des systèmes d’information (SI). Face à la nécessité de se conformer à cette nouvelle régulation au 25 mai 2018, et sous peine de se voir infliger des pénalités financières pouvant atteindre 20 millions d’euros ou 4 % de leur chiffre d’affaires, les entreprises doivent adopter des mesures impératives pour protéger la sécurité des données, telle que le prévoit l’article 32 du règlement. Pourtant, 23 % d’entre elles estiment qu'il leur sera impossible d'être en conformité à la date fatidique [1] ! Cependant, la mise en conformité aux exigences du RGPD ne devrait pas poser trop de problèmes pour les grands groupes. Les TPE-PME seront les premières impactées, car les notions de conformité et de sécurité des SI sont souvent occultées dans leur fonctionnement, principalement pour des raisons budgétaires.

Caractériser la donnée

Les données personnelles prennent une place prépondérante dans le patrimoine informationnel des entreprises. Ces informations, pour certaines, caractérisent l’activité même de l’entreprise.

Afin de savoir si le texte s’applique à une entreprise, il est nécessaire de caractériser la donnée et de distinguer son caractère personnel et privé. Qu’est-ce qu’une donnée privée ? Nous devinons aisément qu’une adresse postale d’un individu, un numéro de téléphone ou une adresse e-mail personnelle entrent dans le champ d’application. Mais nous sommes encore loin de l’exhaustivité. Pour la CNIL, « les données sont considérées “à caractère personnel” dès lors qu’elles concernent des personnes physiques identifiées directement ou indirectement ». Ainsi, une adresse IP, un badge numérique ou un carnet de notes posé sur le bureau avec l’ensemble des contacts clients sont autant de données permettant l’identification d’un individu. On voit bien ici que le chantier de l’identification des données privées dans l’entreprise est vaste. Ce dernier passera à la fois par la classification de l’information et l’automatisation des processus de découverte (cartographie).

Les exigences de la sécurité du traitement des données personnelles.

La mise en place de mesures de protection est essentielle (et exigée !) dans le cadre du RGPD. Penchons-nous davantage sur l’article 32, qui définit les exigences de la sécurité du traitement des données personnelles. Il est mentionné notamment que « le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ». Le texte est ici vague, en raison de la nature des termes employés. Comment qualifier une mesure « suffisante ou adaptée » sans en fournir les métriques de résultat ? Il s’agira alors pour les entreprises de définir elles-mêmes un framework (cadre) de conformité, au travers notamment d’études de risques. Il sera par exemple conseillé de s’appuyer sur des modèles existants du type ISO 27001 ou le BS 10012:2017.

Cependant, ce même article apporte des exigences sur la nature technique des éléments à employer afin de garantir une sécurité appropriée dans le traitement des informations privées. Nous pourrons noter notamment l’usage de la « pseudonymisation » et du « chiffrement des données ».

Pseudonymisation ou anonymisation ?

Il s’agit d’un procédé de masquage des informations critiques (lire « privées ») dans tout traitement de l’information. Encore faut-il que ce dernier ne nécessite pas la présence « lisible » de ces informations. Nous revenons alors sur un terme largement employé dans le texte : la légitimité… qu’il faudra prouver.

Les entreprises auront pour préférence l’usage du chiffrement avec une fonction réversible permettant de masquer les informations critiques non utiles pour un traitement particulier, par exemple pour les processus de sauvegarde ; tout en octroyant les droits de déchiffrement ad hoc selon, encore une fois, la nécessité et la légitimité d’accéder et de traiter de l’information à caractère privé. L’anonymisation des données par une fonction dite « one way » ne permettra pas de reconstruire la donnée initiale. L’exemple le plus commun est celui du reçu de paiement par carte bancaire qui ne laisse apparaître que les quatre derniers numéros de logs, les autres numéros étant masqués. S’il n’y a pas de légitimité pour l’entreprise de stocker une donnée privée à un instant T, cela pourrait toutefois être amené à changer, en raison de l’évolution de l’entreprise et donc de nécessiter potentiellement un besoin de réversibilité.

L’article 32 mentionne également le besoin de garantir « la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ». Nous revenons donc aux techniques de chiffrement qui vont prendre une place de choix dans l’ensemble des techniques de protections utiles dans le cadre du RGPD : confidentialité, intégrité, et allons plus loin avec la non-répudiation. La disponibilité et la résilience – qui assure la disponibilité des données pour les applications et les utilisateurs, même en cas de panne des systèmes –nécessiteront des plans de continuité et de reprise d’activité (PCA/PRA) efficaces… et souvent des budgets conséquents pour les entreprises n’en disposant pas !

Le suivi des mesures de sécurité

Ce même article 32 requiert « une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement ». Il s’agit ici de la mise en place de mesures opérationnelles garantissant l’adéquation avec le RGPD des mesures de sécurité appliquées aux données personnelles pendant tout leur cycle de traitement : collecte, utilisation, mise à disposition, stockage, destruction. Il est évidemment à noter que ces procédures de test doivent être itératives, car les procédures de traitement de l’information peuvent (et c’est souvent le cas !) être emmenées à changer. La mesure vise à détecter le plus rapidement possible les écarts entre les procédures de protection décidées et leur efficacité mesurée. Si ces écarts sont trop importants, il sera alors nécessaire de réévaluer ces mesures afin de gagner en sécurité. Une entreprise décidant d’implémenter une solution de type cloud pour le stockage ou le traitement d’informations privées devra intégrer ce dispositif dans son processus global de conformité avec le RGPD et adapter en conséquence les mesures de sécurité existantes.

L’article de référence précise que « lors de l'évaluation du niveau de sécurité approprié, il est tenu compte en particulier des risques que présente le traitement, résultant notamment de la destruction, de la perte, de l'altération, de la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou de l'accès non autorisé à de telles données, de manière accidentelle ou illicite ». Il sera alors nécessaire d’implémenter entre autres, des outils de prévention contre la fuite d’information (Data Loss Prevention – DLP) permettant de garantir une protection contre les modifications non autorisées des données privées incluant la destruction de ces dernières. Cela passera de nouveau par des technologies de chiffrement et de gestion des droits d’accès.

Comme déjà mentionné, le chiffrement apporte l’intégrité et la non-répudiation tout en permettant la gestion des droits d’accès en fonction des clés auxquelles sont assignés les utilisateurs ou les processus de traitement. Les solutions DLP pourront, quant à elles, prévenir des fuites d’informations volontaires ou non (noter que 22 % des fuites d'informations proviennent d'acteurs internes à l'entreprise et sont volontaires [2]) en apportant une protection sur les trois typologies de données que sont :

  • les données stockées ;
  • les données en cours de manipulation (par exemple, copie d’un élément de texte contenant de la donnée privée) ;
  • et les données en cours de transmission (un processus copiant des données sur un environnement cloud au travers d’une transaction réseau de type WebPost).

Mais cela n’est pas suffisant ! Rappelez-vous du cas de Yahoo, en 2013, où environ un milliard de données d’utilisateurs ont été exfiltrées frauduleusement au bénéfice de hackers.

La protection des infrastructures

En matière de cybersécurité, la sécurité des infrastructures est primordiale et agit comme une première barrière opérant la protection des données en entreprise. Les attaques de type 0-day ou utilisant des techniques d’évasion avancées (Advanced Evasion Threat – AET) sont monnaie courante dans le monde des ransomwares. Mais pas seulement ! Bon nombre d’attaques sont aujourd’hui silencieuses et ont pour seul objectif d’exfiltrer les données les plus sensibles de l’entreprise… dont les données privées, à l’image des plus récentes telles que WannaCry et NotPetya. En moyenne, le temps estimé entre l’infection et la détection d’une attaque utilisant des techniques de compromission avancées (Advanced Persistent Threat – APT) se situe entre 6 à 12 mois (parfois beaucoup plus) [3]. Le temps joue en faveur des cybercriminels, mais va à l’encontre de la sécurité. Pour beaucoup d’entreprises, il faudra alors repenser leur protection actuelle au profit de l’implémentation de technologies basées sur de la « Threat Intelligence » ou du « Sandboxing » permettant notamment d’analyser de manière dynamique et statique un fichier Word reçu par mail qui aurait pour vocation à contaminer un poste de travail et à exfiltrer les données.

Gouvernance des mesures de sécurité

En résumé, le chantier du RGPD est grand, mais pas inaccessible. Le point fondamental pour répondre à ses exigences reste l’organisation. Les éléments de sécurité à implémenter par les entreprises ne doivent se faire qu’après l’établissement d’un framework de conformité qui dictera, après une analyse complète des risques, à la fois les éléments de sécurité et les politiques associées. Faire l’impasse dessus, c’est prendre le risque de politiques de sécurité inadaptées ou incomplètes… avec les conséquences que l’on imagine.

Enfin, l’entreprise devra prouver sa conformité avec les exigences exprimées. C’est la base du principe d’accountability, selon lequel il appartient au responsable du traitement de prendre toutes les mesures requises pour garantir la conformité dudit traitement. La centralisation des capacités d’audit (SOC et SIEM [4]) des infrastructures permettra alors de répondre au « Data Security Principles » tels qu’exprimés dans le texte du RGPD.

 

[1] Source : Humanis.

[2] Source : McAfee.

[3] Source : Ponemon.

[4] Security Operating Center ; Security Information Management System.

 

Sommaire du dossier

Les enjeux juridiques et technologiques des données personnelles

Sur le même sujet