X

News Partenaire

Transformation numérique : Satisfaire au devoir de transparence et de confidentialité des conseils d’administration et comités exécutifs

Instances décisionnelles de grande envergure, les conseils et comités disposent de larges pouvoirs, mais doivent assumer en contrepartie des devoirs et des responsabilités et déterminer les orientations stratégiques qui assureront la croissance de l’entreprise. Un résultat concret ne peut se faire sans une prise de décision consentie, pesée et à l’abri des regards indiscrets. La transformation numérique et l’émergence de technologies innovantes  permettent aujourd’hui de sécuriser ces organes de gouvernance avec des outils dédiés et développés pour soutenir la mission des membres du conseil.

RGPD et Sécurité
Emilien Ercolani / mardi 21 novembre 2017 / Thèmes: Dossier, RGPD

RGPD et Sécurité

Au-delà des mesures techniques, une nouvelle culture de la donnée personnelle

La sécurité fait partie intégrante du Règlement général sur la protection des données (RGPD) et constitue même un socle sur lequel il faut s’appuyer. Pour simplifier les choses, le texte fait même mention de techniques explicitement dénommées, tel le chiffrement, mais aussi l’anonymisation et la pseudonymisation. En revanche, comme souvent sur ce sujet, il est aussi et surtout question de gouvernance et de processus, plutôt que de technique pure.

Si vous lisez attentivement le texte du Règlement général sur la protection des données (RGPD), vous vous rendrez compte que la sécurité est omniprésente, souvent en trame de fond. Il est question de protection des données personnelles bien entendu, mais aussi de réaction, de savoir gérer une crise et y réagir convenablement, contenir une fuite de données, etc. Rappelons à toutes fins utiles que si une fuite de données concerne dix personnes, il faudra les contacter pour les prévenir des risques encourus. Si le périmètre porte sur un million de personnes, même topo ! C’est pourquoi tous ces sujets mis bout à bout constituent le socle sécuritaire du texte et c’est bien là la difficulté première : savoir analyser et lire ce que demande précisément le règlement qui, rappelons-le, entrera en vigueur en mai 2018.

Un peu de recul sur la sécurité

Sur ce sujet de la sécurité, les grands comptes et très grandes entreprises profitent d’un avantage crucial sur les structures plus modestes. Leurs investissements en matière de sécurité, outils et matériels vis-à-vis de directives comme PCI DSS pour les banques ou simplement sur la norme ISO 27001, suffisent amplement à couvrir tous les aspects du texte. En revanche, c’est l’organisation qui devient un sujet central : caractérisation de la donnée, des réactions, etc. Beaucoup de ces grandes institutions se sont calquées sur la directive 95/46/CE – relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données – en matière de conformité. Pour elles, le RGPD n’est qu’une extension, en termes de sécurité, bien qu’il étoffe la directive de 1995 avec des notions nouvelles et notamment l’obligation de notification des incidents. Sur ce sujet, le règlement n’est pas encore assez clair : le European Data Protection Supervisor travaille d’ailleurs actuellement sur des lignes directrices plus claires concernant les mesures de sécurité et de notification. « Cet organisme est conscient que le texte n’est pas autosuffisant, et que plus de précisions sont nécessaires », rapporte Zoltan Prescsenyi, directeur des affaires gouvernementales EMEA chez Symantec et très au fait de ce qui se passe au niveau de l’Union Européenne.

Ces précisions serviront donc aux grands comptes, mais aussi et surtout aux plus petites entreprises, PME/ETI/TPE. D’autant que, finalement, les dispositions du RGPD ne sont véritablement connues que depuis 18 mois environ. « Il faut surtout leur rappeler que la sécurité recouvre de nombreux domaines. Et qu’il faut considérer tout cela comme une première priorité afin d’être en mesure de répondre aux nouveaux droits des citoyens », souligne quant à lui Michel Lanaspèze, directeur marketing Europe de l’Ouest chez Sophos. Le changement est fondamental dans le RGPD. Jusqu’à aujourd’hui l’entreprise faisait tout pour protéger ses données, qui sont devenues au fil des années son patrimoine, peut-être même son premier patrimoine. Mais le texte change ce regard sur la protection : il s’agit désormais de protéger la donnée de l’utilisateur, du client. C’est bien à l’entreprise qu’incombe cette charge. « Elle passe d’un modèle où l’entreprise est propriétaire de la donnée, à un nouveau modèle où elle n’est que l’utilisatrice de ces données. Il faut comprendre que les gens confient des données, et qu’elles n’en sont pas propriétaires. Ce changement de paradigme est en cours de compréhension. C’est pourquoi l’accompagnement pédagogique est essentiel », résume Raphaël Brun, Manager en Risk Management et Sécurité de l’information chez Wavestone. « La Cnil n’est plus un garde-fou, renchérit Diane Rambaldini, du cabinet de conseils Crossing Skills. Les entreprises doivent désormais savoir ce qu’elles font, et surtout se mettre à la place des gens dont elles utilisent les données. C’est une nouvelle culture qui doit être incarnée par les responsables de traitement, d’où l’essor de la notion de privacy by design. » Ce changement de mentalité s’illustre d’ailleurs assez bien dans le détail. Car, sur le terrain, les RSSI et autres responsables de la sécurité ne sont pas les interlocuteurs principaux, ni même les plus impliqués. En revanche, les directeurs de la conformité, les responsables numériques ou légaux le sont beaucoup plus. Le sujet va donc bien au-delà des responsables de la sécurité, même s’il faut bien souvent passer par l’implémentation d’outils spécifiques.

Des solutions existantes mais parfois mal comprises

Nous l’avons dit, l’originalité du texte du RGPD est d’introduire clairement des notions en matière de sécurité et de protection de la donnée. Pas question de faire n’importe quoi ! En revanche, le champ est laissé libre pour ne pas brider les capacités créatives des entreprises, de ceux qui manipulent les données ; ce serait contraire à l’essence du projet. Le RGPD met le holà sur l’utilisation abusive des données personnelles par les entreprises ou des tiers, c’est tout. Il n’interdit pas leur utilisation. Et pour cela, les techniques exposées répondent aux interrogations.

En premier lieu, le terme chiffrement revient quatre fois dans le texte. Il doit être utilisé par « le responsable du traitement ou le sous-traitant », lequel doit évaluer « les risques inhérents au traitement et mettre en œuvre des mesures pour les atténuer, telles que le chiffrement » (considérant 83). L’atout de cette mesure technique qu’est le chiffrement est d’abord qu’elle est déjà largement plébiscitée par les entreprises, qui peuvent être rapidement opérationnelles. Ce qui ne veut pas dire qu’une réflexion préalable ne doit pas être menée : « On doit savoir ce que l’on chiffre, où et à quel moment », prévient Loïc Guézo, en charge de la cybersécurité chez Trend Micro. « Nous distinguons trois cas d’usage : le chiffrement de la donnée stockée, de la donnée en mouvement – du serveur vers un poste de travail – et de la donnée en cours de manipulation pour des traitements. Si l’on constate parfois du chiffrement dynamique, le plus souvent les entreprises mettent en place des systèmes de chiffrement de bout en bout », ajoute-t-il. Par ailleurs, rappelons que le texte du RGPD n’évoque pas de changement technologique dans la technique de chiffrement en elle-même. Un respect des standards du marché, que suivent religieusement les éditeurs, est conforme. « Le texte n’indique pas non plus si les solutions utilisées doivent être labellisées d’une manière ou d’une autre », précise Diane Rambaldini (Crossing Skills).

Outre le chiffrement, anonymisation et pseudonymisation sont parfois des notions plus complexes à saisir. Pour Michel Lanaspèze, chez Sophos, « l’anonymisation est irréversible. Il n’y a pas de retour en arrière possible, contrairement à la pseudonymisation. Ce fut d’ailleurs un enjeu dans la loi République Numérique, afin que les données soient exploitables par les chercheurs. Donc, il s’agit de ne pas garder l’identité de la personne même si dans le cadre d’un travail de recherche, on doit pouvoir revenir en arrière ». L’anonymisation peut aussi s’avérer très utile car à partir du moment où une donnée est anonyme, le règlement ne s’applique plus. Le système semble plébiscité dans les environnements hors production, dans le cadre d’un datalake par exemple, afin que les data scientists puissent utiliser ces données. « La pseudonymisation minimise le risque d’identification. Cette technique est déjà bien ancrée dans certaines pratiques métier, comme dans la banque notamment », explique Raphaël Brun, chez Wavestone.

Impact de la sécurité sur le SI

Dans les faits, ce sont des technologies qui semblent toutefois peu misent en œuvre. Les éditeurs spécialistes de la sécurité proposent en fait rarement ce genre d’outils, mais se tournent vers des techniques tierces comme la tokenisation. « C’est ce que nous faisons avec notre technologie CASB (Cloud Access Security Broker) », héritée du rachat de Blue Coat en 2016, précise Zoltan Prescsenyi, chez Symantec.

En revanche, tous les éditeurs ont un avis sur l’impact que peuvent engendrer ces techniques sur le système d’information. « Il n’est pas nécessaire de mettre du chiffrement partout », rappelle Zoltan Prescsenyi. Selon lui, si le texte fait référence au chiffrement, anonymisation et pseudonymisation, c’est avant tout une volonté des députés européens, dont la compréhension technique est toutefois limitée. « Il y a trois éléments de référence : l’état de l’art de la technologie, les coûts de mise en œuvre et les risques. C’est selon ce que l’entreprise choisit qu’il faudra qu’elle puisse justifier ses choix », ajoute-t-il. Quoi qu’il en soit, il faudra en passer par une analyse d’impact. Mais, actuellement, « tous les éditeurs proposent du chiffrement optimisé en termes de performance. Ça devrait rester assez transparent pour l’entreprise », ajoute Loïc Guézo de Trend Micro. En revanche, l’installation de nouvelles techniques mérite dans certains cas une analyse minutieuse. Si une entreprise choisit par exemple de supprimer certaines données dans le but de faire de la pseudonymisation, mais que la base de données est construite de telle manière que pour elle certaines données sont obligatoires, le système ne fonctionnera plus. « C’est aussi pourquoi nous co-construisons des solutions acceptables d’un point de vue réglementaire et technique, comme avec de la tokenisation irréversible, en conservant l’information », ajoute Raphaël Brun, chez Wavestone.

Ce que nous comprenons in fine, c’est que beaucoup d’entreprises tâtonnent encore sur le sujet de la sécurité. Plusieurs éditeurs nous rapportent discrètement que les technologies précédemment mentionnées suscitent un fort intérêt auprès des clients, mais que cette marque d’intérêt peine à se traduire en installation concrète. Une récente étude de Gartner montre que moins d’une entreprise sur deux sera entièrement prête d’ici à mai 2018, et ce, malgré les risques encourus. ❍



Pensez à la sécurisation des accès admins !

En marge du vaste sujet de la sécurité vis-à-vis du RGPD, un domaine est parfois oublié : les accès administrateurs. Si la majorité des entreprises ont déjà investi dans des solutions d’IAM et d’« assets management », ce n’est pas toujours le cas en matière de gestion des accès d’administration. Les pratiques en la matière sont assez disparates d’une entreprise à l’autre, mais la plupart du temps quelques personnes disposent de tous les accès ! De fait, les tâches réalisées par les administrateurs ne sont pas tracées et donc difficiles à contrôler. « Notre solution est capable de d’abord contrôler en amont afin de vérifier que l’utilisateur qui manipule les données à bien les droits, puis avec des outils de traçabilité nous sommes en mesure de faire remonter l’information », nous explique Jean-Christophe Vitu, directeur avant-vente chez CyberArk. La traçabilité ne peut en revanche pas garantir que toutes les données seront tracées tout le temps. « Ce que nous apportons, c’est la garantie du contrôle dans l’accès à cette donnée », précise-t-il encore. Le contrôle des accès est donc important, et CyberArk – comme d’autres – travaille surtout avec des infogéreurs à qui il fournit ses solutions ; un point important à examiner dans le cadre du RGPD si une entreprise cherche à externaliser et/ou migrer son IT vers le Cloud.


Danielle Cussen, directrice générale de Wizuda.

« Le RGPD encourage les entreprises à utiliser l’anonymisation et la pseudonymisation, mais aussi le principe de minimisation des données »

Wizuda est un système de transfert de fichiers « conforme au RGPD ». Pourquoi est-ce important ?

Il est critique pour les entreprises de savoir quelles données elles possèdent, où elles sont et où elles sont transférées afin de s’assurer qu’elles le soient de manière sécurisée. C’est le cas de Wizuda qui propose deux produits principaux, conformes au texte européen : Compliant File Sharing (CFS) and Compliant Data Transfer (CDT). Le premier est plutôt pour un usage interne et externe, le second pour le partage de fichiers gérés par l’IT dans le cas de documents confidentiels par exemple. Ces solutions sont un moyen de conserver une visibilité et un contrôle total en temps réel. Wizuda peut ainsi devenir soit un complément à un système de partage de fichiers, soit une solution à part entière, où qu’en soient les entreprises vis-à-vis de leur mise en conformité au RGPD.

Vous décrivez les outils Wizuda comme étant conformes « by design ». Qu’est-ce que cela signifie exactement ?

Nos deux produits sont effectivement conformes par défaut, dans la mesure où ils incluent des fonctionnalités comme l’audit complet des logs, des worflows des autorisations, les analyses d’impact, les outils d’anonymisation et de pseudonymisation mais aussi de minimisation des données, ainsi que des rapports qui peuvent être utilisés comme des preuves lors d’un audit de sécurité.

Quel niveau de sécurité et quels outils sont intégrés dans les solutions Wizuda ?

Nos outils de transfert de données utilisent les derniers standards et protocoles de sécurité. Les fichiers sont uniquement transférés de manière sécurisée via des protocoles comme SFTP ou HTTPS. Par ailleurs, nous assurons le chiffrement des données qu’elles soient en transit ou au repos. Dans ce dernier cas, nous utilisons des techniques et outils variés pour les chiffrer fichier par fichier, ou globalement au niveau d’un volume. Des fichiers unitaires peuvent aussi être chiffrés avec des outils comme PGP, bien que le chiffrement total du disque puisse aussi être utilisé pour protéger un volume plus important.

Comment fonctionnent vos solutions d’anonymisation et de pseudonymisation des données ?

Le RGPD encourage les entreprises à utiliser ces deux techniques, mais aussi le principe de minimisation des données. Cette dernière notion est nécessaire car le texte précise que l’entreprise doit être consciente de pourquoi elle envoie des données, pour quoi faire, qui y aura accès et finalement les envoyer uniquement si c’est nécessaire et ce à des fins légales et, le cas échéant, avec le consentement de la personne concernée. Nos outils proposent donc des techniques pour ces trois aspects de la sécurité : du « data masking » – par exemple 21/05/1999 devient ##/##/1999 –, du hachage de données qui est une fonction à sens unique pour remplacer la valeur d’entrée par un identifiant anonyme, du « blanking » de colonnes et de lignes dans les bases de données, du traitement des numéros avec plusieurs techniques d’arrondi sont par exemple disponibles, etc.

Print
2047

Name:
Email:
Subject:
Message:
x

News Mag-Securs
12345678

Retrouvez actualités, dossiers et communiqués sur la sécurité du système d'information sur le portail Mag-Securs

Offres d'emploi
RSS
12345678910Last

Lancez votre recherche sur notre rubrique Emploi avec notre partenaire