GDPR : une trousse à outils qui commence par une cartographie
Connaître son système d’information. C’est le socle indispensable pour se préparer à l’entrée en vigueur du règlement européen de protection des données. Mais il faut bien plus et certains ne sont pas forcément encore pleinement matures.
Tous les experts s’accordent sur ce point : la conformité à la nouvelle règlementation européenne de protection des données (RGPD ou, GDPR, pour General Data Protection Regulation), c’est d’abord et avant tout une question de processus et d’organisation. Ce qui ne signifie pas que qu’aucun outil ne soit nécessaire, bien au contraire. Et le premier d’entre eux est peut-être tout simplement un tableur…
Raphael Brun, responsable de département gestion du risque et sécurité de l’information chez Wavestone, explique ainsi que la première étape de la mise en conformité, c’est la constitution du registre référençant traitements et processus existant manipulant des données à caractère personnel. Et pour cela, souvent, de simples tableurs sont utilisés : « cela fonctionne généralement très bien, parfois même mieux que des outils du marché ».
Jean-Marc Grémy, président du Club de la sécurité de l’information français (Clusif), ne le contredira pas. Citant les travaux du groupe de travail du Clusif dédié à l’étude des possibles synergies entre RSSI et responsable de la protection des données, le fameux DPO, il évoque aussi cette cartographie, avec des modèles de fiches descriptives des traitements devant figurer au registre, mais également la politique de protection des données personnelles,
des modèles de mentions légales, notamment pour la gestion des consentements, ou encore une fiche descriptive du poste de DPO.
Remontant un cran en amont, Vincent Laurens, vice-président de Sogeti Luxembourg et directeur de sa practice cybersécurité, part de l’évaluation de la préparation au GDPR, « un état des lieux qui peut se faire en deux semaines ». Une base visant à fournir une vision de haut vision à partir de laquelle pourra être établi un plan d’action.
Cacher les données personnelles à ceux qui n’ont pas à les voir
D’un point de vue technique, « tout ce qui va permettre de désensibiliser ou d’anonymiser des jeux de données » va jouer un rôle clé, relève Raphael Brun. Le but étant qu’une personne n’ayant pas de légitimité à consulter des données personnelles susceptibles d’identifier un individu ne le puisse pas : il faut des outils « qui empêchent l’identification par inférence, recoupement ou déduction ». Cela concerne notamment « les environnements de pré-production où l’on doit avoir des jeux de données très proches de ceux utilisés en production ».
Le masquage de données ou la tokenisation « permettent de désensibiliser, mais pas d’anonymiser, car la donnée authentique existe toujours ». Pour anonymiser, il faut aller plus loin. Et justement, relève Raphael Brun, « la désensibilisation est assez mature, car elle est déployée dans tous les environnements où sont traitées des données de cartes bancaires ». Mais il est difficile d’en dire autant des techniques d’anonymisation. « On ne va pas appliquer les mêmes techniques à tous les cas d’usages. Par exemple, sur un environnement hors production, on n’a pas forcément besoin de données authentiques; on a besoin de données fonctionnellement correctes, comme une fausse adresse respectant les règles de gestion ». Dans d’autres cas, les méthodes dites de globalisation, qui réduisent la granularité des données, peuvent être appliquées. « Mais une globalisation trop importante peut rendre difficile les interprétations », ce qui peut être préjudiciable dans des domaines comme la santé ou la recherche, explique Raphael Brun. En fait, pour lui, si l’anonymisation est au coeur du règlement européen, elle est encore « très compliquée à mettre en œuvre ».
Contrôler et surveiller
Mais l’éventail des outils nécessaires va au-delà. Le Clusif évoque également la gestion des droits ou encore celle des incidents de sécurité. Raphael Brun pense gestion des identités et des accès (IAM) ou encore capacités de détection (avec SOC). Vincent Laurens regroupe les outils nécessaires dans cinq catégories : la découverte et la classification des données ; le chiffrement et le masquage des données ; la supervision des fichiers et des données ; le blocage des attaques ; et enfin l’audit et le reporting de conformité. Et de positionner, par exemple, l’IAM à cheval entre supervision des activités et blocage. « Suivant la nature de son architecture, qu’elle soit pleinement locale, hybride Cloud ou pleinement Cloud, on choisira des outils différents », explique-t-il.
Et justement, il est plus que tentant d’imaginer que les infrastructures pleinement Cloud ont là une longueur d’avance, à compter que des solutions telles que les passerelles d’accès Cloud sécurité (CASB) soient mises en œuvre de manière appropriée. Pour Vincent Laurens, cela ne fait pas de doute. S’il « ne faut pas oublier que le Cloud ne dégage pas de sa responsabilité en cas de brèche, beaucoup de fournisseurs Cloud proposent du chiffrement des données, ou du masquage. Cela peut faciliter grandement les choses ». Alors au final, selon lui, « on a beaucoup plus de chances d’être rapidement conforme avec un environnement hybride ou intégralement Cloud ».