Ce samedi 28 janvier se tenait la Journée de la protection des données en Europe, aux États-Unis et dans des dizaines d’autres pays, dont le Canada et Israël. L’occasion de réfléchir à la situation présente, mais aussi à l’avenir des réglementations qui gouvernent la protection des données. Actuellement, des tendances et priorités politiques incohérentes dans le domaine de la cybersécurité menacent de brouiller les initiatives visant à améliorer la protection des données.
Ces initiatives prises dans le but de protéger les données ne manquent pas. Partant d’une bonne intention, elles apportent une réponse logique aux informations quotidiennes concernant les violations et autres expositions illicites de données.
Les partisans de la protection des données et les législateurs sont de plus en plus conscients de la nécessité d’harmoniser les exigences de cybersécurité dans le cadre des lois portant sur la protection des données.
Or, les propositions visant à localiser les données persistent, menaçant de saper les tentatives d’améliorer la protection des données au sens large et la cyber-résilience en particulier.
Les exigences de cybersécurité communes ouvrent la voie au respect de la vie privée
Au-delà de la confusion que ne manque pas de susciter la multiplication d’obligations de protection des données incarnées par des directives telles que le Règlement général pour la protection des données (RGPD) en Europe, le California Consumer Privacy Act (CCPA) en Californie, la loi sur la protection des données personnelles (APPI) au Japon, les amendements apportés à la loi australienne sur la protection de la vie privée et un nombre croissant de textes sur la protection de la vie privée aux États-Unis, les évolutions sont positives pour les entités qui souhaitent mettre en place un programme global.
Ces différentes réglementations partagent en fait des exigences de sécurité a priori communes, stipulant la mise en œuvre de mesures de protection « adaptées » ou « raisonnables » face à ce risque.
Des années durant, il a été admis que ces exigences étaient conçues pour s’assurer que les entreprises ne considèrent pas la conformité aux règlementations de protection des données comme une situation figée, mais, a contrario, comme un ensemble de méthodes permettant d’améliorer la protection des données face à des menaces et des technologies en constante évolution.
Alors que commence l’année 2023, nous bénéficions à la fois d’une plus grande visibilité et d’un plus large consensus à propos de ce qui est « adapté » ou « raisonnable ».
Des pratiques et des technologies de cybersécurité communes figurent dans le rapport State of the Art publié par l’Agence européenne pour la cybersécurité (ENISA), dans le décret présidentiel (EO) relatif à l’amélioration de la cybersécurité des États-Unis et dans les dernières lignes directrices publiées par le département des services financiers de l’État de New-York. Ces bonnes pratiques concernent les technologies suivantes : détection et intervention sur les endpoints (EDR), surveillance du Dark Web, gestion des journaux de connexion, chasse aux menaces et protection de l’identité Zero Trust. En outre, il apparaît que suite à la déclaration de la Commission fédérale du commerce (FTC) relative à la faille de sécurité Log4Shell, l’application de correctifs contre les vulnérabilités connues s’est élevée au rang de priorité en matière de conformité.
Cette reconnaissance commune de certaines pratiques de cybersécurité signifie que les professionnels affichent à présent une plus grande assurance vis-à-vis des standards de base en cas d’application de la réglementation ou de contentieux.
Des tendances déroutantes en termes de politiques peuvent compromettre les bonnes pratiques de cybersécurité
Simultanément, mais à l’opposé de la volonté accrue de se conformer aux exigences de sécurité définies par les lois sur la protection des données, de nouvelles propositions de localisation des données menacent de remettre en cause les priorités.
Les tendances actuellement observées dans le domaine de la cybersécurité montrent clairement que les cyber-intrusions continuent de représenter une menace majeure pour la vie privée. Par essence, les exigences de sécurité et les pratiques acceptées ont pour but d’empêcher d’accéder de façon illicite aux données.
Néanmoins, de nombreuses propositions soumises aux quatre coins du monde cherchent à refuser un accès par ailleurs autorisé — par exemple la gestion d’un réseau au-delà d’une juridiction —, limitant de facto les moyens dont disposent les défenseurs pour se protéger contre tout accès non autorisé.
Parmi les exemples récents figurent certaines dispositions du projet de loi sur la protection des données personnelles numériques présenté en Inde, le référentiel français SecNumCloud relatif à la qualification des prestataires de services d’informatique dans le cloud, une première version du décret présidentiel italien mettant en œuvre la directive européenne NIS 1.0 sur la résilience des données critiques, certaines interprétations des transferts internationaux de données personnelles suite à l’arrêt Schrems II, ainsi que d’autres règles promouvant la souveraineté des données en vue de collecter des renseignements domestiques ou à des fins de politique industrielle.
Si les débats demeurent animés, la réalité est claire : l’obligation de localisation des données limiterait l’utilisation des bonnes pratiques de cybersécurité qui réunissent un consensus partout dans le monde. À cet effet, les défenseurs ont besoin de plateformes SaaS, de données de sécurité agrégées, d’une visibilité unifiée d’un bout à l’autre des entreprises, d’une gestion centralisée des logs, de la possibilité de suivre les mouvements latéraux, ainsi que de services opérationnels 24 heures sur 24 et 7 jours sur 7, ce qui nécessite invariablement des flux de données.
Ironiquement, les auteurs de menaces ne suivent pas les règles, de sorte que les défenseurs dépourvus de capacités analytiques et d’outils de chasse aux menaces d’envergure planétaire doivent affronter des agresseurs qui cherchent naturellement à exfiltrer des données en faisant fi des frontières, ainsi qu’à se déplacer latéralement à l’intérieur d’un réseau mondial.
En d’autres termes, les exigences de localisation des données pourraient inciter les entreprises à se protéger contre les hypothétiques risques de procédures juridiques applicables à l’étranger au lieu de respecter les exigences de leur pays stipulant l’utilisation de technologies appropriées pour protéger leurs données contre les violations.
Heureusement, certaines avancées positives ont eu lieu, parmi lesquelles la déclaration de l’OCDE sur l’accès des pouvoirs publics aux données à caractère personnel détenues par des entités du secteur privé, qui permet de résoudre bon nombre des préoccupations soulevées par les partisans de la localisation des données.
Les enjeux de la cybersécurité donnent un sens nouveau aux exigences actuelles de protection de la vie privée
Tandis que les équipes en charge de la sécurité et de la protection de la vie privée travaillent main dans la main pour se conformer à des standards modernes de protection des données « raisonnables » et « adaptés » au risque, et que les législateurs évaluent l’intérêt de la problématique que constitue la localisation des données, il importe de souligner combien les menaces actuelles ont évolué. L’extorsion par fuite de données est une menace majeure pour la vie privée et la sécurité. D’un point de vue tactique, les attaques modernes sont désormais axées sur l’identité et reposent sur l’exploitation d’identifiants légitimes.
Face aux enjeux des attaques modernes et aux techniques utilisées, les entreprises doivent se demander si les outils de sécurité qu’elles déploient dans leur réseau sont « adaptés » au risque, s’ils sont conformes aux exigences juridiques en vigueur, et s’ils reflètent les bonnes pratiques communes.
De même, ces normes peuvent éclairer les échanges visant à savoir si certaines propositions peuvent, ou non, aboutir à de meilleurs résultats pour la cybersécurité.
Dans le prolongement de la journée de la protection des données, il est important de réfléchir à ce qu’implique une protection holistique des données et à l’importance de la cybersécurité, que ce soit sur le plan de la conformité ou de la protection de la vie privée et des droits humains.
Les violations de données constituent une menace importante pour la vie privée. C’est pourquoi les législateurs et les agences gouvernementales peuvent améliorer la protection de la vie privée en défendant la transparence, mais aussi en encourageant l’adoption de bonnes pratiques visant à protéger les données contre les risques de failles.
C’est cette approche qu’il convient d’appliquer en priorité à la protection de la vie privée, plutôt que des mesures apparemment arbitraires telles que la localisation des données. Aujourd’hui, les infrastructures informatiques modernes, la cybersécurité et les programmes de respect de la vie privée reposent sur des flux de données planétaires. La mise en œuvre de cadres qui renforcent la sécurité et offrent une garantie aux transferts de données constitue un élément important pour la protection holistique des données.
____________________________
Par Drew Bagley, vice-président et conseiller en confidentialité et cyberpolitique chez CrowdStrike