Responsables de la sécurité informatique : 5 conditions à remplir pour préserver la souveraineté des données
Souveraineté des données et collaboration à l’international sont-elles conciliables ?
Par Sébastien Roques-Shaw, Directeur des partenariats stratégiques internationaux, Virtru
Voilà quelques années que les DSI, CIO et CISO tentent de maintenir un fragile équilibre au cœur d’une tempête de complexité. En effet, les réglementations sur la protection de la vie privée (comme l’accord Privacy Shield entre l’UE et les U.S.A) ne cessent d’évoluer. De grands fournisseurs cloud, aux Etats-Unis surtout, ne cessent de monter en charge. La pandémie a précipité l’adoption massive du télétravail. Et les cybercriminels redoublent d’ingéniosité pour perpétrer de nouvelles attaques.
Face à l’actuel paysage des cybermenaces, les responsables de la sécurité sont tentés de tout verrouiller par mesure de sécurité, au nom de la souveraineté des données. Mais bien sûr cela pénalise la collaboration et l’innovation : maintenant que les équipes sont distribuées partout dans le monde, les collaborateurs doivent absolument pouvoir partager facilement des informations sans être ralentis dans leur travail.
Les responsables de la sécurité doivent donc choisir : favoriser la collaboration au détriment de la sécurité ou renforcer la sécurité au détriment de la collaboration.
Et si les deux étaient conciliables ? Que diriez-vous de pouvoir compter sur des données à la fois sûres, authentiques, souveraines et sous votre contrôle, que vous pourriez échanger en toute confiance ?
Chiffrement des données partagées pour les protéger des regards extérieurs
Le chiffrement de bout en bout permet d’offrir le libre choix des fournisseurs cloud et des applications utilisés tout en protégeant la sécurité des données. En 2020, le Comité européen de la protection des données recommande le chiffrement de bout en bout comme moyen efficace de protection de la sécurité des données chaque fois qu’une entreprise a recours aux services d’un tiers, y compris s’il s’agit d’un fournisseur basé à l’étranger.
Les entreprises ont intérêt à opter pour le chiffrement de bout en bout dès maintenant pour concilier au mieux souveraineté et partage des données. Ainsi, même si les réglementations changent, cette méthode confère au propriétaire des données un contrôle total et la garantie d’invisibiliser les informations aux yeux de tiers, fournisseurs cloud compris. Voici toutefois cinq conditions que votre stratégie de chiffrement et de protection des données devrait remplir.
- Visez la facilité d’utilisation. Si l’outil de chiffrement est trop difficile à utiliser, vos employés préféreront s’en passer. Beaucoup de ces outils sont encore assortis de portails d’accès au fichier ou message chiffré qui obligent le destinataire à devoir se créer des identifiants (soit une autre combinaison identifiant + mot de passe). Si l’accès est jugé compliqué, nul doute que vos collaborateurs privilégieront d’autres moyens, moins sécurisés, de partager l’information. Plutôt que d’exposer votre entreprise et vos données à des risques, choisissez une solution de chiffrement réputée facile à utiliser.
- Mesurez l’étendue de vos données sensibles. Les données sensibles sont partout dans une entreprise : les équipes des ventes et du marketing ont accès aux coordonnées des clients, la direction financière et juridique gère des modalités contractuelles privées, des indicateurs de performance et des factures, la direction et le conseil d’administration communiquent régulièrement sur des choix stratégiques confidentiels. Aussi, au moment de choisir une solution de chiffrement, vérifiez qu’elle répond bien aux besoins des utilisateurs des différents services, des applications et des plateformes: Allez-vous pouvoir appliquer le chiffrement aux e-mails et au système CRM (Customer Relationship Management) ? La solution est-elle compatible avec différents systèmes d’exploitation et fournisseurs, comme Google et Microsoft ? Les fichiers lourds sont-ils pris en charge ? Le chiffrement sera-t-il transparent sans perturber les workflows ?
- Chaque fois que possible, gérez vos propres clés de chiffrement. Pour une sécurité maximale, gérez vos propres clés de chiffrement des données. Ainsi, vous seul pourrez décider qui a accès aux données déchiffrées. Et vous pourrez sélectionner librement un fournisseur cloud, sachant que vos informations privées sont invisibilisées, vous pourrez révoquer les accès chaque fois que nécessaire et vous détiendrez le contrôle total sur vos données, d’un bout à l’autre du cycle de vie de chaque élément d’information.
- Instaurez d’emblée le principe Zero Trust. L’approche de sécurité Zero Trust suscite à raison un fort engouement : nul ne peut se voir accorder la confiance a priori, au sein du périmètre du réseau, comme depuis l’extérieur. Cette approche de la sécurité vaut pour tout : identités et utilisateurs, terminaux et dispositifs, applis et services, transport sur le réseau, et bien entendu l’ensemble des données. En effet, si toutes ces facettes sont importantes, l’approche Zero Trust se focalise surtout sur les données. Le fait de protéger les données elles-mêmes, où qu’elles transitent, permet de renforcer votre stratégie Zero Trust de l’intérieur, et donc de faciliter la collaboration et le partage sécurisé d’information. Commencez donc par les données, puis élaborez votre stratégie Zero Trust et déployez la technologie.
- Privilégiez les standards ouverts à l’international. Comme nous l’avons mentionné précédemment, le fait que les réglementations sur la protection de la vie privée évoluent constamment induit un facteur d’incertitude. Aucun CISO d’aucun pays ne peut prévoir quelles seront les réglementations dans 1, 5 ou 10 ans. On attend pourtant d’eux la mise en œuvre d’une stratégie durable. Dans ce contexte mouvant, pour que les entreprises de différents pays puissent collaborer efficacement, les responsables de la sécurité ont tout intérêt à miser sur les standards ouverts de protection des données.
Qu’il s’agisse de données clients, d’informations relevant du secret médical, de données internes stratégiques ou de tout autre type de données qu’il convient de protéger, les CIO et CISO sont invités à créer des frameworks à la fois flexibles et tournés vers l’avenir s’ils veulent garantir systématiquement la sécurité des informations partagées.
Certes les données ont vocation à être partagées, mais le respect de leur intégrité compte. Offrez-vous les deux, sans compromis, en optant pour le bon partenaire de chiffrement de bout en bout.