Stratégie de protection des données : les 5 points clés

CET ARTICLE A INITIALEMENT ÉTÉ PUBLIÉ DANS ARCHIMAG N° 381 : Protection des données en entreprise: quelle stratégie à l'ère de l'IA ?

Au sommaire : 
- Dossier : protection des données en entreprise : quelle stratégie à l'ère de l'IA ?
- Data : une vigilance à chaque étape du cycle de vie
- Stratégie de protection des données : les 5 points clés

 Découvrez Le Brief de l'IT, la newsletter thématique gratuite d'Archimag dédiée aux professionnels des data, de l'IT, de la digitalisation et de la transformation numérique !

Donjon, barbacane, pont-levis, herse, mâchicoulis, archères, mangonneaux et trébuchets… Voici quelques-unes des défenses qui étaient mises en œuvre au Moyen Âge pour s’assurer qu’un château fort ne tombe pas aux mains de l’ennemi. Chiffrement, pseudonymisation, pare-feu, quantique… Les techniques ont changé, mais l’objectif reste identique : maintenir la citadelle et ses trésors entre de bonnes mains.

Les attaquants, eux aussi, ont évolué : ils sont physiquement loin (ou très proches, dans le bureau d’à côté), utilisent des technologies de pointe (ou se servent d’un mot de passe oublié sur un post-it), avancent masqués (ou n’ont même pas conscience des risques qu’ils font courir)… Que votre organisation soit petite, moyenne ou grande, elle peut malheureusement devenir, demain, la cible de failles en tous genres. Une stratégie de protection de vos données s’impose !

Quels sont les points de passage obligés d’une stratégie de protection des données ? La norme ISO 27001 propose une lecture détaillée du sujet et peut être complétée de nombreux "frameworks" publiés par des cabinets de conseil ou des éditeurs (Gartner, NIST, Anssi…). Identifier, protéger, détecter, répondre et récupérer sont les étapes formalisées par l’agence gouvernementale américaine NIST (National institute of standards and technology). Appuyons-nous sur ces actions pour détailler les éléments concrets d’une stratégie.

Lire aussi : Anonymisation et pseudonymisation au coeur de l'open data judiciaire

Identifier, c’est mesurer et évaluer

Avancer dans le brouillard sans allumer les phares est risqué. Allumer son système d’information en fermant les yeux, ce n’est pas mieux. Les risques sont omniprésents. Ne pas les identifier, c’est prendre un risque de plus. Il faut donc ouvrir les yeux sur les risques techniques ou organisationnels, internes ou externes. Même si ce n’est jamais agréable à souligner, la majorité des risques liés à la protection des données sont humains et internes.

Listez les risques que vous repérez : ceux liés à votre travail quotidien, à vos échanges de données, aux matériels que vous utilisez. Personne ne connaît mieux que vous votre façon de travailler. Vous aiderez ainsi le responsable des risques à bien identifier ce qu’il faut prévenir.

Un peu plus difficile, tentez d’estimer le risque de survenance (bien sûr, vous estimerez qu’il y a peu de risques que vous perdiez une clef USB dans le train, mais si vous le prenez chaque semaine, ce risque sera plus important que si vos déplacements sont ponctuels). Et tentez ensuite d’estimer l’impact métier si le risque survenait (si vous devez remettre des fichiers de données confidentielles à des partenaires, quel serait l’impact éventuel si ces données étaient perdues dans la nature ?).

Lire aussi : Leto, la start-up qui automatise la mise en conformité au RGPD

Protéger, c’est anticiper

Lorsque vous quittez votre domicile, vous fermez la porte à clef et branchez éventuellement l’alarme. Ces deux actions de protection vous permettent de ne pas être inquiet pendant votre déplacement.

Pour les données, c’est la même chose. Vous aurez anticipé et serez protégé si vous avez pris l’habitude de ne pas stocker toutes les données au même endroit, de les crypter avant de les déplacer, de respecter la politique de votre organisation et de ne pas stocker vos données sur un cloud non autorisé. Une clef USB a été perdue ? Pas grave, puisque les données y étaient cryptées et pseudonymisées. Du point de vue du risque, c’est presque un non-événement.

Détecter, c’est rester aux aguets

"Shit happens !", dit-on, de manière assez vulgaire, aux États-Unis. Malgré tous les efforts mis en œuvre pour protéger vos données, une faille peut apparaître (un pirate, un oubli, un prestataire indélicat…), mais encore faut-il la détecter ! Allez-vous attendre que vos données cruciales soient en vente sur le dark web pour découvrir que vous les avez laissées filer ? En matière de RGPD, par exemple, la loi impose d’informer les personnes concernées dès la connaissance d’une fuite.

Mais pour s’en rendre compte, il faut connaître son patrimoine informationnel (si vous ne savez pas ce que vous avez en stock, comment deviner ce que l’on vous a subtilisé ?). Un catalogue des données est donc indispensable, tout comme le suivi des usages grâce aux métadonnées : les métadonnées d’usage conservent la trace des consultations et les exports de données. Les logiciels de détection s’appuieront sur ces métadonnées pour identifier les failles.

Lire aussi : Le RGPD, 6 ans après : quel bilan pour la protection de nos données personnelles ?

Répondre, c’est trouver des solutions

Un problème est survenu. Quelle solution apporte-t-on ? Avoir un plan de communication en cas d’incident est le meilleur moyen de rassurer les personnes dont les données ont éventuellement été compromises. En 2019, la banque Desjardins, au Québec, a été victime du vol de données de plusieurs millions de clients. Elle a donc mis en place et proposé aux clients concernés un service de détection d’usages frauduleux et de surveillance de l’identité. Une réponse efficace, qui doit être préparée.

Récupérer, c’est être résilient

Et puis, il faut savoir passer à autre chose, mais apprendre de ses erreurs. Un plan de protection des données doit être vivant. Comme dans un hôpital, où les problèmes rencontrés lors d’une opération sont ensuite étudiés par un comité scientifique, les failles de protection des données doivent servir d’apprentissage pour l’amélioration du plan.

Pourquoi une faille non prévue a-t-elle eu lieu ? Pourquoi ne l’a-t-on pas détectée en amont ? Une réunion avec l’ensemble des acteurs concernés permettra de modifier les plans pour que le problème ne se reproduise pas.

L’IA : risques et opportunités

En conclusion, n’oublions pas que l’IA présente des risques, mais également des opportunités. Utiliser l’IA pour protéger ses données de l’IA peut être une approche intéressante en programmant des agents d’IA pour détecter les comportements non conformes aux politiques de protection (extraction de données plus volumineuses que nécessaire, export de données non cryptées, croisement de données non conformes à la réglementation…).

L’avantage des agents d’IA, c’est qu’ils sont capables, à partir d’une règle, de combiner plusieurs tâches, d’appliquer des décisions (comme envoyer une alerte au DPO ou bloquer la copie d’un fichier non crypté vers une clef USB sans empêcher pour autant son analyse locale, etc.) de manière autonome. Ces agents peuvent devenir les meilleurs assistants du responsable de la protection des données.

Certes, ils auront un rôle de "surveillance", qu’il faudra expliquer dans l’organisation. Mais il s’agira d’une surveillance bienveillante, axée sur la prévention, pour détecter les failles potentielles avant qu’elles ne s’ouvrent. Ainsi, les utilisateurs se sentiront accompagnés, le DPO sécurisé, les équipes techniques augmentées, et l’ensemble de l’organisation y gagnera en fiabilité et en image auprès de ses interlocuteurs. Entrons donc dans l’ère des agents intelligents de protection des données !

Quelles normes appliquer pour votre plan de protection des données ?

Un bon plan de protection des données peut s’articuler autour de 5 points clefs : ceux de la méthode EMSAS (évaluer, mettre en place, sécuriser, anticiper, surveiller) :

Évaluer et cartographier les risques (en s’appuyant sur la norme ISO 31000)

• réaliser un audit complet des données (type, sensibilité, emplacement),
• identifier les risques potentiels, y compris les menaces internes et externes,
• classifier les données selon leur niveau de sensibilité (confidentiel, public, stratégique),
• livrable : la matrice d’évaluation de survenance et de mesure d’impact des risques.

Mettre en place une gouvernance des données hybride, technique et métier (en s’appuyant sur la norme ISO 24143)

• nommer un comité de gouvernance auquel participent le DPO, la DSI, les métiers, l’audit…,
• livrable : rédiger et publier une politique de gestion du cycle de vie des données,
• former les employés aux bonnes pratiques et aux obligations légales,
• établir un plan de conformité avec les régulations en vigueur.
• sécuriser les infrastructures (en s’appuyant sur la norme ISO 27001),
• protéger les systèmes informatiques et les bases de données contre les attaques cyber et non cyber.

Anticiper : créer un plan de réponse aux incidents et un plan de continuité (en s’appuyant sur la norme ISO 22301)

Surveiller et améliorer en continu (en s’appuyant sur la norme ISO 9001)

• livrable : maintenir un cockpit de pilotage de la sécurité,
• réviser annuellement l’ensemble des plans pour vérifier leur adéquation.