Les données de votre solution BI sont-elles vraiment en sécurité ?

Depuis son entrée en vigueur en 2016, le règlement général sur la protection des données a contraint les entreprises européennes à prendre des mesures fortes pour sécuriser leur data, et plus précisément les informations personnelles de leurs clients. 

Après avoir déployé les moyens adéquats pour se mettre en conformité, de nombreuses organisations mettent aujourd’hui en avant le respect des exigences du RGPD, garantissant par la même occasion la sécurité des données de leurs clients et partenaires…

Mais sont-elles réellement protégées ? Si les cyberattaques constituent encore et toujours une épée de Damoclès, les entreprises sont également exposées à un risque d’ordre juridique, parfois méconnu. L’utilisation d’une solution de Business Intelligence étrangère, en particulier, pourrait mettre en péril vos données, quels que soient les mécanismes de sécurité en place.

Les risques liés à la sécurité des données dans une solution BI

En matière de sécurité des données, les entreprises qui utilisent une solution de Business Intelligence doivent faire face à un éventail de risques.

  • La gestion complexe d’un grand volume de données : à l’heure du Big Data, l’informatique décisionnelle implique la gestion d’une grande diversité de données, avec des volumétries de plus en plus importantes. Or, plus les données sont nombreuses, plus le risque de voir apparaître des vulnérabilités, des fuites ou des accès non autorisés augmente.
  • Les menaces cyber : comme toutes les applications, les outils de Business Intelligence sont de plus en plus exposés aux attaques informatiques et autres actes malveillants, comme les vols de données ou les ransomwares.
  • La conformité réglementaire : la mise en place de réglementations strictes en matière de protection de la data, à l’instar du règlement général sur la protection des données (RGPD) en Europe, expose les entreprises à un risque de non-conformité.
  • Les menaces internes : d’après une étude du cabinet Deloitte, 63% des incidents de cybersécurité en entreprise sont d’origine interne. Les employés, mais aussi les sous-traitants, fournisseurs et partenaires ayant accès à des informations sensibles, doivent donc faire l’objet d’une grande vigilance.
  • L’émergence de nouvelles technologies : malgré leur immense potentiel, les technologies comme l’intelligence artificielle, la blockchain ou l’Internet des objets posent aussi des questions en matière de sécurité et de confidentialité des données, tout en offrant de nouveaux angles d’attaque aux cybercriminels.
  • La localisation et la souveraineté des données : alors que la souveraineté numérique s’impose comme un enjeu majeur, la question de la localisation des données doit aussi être prise à bras-le-corps par les entreprises

Les conséquences des violations de données pour les entreprises utilisant des solutions BI

Un vol ou une fuite de données peuvent avoir des conséquences délétères sur votre entreprise, et ce à différents niveaux.

Une réputation écornée

Une violation de données peut, en premier lieu, avoir un impact conséquent sur la réputation de votre organisation. En effet, elle risque d’exposer des données sensibles qui peuvent concerner votre entreprise, mais aussi vos clients, vos partenaires et autres parties prenantes. Cela peut éroder durablement la confiance du grand public vis-à-vis de votre structure, surtout si l’incident fait l’objet d’un « bad buzz » médiatique.

Si le pire n’a pas pu être évité, il est primordial de communiquer en toute transparence auprès des clients et des autres parties concernés par la fuite de données personnelles, afin de limiter l’impact sur votre réputation. Des mesures fortes doivent également être prises pour limiter l’impact de l’incident et éviter qu’il se reproduise à l’avenir.

Des pertes financières non négligeables

La dégradation de votre image de marque peut avoir des conséquences néfastes sur votre activité, entraînant le départ de certains clients chez la concurrence, ainsi que des pertes de parts de marché sur le long terme. Il en résulte logiquement une diminution du chiffre d’affaires et des bénéfices de l’organisation.

En outre, une fuite de données personnelles peut engendrer d’autres pertes financières telles que des amendes, des indemnisations ou des coûts de remédiation.

Des performances dégradées

Une atteinte à la sécurité des données peut aussi entraver, voire paralyser, vos processus de Business Intelligence, ce qui se traduit par une perte de performance. Autrement dit, votre capacité à accéder à la data, à l’analyser et à l’exploiter efficacement est amoindrie. Sans oublier le risque de corruption, d’altération ou de suppression de certaines données, qui peut nuire à la qualité et à la fiabilité de votre data (et donc de vos analyses futures).

La non-conformité réglementaire

Enfin, un problème de sécurité des données peut mettre en lumière une non-conformité de l’organisation vis-à-vis de la réglementation en vigueur (en l’occurrence, le Règlement général sur la protection des données). Les conséquences juridiques peuvent être encore plus importantes si vous traitez des informations considérées comme sensibles, à l’instar des données de santé.

Quelles mesures mettre en place pour la protection des données d’une solution BI ?

Si les risques liés à l’exploitation des données dans le cadre de l’informatique décisionnelle sont indéniables, les organisations disposent de différents leviers pour mieux les maîtriser. Cependant, ces mesures n’ont qu’une efficacité limitée et ne doivent pas être considérées comme des « solutions miracles ».

Les droits d’accès et les mécanismes d’authentification pour protéger les informations sensibles

La mise en place d’un contrôle d’accès strict est un moyen évident pour améliorer la sécurité des données BI. Concrètement, il s’agit de déterminer qui peut accéder à quelles données et sous quelles conditions. En fonction des besoins et des spécificités de l’organisation, différents modèles peuvent être déployés, basés sur des rôles, des règles ou des attributs. Quoi qu’il en soit, le contrôle d’accès permet de :

  • Limiter les droits des utilisateurs autorisés, qui ne peuvent accéder qu’aux données absolument nécessaires pour leur métier.
  • Empêcher les utilisateurs non autorisés d’accéder aux données.
  • Surveiller en temps réel l’activité des utilisateurs, ainsi que les données consultées, les fichiers modifiés ou supprimés… Cela implique une parfaite gestion des comptes utilisateurs, qui doivent être nominatifs et personnalisés afin de retracer facilement chaque action.

Par ailleurs, les droits d’accès doivent être accompagnés par des mécanismes d’authentification rigoureux. La mise en place d’une politique d’identifiants et de mots de passe stricte constitue une bonne base. Ces derniers doivent d’ailleurs être remplacés régulièrement.

Néanmoins, ces mesures ne permettent pas de garantir un niveau de sécurité élevé pour une organisation, c’est pourquoi elles sont renforcées par des méthodes de cryptage.

Le chiffrement des données pour garantir leur confidentialité

Le chiffrement est un processus consistant à transformer l’information en un code qui ne peut être décrypté que par les personnes disposant de la clé de déchiffrement appropriée. C’est sans doute l’une des méthodes les plus simples pour améliorer la sécurité des données, en limitant le risque de vol ou d’accès non autorisé.

Il existe différents types de chiffrement dont l’efficacité dépend du contexte de chaque organisation : symétrique, asymétrique, hybride… Dans tous les cas, les données doivent être chiffrées non seulement quand elles sont stockées dans les bases de données (on parle de données « au repos »), mais aussi lorsqu’elles transitent entre différentes BDD. En outre, il est essentiel de bien gérer les clés de chiffrement et de les remplacer régulièrement.

Mentionnons également quelques techniques alternatives :

  • Le masquage des données, qui consiste à « cacher » les lettres et chiffres présents dans la data en utilisant des caractères de remplacement. Lorsqu’un utilisateur autorisé reçoit les données en question, elles reprennent leur forme d’origine.
  • La tokenisation, qui substitue les informations sensibles par des caractères aléatoires et non réversibles. La correspondance entre les données et leurs valeurs de remplacement est stockée dans une base de données sécurisée (plutôt que d’être générée et déchiffrée par un algorithme, comme dans le cas du chiffrement).

Quelle que soit la technique utilisée, le chiffrement des données est une mesure nécessaire, mais loin d’être suffisante…

« On sait de manière presque certaine que les agences gouvernementales américaines, comme la NSA par exemple, sont capables de casser très facilement les clés de cryptage. À mon sens, cette contre-mesure est insuffisante pour garantir la protection des données. »
Antoine Buat, CEO de DigDash

 

En effet, rappelons que la loi fédérale CLOUD Act permet aux agences de renseignement des États-Unis d’accéder aux données personnelles hébergées sur les serveurs informatiques des entreprises américaines (y compris si elles sont stockées dans d’autres pays), à condition de disposer d’un mandat et de l’accord d’un juge fédéral.

Plus inquiétant encore, le Foreign Intelligence Surveillance Act (FISA) permet aux agences gouvernementales de collecter massivement et sans aucun mandat les données numériques des personnes non américaines. Le risque d’ingérence est donc bien réel, en dépit des mesures de sécurité mises en œuvre… D’où la nécessité de « relocaliser » les données pour garantir leur protection.

L’hébergement en France, par une société française : un véritable gage de sécurité

Savez-vous où sont réellement stockées vos données ? Et surtout, qui peut y accéder ?

En consultant la documentation de l’éditeur de votre solution de Business Intelligence, vous avez peut-être été rassuré en apprenant que vos données étaient stockées sur un serveur basé en France ou en Europe. Grave erreur : en réalité, la réglementation applicable à vos données ne dépend pas du lieu où est situé le data center, mais bien de la nationalité de l’hébergeur.

Autrement dit, un système de BI hébergé en France mais fourni par une société d’Outre-Atlantique ne protège aucunement vos informations contre les potentielles intrusions des agences de renseignement américaines. En vertu des lois FISA ou CLOUD Act, ces dernières peuvent accéder aux données des fournisseurs de services américains, même quand elles sont stockées en dehors des USA.

« Une entreprise qui utilise une solution de Business Intelligence américaine ne peut pas garantir que les données qu’elle traite sont protégées. Pour être réellement conforme à la loi, elle devrait ajouter un astérisque dans ses conditions d’utilisation, afin de préciser que ses données sont potentiellement consultables par les services de renseignement américains. Mais, dans la pratique, personne ne le fait… Il y a donc un vrai risque juridique. »
Antoine Buat, CEO de DigDash


Contrairement aux plateformes américaines,
une solution BI française n’est ni soumise au CLOUD Act ni au FISA, ce qui permet de garantir la sécurité et la confidentialité des données. Elle est, en outre, parfaitement conforme au règlement général sur la protection des données (RGPD) : un gage de conformité, mais aussi de traitement et d’exploitation responsables des informations personnelles des utilisateurs.

Ajoutons que l’utilisation d’un logiciel d’informatique décisionnelle français est encore plus importante pour manipuler des données sensibles (qu’elles soient à caractère personnel ou non). Elles se définissent comme des informations dont la violation pourrait avoir des conséquences néfastes sur la santé des personnes, la sécurité publique ou encore la protection de la propriété intellectuelle. 

Dans ces cas de figure, l’hébergement cloud proposé par l’éditeur doit obligatoirement offrir une protection contre toute ingérence d’un État tiers, tout en respectant une qualification européenne garantissant un niveau de cybersécurité élevé.

L’utilisation d’un outil de Business Intelligence comporte des risques intrinsèques en matière de protection des données : cyberattaques, non-conformité, souveraineté numérique, technologies émergentes… 

Pour éviter les répercussions néfastes d’une violation de données, tant sur le plan financier que sur le plan de la réputation, il est donc primordial de mettre en œuvre une stratégie de sécurité adaptée, avec des mécanismes d’authentification ou de chiffrement des informations. Sans oublier la nécessité d’une sauvegarde régulière des données.

Néanmoins, ces techniques ont montré leurs limites et elles ne suffisent pas à garantir la sécurité des données de votre organisation, de vos clients ou de vos partenaires. De même, stocker vos données dans un data center basé en France n’a que peu d’intérêt, si celui-ci est opéré par une entreprise soumise à des réglementations étrangères (comme le FISA ou le CLOUD Act).

En définitive, choisir un éditeur français, hébergeant votre data en France, est l’unique option viable pour la protection de vos données BI contre d’éventuelles ingérences. Soucieux de promouvoir un cloud européen, sécurisé et responsable, DigDash a mis au point un hébergement cloud français offrant un haut niveau de sécurité, d’accessibilité et de confidentialité des données personnelles. Certifié ISO 27001, HDS et SecNumCloud, ce cloud apporte toutes les garanties nécessaires pour traiter des données sensibles, en particulier les informations relatives à la santé.