INFRA

Au- de­là des me­sures tech­niques, une nou­velle culture de la don­née per­son­nelle

L'Informaticien - - SOMMAIRE - ÉMILIEN ERCOLANI

RGPD & sécurité : au- de­là des me­sures tech­niques, une nou­velle culture de la don­née per­son­nelle

La sécurité fait par­tie in­té­grante du Rè­gle­ment gé­né­ral sur la pro­tec­tion des don­nées ( RGPD) et consti­tue même un socle sur le­quel il faut s’ap­puyer. Pour sim­pli­fier les choses, le texte fait même men­tion de tech­niques ex­pli­ci­te­ment dé­nom­mées, tel le chif­fre­ment, mais aus­si l’ano­ny­mi­sa­tion et la pseu­do­ny­mi­sa­tion. En re­vanche, comme sou­vent sur ce su­jet, il est aus­si et sur­tout ques­tion de gou­ver­nance et de pro­ces­sus, plu­tôt que de tech­nique pure.

Si vous li­sez at­ten­ti­ve­ment le texte du Rè­gle­ment gé­né­ral sur la pro­tec­tion des don­nées ( RGPD), vous vous ren­drez compte que la sécurité est om­ni­pré­sente, sou­vent en trame de fond. Il est ques­tion de pro­tec­tion des don­nées per­son­nelles bien en­ten­du, mais aus­si de ré­ac­tion, de sa­voir gé­rer une crise et y ré­agir conve­na­ble­ment, conte­nir une fuite de don­nées, etc. Rap­pe­lons à toutes fins utiles que si une fuite de don­nées concerne dix per­sonnes, il fau­dra les contac­ter pour les pré­ve­nir des risques en­cou­rus. Si le pé­ri­mètre porte sur un mil­lion de per­sonnes, même to­po ! C’est pour­quoi tous ces su­jets mis bout à bout consti­tuent le socle sé­cu­ri­taire du texte et c’est bien là la dif­fi­cul­té pre­mière : sa­voir ana­ly­ser et lire ce que de­mande pré­ci­sé­ment le rè­gle­ment qui, rap­pe­lons- le, en­tre­ra en vi­gueur en mai 2018.

Un peu de re­cul sur la sécurité

Sur ce su­jet de la sécurité, les grands comptes et très grandes en­tre­prises pro­fitent d’un avan­tage cru­cial sur les struc­tures plus mo­destes. Leurs investissements en ma­tière de sécurité, ou­tils et ma­té­riels vis- à- vis de di­rec­tives comme PCI DSS pour les banques ou sim­ple­ment sur la norme ISO 27001, suf­fisent am­ple­ment à cou­vrir tous les as­pects du texte. En re­vanche, c’est l’or­ga­ni­sa­tion qui de­vient un su­jet cen­tral : ca­rac­té­ri­sa­tion de la don­née, des ré­ac­tions, etc. Beau­coup de ces grandes ins­ti­tu­tions se sont cal­quées sur la di­rec­tive 95/ 46/ CE – re­la­tive à la pro­tec­tion des per­sonnes phy­siques à l’égard du trai­te­ment des don­nées

à ca­rac­tère per­son­nel et à la libre cir­cu­la­tion de ces don­nées – en ma­tière de confor­mi­té. Pour elles, le RGPD n’est qu’une ex­ten­sion, en termes de sécurité, bien qu’il étoffe la di­rec­tive de 1995 avec des no­tions nou­velles et no­tam­ment l’obli­ga­tion de no­ti­fi­ca­tion des in­ci­dents. Sur ce su­jet, le rè­gle­ment n’est pas en­core as­sez clair : le Eu­ro­pean Da­ta Pro­tec­tion Su­per­vi­sor tra­vaille d’ailleurs ac­tuel­le­ment sur des lignes di­rec­trices plus claires con­cer­nant les me­sures de sécurité et de no­ti­fi­ca­tion. « Cet or­ga­nisme est conscient que le texte n’est pas au­to­suf­fi­sant, et que plus de pré­ci­sions sont né­ces­saires » , rap­porte Zol­tan Presc­se­nyi, di­rec­teur des af­faires gou­ver­ne­men­tales EMEA chez Sy­man­tec et très au fait de ce qui se passe au ni­veau de l’Union Eu­ro­péenne. Ces pré­ci­sions ser vi­ront donc aux grands comptes, mais aus­si et sur­tout aux plus pe­tites en­tre­prises, PME/ ETI/ TPE. D’au­tant que, fi­na­le­ment, les dis­po­si­tions du RGPD ne sont vé­ri­ta­ble­ment connues que de­puis 18 mois en­vi­ron. « Il faut sur­tout leur rap­pe­ler que la sécurité re­couvre de nom­breux do­maines. Et qu’il faut consi­dé­rer tout ce­la comme une pre­mière prio­ri­té afin d’être en me­sure de ré­pondre aux nou­veaux

Le texte n’in­dique pas si les so­lu­tions uti­li­sées doivent être la­bel­li­sées d’une ma­nière ou d’une autre Diane Ram­bal­di­ni, du ca­bi­net de conseil Cros­sing Skills

droits des ci­toyens » , sou­ligne quant à lui Mi­chel La­nas­pèze, di­rec­teur mar­ke­ting Eu­rope de l’Ouest chez So­phos. Le chan­ge­ment est fon­da­men­tal dans le RGPD. Jus­qu’à au­jourd’hui l’en­tre­prise fai­sait tout pour pro­té­ger ses don­nées, qui sont de­ve­nues au fil des an­nées son pa­tri­moine, peut- être même son pre­mier pa­tri­moine. Mais le texte change ce re­gard sur la pro­tec­tion : il s’agit dé­sor­mais de pro­té­ger la don­née de l’uti­li­sa­teur, du client. C’est bien à l’en­tre­prise qu’in­combe cette charge. « Elle passe d’un mo­dèle où l’en­tre­prise est pro­prié­taire de la don­née, à un nou­veau mo­dèle où elle n’est que l’uti­li­sa­trice de ces don­nées. Il faut com­prendre que les gens confient des don­nées, et qu’elles n’en sont pas pro­prié­taires. Ce chan­ge­ment de pa­ra­digme est en cours de com­pré­hen­sion. C’est pour­quoi l’ac­com­pa­gne­ment pé­da­go­gique est es­sen­tiel » , ré­sume Ra­phaël Brun, Ma­na­ger en Risk Ma­na­ge­ment et Sécurité de l’in­for­ma­tion chez Wa­ves­tone. « La Cnil n’est plus un garde- fou, ren­ché­rit Diane Ram­bal­di­ni, du ca­bi­net de conseils Cros­sing Skills. Les en­tre­prises doivent dé­sor­mais sa­voir ce qu’elles font, et sur­tout se mettre à la place des gens dont elles uti­lisent les don­nées. C’est une nou­velle culture qui doit être in­car­née par les res­pon­sables de trai­te­ment, d’où l’es­sor de la no­tion de privacy by de­si­gn. » Ce chan­ge­ment de men­ta­li­té s’illustre d’ailleurs as­sez bien dans le dé­tail. Car, sur le ter­rain, les RSSI et autres res­pon­sables de la sécurité ne sont pas les in­ter­lo­cu­teurs prin­ci­paux, ni même les plus im­pli­qués. En re­vanche, les di­rec­teurs de la confor­mi­té, les res­pon­sables nu­mé­riques ou lé­gaux le sont beau­coup plus. Le su­jet va donc bien au- de­là des res­pon­sables de la sécurité, même s’il faut bien sou­vent pas­ser par l’im­plé­men­ta­tion d’ou­tils spé­ci­fiques.

Des so­lu­tions exis­tantes mais par­fois mal com­prises

Nous l’avons dit, l’ori­gi­na­li­té du texte du RGPD est d’in­tro­duire clai­re­ment des no­tions en ma­tière de sécurité et de pro­tec­tion de la don­née. Pas ques­tion de faire n’im­porte quoi ! En re­vanche, le champ est lais­sé libre pour ne pas bri­der les ca­pa­ci­tés créa­tives des en­tre­prises, de ceux qui ma­ni­pulent les don­nées ; ce se­rait contraire à l’es­sence du pro­jet. Le RGPD met le ho­là sur l’uti­li­sa­tion abu­sive des don­nées per­son­nelles par les en­tre­prises ou des tiers, c’est tout. Il n’in­ter­dit pas leur uti­li­sa­tion. Et pour ce­la, les tech­niques ex­po­sées ré­pondent aux in­ter­ro­ga­tions.

On passe d’un mo­dèle où l’en­tre­prise est pro­prié­taire de la don­née, à un nou­veau mo­dèle où elle n’est que l’uti­li­sa­trice de ces don­nées Ra­phaël Brun, ma­na­ger en Sécurité chez Wa­ves­tone

En pre­mier lieu, le terme chif­fre­ment re­vient quatre fois dans le texte. Il doit être uti­li­sé par « le res­pon­sable du trai­te­ment ou le sous- trai­tant » , le­quel doit éva­luer « les risques in­hé­rents au trai­te­ment et mettre en oeuvre des me­sures pour les at­té­nuer, telles que le chif­fre­ment » ( consi­dé­rant 83). L’atout de cette me­sure tech­nique qu’est le chif­fre­ment est d’abord qu’elle est dé­jà lar­ge­ment plé­bis­ci­tée par les en­tre­prises, qui peuvent être ra­pi­de­ment opé­ra­tion­nelles. Ce qui ne veut pas dire qu’une ré­flexion préa­lable ne doit pas être me­née : « On doit sa­voir ce que l’on chiffre, où et à quel mo­ment » , pré­vient Loïc Gué­zo, en charge de la cy­ber­sé­cu­ri­té chez Trend Mi­cro. « Nous dis­tin­guons trois cas d’usage : le chif­fre­ment de la don­née sto­ckée, de la don­née en mou­ve­ment – du ser­veur vers un poste de tra­vail – et de la don­née en cours de ma­ni­pu­la­tion pour des trai­te­ments. Si l’on constate par­fois du chif­fre­ment dynamique, le plus sou­vent les en­tre­prises mettent en place des sys­tèmes de chif­fre­ment de bout en bout » , ajoute- t- il. Par ailleurs, rap­pe­lons que le texte du RGPD n’évoque pas de chan­ge­ment tech­no­lo­gique dans la tech­nique de chif­fre­ment en elle- même. Un res­pect des stan­dards du mar­ché, que suivent re­li­gieu­se­ment les édi­teurs, est conforme. « Le texte n’in­dique pas non plus si les so­lu­tions uti­li­sées doivent être la­bel­li­sées d’une ma­nière ou d’une autre » , pré­cise Diane Ram­bal­di­ni ( Cros­sing Skills). Outre le chif­fre­ment, ano­ny­mi­sa­tion et pseu­do­ny­mi­sa­tion sont par­fois des no­tions plus com­plexes à sai­sir. Pour Mi­chel La­nas­pèze, chez So­phos, « L’ano­ny­mi­sa­tion est ir­ré­ver­sible. Il n’y a pas de re­tour en ar­rière pos­sible, contrai­re­ment à la pseu­do­ny­mi­sa­tion. Ce fut d’ailleurs un en­jeu dans la loi Ré­pu­blique Nu­mé­rique, afin que les don­nées soient ex­ploi­tables par les cher­cheurs. Donc, il s’agit de ne pas gar­der l’iden­ti­té de la per­sonne même si dans le cadre d’un tra­vail de re­cherche, on doit pou­voir re­ve­nir en ar­rière » . L’ano­ny­mi­sa­tion peut aus­si s’avé­rer très utile car à par­tir du mo­ment où une don­née est ano­nyme, le rè­gle­ment ne s’ap­plique plus. Le sys­tème semble plé­bis­ci­té dans les en­vi­ron­ne­ments hors pro­duc­tion, dans le cadre d’un da­ta­lake par exemple, afin que les da­ta scien­tists puissent uti­li­ser ces don­nées. « La pseu­do­ny­mi­sa­tion mi­ni­mise le risque d’iden­ti­fi­ca­tion. Cette tech­nique est dé­jà bien an­crée dans cer­taines pra­tiques mé­tier, comme dans la banque no­tam­ment » , ex­plique Ra­phaël Brun, chez Wa­ves­tone.

Im­pact de la sécurité sur le SI

Dans les faits, ce sont des tech­no­lo­gies qui semblent tou­te­fois peu misent en oeuvre. Les édi­teurs spé­cia­listes de la sécurité pro­posent en fait ra­re­ment ce genre d’ou­tils, mais se tournent vers des tech­niques tierces comme la to­ke­ni­sa­tion. « C’est ce que nous fai­sons avec notre tech­no­lo­gie CASB ( Cloud Ac­cess Se­cu­ri­ty Bro­ker) » , hé­ri­tée du ra­chat de Blue Coat en 2016, pré­cise Zol­tan Presc­se­nyi, chez Sy­man­tec. En re­vanche, tous les édi­teurs ont un avis sur l’im­pact que peuvent en­gen­drer ces tech­niques sur le sys­tème d’in­for­ma­tion. « Il n’est pas né­ces­saire de mettre du chif­fre­ment par­tout » , rap­pelle Zol­tan Presc­se­nyi. Se­lon lui, si le texte fait ré­fé­rence au chif­fre­ment, ano­ny­mi­sa­tion et pseu­do­ny­mi­sa­tion, c’est avant tout une vo­lon­té des dé­pu­tés eu­ro­péens, dont la com­pré­hen­sion tech­nique est tou­te­fois li­mi­tée. « Il y a trois élé­ments de ré­fé­rence : l’état de l’art de la tech­no­lo­gie, les coûts de mise en oeuvre et les risques. C’est se­lon ce que l’en­tre­prise choi­sit qu’il fau­dra qu’elle puisse jus­ti­fier ses choix » , ajoute- t- il. Quoi qu’il en soit, il fau­dra en pas­ser par une ana­lyse d’im­pact. Mais, ac­tuel­le­ment, « tous les édi­teurs pro­posent du chif­fre­ment op­ti­mi­sé en termes de per­for­mance. Ça de­vrait res­ter as­sez trans­pa­rent pour l’en­tre­prise » , ajoute Loïc Gué­zo de Trend Mi­cro. En re­vanche, l’ins­tal­la­tion de nou­velles tech­niques mé­rite dans cer­tains cas une ana­lyse mi­nu­tieuse. Si une en­tre­prise choi­sit par exemple de sup­pri­mer cer­taines don­nées dans le but de faire de la pseu­do­ny­mi­sa­tion, mais que la base de don­nées est construite de telle ma­nière que pour elle cer­taines don­nées sont obli­ga­toires, le sys­tème ne fonc­tion­ne­ra plus. « C’est aus­si pour­quoi nous co- construi­sons des so­lu­tions ac­cep­tables d’un point de vue ré­gle­men­taire et tech­nique,

comme avec de la to­ke­ni­sa­tion ir­ré­ver­sible, en conser­vant l’in­for­ma­tion » , ajoute Ra­phaël Brun, chez Wa­ves­tone. Ce que nous com­pre­nons in fine, c’est que beau­coup d’en­tre­prises tâ­tonnent en­core sur le su­jet de la sécurité. Plu­sieurs édi­teurs nous rap­portent dis­crè­te­ment que les tech­no­lo­gies pré­cé­dem­ment men­tion­nées sus­citent un fort in­té­rêt au­près des clients, mais que cette marque d’in­té­rêt peine à se tra­duire en ins­tal­la­tion concrète. Une ré­cente étude de Gart­ner montre que moins d’une en­tre­prise sur deux se­ra en­tiè­re­ment prête d’ici à mai 2018, et ce, mal­gré les risques en­cou­rus. ❍

Newspapers in French

Newspapers from France

© PressReader. All rights reserved.