Avec les violations de données qui touchent quotidiennement les plus grandes marques du monde, y compris les entreprises technologiques les plus en vue, les directions générales de toutes les organisations doivent de toute urgence reconnaître que la cybersécurité n'est pas seulement une question d'informatique, mais aussi de gouvernance des données. Et la responsabilité de la gouvernance des données incombe fermement – et lourdement – à la direction.
Avec l'inclusion et l'application croissantes de lois punitives en cas de violation des données, il est vital pour la suite c-suite de s'approprier les questions clés de la protection des données, telles que la souveraineté des données.
Le conseil d'administration comprend-il les exigences actuelles en matière de transfert de données entre l'UE et les États-Unis – ou risque-t-il de se voir infliger une amende, telle que l'amende record de 1,2 milliard imposée à Meta, non pas pour avoir subi une violation de réseau mais pour avoir enfreint les règles de protection des données de l'UE ? Les fournisseurs de services gérés (MSP) sont de plus en plus nombreux… préoccupés par leur responsabilité en matière de données à la lumière de l'augmentation des violations et des réglementations punitives, la c-suite est-elle consciente des négociations contractuelles complexes, longues et coûteuses qui sont désormais nécessaires ?
Les organisations qui adoptent encore une approche technologique de la cybersécurité se méprennent fondamentalement sur les objectifs de la réglementation mondiale en matière de protection des données et exposent ainsi dangereusement les individus et l'entreprise.
Propriété des données
Avec l'augmentation de la réglementation mondiale en matière de protection des données, le concept de souveraineté des données est devenu une préoccupation majeure pour toutes les entreprises. Pour l'essentiel, les données sont soumises aux lois et réglementations du pays où elles sont stockées ou traitées. Cependant, avec la dernière réglementation sur la protection des données du Royaume d'Arabie saoudite, le pays a étendu le concept de souveraineté des données pour inclure l'utilisation des données relatives aux citoyens et aux entreprises saoudiennes partout dans le monde. Et les sanctions en cas de violation de cette réglementation incluent une peine de prison.
Les entreprises doivent, potentiellement, se conformer à toute une série de lois locales sur la protection des données lorsqu'elles gèrent, stockent et transfèrent des données au-delà des frontières – ce qui est devenu de plus en plus difficile car de plus en plus de données sont stockées dans le nuage et traitées dans plus d'un pays. Pour les entreprises qui font appel à des fournisseurs de services gérés (MSP) pour fournir une partie ou la totalité de l'infrastructure, le fardeau de la responsabilité peut être déroutant.
Le responsable du traitement des données (le propriétaire des données) ou le sous-traitant des données (le propriétaire de l'infrastructure) est-il responsable face à une violation des données ? En fait, la responsabilité en cas de violation incombe à celui qui avait le contrôle de la protection de ces données. Il peut s'agir du propriétaire des données, mais aussi du prestataire de services s'il fournit les “liens sécurisés” par lesquels les données transitent.
Confusion endémique
Pourtant, cette question de la responsabilité et de la propriété des données continue de semer la confusion et d'engendrer des coûts importants pour les MSP et les entreprises. Une étude récente de Certes Networks confirme que beaucoup trop d'entreprises se contentent de confier leurs responsabilités à un MSP – et attendent de ce dernier qu'il prenne en charge les coûts financiers en cas de violation des données. Les entreprises qui emploient des organisations tierces pour mettre en œuvre des politiques de sécurité s'attendent à ce que les MSP couvrent 48 % des coûts en cas de violation de données.
Étonnamment, 73 % des MSP se considèrent également responsables du paiement des amendes et des dommages et intérêts et estiment qu'ils devraient prendre en charge 51 % des coûts.
L'incidence des violations continuant d'augmenter, il est clair que cette situation n'est pas viable. En effet, il est de plus en plus évident que les fournisseurs de services Internet refusent des contrats en raison du niveau de risque associé aux données de leurs clients potentiels. Cette tendance devrait inciter les entreprises à tirer la sonnette d'alarme : si un MSP de premier plan refuse de travailler avec une entreprise, celle-ci n'aura d'autre choix que de se tourner vers un autre MSP qui soit augmentera le prix pour couvrir le risque, soit, ce qui est plus inquiétant, aura une approche beaucoup moins robuste et rigoureuse de l'évaluation des risques et, potentiellement, de la gestion des risques.
Séparation des tâches
La question de la souveraineté des données doit être gérée d'une manière très différente pour sauvegarder non seulement les données mais aussi les relations commerciales. Cela n'est possible que si ces organisations adoptent la séparation des tâches et reconnaissent l'importance d'entourer les données de sécurité, plutôt que de s'en remettre à la sécurité du périmètre. En utilisant le cryptage pour s'assurer que toute IPI n'est visible que par le destinataire prévu, une organisation élimine toute contrainte ou préoccupation concernant l'emplacement géographique. Il est également important de noter que les directives techniques produites par l'UE suggèrent que c'est le responsable du traitement des données qui devrait posséder et gérer les clés de cryptage, ce qui renforce la pression réglementaire en faveur d'une séparation des tâches.
Avec cette approche, une entreprise accepte ses obligations en tant que propriétaire des données (contrôleur) pour protéger ses propres données ; le MSP ou toute autre partie de l'infrastructure accepte alors son rôle pour fournir une performance optimale en tant que mécanisme de transport.
La création d'une ligne de responsabilité claire de cette manière permet de surmonter immédiatement les négociations contractuelles coûteuses et consommatrices de ressources qui définissent chaque relation MSP aujourd'hui. Elle supprime le fardeau – et le coût – pour un MSP qui tente de protéger les données sur lesquelles il n'a aucun contrôle et aucune connaissance. Au lieu de cela, l'entreprise peut utiliser le cryptage pour envelopper les données vulnérables ou les informations confidentielles dans une couche de sécurité supplémentaire. Il en résulte une atténuation des risques pour les MSP et une protection des données pour le propriétaire des actifs.
Conformité Schrems II
Cette séparation des tâches permet également aux organisations de surmonter certains des problèmes de souveraineté des données qui pèsent actuellement sur les réglementations mondiales en matière de protection des données. Ceci est particulièrement important en Europe où le transfert de données vers les États-Unis pour traitement et stockage continue de créer de la confusion dans le cadre de la loi sur la protection des données. Règlement général sur la protection des données (GDPR). Depuis le 16 juillet 2020, date à laquelle la Cour de justice de l'Union européenne a rendu l'arrêt Schrems ii, les entreprises sont conscientes des préoccupations potentielles concernant le transfert de données de l'UE vers les États-Unis.
La décision prise en mai 2023 de ne pas seulement infliger à Meta une amende de 1,2 milliard d'euros (1,3 milliard de dollars). mais aussi d'ordonner à l'entreprise de cesser de transférer des données recueillies auprès des utilisateurs de Facebook en Europe vers les États-Unis, a soulevé des questions très sérieuses pour les c-suites du monde entier. Meta n'a pas été victime d'un piratage ou d'une violation de réseau. L'entreprise a été condamnée à une amende parce qu'il a été jugé qu'elle transférait des IIP de l'UE vers les États-Unis d'une manière qui pouvait être lue par les programmes de surveillance américains et qu'elle interférait donc avec les exigences des droits fondamentaux à la vie privée, à la protection des données et à une protection judiciaire efficace, tels que définis par Max Schrems.
Les entreprises ne peuvent pas compter sur les outils de surveillance du réseau ou d'analyse pour mettre en évidence un tel problème, car le réseau fonctionnait comme prévu, transférant efficacement les données d'un endroit à l'autre. Ce n'est pas un problème de réseau, c'est un problème de données. La violation du GDPR et le jugement Schrems ii n'auraient pu être évités que si l'entreprise avait adopté une approche axée sur les données d'abord et utilisé un chiffrement basé sur des politiques pour soit bloquer, soit chiffrer toutes les données envoyées à l'étranger.
En enveloppant la sécurité autour des données et en utilisant le cryptage pour s'assurer que toute IPI n'est visible que par le destinataire prévu, une organisation peut offrir une souveraineté virtuelle des données et supprimer toute contrainte ou préoccupation concernant l'emplacement géographique.
Conclusion
En atteignant la souveraineté des données par leur protection, plutôt qu'en s'appuyant sur d'éventuelles contraintes physiques ou géographiques, une entreprise résout efficacement les problèmes créés par Schrems ii et assure sa conformité au GDPR.
Elle permet aux organisations de s'engager dans des négociations MSP basées sur la qualité et la performance de l'infrastructure plutôt que d'être déraillées par des débats coûteux sur la responsabilité des données. Et, de manière critique, il fournit à la suite c-suite une protection contre l'escalade des risques personnels et d'entreprise associés à la violation des données.
Simon Pamplin est directeur technique chez Certes Networks
Tu pourrais aussi lire :
Sécuriser les données précieuses:
___________________________________________________________________________________________
Si tu aimes ce site Web et que tu utilises l'annuaire complet des fournisseurs de services (plus de 6 500), tu peux obtenir un accès illimité, y compris la série exclusive de rapports approfondis sur les directeurs, en souscrivant à un abonnement Premium.
- Individuel 5€ par mois ou 50€ par an. S'inscrire
- Multi-utilisateurs, entreprises & ; comptes de bibliothèque disponibles sur demande
Renseignements sur la cybersécurité : Capturé Organisé & ; Accessible
