X

News Partenaire

Transformation numérique : Satisfaire au devoir de transparence et de confidentialité des conseils d’administration et comités exécutifs

Instances décisionnelles de grande envergure, les conseils et comités disposent de larges pouvoirs, mais doivent assumer en contrepartie des devoirs et des responsabilités et déterminer les orientations stratégiques qui assureront la croissance de l’entreprise. Un résultat concret ne peut se faire sans une prise de décision consentie, pesée et à l’abri des regards indiscrets. La transformation numérique et l’émergence de technologies innovantes  permettent aujourd’hui de sécuriser ces organes de gouvernance avec des outils dédiés et développés pour soutenir la mission des membres du conseil.

Privacy by design : comment le mettre en place
Alain Clapaud / lundi 13 novembre 2017 / Thèmes: Dossier, RGPD

Privacy by design : comment le mettre en place

Préparer la conformité RGPD en adoptant une approche globale de protection des données personnelles de bout en bout !

Face au phénomène récurrent des fuites massives de données, mais aussi au resserrement de la réglementation relative à la protection des données personnelles, les entreprises doivent aborder cette question sous un nouvel angle. Voici l’ère du « Privacy by design ».

Avec l’entrée en vigueur prochaine de la RGPD, la protection des données personnelles est au cœur des préoccupations des directions informatiques. Alarmées par le montant des amendes potentielles en cas de fuite des données ou de traitements non autorisés de données personnelles, les DSI doivent changer d’approche sécuritaire. En effet, protéger des données sensibles en activant le chiffrement de la base de données ou en ajoutant un WAF (Web Application Firewall) devant les serveurs concernés ne suffit pas, il est nécessaire d’adopter une approche bien plus globale et passer au « Privacy by Design ». Cette approche a été formalisée dès les années quatre-vingt-dix par Ann Cavoukian, commissaire à l’information et à la protection de la vie privée de l’Ontario. « Portée par la défense des libertés fondamentales de l’individu, Ann Cavoukian a imaginé le concept de Privacy by Design comme une démarche qui vise à assurer la protection de la vie privée », explique Alessandro Fiorentino, consultant en charge de l’offre Informatique et Libertés au sein de la pratique SI du cabinet Infhotep et ambassadeur du « Privacy by Design ». « À cette époque, la protection des données à caractère personnel n’était pas encore une notion synonyme d’enjeu économique. »

Le Privacy by Design se résume en sept grands concepts, mais, plutôt que de désigner des technologies à mettre en œuvre, il propose des PET (Privacy Enhancing Technologies). « Les PET sont à l’origine du principe de minimisation des données ; c’est sur la base de ce principe que s’est développé ce concept de Privacy by Design », ajoute Alessandro Fiorentino.

Parmi ces PET figurent bien évidement le chiffrement des données, la gestion des droits d’accès et le tagging des données, la mise en place de règles de développement des applications, des règles d’architecture des systèmes, jusqu’aux interfaces utilisateurs elles-mêmes. À chaque entreprise de définir sa stratégie de « Privacy by Design » et les PET à mettre en place pour l’implémenter.

Les 7 principes fondamentaux du « Privacy by design »

1. Prendre des mesures proactives et non réactives, des mesures préventives et non correctives.

2. Assurer une protection implicite de la vie privée.

3. Intégrer la protection de la vie privée dans la conception des systèmes et des pratiques.

4. Assurer une fonctionnalité intégrale selon un paradigme à somme positive et non à somme nulle.

5. Assurer la sécurité de bout en bout, pendant toute la période de conservation des renseignements.

6. Assurer la visibilité et la transparence.

7. Respecter la vie privée des utilisateurs.


Une protection des données dès la phase de développement

Pour les éditeurs de logiciel et les entreprises qui développent leurs propres logiciels métier, cette prise en compte de la protection de la donnée doit être intégrée dès les phases de conception des architectures applicatives et dès les phases de coding. « Il faut avant tout mener une réflexion au niveau de la conception, avec le choix de l’architecture la plus appropriée pour le type de données et d’usages prévus permettra de choisir les technologies de collecte et de stockage sécurisés », estime Mos Amokthari, directeur technique France de CA Technologies. Divers aspects du développement sont directement touchés par le Privacy by design. La chaîne d’intégration continue doit intégrer des briques de validation qui vont permettre de s’assurer que le code produit répond bien aux exigences définies en termes de protection des données. CAST, Veracode, HP, Microfocus proposent des logiciels d’analyse de code pour éliminer le risque qu’un pirate n’accède aux données au moyen d’une injection SQL, par exemple. « Plus de 80 % des brèches de sécurité sont actuellement découvertes au niveau applicatif », affirme Mos Amokthari. « Sans vouloir faire de généralisation, les développeurs ont une sensibilité à la sécurité du code relativement faible actuellement. Il est nécessaire de prévoir une sensibilisation et un accompagnement afin d’améliorer la connaissance globale des équipes sur les risques et les moyens de les éviter. »

Ce souci du Privacy by Design apparaît aussi dans les phases de test où il faut éviter d’utiliser des données de production directement pour valider les applications. Les jeux de tests doivent absolument être anonymisés, même lorsque les échantillons sont modestes. Les algorithmes de hash tels que Argon2, bcrypt ou encore pbkdf2 permettent aux développeurs de générer des jeux de test garantissant la confidentialité des données d’origine et il est aussi possible de générer des données par algorithme, via un outil dédié aux tests comme CA Test Data Manager. « Un autre point à surveiller est lorsque les données sont extraites de la production pour divers besoins, notamment les sauvegardes et tests. On se souvient par exemple qu’un des grandes fuites de données qui avait secoué Sony était due à des bandes de backup qui n’avaient pas été correctement détruites », ajoute Mos Amokthari. Fort de l’acquisition de Grid-Tools en 2015, CA Technologies est positionné sur ce marché des solutions de « virtualisation » des données, face notamment à Informatica, IBM, Oracle, Delphix, Compuware.

 

La démarche Privacy by Design renforce l'intérêt de solutions d'IMA (Identity and Access Management) telle que Oracle Identity Management.

Vers une montée en puissance des solutions de gestion des identités

La réglementation hausse la barre quant à la protection des données personnelles, mais demande aussi d’assurer une traçabilité complète. En cas de plainte d’un client ou de fuite de données avérée, il faut être capable de fournir une liste des accès et traitements qui ont été réalisés sur la donnée. La mise en œuvre d’une solution d’IAM (Identity and Access Management) telles que celle d’Atos/Evidian, SailPoint, Oracle, IBM peut simplifier cette démarche. « Nous permettons principalement aux entreprises de répondre aux questions suivantes : Qui a accès à quoi ? , et Que peut faire l’utilisateur avec cet accès ? » résume Juliette Rizkallah, Chief Marketing Officer chez SailPoint qui ajoute : « La gestion des identités et des accès est essentielle à l’organisation pour aider le personnel à générer de l’efficacité informatique, prévenir et atténuer les fuites des données et respecter l’ensemble des réglementations, notamment le RGPD. Nous proposons aux entreprises une plate-forme ouverte de gouvernance d’identités, une plate-forme compatible avec les infrastructures IT on-premise et cloud. »

 

Toutes les plates-formes IAM assurent une gestion des identités des utilisateurs sur les multiples applications on-premise et Saas et permettent de mettre en place des scénarios contextualisés avec des droits d’accès accordés aux employés en fonction de leur adresse IP, selon qu’ils sont dans les locaux de l’entreprise ou en situation de mobilité, en fonction aussi de l’heure de la journée. Elles offrent toutes des capacités d’audit et de reporting avancées, mais peuvent aussi alimenter les SIEM (Security Information and Event Management) avec leurs données de connexion. Couplées aux logs serveurs et aux données générées par les équipements réseau et les applications elles-mêmes, ces informations vont permettre aux analystes d’enquêter et d’identifier quels comptes ont pu accéder aux données incriminées dans une fuite de données, par exemple.

 

L'activité des comptes à privilèges est désormais surveillée via des solutions capables de générer des alarmes si ceux-ci ont une activité suspecte ou inhabituelle.

Une indispensable surveillance des comptes à privilèges

Si l’IAM renforce la traçabilité des accès au niveau de l’entreprise, il reste nécessaire d’accorder une attention toute particulière aux comptes à privilège, c’est-à-dire ceux des cadres dirigeants, administrateurs système et DBA en charge des infrastructures. La compromission de tels comptes est une épée de Damoclès pour les entreprises puisque avec l’accès à de tels comptes, un pirate peut potentiellement faire beaucoup de dégâts. De plus en plus d’éditeurs IAM nouent aujourd’hui des partenariats avec des éditeurs de solutions de gestion des accès à privilèges, ou PAM (Privileged Account Management) à l’image d’Atos qui s’est tourné vers l’Israélien CyberArk et le Français Wallix pour compléter son offre. Ce dernier propose une solution baptisée Bastion qui assure le contrôle et la traçabilité de l’ensemble des actions réalisées par les utilisateurs à privilèges dans le système d’information. « Les entreprises cherchent des solutions simples et “non intrusives” afin de mettre en œuvre une stratégie de Privacy par Design sur chaque nouveau projet et déploiement digital et notamment garantir un usage sécurisé des données confidentielles », explique Jean-Noël de Galzain, PDG de Wallix. « Le Bastion de Wallix sert à réduire les risques liés à un usage impropre des infrastructures critiques et des données à caractère personnel – fraude, fuite ou vol. En complément, un nouveau module de scan de réseaux informatiques pour découvrir les risques potentiels des comptes à privilèges et des mots de passe associés à une organisation. »

 

Face à Wallix, de nombreux éditeurs se sont positionnés sur ce marché de la gestion des accès à privilèges. Parmi eux, les Américains BeyondTrust, CA Technologies, Centrify, pour ne citer que les plus gros. Outre l’enregistrement des sessions, la mise en place de règles spécifiques quant à la gestion des mots de passe de ces utilisateurs, une telle plate-forme permet de mettre en place des alarmes temps réel sur l’utilisation de certaines commandes ou même sur un changement de comportement d’un utilisateur. L’analyse comportementale temps réel va ainsi permettre d’alerter un responsable si, tout à coup, un utilisateur lance des requêtes inhabituelles ou sauvegarde de grandes quantités de données sur un disque dur externe.

Le chiffrement, une brique clé du Privacy by Design

En parallèle de ces mesures d’audit et de surveillance, le chiffrement des données stockées dans les SGBD est devenu un impératif. Toutes les bases de données du marché implémentent aujourd’hui un chiffrement d’une base de données complète, d’une table ou d’une colonne pour certaines. Que ce soit le package DBMS_CRYPTO d’Oracle, le chiffrement de SQL Server ou encore MySQL Enterprise Encryption, de multiples algorithmes de chiffrement de puissance plus ou moins élevées sont proposés au DBA. Il est possible de chiffrer les données stockées sur disque et en mémoire, mais aussi signer des transactions. L’usage extensif du chiffrement des données se heurtent néanmoins au temps de calcul de ces traitements additionnels, notamment sur les systèmes transactionnels.

 

Tous les SGBD d'entreprises implémentent aujourd'hui des algorithmes de chiffrement, y compris les bases de données cloud telles que Azure SQL.

Pour le chiffrement des données comme pour le stockage des clés, il est possible de s’appuyer sur les extensions proposées par les éditeurs de SGBD, même les bases de données cloud en sont dotées aujourd’hui. Mais par soucis d’indépendance il est aussi possible de mettre en œuvre une solution de chiffrement externe. Avec ses offres SafeNet, Gemalto propose des logiciels de chiffrements tant pour la protection des applications, des bases de données, des serveurs de fichiers que des machines virtuelles Amazon, VMware et IBM SoftLayer. Jan Smets, DPO (Data Protection Officer) et responsable avant-ventes chez Gemalto souligne l’intérêt de cette approche : « Il ne suffit pas simplement de protéger les données lorsqu’elles sont stockées dans une base de données. L’objectif fixé doit être de protéger toutes les données, qu’elles soient en mouvement ou non, à partir du moment où vous recevez ces données, jusqu’au moment où vous devez détruire ces dernières lorsque vous n’en avez plus besoin. » Dans un tel contexte, le chiffrement des données au niveau du SGBD est nécessaire, mais loin d’être suffisant. « Tous ceux impliqués dans le processus de protection des données devraient avoir une visibilité sur le processus complet. Tous nos produits et solutions fournissent un moyen de protéger les identités, les données ou les clés de façon ouverte. La restriction est permanente, si vous n’êtes pas autorisé à y accéder, vous ne pouvez pas aller plus loin. De plus, toutes nos solutions fournissent des moyens de consigner de manière centralisée toutes les actions, de sorte qu’il est facile de vérifier par la suite : Qui a fait Quoi à Quelle heure. »

 

Des solutions existent aujourd'hui afin de s'assurer que les règles de confidentialité définies dans l'entreprise s'appliquent aussi pour les données stockées dans le Cloud, tant dans les services de stockage, de collaboration que dans les applications SaaS.

Intégrer les services cloud au Privacy by Design

L’essor du Cloud se traduit aussi par la montée en puissance de l’usage des applications Saas, or dans une démarche de Privacy by Design il faut intégrer ces ressources externes dans la politique de protection des données de l’entreprise. Selon une étude Osterman Research de 2016, 25 % des données stockées dans le Cloud par les entreprises étaient déjà considérées comme confidentielles et hautement sensibles ; un taux qui devrait monter à 29 % cette année. Avec des solutions de Casb (Cloud Access Security Broker), un RSSI peut découvrir quels sont les usages réels des services cloud dans son entreprise, éventuellement interdire ceux qui paraissent les moins sûrs. Des solutions telles Symantec CloudSOC Cloud Data Protection – issue de l’acquisition de BlueCoat –, Netskope, CipherCloud ou encore de Skyhigh Networks, permettent de protéger par chiffrement des données stockées sur des comptes Box, Dropbox, Google Drive, mais aussi celles qui sont saisies dans des applications Saas comme NetSuite, ServiceNow ou Saleforce.com. La tokenisation apporte une solution technique élégante aux entreprises qui souhaitent bénéficier des atouts du Cloud sans rien céder en termes de contrôle de la donnée. Placée en proxy entre les utilisateurs et le service Saas, la solution remplace les données sensibles par un jeton (token), un jeton qui fait référence à des données qui restent stockées en interne, dans le système d’information de l’entreprise. Précurseur du CASB en 2011, Skyhigh Networks met en avant le rôle de ce type de logiciels dans la protection des données sensibles. « Avant même de vouloir parler de protection de données, il est indispensable d’être en mesure de les localiser, le Cloud étant dorénavant une extension incontournable de l’IT des entreprises », résume Joël Mollo, directeur pour l’Europe du sud de Skyhigh Networks. « Nous accompagnons les entreprises dans leur cartographie applicative des Services Cloud, par la gestion des accès à ces différents services cloud, basée sur l’identification utilisateur, mais aussi sur le type de device utilisé et sa géolocalisation, le contrôle des informations échangées vers ces différents Services Cloud. On ne va ainsi permettre le stockage externe des données qu’après un scan préalable. » Un moteur de règles DLP (Data Loss Prevention) intégré à la solution Skyhigh permet de s’assurer que l’information peut être effectivement transférée sur un Cloud externe en fonction de la politique de sécurité de l’entreprise, son chiffrement pouvant être, le cas échéant, activé si une règle du DLP l’impose.

 

Il n’existe pas de solutions Privacy by Design proprement dites car, à l’instar de Raphaël Brun, chez Wavestone, les experts s’accordent à dire que le Privacy by Design est une démarche organisationnelle : « Le Privacy By Design est un processus qui vise à capter les projets en cours et s’assurer qu’ils prennent en compte les exigences du GDPR. Il est parfois nécessaire d’utiliser des outils techniques comme le chiffrement des données en base, l’anonymisation des données accessibles mais la méthode doit permettre de pointer vers les solutions existantes au sein de l’entreprise – notamment de nombreuses solutions déjà mises à disposition par le RSSI ou la DSI – ou d’identifier les éventuels manques. » Au DPO (Data Protection Officer) d’imaginer les processus compatibles GDPR de son entreprise, au DSI et au DOSI de trouver les solutions qui l’implémenteront. ❍


« Le « Privacy by Design » est avant tout une démarche »
Jean-François Louâpre, responsable Sécurité et membre du Cesin

 

« Le concept de Privacy by Design est une démarche, un processus, mais en aucun cas – contrairement à ce que voudrait nous faire croire certains fournisseurs – de la mise en œuvre de nouveaux outils. La mise en œuvre du concept de Privacy by Design implique, comme proposé par le RGDP, une analyse de risques et d’impact préalable. Celle-ci s’appuie sur l’identification des données personnelles à traiter et une analyse de risque sécurité du projet. En fonction du résultat de l’analyse d’impact, certaines procédures ou outils de protection des données peuvent être recommandés : anonymisation, pseudonimisation, chiffrement en transit et/ou en stockage… Il peut s’agir de procédures/outils complémentaires à ceux systématiquement installés pour protéger les données personnelles dans une démarche de Privacy by Default. Cette analyse d’impact devrait également permettre de réduire la collecte de données personnelles à celles effectivement nécessaires au traitement : on voit d’ailleurs apparaître des notions d’écologie des données. »


« La mise en œuvre d’une démarche Privacy by Design doit être transverse »
Alessandro Fiorentino, consultant, en charge de l’offre Informatique et Libertés au sein de la pratique SI du cabinet Infhotep, ambassadeur du Privacy by Design depuis mai 2013

 

« Sur le plan humain, le premier prérequis indispensable à la mise en œuvre optimale du Privacy by Design est le développement d’une culture « Privacy » au sein de l’organisme concerné. Il est impératif que l’ensemble de son personnel soit mobilisé à tous les niveaux hiérarchiques car lorsque l’on parle de protection de données à caractère personnel, chacun d’entre nous à un rôle à jouer ; les responsabilités de chacun doivent être clairement délimitées. Il n’y a pas de schéma organisationnel de gouvernance bon ou mauvais. Quelle que soit l’organisation envisagée, elle doit tenir compte et répondre à des spécificités structurelles de l’organisme. Cette gouvernance doit s’inscrire dans l’histoire et la propre culture de l’organisme. »


« Vers un GO Privacy en plus du GO Quality »
Sofiane Fedaoui, RSSI/CISO chez Vialink (Groupe BRED/BPCE)

 

« Le Privacy by Design a comme objectif d’assurer la protection de la vie privée des personnes avant qu’une nouveau logiciel ou une nouvelle technologie, parce qu’ils facilitent le traitement de données personnelles, n’entraînent de nombreuses violations de la vie privée des utilisateurs potentiels. La MOA (Métiers, Responsables fonctionnels) doit préciser et exiger le respect du plus haut niveau possible de protection des données. De son côté, la MOE (chefs de projet, chefs de produit) doit traduire cette exigence en l’intégrant à ces spécifications, la collaboration avec le CIL (Correspondant informatique et libertés) ou DPO (Data Protection Officer) est importante à ce niveau-là, le registre des traitements doit être systématiquement mis à jour par le CIL/DPO. La Direction R & D doit mettre en place les exigences et les contrôles exigés par la MOE. Le rôle de conseil du CIL/DPO est important à ce niveau-là également, le RSSI peut également être sollicité. Enfin, la QA (Quality Assurance) doit vérifier la mise en place des exigences spécifiées par la MOE, cette vérification doit être matérialisée par un “ GO Privacy ” en plus du “ GO Quality ” et éventuellement du “ GO Security ”. »

Print
2769
Tags:RGPDdev

Name:
Email:
Subject:
Message:
x

News Mag-Securs
12345678

Retrouvez actualités, dossiers et communiqués sur la sécurité du système d'information sur le portail Mag-Securs

Offres d'emploi
RSS
12345678910Last

Lancez votre recherche sur notre rubrique Emploi avec notre partenaire