Depuis quelques années, l’utilisation des données, dans un but d’efficience ou pour améliorer des services et produits, s’est généralisée à la fois dans le secteur public ainsi que dans le privé. Ces nouveaux usages comportent-ils un risque pour la sécurité des données ? Quel est l’impact pour les personnes physiques ?
Les données sont maintenant considérées comme des actifs au sein d’une entreprise et des leviers d’efficience pour des administrations. Cependant, elles ont également de la valeur pour les personnes qui en sont à l’origine (consommateurs, citoyens…), ainsi que pour d'éventuels pirates informatiques qui peuvent demander une rançon en échange ou s’en servir pour mener d’autres attaques.
D’après le panorama de la cybermenace 2023 de l’ANSSI, le nombre d’attaques réalisées à partir d’un rançongiciel et signalées à l’ANSSI a augmenté de 30 % entre 2022 et 2023. Un rançongiciel est un logiciel malveillant ou virus qui bloque l’accès aux données et qui réclame le paiement d’une rançon pour en obtenir de nouveau l’accès.
Début 2024, les sociétés Viamedis et Almérys, qui ont pour fonction d’assurer la gestion des tiers-payants pour des complémentaires santé, ont fait l’objet d’une cyberattaque de grande envergure, 33 millions de français seraient impactés d’après une première estimation. Ce vol a permis de récupérer les noms, états civils, numéros de Sécurité sociale, dates de naissance, noms des assureurs et garanties de contrat d’un très grand nombre de personnes (Voir la publication de la CNIL).
En ce qui concerne le secteur public, en particulier ce qui relève de la santé publique, de la sécurité publique et des ministères régaliens, les attaques peuvent provenir d’états belligérants. L’enjeu de sécurité devient également politique.
Comment sécuriser les données ?
La sécurité technique des données a pour objectif de réduire les risques suivants :
indisponibilité des données : les données ne peuvent être consultées ou utilisées en raison de la panne d’un ou plusieurs systèmes.
altération des données : les données ont été modifiées afin de relayer des fausses informations ou de rendre impossible leur compréhension (si chiffrement).
vol des données : la confidentialité des données a été violée et un pirate informatique dispose d’une copie.
perte des données : les données sont perdues, il n'est pas possible de les reproduire.
La première étape pour sécuriser les données est de pouvoir les qualifier l’impact si tel type de données est atteint. En catégorisant, cela nous permettra d’éviter de prendre des mesures de sécurité à l’aveugle, sans identifier les données à protéger en priorité. L’objectif est de prendre des mesures précises sur certains types de données en adéquation au risque.
Cela se justifie car une équipe d’informaticiens doit pouvoir prioriser les actifs à protéger en cas d’attaque ou simplement dans le cas où le dispositif de sécurité est mis en place pour la première fois. La mise en place de mesures de sécurité a également un coût. Pour catégoriser les données, il convient de mener une analyse de risque en prenant en compte, la probabilité d’une attaque et la conséquence en termes financiers et/ou humains.
Voici un exemple de classification des données, par ordre de criticité : données classifiées (secret ou très secret), données de santé, données à caractère personnel, données nécessaires pour la continuité d’activité, données réglementaires mais sans risque métier particulier, données non sensibles.
Selon la criticité des données, il est envisageable d’appliquer :
du stockage en redondance sur un serveur distant ;
de l’isolement de l’application ou du système (aucune connexion avec d’autres applications et/ou systèmes) ;
de l’isolement des données (usage de plusieurs contenants pour compartimenter les données et réduire la propagation d’une altération ou suppression de l’intégralité des données) ;
du chiffrement ;
de l’anonymisation ;
de la pseudonymisation.
Cette catégorisation est à faire évoluer au fil du temps car une donnée peut perdre son utilité métier et sa conservation ne devenir que réglementaire, de même que les données classifiées peuvent être déclassifiées. Les mesures de sécurité sont à mettre en parallèle avec la réglementation française pour que des particuliers puissent consulter leurs propres données. Pour permettre cela, il est utile d’appliquer un cycle de vie sur les données.
Qu’en est-il de la sécurité et des droits des personnes ?
La question de la sécurité des données englobe également les droits des personnes vis-à-vis de l’usage de leurs données. L’utilisation de données nous concernant peuvent-elles se faire à notre détriment ? Ce serait une erreur de penser la sécurité des données uniquement par le prisme technique car la sécurité des personnes peut être mise à mal par un usage détourné de leurs données, c’est-à-dire un usage qui n’est pas encadré par le RGPD.
Il ne faut pas oublier qu’un traitement illégitime des données à caractère personnel est une violation des droits de ces personnes, et cela constitue une atteinte à leur sécurité.
Simon Chauvel, Consultant Formateur Serda Conseil