La recherche d'une sécurité priorisant la confidentialité

La conformité en matière de sécurité et de confidentialité ne doit pas forcément être une lutte

La sécurité et la confidentialité sont fréquemment considérées comme antagonistes. La mise en œuvre d'une solution de sécurité efficace nécessite la capacité d'identifier les menaces potentielles. Toutefois, cette démarche peut entraîner l'inspection de données sensibles ou personnelles, qui peut constituer une menace pour la confidentialité.

En réalité, la seule façon d'assurer la confidentialité des données consiste à mettre en œuvre une approche efficace de la sécurité des données. Un programme de sécurité bien conçu, priorisant la confidentialité, offre des avantages considérables à toutes les entreprises, tout en minimisant les incidences potentielles au regard de la confidentialité.

L'idée fausse du conflit entre sécurité et confidentialité

L'idée selon laquelle la sécurité et la confidentialité sont des notions contradictoires provient du fait que ces deux concepts sont poussés à l'extrême. Selon cet état d'esprit, tout accès potentiel à des données sensibles est considéré comme une atteinte à la confidentialité, et doit donc être évité à tout prix. En conséquence, les programmes de sécurité sont sérieusement grevés dans leur capacité à identifier et traiter les menaces potentielles.

Prenons l'exemple de l'analyse du trafic réseau. L'inspection des paquets est un outil précieux pour le programme de cybersécurité d'une entreprise. Les pare-feu sont une forme extrêmement courante d'inspection des paquets, et l'absence de pare-feu pourrait être considérée comme une violation des mesures de sécurité raisonnables exigées par les législations et réglementations dans un certain nombre de juridictions au niveau mondial. L'examen du contenu malveillant d'un paquet réseau permet d'identifier les tentatives d'infection par des logiciels malveillants, l'exfiltration de données, l'usurpation de comptes, ainsi que d'autres menaces.

Toutefois, du point de vue de la confidentialité, l'inspection des paquets peut poser des problèmes lorsqu'un paquet contient des informations d'identification personnelle ou d'autres données sensibles. Du point de vue des absolutistes de la confidentialité, le chiffrement de bout en bout sans inspection des paquets semble préférable.

À première vue, ces deux perspectives (assurer la sécurité nécessaire et préserver la confidentialité des données personnelles) paraissent incompatibles. Cependant, les autorités réglementaires ont également précisé que la mise en œuvre de mesures de sécurité raisonnables visant à protéger la confidentialité des données est essentielle. Pour s'en convaincre, il suffit d'examiner les nombreuses mesures d'application de la réglementation en matière de confidentialité prises à l'encontre d'entreprises ayant subi des violations de la sécurité. Nous pensons que les responsables de la confidentialité et de la sécurité des données peuvent combler le fossé entre la sécurité et l'absolutisme en matière de protection de la vie privée ; toutefois, cela nécessite d'adopter une perspective différente en matière de confidentialité et de sécurité des données.

Quels sont les risques ?

La gestion des risques est un principe fondamental des programmes de sécurité des données et de confidentialité. Pour unifier les objectifs de ces deux programmes, il est nécessaire d'examiner les risques potentiels affectant les données d'une entreprise.

Pour toute entreprise traitant des données personnelles, la sécurité et la confidentialité de ces données sont d'une importance capitale. L'une des principales préoccupations des entreprises au regard d'un programme de sécurité des données est l'éventualité que les solutions de sécurité puissent accéder à des informations d'identification personnelle et d'autres données sensibles dans le cadre de leurs fonctions. Ces outils peuvent analyser les e-mails, les paquets réseau ou les fichiers dans le but d'y déceler des signes révélateurs de la présence de contenus malveillants.

L'autre risque principal pour les données des entreprises et des clients est qu'un cybercriminel parvienne à y accéder. Par exemple, les rançongiciels modernes dérobent et divulguent des données sensibles si l'entreprise qui en est victime ne verse pas la rançon. Et même si la rançon est versée, il n'y a aucune garantie que les données seront supprimées et ne seront pas divulguées.

Il est impossible d'éviter ces deux risques. Un programme de sécurité efficace nécessite l'accès aux données, et une sécurité inefficace entraîne presque inévitablement une violation des données.

La recherche d'une approche de la sécurité priorisant la confidentialité

Lorsque les solutions de sécurité sont conçues dans l'optique de la confidentialité, nous avons constaté que les entreprises peuvent mettre en œuvre des protections de sécurité solides, tout en protégeant les données à caractère personnel de leurs clients et de leurs collaborateurs. Et nous savons que lorsque les entreprises effectuent une analyse comparative des coûts et avantages, les avantages potentiels qu'offre une approche de la sécurité priorisant la confidentialité sont considérables.

Par exemple, le blocage d'un logiciel malveillant avant qu'il n'atteigne les systèmes d'une entreprise peut permettre de prévenir une violation de données. La prévention des violations de données (dont le coût moyen s'élevait à 4,45 millions de dollars en 2023, sans parler de l'atteinte à la réputation de la marque et des répercussions juridiques) est essentielle pour l'entreprise. Il ne fait donc aucun doute que des mesures de sécurité ultra-performantes sont essentielles. Tout fournisseur de solutions de sécurité digne de ce nom doit proposer des solutions qui minimisent son accès aux données sensibles et protègent les données personnelles qui lui sont confiées.

En tant que Chief Privacy Officer de Cloudflare, comprendre comment concevoir et mettre en œuvre des solutions de sécurité priorisant la confidentialité constitue une partie essentielle de mon travail et des entretiens avec notre RSSI. Il y a plusieurs années de cela, nous sommes devenus clients d'Area 1, car nous savions qu'il était vital de déployer une solution permettant d'inspecter et de sécuriser préventivement notre trafic de messagerie. En tant que directeur de la confidentialité, ma première réaction a été d'être préoccupé par la perspective d'autoriser une technologie à analyser le trafic de messagerie affluant dans notre entreprise. Mais lorsque nous en avons appris davantage sur le fonctionnement de la solution et sur les mesures de protection de la confidentialité qu'elle intégrait, nous avons constaté que le traitement des données par Area 1 réduisait considérablement les risques pour la sécurité, tout en maximisant les avantages potentiels – et ce, en priorisant la confidentialité. En réalité, nous avons été tellement impressionnés par le produit que nous l'avons non seulement utilisé, mais nous avons également racheté l'entreprise ; la solution est désormais une offre essentielle de la suite de produits Zero Trust de Cloudflare.

Conception d'un programme de sécurité priorisant la confidentialité

La confidentialité et la sécurité ne doivent pas forcément être antagonistes. Un programme de sécurité priorisant la confidentialité évalue les risques liés à la mise en œuvre d'une solution de sécurité, ainsi qu'à son absence. Si les avantages de la mise en œuvre d'une solution de sécurité, telle que l'analyse des e-mails, l'emportent sur les risques (ce qui est pratiquement certain), l'entreprise doit alors déployer cette capacité avec circonspection.

Pour déterminer si un outil de sécurité est bon pour la sécurité des données et pour la confidentialité, il convient de se poser certaines questions essentielles :

• Offre-t-il des avantages clairs ? Les risques potentiels d'une solution de sécurité au regard de la confidentialité ne sont acceptables que si cette solution réduit également le risque de violation de données.

• Réduit-elle l'accès aux données personnelles ? Une solution de sécurité doit minimiser la quantité de données potentiellement sensibles auxquelles elle accède et qu'elle traite.

• L'entreprise priorise-t-elle la sécurité ? Vérifiez comment l'entreprise a géré les incidents de sécurité antérieurs et priorisé les investissements en matière de sécurité.

• Satisfait-elle aux exigences réglementaires ? Vérifiez que l'entreprise possède des certifications orientées confidentialité, telles que les certifications ISO 27701 et ISO 27018, qu'elle est certifiée conformément au cadre de protection des données UE-États-Unis et/ou qu'elle est certifiée conformément au Code de conduite cloud de l'UE. Si un fournisseur possède ces certifications en plus des certifications de sécurité standard, telles que PCI DSS, ISO 27001 et SOC 2 Type II, cela indique qu'il met tout en œuvre pour protéger la confidentialité et la sécurité.

L'évaluation de tous ces critères pour les plus de 60 outils de sécurité utilisés par la moyenne des entreprises peut représenter un travail considérable. Il s'agit là d'un autre argument de poids en faveur de la consolidation de la sécurité. Il est plus facile de réaliser une étude préalable approfondie d'un fournisseur unique disposant d'une large gamme de capacités que d'effectuer une évaluation moins approfondie de plusieurs produits de sécurité dédiés.

La sécurité orientée confidentialité avec Cloudflare

Cloudflare est depuis longtemps un ardent défenseur de la sécurité orientée confidentialité. Le Centre de confiance détaille les efforts mis en œuvre pour satisfaire, voire dépasser les exigences en matière de confidentialité et de sécurité de toutes les principales réglementations en matière de protection des données.

La confidentialité est également au cœur des solutions de Cloudflare, conçues pour minimiser l'accès aux données à caractère personnel, tout en garantissant une sécurité renforcée. L'étendue du réseau de Cloudflare est un facteur essentiel. Cloudflare protège 20 % de l'ensemble des sites Internet, et une grande partie du trafic Internet transite par ses systèmes, fournissant des données aux systèmes d'informations sur les menaces de Cloudflare d'une manière qui ne compromet pas la confidentialité des utilisateurs finaux de ses clients.

Cet article fait partie de notre série consacrée aux nouvelles tendances et évolutions susceptibles d'affecter les décideurs en matière de technologies d'aujourd'hui.

Approfondir le sujet

Pour en savoir plus sur l'approche de Cloudflare en matière de sécurité orientée confidentialité, consultez la présentation de solution Cloudflare One for Data Protection.

Auteur

Emily Hancock – @emilyhancock
Chief Privacy Officer, Cloudflare

Points clés

Cet article vous permettra de mieux comprendre les points suivants :

• La relation entre la confidentialité des données et la sécurité

• Comment évaluer les risques d'atteinte à la vie privée liés aux investissements dans la sécurité ?

• Les fonctionnalités à rechercher dans un produit de sécurité priorisant la confidentialité

Ressources associées :

• Comment j'ai appris à ne plus m'en faire et à aimer la conformité

• Surmonter les défis liés à la souveraineté des données

• Cloudflare One for Data Protection – Présentation de solution

• Infographie : l'impact du code moderne, de l'IA et du cloud sur votre stratégie de protection des données