Réseaux

Protection des données : doit-on attendre la prochaine fuite majeure pour agir ?5 min read

7 février 2019 3 min read

Protection des données : doit-on attendre la prochaine fuite majeure pour agir ?5 min read

Reading Time: 3 minutes

Tribune. L’an dernier, à peu près à la même période, les experts de l’industrie prédisaient que 2018 serait « l’année de la protection des données », et ça l’a été. Si l’année a été marquée par de nombreux scandales liés à des fuites de données, on constate que la sensibilisation du public à la valeur et la vulnérabilité des informations sensibles a fortement progressé.

Pour les cybercriminels aussi les choses ont évolué. Aujourd’hui, sur le marché, avec environ 1 000 euros en crypto-monnaie, ils peuvent atteindre n’importe quelle cible de leur choix. Les attaques ont également changé : les cybercriminels utilisent désormais l’ingénierie sociale pour exploiter les failles humaines au sein des organisations. En 2018, l’infinie variété de vols de données a mis en évidence la menace croissante qui pèse sur les entreprises. Enfin, cette année a également mis en lumière la nécessité de changer les attitudes en matière de protection et confidentialité des données.

RGPD : aucun retour en arrière

Il est impossible d’aborder la question de la protection des données en 2018 sans faire référence au RGPD. Entrée en vigueur le 25 mai, il s’agit, sans aucun doute, de la plus importante loi européenne en la matière. Pour preuve, elle a eu des conséquences sur toutes les entreprises traitant les informations personnelles des citoyens de l’UE. Considéré comme LA référence sur ce point, ce règlement fera sûrement effet boule de neige à l’international.

Il ne fait donc aucun doute que le 25 mai a été LE tournant pour la confidentialité des données. Néanmoins, malgré tous les débats, questions et incertitudes qui ont précédé la date butoir, le « ciel ne s’est pas effondré lorsque la loi est entrée en vigueur ». Des semaines après son application, les entreprises attendent encore de constater quelles seront les répercussions, et surtout quelles seraient les premières entreprises sanctionnées.

La forteresse est tombée

Les deux autres principaux tournants de l’année ont été, sans équivoque, les failles de sécurité constatées sur Facebook et Google en septembre et octobre derniers. Et ce malgré la réputation des deux entreprises en matière de sécurité, d’utilisation des données de leurs utilisateurs et de protection de leurs vies privées.

Tout d’un coup, il est devenu évident pour toutes les entreprises que cela pouvait arriver à n’importe qui. Même les organisations les plus grandes, puissantes et influentes peuvent se retrouver à la merci d’erreurs, aussi mineures soient elles. Ces failles ont permis de rappeler que ces atteintes aux données privées étaient presque inévitables, et ce quelle que soit l’organisation.

Vers un changement de paradigme

La question n’est donc plus tant sur la possibilité mais sur l’inévitabilité de ces attaques. Aujourd’hui, nous constatons un changement de paradigme concernant la protection des données, la prévention des infractions et le respect de la législation. Jusqu’à l’entrée en vigueur du RGPD, les entreprises se concentraient plus sur le renforcement de leur périmètre de sécurité, faisant tout leur possible pour empêcher les pirates de voler des informations. Si cette précaution est toujours nécessaire, force est de constater que cela ne suffit pas, les intrusions pouvant se produire de différentes manières et impliquer, très souvent, une erreur humaine. Même dans les entreprises les plus sécurisées.

Désormais, elles doivent avoir une approche principalement orientée sur la prévention afin d’empêcher toute intrusion. Pour les entreprises qui acceptent cette fatalité, charge à elles de faire quelque chose sur les données elles-mêmes.

La carte « sortie de prison »

Concernant le RGPD, peu de gens nieraient le fait qu’il s’agit d’une réglementation longue et complexe. Néanmoins, les organisations qui considèrent impossible de s’y conformer ratent une réelle occasion de se démarquer, notamment en utilisant le chiffrement des données.

La clause de l’article 34 du règlement stipule qu’en cas d’atteinte aux données personnelles, une entreprise n’est pas tenue d’informer les personnes concernées si ces informations ont été cryptées et sont donc indéchiffrables. En effet, sous cette forme, elles ressemblent à une suite binaire, dénuée de sens, et donc inutiles en dehors de l’organisation. En d’autres termes, si les données divulguées sont suffisamment cryptées, elles sont, pratiquement, à l’abri d’une atteinte de la protection des données telle que définie par le RGPD. Ainsi, une fois une brèche dévoilée, si une entreprise peut affirmer avoir appliqué un chiffrement à toutes les données personnelles qu’elle détient, elle n’a aucune crainte à avoir !

2019, l’année du changement ?

Si les organisations ont saisi la gravité de cette question, il est fort à parier qu’il faille attendre une autre faille de grande envergure pour qu’elle soit totale. Il est probable que la première amende affligée par la Commission européenne touche une grande entreprise ou institution et que le montant incitera les entreprises à agir, non plus à l’échelle locale mais internationale, afin de mieux protéger les données de leurs clients.

En 2019, le chiffrement de bout en bout deviendra une nécessité, et plus seulement une option. Par conséquent, les organisations doivent repenser leurs stratégies sur la protection des données. Ce n’est qu’avec ce changement de mentalité qu’elles pourront sécuriser leurs données, mais aussi développer une plateforme sécurisée et ainsi anticiper les attaques.

Par Dan Shprung, vice-président EMEA chez INFINIDAT

Leave a comment

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

ut Nullam ultricies leo. Sed ut