Sécurité des données : types de contrôles et bonnes pratiques

Avec l’usage croissant des technologies et l'accélération de la digitalisation de notre monde, les organisations sont amenées à collecter de plus en plus de données personnelles. Les données clients représentent pour les entreprises un actif inestimable, qui les aide à mieux comprendre leurs clients. Si ces données jouent un rôle crucial en permettant aux entreprises de générer des revenus, elles doivent aussi être protégées. Il appartient par conséquent à ces mêmes entreprises d’en assurer la protection contre les incidents de sécurité et les violations.

Dans cet article, nous levons le voile sur la sécurité des données, et vous expliquons pourquoi le sujet est incontournable pour les organisations. Nous passerons aussi en revue les différents types de contrôles et les points à prendre en compte pour choisir la meilleure façon de procéder en fonction des circonstances propres au traitement des données.

Qu'est-ce que la sécurité des données ?

La sécurité des données englobe les contrôles, les politiques et les procédures mis en place pour protéger les données personnelles stockées dans une organisation et les préserver des incidents de sécurité et des violations. On parle d’incident de sécurité en cas de défaillance d’une ou plusieurs des mesures techniques ou organisationnelles prises par l'entreprise. Les causes peuvent être multiples : défaillance du pare-feu, erreur dans la conception des rôles et des accès, protection par mots de passe insuffisante, fuite de données, intrusion d'un malware, ou violation des règles de sécurité internes. Un incident de sécurité peut être physique ou technique, ou les deux.

On parle en revanche de violation des données lorsqu’un incident de sécurité entraîne la destruction, la perte, l'altération, la divulgation ou l'accès accidentel ou illégal à des données personnelles. La perte de données peut être délibérée ou accidentelle, et causer un préjudice sérieux pour la personne concernée, y compris une souffrance morale.

Les incidents de sécurité et les violations de données sont presque toujours des événements qui pourraient être évités. Certaines entreprises en ont d’ailleurs fait l’amère expérience par le passé, comme dans les affaires suivantes :

• En juin 2020, Wattpad, un site web qui abrite les récits et histoires de ses utilisateurs, a subi une violation de données. Résultat : près de 268 millions d’enregistrements ont été exposés. Des informations personnelles, comme des noms d'utilisateur, des adresses IP et même des mots de passe stockés sous forme de hachage bcrypt, ont donc été rendues visibles.
• En mai 2019, l'application australienne d’infographie en ligne Canva a subi une attaque. Résultat : 137 millions de comptes d'utilisateurs ont été piratés. Parmi les données exposées figuraient des noms d'utilisateurs, des mots de passe des adresses e-mail et même des villes de résidence.
• Début 2020, le réseau social chinois Sina Weibo a subi une violation caractérisée par la compromission de 538 millions de comptes d'utilisateurs. Certains noms d'utilisateurs, numéros de téléphone, lieux et même les véritables noms de certains utilisateurs ont été exposés.

S’il est un enseignement à retirer des événements passés, c’est que les violations de données sont un mal bien réel. Les organisations vont donc devoir tout mettre en œuvre pour contenir la zone de déflagration en cas d’attaque sur leurs données. Comment pouvez-vous protéger votre organisation des incidents de sécurité et des violations de données ? Voyons cela en détail ci-après.

Pourquoi la sécurité des données est-elle indispensable ?

Les organisations doivent sécuriser leurs données pour plusieurs raisons :

• Protection des informations : la sécurité des données vise avant tout à protéger les données personnelles. Une violation de données personnelles sensibles, comme des données de santé, peut avoir des répercussions très concrètes sur les personnes concernées. Ces informations méritent par conséquent d'être davantage protégées.
• Image de marque : les organisations connues pour protéger leurs données et mettre en place des contrôles de sécurité efficaces peuvent établir une relation de confiance avec l'ensemble de leurs parties, y compris leurs clients. Sur un marché mondial, la plupart des entreprises souhaitent mettre en avant leur responsabilité sociale pour attirer investisseurs et partenaires. Leur réputation est donc un instrument crucial de leur croissance à long terme. Une sécurisation efficace de leurs données peut les aider à gagner la confiance de leurs clients finaux et à asseoir leur réputation à l’échelle internationale.
• Réduction des coûts : la mise en œuvre de contrôles de sécurité efficaces le plus en amont possible permet de réduire considérablement le coût financier d’une violation de données pour les entreprises victimes.
• Respect des normes de conformité : aujourd'hui, les entreprises doivent protéger leurs données pour rester en conformité avec les réglementations nationales et internationales, comme le RGPD — le règlement général européen sur la protection des données.

Types de contrôles de la sécurité des données

Plusieurs moyens s’offrent aux organisations pour sécuriser leurs données :

1. Le chiffrement : les logiciels de chiffrement renforcent efficacement la sécurité des données. Leur algorithme rend les data illisibles ; pour les déchiffrer, il faut posséder une clé ou les autorisations appropriées. En cas de violation, les données sont inutilisables pour toute personne qui y accède.
2. Le masquage : les logiciels de masquage remplacent les lettres et les chiffres par des caractères de substitution. Cette autre méthode de chiffrement rend les données inutilisables pour toute personne qui tente d'y accéder.
3. L'effacement : en effaçant de tous les systèmes les données qui ne sont plus nécessaires, on élimine certains points faibles. Il est en effet impossible de violer des données qui n'existent plus.
4. La résilience : la création de sauvegardes et de copies des données offre un excellent moyen d'atténuer le risque de perte ou de destruction accidentelle. Toutes les organisations devraient mettre en place une sauvegarde de leurs magasins de données. 

Les entreprises combinent généralement plusieurs des contrôles de sécurité des données présentés ci-dessus pour trouver le niveau de sécurité optimal.

Bonnes pratiques pour la mise en œuvre de contrôles de sécurité des données

Pour vous aider à choisir les contrôles appropriés et adaptés à votre situation, nous avons dressé une liste des bonnes pratiques à suivre.

Comprendre la nature des données à protéger

Les données peuvent être plus ou moins sensibles selon leur catégorie. Plus les données sont sensibles, plus le risque de préjudice est élevé pour la personne concernée. Une violation, qui ne porte que sur une toute petite quantité de données très sensibles, peut tout de même avoir de graves répercussions sur la victime. L’organisation doit par conséquent prendre en considération le niveau de sensibilité et la nature exacte des données personnelles à protéger lorsqu’elle met en place ses contrôles de sécurité.

Repérer les menaces prévisibles

Pour les menaces affichant un taux de probabilité ou un potentiel de nuisance plus élevé, les organisations doivent opter pour des contrôles plus stricts et plus sophistiqués. Cela vaut surtout pour celles qui traitent des données personnelles sensibles. Inversement, si les données personnelles sont moins sensibles, le nombre de contrôles et le niveau de perfectionnement pourront être revus à la baisse. Les menaces pour la sécurité peuvent venir de l'intérieur ou de l'extérieur.

Types de menaces internes (provenant de personnes au sein d’une organisation) :

• Ingénierie sociale : lorsqu’une personne au sein de l'organisation se retrouve piégée et divulgue des informations confidentielles appartenant à l'entreprise.
• Shadow IT: parfois appelé « informatique fantôme », le phénomène désigne l'utilisation par les collaborateurs d'une entreprise de sites web et d'applications non autorisés.
• Partage de données en dehors de l'entreprise : le partage de données confidentielles à l'extérieur de l'entreprise peut être préjudiciable pour la sécurité des données.
• Utilisation d'appareils non autorisés : certains dispositifs comme les clés USB peuvent causer de graves problèmes de sécurité s’il ne s’agit pas de dispositifs de confiance.
• Vol physique : les salariés emportent généralement leurs appareils avec eux, ce qui accroît le risque de vol. Or, le vol de matériel peut être dommageable pour toute organisation.

Types de menaces externes (lorsqu'une entité externe entreprend délibérément de contourner les contrôles de sécurité d'une entreprise et d'accéder, sans autorisation, à des données sensibles dans un but malveillant) :

• Piratage
• Malware
• Attaques par hameçonnage (phishing)

Suivre les bonnes pratiques sectorielles

La cybersécurité et la sécurité de l'information exigent une expertise professionnelle. Les organisations doivent par conséquent suivre les bonnes pratiques sectorielles pour choisir les contrôles de sécurité appropriés. Le chiffrement représente à cet égard une mesure de sécurité satisfaisante.

Les entreprises et organismes doivent également tenir compte de certains standards nationaux et internationaux :

• CENELEC - Comité européen de normalisation en électronique et en électrotechnique
• Conseil des normes de sécurité PCI
• Les normes de l'Agence de l’Union européenne pour la cybersécurité (ENISA)
• Les normes de l'Agence nationale de la sécurité des systèmes d'information (ANSSI)
• Les normes ISO (ISO 27001, par example)

Vérifier les fonctionnalités de votre solution de sécurité des données

Idéalement, votre outil de sécurité doit pouvoir restaurer rapidement la disponibilité et l'accès aux données personnelles en cas d'incident de sécurité physique ou technique. Il doit également être capable de rendre les données inintelligibles à toute personne non autorisée qui y accèderait.

Une solution de data intelligence comme Securitii est adossée à un framework PrivacyOps qui permet aux organisations de :

• cataloguer et recueillir des données sur site, hybrides et multi-clouds au sein d'un référentiel unique ;
• Découvrez les attributs de données sensibles immédiatement ;
• utiliser le People-Data-Graph pour relier les données personnelles à leurs propriétaires et répondre aux besoins de confidentialité ;
• détecter et classer les données non structurées pour un maximum d’efficacité sur le plan de la gouvernance, de la protection et de la confidentialité ;
• mettre en évidence les risques pour chaque ensemble de données à l'aide d'un score de risque ;
• automatiser l'exécution de fonctions de sécurité et de confidentialité.

Tenir compte des coûts de mise en œuvre

Les contrôles de sécurité ne sont pas forcément exorbitants, mais les organisations doivent tenir compte des coûts de mise en œuvre.

Conclusion

La plupart des lois sur la protection de la vie privée exigent que des contrôles de sécurité adaptés soient mis en œuvre. À défaut d’obtempérer, les organisations s'exposent à de lourdes sanctions et pénalités financières, et à une perte de confiance de leurs clients. Nous ne saurions que trop vous encourager à prendre toutes les mesures nécessaires pour prévenir les incidents de sécurité potentiels ou les éventuelles pertes de données.

Note : Cet article de blog a été écrit par un contributeur invité dans le but d'offrir une plus grande variété de contenus à nos lecteurs. Les opinions qui y sont exprimées sont uniquement celles de l’auteur et ne reflètent pas nécessairement la position de GlobalSign.