Gérer les risques
Aujourd'hui et demain

Cybersécurité

Robert Arandjelovic (Blue Coat) : « Peu d’organisations disposent d’une visibilité et d’un contrôle complets sur leurs données »

Interview du directeur de la stratégie de sécurité chez Blue Coat qui s'exprime sur le règlement général sur la protection des données (GDPR). Lequel offrira aux citoyens européens une protection cohérente sur le Vieux continent, notamment concernant le traitement de leurs données par des organisations privées.

A quelle date le règlement général sur la protection des données (GDPR) va-t-il entrer en vigueur ?

Il sera applicable à partir du 25 mai 2018. Le GDPR établit des standards minimaux en matière de traitement, de sécurité et de partage des données personnelles des résidents de l’Union européenne. Compte tenu de l’étendue des changements nécessaires au niveau des individus, des processus et des technologies à moins de deux ans de la date fatidique, les entreprises les plus visionnaires ont déjà lancé leurs processus de mise en conformité.

Est-ce que le Brexit affranchit les organisations britanniques ?
Non. En effet, ce règlement concerne les données personnelles des citoyens européens et ne s’applique pas en fonction de la présence ou non d’une entreprise dans l’UE. En vertu de sa clause d’extra-territorialité, si vous vendez ou faites la publicité de produits ou services à 5.000 personnes dans la région, vous devrez en respecter les principes. En tout état de cause, le Royaume-Uni n’ayant toujours pas annoncé les modalités de sa sortie de l’Union, l’ensemble des réglementations européennes en vigueur continuent de s’appliquer.
Quels sont les changements prévus ?

Le GDPR harmonisera les réglementations en matière de protection des données dans l’ensemble de l’UE, remplaçant ainsi les dispositions nationales existantes des pays membres. Même si les normes appliquées seront en réalité bien moins rigoureuses pour la plupart d’entre elles et qu’elles nécessiteront la mise en place de nouvelles mesures dédiées au sein des organisations, cette cohérence devrait simplifier les activités des entreprises. Actuellement, celles-ci doivent maîtriser 28 différents programmes de protection. Le GDPR simplifiera considérablement tout cela, tout en permettant malgré tout à chaque pays membre d’établir des réglementations locales complétant la législation européenne.
Concrètement, quels sont les points clés ?
Tout d’abord, le « droit à l’oubli ». Ensuite, en cas de fuite de données, vient l’obligation d’informer. En effet, conformément au GDPR, les organisations sont tenues d’informer l’Autorité de surveillance de l’Union européenne dans les 72 heures. Elles doivent donc évaluer sans attendre leurs capacités actuelles de résolution des problèmes, afin d’être en mesure de dresser rapidement un tableau complet des incidents et de leurs causes. Il faudra aussi nommer des responsables de la protection des données (DPO : Data Protection Officer), avoir recours à des processus et technologies de protection des données pouvant être vérifiés. Il y aura aussi des amendes allant jusqu’à 4% du chiffre d’affaires annuel des organisations et jusqu’à 20 millions d’euros maximum en cas d’infraction grave.
En termes d’investissement, comment réagissent les entreprises ?
Selon le cabinet d’analystes Ovum, 70% des entreprises prévoient d’accroître leurs investissements afin de répondre aux exigences en matière de protection et de souveraineté des données. L’une de leurs principales motivations est le fait que tout manquement à cet égard à l’issue de la période de transition de deux ans aura des conséquences financières considérables, dont le risque d’être régulièrement soumises à des audits de leurs systèmes de protection des données.
Comment se mettre en conformité ?
Les organisations doivent déployer des technologies et des procédures de pointe. L’accent doit être mis sur des architectures flexibles capables d’intégrer de nouvelles technologies, la définition de « technologies de pointe » évoluant au fil du temps.
Que penser de la diffusion massive des technologies de chiffrement ?

Vraisemblablement, elles seront de celles qui seront requises pour protéger les données sensibles. Elles vont ainsi contribuer à la croissance rapide du trafic réseau et Internet chiffré. Cependant, les organisations devront faire attention aux cybercriminels dissimulant leurs attaques au sein d’un trafic en apparence inoffensif. Malheureusement, la plupart des outils de sécurité ne sont pas en mesure d’analyser les données chiffrées à la recherche de malwares, ou de signes d’une attaque chiffrée ou d’exfiltration. De fait, le chiffrement constitue donc un outil simple et efficace pour contourner les systèmes de contrôle de sécurité. Pour faire face à cette menace, la solution consiste à mettre en place une stratégie de chiffrement associant confidentialité des données à une sécurité renforcée. Il existe pour cela des technologies de gestion du trafic chiffré [Encrypted Traffic Management (ETM)] qui permettent aux organisations de déchiffrer certains types de trafic. Le contenu est ensuite transféré de façon sécurisée afin de subir des contrôles de sécurité, puis à nouveau chiffré et envoyé vers sa destination.
Concernant l’obligation d’informer suite à une fuite de données, les organisation ne vont-elles pas être dans l’embarras ?
En effet, ce n’est pas aussi simple qu’il n’y paraît. Selon une enquête de Ponemon Institute, il faut parfois plus de 250 jours pour détecter une fuite de données et 80 jours de plus pour la résoudre. Ces délais augmentent lorsque les équipes chargées de la gestion des incidents doivent examiner manuellement d’importants volumes de données hétérogènes afin de déterminer ce qui s’est passé, qui est affecté et comment corriger le problème.

Que faire pour retrouver une telle aiguille dans une botte de foin ?
Miser sur l’intelligence automatisée afin d’améliorer la capacité des organisations à alerter les intéressés des fuites de données et de montrer aux autorités qu’elles ont prisdes mesures suffisantes pour les détecter et résoudre ces situations. Les solutions de Gestion des informations et des événements de sécurité (SIEM) ou encore d’Analyse rétrospective des incidents réseau leur permettent de capturer automatiquement l’ensemble des données des réseaux à un emplacement unique. Elles peuvent ainsi identifier la méthode employée par les pirates, les ressources affectées et les données concernées.
Qu’en est-il du contrôle des données hébergées dans le cloud ?

De nombreuses organisations considéreront le cloud comme une brèche particulièrement béante au sein de leurs stratégies de protection des données. En raison de leur dépendance croissante aux applications cloud, elles rencontrent de plus en plus de problèmes en matière de confidentialité, de conformité et de sécurité. Les données des utilisateurs sont en effet plus exposées par rapport à l’époque où elles étaient confinées dans des systèmes locaux. Le risque de violation du règlement GDPR en cas de fuite de données s’en trouve donc accru. Résultat : peu d’organisations disposent d’une visibilité et d’un contrôle complets sur leurs données, tout simplement parce qu’elles ne sont pas maîtres de l’infrastructure sur laquelle s’exécutent leurs applications. C’est d’ailleurs là que réside à la fois toute la beauté et l’horreur des applications cloud.
Comment se protéger dans ce contexte ?

C’est tout l’enjeu des technologies de sécurisation des accès aux applications cloud [Cloud Access Security Brokers (CASB)] qui offrent une visibilité sur l’utilisation et sur les données circulant vers ces applications. Il est également possible de contrôler les identités des individus autorisés à les utiliser ou à visualiser certains types d’informations, et de découvrir quelles applications peuvent échanger des données privées. La tokénisation s’annonce elle aussi comme une technologie utile en matière de résidence des données. Grâce à elle, les organisations peuvent utiliser des applications cloud en toute sécurité en substituant des « jetons » sécurisés à des données privées, tandis que le trafic est transféré vers des serveurs d’applications cloud via Internet. De cette façon, les données privées ne quittent jamais le périmètre de l’organisation. Celle-ci peut ainsi répondre aux exigences de résidence des données et se conformer à l’obligation de protection suffisante du GDPR en cas de fuite, sans oublier les réglementations en matière de résidence des données des cadres Safe Harbor et Privacy Shield.
Outre la mise en conformité au GDPR, les organisations vont-elles retirer des avantages ?
Oui. Elles vont renforcer leur gouvernance et sécuriser leurs données face à l’évolution rapide du cloud computing.

Propos recueillis par Erick Haehnsen

Commentez

Participez à la discussion