Intensifier la sécurité au plus près des données pour répondre aux enjeux du RGPD

Récemment, plusieurs entreprises ne répondant pas aux exigences du Règlement Général sur la Protection des Données (RGPD) se sont vues attribuer des amendes pharamineuses.

Ces sanctions ne concernent pas uniquement des fuites de données dues à des attaques mais aussi des manquements dans le traitement des données en interne.  Ces dernières montrent qu'il est aujourd'hui important d'adopter une approche plus centralisée de la protection des données.

Les CNIL européennes ont la main lourde. Depuis quelques mois, les contraventions pour manquement au RGPD ne cessent de tomber pour les entreprises qui ne répondent pas à ses exigences, et elles sont salées. British Airways (204 millions d’euros), Starwood (110 millions d’euros), la Liga espagnole (250K euros) et bien d’autres en ont fait et en feront malheureusement les frais, à coup sûr. Il est important de noter que les amendes ne sanctionnent pas uniquement des fuites de données et des attaques, mais également des manquements clairs au règlement sur le traitement des données en interne. Si ce dernier aspect a été largement amélioré ces dernières années, justement pour répondre aux exigences du RGPD, ces amendes montrent qu’il ne doit pas pour autant être considéré comme un problème résolu. Malgré les efforts qu’elles ont pu fournir pour se mettre en accord avec ces réglementations, les entreprises restent encore très vulnérables, tant face à des failles internes qu’externes. Reste maintenant à expliquer ces failles et à voir comment y remédier, notamment en adoptant une approche centralisée de la protection des données. 

Pour les failles externes, qui se traduisent souvent par des fuites massives de données personnelles comme ce fut le cas pour British Airways, une des origines évidentes est l’éclatement toujours grandissant des systèmes d’information. Les données sont utilisées dans de plus en plus d’applications différentes : Portail web, applications mobiles, ERP, CRM, etc. Or, dans ces cas, la sécurité est essentiellement gérée au niveau de l’application elle-même et si celle-ci est brisée, les données gérées sont de fait disponibles. Les entreprises se sont concentrées depuis de nombreuses années sur la sécurité périmétrique en se disant que si les murailles étaient suffisamment hautes, elles les protégeraient des attaques. Mais il y a toujours une brèche. Et une fois que le mur est franchi, les attaquants ont les mains libres pour agir et deviennent très difficiles à détecter. Dans le cas de British Airways, les équipes IT ont mis plusieurs semaines à détecter l’intrusion.

S’il est effectivement primordial d’édifier des murs assez hauts pour se prémunir des accès délictueux, il faut dans le même temps garantir la confidentialité des données à l’extérieur comme à l’intérieur des enceintes. C’est le rôle du chiffrement au repos, lorsque les données résident dans la zone de stockage, et lors de leur transport entre cette zone et une page web dans le service qui est consommé. Grâce à ce chiffrement des données à la source et dans les échanges, même si les protections n’ont pas su arrêter les attaquants, les informations dérobées sont inutilisables pour qui ne possède pas les méthodes de déchiffrement et n’ont donc aucune valeur. La protection des données personnelles doit donc se faire à tous les niveaux, et particulièrement au niveau le plus bas, celui des données elles-mêmes. Pour reprendre l’analogie d’une enceinte sécurisée, une porte blindée peut être dissuasive, mais n’est pas impossible à crocheter. En revanche, si une fois à l’intérieur, tous les objets de valeur sont enfermés dans des coffres-forts individuels qu’il faut forcer un à un pour avoir une information, cela devient une gageure qui n’en vaut plus la peine. Ces préceptes rejoignent d’ailleurs ceux du « privacy by design » imposé par le RGPD, qui prévoit que les données personnelles soient protégées à tous les niveaux d’une application et d’un système informatique dès sa conception.

Pour ce qui est des traitements en interne et des manquements qui y sont liés, les entreprises font face à des problématiques tant techniques que culturelles. Nous avons vu beaucoup d’entreprises se retrancher derrière le principe du consentement légitime, qui dit que si une donnée sert directement au business premier de l’entreprise, celle-ci n’a pas besoin du consentement de son propriétaire. Les entreprises ont alors eu tendance à considérer que la plupart des usages étaient légitimes ; or les récentes jurisprudences, qui devraient se multiplier dans un proche avenir, tendent à redistribuer les cartes et vont pousser les entreprises à revoir une fois de plus leurs politiques dans le domaine. 

Nous voyons en outre trois sortes d’usages avec différents niveaux de risques au regard du RGPD. Le premier, qui est historique, est celui qui est fait au niveau des progiciels classiques de l’entreprise comme les CRM, les ERP, les outils marketing, etc. Il est aujourd’hui très structuré et maîtrisé, mais représente toujours un risque dans la mesure où ces solutions n’ont pas été pensées pour répondre aux problématiques du RGPD. Viennent ensuite les usages en mode shadow IT, beaucoup plus préoccupants. Dans les entreprises, certains collaborateurs viennent piocher directement des informations dans les bases de données pour réaliser ensuite des traitements et des analyses en dehors des cadres prévus par le système d’information et les politiques de compliance. Enfin, et c’est un cas d’usage qui est amené à beaucoup se développer, il y a tout ce qui concerne l’IA, le machine learning ou le deep learning. Dans le cadre de ces approches, les utilisateurs ont tendance à mettre en place un bucket de données dans lequel les différents algorithmes viennent piocher sans que l’on sache trop quelles données sont utilisées, et comment.

Pour limiter les risques autour de ces cas d’utilisation, il est nécessaire d’adopter une politique de sécurisation et de gouvernance des données au niveau même des bases de données. Dans le cadre des problématiques de shadow IT, cette approche permet de contrôler, de manière granulaire, qui accède aux données et pour quels usages. En outre, en poussant cette approche, il est possible de mettre en place une classification de la donnée au niveau le plus élémentaire pour contrôler ses usages en s’appuyant sur les métadonnées. Idéalement, il faudrait que toutes les données viennent d’une couche centrale capable de gérer toutes ces problématiques et de devenir le pourvoyeur de données unique de toute l’entreprise. Elle permettrait de gérer à un niveau granulaire la légitimité des données et de leurs usages à travers l’ensemble du SI, aussi étendu soit-il.

Très rapidement, nous voyons les amendes se multiplier et la notion de RGPD déborder très largement du cadre européen. Des entreprises non européennes interrompent leurs services en Europe pour éviter d’y être confrontées, mais cela se fait au détriment de la satisfaction de leurs clients européens. Il y a à travers ce règlement une vraie envie d’inverser le rapport de propriété de la donnée et les entreprises ainsi que les organisations qui ne vont pas s’y conformer vont être pénalisées. Pour se prémunir contre les attaques et les manquements, l’adoption de politiques et de systèmes de sécurisation, de protection et de classification des données au plus proche des bases de données, en plus des solutions de protection périmétrique qui, nous l’avons vu, ne peuvent se suffire à elles même, semble s’imposer pour répondre à ces enjeux.