Le RGPD et la sécurité de cinquième génération

Les attentes en matière de confidentialité sont de plus en plus importantes à mesure que nous entrons dans l’ère de « la sécurité des données de cinquième génération ».

En parallèle, les cybermenaces multi-vecteurs à grande échelle évoluent plus rapidement que jamais. Avec l'entrée en vigueur du RGPD, la protection des données déclenche une véritable tempête. Le RGPD est décrit comme étant « une révolution pour la confidentialité et la sécurité des données ». Mais, avec des racines dans une dissertation de droit du 19e siècle ainsi que dans des directives plus récentes, l'adoption de ce type de règlementation ne devrait surprendre quasiment personne.

Le RGPD pourrait être, et sera probablement, une véritable révolution. Avec son objectif ambitieux d'initier une transformation culturelle en restituant le contrôle des données personnelles aux citoyens, le RGPD cherche à apporter un changement important et sans aucun doute positif.

Pourtant, le RGPD n'est pas soudainement tombé du ciel. Ces deux dernières décennies, des voix se sont élevées pour réclamer une plus grande confidentialité des personnes et une plus grande responsabilisation des entreprises. En fait, la progression vers le RGPD et la soi-disant « sécurité des données de cinquième génération » peut être retracée beaucoup plus loin.

La sécurité des données de première génération

Le RGPD est (à bien des égards) la conséquence inévitable d'un mouvement qui remonte à 1890. Cette année-là, Samuel Warren et Louis Brandeis ont publié dans le journal Harvard Law Review ce qui est considéré comme étant le premier article affirmant le droit à la vie privée. Depuis lors, ce texte séminal est considéré comme faisant partie des textes les plus influents de la législation américaine (et par la suite internationale).

La vie privée en tant que droit de l'homme

La sécurité des données de première génération a déclenché une série d'événements qui a élevé la protection de la vie privée au rang de droit fondamental. Le 10 décembre 1948, le droit à la vie privée était explicitement préconisé par l'article 12 de la Déclaration universelle des droits de l'homme des Nations Unies :

« Nul ne sera soumis à une ingérence arbitraire dans sa vie privée, sa famille, son domicile ou sa correspondance, ni à des atteintes à son honneur et à sa réputation. Toute personne a droit à la protection de la loi contre de telles interférences ou attaques. »

Le débat sur le traitement des données

À partir de 1980, l'accent mis sur la protection de la vie privée a évolué vers le traitement et le transfert des données personnelles. La sécurité des données de troisième génération est arrivée sous la forme des directives de l'OCDE produites en septembre 1980, affirmant les principes fondamentaux devant régir le traitement des informations personnelles.

Elles comprenaient des limites quant à la manière de collecter les données, à quoi elles servaient, quelle sécurité devait être mise en place pour les protéger, et le droit d'un individu de découvrir quelles informations étaient détenues à son sujet. Les directives de l'OCDE n'étaient toutefois pas contraignantes, ce qui a entraîné des disparités en Europe (et plus encore à l'échelle mondiale). Cela a finalement freiné la libre circulation des données dans toutes les régions.

Puis, en 1995, la Directive européenne sur la protection des données est née. Elle a marqué le début de la sécurité des données de quatrième génération et a cherché à résoudre les problèmes de flux de données en créant des points communs à travers l'Europe (et par extension, une plus grande cohérence au niveau mondial). Avec des principes centraux de transparence, de raison légitime et de proportionnalité, c'est ici que nous pouvons voir les traits fondamentaux repris par le RGPD.

Le RGPD représente la cinquième phase d'une épopée qui a commencé à l'Université de Harvard il y a plus de 100 ans. À partir du 25 mai 2018, toute entreprise qui gère les données personnelles de citoyens de l'UE doit se conformer à des responsabilités très spécifiques (et, pour la première fois, juridiquement contraignantes). Et ce, indépendamment du fait qu'elle opère ou non dans l'UE. Le RGPD aura donc un impact retentissant à l'échelle mondiale, pas seulement en Europe.

Le principe central du RGPD est la protection de la vie privée des individus. L'article 5 du règlement l'énonce de manière simple et succincte :

« Les données personnelles doivent être traitées de manière à assurer la sécurité appropriée... y compris la protection contre le traitement non autorisé ou illégal et contre les pertes accidentelles. »

Une force positive pour les citoyens et les entreprises

En plus de protéger la vie privée des individus, le RGPD a également pour objectif d’aider les entreprises en créant un ensemble de principes communs qui régissent et encouragent la libre circulation des données de manière sécurisée. Ces initiatives embryonnaires visant à faciliter la circulation des données entre les frontières établies dans les « troisième et quatrième générations » ont été pleinement réalisées grâce à la cohérence affirmée par le RGPD.

Parmi les nombreux éléments de responsabilisation pour les individus et les entreprises, il en existe un qui donne à réfléchir à ceux qui traitent des données après le 25 mai. L'une des principales exigences du RGPD est que les entreprises adoptent des protocoles de sécurité appropriés, appelés communément « sécurité depuis la conception et par défaut ». Ces protocoles exigent essentiellement que les mesures de sécurité soient incorporées dans les systèmes informatiques au fur et à mesure de leur développement, plutôt qu’après coup.

La sécurité des données de cinquième génération répond aux cybermenaces de cinquième génération

En raison des pénalités potentielles, notamment des amendes allant jusqu'à 4 % du chiffre d'affaires mondial, les entreprises avancent naturellement prudemment. Ceci est particulièrement critique à l'ère des cybermenaces de cinquième génération (Gén. V).

La nature complexe de ces menaces signifie que les entreprises doivent désormais tenter de répondre aux attentes de plus en plus élevées en matière de sécurité des données face aux attaques multi-vecteurs à grande échelle. Ces cybermenaces avancées de cinquième génération se matérialisent sur différentes plates-formes, se déplacent très rapidement et sont capables d’infecter un grand nombre d'entreprises à travers le monde en quelques heures seulement.

Il existe bien sûr des contre-mesures. Les cybermenaces de cinquième génération sont mieux stoppées par les technologies de cybersécurité qui reposent sur une architecture partageant des renseignements sur les menaces et bloquant uniformément les attaques sur les réseaux, le Cloud et les appareils mobiles en temps réel. Fait alarmant cependant, des études montrent que seulement 3 % des entreprises ont mis en œuvre ces pratiques de sécurité.

Dans le cadre d'une approche de sécurité de Gén. V, les entreprises doivent également adopter pleinement des changements organisationnels plus étendus afin de s'assurer qu'elles soient conformes (et le restent). Bien qu'il s'agisse d'un processus de grande envergure comprenant de nombreux facteurs, un premier ensemble d’étapes essentielles doit être pris en compte : besoins en personnel, audit et classification des données, analyse des risques, journalisation et contrôles fondamentaux.

La tempête de la protection des données

En résumé, le défi de la confidentialité et de la sécurité des données n’a jamais été aussi complexe. Les entreprises à travers le monde sont obligées de répondre aux attentes de plus en plus fortes en matière de protection des données des citoyens (et se conformer à la législation) tandis que de nouvelles menaces avancées émergent.

C'est pourquoi l’adoption d’une plate-forme de sécurité universelle et complète est plus importante que jamais.