DOSSIER
FACE AU PHÉNOMÈNE RÉCURRENT DES FUITES MASSIVES DE DONNÉES, MAIS AUSSI AU RESSERREMENT DE LA RÉGLEMENTATION RELATIVE À LA PROTECTION DES DONNÉES PERSONNELLES, LES ENTREPRISES DOIVENT ABORDER CETTE QUESTION SOUS UN NOUVEL ANGLE. VOICI L’ÈRE DU « PRIVACY BY
Privacy by design : comment le mettre en place
Avec l’entrée en vigueur prochaine de la RGPD, la protection des données personnelles est au coeur des préoccupations des directions informatiques. Alarmées par le montant des amendes potentielles en cas de fuite des données ou de traitements non autorisés de données personnelles, les DSI doivent changer d’approche sécuritaire. En effet, protéger des données sensibles en activant le chiffrement de la base de données ou en ajoutant un WAF ( Web Application Firewall) devant les serveurs concernés ne suffit pas, il est nécessaire d’adopter une approche bien plus globale et passer au « Privacy by Design » . Cette approche a été formalisée dès les années quatre- vingt- dix par Ann Cavoukian, commissaire à l’information et à la protection de la vie privée de l’Ontario. « Portée par la défense des libertés fondamentales de l’individu, Ann Cavoukian a imaginé le concept de Privacy by Design comme une démarche qui vise à assurer la protection de la vie privée » , explique Alessandro Fiorentino, consultant en charge de l’offre Informatique et Libertés au sein de la pratique SI du cabinet Infhotep et ambassadeur du « Privacy by Design » . « À cette époque, la protection des données à caractère personnel n’était pas encore une notion synonyme d’enjeu économique. » Le Privacy by Design se résume en sept grands concepts, mais, plutôt que de désigner des technologies à mettre en oeuvre, il propose des PET ( Privacy Enhancing Technologies). « Les PET sont à l’origine du principe de minimisation des données ; c’est sur la base de ce principe que s’est développé ce concept de Privacy by Design » , ajoute Alessandro Fiorentino. Parmi ces
« Toute entreprise, peu importe sa taille, doit prendre en considération la confidentialité. Vous gagnerez un avantage sur le marché » Jan Smets, Data Protection Officer et responsable avant- ventes, Gemalto
PET figurent bien évidement le chiffrement des données, la gestion des droits d’accès et le tagging des données, la mise en place de règles de développement des applications, des règles d’architecture des systèmes, jusqu’aux interfaces utilisateurs ellesmêmes. À chaque entreprise de définir sa stratégie de « Privacy by Design » et les PET à mettre en place pour l’implémenter.
Une protection des données dès la phase de développement
Pour les éditeurs de logiciel et les entreprises qui développent leurs propres logiciels métier, cette prise en compte de la protection de la donnée doit être intégrée dès les phases de conception des architectures applicatives et dès les phases de coding. « Il faut avant tout mener une réflexion au niveau de la conception, avec le choix de l’architecture la plus appropriée pour le type de données et d’usages prévus permettra de choisir les technologies de collecte et de stockage sécurisés » , estime Mos Amokthari, directeur technique France de CA Technologies. Divers aspects du développement sont directement touchés par le Privacy by design. La chaîne d’intégration continue doit intégrer des briques de validation qui vont permettre de s’assurer que le code produit répond bien aux exigences définies en termes de protection des données. CAST, Veracode, HP, Microfocus proposent des logiciels d’analyse de code pour éliminer le risque qu’un pirate n’accède aux données au moyen d’une injection SQL, par exemple. « Plus de 80 % des brèches de sécurité sont actuellement découvertes au niveau applicatif » , affirme Mos Amokthari. « Sans vouloir faire de généralisation, les développeurs ont une sensibilité à la sécurité du code relativement faible actuellement. Il est nécessaire de prévoir une sensibilisation et un accompagnement afin d’améliorer la connaissance globale des équipes sur les risques et les moyens de les éviter. »
Ce souci du Privacy by Design apparaît aussi dans les phases de test où il faut éviter d’utiliser des données de production directement pour valider les applications. Les jeux de tests doivent absolument être anonymisés, même lorsque les échantillons sont modestes. Les algorithmes de hash tels que Argon2, bcrypt ou encore pbkdf2 permettent aux développeurs de générer des jeux de test garantissant la confidentialité des données d’origine et il est aussi possible de générer des données par algorithme, via un outil dédié aux tests comme CA Test Data Manager. « Un autre point à surveiller est lorsque les données sont extraites de la production pour divers besoins, notamment les sauvegardes et tests. On se souvient par exemple qu’un des grandes fuites de données qui avait secoué Sony était due à des bandes de backup qui n’avaient pas été correctement détruites » , ajoute Mos Amokthari. Fort de l’acquisition de Grid- Tools en 2015, CA Technologies est positionné sur ce marché des solutions de « virtualisation » des données, face notamment à Informatica, IBM, Oracle, Delphix, Compuware.
Vers une montée en puissance des solutions de gestion des identités
La réglementation hausse la barre quant à la protection des données personnelles, mais demande aussi d’assurer une traçabilité complète. En cas de plainte d’un client ou de fuite de données avérée, il faut être capable de fournir une liste des accès et traitements qui ont été réalisés sur la donnée. La mise en oeuvre d’une solution d’IAM ( Identity and Access Management) telles que celle d’Atos/ Evidian, SailPoint, Oracle, IBM peut simplifier cette démarche. « Nous permettons principalement aux entreprises de répondre aux questions suivantes : « Qui a accès à quoi ? » , et « Que peut faire l’utilisateur avec cet accès ? » résume Juliette Rizkallah, Chief Marketing Officer chez SailPoint qui ajoute : « La gestion des identités et des accès est essentielle à l’organisation pour aider le personnel à générer de l’efficacité informatique, prévenir et atténuer les fuites des données et respecter l’ensemble des réglementations, notamment le RGPD. Nous proposons aux entreprises une plate- forme ouverte de gouvernance d’identités, une plate- forme compatible avec les infrastructures IT on- premise et cloud. » Toutes les plates- formes IAM assurent une gestion des identités des utilisateurs sur les multiples applications on- premise et Saas et permettent de mettre en place des scénarios contextualisés avec des droits d’accès accordés aux employés en fonction de leur adresse IP, selon qu’ils sont dans les locaux de l’entreprise ou en situation de mobilité, en fonction aussi de l’heure de la journée. Elles offrent toutes des capacités d’audit et de reporting avancées, mais peuvent aussi alimenter les SIEM ( Security Information and Event Management) avec leurs données de connexion. Couplées aux logs serveurs et aux données générées
« La gestion des identités et des accès est essentielle à l’organisation pour aider à respecter l’ensemble des réglementations, notamment le RGPD » Juliette Rizkallah, Chief Marketing Officer, SailPoint
par les équipements réseau et les applications elles- mêmes, ces informations vont permettre aux analystes d’enquêter et d’identifier quels comptes ont pu accéder aux données incriminées dans une fuite de données, par exemple.
Une indispensable surveillance des comptes à privilèges
Si l’IAM renforce la traçabilité des accès au niveau de l’entreprise, il reste nécessaire d’accorder une attention toute particulière aux comptes à privilège, c’est- à- dire ceux des cadres dirigeants, administrateurs système et DBA en charge des infrastructures. La compromission de tels comptes est une épée de Damoclès pour les entreprises puisque avec l’accès à de tels comptes, un pirate peut potentiellement faire beaucoup de dégâts. De plus en plus d’éditeurs IAM nouent aujourd’hui des partenariats avec des éditeurs de solutions de gestion des accès à privilèges, ou PAM ( Privileged Account Management) à l’image d’Atos qui s’est tourné vers l’Israélien CyberArk et le Français Wallix pour compléter son offre. Ce dernier propose une solution baptisée Bastion qui assure le contrôle et la traçabilité de l’ensemble des actions réalisées par les utilisateurs à privilèges dans le système d’information. « Les entreprises cherchent des solutions simples et “non intrusives” afin de mettre en oeuvre une stratégie de Privacy par Design sur chaque nouveau projet et déploiement digital et notamment garantir un usage sécurisé des données confidentielles » , explique Jean- Noël de Galzain, PDG de Wallix. « Le Bastion de Wallix sert à réduire les risques liés à un usage impropre des infrastructures critiques et des données à caractère personnel – fraude, fuite ou vol. En complément, un nouveau module de scan de réseaux informatiques pour découvrir les risques potentiels des comptes à privilèges et des mots de passe associés à une organisation. » Face à Wallix, de nombreux éditeurs se sont positionnés sur ce marché de la gestion des accès à privilèges. Parmi eux, les Américains BeyondTrust, CA Technologies, Centrify, pour ne citer que les plus gros. Outre l’enregistrement des sessions, la mise en place de règles spécifiques quant à la gestion des mots de passe de ces utilisateurs, une telle plate- forme permet de mettre en place des alarmes temps réel sur l’utilisation de certaines commandes ou même sur un changement de comportement d’un utilisateur. L’analyse comportementale temps réel va ainsi permettre d’alerter un responsable si, tout à coup, un utilisateur lance des requêtes inhabituelles ou sauvegarde de grandes quantités de données sur un disque dur externe.
Le chiffrement, une brique clé du Privacy by Design
En parallèle de ces mesures d’audit et de surveillance, le chiffrement des données stockées dans les SGBD est devenu un impératif. Toutes les bases de données du marché implémentent aujourd’hui un chiffrement d’une base de données complète, d’une table ou d’une colonne pour certaines. Que ce soit le package DBMS_ CRYPTO d’Oracle, le chiffrement de SQL Server ou encore MySQL Enterprise Encryption, de multiples algorithmes de chiffrement de puissance plus ou moins élevées sont proposés au DBA. Il est possible de chiffrer les données stockées sur disque et en mémoire, mais aussi signer des transactions. L’usage extensif du chiffrement des données se heurtent néanmoins au temps de
« Les entreprises cherchent des solutions simples et “non intrusives ” afin de mettre en oeuvre une stratégie de Privacy par Design » Jean- Noël de Galzain, PDG de Wallix
calcul de ces traitements additionnels, notamment sur les systèmes transactionnels. Pour le chiffrement des données comme pour le stockage des clés, il est possible de s’appuyer sur les extensions proposées par les éditeurs de SGBD, même les bases de données cloud en sont dotées aujourd’hui. Mais par soucis d’indépendance il est aussi possible de mettre en oeuvre une solution de chiffrement externe. Avec ses offres SafeNet, Gemalto propose des logiciels de chiffrements tant pour la protection des applications, des bases de données, des serveurs de fichiers que des machines virtuelles Amazon, VMware et IBM SoftLayer. Jan Smets, DPO ( Data Protection Officer) et responsable avant- ventes chez Gemalto souligne l’intérêt de cette approche : « Il ne suffit pas simplement de protéger les données lorsqu’elles sont stockées dans une base de données. L’objectif fixé doit être de protéger toutes les données, qu’elles soient en mouvement ou non, à partir du moment où vous recevez ces données, jusqu’au moment où vous devez détruire ces dernières lorsque vous n’en avez plus besoin. » Dans un tel contexte, le chiffrement des données au niveau du SGBD est nécessaire, mais loin d’être suffisant. « Tous ceux impliqués dans le processus de protection des données devraient avoir une visibilité sur le processus complet. Tous nos produits et solutions fournissent un moyen de protéger les identités, les données ou les clés de façon ouverte. La restriction est permanente, si vous n’êtes pas autorisé à y accéder, vous ne pouvez