Sécurité des données : les mesures urgentes à mettre en place

Depuis quelques mois, le R&egrave;glement g&eacute;n&eacute;ral sur la protection des donn&eacute;es personnelles (RGPD) est devenu, pour beaucoup d&rsquo;entreprises, l&rsquo;une des pierres angulaires (et souvent un casse-t&ecirc;te) de la gouvernance des syst&egrave;mes d&rsquo;information (SI). Face &agrave; la n&eacute;cessit&eacute; de se conformer &agrave; cette nouvelle r&eacute;gulation au 25 mai 2018, et sous peine de se voir infliger des p&eacute;nalit&eacute;s financi&egrave;res pouvant atteindre 20 millions d&rsquo;euros ou 4 % de leur chiffre d&rsquo;affaires, les entreprises doivent adopter des mesures imp&eacute;ratives pour prot&eacute;ger la s&eacute;curit&eacute; des donn&eacute;es, telle que le pr&eacute;voit l&rsquo;article 32 du r&egrave;glement. Pourtant, 23 % d&rsquo;entre elles estiment qu'il leur sera impossible d'&ecirc;tre en conformit&eacute; &agrave; la date fatidique [1] ! Cependant, la mise en conformit&eacute; aux exigences du RGPD ne devrait pas poser trop de probl&egrave;mes pour les grands groupes. Les TPE-PME seront les premi&egrave;res impact&eacute;es, car les notions de conformit&eacute; et de s&eacute;curit&eacute; des SI sont souvent occult&eacute;es dans leur fonctionnement, principalement pour des raisons budg&eacute;taires. Caract&eacute;riser la donn&eacute;e Les donn&eacute;es personnelles prennent une place pr&eacute;pond&eacute;rante dans le patrimoine informationnel des entreprises. Ces informations, pour certaines, caract&eacute;risent l&rsquo;activit&eacute; m&ecirc;me de l&rsquo;entreprise. Afin de savoir si le texte s&rsquo;applique &agrave; une entreprise, il est n&eacute;cessaire de caract&eacute;riser la donn&eacute;e et de distinguer son caract&egrave;re personnel et priv&eacute;. Qu&rsquo;est-ce qu&rsquo;une donn&eacute;e priv&eacute;e ? Nous devinons ais&eacute;ment qu&rsquo;une adresse postale d&rsquo;un individu, un num&eacute;ro de t&eacute;l&eacute;phone ou une adresse e-mail personnelle entrent dans le champ d&rsquo;application. Mais nous sommes encore loin de l&rsquo;exhaustivit&eacute;. Pour la CNIL, &laquo; l es donn&eacute;es sont consid&eacute;r&eacute;es &ldquo;&agrave; caract&egrave;re personnel&rdquo; d&egrave;s lors qu&rsquo;elles concernent des personnes physiques identifi&eacute;es directement ou indirectement &raquo;. Ainsi, une adresse IP, un badge num&eacute;rique ou un carnet de notes pos&eacute; sur le bureau avec l&rsquo;ensemble des contacts clients sont autant de donn&eacute;es permettant l&rsquo;identification d&rsquo;un individu. On voit bien ici que le chantier de l&rsquo;identification des donn&eacute;es priv&eacute;es dans l&rsquo;entreprise est vaste. Ce dernier passera &agrave; la fois par la classification de l&rsquo;information et l&rsquo;automatisation des processus de d&eacute;couverte (cartographie). Les exigences de la s&eacute;curit&eacute; du traitement des donn&eacute;es personnelles. La mise en place de mesures de protection est essentielle (et exig&eacute;e !) dans le cadre du RGPD. Penchons-nous davantage sur l&rsquo;article 32, qui d&eacute;finit les exigences de la s&eacute;curit&eacute; du traitement des donn&eacute;es personnelles. Il est mentionn&eacute; notamment que &laquo; le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropri&eacute;es afin de garantir un niveau de s&eacute;curit&eacute; adapt&eacute; au risque &raquo;. Le texte est ici vague, en raison de la nature des termes employ&eacute;s. Comment qualifier une mesure &laquo; suffisante ou adapt&eacute;e &raquo; sans en fournir les m&eacute;triques de r&eacute;sultat ? Il s&rsquo;agira alors pour les entreprises de d&eacute;finir elles-m&ecirc;mes un framework (cadre) de conformit&eacute;, au travers notamment d&rsquo;&eacute;tudes de risques. Il sera par exemple conseill&eacute; de s&rsquo;appuyer sur des mod&egrave;les existants du type ISO 27001 ou le BS 10012:2017. Cependant, ce m&ecirc;me article apporte des exigences sur la nature technique des &eacute;l&eacute;ments &agrave; employer afin de garantir une s&eacute;curit&eacute; appropri&eacute;e dans le traitement des informations priv&eacute;es. Nous pourrons noter notamment l&rsquo;usage de la &laquo; pseudonymisation &raquo; et du &laquo; chiffrement des donn&eacute;es &raquo;. Pseudonymisation ou anonymisation ? Il s&rsquo;agit d&rsquo;un proc&eacute;d&eacute; de masquage des informations critiques (lire &laquo; priv&eacute;es &raquo;) dans tout traitement de l&rsquo;information. Encore faut-il que ce dernier ne n&eacute;cessite pas la pr&eacute;sence &laquo; lisible &raquo; de ces informations. Nous revenons alors sur un terme largement employ&eacute; dans le texte : la l&eacute;gitimit&eacute;&hellip; qu&rsquo;il faudra prouver. Les entreprises auront pour pr&eacute;f&eacute;rence l&rsquo;usage du chiffrement avec une fonction r&eacute;versible permettant de masquer les informations critiques non utiles pour un traitement particulier, par exemple pour les processus de sauvegarde ; tout en octroyant les droits de d&eacute;chiffrement ad hoc selon, encore une fois, la n&eacute;cessit&eacute; et la l&eacute;gitimit&eacute; d&rsquo;acc&eacute;der et de traiter de l&rsquo;information &agrave; caract&egrave;re priv&eacute;. L&rsquo;anonymisation des donn&eacute;es par une fonction dite &laquo; one way &raquo; ne permettra pas de reconstruire la donn&eacute;e initiale. L&rsquo;exemple le plus commun est celui du re&ccedil;u de paiement par carte bancaire qui ne laisse appara&icirc;tre que les quatre derniers num&eacute;ros de logs, les autres num&eacute;ros &eacute;tant masqu&eacute;s. S&rsquo;il n&rsquo;y a pas de l&eacute;gitimit&eacute; pour l&rsquo;entreprise de stocker une donn&eacute;e priv&eacute;e &agrave; un instant T, cela pourrait toutefois &ecirc;tre amen&eacute; &agrave; changer, en raison de l&rsquo;&eacute;volution de l&rsquo;entreprise et donc de n&eacute;cessiter potentiellement un besoin de r&eacute;versibilit&eacute;. L&rsquo;article 32 mentionne &eacute;galement le besoin de garantir &laquo; la confidentialit&eacute;, l'int&eacute;grit&eacute;, la disponibilit&eacute; et la r&eacute;silience constantes des syst&egrave;mes et des services de traitement &raquo;. Nous revenons donc aux techniques de chiffrement qui vont prendre une place de choix dans l&rsquo;ensemble des techniques de protections utiles dans le cadre du RGPD : confidentialit&eacute;, int&eacute;grit&eacute;, et allons plus loin avec la non-r&eacute;pudiation. La disponibilit&eacute; et la r&eacute;silience &ndash; qui assure la disponibilit&eacute; des donn&eacute;es pour les applications et les utilisateurs, m&ecirc;me en cas de panne des syst&egrave;mes &ndash;n&eacute;cessiteront des plans de continuit&eacute; et de reprise d&rsquo;activit&eacute; (PCA/PRA) efficaces&hellip; et souvent des budgets cons&eacute;quents pour les entreprises n&rsquo;en disposant pas ! Le suivi des mesures de s&eacute;curit&eacute; Ce m&ecirc;me article 32 requiert &laquo; une proc&eacute;dure visant &agrave; tester, &agrave; analyser et &agrave; &eacute;valuer r&eacute;guli&egrave;rement l'efficacit&eacute; des mesures techniques et organisationnelles pour assurer la s&eacute;curit&eacute; du traitement &raquo;. Il s&rsquo;agit ici de la mise en place de mesures op&eacute;rationnelles garantissant l&rsquo;ad&eacute;quation avec le RGPD des mesures de s&eacute;curit&eacute; appliqu&eacute;es aux donn&eacute;es personnelles pendant tout leur cycle de traitement : collecte, utilisation, mise &agrave; disposition, stockage, destruction. Il est &eacute;videmment &agrave; noter que ces proc&eacute;dures de test doivent &ecirc;tre it&eacute;ratives, car les proc&eacute;dures de traitement de l&rsquo;information peuvent (et c&rsquo;est souvent le cas !) &ecirc;tre emmen&eacute;es &agrave; changer. La mesure vise &agrave; d&eacute;tecter le plus rapidement possible les &eacute;carts entre les proc&eacute;dures de protection d&eacute;cid&eacute;es et leur efficacit&eacute; mesur&eacute;e. Si ces &eacute;carts sont trop importants, il sera alors n&eacute;cessaire de r&eacute;&eacute;valuer ces mesures afin de gagner en s&eacute;curit&eacute;. Une entreprise d&eacute;cidant d&rsquo;impl&eacute;menter une solution de type cloud pour le stockage ou le traitement d&rsquo;informations priv&eacute;es devra int&eacute;grer ce dispositif dans son processus global de conformit&eacute; avec le RGPD et adapter en cons&eacute;quence les mesures de s&eacute;curit&eacute; existantes. L&rsquo;article de r&eacute;f&eacute;rence pr&eacute;cise que &laquo; lors de l'&eacute;valuation du niveau de s&eacute;curit&eacute; appropri&eacute;, il est tenu compte en particulier des risques que pr&eacute;sente le traitement, r&eacute;sultant notamment de la destruction, de la perte, de l'alt&eacute;ration, de la divulgation non autoris&eacute;e de donn&eacute;es &agrave; caract&egrave;re personnel transmises, conserv&eacute;es ou trait&eacute;es d'une autre mani&egrave;re, ou de l'acc&egrave;s non autoris&eacute; &agrave; de telles donn&eacute;es, de mani&egrave;re accidentelle ou illicite &raquo;. Il sera alors n&eacute;cessaire d&rsquo;impl&eacute;menter entre autres, des outils de pr&eacute;vention contre la fuite d&rsquo;information ( Data Loss Prevention &ndash; DLP) permettant de garantir une protection contre les modifications non autoris&eacute;es des donn&eacute;es priv&eacute;es incluant la destruction de ces derni&egrave;res. Cela passera de nouveau par des technologies de chiffrement et de gestion des droits d&rsquo;acc&egrave;s. Comme d&eacute;j&agrave; mentionn&eacute;, le chiffrement apporte l&rsquo;int&eacute;grit&eacute; et la non-r&eacute;pudiation tout en permettant la gestion des droits d&rsquo;acc&egrave;s en fonction des cl&eacute;s auxquelles sont assign&eacute;s les utilisateurs ou les processus de traitement. Les solutions DLP pourront, quant &agrave; elles, pr&eacute;venir des fuites d&rsquo;informations volontaires ou non (noter que 22 % des fuites d'informations proviennent d'acteurs internes &agrave; l'entreprise et sont volontaires [2] ) en apportant une protection sur les trois typologies de donn&eacute;es que sont : les donn&eacute;es stock&eacute;es ; les donn&eacute;es en cours de manipulation (par exemple, copie d&rsquo;un &eacute;l&eacute;ment de texte contenant de la donn&eacute;e priv&eacute;e) ; et les donn&eacute;es en cours de transmission (un processus copiant des donn&eacute;es sur un environnement cloud au travers d&rsquo;une transaction r&eacute;seau de type WebPost). Mais cela n&rsquo;est pas suffisant ! Rappelez-vous du cas de Yahoo, en 2013, o&ugrave; environ un milliard de donn&eacute;es d&rsquo;utilisateurs ont &eacute;t&eacute; exfiltr&eacute;es frauduleusement au b&eacute;n&eacute;fice de hackers. La protection des infrastructures En mati&egrave;re de cybers&eacute;curit&eacute;, la s&eacute;curit&eacute; des infrastructures est primordiale et agit comme une premi&egrave;re barri&egrave;re op&eacute;rant la protection des donn&eacute;es en entreprise. Les attaques de type 0-day ou utilisant des techniques d&rsquo;&eacute;vasion avanc&eacute;es ( Advanced Evasion Threat &ndash; AET) sont monnaie courante dans le monde des ransomwares . Mais pas seulement ! Bon nombre d&rsquo;attaques sont aujourd&rsquo;hui silencieuses et ont pour seul objectif d&rsquo;exfiltrer les donn&eacute;es les plus sensibles de l&rsquo;entreprise&hellip; dont les donn&eacute;es priv&eacute;es, &agrave; l&rsquo;image des plus r&eacute;centes telles que WannaCry et NotPetya. En moyenne, le temps estim&eacute; entre l&rsquo;infection et la d&eacute;tection d&rsquo;une attaque utilisant des techniques de compromission avanc&eacute;es ( Advanced Persistent Threat &ndash; APT) se situe entre 6 &agrave; 12 mois (parfois beaucoup plus) [3] . Le temps joue en faveur des cybercriminels, mais va &agrave; l&rsquo;encontre de la s&eacute;curit&eacute;. Pour beaucoup d&rsquo;entreprises, il faudra alors repenser leur protection actuelle au profit de l&rsquo;impl&eacute;mentation de technologies bas&eacute;es sur de la &laquo; Threat Intelligence &raquo; ou du &laquo; Sandboxing &raquo; permettant notamment d&rsquo;analyser de mani&egrave;re dynamique et statique un fichier Word re&ccedil;u par mail qui aurait pour vocation &agrave; contaminer un poste de travail et &agrave; exfiltrer les donn&eacute;es. Gouvernance des mesures de s&eacute;curit&eacute; En r&eacute;sum&eacute;, le chantier du RGPD est grand, mais pas inaccessible. Le point fondamental pour r&eacute;pondre &agrave; ses exigences reste l&rsquo;organisation. Les &eacute;l&eacute;ments de s&eacute;curit&eacute; &agrave; impl&eacute;menter par les entreprises ne doivent se faire qu&rsquo;apr&egrave;s l&rsquo;&eacute;tablissement d&rsquo;un framework de conformit&eacute; qui dictera, apr&egrave;s une analyse compl&egrave;te des risques, &agrave; la fois les &eacute;l&eacute;ments de s&eacute;curit&eacute; et les politiques associ&eacute;es. Faire l&rsquo;impasse dessus, c&rsquo;est prendre le risque de politiques de s&eacute;curit&eacute; inadapt&eacute;es ou incompl&egrave;tes&hellip; avec les cons&eacute;quences que l&rsquo;on imagine. Enfin, l&rsquo;entreprise devra prouver sa conformit&eacute; avec les exigences exprim&eacute;es. C&rsquo;est la base du principe d&rsquo; accountability , selon lequel il appartient au responsable du traitement de prendre toutes les mesures requises pour garantir la conformit&eacute; dudit traitement. La centralisation des capacit&eacute;s d&rsquo;audit (SOC et SIEM [4] ) des infrastructures permettra alors de r&eacute;pondre au &laquo; Data Security Principles &raquo; tels qu&rsquo;exprim&eacute;s dans le texte du RGPD. 1 Source : Humanis. 2 Source : McAfee. 3 Source : Ponemon. 4 Security Operating Center ; Security Information Management System.

RECHERCHEZ UN ARTICLE, UNE CHRONIQUE, PARMI L'ENSEMBLE DES PUBLICATIONS

RECHERCHEZ UN AUTEUR

Archive

Sécurité des données : les mesures urgentes à mettre en place

À retrouver dans la revue

Banque de détail

[Web Only] Tarifs bancaires : les banques amortissent l’inflation

Blockchain/Cryptoactifs

Les garanties bancaires
sont d’excellents cas d’usage

Banque de financement et d'investissement (BFI)

« Paris est le centre de gravité
pour tous les instruments financiers traités en euros »

Paiements

Le droit de la responsabilité civile appliqué à des virements frauduleux en devises

Archive

Panorama réglementaire des actifs numériques

Archive

Sberbank : une valeur anéantie à zéro en fonds de portefeuille

Archive

La transformation repose sur des directions responsables et des équipes pluridisciplinaires

Suivez-nous

RECHERCHEZ UN ARTICLE, UNE CHRONIQUE, PARMI L'ENSEMBLE DES PUBLICATIONS

RECHERCHEZ UN AUTEUR

Sécurité des données : les mesures urgentes à mettre en place

À retrouver dans la revue

[Web Only] Tarifs bancaires : les banques amortissent l’inflation

Les garanties bancaires sont d’excellents cas d’usage

« Paris est le centre de gravité pour tous les instruments financiers traités en euros »

Le droit de la responsabilité civile appliqué à des virements frauduleux en devises

Panorama réglementaire des actifs numériques

Sberbank : une valeur anéantie à zéro en fonds de portefeuille

La transformation repose sur des directions responsables et des équipes pluridisciplinaires

Les garanties bancaires
sont d’excellents cas d’usage

« Paris est le centre de gravité
pour tous les instruments financiers traités en euros »