X
RGPD et Sécurité
Emilien Ercolani / mardi 21 novembre 2017 / Thèmes: Dossier, RGPD

RGPD et Sécurité

Au-delà des mesures techniques, une nouvelle culture de la donnée personnelle

La sécurité fait partie intégrante du Règlement général sur la protection des données (RGPD) et constitue même un socle sur lequel il faut s’appuyer. Pour simplifier les choses, le texte fait même mention de techniques explicitement dénommées, tel le chiffrement, mais aussi l’anonymisation et la pseudonymisation. En revanche, comme souvent sur ce sujet, il est aussi et surtout question de gouvernance et de processus, plutôt que de technique pure.

Si vous lisez attentivement le texte du Règlement général sur la protection des données (RGPD), vous vous rendrez compte que la sécurité est omniprésente, souvent en trame de fond. Il est question de protection des données personnelles bien entendu, mais aussi de réaction, de savoir gérer une crise et y réagir convenablement, contenir une fuite de données, etc. Rappelons à toutes fins utiles que si une fuite de données concerne dix personnes, il faudra les contacter pour les prévenir des risques encourus. Si le périmètre porte sur un million de personnes, même topo ! C’est pourquoi tous ces sujets mis bout à bout constituent le socle sécuritaire du texte et c’est bien là la difficulté première : savoir analyser et lire ce que demande précisément le règlement qui, rappelons-le, entrera en vigueur en mai 2018.

Un peu de recul sur la sécurité

Sur ce sujet de la sécurité, les grands comptes et très grandes entreprises profitent d’un avantage crucial sur les structures plus modestes. Leurs investissements en matière de sécurité, outils et matériels vis-à-vis de directives comme PCI DSS pour les banques ou simplement sur la norme ISO 27001, suffisent amplement à couvrir tous les aspects du texte. En revanche, c’est l’organisation qui devient un sujet central : caractérisation de la donnée, des réactions, etc. Beaucoup de ces grandes institutions se sont calquées sur la directive 95/46/CE – relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données – en matière de conformité. Pour elles, le RGPD n’est qu’une extension, en termes de sécurité, bien qu’il étoffe la directive de 1995 avec des notions nouvelles et notamment l’obligation de notification des incidents. Sur ce sujet, le règlement n’est pas encore assez clair : le European Data Protection Supervisor travaille d’ailleurs actuellement sur des lignes directrices plus claires concernant les mesures de sécurité et de notification. « Cet organisme est conscient que le texte n’est pas autosuffisant, et que plus de précisions sont nécessaires », rapporte Zoltan Prescsenyi, directeur des affaires gouvernementales EMEA chez Symantec et très au fait de ce qui se passe au niveau de l’Union Européenne.

Ces précisions serviront donc aux grands comptes, mais aussi et surtout aux plus petites entreprises, PME/ETI/TPE. D’autant que, finalement, les dispositions du RGPD ne sont véritablement connues que depuis 18 mois environ. « Il faut surtout leur rappeler que la sécurité recouvre de nombreux domaines. Et qu’il faut considérer tout cela comme une première priorité afin d’être en mesure de répondre aux nouveaux droits des citoyens », souligne quant à lui Michel Lanaspèze, directeur marketing Europe de l’Ouest chez Sophos. Le changement est fondamental dans le RGPD. Jusqu’à aujourd’hui l’entreprise faisait tout pour protéger ses données, qui sont devenues au fil des années son patrimoine, peut-être même son premier patrimoine. Mais le texte change ce regard sur la protection : il s’agit désormais de protéger la donnée de l’utilisateur, du client. C’est bien à l’entreprise qu’incombe cette charge. « Elle passe d’un modèle où l’entreprise est propriétaire de la donnée, à un nouveau modèle où elle n’est que l’utilisatrice de ces données. Il faut comprendre que les gens confient des données, et qu’elles n’en sont pas propriétaires. Ce changement de paradigme est en cours de compréhension. C’est pourquoi l’accompagnement pédagogique est essentiel », résume Raphaël Brun, Manager en Risk Management et Sécurité de l’information chez Wavestone. « La Cnil n’est plus un garde-fou, renchérit Diane Rambaldini, du cabinet de conseils Crossing Skills. Les entreprises doivent désormais savoir ce qu’elles font, et surtout se mettre à la place des gens dont elles utilisent les données. C’est une nouvelle culture qui doit être incarnée par les responsables de traitement, d’où l’essor de la notion de privacy by design. » Ce changement de mentalité s’illustre d’ailleurs assez bien dans le détail. Car, sur le terrain, les RSSI et autres responsables de la sécurité ne sont pas les interlocuteurs principaux, ni même les plus impliqués. En revanche, les directeurs de la conformité, les responsables numériques ou légaux le sont beaucoup plus. Le sujet va donc bien au-delà des responsables de la sécurité, même s’il faut bien souvent passer par l’implémentation d’outils spécifiques.

Des solutions existantes mais parfois mal comprises

Nous l’avons dit, l’originalité du texte du RGPD est d’introduire clairement des notions en matière de sécurité et de protection de la donnée. Pas question de faire n’importe quoi ! En revanche, le champ est laissé libre pour ne pas brider les capacités créatives des entreprises, de ceux qui manipulent les données ; ce serait contraire à l’essence du projet. Le RGPD met le holà sur l’utilisation abusive des données personnelles par les entreprises ou des tiers, c’est tout. Il n’interdit pas leur utilisation. Et pour cela, les techniques exposées répondent aux interrogations.

En premier lieu, le terme chiffrement revient quatre fois dans le texte. Il doit être utilisé par « le responsable du traitement ou le sous-traitant », lequel doit évaluer « les risques inhérents au traitement et mettre en œuvre des mesures pour les atténuer, telles que le chiffrement » (considérant 83). L’atout de cette mesure technique qu’est le chiffrement est d’abord qu’elle est déjà largement plébiscitée par les entreprises, qui peuvent être rapidement opérationnelles. Ce qui ne veut pas dire qu’une réflexion préalable ne doit pas être menée : « On doit savoir ce que l’on chiffre, où et à quel moment », prévient Loïc Guézo, en charge de la cybersécurité chez Trend Micro. « Nous distinguons trois cas d’usage : le chiffrement de la donnée stockée, de la donnée en mouvement – du serveur vers un poste de travail – et de la donnée en cours de manipulation pour des traitements. Si l’on constate parfois du chiffrement dynamique, le plus souvent les entreprises mettent en place des systèmes de chiffrement de bout en bout », ajoute-t-il. Par ailleurs, rappelons que le texte du RGPD n’évoque pas de changement technologique dans la technique de chiffrement en elle-même. Un respect des standards du marché, que suivent religieusement les éditeurs, est conforme. « Le texte n’indique pas non plus si les solutions utilisées doivent être labellisées d’une manière ou d’une autre », précise Diane Rambaldini (Crossing Skills).

Outre le chiffrement, anonymisation et pseudonymisation sont parfois des notions plus complexes à saisir. Pour Michel Lanaspèze, chez Sophos, « l’anonymisation est irréversible. Il n’y a pas de retour en arrière possible, contrairement à la pseudonymisation. Ce fut d’ailleurs un enjeu dans la loi République Numérique, afin que les données soient exploitables par les chercheurs. Donc, il s’agit de ne pas garder l’identité de la personne même si dans le cadre d’un travail de recherche, on doit pouvoir revenir en arrière ». L’anonymisation peut aussi s’avérer très utile car à partir du moment où une donnée est anonyme, le règlement ne s’applique plus. Le système semble plébiscité dans les environnements hors production, dans le cadre d’un datalake par exemple, afin que les data scientists puissent utiliser ces données. « La pseudonymisation minimise le risque d’identification. Cette technique est déjà bien ancrée dans certaines pratiques métier, comme dans la banque notamment », explique Raphaël Brun, chez Wavestone.

Impact de la sécurité sur le SI

Dans les faits, ce sont des technologies qui semblent toutefois peu misent en œuvre. Les éditeurs spécialistes de la sécurité proposent en fait rarement ce genre d’outils, mais se tournent vers des techniques tierces comme la tokenisation. « C’est ce que nous faisons avec notre technologie CASB (Cloud Access Security Broker) », héritée du rachat de Blue Coat en 2016, précise Zoltan Prescsenyi, chez Symantec.

En revanche, tous les éditeurs ont un avis sur l’impact que peuvent engendrer ces techniques sur le système d’information. « Il n’est pas nécessaire de mettre du chiffrement partout », rappelle Zoltan Prescsenyi. Selon lui, si le texte fait référence au chiffrement, anonymisation et pseudonymisation, c’est avant tout une volonté des députés européens, dont la compréhension technique est toutefois limitée. « Il y a trois éléments de référence : l’état de l’art de la technologie, les coûts de mise en œuvre et les risques. C’est selon ce que l’entreprise choisit qu’il faudra qu’elle puisse justifier ses choix », ajoute-t-il. Quoi qu’il en soit, il faudra en passer par une analyse d’impact. Mais, actuellement, « tous les éditeurs proposent du chiffrement optimisé en termes de performance. Ça devrait rester assez transparent pour l’entreprise », ajoute Loïc Guézo de Trend Micro. En revanche, l’installation de nouvelles techniques mérite dans certains cas une analyse minutieuse. Si une entreprise choisit par exemple de supprimer certaines données dans le but de faire de la pseudonymisation, mais que la base de données est construite de telle manière que pour elle certaines données sont obligatoires, le système ne fonctionnera plus. « C’est aussi pourquoi nous co-construisons des solutions acceptables d’un point de vue réglementaire et technique, comme avec de la tokenisation irréversible, en conservant l’information », ajoute Raphaël Brun, chez Wavestone.

Ce que nous comprenons in fine, c’est que beaucoup d’entreprises tâtonnent encore sur le sujet de la sécurité. Plusieurs éditeurs nous rapportent discrètement que les technologies précédemment mentionnées suscitent un fort intérêt auprès des clients, mais que cette marque d’intérêt peine à se traduire en installation concrète. Une récente étude de Gartner montre que moins d’une entreprise sur deux sera entièrement prête d’ici à mai 2018, et ce, malgré les risques encourus. ❍



Pensez à la sécurisation des accès admins !

En marge du vaste sujet de la sécurité vis-à-vis du RGPD, un domaine est parfois oublié : les accès administrateurs. Si la majorité des entreprises ont déjà investi dans des solutions d’IAM et d’« assets management », ce n’est pas toujours le cas en matière de gestion des accès d’administration. Les pratiques en la matière sont assez disparates d’une entreprise à l’autre, mais la plupart du temps quelques personnes disposent de tous les accès ! De fait, les tâches réalisées par les administrateurs ne sont pas tracées et donc difficiles à contrôler. « Notre solution est capable de d’abord contrôler en amont afin de vérifier que l’utilisateur qui manipule les données à bien les droits, puis avec des outils de traçabilité nous sommes en mesure de faire remonter l’information », nous explique Jean-Christophe Vitu, directeur avant-vente chez CyberArk. La traçabilité ne peut en revanche pas garantir que toutes les données seront tracées tout le temps. « Ce que nous apportons, c’est la garantie du contrôle dans l’accès à cette donnée », précise-t-il encore. Le contrôle des accès est donc important, et CyberArk – comme d’autres – travaille surtout avec des infogéreurs à qui il fournit ses solutions ; un point important à examiner dans le cadre du RGPD si une entreprise cherche à externaliser et/ou migrer son IT vers le Cloud.


Danielle Cussen, directrice générale de Wizuda.

« Le RGPD encourage les entreprises à utiliser l’anonymisation et la pseudonymisation, mais aussi le principe de minimisation des données »

Wizuda est un système de transfert de fichiers « conforme au RGPD ». Pourquoi est-ce important ?

Il est critique pour les entreprises de savoir quelles données elles possèdent, où elles sont et où elles sont transférées afin de s’assurer qu’elles le soient de manière sécurisée. C’est le cas de Wizuda qui propose deux produits principaux, conformes au texte européen : Compliant File Sharing (CFS) and Compliant Data Transfer (CDT). Le premier est plutôt pour un usage interne et externe, le second pour le partage de fichiers gérés par l’IT dans le cas de documents confidentiels par exemple. Ces solutions sont un moyen de conserver une visibilité et un contrôle total en temps réel. Wizuda peut ainsi devenir soit un complément à un système de partage de fichiers, soit une solution à part entière, où qu’en soient les entreprises vis-à-vis de leur mise en conformité au RGPD.

Vous décrivez les outils Wizuda comme étant conformes « by design ». Qu’est-ce que cela signifie exactement ?

Nos deux produits sont effectivement conformes par défaut, dans la mesure où ils incluent des fonctionnalités comme l’audit complet des logs, des worflows des autorisations, les analyses d’impact, les outils d’anonymisation et de pseudonymisation mais aussi de minimisation des données, ainsi que des rapports qui peuvent être utilisés comme des preuves lors d’un audit de sécurité.

Quel niveau de sécurité et quels outils sont intégrés dans les solutions Wizuda ?

Nos outils de transfert de données utilisent les derniers standards et protocoles de sécurité. Les fichiers sont uniquement transférés de manière sécurisée via des protocoles comme SFTP ou HTTPS. Par ailleurs, nous assurons le chiffrement des données qu’elles soient en transit ou au repos. Dans ce dernier cas, nous utilisons des techniques et outils variés pour les chiffrer fichier par fichier, ou globalement au niveau d’un volume. Des fichiers unitaires peuvent aussi être chiffrés avec des outils comme PGP, bien que le chiffrement total du disque puisse aussi être utilisé pour protéger un volume plus important.

Comment fonctionnent vos solutions d’anonymisation et de pseudonymisation des données ?

Le RGPD encourage les entreprises à utiliser ces deux techniques, mais aussi le principe de minimisation des données. Cette dernière notion est nécessaire car le texte précise que l’entreprise doit être consciente de pourquoi elle envoie des données, pour quoi faire, qui y aura accès et finalement les envoyer uniquement si c’est nécessaire et ce à des fins légales et, le cas échéant, avec le consentement de la personne concernée. Nos outils proposent donc des techniques pour ces trois aspects de la sécurité : du « data masking » – par exemple 21/05/1999 devient ##/##/1999 –, du hachage de données qui est une fonction à sens unique pour remplacer la valeur d’entrée par un identifiant anonyme, du « blanking » de colonnes et de lignes dans les bases de données, du traitement des numéros avec plusieurs techniques d’arrondi sont par exemple disponibles, etc.

Print
1977

Name:
Email:
Subject:
Message:
x
Rechercher dans les Dossiers
Actuellement à la Une...
Le patron d’Orange n’y va pas par quatre chemins : la neutralité du net est à ses yeux un frein empêchant la mise en place d’infrastructures spécifiques aux « usages futurs d’Internet » tels que l’IoT ou l’automobile connectée. Ceux-ci nécessitent de « proposer des fonctionnalités, des puissances et des qualités de service différentes ». Il est donc urgent qu’on « laisse faire les opérateurs », considère Stéphane Richard.

Des contrats d’un mois sur le bitcoin, pour être tout à fait exact. Ce nouveau produit financier a été lancé dimanche par le Chicago Board Options Exchange. Le contrat a été marqué par une forte volatilité, obligeant la place de marché à stopper à deux reprises les échanges.

Après des années de relation compliquée, DRH et DSI auraient trouvé le chemin de la paix et de la collaboration. Les projets de transformation numérique rendent leur coopération incontournable et les solutions RH en mode SaaS ont simplifié la relation. Mais il reste encore beaucoup à faire. Article paru dans L'Informaticien n°162.

Le célèbre service de reconnaissance musicale pourrait prochainement tomber dans le giron d’Apple, qui en profitera pour renforcer ses propres services, Apple Music en tête. Mais alors que Shazam faisait partie des licornes, la marque à la pomme ne propose que 400 millions de dollars.

IXSystems est un des derniers constructeurs de hardware aux USA. Depuis ses débuts dans les années 90, l’entreprise mise sur l’Open Source. Elle propose des serveurs et des solutions de stockage s’appuyant sur des logiciels Open Source comme FreeNAS ou TrueNAS.

L’Australian Securities Exchange a annoncé faire le choix de la blockchain pour sa future solution de gestion des opérations financières. Le nouveau système permettra principalement de réduire les coûts de transactions et de simplifier celles-ci. Son déploiement ne devrait pas être amorcé avant mi-2018.

Les deux géants de la musique en ligne viennent d’annoncer un échange de participation croisée, chacun entrant au capital de l’autre. Un pas de plus vers l’introduction de Spotify en bourse : adossée au tout-puissant Tencent, cette alliance est de nature à rassurer les investisseurs.

Donnez un peu de votre intelligence à la mission sur l’intelligence artificielle ! Mercredi, Cédric Villani a officiellement lancé la plateforme destinée à recueillir les idées et opinions des citoyens sur l’IA. La consultation se terminera le 6 janvier et aboutira à un rapport final remis fin janvier.

Facebook Workplace a su profiter de sa ressemblance avec le Facebook classique pour attirer les entreprises : son interface ne risquait pas de perturber des salariés déjà habitués au réseau social. Le RSE compte déjà 14 000 entreprises utilisatrices. En France, Raja et Century 21 ont fait partie des bêta-testeurs : ils nous narrent leur expérience. Article paru dans L'Informaticien n°162.

La Commission a répondu au projet de règlementation du marché de la fibre préparé par l’Arcep. L’instance européenne se dit inquiète de la position dominante d’Orange sur le FTTH et souligne que les engagements pris par l’opérateur devant l’Arcep ne sont pas suffisants.

Toutes les News

LIVRES BLANCS

"L'entreprise numérique", un Livre Blanc IDC/Interxion.

Ce livre blanc présente les résultats d'une enquête menée auprès de plus de 750 entreprises européennes.

Vous y découvrirez l'approche adoptée par les leaders du numérique, combinant l’adoption des services Cloud avec une politique d’hébergement externalisé.  

  


La maintenance prédictive, pilier de la transformation digitale, un Livre Blanc Econocom.

LA MAINTENANCE IT, L’INVISIBLE PIERRE ANGULAIRE DE L’ENTREPRISE DIGITALE

La transformation digitale rebat les cartes de la performance des entreprises. Face à l’évolution simultanée des attentes des clients, des modèles économiques, des conditions de marché et des modes de travail, chaque métier doit revoir sa contribution aux trois axes qui conditionnent dorénavant la réussite: l’excellence opérationnelle, l’expérience utilisateurs et l’innovation métier.


CARTOGRAPHIE DU PAYSAGE DES RANSOMWARES, un Livre Blanc Fortinet.

Comprendre la portée et la sophistication de la menace.

Lorsque les cybermenaces sont multipliées par 35 en un an, chaque entreprise doit en tenir compte. C’est précisément le cas avec les ransomwares. Les hacktivistes ont ciblé des entreprises de pratiquement toutes les tailles et représentant une multitude de secteurs industriels dans le monde entier.


Comment moderniser ses centres de données, un Livre Blanc HPE.

La transformation numérique des entreprises crée de nouvelles contraintes sur les directions informatiques, en particulier pour les environnements de stockage. 

La croissance exponentielle des données, la virtualisation massive, l'évolution des charges de travail et la mise en place permanente de nouvelles applications (devops) obligent l'infrastructure de stockage informatique à évoluer. 


Repensez votre approche en matière de cybersécurité, un Livre Blanc Fortinet.

Pourquoi les leaders de la sécurité sont désormais contraints de faire face aux principales menaces de sécurité. 

Le paysage de cybermenace continue de croître et d’évoluer. Cybersecurity Ventures prévoit que la cybersécurité deviendra un business de mille milliards de dollars entre 2017 et 2021.


Tous les Livres Blancs