“La donnée est devenue liquide”

Rohit Ghai, président RSA Security, qui ouvrait les débats de la conférence, constate que l’économie est désormais entièrement tournée vers la data. Même les entreprises qui pensent ne pas être concernées par le sujet ont, quelque part, une vulnérabilité liée aux données.

Et la multinationale constate, comme le confirme Nigel Ng, vice-président de RSA Security, que partout dans le monde les gouvernements se dotent de lois et d’organismes de régulation, comme la Cnil en France.

Pour l’entreprise, ces lois peuvent être porteuses de menaces et conduire même à de lourdes amendes, voire à des condamnations pénales, comme en Europe cela est désormais possible avec le règlement européen sur la protection des données personnelles (RGPD).

Les données sont partout mais il n’existe pas de loi unique. Ce qui est licite dans certains endroits du monde devient absolument inimaginable ailleurs. « Les données sont liquides » constatent les intervenants lors des échanges. D’où la difficulté pour les entreprises de correctement les traiter.

Ainsi par exemple, il est interdit en Thaïlande de diffamer le roi, les entreprises qui opèrent sur place doivent donc déployer des outils sémantiques pour empêcher la réalisation de cette infraction, impensable en Europe.

Le business, l’économie, la relation au consommateur, ces éléments sont maintenant intimement liés à la donnée. Comment s’assurer de l’intégrité, de leur confidentialité et de leur disponibilité ?

Pour Rohit Ghai, la complexité de la supply chain moderne a fait de la donnée une catégorie d’actifs de l’entreprise hautement risquée et qui passe d’un fournisseur de rang 2 à 3 voire 4 et induit autant de risque numérique.

Prenons par exemple un achat en ligne. Il y a la donnée pour le commerçant, pour la banque, pour le transporteur et peut-être un ou deux intermédiaires. Et ces intermédiaires, comment les évaluer ? Comment les certifier ? La sécurité des données est devenue un avantage compétitif indéniable.

Nigel Ng rappelle ainsi que la Corée du Sud compte 25 réacteurs nucléaires (2 sont en construction) et que l’Inde est en train de mettre en place le plus gros fichier de données personnelles au monde qui contient les données biométriques de ses habitants pour leur permettre de voter ou de bénéficier du système de santé. Les données sont aussi une question de souveraineté et de sécurité nationale.

Dans un monde global, chacun des pans doit pouvoir être protégé et répondre, non seulement aux normes du pays où l’entreprise est enregistrée, mais également aux lois du pays de l’acheteur. L’économie ne fonctionne que sur la confiance et la donnée est le nouvel étalon de cette confiance, comme une nouvelle monnaie.

Au-delà des lois et règlement, RSA Security plaide pour une approche éthique de la donnée. Personne n’est à l’abri d’une fuite. Il faut donc être le plus transparent possible, communiquer et expliquer au maximum au client final ce qu’il s’est passé.

« Il faut sortir de cette idée qu’une faille de sécurité est une honte. Il faut au contraire en parler et être transparent avec les clients » plaident les représentants de l’entreprise.

Au cœur de cette question, il y a celle de la définition de la faille. Même dans le règlement européen, la définition n’est pas tout à fait claire. Beaucoup de pays ont d’ailleurs transposé la directive et appliqué leur propre règle, ce qui rend la lecture encore plus complexe. Pour RSA, la question n’est pas de savoir si c’est une faille, si c’est un incident cyber ou même si c’est un bug, mais plutôt de savoir si l’incident a un impact sur l’activité de l’entreprise. Si celui-ci touche les données personnelles, ce sera forcément le cas, mais sinon ?

Quant à l’éthique, pour la définir, les représentants de RSA Security appliquent cette définition : « Doing the right thing, even if no one is looking. » Adopter la meilleure pratique même si personne ne le sait.

Car évidemment, au moment d’une fuite, ce sont ces pratiques, qui jusqu’à présent étaient dans l’ombre, qui seront sous le feu des projecteurs.

Pour résoudre ces différents dilemmes, RSA propose aux entreprises d’avoir une approche par le risque gouvernée par le business. Ainsi on passe d’un problème technologique de la compétence unique de quelques spécialistes à un problème économique, de la responsabilité du dirigeant.

Une fois cette approche prise en compte, il faut appliquer les règles classiques qui s’appliquent à tous les risques : limitation de l’exposition, déplacement ou morcellement de la cible, transfert vers l’assurance… «C’est une affaire de management», résume le vice-président de RSA.

Pour Kevin Akeroyd, le PDG de Cision (entreprise spécialisée dans le marketing et la communication) appelé à témoigner, il faut communiquer et admettre ouvertement si une faille a été découverte et la manière dont l’entreprise va gérer le problème. « Il y a une méthodologie à adopter dans la communication et il faut pouvoir s’y préparer. Bien évidemment, il y aura des impacts mais ils seront moindres. » Et de donner l’exemple très technique de deux décisions prises, l’une par Google et l’autre par Facebook, concernant un changement dans le traitement des données personnelles.

« Dans le premier cas, la décision de Google est jugée moins éthique et plus invasive que la décision prise par Facebook qui pourtant trace beaucoup moins l’utilisateur. Mais dans le premier cas, Google a pris les devants et a écrit à tous ses utilisateurs. L’entreprise a également exposé les raisons de ce changement tandis que Facebook a opéré un changement dans ses conditions d’utilisation, sans en avertir les utilisateurs. Cette absence de transparence a éveillé l’attention et provoqué une réponse très négative qui a obligé l’entreprise à se justifier », commente Kevin Akeroyd.