INFRA
Au- delà des mesures techniques, une nouvelle culture de la donnée personnelle
RGPD & sécurité : au- delà des mesures techniques, une nouvelle culture de la donnée personnelle
La sécurité fait partie intégrante du Règlement général sur la protection des données ( RGPD) et constitue même un socle sur lequel il faut s’appuyer. Pour simplifier les choses, le texte fait même mention de techniques explicitement dénommées, tel le chiffrement, mais aussi l’anonymisation et la pseudonymisation. En revanche, comme souvent sur ce sujet, il est aussi et surtout question de gouvernance et de processus, plutôt que de technique pure.
Si vous lisez attentivement le texte du Règlement général sur la protection des données ( RGPD), vous vous rendrez compte que la sécurité est omniprésente, souvent en trame de fond. Il est question de protection des données personnelles bien entendu, mais aussi de réaction, de savoir gérer une crise et y réagir convenablement, contenir une fuite de données, etc. Rappelons à toutes fins utiles que si une fuite de données concerne dix personnes, il faudra les contacter pour les prévenir des risques encourus. Si le périmètre porte sur un million de personnes, même topo ! C’est pourquoi tous ces sujets mis bout à bout constituent le socle sécuritaire du texte et c’est bien là la difficulté première : savoir analyser et lire ce que demande précisément le règlement qui, rappelons- le, entrera en vigueur en mai 2018.
Un peu de recul sur la sécurité
Sur ce sujet de la sécurité, les grands comptes et très grandes entreprises profitent d’un avantage crucial sur les structures plus modestes. Leurs investissements en matière de sécurité, outils et matériels vis- à- vis de directives comme PCI DSS pour les banques ou simplement sur la norme ISO 27001, suffisent amplement à couvrir tous les aspects du texte. En revanche, c’est l’organisation qui devient un sujet central : caractérisation de la donnée, des réactions, etc. Beaucoup de ces grandes institutions se sont calquées sur la directive 95/ 46/ CE – relative à la protection des personnes physiques à l’égard du traitement des données
à caractère personnel et à la libre circulation de ces données – en matière de conformité. Pour elles, le RGPD n’est qu’une extension, en termes de sécurité, bien qu’il étoffe la directive de 1995 avec des notions nouvelles et notamment l’obligation de notification des incidents. Sur ce sujet, le règlement n’est pas encore assez clair : le European Data Protection Supervisor travaille d’ailleurs actuellement sur des lignes directrices plus claires concernant les mesures de sécurité et de notification. « Cet organisme est conscient que le texte n’est pas autosuffisant, et que plus de précisions sont nécessaires » , rapporte Zoltan Prescsenyi, directeur des affaires gouvernementales EMEA chez Symantec et très au fait de ce qui se passe au niveau de l’Union Européenne. Ces précisions ser viront donc aux grands comptes, mais aussi et surtout aux plus petites entreprises, PME/ ETI/ TPE. D’autant que, finalement, les dispositions du RGPD ne sont véritablement connues que depuis 18 mois environ. « Il faut surtout leur rappeler que la sécurité recouvre de nombreux domaines. Et qu’il faut considérer tout cela comme une première priorité afin d’être en mesure de répondre aux nouveaux
Le texte n’indique pas si les solutions utilisées doivent être labellisées d’une manière ou d’une autre Diane Rambaldini, du cabinet de conseil Crossing Skills
droits des citoyens » , souligne quant à lui Michel Lanaspèze, directeur marketing Europe de l’Ouest chez Sophos. Le changement est fondamental dans le RGPD. Jusqu’à aujourd’hui l’entreprise faisait tout pour protéger ses données, qui sont devenues au fil des années son patrimoine, peut- être même son premier patrimoine. Mais le texte change ce regard sur la protection : il s’agit désormais de protéger la donnée de l’utilisateur, du client. C’est bien à l’entreprise qu’incombe cette charge. « Elle passe d’un modèle où l’entreprise est propriétaire de la donnée, à un nouveau modèle où elle n’est que l’utilisatrice de ces données. Il faut comprendre que les gens confient des données, et qu’elles n’en sont pas propriétaires. Ce changement de paradigme est en cours de compréhension. C’est pourquoi l’accompagnement pédagogique est essentiel » , résume Raphaël Brun, Manager en Risk Management et Sécurité de l’information chez Wavestone. « La Cnil n’est plus un garde- fou, renchérit Diane Rambaldini, du cabinet de conseils Crossing Skills. Les entreprises doivent désormais savoir ce qu’elles font, et surtout se mettre à la place des gens dont elles utilisent les données. C’est une nouvelle culture qui doit être incarnée par les responsables de traitement, d’où l’essor de la notion de privacy by design. » Ce changement de mentalité s’illustre d’ailleurs assez bien dans le détail. Car, sur le terrain, les RSSI et autres responsables de la sécurité ne sont pas les interlocuteurs principaux, ni même les plus impliqués. En revanche, les directeurs de la conformité, les responsables numériques ou légaux le sont beaucoup plus. Le sujet va donc bien au- delà des responsables de la sécurité, même s’il faut bien souvent passer par l’implémentation d’outils spécifiques.
Des solutions existantes mais parfois mal comprises
Nous l’avons dit, l’originalité du texte du RGPD est d’introduire clairement des notions en matière de sécurité et de protection de la donnée. Pas question de faire n’importe quoi ! En revanche, le champ est laissé libre pour ne pas brider les capacités créatives des entreprises, de ceux qui manipulent les données ; ce serait contraire à l’essence du projet. Le RGPD met le holà sur l’utilisation abusive des données personnelles par les entreprises ou des tiers, c’est tout. Il n’interdit pas leur utilisation. Et pour cela, les techniques exposées répondent aux interrogations.
On passe d’un modèle où l’entreprise est propriétaire de la donnée, à un nouveau modèle où elle n’est que l’utilisatrice de ces données Raphaël Brun, manager en Sécurité chez Wavestone
En premier lieu, le terme chiffrement revient quatre fois dans le texte. Il doit être utilisé par « le responsable du traitement ou le sous- traitant » , lequel doit évaluer « les risques inhérents au traitement et mettre en oeuvre des mesures pour les atténuer, telles que le chiffrement » ( considérant 83). L’atout de cette mesure technique qu’est le chiffrement est d’abord qu’elle est déjà largement plébiscitée par les entreprises, qui peuvent être rapidement opérationnelles. Ce qui ne veut pas dire qu’une réflexion préalable ne doit pas être menée : « On doit savoir ce que l’on chiffre, où et à quel moment » , prévient Loïc Guézo, en charge de la cybersécurité chez Trend Micro. « Nous distinguons trois cas d’usage : le chiffrement de la donnée stockée, de la donnée en mouvement – du serveur vers un poste de travail – et de la donnée en cours de manipulation pour des traitements. Si l’on constate parfois du chiffrement dynamique, le plus souvent les entreprises mettent en place des systèmes de chiffrement de bout en bout » , ajoute- t- il. Par ailleurs, rappelons que le texte du RGPD n’évoque pas de changement technologique dans la technique de chiffrement en elle- même. Un respect des standards du marché, que suivent religieusement les éditeurs, est conforme. « Le texte n’indique pas non plus si les solutions utilisées doivent être labellisées d’une manière ou d’une autre » , précise Diane Rambaldini ( Crossing Skills). Outre le chiffrement, anonymisation et pseudonymisation sont parfois des notions plus complexes à saisir. Pour Michel Lanaspèze, chez Sophos, « L’anonymisation est irréversible. Il n’y a pas de retour en arrière possible, contrairement à la pseudonymisation. Ce fut d’ailleurs un enjeu dans la loi République Numérique, afin que les données soient exploitables par les chercheurs. Donc, il s’agit de ne pas garder l’identité de la personne même si dans le cadre d’un travail de recherche, on doit pouvoir revenir en arrière » . L’anonymisation peut aussi s’avérer très utile car à partir du moment où une donnée est anonyme, le règlement ne s’applique plus. Le système semble plébiscité dans les environnements hors production, dans le cadre d’un datalake par exemple, afin que les data scientists puissent utiliser ces données. « La pseudonymisation minimise le risque d’identification. Cette technique est déjà bien ancrée dans certaines pratiques métier, comme dans la banque notamment » , explique Raphaël Brun, chez Wavestone.
Impact de la sécurité sur le SI
Dans les faits, ce sont des technologies qui semblent toutefois peu misent en oeuvre. Les éditeurs spécialistes de la sécurité proposent en fait rarement ce genre d’outils, mais se tournent vers des techniques tierces comme la tokenisation. « C’est ce que nous faisons avec notre technologie CASB ( Cloud Access Security Broker) » , héritée du rachat de Blue Coat en 2016, précise Zoltan Prescsenyi, chez Symantec. En revanche, tous les éditeurs ont un avis sur l’impact que peuvent engendrer ces techniques sur le système d’information. « Il n’est pas nécessaire de mettre du chiffrement partout » , rappelle Zoltan Prescsenyi. Selon lui, si le texte fait référence au chiffrement, anonymisation et pseudonymisation, c’est avant tout une volonté des députés européens, dont la compréhension technique est toutefois limitée. « Il y a trois éléments de référence : l’état de l’art de la technologie, les coûts de mise en oeuvre et les risques. C’est selon ce que l’entreprise choisit qu’il faudra qu’elle puisse justifier ses choix » , ajoute- t- il. Quoi qu’il en soit, il faudra en passer par une analyse d’impact. Mais, actuellement, « tous les éditeurs proposent du chiffrement optimisé en termes de performance. Ça devrait rester assez transparent pour l’entreprise » , ajoute Loïc Guézo de Trend Micro. En revanche, l’installation de nouvelles techniques mérite dans certains cas une analyse minutieuse. Si une entreprise choisit par exemple de supprimer certaines données dans le but de faire de la pseudonymisation, mais que la base de données est construite de telle manière que pour elle certaines données sont obligatoires, le système ne fonctionnera plus. « C’est aussi pourquoi nous co- construisons des solutions acceptables d’un point de vue réglementaire et technique,
comme avec de la tokenisation irréversible, en conservant l’information » , ajoute Raphaël Brun, chez Wavestone. Ce que nous comprenons in fine, c’est que beaucoup d’entreprises tâtonnent encore sur le sujet de la sécurité. Plusieurs éditeurs nous rapportent discrètement que les technologies précédemment mentionnées suscitent un fort intérêt auprès des clients, mais que cette marque d’intérêt peine à se traduire en installation concrète. Une récente étude de Gartner montre que moins d’une entreprise sur deux sera entièrement prête d’ici à mai 2018, et ce, malgré les risques encourus. ❍