“La donnée est devenue liquide”

22 février 20197 min

Début février 2019 à Londres, RSA Security,
la branche cybersécurité du groupe Dell, a tenu une conférence
sur le thème des données. Pour l’entreprise, l’économie
est désormais entièrement dépendante des données et leur protection doit être intégrée à tous les pans de l’entreprise.

Rohit Ghai, président RSA Security, qui ouvrait les débats de la conférence, constate que l’économie est désormais entièrement tournée vers la data. Même les entreprises qui pensent ne pas être concernées par le sujet ont, quelque part, une vulnérabilité liée aux données.

Et la multinationale constate, comme le confirme Nigel Ng, vice-président de RSA Security, que partout dans le monde les gouvernements se dotent de lois et d’organismes de régulation, comme la Cnil en France.

La régulation des données

Pour l’entreprise, ces lois peuvent être porteuses de menaces et conduire même à de lourdes amendes, voire à des condamnations pénales, comme en Europe cela est désormais possible avec le règlement européen sur la protection des données personnelles (RGPD).

La conférence se tenant à Londres, la question du Brexit était sur toutes les lèvres. En quittant l’Europe, les britanniques quittent-ils le RGPD ? « Non, puisque comme tous les pays européens, le Royaume-Uni avait le choix entre accepter le règlement (choix par défaut) ou bien le transposer (ce qui n’était pas obligatoire). La France a fait ce choix pour actualiser sa loi Informatique & Libertés. Tout comme le gouvernement britannique. Les données ne seront donc pas impactées par le Brexit », précise Neira Jones, conseillère indépendante membre de la Global cyber Alliance et partenaire de RSA Security.

Pas de loi unique mais une diversité de contraintes

Les données sont partout mais il n’existe pas de loi unique. Ce qui est licite dans certains endroits du monde devient absolument inimaginable ailleurs. « Les données sont liquides » constatent les intervenants lors des échanges. D’où la difficulté pour les entreprises de correctement les traiter.

Ainsi par exemple, il est interdit en Thaïlande de diffamer le roi, les entreprises qui opèrent sur place doivent donc déployer des outils sémantiques pour empêcher la réalisation de cette infraction, impensable en Europe.

Le triptyque : intégrité, confidentialité et disponibilité

Le business, l’économie, la relation au consommateur, ces éléments sont maintenant intimement liés à la donnée. Comment s’assurer de l’intégrité, de leur confidentialité et de leur disponibilité ?

Un avantage compétitif indéniable

Pour Rohit Ghai, la complexité de la supply chain moderne a fait de la donnée une catégorie d’actifs de l’entreprise hautement risquée et qui passe d’un fournisseur de rang 2 à 3 voire 4 et induit autant de risque numérique.

Prenons par exemple un achat en ligne. Il y a la donnée pour le commerçant, pour la banque, pour le transporteur et peut-être un ou deux intermédiaires. Et ces intermédiaires, comment les évaluer ? Comment les certifier ? La sécurité des données est devenue un avantage compétitif indéniable.

La souveraineté nationale

Nigel Ng rappelle ainsi que la Corée du Sud compte 25 réacteurs nucléaires (2 sont en construction) et que l’Inde est en train de mettre en place le plus gros fichier de données personnelles au monde qui contient les données biométriques de ses habitants pour leur permettre de voter ou de bénéficier du système de santé. Les données sont aussi une question de souveraineté et de sécurité nationale.

La confiance au centre du système

Dans un monde global, chacun des pans doit pouvoir être protégé et répondre, non seulement aux normes du pays où l’entreprise est enregistrée, mais également aux lois du pays de l’acheteur. L’économie ne fonctionne que sur la confiance et la donnée est le nouvel étalon de cette confiance, comme une nouvelle monnaie.

Au-delà des lois et règlement, RSA Security plaide pour une approche éthique de la donnée. Personne n’est à l’abri d’une fuite. Il faut donc être le plus transparent possible, communiquer et expliquer au maximum au client final ce qu’il s’est passé.

Comment définir une faille de sécurité ?

« Il faut sortir de cette idée qu’une faille de sécurité est une honte. Il faut au contraire en parler et être transparent avec les clients » plaident les représentants de l’entreprise.

Au cœur de cette question, il y a celle de la définition de la faille. Même dans le règlement européen, la définition n’est pas tout à fait claire. Beaucoup de pays ont d’ailleurs transposé la directive et appliqué leur propre règle, ce qui rend la lecture encore plus complexe. Pour RSA, la question n’est pas de savoir si c’est une faille, si c’est un incident cyber ou même si c’est un bug, mais plutôt de savoir si l’incident a un impact sur l’activité de l’entreprise. Si celui-ci touche les données personnelles, ce sera forcément le cas, mais sinon ?

Quelle éthique adopter ?

Quant à l’éthique, pour la définir, les représentants de RSA Security appliquent cette définition : « Doing the right thing, even if no one is looking. » Adopter la meilleure pratique même si personne ne le sait.

Car évidemment, au moment d’une fuite, ce sont ces pratiques, qui jusqu’à présent étaient dans l’ombre, qui seront sous le feu des projecteurs.

Une approche par le risque

Pour résoudre ces différents dilemmes, RSA propose aux entreprises d’avoir une approche par le risque gouvernée par le business. Ainsi on passe d’un problème technologique de la compétence unique de quelques spécialistes à un problème économique, de la responsabilité du dirigeant.

Une fois cette approche prise en compte, il faut appliquer les règles classiques qui s’appliquent à tous les risques : limitation de l’exposition, déplacement ou morcellement de la cible, transfert vers l’assurance… «C’est une affaire de management», résume le vice-président de RSA.

Une organisation spécifique pour communiquer

Pour Kevin Akeroyd, le PDG de Cision (entreprise spécialisée dans le marketing et la communication) appelé à témoigner, il faut communiquer et admettre ouvertement si une faille a été découverte et la manière dont l’entreprise va gérer le problème. « Il y a une méthodologie à adopter dans la communication et il faut pouvoir s’y préparer. Bien évidemment, il y aura des impacts mais ils seront moindres. » Et de donner l’exemple très technique de deux décisions prises, l’une par Google et l’autre par Facebook, concernant un changement dans le traitement des données personnelles.

« Dans le premier cas, la décision de Google est jugée moins éthique et plus invasive que la décision prise par Facebook qui pourtant trace beaucoup moins l’utilisateur. Mais dans le premier cas, Google a pris les devants et a écrit à tous ses utilisateurs. L’entreprise a également exposé les raisons de ce changement tandis que Facebook a opéré un changement dans ses conditions d’utilisation, sans en avertir les utilisateurs. Cette absence de transparence a éveillé l’attention et provoqué une réponse très négative qui a obligé l’entreprise à se justifier », commente Kevin Akeroyd.

David Kapp
Rédacteur en chef

Les plus lus…

Inscrivez-vous
à notre
newsletter

Recevez toutes les actualités et informations sûreté, incendie et sécurité toutes les semaines.

Je m’inscris

À lire également