Les risques liés aux données

Bien que l’exploitation et la valorisation des données soient une source d'avantages concurrentiels et un vecteur pour l’innovation ou la transformation numérique, elles ne sont pas exemptes de risques. Face aux énormes quantités de données structurées, semi-structurées et non structurées, dont on dispose aujourd'hui, certaines préoccupations telles l’inexactitude, la qualité, l’éthique et la sécurité se manifestent et doivent être gérées convenablement pour permettre à l’entreprise d’exploiter pleinement et adéquatement le potentiel des données.

Particulièrement, la protection des données devient de plus en plus palpable étant donné l’endurcissement de l’environnement légal et réglementaire qui protège les renseignements personnels et la vie privée des individus ainsi que l’omniprésence des menaces internes et externes en lien avec la disponibilité, l’intégrité et la confidentialité des données. Les risques de fuite ou de divulgation non autorisée de données confidentielles peuvent engendrer, s’ils se matérialisent, des impacts et des préjudices significatifs à l’entreprise, à ses employés, à ses clients ou à ses partenaires telles une atteinte à la réputation, des pertes financières, des poursuites judiciaires ou des sanctions des autorités réglementaires.

La protection des données joue un rôle dans le respect des valeurs éthiques en supportant les orientations et les principes qui guident les comportements et les décisions d’utilisation et d’exploitation des données.

Comment protéger la confidentialité des données ?

Chaque donnée se voit associer, selon une méthode de classification, un niveau de criticité : public, confidentiel ou secret en fonction de son type ou sa valeur pour l’entreprise. Une donnée confidentielle ou secrète est une donnée qui ne doit pas être divulguée qu’aux personnes ou entités autorisées. Par exemple, un renseignement personnel, information médicale, une donnée sur la conception d’un produit ou un procédé de fabrication sont considérées des données confidentielles.

Les données confidentielles ou secrètes nécessitent un niveau de protection élevé pour assurer leur confidentialité tout au long de leurs cycles de vie et quel que soit l’état dans lequel elles se trouvent : au repos, en transit ou en traitement. Les mesures de sécurité pour assurer la confidentialité des données s’inscrivent dans une stratégie globale de sécurité qui implique plusieurs secteurs de l’entreprise et touche autant le volet technologique, organisationnel qu’humain.

Des règles d’accès et d’exploitation des données ainsi que des mesures de sécurité associées doivent être définies et mises en place en fonction de la criticité des données. Une revue objective, pour évaluer l’efficacité et la performance des mesures en place, doit être réalisée. 

Exemples de mesures de protection des données :

• Masquage des données : permet de retirer le caractère confidentiel de la donnée et la modifie de telle sorte qu'elle ne puisse plus faire référence à la donnée initiale. Lorsque la donnée est de type renseignement personnel, on parle plus d’anonymisation ou de dépersonnalisation que de masquage. Cette technique est utilisée souvent dans les cas d’affichage, d’impression ou d’utilisation des données sensibles dans des environnements de développement.

• Chiffrement/cryptage des données : procédé qui permet remplacer un texte en clair par un texte inintelligible et de garantir la confidentialité des données sensibles en assurant que seuls l’émetteur et le destinataire légitimes puissent avoir accès à la donnée initiale. Le chiffrement est basé sur un algorithme de cryptage qui utilise des clés de chiffrement pour rendre la donnée illisible. À défaut d’avoir la clé spécifique, la donnée reste illisible. Le chiffrement est utilisé généralement pour le stockage et le transfert des informations sensibles à l’interne ou à l’externe de l’entreprise.

• Tokenisation: opération qui permet de réduire l’exposition des données sensibles à des systèmes ou des utilisateurs, il consiste à remplacer une donnée sensible par un équivalent (un jeton) qui n’a pas de valeur exploitable. La détokenisation est le processus inverse permettant de transformer un jeton en sa donnée initiale associée.

• Contrôle des accès aux données : mécanisme qui permet aux seules personnes autorisées d’accéder aux données sensibles en se basant sur les principes du besoin de savoir « Need to Know » et du « moindre privilège ». Ce mécanisme doit être appuyé par des processus de gestion des comptes, d’autorisation, de révision des droits d’accès, de journalisation et de surveillance.