Bilan de l’IAPP PSR 2017, la confidentialité des données dépend de leur sécurité
En 2016, GlobalSign assistait pour la première fois à la conférence sur les risques pour la sécurité et la protection de la vie privée (PSR) organisée par l’Association internationale des professionnels de la protection de la vie privée (IAPP). À l’issue de la manifestation, j’ai rédigé ce billet de blog (en anglais) sur le rapprochement entre professionnels de la sécurité et de la protection de la vie privée dans une démarche tournée vers le maintien de la sécurité et de la confidentialité des données : Security and Privacy Professionals Joining Forces.
En octobre dernier, nous étions de retour à l’IAPP PSR pour la deuxième année consécutive. Rapidement, nous y avons noté un renforcement et un resserrement des liens entre professionnels de la sécurité et de la protection des données personnelles. Cette tendance s’explique par le tourbillon permanent de violations de données « qui défraient la chronique », mais aussi du fait des réglementations actuelles et à venir sur la protection de la vie privée. Cette fois-ci, les discussions tournaient beaucoup autour du piratage d’Equifax et des tentatives individuelles d’interprétation du règlement général de l’Union européenne (UE) sur la protection des données à caractère personnel (RGPD) qui va bientôt entrer en vigueur en mai.
Au gré des discussions, nous avons rapidement compris que pour assurer la confidentialité de leurs données, les entreprises devaient aussi avoir adopté les mesures de sécurité appropriées. Les professionnels de la protection de la vie privée nous ont annoncé étudier des solutions de sécurité pour leurs équipes de sécurité. Quant aux professionnels de la sécurité informatique, ils envisageaient plus de mesures de sécurité pour protéger la vie privée. Une discussion que nous avons eue au sujet des certificats SSL/TLS avec un juriste d’entreprise a pris un tour très technique et fonctionnel, avec une évocation de leur rôle dans l’amélioration de la sécurité Web.
Pourquoi ? Personne ne veut être le prochain Equifax.
Non seulement le piratage d’Equifax restera peut-être l’un des incidents de sécurité les plus médiatisés de l’histoire, mais l’incident a également exposé près de 150 millions de dossiers clients, et notamment des renseignements personnels et des données de paiement sensibles. Le rapprochement entre les équipes de sécurité et de protection de la vie privée permet ainsi de faire front. La divulgation de ce genre de données peut signer la mort de nombreuses entreprises — en termes d’image et sur le plan financier. L’objectif du RGPD européen vise à mettre un terme à ce type d’activité et à l’utilisation abusive des données des citoyens. Comment ? En mettant en place des contrôles appropriés, avec notamment des technologies de sécurité qui assurent les contrôles d’accès, l’authentification et le chiffrement.
Toute entreprise qui réalise des activités commerciales dans l’UE devra se conformer au RGPD avant la date butoir fixée en mai 2018. L’absence de cadre préparatoire concret est ce qui pose le plus problème aux entreprises qui s’efforcent tant bien que mal d’évaluer leur degré de préparation au RGPD. Malgré les indications du RGPD sur la nécessité — et l’importance — de préserver la confidentialité et la sécurité des renseignements personnels identifiables (RPI), le Règlement ne précise pas les modalités. C’est aux entreprises de définir leur mode opératoire — démarche collective qui, pour aboutir, mobilise à la fois les équipes chargées de la protection de la vie privée, de la sécurité et des questions juridiques.
Les autorités de réglementation britanniques ont étudié le cas de la violation de données d’Equifax, avant même l’entrée en vigueur du RGPD. Au Royaume-Uni, la Financial Conduct Authority peut d’ores et déjà sanctionner Equifax. Selon les termes du RGPD, les amendes et sanctions pourraient finir par être encore plus lourdes si les entreprises permettent que leurs données privées puissent être piratées. D’autres pays devraient sans aucun doute étudier ce type de sanctions et de mesures. Aucune entreprise ne veut connaître les mêmes problèmes et comme beaucoup l’ont indiqué à l’IAPP PSR, la route de la conformité au RGPD est encore longue.
Respect de la vie privée : le rôle de la sécurité informatique
La sécurité des données est un critère essentiel pour leur confidentialité. Les données doivent être sécurisées lorsqu’elles sont « au repos » et pendant leur transmission. La sécurisation des données sur toute une infrastructure informatique repose sur plusieurs couches organisationnelles. Les certificats numériques jouent un rôle essentiel dans les opérations d’authentification, de contrôle d’accès et de chiffrement renforcés. On pourra envisager une stratégie adossée à une infrastructure de PKI d’entreprise pour automatiser l’assignation des certificats, gérer le cycle de vie de ces certificats et s’intégrer aux solutions informatiques existantes. Voici quelques exemples de problèmes de sécurité auxquels une infrastructure PKI apporte des réponses :
- Sécurité du Web et des serveurs : chiffrez les serveurs internes et publics, et les sites Web pour sécuriser la transaction de données sensibles.
- Authentification et contrôle d’accès : renforcez les mots de passe en optant pour l’authentification par certificat afin de restreindre l’accès aux réseaux et ressources de l’entreprise aux seuls périphériques, personnes et machines approuvés.
- Sécurisation des e-mails : chiffrez les communications internes sensibles, prouvez l’origine des courriels et empêchez que les e-mails ne soient altérés et hameçonnés.
- Signature de documents : les signatures numériques de confiance améliorent la sécurité des documents et préviennent les falsifications.
Mise en route
Peu importe qu’il s’agisse de vous préparer au RGPD : la confidentialité des données est primordiale, ainsi que votre stratégie de sécurité informatique. De nombreux fournisseurs de technologies et plusieurs couches de sécurité informatique permettent de couvrir un large éventail d’applications de sécurité. Mais la PKI est une technologie de sécurité fondamentale dont les atouts peuvent profiter à toute organisation.
La plateforme Managed PKI basée dans le cloud de GlobalSign offre des fonctionnalités d’automatisation, de gestion et d’intégration qui permettent d’ajouter facilement une PKI sans avoir à devenir un expert en cryptographie. Curieux d’en savoir plus ? Contactez-nous vite.