X
Privacy by design : comment le mettre en place
Alain Clapaud / lundi 13 novembre 2017 / Thèmes: Dossier, RGPD

Privacy by design : comment le mettre en place

Préparer la conformité RGPD en adoptant une approche globale de protection des données personnelles de bout en bout !

Face au phénomène récurrent des fuites massives de données, mais aussi au resserrement de la réglementation relative à la protection des données personnelles, les entreprises doivent aborder cette question sous un nouvel angle. Voici l’ère du « Privacy by design ».

Avec l’entrée en vigueur prochaine de la RGPD, la protection des données personnelles est au cœur des préoccupations des directions informatiques. Alarmées par le montant des amendes potentielles en cas de fuite des données ou de traitements non autorisés de données personnelles, les DSI doivent changer d’approche sécuritaire. En effet, protéger des données sensibles en activant le chiffrement de la base de données ou en ajoutant un WAF (Web Application Firewall) devant les serveurs concernés ne suffit pas, il est nécessaire d’adopter une approche bien plus globale et passer au « Privacy by Design ». Cette approche a été formalisée dès les années quatre-vingt-dix par Ann Cavoukian, commissaire à l’information et à la protection de la vie privée de l’Ontario. « Portée par la défense des libertés fondamentales de l’individu, Ann Cavoukian a imaginé le concept de Privacy by Design comme une démarche qui vise à assurer la protection de la vie privée », explique Alessandro Fiorentino, consultant en charge de l’offre Informatique et Libertés au sein de la pratique SI du cabinet Infhotep et ambassadeur du « Privacy by Design ». « À cette époque, la protection des données à caractère personnel n’était pas encore une notion synonyme d’enjeu économique. »

Le Privacy by Design se résume en sept grands concepts, mais, plutôt que de désigner des technologies à mettre en œuvre, il propose des PET (Privacy Enhancing Technologies). « Les PET sont à l’origine du principe de minimisation des données ; c’est sur la base de ce principe que s’est développé ce concept de Privacy by Design », ajoute Alessandro Fiorentino.

Parmi ces PET figurent bien évidement le chiffrement des données, la gestion des droits d’accès et le tagging des données, la mise en place de règles de développement des applications, des règles d’architecture des systèmes, jusqu’aux interfaces utilisateurs elles-mêmes. À chaque entreprise de définir sa stratégie de « Privacy by Design » et les PET à mettre en place pour l’implémenter.

Les 7 principes fondamentaux du « Privacy by design »

1. Prendre des mesures proactives et non réactives, des mesures préventives et non correctives.

2. Assurer une protection implicite de la vie privée.

3. Intégrer la protection de la vie privée dans la conception des systèmes et des pratiques.

4. Assurer une fonctionnalité intégrale selon un paradigme à somme positive et non à somme nulle.

5. Assurer la sécurité de bout en bout, pendant toute la période de conservation des renseignements.

6. Assurer la visibilité et la transparence.

7. Respecter la vie privée des utilisateurs.


Une protection des données dès la phase de développement

Pour les éditeurs de logiciel et les entreprises qui développent leurs propres logiciels métier, cette prise en compte de la protection de la donnée doit être intégrée dès les phases de conception des architectures applicatives et dès les phases de coding. « Il faut avant tout mener une réflexion au niveau de la conception, avec le choix de l’architecture la plus appropriée pour le type de données et d’usages prévus permettra de choisir les technologies de collecte et de stockage sécurisés », estime Mos Amokthari, directeur technique France de CA Technologies. Divers aspects du développement sont directement touchés par le Privacy by design. La chaîne d’intégration continue doit intégrer des briques de validation qui vont permettre de s’assurer que le code produit répond bien aux exigences définies en termes de protection des données. CAST, Veracode, HP, Microfocus proposent des logiciels d’analyse de code pour éliminer le risque qu’un pirate n’accède aux données au moyen d’une injection SQL, par exemple. « Plus de 80 % des brèches de sécurité sont actuellement découvertes au niveau applicatif », affirme Mos Amokthari. « Sans vouloir faire de généralisation, les développeurs ont une sensibilité à la sécurité du code relativement faible actuellement. Il est nécessaire de prévoir une sensibilisation et un accompagnement afin d’améliorer la connaissance globale des équipes sur les risques et les moyens de les éviter. »

Ce souci du Privacy by Design apparaît aussi dans les phases de test où il faut éviter d’utiliser des données de production directement pour valider les applications. Les jeux de tests doivent absolument être anonymisés, même lorsque les échantillons sont modestes. Les algorithmes de hash tels que Argon2, bcrypt ou encore pbkdf2 permettent aux développeurs de générer des jeux de test garantissant la confidentialité des données d’origine et il est aussi possible de générer des données par algorithme, via un outil dédié aux tests comme CA Test Data Manager. « Un autre point à surveiller est lorsque les données sont extraites de la production pour divers besoins, notamment les sauvegardes et tests. On se souvient par exemple qu’un des grandes fuites de données qui avait secoué Sony était due à des bandes de backup qui n’avaient pas été correctement détruites », ajoute Mos Amokthari. Fort de l’acquisition de Grid-Tools en 2015, CA Technologies est positionné sur ce marché des solutions de « virtualisation » des données, face notamment à Informatica, IBM, Oracle, Delphix, Compuware.

 

La démarche Privacy by Design renforce l'intérêt de solutions d'IMA (Identity and Access Management) telle que Oracle Identity Management.

Vers une montée en puissance des solutions de gestion des identités

La réglementation hausse la barre quant à la protection des données personnelles, mais demande aussi d’assurer une traçabilité complète. En cas de plainte d’un client ou de fuite de données avérée, il faut être capable de fournir une liste des accès et traitements qui ont été réalisés sur la donnée. La mise en œuvre d’une solution d’IAM (Identity and Access Management) telles que celle d’Atos/Evidian, SailPoint, Oracle, IBM peut simplifier cette démarche. « Nous permettons principalement aux entreprises de répondre aux questions suivantes : Qui a accès à quoi ? , et Que peut faire l’utilisateur avec cet accès ? » résume Juliette Rizkallah, Chief Marketing Officer chez SailPoint qui ajoute : « La gestion des identités et des accès est essentielle à l’organisation pour aider le personnel à générer de l’efficacité informatique, prévenir et atténuer les fuites des données et respecter l’ensemble des réglementations, notamment le RGPD. Nous proposons aux entreprises une plate-forme ouverte de gouvernance d’identités, une plate-forme compatible avec les infrastructures IT on-premise et cloud. »

 

Toutes les plates-formes IAM assurent une gestion des identités des utilisateurs sur les multiples applications on-premise et Saas et permettent de mettre en place des scénarios contextualisés avec des droits d’accès accordés aux employés en fonction de leur adresse IP, selon qu’ils sont dans les locaux de l’entreprise ou en situation de mobilité, en fonction aussi de l’heure de la journée. Elles offrent toutes des capacités d’audit et de reporting avancées, mais peuvent aussi alimenter les SIEM (Security Information and Event Management) avec leurs données de connexion. Couplées aux logs serveurs et aux données générées par les équipements réseau et les applications elles-mêmes, ces informations vont permettre aux analystes d’enquêter et d’identifier quels comptes ont pu accéder aux données incriminées dans une fuite de données, par exemple.

 

L'activité des comptes à privilèges est désormais surveillée via des solutions capables de générer des alarmes si ceux-ci ont une activité suspecte ou inhabituelle.

Une indispensable surveillance des comptes à privilèges

Si l’IAM renforce la traçabilité des accès au niveau de l’entreprise, il reste nécessaire d’accorder une attention toute particulière aux comptes à privilège, c’est-à-dire ceux des cadres dirigeants, administrateurs système et DBA en charge des infrastructures. La compromission de tels comptes est une épée de Damoclès pour les entreprises puisque avec l’accès à de tels comptes, un pirate peut potentiellement faire beaucoup de dégâts. De plus en plus d’éditeurs IAM nouent aujourd’hui des partenariats avec des éditeurs de solutions de gestion des accès à privilèges, ou PAM (Privileged Account Management) à l’image d’Atos qui s’est tourné vers l’Israélien CyberArk et le Français Wallix pour compléter son offre. Ce dernier propose une solution baptisée Bastion qui assure le contrôle et la traçabilité de l’ensemble des actions réalisées par les utilisateurs à privilèges dans le système d’information. « Les entreprises cherchent des solutions simples et “non intrusives” afin de mettre en œuvre une stratégie de Privacy par Design sur chaque nouveau projet et déploiement digital et notamment garantir un usage sécurisé des données confidentielles », explique Jean-Noël de Galzain, PDG de Wallix. « Le Bastion de Wallix sert à réduire les risques liés à un usage impropre des infrastructures critiques et des données à caractère personnel – fraude, fuite ou vol. En complément, un nouveau module de scan de réseaux informatiques pour découvrir les risques potentiels des comptes à privilèges et des mots de passe associés à une organisation. »

 

Face à Wallix, de nombreux éditeurs se sont positionnés sur ce marché de la gestion des accès à privilèges. Parmi eux, les Américains BeyondTrust, CA Technologies, Centrify, pour ne citer que les plus gros. Outre l’enregistrement des sessions, la mise en place de règles spécifiques quant à la gestion des mots de passe de ces utilisateurs, une telle plate-forme permet de mettre en place des alarmes temps réel sur l’utilisation de certaines commandes ou même sur un changement de comportement d’un utilisateur. L’analyse comportementale temps réel va ainsi permettre d’alerter un responsable si, tout à coup, un utilisateur lance des requêtes inhabituelles ou sauvegarde de grandes quantités de données sur un disque dur externe.

Le chiffrement, une brique clé du Privacy by Design

En parallèle de ces mesures d’audit et de surveillance, le chiffrement des données stockées dans les SGBD est devenu un impératif. Toutes les bases de données du marché implémentent aujourd’hui un chiffrement d’une base de données complète, d’une table ou d’une colonne pour certaines. Que ce soit le package DBMS_CRYPTO d’Oracle, le chiffrement de SQL Server ou encore MySQL Enterprise Encryption, de multiples algorithmes de chiffrement de puissance plus ou moins élevées sont proposés au DBA. Il est possible de chiffrer les données stockées sur disque et en mémoire, mais aussi signer des transactions. L’usage extensif du chiffrement des données se heurtent néanmoins au temps de calcul de ces traitements additionnels, notamment sur les systèmes transactionnels.

 

Tous les SGBD d'entreprises implémentent aujourd'hui des algorithmes de chiffrement, y compris les bases de données cloud telles que Azure SQL.

Pour le chiffrement des données comme pour le stockage des clés, il est possible de s’appuyer sur les extensions proposées par les éditeurs de SGBD, même les bases de données cloud en sont dotées aujourd’hui. Mais par soucis d’indépendance il est aussi possible de mettre en œuvre une solution de chiffrement externe. Avec ses offres SafeNet, Gemalto propose des logiciels de chiffrements tant pour la protection des applications, des bases de données, des serveurs de fichiers que des machines virtuelles Amazon, VMware et IBM SoftLayer. Jan Smets, DPO (Data Protection Officer) et responsable avant-ventes chez Gemalto souligne l’intérêt de cette approche : « Il ne suffit pas simplement de protéger les données lorsqu’elles sont stockées dans une base de données. L’objectif fixé doit être de protéger toutes les données, qu’elles soient en mouvement ou non, à partir du moment où vous recevez ces données, jusqu’au moment où vous devez détruire ces dernières lorsque vous n’en avez plus besoin. » Dans un tel contexte, le chiffrement des données au niveau du SGBD est nécessaire, mais loin d’être suffisant. « Tous ceux impliqués dans le processus de protection des données devraient avoir une visibilité sur le processus complet. Tous nos produits et solutions fournissent un moyen de protéger les identités, les données ou les clés de façon ouverte. La restriction est permanente, si vous n’êtes pas autorisé à y accéder, vous ne pouvez pas aller plus loin. De plus, toutes nos solutions fournissent des moyens de consigner de manière centralisée toutes les actions, de sorte qu’il est facile de vérifier par la suite : Qui a fait Quoi à Quelle heure. »

 

Des solutions existent aujourd'hui afin de s'assurer que les règles de confidentialité définies dans l'entreprise s'appliquent aussi pour les données stockées dans le Cloud, tant dans les services de stockage, de collaboration que dans les applications SaaS.

Intégrer les services cloud au Privacy by Design

L’essor du Cloud se traduit aussi par la montée en puissance de l’usage des applications Saas, or dans une démarche de Privacy by Design il faut intégrer ces ressources externes dans la politique de protection des données de l’entreprise. Selon une étude Osterman Research de 2016, 25 % des données stockées dans le Cloud par les entreprises étaient déjà considérées comme confidentielles et hautement sensibles ; un taux qui devrait monter à 29 % cette année. Avec des solutions de Casb (Cloud Access Security Broker), un RSSI peut découvrir quels sont les usages réels des services cloud dans son entreprise, éventuellement interdire ceux qui paraissent les moins sûrs. Des solutions telles Symantec CloudSOC Cloud Data Protection – issue de l’acquisition de BlueCoat –, Netskope, CipherCloud ou encore de Skyhigh Networks, permettent de protéger par chiffrement des données stockées sur des comptes Box, Dropbox, Google Drive, mais aussi celles qui sont saisies dans des applications Saas comme NetSuite, ServiceNow ou Saleforce.com. La tokenisation apporte une solution technique élégante aux entreprises qui souhaitent bénéficier des atouts du Cloud sans rien céder en termes de contrôle de la donnée. Placée en proxy entre les utilisateurs et le service Saas, la solution remplace les données sensibles par un jeton (token), un jeton qui fait référence à des données qui restent stockées en interne, dans le système d’information de l’entreprise. Précurseur du CASB en 2011, Skyhigh Networks met en avant le rôle de ce type de logiciels dans la protection des données sensibles. « Avant même de vouloir parler de protection de données, il est indispensable d’être en mesure de les localiser, le Cloud étant dorénavant une extension incontournable de l’IT des entreprises », résume Joël Mollo, directeur pour l’Europe du sud de Skyhigh Networks. « Nous accompagnons les entreprises dans leur cartographie applicative des Services Cloud, par la gestion des accès à ces différents services cloud, basée sur l’identification utilisateur, mais aussi sur le type de device utilisé et sa géolocalisation, le contrôle des informations échangées vers ces différents Services Cloud. On ne va ainsi permettre le stockage externe des données qu’après un scan préalable. » Un moteur de règles DLP (Data Loss Prevention) intégré à la solution Skyhigh permet de s’assurer que l’information peut être effectivement transférée sur un Cloud externe en fonction de la politique de sécurité de l’entreprise, son chiffrement pouvant être, le cas échéant, activé si une règle du DLP l’impose.

 

Il n’existe pas de solutions Privacy by Design proprement dites car, à l’instar de Raphaël Brun, chez Wavestone, les experts s’accordent à dire que le Privacy by Design est une démarche organisationnelle : « Le Privacy By Design est un processus qui vise à capter les projets en cours et s’assurer qu’ils prennent en compte les exigences du GDPR. Il est parfois nécessaire d’utiliser des outils techniques comme le chiffrement des données en base, l’anonymisation des données accessibles mais la méthode doit permettre de pointer vers les solutions existantes au sein de l’entreprise – notamment de nombreuses solutions déjà mises à disposition par le RSSI ou la DSI – ou d’identifier les éventuels manques. » Au DPO (Data Protection Officer) d’imaginer les processus compatibles GDPR de son entreprise, au DSI et au DOSI de trouver les solutions qui l’implémenteront. ❍


« Le « Privacy by Design » est avant tout une démarche »
Jean-François Louâpre, responsable Sécurité et membre du Cesin

 

« Le concept de Privacy by Design est une démarche, un processus, mais en aucun cas – contrairement à ce que voudrait nous faire croire certains fournisseurs – de la mise en œuvre de nouveaux outils. La mise en œuvre du concept de Privacy by Design implique, comme proposé par le RGDP, une analyse de risques et d’impact préalable. Celle-ci s’appuie sur l’identification des données personnelles à traiter et une analyse de risque sécurité du projet. En fonction du résultat de l’analyse d’impact, certaines procédures ou outils de protection des données peuvent être recommandés : anonymisation, pseudonimisation, chiffrement en transit et/ou en stockage… Il peut s’agir de procédures/outils complémentaires à ceux systématiquement installés pour protéger les données personnelles dans une démarche de Privacy by Default. Cette analyse d’impact devrait également permettre de réduire la collecte de données personnelles à celles effectivement nécessaires au traitement : on voit d’ailleurs apparaître des notions d’écologie des données. »


« La mise en œuvre d’une démarche Privacy by Design doit être transverse »
Alessandro Fiorentino, consultant, en charge de l’offre Informatique et Libertés au sein de la pratique SI du cabinet Infhotep, ambassadeur du Privacy by Design depuis mai 2013

 

« Sur le plan humain, le premier prérequis indispensable à la mise en œuvre optimale du Privacy by Design est le développement d’une culture « Privacy » au sein de l’organisme concerné. Il est impératif que l’ensemble de son personnel soit mobilisé à tous les niveaux hiérarchiques car lorsque l’on parle de protection de données à caractère personnel, chacun d’entre nous à un rôle à jouer ; les responsabilités de chacun doivent être clairement délimitées. Il n’y a pas de schéma organisationnel de gouvernance bon ou mauvais. Quelle que soit l’organisation envisagée, elle doit tenir compte et répondre à des spécificités structurelles de l’organisme. Cette gouvernance doit s’inscrire dans l’histoire et la propre culture de l’organisme. »


« Vers un GO Privacy en plus du GO Quality »
Sofiane Fedaoui, RSSI/CISO chez Vialink (Groupe BRED/BPCE)

 

« Le Privacy by Design a comme objectif d’assurer la protection de la vie privée des personnes avant qu’une nouveau logiciel ou une nouvelle technologie, parce qu’ils facilitent le traitement de données personnelles, n’entraînent de nombreuses violations de la vie privée des utilisateurs potentiels. La MOA (Métiers, Responsables fonctionnels) doit préciser et exiger le respect du plus haut niveau possible de protection des données. De son côté, la MOE (chefs de projet, chefs de produit) doit traduire cette exigence en l’intégrant à ces spécifications, la collaboration avec le CIL (Correspondant informatique et libertés) ou DPO (Data Protection Officer) est importante à ce niveau-là, le registre des traitements doit être systématiquement mis à jour par le CIL/DPO. La Direction R & D doit mettre en place les exigences et les contrôles exigés par la MOE. Le rôle de conseil du CIL/DPO est important à ce niveau-là également, le RSSI peut également être sollicité. Enfin, la QA (Quality Assurance) doit vérifier la mise en place des exigences spécifiées par la MOE, cette vérification doit être matérialisée par un “ GO Privacy ” en plus du “ GO Quality ” et éventuellement du “ GO Security ”. »

Print
2789
Tags:RGPDdev

Name:
Email:
Subject:
Message:
x
Rechercher dans les Dossiers
Actuellement à la Une...
Après le passage de 140 à 280 caractères, Twitter débride toujours plus ses services quitte à perdre encore un peu de son âme.

C’est désormais officiellement confirmé, la marque à la pomme va mettre la main sur les technologies de reconnaissance musicale de Shazam, laissant Spotify et Snap, eux-aussi candidats au rachat, sur le carreau.

Microsoft n’a pas encore d’ordinateur quantique, mais il propose déjà un kit de développement d’applications quantiques, reposant sur Q#, son nouveau langage de programmation dédié. Le kit embarque par ailleurs un simulateur de calcul quantique, simulant 30 qubits, pour remédier au manque de hardware à Redmond.

Quantum, le spécialiste de la gestion des données, rend disponible une solution Xcellis de Scale-out NAS prêt à faire face à toutes les tâches même les plus exigeantes pour un coût inférieur à 100 $/To.

Les 30 membres du CNNum sont désormais connus. Avec à sa tête l’entrepreneuse Marie Ekeland, la formation regroupe des acteurs de l’économie, des personnalités de la société civile et des chercheuses et chercheurs issus du monde académique.

L’outil, intégré notamment à Windows Defender, est censé protéger l’internaute des vils malwares qui traînent sur le Net et dans les messageries. Paradoxe qui serait cocasse s’il n’était pas aussi inquiétant, Malware Protection Engine était lui-même affligé d’une méchante faille simple à exploiter.

Depuis le 1er décembre, les loueurs touristiques sur Airbnb et autres plateformes en ligne sont tenus de s’enregistrer auprès des services de la Mairie. Mais force est de constater qu’à peine un cinquième des hébergeurs a procédé aux démarches nécessaires. La Ville met donc en demeure Airbnb et quatre de ses concurrents de retirer 1400 annonces illégales, sous peine de poursuites.

Après Siemens IT, Xerox ITO et Bull, l’ESN dirigée par l’ancien ministre Thierry Breton veut mettre la main sur le spécialiste de la carte à puce pour créer un leader de l’identité numérique et de la cybersécurité.

Le patron d’Orange n’y va pas par quatre chemins : la neutralité du net est à ses yeux un frein empêchant la mise en place d’infrastructures spécifiques aux « usages futurs d’Internet » tels que l’IoT ou l’automobile connectée. Ceux-ci nécessitent de « proposer des fonctionnalités, des puissances et des qualités de service différentes ». Il est donc urgent qu’on « laisse faire les opérateurs », considère Stéphane Richard.

Des contrats d’un mois sur le bitcoin, pour être tout à fait exact. Ce nouveau produit financier a été lancé dimanche par le Chicago Board Options Exchange. Le contrat a été marqué par une forte volatilité, obligeant la place de marché à stopper à deux reprises les échanges.

Toutes les News

LIVRES BLANCS

"L'entreprise numérique", un Livre Blanc IDC/Interxion.

Ce livre blanc présente les résultats d'une enquête menée auprès de plus de 750 entreprises européennes.

Vous y découvrirez l'approche adoptée par les leaders du numérique, combinant l’adoption des services Cloud avec une politique d’hébergement externalisé.  

  


La maintenance prédictive, pilier de la transformation digitale, un Livre Blanc Econocom.

LA MAINTENANCE IT, L’INVISIBLE PIERRE ANGULAIRE DE L’ENTREPRISE DIGITALE

La transformation digitale rebat les cartes de la performance des entreprises. Face à l’évolution simultanée des attentes des clients, des modèles économiques, des conditions de marché et des modes de travail, chaque métier doit revoir sa contribution aux trois axes qui conditionnent dorénavant la réussite: l’excellence opérationnelle, l’expérience utilisateurs et l’innovation métier.


CARTOGRAPHIE DU PAYSAGE DES RANSOMWARES, un Livre Blanc Fortinet.

Comprendre la portée et la sophistication de la menace.

Lorsque les cybermenaces sont multipliées par 35 en un an, chaque entreprise doit en tenir compte. C’est précisément le cas avec les ransomwares. Les hacktivistes ont ciblé des entreprises de pratiquement toutes les tailles et représentant une multitude de secteurs industriels dans le monde entier.


Comment moderniser ses centres de données, un Livre Blanc HPE.

La transformation numérique des entreprises crée de nouvelles contraintes sur les directions informatiques, en particulier pour les environnements de stockage. 

La croissance exponentielle des données, la virtualisation massive, l'évolution des charges de travail et la mise en place permanente de nouvelles applications (devops) obligent l'infrastructure de stockage informatique à évoluer. 


Repensez votre approche en matière de cybersécurité, un Livre Blanc Fortinet.

Pourquoi les leaders de la sécurité sont désormais contraints de faire face aux principales menaces de sécurité. 

Le paysage de cybermenace continue de croître et d’évoluer. Cybersecurity Ventures prévoit que la cybersécurité deviendra un business de mille milliards de dollars entre 2017 et 2021.


Tous les Livres Blancs