Le sujet de la sécurité des données n’est pas nouveau. Il existait déjà bien avant l’arrivée de l’ère numérique. Il s’agit de protéger la vie privée des individus et d’assurer la continuité des activités des entreprises et de toutes les organisations.

Evolution des risques et des exigences pour les couvrir
Dans un monde de plus en plus numérisé, les risques ont bien évidemment évolué mais se sont également digitalisés en grande partie car il est désormais relativement facile de s’attaquer à des données numériques à partir de n’importe quel endroit dans le monde.

La sécurité des données peut être définie comme l’ensemble des mesures et pratiques mises en place pour protéger les données contre les accès non autorisés, les pertes, les fuites, les modifications intempestives ou les destructions involontaires. En d’autres termes, il s’agit de se garantir en matière de :
– Confidentialité  : seules les personnes autorisées peuvent accéder à certaines données.
– Intégrité  : les données sont complètes et exactes, et ne peuvent pas être modifiées sans autorisation.
– Disponibilité : les données ne sont accessibles que si nécessaire et sans interruption ni autorisation.
perte.

L’ensemble de ces propriétés doit être respecté même en cas de défaillance ou de perturbation. D’où la notion de résilience que l’on voit de plus en plus apparaître dans les nouvelles législations comme DORA (Digital Operational Resilience Act), règlement de l’Union européenne visant à renforcer la résilience opérationnelle numérique des entreprises du secteur financier et applicable dès janvier 2025.

Au-delà de la seule dimension technique
En effet, les mesures et pratiques à mettre en œuvre ne concernent pas exclusivement les aspects purement techniques du problème. Il est absolument indispensable de disposer d’un arsenal complet capable de répondre à la fois sur le plan des lois, des règlementations, des procédures et des technicités. Celui-ci permettra de répondre efficacement à la problématique.

La sécurité des données est ainsi devenue un domaine très complexe qui ne se résume plus à de simples sauvegardes mais requiert une véritable expertise pour aborder l’ensemble des domaines concernés, techniques et autres, tels qu’évoqués précédemment.

Des changements de comportements
En matière de confidentialité, il est intéressant de noter un complet revirement complet quant à l’accès aux données par les administrateurs. En effet, au début de l’informatique, et pendant de nombreuses années, l’administrateur disposait de tous les pouvoirs sous prétexte qu’il devait gérer et assurer la sécurité et la maintenance de son système d’information. C’est ainsi qu’il pouvait accéder à l’ensemble des documents et les visualiser !

On assiste désormais à un changement de cap et une volonté d’encadrer l’accès des administrateurs afin d’éviter tout abus. Il s’agit en fait d’un retour au bon sens : seuls les producteurs et les propriétaires des documents peuvent décider d’accorder l’accès à leurs documents. Cependant, tous les systèmes ne disposent pas encore de cette fonctionnalité.

Limiter les accès
Pour y remédier, il est donc essentiel d’encadrer l’accès administrateur grâce à des mécanismes de sécurité pour protéger la confidentialité et l’intégrité des données sensibles. On pourra ainsi avoir recours à un système de traçabilité dans lequel les actions des utilisateurs, y compris celles des administrateurs sont enregistrées dans des journaux d’audit afin de suivre toute modification ou consultation de documents. Ce type de mesure a le mérite de dissuader les utilisateurs mais si un incident survient malgré tout, il sera malheureusement impossible de le prouver ! Il est donc préférable d’instaurer des contrôles d’accès stricts pour les documents sensibles, limitant l’accès même pour les administrateurs.

Bonnes pratiques sécuritaires

En complément voici les principales stratégies et bonnes pratiques destinées à assurer la sécurité des données dans un Système d’Information (SI). Leur objectif est de protéger au mieux les informations sensibles contre les menaces internes et externes telles que les cyberattaques, les fuites de données et les erreurs humaines, qui ne doivent surtout pas être sous-estimées.

1. Contrôles d’accès stricts en s’appuyant à la fois sur une authentification forte multi-facteurs (MFA), la gestion des droits d’accès renforcée par la mise en œuvre d’un contrôle d’accès basé sur les rôles ou role based access control (RBAC)

2. Cryptage des données lors de leur échange et stockage. Il est alors nécessaire d’assurer la gestion sécurisée des clés.

3. Sauvegardes régulières et/ou réplication sans omettre de réaliser régulièrement des tests de restauration.

4. Sécurisation des points d’accès (terminaux, appareils) avec la mise en place d’outils tels que des antivirus, des pares-feux et des solutions de détection d’intrusion. Ces outils doivent être mis à jour régulièrement pour se protéger contre les vulnérabilités. A compléter par une définition précise de l’utilisation des appareils mobiles, à travers une politique appropriée, et par la sécurisation des accès à distance en utilisant des VPN (réseaux privés virtuels) ou tout autre solution de bureau à distance sécurisée.

5. Surveillance et détection des menaces grâce à des systèmes de détection des intrusions, complétés par des audits de sécurité et une analyse régulière des journaux.

6. Mises à jour et correctifs réguliers afin de maintenir tous les logiciels, systèmes d’exploitation, applications et plateformes avec les derniers correctifs de sécurité. Si possible de manière automatisée.

7. Sécurisation des applications dans le cas où l’organisation réalise ses propres développements afin d’implémenter des pratiques de développement sécurisé comme la revue de code, les tests de pénétration et l’utilisation de bibliothèques et d’outils de développement à jour et sécurisés. S’y ajoute le contrôle de sécurité des applications, avec la mise en place de mécanismes destinés à limiter les risques liés aux applications internes et externes.

8. Plan de réponse aux incidents avec des tests réguliers destinés à vérifier l’efficacité des procédures définies. Il est important de prévoir un dispositif de communication de crise tant interne qu’externe pour informer rapidement toutes les parties prenantes.

9. Gestion des tiers et des fournisseurs à travers les contrats et les SLAs afin de définir clairement les obligations en matière de sécurité des données et de confidentialité, et de prévoir la possibilité d’effectuer des audits de sécurité réguliers des fournisseurs et partenaires pour s’assurer qu’ils respectent les exigences de sécurité de l’organisation.

Si les sept premiers points relèvent essentiellement de techniques sécuritaires, les autres points concernent davantage des aspects organisationnels, légaux et règlementaires. En effet, en cas d’incident, il devient obligatoire d’avertir des organismes nationaux comme l’ANSSI pour la sécurité pure ou encore la CNIL concernant les données personnelles, sous peine de sanctions. En ce qui concerne la gestion des tiers et autres sous-traitants, il est important de garder à l’esprit que la sécurité peut être vue comme une chaîne dont la solidité correspond à celle de son maillon le plus faible. Il est donc fondamental que l’ensemble des maillons atteigne un niveau de sécurité acceptable. Ceci est d’autant plus important qu’une organisation est désormais, dans la majorité des cas, responsable de l’application adéquate des mesures de sécurité de ses sous-traitants. Enfin, il nous reste un dernier sujet fondamental : celui des utilisateurs et, plus généralement, du facteur humain.

10. Formation et sensibilisation des utilisateurs avec l’organisation de sessions récurrentes sur les bonnes pratiques de sécurité. Ces formations sont à compléter par des séances de sensibilisation aux risques afin d’informer régulièrement les employés des nouvelles menaces potentielles. Mais aussi pour leur rappeler l’importance de la sécurité des données ainsi que leur propre responsabilité qui pourrait être engagée en cas d’incident, s’il venait à être prouvé qu’ils n’ont pas respecté les mesures définies dont ils doivent avoir connaissance. Il est également fortement recommandé de compléter les formations par des tests destinés à vérifier que les messages ont bien été assimilés par l’ensemble des utilisateurs et, le cas échéant, aider ceux qui n’auraient pas encore bien compris, comme pour les techniques de phishing. Ce type de formation régulière permet également de lutter contre le risque d’accoutumance à un danger qui n’est pas toujours immédiat !

Faire appel à des experts
La sécurité des données repose ainsi sur un ensemble de pratiques à la fois techniques et organisationnelles, ainsi que sur le respect d’exigences légales et règlementaires de plus en plus nombreuses. Néanmoins, la mise en place de ces pratiques est elle-même de plus en plus complexe, car elle fait appel à un ensemble de compétences qu’il est nécessaire d’appréhender correctement pour permettre à une organisation de protéger efficacement ses données contre les risques internes et externes. De plus, il est essentiel de maintenir une vigilance constante et de mettre en place des processus de sécurité évolutifs pour répondre aux nouvelles menaces, poussées en particulier par l’utilisation de l’intelligence artificielle à des fins malveillantes.

Contact commercial :
Juan LARRAURI
0033 (0) 7 66 46 16 61
commercial@pineappli.mc