Données personnelles, sensibles, critiques ou encore vitales… Le vocabulaire pour évoquer les données est multiple. Et laisse aussi supposer à une partie des entreprises et organisations qu’elles ne seraient pas concernées par leur protection. Mais est-ce vraiment le cas ? Les données personnelles, mises en lumière par le RGPD, ne sont-elles pas l’arbre qui cache la forêt ? Car toutes les entreprises produisent des données, sans avoir toujours conscience de leur valeur. Et surtout, de la nécessité de les protéger.
Depuis son entrée en vigueur en mai 2018, le Règlement général sur la protection des données (RGPD) a contribué à la diffusion de nouvelles expressions : les données personnelles et les données sensibles. Un petit détour sur les moteurs de recherches révèle à quel point les données sensibles sont l’obsession du moment. Mais de quoi parle-t-on exactement ? Car à y regarder de plus près, le champ des données sensibles est plutôt restreint et sa définition stricte est loin d’englober tous les enjeux data de l’entreprise. Et pourtant…
C’est quoi une donnée sensible ?
La liste des données sensibles fournie par la commission européenne dans le cadre du RGPD est claire. Il s’agit des données à caractère personnel d’une personne, donc des informations relatives à son origine raciale ou ethnique, ses opinions politiques, ses convictions religieuses ou philosophiques, son appartenance syndicale, ses données génétiques ou biométriques, ses données de santé, sa vie sexuelle ou encore son orientation sexuelle.
Les traitements sur ces données, incluant collecte et utilisation, sont strictement encadrées par la loi. Mais sont-elles les seules qui nécessitent une protection particulière ? Spoiler alert: non.
Données sensibles, critiques, vitales…
Car la multiplicité des données d’une organisation est bien plus large que les seules données sensibles. Dans son guide d’hygiène informatique, l’ANSSI évoque les « données jugées vitales pour l’organisme et les serveurs concernés ». Un nouveau terme pour parler des données. Mais alors, quelle différence entre données sensibles et données vitales ? Ces dernières sont les données considérées comme indispensables au bon fonctionnement de l’entité : données de production, données financières, données de R&D (la recette secrète d’une boisson ou l’algorithme d’un moteur de recherche par exemple…). Sans elles, l’entreprise n’existe plus ou perd son avantage concurrentiel. Il s’agit de données qui, si elles venaient à être dévoilées, dérobées ou perdues, auraient un impact critique pour l’entreprise ou l’organisation qui les perd. Par exemple, les données d’une négociation en cours, d’une levée de fonds ou d’une OPA à venir. Mais pas seulement. Un simple carnet de commande neutralisé et c’est toute l’activité d’une TPE ou d’une PME qui peut vaciller. Le spectre des données à protéger est donc bien plus large que les seules données sensibles. Ce sont toutes ces données qui sont visées par les cyber-criminels. « En effet, de plus en plus de petites structures font l’objet d’attaques rendant ces données indisponibles », souligne l’ANSSI dans son guide. À ce titre, elles doivent faire l’objet d’une vigilance particulière, avec des sauvegardes régulières (stockées sur des équipements déconnectés), dont la restauration doit également être vérifiée de manière périodique.
Souvent, on pense d’abord aux données stratégiques : données RH ou financières, données de R&D ou de production… Mais toute donnée produite par l’entreprise a de la valeur. Si on prend le temps de la produire, c’est qu’elle contribue à l’activité de l’entreprise. Il faut donc la protéger aussi.
Julien Paffumi, Product Portfolio Manager chez Stormshield
Données personnelles, données sensibles, données vitales ou encore données critiques, les données à protéger varient ainsi d’une organisation à l’autre : savoir-faire sur des procédés chimiques, R&D, emplacement de matières premières, audit interne (protection des chiffres, investissements...), échanges entre les membres du Comex, rachat/OPA, données RH, données comptables, échanges entre un journaliste et ses sources, chaîne de production, plan d’une pièce industrielle... « Par exemple chez Stormshield, l’échange de CV se fait dans des emails chiffrés. Et les données partagées sur le personnel sont stockées dans des répertoires sécurisés », précise Jocelyn Krystlik, Business Unit Data Security Manager Stormshield. « Sont critiques les données qui touchent au core business d’une entreprise, ou à ce qui vient le composer : brevets, activité commerciale, données financières, données stratégiques… Donc tout ce qui a une valeur reconnue par ses clients. Il faut donc penser en termes d’information et comment cette information est stratégique pour l’organisation », résume Laurence Houdeville, spécialiste Data qui a co-dirigé le livre blanc Le cloud de confiance, un enjeu d’autonomie stratégique pour la France. Une donnée raffinée, donc, mais pas seulement.
« Toutes les données de l'entreprise ou presque sont importantes et utiles, abonde Julien Paffumi, Product Portfolio Manager chez Stormshield. Souvent, on pense d’abord aux données stratégiques, des données RH et financières jusqu’aux données de R&D ou de production… Mais toute donnée produite par l’entreprise a de la valeur. Si on prend le temps de la produire, c’est qu’elle contribue à l’activité de l’entreprise. Il faut donc la protéger aussi. Cela concerne aussi les données non structurées. » Selon le Magic Quadrant for Distributed File Systems and Object Storage de Gartner, le taux de croissance annuel des données non structurées est de l’ordre de 30 à 60%. Et selon une étude de Thales, seulement 17% des entreprises chiffrent au moins la moitié de leurs données dans le cloud. Deux chiffres qui montrent un fort enjeu de protection de la donnée. Mais comment faire ?
Recenser et classifier les données pour mieux les protéger
Pour Laurence Houdeville, « on ne protège bien que ce que l’on connaît bien ». Le premier enjeu de la protection des données réside donc dans la connaissance de son patrimoine informationnel. Concrètement, cela signifie recenser les traitements de données, automatisés ou non, les données traitées (ex : fichiers client, contrats) et les supports sur lesquels elles reposent – au niveau des matériels (ex : serveurs, ordinateurs portables, disques durs), des logiciels (ex : système d’exploitation, logiciel métier) mais aussi des canaux de communication (ex : fibre optique, Wi-Fi, Internet).
On ne protège bien que ce que l’on connaît bien
Laurence Houdeville, spécialiste data
« On réalise un état des lieux avec une cartographie faisant apparaître les données de références, en se demandant lesquelles ont le plus de valeur et à quel moment de leur utilisation. Donc ce n’est pas la donnée utilitaire mais la donnée raffinée, croisée, qui est intéressante, précise Laurence Houdeville. Ensuite on travaille le chemin critique : comment cette donnée est croisée à une autre, sur quel critère cette donnée à de la valeur ? etc. » Après l’audit, la classification des données va permettre de faire le tri selon la criticité de la donnée, et donc sa confidentialité et sa diffusion. Oui mais voilà : il n’existe pas de nomenclature type. « Chaque organisation a son propre niveau de classification : C1, C2, C3 (confidentiel 1er niveau etc.); D1, D2, D3; interne ou externe… et même par couleur (amber / red…), détaille Jocelyn Krystlik. Ce n’est pas standardisé, chacun fait un peu ce qu’il veut, même si le fond reste à peu près le même. » Ce qui renvoie, comme souvent, à une question de maturité cyber.
De la maturité des organisations en matière de data
Il existe différentes solutions pour classifier ses données : un template utilisé par tous avec des champs à remplir, un watermark dans le fichier ou de la classification automatique par mots ou informations-clés (numéro de sécurité sociale, RIB etc.). « Les petites entreprises proposent souvent un template de mail où l’utilisateur renseigne lui-même la classification en cochant la bonne case, note Jocelyn Krystlik. Les grandes entreprises ont, elles, souvent des outils qui permettent de détecter automatiquement des mots-clés et chiffrer la communication si besoin, voire bloquer son envoi pour faire en sorte qu’elle ne quitte pas l’entreprise si sa diffusion ne l’autorise pas. »
Quant à la méthode de classification, il peut varier d’une organisation à une autre. Lorsqu’il y en a un, le Data Protection Officer (DPO) pose généralement le cadre de la classification puis c’est au producteur de la donnée de se poser la question pour déterminer si sa donnée est confidentielle ou pas. Cela soulève la question de l’hygiène numérique. Pour classifier la donnée afin de la protéger ou de limiter sa diffusion, encore faut-il que son possesseur ou son producteur soit conscient de sa valeur. « Il s’agit de faire attention à ce que l’on envoie et à qui. C’est de l’hygiène numérique mais cela suppose aussi un certain degré de maturité de l’entreprise sur la donnée, et de former les gens à cette notion et ses enjeux », note Julien Paffumi. Cela soulève aussi la question de l’entretien de cette connaissance. « Face à un sujet cyber qui peine encore à s’installer dans le quotidien de tous, on s’aperçoit que chaque année, il faut que le DPO de l’entreprise rappelle les règles en matière de politique de la donnée. » Une pratique chronophage, mais indispensable.
La question de la maturité se pose également lorsqu’il est question de sauvegarde. « La sauvegarde des données est un sujet à appréhender à plusieurs, prévient Julien Paffumi. Entre le service IT et les métiers, la responsabilité est partagée. Le métier doit identifier d’une part s’il a une donnée qui a de la valeur pour l’entreprise et d’autre part à quel point sa destruction, sa perte ou son vol peut être problématique. Il est donc fortement impliqué dans sa protection. L’IT doit de son côté avoir connaissance de cette donnée pour fournir les outils et infrastructures adaptés afin d’aider à la protéger, et assurer la capacité à la restaurer si besoin. L’objectif est d’éviter le ‘shadow backup’ ou ‘shadow data storage’, dans les cas où les équipes métier mettent une solution de leur côté et stockent leurs données sur un serveur ou une solution de stockage cloud sans que l’IT ou l’équipe sécurité en aient connaissance. » Simple sur le papier, mais dramatiquement complexe en réalité, surtout lorsque le shadow IT entre dans la danse…
Pour conclure, la sécurité des données repose sur une approche globale combinant protection périmétrique, protection de poste et protection de la donnée. « Aucune donnée n’est vraiment sans importance. Il y a donc un réel besoin de prévoir différentes couches de protection : firewall pour les réseaux, solutions endpoint pour les postes de travail, solutions de chiffrement ou de prévention de fuite pour la donnée elle-même (Data loss prevention, DLP), détaille Julien Paffumi. Et suivre une politique de sauvegarde rigoureuse. » Enfin, mieux vaut prévoir un Plan de reprise d’activité (PRA) ou un Plan de continuité de l’activité (PCA). Et pour le stocker, libre à vous de l’imprimer et de le conserver dans un espace physiquement sécurisé, ou de le conserver au format numérique mais dans un serveur distinct et isolé pour éviter qu’il ne soit lui-même chiffré !