Tribune Libre par Christophe Foucault, consultant cybersécurité chez IT Link
RGPD : en marche vers mai 2018
La directive européenne sur la protection des données à caractère personnel est devenue le RGPD, un règlement européen qui devra être appliqué de manière systématique par toutes les entreprises et institutions, quelles que soient leur taille ou leur nationalité.
Aucune entreprise n’est épargnée puisque toutes manipulent des données sur leurs salariés ou leurs clients, et toutes devront notamment faire face à la nécessité d’anonymiser ou pseudonymiser ces données privées. En effet, puisqu’il est difficile, voire impossible, de garantir qu’aucune donnée ne pourra jamais fuiter, des mesures doivent permettre de protéger les individus en masquant leur identification.
Pour réorganiser les processus de traitement de ces données sensibles, les entreprises passeront par une première phase d’audit de l’existant suivie d’une phase d’actions qui devra aboutir, avant mai 2018, à la mise en conformité de l’ensemble des traitements afin d’éviter aux entreprises de très lourdes sanctions, jusqu’à 4 % du chiffre d’affaires annuel ou 20 millions d’euros, la somme la plus élevée étant retenue.
En France, la CNIL propose sur son site un guide en 6 étapes pour aider les entreprises à séquencer et organiser ce projet de mise en conformité, il conviendra pour certaines d’entre elles de se faire accompagner pour mener à bien l’ensemble des tâches à réaliser.
« Externalisation des données » doit rimer avec « sécurité »
Afin d’optimiser les coûts d’exploitation des machines, de nombreuses entreprises ont choisi de virtualiser des éléments importants de leur système d’information, d’abord en interne, puis en s’orientant vers l’externalisation. Ainsi, beaucoup de solutions ou services IT des entreprises sont désormais gérés et hébergés par des acteurs tiers externes dans le cadre d’infogérances.
De telles solutions, qu’elles soient ou non dans le cloud, permettent de déléguer à l’infogérant la scalabilité réactive nécessaire et la disponibilité 24/7 des services offerts, mais elle impose également de prendre en compte la gestion du risque et de la sécurité des données externalisées. Il est alors indispensable de définir clairement les responsabilités du client et de son fournisseur et de traiter dans le contrat de la réversibilité, des engagements de service ou encore des accords de non-divulgation.
L’université Carnegie-Mellon élabore depuis une quinzaine d’années le référentiel eSCM qui propose deux modèles symétriques et cohérents pour traiter de ces problématiques de plus en plus prégnantes. Des pratiques complémentaires, à respecter par le client d’une part et par l’infogérant d’autre part, sont proposées qui permettent de garantir l’optimisation de l’externalisation tout en en gérant les nouveaux risques.
Ce référentiel pourra utilement être exploité dans le cadre des nouvelles obligations règlementaires liées au RGPD lorsque des données à caractère personnel sont confiées au sous-traitant.
Ransomwares : la menace s’amplifie
Malgré une couverture médiatique importante et beaucoup de moyens techniques mis en place par les entreprises, les infections par virus restent en tête des incidents de sécurité selon la dernière étude du CLUSIF, notamment celles basées sur des ransomwares, l’actualité récente en témoigne.
Se protéger de ces attaques nécessite de traiter le problème sur plusieurs axes : défense en profondeur, cloisonnement, durcissement, réduction de la surface d’attaque, politique de moindre privilège, détection d’intrusion … mais la principale réflexion à mener reste la sensibilisation des utilisateurs, très souvent à l’origine des incidents de sécurité.
Deux évidences s’imposent qu’il n’est jamais inutile de rappeler. Une faille doit exister pour permettre au malware de pénétrer le système d’information et une vulnérabilité doit être présente pour que le malware introduit puisse compromettre le système infecté.
La prise en compte de ces 2 facteurs passe forcément par la responsabilisation des utilisateurs. Il est essentiel de leur rappeler de ne pas connecter de clé USB externe ou cliquer sur les liens ou pièces jointes dans les mails suspects pour ne pas créer la brèche par où s’introduira le virus, mais aussi de ne pas annuler ou reporter les mises à jour correctives proposées pour réduire au maximum les vulnérabilités exploitables.
Des messages simples que les directions informatiques doivent marteler jusqu’à créer une véritable culture sécurité dans l’entreprise, indispensable complément aux mesures et solutions de protection techniques.
Face à ces problématiques sécuritaires qui se multiplient, les entreprises doivent faire de la cybersécurité une priorité. Revoir les processus, responsabiliser les salariés, effectuer une veille sécuritaire : ces bonnes pratiques doivent être appliquées au quotidien pour garantir la sécurité des informations traitées.