Sécurité numérique : comment protéger les données de vos clients
Sécuriser ses données est une exigence croissante de la part des clients, mais également de la législation, d'abord avec la loi Informatiques et Libertés, et depuis mai 2018 avec le Règlement européen sur la protection des données (RGPD). Pour Nicolas Samarcq, trésorier de l' 'Association française des correspondants à la protection des données à caractère personnel (AFCDP), "le principal problème des petites structures, c'est la méconnaissance du sujet, que ce soit le risque technique de perte des données sans back-up, ou le risque de non-conformité lié à la mauvaise gestion des données. La sensibilisation est souvent externe, soit suite à un incident (technique ou de gestion), soit de par les exigences des clients." La méconnaissance n'épargne d'ailleurs pas certains professionnels de secteurs sensibles, comme la santé.
Pour y voir plus clair, la Commission nationale de l'informatique et des libertés (Cnil) propose sur son site un grand nombre de ressources afin d'aider les entreprises à mettre en place les processus adéquats. Un guide a également été édité en partenariat avec la banque publique d'investissement à destination des petites entreprises.
A l'heure actuelle, les entreprises doivent s'être dotées d'un délégué à la protection des données (DPD ou DPO). "La bonne solution pour les petites structures est souvent un prestataire externe, assure Nicolas Samarcq. Pour moi il ne doit pas être son prestataire d'infogérance, il y a risque de conflit d'intérêt. On peut aussi avoir en interne quelqu'un intéressé par le sujet voulant monter en compétence".
Connaître les données en sa possession
La première étape fondamentale consiste à cartographier l'ensemble des données détenues par l'entreprise, pour constituer un registre de traitement des données, et le tenir à jour, en identifiant les différentes activités et en précisant à chaque fois ce qu'il en est fait et comment.
Classifier ses données
Toutes les données doivent être classifiées pour ensuite les protéger correctement. Il est parfois nécessaire de réaliser une analyse d'impact relative à la protection des données (AIPD), une analyse méthodique du traitement de données dans l'entreprise et des mesures nécessaires. C'est obligatoire pour tout traitement susceptible d'engendrer des risques élevés pour les droits et libertés des personnes concernées.
Cependant, pour Jean-Sébastien Duchêne, référent technique d'Exakis Nelite, intégrateur européen de Microsoft, " la classification doit être assez simple, avec quelques étiquettes et éventuellement quelques sous-étiquettes dans les départements : quand c'est trop complexe, les gens ne s'y retrouvent pas ".
Sécuriser l'accès à ses données
Les mesures dépendent évidemment de la sensibilité des données et des risques en cas de d'incident. Les mots de passe sont un sujet trop souvent sous-estimé : ils doivent être suffisamment complexes et changés régulièrement. La CNIL donne d'ailleurs une astuce : "Demandez à votre responsable informatique ou votre prestataire combien de fois vos utilisateurs activent la fonctionnalité "oubli de mot passe" chaque année. Si ce taux est faible voire nul, c'est que votre politique de gestion des mots de passe n'est pas assez exigeante !"
Benoit Grunemwald, chef de produit de l'éditeur d'antivirus Eset, recommande d'utiliser Active Directory, qui fournit des services centralisés d'identification et d'authentification, et de chiffrer en full disk encryption, c'est-à-dire l'ensemble d'un disque, pour que celui-ci soit complètement illisible aux personnes qui n'ont pas les accès, "y compris quand les données sont sur un serveur interne". D'une manière générale, et plus encore sur le cloud, mieux vaut "une authentification forte, à plusieurs facteurs" (mot de passe + carte à puce ou code reçu par sms, par exemple). Et il prône le recours systématique à "un gestionnaire de mots de passe, qui permet un accès centralisé et individualisé".
Sécuriser le système informatique, mais pas seulement
"La sécurité comporte trois niveaux, rappelle Nicolas Samarcq : organisationnel, technique, matériel. Le chiffrement ne suffit pas, tout le système informatique doit être sécurisé". Mieux vaut donc s'assurer que son site et ses serveurs sont sécurisés, qu'on est à l'abri d'une attaque de phishing, et que les données sont sauvegardées régulièrement.
La CNIL recommande entre autre le verrouillage automatique de session ; le stockage des données sur le réseau de l'organisme plutôt que sur les postes de travail ; la limitation de la connexion de supports mobiles ; la désactivation de leur exécution automatique ("autorun") ; la sécurisation de l'accès wi-fi. Par ailleurs, il ne faut pas oublier de sécuriser les accès aux locaux.
Jean-Sébastien Duchêne rappelle que "sur le système informatique de l'entreprise, éventuellement sur ses applications cloud, le contrôle se fait. Mais l'accès aux données de l'entreprise se fait également depuis les appareils personnels, et via le shadow IT, c'est-à-dire l'accès à des services hors entreprise depuis l'entreprise (application de transfert de fichiers par exemple). Les risques de fuite de données sont plus importants par ces biais ".
Nicolas Samarcq note qu'en cas de travail à distance sur un appareil portable, "le chiffrement du disque évite, en cas de perte ou vol de l'appareil, une suspicion de violation données, qui entrainerait une communication sur le sujet à ses clients et donc un risque de perte de confiance et de notoriété".
Gérer les utilisateurs et les accès
Sécuriser ses données clients, c'est aussi faire en sorte que n'y accèdent que les personnes qui en ont besoin et qui sont habilitées, et savoir qui y accède. Il est donc important de créer des profils distincts avec des autorisations spécifiques, et d'identifier les utilisateurs : surtout pas de compte partagé avec les mêmes identifiants pour tout le monde. Et il faut mettre à jour régulièrement les permissions. Benoit Grunemwald recommande de "modifier les droits d'accès quand les personnes changent de secteur ou partent, et donc inclure les RH dans la gestion des autorisations".
Eduquer les utilisateurs
"Les utilisateurs n'ont pas toujours conscience de la valeur des donnée, sauf certaines très spécifiques, affirme Jean-Sébastien Duchêne. Il faut donc les éduquer". Et tous les protocoles de sécurisation des données doivent prendre en compte les utilisateurs dès leur conception. "Si l'utilisateur ne comprend pas ou que c'est trop compliqué, prévient Jean-Sébastien Duchêne, il y a un risque de retour en arrière".
Nicolas Samarcq évoque le cas de structures où les équipes ne sont pas sensibilisées à la sécurisation des données et n'ont en plus pas de moyens de travailler de façon sécurisée, ce qui conduit par exemple des médecins à s'échanger des dossiers de patients via WeTransfer. "Il faut leur donner les connaissance sur le sujet et des solutions alternatives sécurisées."
Collecter le minimum de données
Collecter le strict minimum de données nécessaires permet de mieux les gérer. Il faut évidemment vérifier qu'on a les droits nécessaires pour les traiter, vérifier la durée de conservation, informer les personnes, leur assurer de pouvoir rapidement exercer leurs droits, et prévoir une procédure de suppression sécurisée. Thomas Kerjean recommande également de recourir à l'anonymisation dès que possible, expliquant qu'à MailInBlack, dont il est le dirigeant, "nous entrainons nos algorithmes sur des données pour lesquelles nous avons l'accord explicite des clients et qui sont en plus anonymisées, avec un accès ultra limité".
Avoir une approche globale
Jean-Sébastien Duchêne assure qu'il y a "beaucoup de solutions sur le marché, qui répondent à 90% des besoins". Exakis Nelite est d'ailleurs un intégrateur de Microsoft, qui propose dans son abonnement une brique de protection, avec un portail administrateur pour définir les règles, les données confidentielles, les contraintes.
Il recommande également l'utilisation d'un Cloud Access and Security Broker (CAS-B), un logiciel agissant comme une barrière entre l'utilisateur et la machine, qui effectue une action prédéfinie selon ce que l'utilisateur tente de faire : lui bloquer l'accès, l'empêcher de partager les données, de les télécharger, les chiffrer avant envoi… "Cela permet d'adresser toutes les situations, y compris la protection du cloud, des clés USB…"
Benoit Grunemwald mentionne les solutions de data leak prevention (DLP), qui "scrutent et voient le déplacement des données, y compris en pièce jointe". Par ailleurs, "les données sont toujours mieux protégée quand elles restent sur le système d'information de l'entreprise. Mieux vaut payer un ordinateur portable aux salariés qui vont travailler hors bureau et le sécuriser, et chiffrer tous les appareils, y compris mobiles". Pour l'accès à distance, le VPN est dans tous les cas une base indispensable.
Sécuriser les données revient à en restreindre l'usage. Pour Benoit Grunemwald, "dès que l'usage est facile, la sécurité est compromise". Pour autant, il faut trouve un équilibre, pour "assurer la protection sans trop impacter l'usage", selon Sébastien Duchêne. Toujours est-il qu'il faut "des outils de protections des données dans leur ensemble, qui fonctionnent sur tous supports, dans tous les scénarios", en entreprise, hors entreprise, en mobilité…
S'assurer que les sous-traitants sont en règle
Les entreprises sont responsables de l'usage que leurs sous-traitants font des données qui leur sont confiées. La CNIL recommande d'enregistrer les interventions de maintenance dans une main courante, insérer une clause de sécurité dans les contrats de maintenance effectuée par des prestataires, encadrer les interventions par des tiers. "Les TPE ne savent pas toujours ce que fait leur prestataire, estime Nicolas Samarcq. Il faut être vigilant sur la clause RGPD, c'est généralement un bon indicateur de la qualité du travail".
Considérer la dimension internationale
Quelques pays, aux législations considérées très proches du règlement européen, bénéficient d'accords particuliers, mais ils sont peu nombreux. La Cour de Justice Européenne a par exemple annulé le Privacy Shield, conclu avec les Etats-Unis, estimant que la loi américaine n'était pas suffisamment protectrice des données. Les entreprises doivent donc conclure des clauses contractuelles type avec leurs prestataires. "Mais il faut vérifier qu'elles sont appliquées", prévient Nicolas Samarcq. II peut être intéressant "d'amener une réflexion sur le choix de partenaires européens. Si on n'est pas un pure player, une alternative à Google Analytics peut être indolore". Memento (gestion de base de données), Nextcloud (hébergement de fichiers et plateforme de collaboration, qui nécessite des compétences internes), Office 365 (qui propose l'hébergement de ses données en Europe), Apicrypt (messagerie médicale sécurisée), MSSnté (la messagerie sécurisée de l'ANS) sont des alternatives possibles.
Pour François-Xavier Vincent, d'Oodrive, il est de toute façon "recommandé d'ajouter des clauses complémentaires. Mais on se retrouve avec une concurrence des normes, entre les lois américaines et les contrats, qui risquent d'être en défaveur de ces derniers". D'où peut-être "des mesures supplémentaires, de chiffrement, d'anonymisation, mais cela peut diminuer l'intérêt du service des prestataires". Il appelle à "mener une analyse de risque : quelles sont les données confiées, quels sont les bénéfices pour quels risques ? La réaction dépend ensuite de cette analyse et du niveau de confiance que l'on veut offrir à ses clients : qu'est-ce qui est acceptable concrètement et symboliquement ?".
Par ailleurs, la question inverse se pose quand une entreprise européenne a des clients internationaux. "Il n'y a pas que le RGPD, rappelle Jean-Sébastien Duchêne : toutes les régions du monde ont désormais des lois similaires, qui fonctionnent de la même façon mais ont chacune leurs subtilités. Il faut donc se mettre en conformité dès qu'on a des clients étrangers".
Suivre les processus
Avoir des données clients sécurisées, c'est aussi être capable de le prouver. Il faut donc tenir à jour les tableaux de bord de traitement. la "journalisation" des accès utilisateurs. "Les petites entreprise oublient parfois qu'elles peuvent subir des contrôles, note Jean-Sébastien Duchêne. Le tableau de bord permet alors de montrer quelles sont les données sensibles, où elles se trouvent, comment elles sont stockées, si elles sont partagées et à qui, et comment elles sont sécurisées".