Les enjeux de la sécurité de la donnée dans une entreprise data-driven

La transformation digitale est en route depuis une dizaine d’années, voire plusieurs décennies selon la définition que l’on prend en compte. Pourtant, la transformation digitale n’a jamais été un sujet plus d’actualité qu’en 2016, certaines grandes entreprises ne sachant pas encore comment se réorganiser pour réussir ce grand challenge imposé par les évolutions de la société.

Et ce défi est de taille, avec de multiples enjeux dont plusieurs sont liés à la donnée. Parmi eux, le Data Leakage représente un sujet juridique et économique majeur.

Voici quelques chiffres intéressants liés à la sécurité des données :

• 900 millions de données ont été compromises par des failles de sécurité ;
• Entre 88% et 90% des incidents ne sont pas intentionnels ;
• 1 identité est volée toutes les 4 secondes aux Etats-Unis (10 millions de victimes) ;
• 1 mail sur 400 contient des données confidentielles ;
• 1 fichier sur 50 est partagé à tort ;
• 1 ordinateur portable sur 10 est volé ou perdu ;
• 1 clef USB sur 2 contient des informations confidentielles.

Si on aborde très régulièrement la question du coût caché du Data Leakage, on ignore souvent un effet collatéral potentiellement très coûteux à long terme : la perte de confiance de vos clients et utilisateurs.

Un échec dans la prévention d’un incident lié à la sécurité des données va inévitablement détériorer la confiance portée à la marque. Ce qui est en jeu est la fidélité à cette dernière, puisqu’elle est intrinsèquement liée à la perception qu’en ont les consommateurs. L’impact sur le résultat de la société est encore peu calculé par les marques, mais il s’agit d’un sujet de plus en plus abordé, d’où la nécessité pour les entreprises de se prémunir contre les attaques et éventuelles failles. Selon Forrester, 2 à 3 dirigeants seront contraints de démissionner suite à un vol de données en 2016.

Et si le Data Leakage semble pouvoir toucher toutes les sociétés (LinkedIn a été victime d’un piratage en 2012, VK – l’équivalent de Facebook en Russie – en 2016), il est néanmoins possible de mettre en place des actions simples pour limiter les risques. Retirer systématiquement les tags obsolètes via un TMS en fait partie.

De quelles données est-il question?

La data est un sujet très abordé dans les conférences depuis quelques années, et au fur et à mesure que le temps passe, la différenciation entre la donnée dans son sens le plus large, la donnée personnelle et la donnée sensible devient de plus en plus floue. Les données personnelles se composent d’informations sur une personne ; elles sont associées à elle à l’aide d’éléments tels qu’un code client ou une adresse mail.
En ce qui concerne les données sensibles, ce sont des informations faisant apparaître directement ou indirectement, les origines raciales ou ethniques d’une personne, ses opinions politiques, philosophiques ou religieuses, ou qui sont relatives à sa santé ou à ses préférences sexuelles, entre autres.
La collecte de données sensibles est interdite en France, sauf dans les cas où elle est liée à l’activité du site (comme c’est le cas pour les sites de rencontre, par exemple). La donnée est devenue hautement stratégique pour un grand nombre d’entreprises françaises et étrangères, où la protection de l’information est la principale préoccupation.

Qu’est-ce qu’une entreprise data-driven?

Littéralement, une entreprise data-driven est une entreprise pilotée par la donnée. Il s’agit d’avoir une « culture data » forte, où la donnée est non seulement accessible, mais se situe au centre même de la réflexion stratégique de la firme et dirige ses actions. Dans ce contexte, la donnée est un outil majeur d’aide à la prise de décision et doit faire l’objet d’une attention quotidienne totale. Un critère minimum serait la mise en place de tableaux de bord journaliers adaptés aux besoins de chaque métier, avec une forte dimension business, et une ouverture sur les autres métiers et les données significatives pour eux.

Dans certains métiers, la fréquence à laquelle la donnée intervient dans les décisions est plus élevée : c’est le cas par exemple des e-commerçants pendant les périodes de soldes ou des journées promotionnelles.
Mais la donnée ne doit pas être seulement vue comme un outil d’aide à la décision, elle doit être exploitée pour ajouter de la valeur, proposer de meilleurs services et améliorer la satisfaction du client.

Pour être efficace, la donnée ne doit plus être collectée et stockée en silos, ce qui impose souvent une transformation structurelle et organisationnelle des entreprises. Cela implique une collaboration étroite entre les différents métiers et des changements dans leur façon de travailler.

Dans un contexte où la data va être au cœur des stratégies, être en règle avec les lois relatives à la protection des données est crucial.

La CNIL et la protection de la vie privée

La CNIL (Commission Nationale de l’Informatique et des Libertés) est l’autorité chargée de la normalisation des données personnelles en France. Elle a pour mission d’informer et de protéger les citoyens, d’accompagner et de conseiller les organismes qui souhaitent se mettre en conformité, de contrôler et de sanctionner les organismes qui ne le sont pas, et d’anticiper les nouveaux usages qui pourraient avoir un impact sur les données personnelles des citoyens.

En 2015, la CNIL a reçu plus de 2 800 plaintes liées à la protection de la vie privée sur internet. Depuis sa création, la commission a été consultée et a participé à plus de 2 500 décisions et délibérations. La loi 78-17 du 6 janvier 1978 modifiée comprend désormais plus de 70 articles.

Début 2016, l’Union européenne a adopté un règlement relatif aux données personnelles afin de mieux protéger les citoyens européens. Il y est prévu plusieurs mesures et sanctions, applicables dans tous les pays membres de l’union à partir de 2018.

En cas de violation des droits liés aux données collectées, l’entreprise responsable encourra désormais une sanction pouvant s’élever à 4% de son chiffre d’affaires annuel mondial.

Quels principes doit-on respecter ?

1. Le principe de finalité

Une organisation doit avoir un objectif légitime pour pouvoir collecter des données à caractère personnel. L’usage et la finalité de la collecte de cette donnée doivent également être clairs et légitimes.

2. Le principe de proportionnalité

Seules les informations pertinentes et nécessaires peuvent être collectées pour leur finalité.

3. Le principe de pertinence des données

L’information collectée doit être nécessaire à l’activité de l’organisme : un site marchand de chaussettes n’a pas besoin d’informations relatives au sexe, âge, situation amoureuse et préférences sexuelles de ses visiteurs, contrairement à un site de rencontres en ligne.

4. Le principe de durée limitée de conservation des données

Les données collectées ne doivent pas être conservées au-delà d’une durée cohérente avec la finalité de la collecte. Au-delà, les données peuvent être archivées sur un support distinct.

5. Le principe de sécurité et confidentialité

Aux Etats-Unis, il y a plus de 2 vols de données chaque jour. Le principe de sécurité et confidentialité des données est probablement le principe le plus problématique pour les entreprises. Elles sont tenues de garantir la confidentialité des données et d’éviter l’intrusion, leur perte, détérioration et communication à des tiers. Les mesures de sécurité doivent correspondre à la nature de la donnée et aux risques représentés.

6. Le principe de transparence

L’entreprise à l’origine de la collecte de données doit avertir les utilisateurs de la collecte et du partage des informations avec des tiers. Les utilisateurs du site peuvent, quant à eux, contrôler l’information qu’ils souhaitent fournir ou pas.

7. Le principe de respect du droit des personnes

Les utilisateurs doivent obligatoirement être informés de la finalité du traitement qui sera fait de leurs données. Ils bénéficient alors d’un droit de rectification ou de suppression de ces données, ou d’opposition à la collecte des données pour des motifs légitimes.

Minimiser les risques liés à la sécurité de la donnée

Le responsable du traitement des données ou Data Protection Officer (DPO) doit mettre en œuvre les mesures nécessaires pour éviter l’endommagement, mauvaise utilisation ou accès frauduleux aux données. L’accès aux données doit être uniquement réservé aux personnes désignées ou à des tiers qui détiennent une autorisation spéciale et ponctuelle (service des impôts, police, etc.). Le DPO doit également déterminer une durée raisonnable de conservation des informations personnelles. Si l’entreprise ne respecte pas ces obligations, elle encourt 5 ans d’emprisonnement et une amende de 300 000 €.

Afin de minimiser les risques liés à la sécurité de l’information, il faut identifier les différentes sources de fuite de données (DLP pour Data Loss Prevention) et failles potentielles, ainsi que leur importance. Cela implique, dans un premier temps, de créer une cartographie des données à protéger.

D’autre part, les données dont la combinaison est sensible doivent être chiffrées séparément. Les clefs d’encodage doivent à leur tour être régulièrement modifiées, stockées à distance et accessibles via une connexion sécurisée.

Enfin, une stratégie de protection des données collectées doit être mise à jour très régulièrement, puisque l’information est constamment menacée. À chaque incident, une enquête doit être menée afin de renforcer les éléments de sécurité mis en place.

Mais l’invulnérabilité d’un système ne pourrait être garantie à 100%, le facteur humain étant une menace indirecte des plus difficiles à contrôler (l’employé est souvent déclencheur, à son insu, d’attaques et d’intrusions). Les ressources humaines peuvent néanmoins être sensibilisées à la sécurité des données grâce à une liste de réflexes à adopter dans leur comportement quotidien.

Qui se charge de la sécurité des données en interne?

Le Règlement Européen sur la Protection des Données Personnelles a été adopté le 27 avril 2016 par le Parlement Européen. Il prévoit que les entreprises « dont les activités consistent en des traitements de données qui, en raison de leur nature, de leur portée ou de leur finalité, exigent un suivi régulier et systématique de personnes », nomme un Data Protection Officer (DPO). Internalisé ou externalisé, son rôle est d’informer son entité sur les obligations relatives aux données personnelles, de contrôler le respect de ces dernières, de sensibiliser et de former le personnel à ces sujets et de conseiller l’entreprise en matière d’analyse d’impacts. Le DPO est tenu de coopérer avec la CNIL et d’être son point de contact privilégié.

Les entreprises françaises ont deux ans pour se mettre en conformité avec ce nouveau règlement.