Les entreprises doivent adapter leur approche en matière de sécurité des données, dans un paysage de menaces informatiques en constante évolution. Elles assistent non seulement à des vols de données personnelles mais également à des vagues de cyberattaques de grande ampleur de plus en plus nombreuses et agressives.
La donnée est en effet l’objet de bien des convoitises. Leur volume explose à raison de 40 à 60 % par an. Face à la recrudescence des attaques, le contexte réglementaire se durcit avec notamment la nouvelle réglementation sur la protection des données personnelles (RGPD) qui entrera en vigueur en mai prochain et qui incite les entreprises à repenser et optimiser leur stratégie de gouvernance des données basée sur un pilier essentiel : la confiance.
Comment porter cette stratégie de gouvernance des données ? Comment concilier sécurité des données et volumétrie ? Comment bâtir une relation de confiance en alliant sécurité et protection des données tout en respectant les libertés individuelles ? Quid de l’identité numérique à l’heure de l’avènement de l’Internet des objets et de l’Industrie 4.0 ?
Privacy & security by design : socle de la confiance
Le RGPD définit des règles très strictes sur la façon dont les données personnelles doivent être protégées et sur l’obligation des entreprises d’informer lorsqu’il y a des fuites de données qui sont commises. Parmi les 99 articles, celui du principe du « privacy by design » qui impose d’aborder les problématiques et enjeux de protection des données bien en amont des projets, et par défaut (Article 25) et l’Article 35 stipulant l’obligation de conduire une analyse d’impact et de risques (PIA), notamment pour les traitements de données à grande échelle ou de type profilage, obligent les entreprises à repenser l’architecture et les processus de leurs systèmes d’information, et à se poser plus sérieusement encore que par le passé la question de la gouvernance de leurs données.
Se mettre en conformité implique donc de leur part une vision et un investissement à long terme permettant de valoriser à terme une nouvelle image de leur entreprise au travers d’une valeur qui saura séduire les clients: ces utilisateurs finaux avides du respect de leurs données personnelles, de leurs données sensibles, et donc de leur sécurité. Ces derniers devraient être sensibles à ces nouveaux arguments. Une façon de procurer aux utilisateurs le sentiment d’un plus grand contrôle de leurs données, clef pour construire une relation de confiance avec les entreprises.
Le défi des entreprises est donc de reprendre le contrôle sur la façon dont sont gérées leurs données. Un véritable challenge face à ce volume de données généré qui explose et aux données sensibles et critiques surexposées.
Mais ces entreprises ne sont pas seules pour face à ce challenge. « Nous accompagnons nos clients grâce à des outils technologiques matures, mais aussi depuis quelques semaines grâce à une offre de conseil qui leur est dédiée et leur permet de sensibiliser, de responsabiliser et d’interagir en interne. Car si la gouvernance et la sécurisation des données passent par la technologie, il est essentiel d’intéresser l’ensemble du personnel aux best practices, aux enjeux et aux atouts des mesures prises par l’entreprise. » Impliquer les collaborateurs, de même que les services publics est primordial « l’ANSSI fait un travail remarquable, nombre d’entreprises ont pris conscience des enjeux, des avantages financiers et du gain de temps générés en intégrant cette approche du security & privacy by design. L’éducation des plus jeunes représente aussi un enjeu clé. En maitrisant les bonnes pratiques dès le plus jeune âge, cela devient des réflexes. N’oublions pas que c’est aussi capitaliser sur l’avenir car les enfants d’aujourd’hui sont les professionnels de demain… » souligne Coralie Héritier, Directrice Générale d’IDnomic et de poursuivre « pour mettre en œuvre un projet de gouvernance de données réussi, il faudra agir à la fois sur les hommes, les processus et les technologies. »
Prévoir plutôt que guérir
En matière de processus, les entreprises peuvent commencer par un audit de leurs données afin de mieux cerner l’étendue de leur implication vis-à-vis du règlement, établir un classement des données en fonction du besoin de niveau de protection de « public » à « très confidentiel ».
Sécuriser ses données passe en effet par une analyse et une segmentation de celles-ci. Tout ne pourra pas être sécurisé. Il faut donc identifier les données sensibles, confidentielles, personnelles, et les différencier de celles qui représentent un caractère public afin de leur attribuer un niveau de sécurité idoine.
Tiers de confiance exigé
Dès lors que ces données sont qualifiées, il faut savoir où elles sont localisées.
Les entreprises peuvent par ailleurs se tourner vers des services Cloud approuvés, des Cloud de confiance, notamment les datarooms considérées comme de véritables coffres forts numériques. Celles-ci assurent aux entreprises un stockage et un chiffrement des données en toute sécurité. Elles offrent également aux entreprises la possibilité de sauvegarder leurs données dans des centres d’hébergements sécurisés en France. Faire appel à un tiers de confiance est à ce stade essentiel. « IDnomic se positionne comme tel. Nous sommes en charge de la fabrication technique des certificats électroniques pour le compte de nos clients. Nous mettons à leur disposition, dans notre datacenter, une plate-forme PKI (Public Key Infrastructure) leur permettant de gérer le cycle de vie leurs identités numériques ».
La PKI : sécurisation de l’identité numérique dans le Cloud et l’IoT
« La PKI a fait ses preuves et représente aujourd’hui la technologie la plus sécurisée et la plus fiable pour garantir l’identité numérique des personnes, des devices et des objets et établir entre tous cet indispensable socle de confiance. » précise Coralie Héritier.
Ainsi, l’infrastructure de confiance de l’entreprise externalisée en mode Cloud bénéficie d’un centre de production hautement sécurisé situé en Ile-de-France. « Cette unité de production met en œuvre des équipements informatiques, de bases de données et d’annuaires, d’outils d’administration et de PKI, de ressources cryptographiques, de modules d’horodatage, de notarisation, de validation, de séquestre et de recouvrement. » souligne Coralie Heritier et de poursuivre « Nous avons mis à la disposition des grands acteurs et opérateurs du ferroviaire, de l’aéronautique mais aussi de l’automobile, notre expertise et notre technologie PKI, il y a déjà plusieurs années. Nous travaillons au plus près des donneurs d’ordres afin d’adapter cette technologie à la fois aux nouveaux usages mais aussi aux nouvelles exigences métier. En matière de sécurité, celles-ci sont dictées tant par les nouvelles vulnérabilités identifiées que par les mises en conformité appelées par les nouvelles réglementations européennes et internationales. »
Mise en conformité et mise en œuvre de mesures techniques et organisationnelles sont donc cruciales pour atteindre les objectifs de protection de données pour les clients.
Répondre aux enjeux de l’IoT
Les craintes relatives à la confidentialité des données restent encore un frein à la généralisation de certains services et doivent être levées pour permettre l’essor attendu des objets connectés. « Tout l’enjeu est de pouvoir « pseudonymiser » l’identité numérique. » explique Coralie Héritier. La pseudonymisation est une anonymisation que l’on peut éventuellement lever pour des besoins très spécifiques tels que ceux émis par l’autorité judiciaire par exemple. Pour les véhicules communicants cela implique par exemple de disposer d’une identité numérique fiable pour sécuriser le système d’information du véhicule par le biais d’un certificat numérique. « En parallèle de cette identité, nous émettrons des certificats électroniques, court terme, tout au long de la journée, qui permettront de masquer et chiffrer les informations émises et reçues par le véhicule. » Les échanges « pseudonymisés » vont donc pouvoir porter les couleurs d’une sécurité et d’une protection des données compatibles.
« Les certificats produits dans notre datacenter permettent de garantir la vie privée des conducteurs, tout en fournissant l’information pour identifier le véhicule et gérer, dans un réseau de confiance, ses interactions avec tout autre élément de la route connectée. » explique Coralie Héritier ajoutant « il est primordial d’être en mesure de répondre à une problématique de dimensionnement à grande échelle afin d’être en capacité de distribuer des milliards d’identités numériques pour ces stations embarquées Intelligent Transport System. Notre capacité de production industrielle permet déjà de délivrer en temps réel un très grand volume de certificats ».
« Quel que soit le moyen de transport connecté, il est indispensable de sécuriser à la source les échanges d’informations critiques, créant ainsi un environnement de confiance permettant à chacun de rester concentré sur ses priorités. »
Autant de moyens déjà développés dans l’univers du transport connecté et autonome de demain, qui a vocation à s’étendre à l’ensemble des objets connectés, et à s’adapter aux enjeux de l’industrie 4.0 et de la smart city « Il est de notre responsabilité de proposer des solutions répondant aux besoins croissants de sécurité associés à la transformation digitale de nos clients. » conclut Coralie Héritier.
Une transformation digitale qui ne tiendra en effet ses promesses qu’au travers d’une sécurité by design, et d’une confiance retrouvée. Dès lors, elle représentera ce formidable relai de croissance capable d’insuffler une nouvelle dynamique dans notre économie.
La gouvernance des données et des identités permettra aux entreprises en conformité de disposer d’un véritable avantage concurrentiel. Quant au véritable succès, il passera par une gouvernance de la sécurité, et une politique forte de l’entreprise en ce sens.