Le Cesin s'inquiète pour la protection des données dispersées et transformées
En direct des Assises de la sécurité. Les 8 et 9 décembre prochains, le Cesin organise son séminaire annuel. Cette année, un thème domine, déjà abordé lors des Assises: la protection des données.
Le RSSI n'en finit pas d'évoluer, car ses champs d'action s'élargissent ou se multiplient. Un exemple, celui de la protection des données. Dans l'entreprise apparaissent des data analystes, les données sont externalisées, passent dans le cloud, de manière organisée ou rampante, bref la protection des données est bien la nouvelle priorité. Sauf que les données sont dispersées. Comment s'y retrouver ? Le Cesin propose ses pistes. D'abord, remarque Mylène Jarossay, RSSI de LVMH, l'éclatement des applications entraîne un éclatement des interfaces entre applications. La Fédération des identités existe, mais pas celle des donnes. Un paradoxe.
« Où est dispersée cette information », se demande Olivier Ligneul d'EDF. Dans le SI, mais pas seulement, chez le Chief digital officer, chez les partenaires ou chez les prestataires et leurs propres sous-traitants. L'information est accessible de différentes manières par différents responsables internes ou externes. Le problème est particulièrement accentué selon Fabrice Bru, Ciso de Louis Vuitton avec les datacenters, l'opérateur a lui-même des partenaires et chacun peut avoir accès à vos données. C'est le cas avec un CRM, qui est pourtant au coeur du métier d'une entreprise comme Louis Vuitton. Les plans d'assurance et les exigences contractuelles ont beau exister, ils sont de peu d'effets.
Une information redondante et multi-formats
« L'information, souligne Mylène Jarossay est non seulement dispersée, mais aussi redondante et multi-format. De plus, il faut aller chercher cette information chaque fois qu'elle a été transformée. C'est cette information-là, dispersée et transformée, qu'il faut protéger ». Or, la traçabilité est compliquée.
Il y a dix ans de cela, on ne se posait pas les mêmes questions, note Olivier Ligneul, il fallait protéger la donnée. Aujourd'hui, on s'aperçoit que cette donnée ne peut être effacée, il faut savoir comment la traquer, comment aussi aborder la question des interfaces de communication entre les données. Un point susceptible de faire émerger de nouveaux risques. Et il faut tenir compte du fait que la donnée évolue au fil du temps.
Détecter le plus vite possible
Le RSSI doit s'emparer de ces nouveaux sujets, visiblement ils sont d'une complexité inédite. Au passage, il va se confronter à d'autres directions plus ou moins bien disposées sur les sujets de sécurité numérique. En général, la direction des achats comprend que certains dossiers doivent être protégés. Ce n'est pas le cas de tout le monde, il faut au minimum imposer des réflexes de DLD, Data leak detection. « On ne peut pas prévenir le risque, juste le détecter et le détecter le plus vite possible » note Fabrice Bru (Louis Vuitton).
Le RSSI doit savoir répondre aux demandes des métiers. Vaste sujet. Un exemple fourni par Fabrice Bru, celui du département digital de sa société qui demande de suivre le buzz fait par un produit (par catalogue ou par le web), ce qui nécessite une traçabilité dans les applications. Des applications qui doivent être mises en place très vite, on n'est plus dans la vieille notion de projet des DSI. Et le cloud complique encore le sujet.
Plus percutante, Mylène Jarossay se demande si on ne pourrait pas amener l'utilisateur à se responsabiliser un peu plus, à contribuer davantage à la protection des données. Pour le moment, on se contente de lui déconseiller ou de lui interdire d'installer telle ou telle application. Autre question cruciale, la relation avec l'audit, lui aussi désarçonné par des systèmes de gestion de données dispersés et souvent externalisés.
En photo : Mylène Jarossay fédère les interrogations des membres du Cesin
