Sécurité et protections des données : « les entreprises sous-estiment l’efficacité des mesures organisationnelles »

Par Hugo Bonnaffé
Publié le 15 décembre 2021
Lecture : 13 min.
Télétravail, explosion du e-commerce, téléconsultation médicale… La crise de la COVID-19 a constitué un formidable accélérateur de la transformation numérique de notre société. Ce faisant, la surface d’exposition des organisations aux risques cyber s’est considérablement élargie, sans pour autant que l’ensemble des entreprises ne rehaussent leur niveau de protection face aux potentielles attaques. De son côté, plus de 3 ans après l’entrée en vigueur du RGPD, la CNIL estime que l’heure n’est plus à la pédagogie : lorsque les entreprises manquent à leur obligation en matière de protection des données personnelles, les sanctions pleuvent. Dans un contexte hyperconcurrentiel, les entreprises sont prises en étau entre la nécessité de porter leurs innovations sur le marché le plus vite possible, et celle de se conformer à des normes et bonnes pratiques dont la mise en œuvre dépasse parfois leur compétence. Où placer le curseur ? Comment se faire accompagner efficacement ? Nous avons posé ces questions à Fabien Dachicourt, DPO et RSSI de Pictime Groupe et Michel Moyart, Risk & Compliance Manager.
5 #Groupe

Pictime Groupe collabore avec des entreprises de toutes tailles. Vous disposez donc d’un poste d’observation privilégié sur les pratiques des entreprises en matière de cybersécurité et protection des données personnelles. Quel état des lieux pouvez-vous dresser ?

 

Michel : Pictime Groupe travaille en effet pour des clients de différentes tailles – TPE, PME, ETI – et à différents stades de croissance, depuis la startup jusqu’à l’entreprise familiale fondée il y a plusieurs dizaines d’années. Les entreprises et organisations que nous accompagnons évoluent dans les domaines de la VAD, du retail, de l’éducation, de l’assurance ou de la santé. Dans les secteurs fortement réglementés, comme la santé justement, les entreprises ont des enjeux de sécurité plus qu’ailleurs, c’est un domaine où la confiance accordée par les utilisateurs quant à la protection de leurs données est primordiale. Et la réglementation relative à la protection des données de santé figure parmi les plus contraignantes. Les entreprises évoluant dans ce secteur sont tenues de ne conserver et traiter que les données nécessaires, de les anonymiser quand c’est possible, de réaliser les traitements les plus critiques sur des machines qu’elles maîtrisent.

Fabien : Dans les autres secteurs, le panorama révèle des pratiques hétérogènes. L’écart type peut être très grand : d’un côté, des entreprises qui ont peu de connaissance en matière de sécurité / conformité, et ne respectent pas toujours les obligations légales « de base », comme celles de nommer un délégué à la protection des données (DPO). À l’autre bout du spectre, des entreprises qui tiennent des registres de sécurité, mènent des études d’impacts sur les traitements opérés sur les données, et se conforment à plusieurs normes internationales en matière de sécurité. Entre les deux, des « suiveurs », qui progressent en regardant les pratiques de leurs confrères évoluer, au gré de la jurisprudence ou de l’actualité qui régulièrement évoque des cas de piratage aux conséquences de plus en plus lourdes.

 

Qu’est-ce qui pousse les entreprises aujourd’hui à investir dans la sécurité ?

La pression vient-elle d’une meilleure prise en considération des menaces ? 

Michel : Les attaques se multiplient, car elles sont de plus en plus rémunératrices et simples à mettre en œuvre. De véritables réseaux organisés de cybercriminels se sont déployés, profitant de l’abolition des frontières dans le cyberespace pour opérer et mettre en difficulté les services de police, qui ont bien du mal à agir en dehors de leurs frontières, même si la coopération internationale progresse. La conviction que « ça n’arrive qu’aux autres » commence à s’estomper : chaque entreprise prend conscience qu’elle sera touchée un jour ou l’autre par une attaque informatique, une fuite de données, une tentative d’espionnage… L’enjeu est donc de s’y préparer au mieux, se prémunir et réagir efficacement pour limiter les dégâts le cas échéant. Ceux-ci peuvent être financiers (par ex. causés par l’interruption de l’activité d’une entreprise ou d’un site victime d’un ransomware), mais il faut aussi considérer les dégâts en termes d’images. Que l’entreprise soit coupable d’avoir manqué à ses obligations ou non, la confiance avec les utilisateurs peut être durablement entamée.

 

Les sanctions encourues et la pression des utilisateurs jouent-elles également un rôle ?

Fabien : Les entreprises ont jusque-là profité de l’approche pédagogique de la CNIL dans l’application du RGPD, le temps d’adapter dans le droit national les principes de ce règlement européen relatif à la protection des données personnelles. Mais celle-ci s’accompagne progressivement d’une démarche également coercitive et les sanctions commencent à tomber. Par exemple, après avoir demandé aux entreprises de permettre aux internautes de refuser les cookies « aussi facilement que de les accepter », et de veiller à recueillir leur consentement explicite, la CNIL a ainsi épinglé une vingtaine d’entreprises en mai 2021, avec des sanctions pouvant aller jusqu’à 2 % du chiffre d’affaires. En outre, la CNIL se met également au « Name and Shame », du nom de cette pratique d’origine anglo-saxonne qui consiste à afficher publiquement le nom des entreprises qui ne se mettent pas en conformité… Une action parfois plus dissuasive encore que les sanctions financières. Bref, ceux qui attendaient la jurisprudence avant de se mettre en conformité ont compris à quoi ils s’exposent désormais.

Les utilisateurs, quant à eux, sont effectivement mieux au fait de leurs droits, et n’hésitent plus à saisir la CNIL pour se plaindre du comportement de certaines entreprises. Mais, à vrai dire, peu de gens font le lien entre des informations usurpées auprès d’un e-commerçant qui a mal protégé des données ou les a partagées avec un tiers sans consentement et le fait de recevoir du spam, ou d’être victime d’une usurpation d’identité aux conséquences bien plus lourdes.
Si l’on songe à Facebook, qui accumule les scandales quant à la manière d’exploiter les données personnelles qui lui sont confiées, on peut être dubitatif. En dépit des révélations, beaucoup d’utilisateurs n’ont pas quitté le service et fermé leur compte. Cela s’explique sans doute par le monopole exercé par Facebook et l’effet de réseau : quitter Facebook, c’est souvent se couper d’une partie de ses relations, faute d’alternative. De telles pratiques, on peut le souhaiter, entraîneraient pour des entreprises moins bien installées un exode plus massif des utilisateurs vers la concurrence.

Michel : Il faut ajouter que les entreprises sont de plus en plus nombreuses à chercher à s’assurer contre les risques cyber. L’assurance n’étant pas une activité philanthropique, pour réduire leurs risques, les acteurs de ce secteur tendent à pousser les entreprises à rehausser leur niveau de sécurité, en proportionnant et conditionnant les primes d’assurance aux protections déployées.

 

Les mesures à privilégier sont-elles techniques ou organisationnelles ?

Fabien : Les deux aspects sont indispensables et complémentaires, ainsi que le rappelle régulièrement l’association française des correspondants à la protection des données à caractère personnel (AFDCP). Trop souvent, les entreprises surestiment la complexité des mesures techniques à mettre en œuvre, et sous-estiment l’efficacité des mesures organisationnelles.

La pénurie de compétences en cybersécurité est réelle, mais on ne peut pas se retrancher derrière elle pour justifier l’impréparation des entreprises face aux risques cyber.

En France, la CNIL met régulièrement à jour son « Guide de la sécurité des données personnelles » et l’ANSSI (agence nationale de la sécurité des systèmes d’information) met à disposition d’excellentes ressources recensant les bonnes pratiques. Au niveau international, des acteurs comme l’OWASP Foundation (Open Web Application Security Project) font de même pour la sécurité des applications.

Il est frappant de constater que les principales mesures préconisées dans ces référentiels de sécurité sont pour la plupart les mêmes depuis longtemps !
Autrement dit, les bonnes pratiques sont bien connues, mais ne sont pas assez largement implémentées… Or, la plupart sont à la portée de toutes les entreprises, associant mesures techniques et respect de procédures organisationnelles, à commencer par la mise à jour des postes, l’utilisation d’antivirus, la sensibilisation, ce qui permet de limiter le risque d’une compromission. De la même manière, le fait de tracer les connexions aux services sensibles de l’entreprise, idéalement de manière nominative, est une mesure efficace : à la manière d’une caméra de surveillance, elle n’empêche pas les actes malveillants, mais elles les dissuadent.

Michel : La méconnaissance des enjeux, des risques pour l’entreprise et ses clients n’explique pas tout : la priorité est parfois donnée au business, avec l’idée que la sécurité, qui repose sur des procédures, va ralentir l’innovation, empêcher l’agilité.

 

Comment démonter cette idée que le principe de sécurité est un frein pour l’innovation ? Le « security by design » est-il une solution ?

Michel : Intégrer la sécurité dès la phase de conception d’un projet est évidemment la meilleure solution. Et le meilleur moyen de maitriser le coût de la sécurité / conformité, qui peut s’envoler lorsqu’il s’agit de rattraper une « dette » sur un produit / service existant.

Cela nécessite de former mieux les acteurs à la sécurité, en particulier les développeurs et chefs de projet, et de modifier certains réflexes de travail en intégrant la sécurité dans les méthodes projet quelles qu’elles soient. Il est fréquent de voir la sécurité être prise en compte dans un second temps, car elle n’apporte pas de fonctionnalités métier. C’est un problème.

Fabien : Au-delà du « security by design », il y a aussi des efforts à faire sur l’impact de  la sécurité sur l’utilisateur, pour améliorer son acceptabilité. Lorsque les mesures de sécurité, par exemple les tests CAPTCHA qui protègent contre les attaques par force brute, sont vécues par l’utilisateur comme un irritant dans son expérience, elles deviennent un handicap pour le site marchand en question. Certains concurrents, pour fluidifier l’expérience, ne proposent pas de CAPTCHA et peut-être même un achat « one-click », qui est pourtant un véritable cauchemar en termes de sécurité. L’idéal est de parvenir à des mesures de sécurité transparentes pour l’utilisateur, ou les moins pénibles possibles. Qui s’activent sans qu’il ne s’en rende compte. Enfin, il y a un effort collectif de pédagogie et d’éducation à fournir. Dans bien des cas, le problème de la sécurité est partagé avec l’utilisateur : s’il utilise un mot de passe identique sur plusieurs sites, et que l’un d’entre eux se fait pirater, alors les sécurités que vous avez mises en place ne seront pas d’une grande aide si elles reposent sur ce mot de passe.

 

Quels sont les angles morts des politiques de sécurité / gouvernance des données des entreprises ?

Fabien : Maîtriser la souveraineté des données sur toute la chaîne de sous-traitance constitue une réelle difficulté. Il n’est plus à établir que l’externalisation de l’IT offre une meilleure sécurité que les infrastructures on-premise de TPE/PME. Les opérateurs de cloud ont des moyens que les entreprises ne possèdent pas pour mettre en place des protections contre les attaques et protéger physiquement les données. Encore faut-il savoir où les données confiées aux cloud providers ou services en mode SaaS sont hébergées, d’un point de vue géographique.

L’arrêt « Schrems 2 » de la Cour de Justice de l’Union européenne, tombé en juillet 2020, a ainsi invalidé le système du « Privacy Shield » qui permettait le transfert de données personnelles vers les États-Unis, estimant que la législation en vigueur sur le sol américain ne permet pas d’assurer un niveau de protection adéquat pour les données des citoyens européens notamment dans l’exercice de leurs droits. Les entreprises ont, certes, bien compris l’importance d’héberger les données personnelles sur le sol européen, mais quid d’une société de droit américain opérant ses propres datacenters en Europe ? Et comment s’assurer que le support d’une entreprise, délocalisé pour des raisons de coûts hors de l’union européenne, n’accédera pas à des données sensibles depuis un pays considéré comme non sûr au regard du RGPD ?
Il faut donc gérer les risques, en séparant les fonctions entre plusieurs fournisseurs, plusieurs pays… et envisager la possibilité de conserver certaines données très sensibles au sein de l’entreprise, dans un contexte géopolitique tendu où il est reconnu que des puissances comme la Chine, les États-Unis ou la Russie pratiquent l’espionnage économique.

 

En quoi peut consister l’accompagnement de Pictime Groupe, en matière de conformité / sécurité ?

Michel : Notre offre repose sur 3 grands piliers :

– la conformité au RGPD ;

– la gouvernance de la sécurité : analyse et gestion des risques ;

– l’hébergement de données de santé et normes de management de la sécurité (notamment ISO 27001), car Pictime Groupe est lui-même certifié HDS et ISO 27001 ;

 

Nous mettons ces expertises au service de nos clients : état des lieux, plan d’action, feuille de route, mise en œuvre, évaluation.

Globalement, nous mesurons le delta entre la norme et les pratiques actuelles, et nous proposons une feuille de route réaliste et pragmatique pour combler cet écart. En fonction des moyens dont dispose le client, notre accompagnement peut aller de l’émission de recommandations jusqu’à l’accompagnement à leur mise en œuvre, que les mesures soient techniques ou organisationnelles.
Notre regard extérieur permet d’identifier des lacunes qu’on finit par ne plus voir de l’intérieur : par exemple, si les entreprises ont conscience de l’importance de protéger les données de leurs clients, qu’en est-il des données personnelles de leurs salariés ?

Fabien : Notre démarche s’appuie beaucoup sur des entretiens individuels, et notre expérience des différents secteurs avec lesquels nous collaborons. En matière de sécurité / conformité, la formalisation est un point essentiel : pour préserver le savoir et le transmettre, il faut l’écrire. Écrire et décrire le standard, c’est déjà un moyen de le faire respecter.

Nous pouvons enfin préconiser des mesures sur le volet de la prévention, qui demeure un excellent moyen d’agir sur la sécurité, comme la sensibilisation. En effet, les dispositifs techniques, certes efficaces, doivent être complétés par d’autres mesures afin de limiter le risque lié au facteur humain !

 

Vous ne savez pas toujours si vos recommandations sont appliquées à la lettre. Dans quels cas estimez-vous avoir accompli votre mission ?

Michel : Nos plans d’action sont adaptés à chaque contexte ; il ne s’agit pas d’implémenter tous les référentiels possibles et imaginables, mais d’investir là où c’est pertinent, en plaçant le curseur au bon endroit entre sécurité et agilité. Par exemple, la mission première d’un hôpital est de sauver des vies. On ne peut pas édicter des pratiques sans prendre en compte les contraintes métiers, la nécessité pour les médecins d’avoir accès facilement aux données du patient en cas de besoin. Tout est affaire de compromis, de contraintes « acceptables ».

La mise en œuvre d’un plan d’action peut prendre du temps. Néanmoins, nous estimons avoir réussi lorsque nous sommes parvenus à montrer que la sécurité / conformité peut constituer une plus-value pour l’entreprise, en apportant une meilleure organisation des gestes du quotidien, en les fiabilisant, en clarifiant les procédures, en assurant la préservation du savoir. Les bénéfices escomptés vont au-delà de la sécurité des données et du SI. Notre mission porte donc ses fruits si elle enclenche une révolution culturelle dans l’entreprise, au-delà du service informatique !

 

Fabien : C’est d’ailleurs le meilleur moyen d’augmenter le niveau de sécurité des entreprises et la protection des données personnelles en général. La régulation est nécessaire, mais elle aura toujours un train de retard sur les pratiques, les innovations technologiques, et d’autre part elle peut induire une distorsion de concurrence dans une économie numérique mondialisée, où tout le monde ne joue pas avec les mêmes règles. Par ailleurs, la sécurité n’est, malheureusement, pas encore considérée comme un critère de choix par le consommateur – du moins, la sécurité et la protection des données ne prédominent pas sur d’autres aspects : le prix, la commodité…

Renverser les mentalités en faisant comprendre que l’hygiène informatique et la protection des données sont des contraintes vertueuses pour toutes les entreprises, qui mèneront à plus d’efficacité, au même titre que celles posées par la transition énergétique, voilà ce qui nous anime !


Vous aimerez aussi

5 #Groupe
Pictime Groupe rejoint Claranet et accélère sa croissance pour accompagner ses clients dans leur transformation digitale !

Claranet, leader européen des services de transformation digitale et d’infogérance d’applications critiques, annonce l’acquisition de Pictime Groupe, entreprise créée en 2002 et spécialisée dans la transformation digitale.

Lire la suite
5 #Groupe
Qu’est-ce que la transformation digitale ?

La transformation digitale désigne les nouveaux usages liés aux nouvelles technologies et marque la rupture avec la simple numérisation ie la traduction numérique d’une pratique documentaire ou process déjà existante.

Lire la suite
FR   |   EN