introduction
Afin de réduire la possibilité d’une violation de données, les organisations appliquent des contrôles pour s’assurer que les données personnelles sont correctement protégées. La principale motivation de ce changement reste l’effet « dissuasif » des amendes pouvant être infligées par les autorités de contrôle en vertu du RGPD (article 83.1).
Les amendes pour sanctionner les problèmes de non-conformité n’ont cessé d’augmenter jusqu’aux niveaux supérieurs autorisés par le règlement, comme dans le cas d’Amazon, confronté à une pénalité de 746 millions d’euros (juillet 2021), ou de WhatsApp en Irlande, avec 225 millions d’euros (septembre 2021). ).
Minimiser ou limiter
Les deux principaux moyens de réduire la probabilité d’une violation de données ne sont pas nouveaux :
- Soit limiter votre ingestion de données au point d’entrée, également appelée minimisation des données.
- Ou réduisez les données personnelles que vous possédez déjà, appelées limitation de stockage.
Ce dernier est obligatoire dès lors que les données n’ont pas de base légale valable pour le traitement. Ces deux principes sont « destructeurs » : appliqués en ne prenant pas plus de données que ce qui est strictement nécessaire, et en supprimant les données déjà stockées.
La question est : comment pouvez-vous préserver la confidentialité, l’intégrité et la disponibilité des données personnelles que votre organisation possède déjà, conformément à l’article 32 du RGPD ?
Il existe de nombreuses façons d’atteindre cet objectif, les décisions finales étant prises au niveau du conseil d’administration en vue de l’analyse d’impact sur l’entreprise (BIA). Dans cet article, nous allons nous concentrer sur une manière particulière d’aborder le problème à la racine : la modification des données pour qu’elles ne pointent plus sur des individus.
Les avantages de cette approche sont doubles :
- Vous conservez toujours les données qui peuvent être utilisées à des fins de métriques, d’analyse et à d’autres fins.
- Vous pouvez réduire les données à traiter pour satisfaire un client qui demande un de ses droits au titre du RGPD, comme un droit d’accès.
Techniques de modification des données personnelles
Vous trouverez ci-dessous quelques-unes des méthodes les plus connues et les plus populaires pour modifier les données personnelles afin que les individus ne puissent plus être identifiés en raison de leur popularité. Ils peuvent être appliqués aux données personnelles en général, ou simplement aux champs qui correspondent à des données de catégorie spéciale, pour éviter d’être confrontés à des exigences plus strictes pour leur traitement :
Obfuscation
Il s’agit du concept global consistant à modifier les données réelles afin qu’elles n’identifient plus un individu. Si ces données sont compromises, l’impact sera considérablement réduit, voire totalement évité. Généralement non permanentes, les données pourraient être reconstituées en tant que données personnelles, ce qui les distingue nettement de l’anonymisation.
Masquage
Cette technique est réalisée en remplaçant certaines des données personnelles par d’autres caractères. Principalement utilisé lors de l’affichage d’informations sur un écran, par exemple, lorsqu’un utilisateur saisit son mot de passe ou les détails de sa carte de crédit et que l’écran affiche des astérisques là où les caractères sont saisis.
Tokenisation
La tokenisation remplace les données personnelles par des valeurs dénuées de sens (tokens) : des données sans valeur intrinsèque. Normalement, ces jetons sont dans le même format que les données d’origine.
Agrégation
L’agrégation, c’est lorsque des données sont combinées à partir de plusieurs sources, dans le but de diluer ce qui peut en être déduit. Si les individus ne peuvent pas être identifiés après l’agrégation des données : l’agrégation a été appliquée à un niveau d’abstraction satisfaisant. Un bon exemple de cela est de changer l’âge d’un client dans le stockage afin qu’il reflète désormais une plage (par exemple 18-25), ou de réduire la précision d’un code postal afin qu’il s’associe à une zone plus large.
Rédaction
Principalement utilisée pour répondre aux demandes des personnes concernées, la rédaction fonctionne sur la base que toute donnée personnelle superflue peut et doit être rendue illisible. Par exemple, lorsque vous répondez à une demande d’accès à une personne concernée (DSAR), seules les données personnelles du demandeur doivent être fournies et les données personnelles d’autres personnes doivent être supprimées, masquées ou supprimées.
Jusqu’ici tout va bien, y a-t-il un hic ?
Le problème est que bien que les concepts soient relativement simples à comprendre, ils peuvent être difficiles à mettre en œuvre. En fait, de nombreuses organisations n’appliquent pas correctement ces techniques, ce qui leur donne un faux sentiment de sécurité. Cette déconnexion représente un risque en soi : une entreprise peut être tentée de baisser les contrôles appliqués à ces données, considérant qu’elles sont peu risquées.
Les concepts sont relativement simples à comprendre, mais ils peuvent être difficiles à mettre en œuvre. La vérité est que la mise en œuvre technique peut être défectueuse à certains égards, ou d’autres facteurs peuvent être omis, ce qui pourrait affecter la façon dont les données sont traitées et consultées.
Défauts dans la mise en œuvre technique
J’ai vu de nombreux exemples d’algorithmes internes implémentant un obscurcissement qui n’est pas adapté à l’objectif. Souvent, ils ont tendance à être trop simplistes, mais l’organisation garde beaucoup d’espoir que leur solution est adéquate, même lorsqu’on lui dit que ce n’est pas le cas.
Les raisons à cela sont multiples : pour les PME, voire les grandes entreprises, le budget est le principal obstacle, les empêchant d’utiliser un produit externe, peut-être testé et soumis à un examen minutieux.
Outre les contraintes financières, il existe également d’autres facteurs qui peuvent parfois surprendre.
Sécurité indispensable
J’ai déjà fourni des services de conseil à une entreprise qui gérait de gros volumes de données et avait appliqué un « algorithme » pour la tokenisation (même si je n’appellerais pas cela un algorithme en soi). Il s’agissait d’un processus plutôt rudimentaire pour remplacer les champs associés aux données de catégorie spéciale par d’autres données « aléatoires ».
Les données aléatoires sont notoirement difficiles à créer au moyen de processus numériques (sauf si nous avons affaire à des ordinateurs quantiques), d’où le terme générateur de nombres pseudo-aléatoires (PRNG) lorsqu’il est appliqué aux nombres. Leur algorithme était mal construit, de sorte que le caractère aléatoire recherché était en fait principalement déterministe, n’offrant qu’un choix de 3 pour créer un jeton. En outre, il ne s’agissait pas d’un algorithme basé sur des idées mathématiques, mais plutôt d’une « règle empirique » avec 3 résultats prédéfinis.
Autant dire que la solution n’était pas adaptée à l’objectif. L’argument « J’utilise un processus de tokenisation » devient un point discutable lorsque l’objectif et le résultat ne sont pas alignés.
Lorsque j’ai indiqué cela, j’ai été confronté à une position défensive à propos de leur « nouvel algorithme » (c’était leur PDG, après tout, qui l’avait conçu). L’argument « Eh bien, j’utilise un processus de tokenisation » devient discutable lorsque l’objectif et le résultat ne sont pas alignés. Il est facile de perdre de vue l’objectif, qui est la conformité lorsque l’ego entre en jeu.
Comme je l’ai souligné, le fonctionnement interne de l’algorithme était connu de tous les employés, car le document décrivant son fonctionnement se trouvait dans un dossier partagé avec d’autres politiques et procédures ! Non pas qu’il faudrait longtemps à un attaquant pour comprendre comment cela fonctionnait, mais maintenant il était facilement accessible aux attaques internes par des employés mécontents (ou toute personne ayant accès au document).
Je ne suis pas partisan d’atteindre la sécurité par l’obscurité – la conviction que faire quelque chose caché est suffisant pour assurer sa sécurité – mais j’ai dû éduquer mon client sur le principe de moindre connaissance et besoin de savoir.
Tout est question d’intégration, pas seulement de composants individuels
Cela met en évidence un autre aspect fondamental de l’utilisation des technologies : aussi bien conçues qu’elles soient, c’est la somme de toutes les parties et la façon dont elles fonctionnent ensemble qui est propice à la sécurité.
Par exemple, certains schémas de chiffrement ont été utilisés dans le passé où la clé symétrique (la même clé est utilisée à la fois pour le chiffrement et le déchiffrement) était partagée entre toutes les entités. En apparence, le cryptage était utilisé, mais il était si mal configuré que n’importe quel utilisateur pouvait accéder aux informations d’un autre utilisateur, et également être sujet à l’effet « Break Once, Break Everywhere » (BOBE) : craquer ou obtenir une clé unique qui peut ensuite être utilisé pour plusieurs systèmes.
Conclusion
Pour protéger vos actifs informationnels, l’intention doit être combinée à la connaissance pour faire les choses de manière efficace. Le meilleur effort n’est suffisant que s’il répond aux objectifs fixés pour la conformité, tout le reste peut être une opportunité manquée, vous coûtant de l’argent et portant atteinte à votre réputation.
Efforcez-vous toujours de créer le meilleur environnement possible avec des contrôles administratifs, techniques et physiques, et de favoriser une culture de sécurité qui imprègne toute l’organisation.
Vous aimez cet article ? Découvrez d’autres explications et idées à l’intersection de la sécurité et de la confidentialité.