Les outils de protection des données fonctionnent pratiquement sans aucun contexte quant aux données qu’ils sont censés protéger. Découverte La protection des données sensibles, confidentielles et réglementées figure en tête des priorités de la quasi-totalité des RSSI depuis dix ans. Face à cette situation, le secteur de la sécurité informatique a développé une gamme de solutions pour faciliter la découverte et la classification des informations afin de mieux les protéger. Cependant, ces solutions se heurtent à un problème persistant : les outils de protection des données fonctionnent sans pratiquement aucune information sur les données qu'ils sont censés protéger.
Les enjeux liés à la protection des données personnelles et privées sont de plus en plus importants : non seulement les divulgations de violations de données sont quasi quotidiennes, mais de plus en plus de règles et réglementations en matière de confidentialité des données soulignent l'obligation pour les entreprises de sécuriser les données qu'elles détiennent sur leurs clients et utilisateurs. D'autres règles exigent des entreprises des contrôles appropriés et un ensemble de processus de réponse et de notification en cas de violation pour les utilisateurs et clients concernés par l'exposition de leurs données privées.
Les préoccupations en matière de confidentialité étant désormais primordiales pour les consommateurs et les entreprises, désormais obligées de se conformer à de nouvelles exigences de conformité, la question à laquelle beaucoup se posent est la suivante : comment puis-je protéger la confidentialité de mes clients si je ne sais rien des données que je protège ?
L'environnement a évolué et s'est davantage concentré sur la confidentialité, mais les outils de protection des données ne s'y sont pas encore adaptés. Les solutions de sécurité informatique se sont concentrées sur les moyens de protéger les informations et de garantir leur chiffrement, sauf autorisation d'accès. Pare-feu en périphérie, agents sur le serveur, passerelles en amont, IPS, AV, DLP, IPS, SIEM, EDR, UEBA, PIM, IAM, SSO… la liste est longue. Pourtant, une question fondamentale reste sans réponse : à qui appartiennent ces données et quelle est leur pertinence ? S'agit-il du numéro de sécurité sociale d'un client ? D'un employé ? D'une personne quelconque ? D'un enfant ? D'un résident étranger ?
Il manque aujourd'hui un élément clé à la protection des données : la connaissance de l'identité des données, ou de la « personne concernée », comme l'appellent les professionnels de la protection de la vie privée et la réglementation. Pourquoi est-il utile de connaître l'identité des données ? Voici cinq raisons principales :
1. Précision améliorée
La plupart des outils de protection des données actuels utilisent des expressions régulières pour identifier les informations personnelles et sensibles, comme un numéro de sécurité sociale ou un numéro de carte de crédit. Le problème est que ce qui ressemble à un numéro de sécurité sociale n'en est pas toujours un. Il peut s'agir d'un numéro de téléphone à 9 chiffres et tirets. Cependant, si vous savez qu'un numéro de sécurité sociale appartient à un client ou à un de vos employés, vous savez qu'il s'agit d'un véritable numéro de sécurité sociale.
2. Le contexte identitaire définit la sensibilité
Les informations personnelles identifiables (IPI) ne sont considérées comme sensibles que dans le contexte d'un utilisateur spécifique. Des informations personnelles telles que le sexe, la religion, l'âge, les itinéraires de course à pied, les préférences d'achat, l'adresse de résidence… ne sont sensibles que si elles peuvent être liées à une personne spécifique. Les outils actuels de protection des données ne permettent pas d'analyser si un fichier ou un enregistrement contenant des informations sur le sexe, la taille et le poids d'une personne sont des attributs d'un client spécifique. Il n'existe aucune expression régulière ni aucun algorithme d'apprentissage automatique capable de le déterminer sans connaître l'identité des données. Pour cela, il faut connaître l'identité des données.
3. Plan de réponse aux violations
Votre hypothèse de travail doit être que vous allez être victime d'une violation de données. C'est pourquoi 25 États américains et l'entrée en vigueur imminente du RGPD exigent que vous ayez un plan de réponse aux violations et que vous puissiez avertir vos clients en cas de violation dans les 72 heures. À moins de vouloir avertir tous vos clients de la découverte d'une violation dans un centre de données ou une base de données, vous devez savoir où sont stockées les données client. De plus, si vous obtenez un vidage de données de dossiers personnels piratés et souhaitez savoir lesquels de vos clients ont été touchés afin de les avertir ou au moins de les inciter à réinitialiser leurs mots de passe, vous devez pouvoir corréler ce vidage de données avec les données de vos clients. Cela nécessite, là encore, de connaître l'identité des données.
4. Respect des droits des personnes concernées
Bien que l'expression « droits des personnes concernées » soit généralement associée au Règlement général sur la protection des données (RGPD) de l'UE, le principe de propriété des données par les consommateurs est largement ancré aux États-Unis dans diverses réglementations existantes, telles que la loi HIPAA, et de plus en plus souligné dans les nouvelles règles édictées par la FTC et la FCC. Les droits des personnes concernées désignent un ensemble de droits dont disposent les individus concernant leurs données personnelles et les limites de leur collecte et de leur traitement par les prestataires de services, les agences gouvernementales et autres organismes. Cela inclut le droit de savoir quelles données vous concernant sont stockées, le droit d'y accéder, ainsi que le droit de les effacer ou de les modifier. Ne pas respecter ces droits peut entraîner de lourdes sanctions, pouvant atteindre 41 TP3T de chiffre d'affaires mondial selon le RGPD. Pour qu'une organisation puisse respecter ces droits, il est essentiel de savoir où se trouvent les données de chaque individu. Le respect des droits des personnes concernées nécessite de connaître l'identité des données.
5. Déterminer la résidence et la souveraineté des données
L'applicabilité de nombreuses réglementations en matière de protection des données dépend du lieu de résidence des personnes. Plus particulièrement, l'applicabilité du RGPD dépend du lieu de résidence de la personne dans l'UE, mais aussi désormais en Russie, en Chine et dans d'autres pays. Cela signifie que si vous traitez des données de résidents de ces pays, vous êtes soumis à leurs réglementations en matière de protection des données. Comment savoir quels systèmes de données contiennent quelles données résidentes ? Là encore, il est essentiel de connaître l'identité des données.
Les outils de protection des données existants doivent s'adapter à ces nouvelles exigences pour répondre aux exigences de confidentialité. Concrètement, cela nécessite de constituer un inventaire des données personnelles de vos clients, indiquant où vous stockez les données personnelles de chaque individu. La bonne nouvelle est que ce type d'inventaire peut non seulement améliorer la confidentialité et la sécurité, mais aussi vous aider à les monétiser.
Les outils de protection des données existants doivent s'adapter à ces nouvelles exigences pour répondre aux exigences de confidentialité. Concrètement, cela nécessite de constituer un inventaire des données personnelles de vos clients, indiquant où vous stockez les données personnelles de chaque individu. La bonne nouvelle est que ce type d'inventaire peut non seulement améliorer la confidentialité et la sécurité, mais aussi vous aider à les monétiser.
Auteur
