RGPD : des défis et des opportunités

Le règlement général sur la protection des données renforce les droits des citoyens européens en matière de protection des informations personnelles. Il affecte toutes les entreprises qui manipulent ce type de données.

Nous assistons à une émergence des réglementations en matière de données. Véritables défis pour les multinationales, ces dernières représentent également d'immenses opportunités. La dernière en date est le RGPD (Règlement européen général sur la protection des données), qui prendra effet l'année prochaine. Dans une récente enquête de PwC, 92 % des entreprises américaines ont déclaré que le RGPD était une priorité absolue dans leur programme de sécurité et de confidentialité des données. Cette loi affecte toutes les entreprises qui manipulent les données des citoyens européens.

Le règlement européen général sur la protection des données renforce les droits des citoyens européens en matière de confidentialité et de protection des données personnelles. Il requiert, entre autres, que les entreprises conservent les données de manière adéquate, révèlent les violations de données et augmentent les options de diffusion restreinte. Les entreprises qui ne se conformeront pas au règlement se verront infliger de lourdes amendes.

Le RGPD comme d'autres règlements soulignent l'importance de la protection des données pour les régulateurs, qui entendent bien réagir aux graves violations désormais très courantes. Les entreprises financières doivent également répondre à des exigences croissantes concernant le suivi et le reporting des données via les règlements Dodd Frank et MiFID II. Quant au secteur de la santé, la confidentialité des données y devient aussi de plus en plus importante.

Pourtant, la conformité aux règlements ne suffira pas à réduire sérieusement les violations de données. Pour ce faire, il faut véritablement transformer la façon dont nous réfléchissons à la sécurité des données.

La sécurité des réseaux n'est pas suffisante

Depuis des années, les entreprises ont érigé des murs autour de leur réseau pour protéger les données. Des centaines de sociétés de sécurité réseau ont vu le jour pour répondre à ces besoins. Mais, dans l'environnement économique hyper-connecté actuel avec un écosystème IoT en expansion, les entreprises veulent désormais que des tiers (clients, entrepreneurs, partenaires, etc.) puissent accéder à leurs réseaux pour améliorer leur service client et leur productivité.

Dans un monde de cyber-attaques et de menaces internes très sophistiquées, la sécurité réseau ne suffit pas. Les entreprises doivent également miser sur la sécurité des données. Elles ont cependant besoin d'une sécurité des données assez souple pour ne pas limiter leur partage.

Pour aider leurs équipes à trouver des solutions de sécurité des données (et dépasser les exigences du RGPD), les PDG et directeurs des systèmes d'information doivent leur poser les trois questions suivantes :

1. Comment les données sont-elles chiffrées ?

Point fondamental de la stratégie, le chiffrement est à la base de la protection et de la sécurisation des données et l'un des principaux atouts de toute entreprise. Aujourd'hui, les entreprises ont besoin d'un chiffrement de base de données avancé. Par exemple, imaginez un administrateur système de base de données (ou un pirate informatique qui prend le contrôle) avec un accès complet aux fichiers du serveur. Sans chiffrement, ou même avec le chiffrement système des fichiers, l'administrateur système ou le pirate peut accéder ou modifier des fichiers, y compris ceux qui composent les bases de données.

Une gestion de clés flexible et rapide est également importante afin de ne pas compromettre le processus de chiffrement. Tout comme avec un bien physique (un entrepôt, une maison et un bureau), une clé est nécessaire pour accéder aux données sécurisées et cette clé doit pouvoir être modifiée ou tournée assez rapidement pour anticiper les actions d'un pirate potentiel.

En séparant l'autorité de contrôle et en réduisant la capacité à manipuler l'information au niveau de toutes les couches de la pile, la sécurité du système est améliorée pour répondre aux normes modernes.

2. L'accès aux données est-il suffisamment restreint ?

Même si les entreprises connectées d'aujourd'hui doivent pouvoir accueillir des tiers dans leurs réseaux, elles ne souhaitent pas que tout le monde ait accès à toutes les données. De toute évidence, Edward Snowden n'avait aucune raison commerciale d'accéder à toutes les données qu'il pouvait consulter. Les initiés représentent une grande menace et sont impliqués dans 25 % des violations, selon une nouvelle enquête de Verizon.

Identifier qui a besoin de consulter quoi et être en mesure de restreindre l'accès aux données est nécessaire. Les restrictions doivent être granulaires. Un data scientist, par exemple, peut avoir besoin d'accéder à toutes les données d'un essai clinique, mais pas de connaître le nom des patients ou même le résultat d'essais spécifiques. La capacité à censurer rapidement les données renforce alors la protection contre les infractions. À l'heure actuelle, une grande partie de ce processus s'opère manuellement. Les nouvelles technologies des bases de données permettent une censure électronique, plus rapide et plus précise. La possibilité de censure consiste à masquer des données et des informations, à les rendre anonymes, afin qu'elles puissent être correctement et intelligemment partagées.

3. Est-ce qu’on peut faire le suivi des données ?

Cela implique une bonne gouvernance des données et un accès facile à la dimension linéaire et temporelle des données. Si vous ne savez pas d'où proviennent les données, quand elles sont arrivées, si/comment/quand et par qui elles ont été modifiées, vous ne pouvez pas avoir confiance. « Que saviez-vous et quand l’avez-vous su » ? Si votre entreprise est en pleine croissance et qu'un problème survient au niveau de votre produit ou service, vous devez être capable de répondre à cette question.

Qu'en est-il du cloud ?

Une bonne gouvernance et une bonne sécurité des données seront encore plus importantes à mesure que davantage de données sont déplacées vers le cloud. Le cloud est synonyme de rapidité et de flexibilité pour que les entreprises soient plus agiles. Les entreprises ont besoin de la flexibilité du cloud pour mieux exploiter leurs données. Pour ce faire, elles doivent avoir confiance dans la sécurité et le partage des données. Et cette sécurité doit inclure la protection des données des opérateurs cloud. Si elles ne sont pas correctement contrôlées et protégées, les entreprises ne pourront pas partager leurs données et perdront l'un des avantages clés du cloud.

Dépasser la conformité

Le RGPD européen est un règlement vaste et potentiellement disruptif. L'administration Trump peut ne pas partager les idées sur la sécurité des données et la confidentialité des consommateurs. Pourtant, il n'existe qu'un seul véritable enjeu : les clients. Ces derniers puniront de plus en plus les entreprises qui trahiront leur confiance, à l'aide de poursuites judiciaires ou en arrêtant de faire appel à leurs services. Toute entreprise capable de sécuriser correctement ces données tout en permettant leur accès et leur partage comptera une bonne longueur d'avance sur les exigences des régulateurs.