Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Les législations vont-elles imposer le DLP ?

février 2009 par Marc Jacob

Le DLP semble un marché prometteur, entre autres grâce aux législations autour de la perte de données confidentielles et de la protection des données à caractère personnel qui se mettent en ordre de marché dans tous les pays du monde. Sans compter que les dirigeants des entreprises prennent au fil du temps de plus en plus conscience des dangers du Web. Ainsi, les éditeurs se précipitent sur ce nouveau marché qui semble être un nouvel Eldorado avec un CA prévu pour 2011 de 3,5 milliards de $...

Devant l’explosion des informations et des données sur les systèmes d’information, l’avènement du Web 2.0…, « l’information est la monnaie du 21ème siècle » comme aime à le répéter John W. Thompson, CEO de Symantec. Ce phénomène n’est pas sans danger, puisque perdre des données confidentielles peut avoir un impact sur la survie même des entreprises. Ainsi, aux Etats-Unis, 46 Etats imposent aux entreprises qui ont perdu des données confidentielles de se dénoncer aux autorités compétentes et d’informer chaque personne concernée. Avec les possibilités d’ester en justice sous de « class action », le coût évalué par Symantec serait de 202$ par donnée perdue… En 2008, 656 pertes de données avérées ont été constatées. Ainsi, sur cette base, le montant des pertes s’élèverait à près 6,7 millions de $... Ainsi, les rapports de l’ITRC (http://www.idtheftcenter.org/) annoncent régulièrement toutes les pertes de données tout en donnant des conseils aux utilisateurs.

Heureusement, et toutes les enquêtes le montrent en France, on n’aurait recensé aucun cas de perte de données…. Il est vrai que dans notre pays, les utilisateurs sont particulièrement soigneux et vigilants : ils ne perdent pas leurs PC portables et autres outils de communication, ils ne ramassent jamais les clés USB trouver dans les parkings, ils n’amènent jamais de travail à la maison… Cependant, selon Laurent Hesnault, Chief Technology Officer, Security Symantec EMEA Western Region, son entreprise est actuellement sur plus d’une dizaine de dossiers de DLP à la demande de sociétés du CAC 40, sans compter les autres organisations de plus petites tailles.

En cas de perte de données, Laurent Hesnault conseille de :
1. Analyser la fuite/perte pour en déterminer la cause
2. Identifier les informations perdues/dérobées
3. S’il y a lieu, supprimer tous les accès à la source immédiatement
4. Si les informations sont chez un tiers, faire en sorte qu’il fasse de même
5. Mobiliser l’équipe de crise (préalablement constituée) qui rassemblera les équipes informatiques, des membres du marketing, de la communication, des relations presse, des représentants des départements impactés, des membres de la Direction Générale, des ressources humaines…
6. Prévenir les forces de l’ordre (interlocuteurs préalablement identifiés) et autorités idoines
7. Préparer les éléments tels que pages web, communiqués de presse, questions et réponses
8. Avertir les centres d’appels et leur fournir les messages appropriés
9. Faire remonter en permanence toutes les informations vers la cellule de crise
10. Tenir des réunions quotidiennes sur l’avancement, les problèmes rencontrés
11. Evaluer les potentielles implications financières immédiates (déblocage d’une ligne de crédit)
12. Avertir les personnes ou collaborateurs touchés, par messagerie ou voie postale
13. Récolter les adresses, préparer le courrier, le mettre sous pli, affranchir, poster…et gérer les NPAI
14. Etc. etc. etc.

Pour remédier à ce problème, Laurent Hesnault explique qu’il faut sensibiliser les utilisateurs tout en ayant recours à des outils techniques. Il propose une démarche en six points :

1. Eduquer les collaborateurs et les tiers sur les fuites d’informations.
2. Identifier les environnements les plus propices aux fuites d’informations.
3. Classifier l’information en fonction de son niveau de confidentialité.
4. S’assurer d’une prise en compte globale de la problématique.
5. Déployer des solutions technologiques pour les informations les plus sensibles.
6. Se préparer à gérer des incidents, ou même une crise.

Ainsi, cette démarche s’apparente à une véritable stratégie de communication suite à un désastre de type incendie, ou de tout autre incident majeur. Ainsi, Laurent Hesnault considère qu’il est important pour les entreprises qu’elles construisent une véritable politique de sécurité pour protéger les données d’autant que les législations en ce domaine devraient se renforcer.

La législation européenne est en marche…

Effectivement, reprend Sarah Greenwood, Affaires institutionnelles de Symantec Corporation, des évolutions législatives au niveau de l’Union Européenne devraient voir le jour prochainement. Il est vrai que ces dernières sont longues à voir le jour, puisqu’en début 2008, elle annonçait déjà que des mesures étaient en marche. Toutefois, il semble que la Révision en cour de la Directive Européenne « Vie privée et communications électroniques » 2002/58/CE devait voir le jour d’ici à la mi 2009. Elle devrait rendre les FAI légalement responsables de la sécurité de leur réseau et des données personnelles de leurs clients. En outre, elle devrait introduire le principe de la notification obligatoire par les FAI en cas de violation de sécurité entraînant la perte de données personnelles de leurs abonnés, tout en avertissant l’autorité compétente de toute violation de sécurité. Selon le niveau de gravité de la violation, cette dernière pourra exiger que le FAI avertisse les personnes touchées par la violation. La Directive européenne devrait être votée en mai 2009 ; entrera en vigueur en Juin 2009. Elle pourrait être transposée en droit français avant Septembre 2010...

…et la France n’est pas en reste

Toutefois, la France est, dans ce domaine, relativement en avance par rapport aux autres pays européens puisque depuis 1978 elle a créé la CNIL, constate Maître Benoit Louvet. La France a une des législations parmi les plus strictes en matière de DLP. Si pendant des années, la CNIL n’avait que peu de pouvoir, si ce n’est de saisir le Parquet en cas d’infraction, aujourd’hui, avec la possibilité de fixer des amendes qui peuvent aller jusqu’à 5% du CA d’un contrevenant il n’en est plus de même. Selon Maître Louvet, les contrôles se multiplient actuellement, et les amendes commencent à tomber sur les entreprises. Ainsi, une « simple poubelle » qui bloque la porte d’accès à la salle informatique pour éviter aux utilisateurs d’avoir à saisir leur code d’accès est sanctionnée par la CNIL… Il semble qu’en France les législateurs ont la volonté d’inclure dans la loi la possibilité pour les particuliers de faire des « class action » et d’intégrer comme aux USA le principe de dédommagement supérieur au montant du préjudice…

Benoît Louvet a rappelé que la loi oblige les entreprises mais aussi leurs collaborateurs à une obligation de confidentialité des informations confiées. Il a dressé un bref panorama de la législation française en ce domaine. En ce qui concerne le déploiement d’un système de surveillance, il explique que le responsable du traitement devra :
Se prémunir contre la perte et le détournement des données
Tout en assurant le respect des droits individuels au respect de la vie privée
Au regard des règles de la loi Informatique et libertés
Au regard des règles du code du travail

Mais bien sûr le dispositif de surveillance devra :
Rester proportionné au but poursuivi
Faire l’objet d’une information et d’une consultation / d’un avis du comité d’entreprise
Figurer dans la « charte informatique » annexée au règlement intérieur
Etre déclaré à la CNIL (ou faire l’objet d’une autorisation selon le cas)

Pour conclure son intervention, Maître Louvet a insisté sur le fait que la Cnil augmente la pression sur la sécurité et la confidentialité des données lors de ses contrôles. Il y a une exigence de sécurité et de confidentialité de plus en plus forte de la part des clients. Enfin, le secret professionnel (et sa sanction par le droit pénal) revient au devant de la scène.

Un débat doit être lancé

Ces nouvelles législations sur la perte des données vont sans doute pousser les offres des fournisseurs… Toutefois, la dénonciation et l’auto-flagellation des entreprises qui ont perdu des données par imprudence, ou malveillance, n’est-ce pas aller trop loin ? Il est vrai que les utilisateurs, les clients… doivent être protégées. Il est évident aussi que tout entrepreneur avisé est vigilant et ne souhaite pas que les coordonnées de ses clients, voire les conditions contractuelles de ses transactions, soient divulguées. Les sanctions qui sont déjà effectives aux Etats-Unis et pourraient l’être très prochainement en Europe ne sont-elles pas disproportionnées ? Ne peuvent-elles pas mettre en péril la santé financière des entreprises et avoir des conséquences peut-être bien plus nuisibles ?

En parallèle, il faut rappeler que les particuliers ne se privent pas d’étaler leur vie personnelle, voire celle de leur « voisin » sur les réseaux sociaux… Alors quid de la confidentialité des données personnelles ? Bien sûr, ces utilisateurs qui diffusent leurs informations sont consentants, mais sont-ils conscients des implications de leurs actes ?… A ce propos Sarah Greenwood a souligné la fracture entre les générations puisque dans le domaine de l’IT pour la première fois les enfants ont plus de connaissances que leurs parents.

L’avènement du Web remet sans cesse en cause tous nos comportements psycho-sociaux. Il semble plus que jamais que les mesures de prudence de la vie réelle doient être remises au goût du jour et adaptées aux Web. Donc la formation et l’information des utilisateurs s’imposent !




Voir les articles précédents

    

Voir les articles suivants