Le 28 janvier est la journée mondiale de la protection des données, ou Data Privacy Day qui est célébré aux États-Unis, au Canada et dans 47 pays européens.
Avis d’expert – Elle a été lancée par le Conseil de l’Europe en 2006. Lors de cette journée, les gouvernements, les organismes nationaux de protection des données et les acteurs privés prennent des mesures concernant le droit à la protection des données – y compris des campagnes visant à sensibiliser et à promouvoir l’éducation à la protection des données. Par exemple : à cette même date, l’année dernière, ont été publiées les lignes directrices sur l’IA et la protection des données.
Alors que la sensibilisation à la protection des données augmente au sein du grand public, que les équipements IoT prolifèrent et que les violations de données font la une chaque semaine, il est important de ralentir et de discuter de la protection des données.
À cette occasion plusieurs professionnels de la cybersécurité ont été invité à donner leurs avis sur l’état de la protection des données dans les entreprises. Sébastien Gest de Vade Secure, Stan Lowe de Zscaler et Sam Curry de Cybereason sont préoccupés par l’avancée des technologies telles que l’IA ou le machine learning qui n’intègrent pas toujours la « privacy-by-design » et qui de fait augmentent les risques de fuites de données privées et professionnelles.
Sébastien Gest, Tech Evangelist chez Vade Secure, spécialiste de la sécurité des boîte mail :
« Nos données, sont-elles protégées lorsqu’on utilise Internet ? Le Data Privacy Day est l’occasion d’y réfléchir. La mise en application du RGPD, obligeant les entreprises à déclarer leurs fuites de données sous 48h, a mis en exergue que toutes les entreprises peuvent être touchées par une fuite de données, quels que soit leur taille et leurs moyens. Nos données personnelles sont donc en liberté sur Internet.
Un autre problème se pose en entreprise, l’utilisation de nombreux objets connectés. L’usage des assistants vocaux et du tout intégrable, rendent la gestion des accès et des flux de données dans le réseau d’entreprise plus dense et complexe.
Le RGPD a permis de créer le poste de Délégué à la Protection des Données (DPO), veillant aux bonnes pratiques en terme de collecte, d’utilisation et de circulation des données. Cependant, les quelques outils mis à disposition des DPO sont encore jeunes et doivent évoluer pour atteindre un niveau de prédiction semblable à ceux de l’industrie de la cybersécurité. Les entreprises doivent profiter de cette journée pour sensibiliser et accompagner leurs employés, qu’ils soient des « digital native » nés dans l’air du numérique, ou les générations précédentes, pour qu’ils évitent de disséminer leurs informations personnelles sur les réseaux sociaux notamment. C’est un travail sur le long terme que les entreprises doivent mettre en place. »
Stan Lowe, expert des cybermenaces chez Zscaler, spécialiste de la sécurité dans le cloud :
« Le plus grand défi en matière de protection des données réside dans le fait que les entreprises innovent beaucoup plus vite que les gouvernements ne peuvent adapter les réglementations – telles que le RGPD. Alors que la 5G se déploie à l’échelle mondiale, tout sera littéralement connecté dans un avenir proche.
Notre passage à l’économie numérique va de pair avec l’utilisation d’équipements IoT, dans les maisons privées, qui peuvent être contrôlés verbalement, comme Alexa ou Google home. Cependant, ces appareils ne rendent pas seulement la vie des gens plus pratique en allumant les lumières ou en réglant leur thermostat, mais ils sont également utilisés pour recueillir une myriade de données à des fins commerciales et l’utilisateur inconscient se contente de signer des politiques d’utilisation acceptable sans jamais les lire.
Nous sommes en train de construire une société orwellienne au travers de la technologie que nous utilisons, sous l’impulsion des entreprises et non des gouvernements. Les individus doivent reconnaître la valeur de leur identité numérique et s’approprier la protection de leur vie privée. »
Sam Curry, expert des cybermenaces, Cybereason, spécialiste de la détection et de la réponse aux menaces :
« La protection de la vie privée connaît une évolution fulgurante mais pas toujours cohérente. Aujourd’hui, nombreux sont les règlements de protections des données, qui entre eux ne sont pas toujours consistant. À l’aube de l’année 2020, c’est certainement l’un des sujets les plus brûlants.
L’avancée technologique dans plusieurs domaines, chacun progressant de façon exponentielle, engendre une augmentation proportionnelle du niveau de risque, qui pourrait conduire à un point où le risque serait trop élevé. De l’IA à la 5G, en passant par l’OT et le Cloud, le paysage évolue plus vite que la confiance que nous pouvons lui accorder. Parmi les aspects les moins bien compris de la protection des données, on peut citer les agrégats de données, grâce auxquels il est possible de générer ou déduire des données relatives à la vie privée, via l’intelligence artificielle ou le machine learning. Cependant, ces technologies peuvent accidentellement divulguer des données et des informations relatives à la vie privée.
La plupart de ces données sont stockées dans le cloud, seulement, l’affaire APT10, en 2019, a prouvé qu’on ne peut pas se fier aux dits clouds simplement du fait de leur nature. Aujourd’hui, les entreprises – dont le stockage dépend essentiellement du cloud – ont des politiques, et même parfois des responsables de la protection de la vie privée. À l’image des RSSI 15 ans auparavant, ces derniers se perçoivent comme : des garde-fous sous-équipés, pouvant devenir des boucs émissaires lorsque surviennent des failles de données.
J’espère sincèrement que la prise de conscience, que je défends, se généralisera et que 2020 sera une année où la vie privée deviendra une priorité des entreprises, devenant ainsi plus uniforme, cohérente et surtout plus opérationnelle. Je soupçonne toutefois qu’il faudra plusieurs années pour y parvenir. »
Un besoin d’analyse des datas pour les entreprises
Avec les nouvelles règles en vigueur concernant la protection des données, il devient important que les entreprises soient en mesure de tirer profit des données recueillies dans le cadre de leur activité commerciale. Mais comment faire pour cela ? La data science bien sur ! Mais attention à le faire en respectant bien la législation européenne… et c’est d’autant plus difficile lorsqu’un groupe utilise plusieurs frameworks différents par lesquels transitent les données.
Aussi, notons que certains outils se développent pour constituer une plateforme unique qui remplace tous ces frameworks, et c’est notamment le cas de Ryax. Ryax, qui plus est, s’avère être open source et c’est un gage de transparence vis-à-vis du respect de la loi en matière de traitement des données personnelles. Il s’agit d’un framework unifié couvrant l’intégralité des processus d’industrialisation de la data science. L’objectif de cette plateforme de data engineering est d’aider les équipes data à déployer, exécuter et mettre à l’échelle leur modèles en production.
Note : article publi-rédactionnel