La donnée est-elle vraiment le nouvel or noir ? Pas toujours…

0

Comme le pétrole, les données peuvent être source d’une grande richesse. Mais les entreprises doivent garder à l’esprit que les données ont aussi un potentiel catastrophique. Elles doivent donner les moyens aux RSSI d’assurer la sécurité des données tout en continuant leurs innovations.

Ces dernières années, la donnée est vue comme un nouvel or noir pour les entreprises, pour sa capacité, comme le pétrole pour les pays où sont les gisements, à créer de la richesse. Seuls quelques rares chanceux ont découvert qu’ils étaient assis sur un gros filon. Et pourtant, chaque entreprise produit une montagne de données. 

Les dirigeants et les conseils d’administration fouillent dans les données de leurs sociétés à la recherche de pépites pour booster leurs revenus, que ce soit en trouvant un nouveau canal de distribution, une activité connexe à développer ou une façon de réduire les coûts opérationnels. Avec le déploiement de l’intelligence artificielle et du machine learning qui proposent toujours de méthodes efficaces pour analyser les données, les entreprises se sont lancées dans une course contre la montre pour garder l’avantage compétitif sur leurs concurrents.

Mais les données sont fragiles et ne doivent pas être manipulées n’importe comment. 

L’Europe et les États-Unis ont déjà imposé des amendes records aux entreprises pour mauvaise manipulation des données. Il devient désormais évident que les données peuvent entraîner d’énormes frais. Elles sont susceptibles d’être volées par des cybercriminels et, à moins d’avoir une gestion soigneuse, cela peut entraîner des infractions aux lois relatives à la vie privée. 

La plupart des entreprises agrègent toutes les données possibles. Et les DSI et les directeurs techniques subissent des pressions pour sortir des innovations portées par la donnée. Les chances d’avoir une fuite de données ou une cyberattaque ne peuvent qu’augmenter. Les RSSI peuvent alors apparaître comme une entrave au développement commercial, en pointant sans cesse les risques de la dernière idée de génie en date et en y perdant leurs cheveux et leur sommeil. 

Plus de données, plus de risques

L’innovation liée à la donnée peut impliquer d’utiliser des données personnelles permettant d’identifier les clients. Que ce soit en ciblant les clients existants avec des produits répondant à leurs envies ou en leur envoyant du matériel marketing, un RSSI devra s’inquiéter de savoir si cela est bien conforme aux réglementations sur la vie privée les plus restrictives comme le RGPD. 

Une innovation peut amener à corréler les données de l’entreprise avec les données d’une société tierce. Le contrôle des données peut alors passer entre les mains de cette deuxième société. 

Alors que la quantité de données collectées par les entreprises enfle, la pression est de plus en plus forte pour externaliser leur traitement et leur stockage hors de l’entreprise, dans le cloud. Stocker des données sensibles dans le cloud fait perdre encore plus de contrôle sur ses données à l’entreprise, et il y a toujours la possibilité que ces données soient interceptées, corrompues ou mal utilisées. 

Ainsi, chaque accélération dans la collecte et le traitement des données met un peu plus de pression sur les équipes en charge de la cybersécurité. Plus de données et plus d’activité réseau signifient que le nombre de menaces informatiques à analyser augmente également. Pour ce faire, il faut plus de ressources et de puissance informatique, ce qui implique de s’appuyer sur le cloud. 

Les DSI et RSSI se retrouvent alors entraînés dans une étrange valse, mélange d’attraction et de répulsion. Les opérations de cybersécurité ont besoin d’analyser toujours plus de données et nécessitent toujours plus de stockage et de capacité de traitement pour réagir aux alertes et aux menaces. Les RSSI vont donc demander plus de capacité en données aux DSI. Or le conseil d’administration demande à ces derniers d’utiliser toutes les ressources disponibles pour développer des innovations autour de la donnée pour augmenter leurs revenus. 

Quand la donnée et la sécurité se heurtent

Un exemple classique des problèmes de conformité posés par une innovation basée sur les donnes est le service de cartographique Waze. Cette application mobile a révolutionné la circulation routière, en prenant une donnée que personne d’autre ne songeait à monétiser pour en faire quelque chose de rentable. Waze utilise les données des smartphones que les conducteurs ont dans leur voiture pour en analyser la télémétrie et savoir à quelles vitesses vont les automobiles et dans quelle direction. Cela permet à Waze de cartographier les flux routiers et d’indiquer aux conducteurs comment éviter les embouteillages, leur permettant d’arriver plus vite à destination. 

Le conflit d’intérêts entre le DSI et le RSSI devient ici évident. Le DSI veut récupérer les données des smartphones des conducteurs pour les agréger et comprendre le comportement du trafic. Pour le RSSI, c’est un cauchemar sécuritaire. Récupérer les données appartenant à des particuliers pour regarder les flux routiers est potentiellement une atteinte à leur vie privée. Le RSSI va vouloir connaître à partir de quand des informations permettant d’identifier le conducteur — où et quand il se déplace – deviennent des données publiques susceptibles d’être collectées. Le RSSI doit insister pour que celles-ci soient anonymisées — l’application ne doit pas pouvoir dire qui passe par quelle route et quand. 

Dans le même temps, l’application Waze soulève nombre de questions de sécurité. Si vous mettez ce logiciel dans le smartphone des gens, vous devez vous assurer que personne ne pourra s’y infiltrer. Quand les données sont renvoyées vers le serveur central, elles doivent être chiffrées et sécurisées, pour que personne ne les intercepte en route, ne les modifie ou ne les reroute.

Ces problèmes semblent résolus bien qu’il y a déjà eu des cas de failles de sécurité liés à cette application. En 2014, des étudiants ont hacké l’application pour y faire apparaître un embouteillage virtuel. Waze, qui appartient à Google, a promis d’étudier le problème. En 2016, un chercheur affirma avoir trouvé une vulnérabilité qui permet d’espionner les mouvements des utilisateurs. Waze l’a nié et a dit prendre toutes les mesures nécessaires pour éviter que cela ne se produise. 

Examinez toutes vos données

Cette tension entre le CIO et le RSSI est emblématique de l’évolution de notre économie. Avant Waze, les systèmes de navigation satellite collectaient les données en utilisant leur propre infrastructure. Toutes les données étaient collectées à partir d’infrastructures monolithiques et utilisées en interne. Désormais il y a eu un glissement vers la donnée publique ou il n’est plus nécessaire de faire de gros investissements, mais simplement d’utiliser les données issues des smartphones de façon créative. La façon dont la donnée est téléchargée gratuitement, passe d’une société à l’autre et est divisée et disséquée de différentes façons a créé de nouveaux risques en matière de sécurité et de respect de la vie privée. 

Les conseils d’administration doivent garder à l’esprit les défis qui se posent aux RSSI quand ils envisagent d’exploiter leurs données pour trouver de nouveaux marchés ou de nouveaux produits. 

Pour assurer la sécurité de l’entreprise, les RSSI doivent réaliser un audit rigoureux de toutes les données qui passent dans l’entreprise, qu’elles soient internes ou venues de l’extérieur. Cet audit doit montrer où toutes les données sont stockées, qui a accès à quoi, et ce qui en est fait. C’est une tâche colossale alors même que les sociétés ont du mal à inventorier leurs biens physiques, alors pour ce qui est de ressources immatérielles comme les données…

Une fois que cet audit est réalisé, le défi suivant consiste à décider qui devrait avoir accès à quel bout de donnée et comment cela doit être garanti et vérifié. Ce qui est de plus en plus difficile à mesure que les quantités de données et d’usages qui en sont faits augmentent.

L’une des solutions est de créer un réseau à confiance nulle. Cela part du principe que personne utilisant les données de la société ne peut réellement être suffisamment sûr pour en assurer la sécurité. Ainsi, tous les accès sont restreints uniquement aux besoins qu’ils ont. Par exemple, les équipes comptables n’ont accès qu’aux données financières. 

Le RSSI doit redevenir le meilleur ami du DSI et dire : « Écoute, quand tu envisages quelque chose de nouveau, dis-le-moi que je réfléchisse aux implications en termes de sécurité au plus tôt. »

Si le RSSI n’est pas dans la boucle de l’innovation dès le premier jour, il sera toujours en retard. Aucune innovation ne devrait être introduite avant que le RSSI n’ait pu en mesure l’impact en matière de données dans son audite. Sinon, cela entraînera forcément des conflits avec le DSI et avec le conseil d’administration.

About Author

Greg Day

Greg Day est VP et CSO EMEA chez Palo Alto Networks. Il est responsable et supervise les opérations de Palo Alto Networks sur la zone EMEA et est en charge du développement des renseignements sur les menaces et sur les meilleures pratiques en matière de sécurité. Fort de 25 années d'expérience dans le domaine de la sécurité numérique, Greg a aidé des organisations, grandes et petites, du secteur public et privé, à mieux appréhender, prévenir le risque et à mettre en place des stratégies pour le gérer. Il est reconnu pour sa vision, son leadership et comme un chef de file de l'industrie, un expert capable de traduire les défis technologiques en solutions exploitables. Greg a débuté sa carrière chez Dr Solomon, plus tard McAfee (maintenant Intel Security) en tant qu'analyste support technique. Au cours de sa carrière de 20 ans, il a occupé plusieurs postes: consultant en sécurité informatique, responsable des meilleures pratiques mondiales, analyste de sécurité et directeur de la stratégie de sécurité. Pendant ce temps, il a conduit différentes initiatives pour soutenir les clients, les partenaires et les équipes de vente, a rédigé plusieurs articles sur des sujets de sécurité et a fourni des conseils aux gouvernements. Chez Symantec, il a occupé le poste de directeur de la sécurité pour la région EMEA, gérant une équipe d'experts en sécurité et pilotant la stratégie régionale de cybersécurité de Symantec. Plus récemment, en tant que VP et CTO EMEA chez FireEye, il était responsable de la stratégie technologique. Greg siège actuellement au comité directeur de la National Crime Agency du Royaume-Uni, mais également au comité conseil du UK-CERT / CISP et à la communauté de recherche VFORUM, occupant même auparavant le poste de vice-président du groupe de cybersécurité techUK. Il a fait partie de la Convention du Conseil de l'Europe sur la cybercriminalité et a participé à un certain nombre de groupes industriels et consultatifs. Il est largement reconnu comme un leader de l'industrie et est un visage familier à de nombreux événements de cybersécurité, en tant que conférencier régulier et a également été un porte-parole actif auprès des médias dans une grande partie de la région EMEA. Greg est titulaire d'un BSc (Hons) en Business Information Systems de l'Université de Portsmouth.

Leave A Reply