Le RGPD de l'UE porte essentiellement sur les risques liés à la vie privée. Éviter les atteintes à la vie privée implique de comprendre et d'atténuer ces risques. Mais qu'est-ce que le risque lié à la vie privée ? Le RGPD de l'UE y fait référence 75 fois, mais n'explique jamais comment le mesurer. Certes, il prévient que les comportements à risque incluent le traitement de données à grande échelle à des fins de profilage personnel. Il formule même une recommandation pour éliminer les risques d'identification grâce à la dépersonnalisation, mais il n'explique pas comment une organisation peut mettre en œuvre la surveillance des risques liés à la vie privée et la rendre exploitable.
Identifier l'insécurité
La mesure des risques est devenue très tendance en sécurité ces vingt dernières années. Il s'avère que l'insécurité n'apparaît pas spontanément. C'est l'accumulation de petits faux pas involontaires. De petites erreurs, fautes et comportements inappropriés engendrent des vulnérabilités. Identifier et éliminer ces facteurs de risque ne garantit pas l'absence totale de violation de sécurité, mais peut contribuer grandement à en réduire la probabilité. Ainsi, les organisations utilisent aujourd'hui des outils pour mesurer les risques liés à la sécurité du code, à l'open source, aux pare-feu, aux sites web et aux partenaires, pour ne citer que quelques exemples. Cependant, les risques liés à la confidentialité n'ont pas bénéficié du même niveau d'attention ni de mise en œuvre.
Risque de confidentialité : retour sur la vie privée
Plusieurs raisons expliquent pourquoi les mesures des risques liés à la vie privée n'ont jamais atteint la même popularité que celles liées à la sécurité. Premièrement, les avocats, traditionnellement responsables de la politique de confidentialité, hésitaient naturellement à utiliser ce terme. Deuxièmement, l'importance accordée à la technologie dans le domaine de la confidentialité n'a jamais été aussi grande ; les personnes et les processus, certes, mais pas les produits, ce qui a rendu la quantification des risques difficile et leur mise en œuvre quasiment impossible. Enfin, l'idée d'une notation des risques liés à la vie privée n'avait aucun catalyseur pour la faire avancer. La sécurité était menacée par des violations ou des réglementations lourdes comme la loi SOX ; le risque lié à la vie privée ne présentait pas la même urgence, jusqu'au RGPD.
Le risque en chiffres
Le Règlement général sur la protection des données (RGPD), ainsi que d'autres nouvelles réglementations nationales sur la confidentialité, sans préciser comment mesurer les risques liés à la confidentialité, détaille néanmoins un ensemble d'attentes claires en matière de confidentialité de la part des collecteurs et des sous-traitants de données personnelles. Le non-respect de ces attentes constitue une violation potentielle de la réglementation. Par conséquent, les organisations doivent définir un ensemble d'indicateurs pour mesurer les risques liés à la confidentialité, en supposant que ces indicateurs soient facilement quantifiables et comparables. Cependant, la plupart des entreprises souhaitent également pouvoir compléter ces paramètres de risque réglementaires par des paramètres spécifiques à l'entreprise, basés sur les données trouvées, les métadonnées et les comportements d'accès aux données, tels que le type de données, l'utilisation des données, la sensibilité des personnes concernées, la sensibilité des processus métier (via la cartographie des flux de données), le consentement ou les comportements d'accès. Ce type de données n'est pas toujours facile à identifier. Cependant, de nouveaux outils de cartographie des données comme BigID facilitent la recherche et l'utilisation de ces informations, rendant ainsi leur utilité dans l'analyse des risques.
Mais dès qu'une organisation adopte un outil de cartographie des données basé sur les données, d'autres mesures objectives du risque deviennent disponibles. Par exemple, de nombreuses organisations promulguent des politiques internes concernant la conservation des données, les flux transfrontaliers, la ré-identifiabilité des données anonymisées ou les données à tokeniser. Toutes ces mesures peuvent être mesurées et donc utilisées dans le cadre d'un score de risque grâce à un outil de cartographie des données comme BigID.
Sachez-le si vous le mesurez
Comme les professionnels de la sécurité l'ont appris depuis longtemps, mesurer les risques de sécurité peut être instructif pour les gérer. Historiquement, l'idée d'une mesure concrète des risques posait problème en matière de confidentialité, les critères de référence étant davantage juridiques que fondés sur les données. Cependant, avec l'entrée en vigueur progressive de nouvelles réglementations comme le RGPD et l'amélioration de la connaissance des données collectées et traitées par les organisations, il devient possible de faire passer le risque d'une approche « à première vue » à une approche prescriptive et précise.
Auteur
