Conformité : les 6 mots à connaître pour briller à la DSI
Soyons francs, les sujets liés à la conformité peuvent sembler un peu austères. Pourtant, à l’ère du numérique, les données sont le nouveau trésor des organisations… Ainsi, mieux vaut savoir comment les protéger !
La première étape consiste à mettre son système d’information en conformité avec les différentes directives, lois et règles en vigueur en matière de protection et conservation des données. Et pour s’y retrouver et y parvenir, deux experts de Microsoft France nous éclairent sur les quelques termes clés à connaître avant votre prochaine réunion avec la DSI. Claire Marchoix est chef de produit marketing Sécurité et Conformité chez Microsoft France et Guillaume Lagache, expert avant-vente chez Microsoft France.
1. Régulation
Une petite énigme pour commencer : combien de normes et régulations internationales s’appliquent à la protection des données ?
« Plus de 750… et ce n’est pas tout, car chaque jour il y a environ 200 mises à jour de ces normes ! » répond Claire Marchoix. Une régulation englobe l’ensemble des règles du jeu qui s’imposent aux différentes organisations en termes de conformité et de cybersécurité. Elles varient pour chaque entreprise selon son secteur d’activité, ses lieux de production ou lors de la réalisation d’échanges commerciaux internationaux.
Guillaume Lagache ajoute que pour s’y retrouver « Microsoft met à disposition un gestionnaire de conformité, qui agit comme un guide pour accompagner les entreprises dans l’identification des points de contrôle à respecter, liste les actions à mener et les solutions à mettre en œuvre ». Et aujourd’hui, grâce au cloud, ces points de contrôles sont mis à jour automatiquement dans le gestionnaire de conformité pour suivre l’évolution des normes et régulations.
Lire aussi RGPD, LMP, Directive NIS : où en est-on ?
2. GRC
Selon vous, que veut dire GRC ?
A. Gouvernance, gestion des risques et conformité
B. Gendarmerie Royale du Canada
C. Gouvernance et Respect de la Conformité
D. La réponse D
Il fallait choisir la réponse A bien sûr ! Même si les réponses B et D étaient tentantes…
La gouvernance, la gestion des risques et la conformité permettent à elles trois de garantir que l’organisation remplit ses objectifs de manière fiable, gère l’incertitude et agit avec intégrité. Guillaume Lagache détaille les trois phases qu’elles doivent réaliser. « Tout d’abord il faut réaliser l’évaluation, c’est-à-dire comprendre à quelles régulations et exigences l’organisation est soumise. Cela permet de définir la liste des actions à mener. Ensuite vient la phase de protection du contenu sensible et la mise en place des bons processus pour être conforme aux règles édictées. Enfin, se mettre en capacité de répondre aux demandes du régulateur nécessitant par exemple de retrouver une information parmi des téraoctets de données ».
Le respect de ces trois phases mobilise de nombreux métiers. Les services informatiques sont en première ligne. Notamment le Responsable de la Sécurité des Systèmes d’Information (le RSSI) et le Directeur des Systèmes d’Informations (DSI). Les services juridiques et des ressources humaines avec le « privacy officer », le « Data Protection Officer » (le DPO) ou le « compliance manager » jouent également un rôle essentiel. Et enfin, les métiers de la qualité interne, comme les auditeurs internes et les responsables qualité qui améliorent les processus au cœur des entreprises.
Lire aussi Quels sont les nouveaux défis de la cybersécurité ?
3. Données sensibles
Au risque de vous décevoir, une donnée sensible n’est pas une donnée qui fond en larmes quand vous tentez de la supprimer…
Une donnée est dite sensible si sa mauvaise utilisation ou son vol entraîne des risques quant à la production ou à l’image d’une organisation. Guillaume Lagache liste plusieurs exemples. « Des noms de médicaments pour un groupe pharmaceutique, des brevets industriels qui constituent des éléments de propriété intellectuelle ou des données personnelles comme un numéro de sécurité sociale ou un code IBAN. »
Pour identifier ces données sensibles, les entreprises les classent dans une nomenclature selon différents niveaux de sensibilité. Ces derniers sont définis selon leurs activités, leurs géographies ou encore leurs processus de production. À chaque niveau correspondent des protocoles bien précis. Claire Marchoix souligne ainsi que « Microsoft accompagne les organisations dans la construction et la définition de cette classification. Par exemple, le niveau 1 pourrait alerter l’utilisateur sur le fait qu’il est en train de partager une donnée sensible en faisant apparaître une fenêtre sur son ordinateur. Le niveau 2 pourrait consister à bloquer son transfert à des personnes tierces. Et le niveau 3 pourrait même prévenir automatiquement les équipes en charge de la protection des données de la tentative d’envoi en cours. »
4. Protection des données
Pour protéger une donnée rien de mieux qu’un mot de passe comme «123456 », n’est-ce pas ? Pas si simple… Et ne rigolez pas, ce mot de passe est encore aujourd’hui le plus utilisé en France !
Il existe en réalité trois méthodes principales pour protéger une donnée :
1. La protéger en elle-même grâce au chiffrement qui la rend illisible.
2. Restreindre sa consultation et son utilisation à seulement quelques personnes en octroyant des permissions d’accès.
3. Tout au long de son cycle de vie, éviter qu’elle soit supprimée pendant un certain nombre d’années (brevets…). Ou, au contraire, prévenir leur rétention (le fait qu’elle soit stockée trop longtemps). C’est le cas des données personnelles des collaborateurs par exemple.
Pour Claire Marchoix, « l’ensemble de ces trois éléments de protection permettent d’assurer la conformité de l’entreprise par rapport aux règles en vigueur tout en favorisant la confiance, la transparence et la sécurisation du patrimoine des organisations. »
Lire aussi Le RGPD peut-il vraiment inspirer le monde ?
5. Chiffrement
Souvenez-vous quand vous étiez petit, l’encre invisible permettait d’écrire des messages secrets. La clé pour les décrypter était alors d’approcher une source de chaleur… Encore fallait-il que le destinataire connaisse l’astuce !
« Le chiffrement fonctionne un peu de la même manière », assure Claire Marchoix. Il s’agit ainsi d’une méthode qui rend illisible une donnée… hormis pour les personnes disposant de la clef de déchiffrement. Autrement dit, si vous perdez votre clé USB dans le couloir mais que les documents sont chiffrés, personne ne pourra y accéder. Guillaume Lagache précise qu’il est possible de « chiffrer le corps de n’importe quel message ou des fichiers stockés sur Microsoft OneDrive par exemple. »
6. Data Loss Prevention
Il est tard, vous venez de terminer un mail important sur un projet ultra-sensible. Vous pouvez enfin l’envoyer à votre collègue Gérard. Soudain vous réalisez que vous l’avez bien envoyé mais au mauvais Gérard… votre client !
Pas de panique, la Data Loss Prevention est là pour éviter ce type d’erreurs. Guillaume Lagache affirme ainsi que « l’objectif est de se prémunir contre la fuite non intentionnelle d’informations en mettant en place des garde-fous. Cela peut par exemple être des alertes avant l’envoi d’une information sensible à un tiers qui ne travaille pas dans l’organisation ».
Claire Marchoix ajoute que « les algorithmes en intelligence artificielle qui composent le système de Data Loss Prevention peuvent analyser aussi bien des documents sur OneDrive que des messages envoyés dans l’outil de chat de Teams ».