L’impact du RGPD sur les stratégies de conception et de sécurisation des applications

0

Le règlement général sur la protection des données (RGPD) est entré en vigueur le 24 mai 2016 au sein de l’Union Européenne. Se préparer pour cette législation est devenu une priorité importante pour de nombreuses organisations à travers le monde.

Ce n’est pas surprenant si l’on considère les conséquences financières pour toute organisation qui n’arriverait pas à démontrer sa conformité : une amende pouvant aller jusqu’à 20 M € ou 4% des revenus (le montant le plus élevé sera retenu). Ces conséquences financières ont attiré l’attention de nombreux conseils d’administration à travers le monde. Désormais, les entreprises et leurs sous-traitants se précipitent pour savoir comment minimiser ce risque, en réalisant qu’ils ont tout juste un peu plus d’un an pour le faire, la loi devenant applicable à la fin du mois de mai 2018.

La portée de cet effort est énorme, car il recoupe des phases d’inventaire et d’audit, la gouvernance des données et la gestion des risques, l’examen des clauses contractuelles, les pratiques de développement d’applications, les politiques de protection des données et de l’infrastructure, les capacités de détection et de réponse.

Au-delà de la menace financière, le régulateur européen vise à favoriser la prise de conscience collective concernant la confidentialité des données, incitant les organisations à améliorer leurs pratiques en matière de collecte, de traitement, de retrait et de sécurisation des données personnelles des citoyens de l’UE. À l’aube du Big Data et de l’Intelligence Artificielle, la philosophie sous-jacente du RGPD nécessite des ajustements importants dans la façon dont les applications sont conçues, mises en production et sécurisées.

Les développeurs d’applications doivent intégrer un nouvel ensemble d’exigences, couvrant la gestion du consentement, la minimisation et la pseudonymisation des données, et la possibilité pour les personnes concernées d’exercer leurs nouveaux droits : accès, modification, suppression, droit à l’oubli, portabilité, information relative à l’utilisation de leurs données, y compris pour la notation et le profilage, et en cas d’incidents. La capacité de fournir des applications qui sont à la fois sécurisées dès leur conception et qui respectent la confidentialité des données nécessiteront des ajustements liés au processus de développement des applications.

Les équipes de développement doivent maintenant documenter tous les traitements relatifs aux données personnelles, recueillir uniquement les données nécessaires à la prestation du service, pouvoir répondre positivement aux demandes des citoyens concernant leurs données, déployer des contrôles de sécurité capables de protéger l’infrastructure applicative et être capable d’alerter les autorités dans les 72 heures en cas de violation de données (ainsi que les personnes concernées dans certains cas).

Tout cela, en étroite collaboration avec le Responsable de la Sécurité des Systèmes d’Information et le Responsable de la Protection des Données, qui aura été nommé conformément à la nouvelle loi européenne.

La gestion des consentements est l’une des exigences mise en avant par le RGPD. En effet, les organisations sont maintenant censées veiller à ce que les utilisateurs (qu’ils soient citoyens ou clients) acceptent clairement et positivement la collecte, le traitement et le stockage de leurs données personnelles. Cela ne peut pas être fait par un consentement implicite ou par une acceptation aveugle des cookies dans le navigateur. Cela doit être le résultat d’une prise de décision éclairée et être collecté distinctement des réponses aux autres questions. Les parents devront consentir au nom de leurs enfants de moins de 16 ans. Plus important encore, cela doit être spécifique à la transaction en cours et les utilisateurs doivent pouvoir retirer leur consentement à tout moment.

Le RGPD identifie la pseudonymisation des données comme une approche hautement recommandée pour en assurer la confidentialité, en s’assurant que les données traitées et partagées avec d’autres entités ne peuvent être utilisées pour remonter jusqu’à une personne spécifique, si cela n’est pas nécessaire pour fournir le service prévu. Les équipes de développement devront examiner comment mettre en oeuvre une telle recommandation. Cette technique et les techniques connexes, telles que le masquage et le chiffrement des données, peuvent également avoir un impact important sur les coûts opérationnels.

Certaines de ces exigences ne sont pas nouvelles, le RGPD s’appuyant sur des lois nationales
préexistantes qui ont déjà obligé certaines organisations à ajuster l’ergonomie de leurs applications et la conception de leurs bases de données. Mais il est juste de dire que la généralisation de ces principes, qui concerne à peu près n’importe quelle entreprise ou entité publique, va considérablement augmenter la charge de travail pour les équipes de développement d’applications.

Même si les autorités en charge de la protection de la vie privée sont susceptibles de se concentrer initialement sur les nouvelles applications et services, des millions d’applications existantes devront être modernisées et mises en conformité dans les années à venir. Dans cette
perspective, les services centralisés fournis à toutes les applications et web services par les parefeux applicatifs web et les passerelles de gestion des APIs seront utiles.

La capacité de fournir des applications qui sont à la fois sécurisées dès leur conception et qui
respectent la confidentialité des données vont inciter les équipes DevOps à intégrer la sécurité
dans leurs processus et à devenir de fait des équipes DevSecOps. De telles équipes élargies
bénéficieront de l’expertise en sécurité de leurs nouveaux membres. Ceux-ci apporteront leur valeur ajoutée dès les phases initiales de la méthodologie agile, en formant les développeurs à la sécurité, en identifiant les moyens de tirer parti des fonctionnalités des plates-formes d’intégration et de développement de logiciels modernes pour améliorer l’efficacité de la sécurité de leurs programmes.

Ils peuvent également exploiter les outils de sécurité qu’ils ont appris à maîtriser pour insérer
la sécurité dans la conception même des applications, automatiser les phases d’évaluation, de détection et de réponse. Ces outils leur permettront notamment de :

1. Identifier les vulnérabilités, y remédier et les patcher tout au long du cycle de vie,
2. Chiffrer les données, stockées ou en transit, y compris entre plusieurs datacenters ou dans le cloud,
3. Renforcer l’authentification des utilisateurs légitimes aux applications utilisées pour accéder aux données,
4. Assurer l’intégrité des périphériques utilisés par ces utilisateurs pour se connecter à ces
applications,
5. Empêcher les attaques ciblant les applications web par lesquelles transitent les données pour contrer le vol d’identité et les fuites de données,
6. Empêcher les attaques ciblant les web services qui traitent et calculent automatiquement les données.

La conformité au RGPD ne se fera pas du jour au lendemain. Il faudra procéder par étapes, de
manière régulière et dès la conception des applications. Ce sera un parcours d’améliorations
continues, étape par étape, vers une meilleure conception des applications, une sécurité améliorée et des contrôles automatisés intégrés au cycle de vie logiciel.

En attendant que les équipes DevOps deviennent de véritables équipes DevSecOps, les organisations peuvent tirer parti des scanneurs de vulnérabilités, des pare-feux applicatifs Web et des solutions de chiffrement pour améliorer la sécurité des applications et les données qu’elles servent. Grâce à ces outils, elles pourront transformer la conformité au RGPD en un avantage concurrentiel.

Share.

About Author

Stéphane de Saint Albin occupe le poste de Président de Rohde & Schwarz Cybersecurity SAS. Il est arrivé au sein de Rohde & Schwarz Cybersecurity suite à l'acquisition de DenyAll en décembre 2016. Avant cela, il travaillait en tant que Vice-Président Marketing et de développement d'activité pour DenyAll depuis six ans. Il possède plus de 30 années d'expérience dans l'industrie informatique, il a travaillé en tant que cadre pour de petits et grands vendeurs de logiciels comme Microsoft et Symantec, dans les domaines de la gestion de produits, du développement d'activités, des ventes et du Marketing.

Leave A Reply