Anonymisation et protection des données : les entreprises incorrigibles.

La législation a beau se renforcer aussi bien en matière de protection des données à caractère privé que de transparence financière, rien n'y fait : elles continuent, dans leur grande majorité, à reléguer au second plan l'anonymisation et la protection de leurs données.

Le raisonnement des sociétés est simple : ces actions sont coûteuses et il n'y a aucun retour sur investissement à en attendre. Aucun ? C'est à voir. Car aujourd'hui, sur quoi repose toute activité si ce n'est sur la donnée informatique pure ?

L'actualité l'a démontré à de nombreuses reprises ces dernières années, cet actif majeur n'impacte plus simplement le rendement et la productivité de l'entreprise : scandales financiers, espionnage industriel (le grand retour médiatique, après des années de disette), actions menées par les associations de consommateurs pour atteinte à la vie privée...

Une gestion approximative de l'information peut se révéler dévastatrice pour l'entreprise, son image et ses résultats. Avec une spécificité toute récente : la vitesse à laquelle une situation peut se dégrader.

 

Or, toute donnée représente potentiellement un point de vulnérabilité. Les pirates et fraudeurs en tout genre recherchent les points d'accès les plus faciles, tels que les environnements de développement, de test et de formation qui sont souvent négligés du point de vue de la sécurité. En réalité, plus de 70% des infractions relatives aux données proviennent de sources internes.


 

Des lois qu'on préfère ignorer...

Il convient donc de prendre en compte deux aspects différents mais complémentaires pour mesurer l'importance des défis à relever. Au niveau des données à caractère privé tout d'abord. Ce n'est pas parce que l'Europe a un arsenal de mesures efficaces que ces mesures sont effectivement appliquées partout, loin s'en faut.

L'utilisation des données privées ou des données dites « indirectement personnelles » en entreprise est strictement encadrée, et il devrait par exemple être impossible à des développeurs de travailler sur des données de tests n'étant pas anonymisées.

Mais si le DSI est pénalement responsable et encourt théoriquement une peine de prison en cas de non-conformité à la loi (qu'on se rassure, ce n'est jamais le cas), les sanctions se limitent le plus souvent à une simple amende...

Une amende dont les entreprises préfèrent s'acquitter car elle est dans la plupart des cas inférieure à l'investissement nécessaire pour une mise en conformité de ses bases de données. Et encore, nous nous situons là dans le cas des entreprises contrôlées car pour les autres, la mentalité est encore plus sommaire : « pas vu, pas pris ».

 

Autre cas, autre loi (Sarbannes-Oxley et ses dérivés européens pour ne pas les nommer), la gestion des données industriellement et financièrement sensibles représente le second nerf de la guerre des entreprises avec la législation aujourd'hui.

Il aura fallu attendre des scandales financiers du niveau de celui d'Enron pour que les entreprises (aux Etats-Unis du moins) prennent toute la mesure du phénomène - une véritable bombe à retardement en puissance. Qu'elles puissent être perdues, divulguées à n'importe qui, manipulées ou transformées à outrance n'est tout simplement plus envisageable... en théorie encore une fois.

Et doit-on parler des rumeurs d'espionnage industriel qui ont refait surface ces derniers temps, nous projetant d'un coup d'un seul plusieurs dizaines d'années en arrière, dans un climat de guerre froide que l'on croyait à jamais révolu ?


 

... alors qu'il y a tant à gagner à les respecter

Les exemples sont encore nombreux qui remettent en cause la justesse du rapport entre le ROI de l'anonymisation des données, et son impact moins immédiat, moins palpable sur l'activité des entreprises - mid-market et grands comptes confondus.

 

Quid par exemple de la gestion des données à caractère privé dans le secteur ultra-sensible de la santé ? Quid également du paiement par carte à une époque où le e-commerce est en pleine explosion ?

On pense notamment au standard PCI qui vise à imposer une protection des données stockées, transmises et traitées lors du paiement par carte - un problème commun aux points de vente, détaillants, sociétés de e-commerce, mais également institutions financières et autres processeurs de paiement.

La protection des données des porteurs de cartes interdisant l'usage de numéros de cartes de crédit réels en environnement de développement et de test, il est nécessaire d'appliquer des processus de tests approfondis dans le respect de la législation.

 

Pour cela, le déploiement de solutions éprouvées, peu coûteuses et qui simplifient l'anonymisation des données de test est primordial car elles permettent aux développeurs d'utiliser des données de tests réalistes pour produire des résultats valides, tout en respectant les règles de protection de la vie privée.

Sûres et valables en environnement de tests d'applications, ces données fournissent des résultats précis et fiables mais sont sans valeur pour les pirates et autres fraudeurs.

 

C'est pourquoi aujourd'hui, parce que les données privées, financières, industrielles se croisent et se manipulent à longueur de journée, il est nécessaire d'appeler à une grande prise de conscience des Directions Informatiques.

C'est seulement sous leur impulsion que pourront démarrer les grands projets qui non seulement mettront les entreprises en conformité avec la loi, mais également les mettront à l'abri de gros problèmes - et pas seulement législatifs cette fois-ci.