Le Cloud Act a récemment relancé les discussions sur la protection des données.

Souvent, par "sécurité des données", on pense aux méthodes pour empêcher les intrusions et le vol. Mais expliquer comment on utilise les données collectées, à quelles fins, et comment on les protège est tout aussi important.

Or, avec la puissance du machine learning aujourd’hui, boostée par la puissance de calcul et surtout l’extraordinaire quantité de données collectées, on peut savoir « qui » vous êtes, statistiquement parlant.

En bref, la sécurité des données est un enjeu majeur aujourd’hui.

Philippe ANEL, CTO de notre partenaire Mediawen International, répond aux questions d’XPERTEAM.

Nos clients du Digital Learning nous sollicitent souvent dans le cadre de projets "compliance" : ça veut dire quoi ?

La traduction la plus proche de “compliance”, c’est la “conformité” des normes de sécurité. La prise de conscience de l’enjeu qu’est la sécurisation des données a fait qu’on essaye toujours plus d’identifier les bonnes pratiques et les meilleures méthodes pour la sécurisation des données.

Ces projets englobent souvent plusieurs dimensions : la sensibilisation des collaborateurs de l’entreprise, une dimension contractuelle et une dimension technique. Pour vos clients Digital Learning, les données sensibles peuvent être de deux natures. La première donnée à protéger est la donnée brute, le contenu des cours qui sont donnés. Mais les données personnelles des utilisateurs qui suivent ces cours ne sont pas moins importantes.

Cloud Act – Patriot Act, même combat ?

Non, le Cloud Act va bien plus loin. Le Patriot Act permet aux agences gouvernementales américaines comme la NSA, la CIA ou le FBI d’obtenir des informations dans le cadre d’enquêtes liées au terrorisme. Cette loi ne concerne que les données stockées sur des serveurs aux États-Unis.

Le Cloud Act permet, dans le cadre d’une enquête judiciaire, l’accès par les autorités américaines aux données électroniques stockées à l’étranger. Les forces de l’ordre américaines bénéficiant d’un mandat peuvent demander à un fournisseur de service américain, y compris pour des serveurs hébergés en Europe, de fournir vos données, sans même vous en informer !

La RGPD ne nous protège-t-elle pas contre le Cloud Act ?

Malheureusement, non. Une entreprise ou un fournisseur de service américain, même répondant aux règles de la RGPD, se soumettra à la juridiction américaine. En théorie, il serait possible que cette entreprise, basée en Europe, s’y oppose. Mais dans les faits, cela est bien trop risqué pour son image : elle pourrait être désignée responsable en cas d’attaque terroriste par exemple, ou accusée de protéger des criminels.

Peux-tu conseiller 5 bonnes pratiques pour sécuriser ses données d’entreprise ?

Contre la perte, là c’est simple : backup, ou encore redondance dans des lieux géographiques distants.

Contre l’aspiration légale comme le Cloud Act ou le Patriot Act, il faut envisager de faire héberger ses données en Europe par une société européenne et s’assurer qu’elle n’est pas rachetée ou financée par une société américaine. Cette souveraineté numérique est aujourd’hui indispensable pour les entreprises, qui doivent maîtriser leurs données. Pour les protéger, il est également possible de passer par le chiffrement, qui est une réelle protection : si les données aspirées légalement sont chiffrées, elles ne seront pas lisibles.

Contre l’aspiration illégale comme le Hacking ou le Sniffing, c’est compliqué. Il faut pouvoir imposer aux utilisateurs des navigateurs à jour et sécurisés. Ensuite, il faut éviter d’utiliser des frameworks tous faits qui sont autant de vecteurs d’attaques possibles. Si vous laissez un utilisateur s’authentifier grâce à son compte Facebook ou Google sur votre site, comment pouvez-vous prétendre pouvoir le protéger ? Enfin, il faut avoir des composants à jour, par exemple avec le protocole TLS amené à remplacer le SSL.

Quand on a peu de moyens, il faut viser la simplicité d’abord. De nombreuses failles de sécurité informatique viennent de la complexité grandissante des outils que nous utilisons. L’article de Russ Cox à ce sujet est très important à lire. L’indépendance technologique est indispensable ! Pouvoir écrire un code facile à maintenir, bien documenté et bien architecturé permettra de s’adapter aux nouveaux vecteurs d’attaques.

Concrètement, quelles questions poser à mon fournisseur xLMS® pour protéger au mieux mes données ?

Les questions sont simples : où sont hébergées mes données, avec qui travaillez-vous, proposez-vous aussi du Saas privé, de l’On Premise, comment assurez-vous la protection des données, où, comment et quand la sauvegarde est-elle effectuée ?

La réponse est-elle technique ?

En partie. Il faut écrire du code avec des outils récents car il y a eu d’énormes progrès dans les langages de programmation. On en parle peu dans la presse, mais depuis quelque temps, de nouvelles attaques utilisent comme vecteurs des failles dans les microprocesseurs. Ce sont des situations extrêmement graves, mais il est possible de se protéger. Le chiffrement est une réelle solution, car si les données sont chiffrées, il sera impossible de les lire.

La réponse est-elle juridique ?

C’est certain. À commencer par l’utilisation de ressources qui assurent le respect de la confidentialité des données. En Europe, la RGPD protège concrètement les données des utilisateurs. La souveraineté des données pour les entreprises est l’enjeu majeur aujourd’hui, et la compliance doit être mieux mise en place.

La réponse est-elle humaine ou culturelle ?

La RGPD ne suffira pas, j’en ai peur. La compliance, c’est aussi sensibiliser les collaborateurs de l’entreprise avec des contenus de formation sur la confidentialité et la sécurisation des données. Sans cette prise de conscience de chacun dans l’entreprise, l’application sera impossible.

La réponse a en fait aussi une dimension politique: elle viendra de la capacité de nos gouvernements en Europe à soutenir une direction commune et à créer des acteurs capables de concurrencer les leaders actuels..

Le Cloud privé est-il une solution ?

C’est une idée. Mais elle nécessite énormément de moyens et de compétences pour maintenir des serveurs. La sécurité des systèmes d’exploitation, du hardware, l’obsolescence, ou la redondance : il n’est pas simple de se faire son propre datacenter. Il existe aussi en France de nombreux acteurs très compétents.

Quel serait dans ce cas le montage idéal, juridiquement, techniquement et humainement parlant ?

Tout d’abord, travailler avec des sociétés européennes, dont les serveurs sont en Europe. La première chose à faire serait de concevoir une application facilement portable d’un fournisseur de ressources à un autre. La modularité et l’agilité sont indispensables. Il faut aussi faire de la veille technologique et surveiller la santé de ces sociétés. Et puis il n’y a pas de raison de se couper du marché américain pour des raisons de protection de données. Les clients doivent savoir quelles sont les données qu’ils veulent protéger et quels sont les compromis qu’ils sont prêts à faire. Notre rôle, c’est d’expliquer quels sont les moyens qu’on peut mettre en œuvre pour proposer le maximum de sécurité et quelles en sont les conséquences.