Souveraineté, Data Privacy et Données Sensibles26 juin 2024

Transformer les défis en opportunités sur les enjeux de maîtrise de la donnée

Dans un contexte où la Data se retrouve au cœur de la création de valeur de nombreuses entreprises, assurer la maîtrise des données est devenue une priorité essentielle. Cet article explore les enjeux, les bénéfices et les défis associés à trois aspects primordiaux de la maîtrise de la donnée : la Souveraineté, la Data Privacy et la Protection des données sensibles.

L’arrivée sur le devant de la scène de ces trois thématiques est le fait de plusieurs macro-tendances. Notamment l’explosion de la quantité de données (de 2 à 180 zettabytes entre 2010 et 2025 – Statista) due principalement à la digitalisation, la démocratisation de l’IoT (internet of things) et des réseaux sociaux et plus récemment l’arrivée de l’IA générative. Egalement, les facteurs suivants ont joué un rôle : la tendance croissante à la légiférations dans de nombreuses régions du monde, les attentes clients/citoyens pour plus de personnalisation (voir hyperpersonnalisation) et d’interconnectivité, et le retour de la guerre sur le continent européen.

Trois axes majeurs autour de la maîtrise de la donnée  :

Souveraineté :

Plus de 50% des grandes entreprises en Europe transfèrent leurs données vers des plateformes américaines.

Objectif : Assurer le contrôle sur les données, les algorithmes et les outils sans dépendre d’acteurs extérieurs (e.g. état, éditeur de logiciel, plateforme de GenAI pré-entraînée).

Data Privacy :

En 2022, les amendes en Union européenne pour violation de la privacy ont atteint 2,92 milliards d’euros. Ces amendes sont le reflet de plusieurs éléments concordants : des attentes croissantes des citoyens sur les sujets d’éthique (e.g. RSE, privacy), une législation soutenue répondant à ces attentes, et une rigidification des contrôles après une première phase de pédagogie.

Objectif : Gérer de manière éthique et durable les données personnelles (e.g. clients, employés, parties tierces).

Données sensibles :

En 2024, 33 millions de données médicales de Français (e.g. numéro de sécurité sociale) ont fuité chez Viamedys et Alemrys.

Objectif : Sécuriser les données sensibles (i.e. une donnée dont le partage non contrôlé a un impact négatif significatif) et diminuer la dépendance à la donnée sensible dès que possible.

 

Focus sur la Données sensibles  :

La gestion des données sensibles, un sujet habituel dans l’industrie de la défense où les règles et le cadre sont systématiquement posés en amont, devient de plus en plus importante dans les autres industries (e.g. pharmaceutique). Notamment, le partage systématique des données entre plusieurs directions ou domaines de données rend plus compliquée la sécurisation de ce type de données.

Concernant les données personnelles sensibles et ultra-sensibles (notamment centrales dans le monde de la Santé), la maîtrise de bout en bout des bases légales associées à la collecte et au traitement de ces données est essentielle. On retrouve ici des sujets de Data Privacy (e.g. consentement, intérêt légitime, intérêt public).

Afin d’éviter une sur-complexification des processus, notamment sur l’aspect juridique, certains mécanismes apportent une forte valeur, et décorrélant partiellement ou totalement la donnée avec la personne qui y est associée :

• Anonymisation de la donnée personnelle, très pertinente pour désensibiliser la donnée lorsque seuls les aspects volumétriques sont pertinents (e.g. nombre de clients/patients avec telle caractéristique)
• Déstructuration de la donnée, c’est-à-dire retirer le lien entre certaines informations initialement corrélées (e.g. adresse postale/nom d’un client d’une maison de luxe et son montant d’achat ; plan pour une pièce vs. centralisation de tous les plans de pièces pour un dispositif d’armement). En effet, la valeur de la donnée et son caractère sensible viennent souvent de l’intelligence créée par l’association de plusieurs données.
• Génération de données synthétique, permettant de générer des données statistiquement exploitables n’ayant aucun lien avec la réalité (e.g. une personne, un dispositif).
• Minimisation de la quantité de données, permettant de limiter le volume de données à sécuriser.

En parallèle, sécuriser la donnée sensible passe aujourd’hui par certains mécanismes nouveaux :

• Sécurité data-centric : Adopter une approche de défense axée sur les données signifie placer la protection des données au cœur de toutes les stratégies de sécurité. Cela implique de comprendre que toutes les données ne sont pas égales et que leur protection doit être proportionnée à leur valeur et à leur sensibilité.

Mise en œuvre :

– Classification des données : Identifier et catégoriser les données en fonction de leur sensibilité et de leur importance pour l’entreprise. Cela permet de prioriser les ressources de sécurité pour protéger les informations les plus critiques.

– Chiffrement des données : Utiliser des techniques de chiffrement pour protéger les données sensibles en transit et au repos, garantissant que seules les parties autorisées peuvent y accéder.

– Contrôle d’accès basé sur les rôles (RBAC) : Définir des politiques d’accès strictes basées sur les rôles et les responsabilités des utilisateurs. Cela limite l’accès aux données sensibles uniquement aux personnes qui en ont besoin pour leur travail.

• Modèle Zero-Trust : Le modèle zéro-trust repose sur le principe de ne jamais faire confiance à quoi que ce soit à l’intérieur ou à l’extérieur du réseau sans vérification préalable. Chaque tentative d’accès aux ressources de l’entreprise doit être authentifiée et autorisée.

Mise en œuvre :

– Authentification multi-facteurs (MFA) : Imposer l’utilisation de plusieurs facteurs d’authentification pour accéder aux systèmes et aux données, réduisant ainsi les risques d’accès non autorisé.

– Micro-segmentation : Diviser le réseau en segments plus petits et sécurisés afin de limiter les déplacements latéraux des attaquants en cas de compromission d’une partie du réseau.

– Surveillance continue : Mettre en place des systèmes de surveillance et de journalisation pour détecter les comportements anormaux et les tentatives d’intrusion en temps réel, permettant une réponse rapide aux incidents de sécurité.

• Cryptographie post-quantique : Les ordinateurs quantiques promettent une puissance de calcul bien supérieure à celle des ordinateurs classiques, mais ils représentent également une menace pour les systèmes de cryptographie actuels. Les entreprises doivent se préparer à cette transition en adoptant des techniques de cryptographie résistantes aux attaques quantiques. Ces attaques peuvent se dérouler en deux temps : la donnée peut tout à fait être volée dans un premier temps et stockée sous une forme cryptée, pour être décryptée dans un second temps.

Mise en œuvre :

– Recherche et développement : Investir dans la recherche de nouvelles méthodes de cryptographie post-quantique qui sont résistantes aux capacités des ordinateurs quantiques.

– Audits de sécurité : Réaliser des audits réguliers des systèmes de cryptographie actuels pour identifier les vulnérabilités potentielles face aux menaces quantiques.

– Migration progressive : Planifier et exécuter une transition vers des algorithmes de cryptographie post-quantiques, garantissant que les systèmes et les données restent sécurisés à mesure que la technologie évolue.

---

Pour en savoir plus sur ces sujets et identifier les impacts et opportunités qui s’appliquent à vous, contactez nos partners et experts :

Morand Studer (Managing Partner, responsable des sujets Data)

Pietro Turati (Partner, responsable des sujets Cybersécurité)

Paul Schreiner (Manager, expert Cybersécurité)

Guillaume Coppola (Manager, expert Data Privacy)