!css

Protection des données

19/04/2018

C’est un fait : le monde change de plus en plus rapidement et devient hautement numérique.

Une hausse significative des volumes de données.

C’est un fait : le monde change de plus en plus rapidement et devient hautement numérique. La croissance des données est exponentielle. Selon les prévisions d’IDC, la sphère mondiale des données atteindra 163 zettaoctets (163 trillions de gigaoctets) en 2025, soit 10 fois le volume des données générées en 20161.

L’année dernière2, nous avons souligné l’émergence, au sein du secteur de la finance, de technologies telles que l’intelligence artificielle et l’apprentissage automatique. Toutes ces technologies nécessitent un énorme volume de données afin de construire les modèles et de les appliquer au quotidien, pour l’expérience, l’ajustement et la production : exploration, nettoyage et tri des données.

Plus nous avançons, plus les données deviennent critiques dans tous les aspects de nos vies.

Les données font partie intégrante de nos vies professionnelles et personnelles, de l’assistant personnel aux véhicules automatisés, des journaux aux rapports financiers. Plus nous avançons, plus les données deviennent critiques dans tous les aspects de nos vies. Le niveau de criticité des données peut être évalué : selon IDC, 10 % sont hyper-critiques, 20 % sont critiques, presque 90 % sont sensibles, mais moins de la moitié sont sécurisées.

D'un point de vue commercial, les risques augmentent au même rythme que la technologie : des paiements malveillants aux ransomwares, en passant par toutes sortes d'attaques, les particuliers et les entreprises sont largement exposés aux cybercriminels.

En France uniquement3, en 2017, 92 % des entreprises ont subi au moins une cyberattaque. 64 % des entreprises vont augmenter cette année leur budget de cybersécurité, tandis que plus de 40 % envisagent sérieusement une cyberassurance.

Ouvrir l’accès aux données ?

Les entreprises sont confrontées à une contradiction entre la volonté, d’une part, d’ouvrir et d’exposer leurs données et leurs systèmes informatiques, afin de créer des offres plus intéressantes pour leurs clients et de développer des partenariats avec d’autres institutions (telles que les FinTechs et les RegTechs), et la nécessité, d’autre part, de sécuriser leurs données et leurs environnements informatiques.

Du modèle de la forteresse au modèle de l’aéroport

Afin de résoudre ce problème, un nouveau paradigme émerge dans le domaine de la sécurité : une transition douce est à l'œuvre, d’un modèle de sécurité reposant sur une « forteresse » (personne n'entre, tout est sûr et sécurisé à l'intérieur) à un modèle de type « aéroport » (zones multiples, avec différents niveaux de sécurité ajustés sur le niveau de protection des données, proportionnel aux risques liés à la valeur de l'actif sous-jacent).

Nouvelles réglementations de l’UE sur les données

La réglementation RGPD, sur le point d’être introduite en Europe, comprend certains principes de base pour la protection des données : parmi ceux-ci, la « protection de la vie privée dès la conception », l’identification des délégués à la protection des données et la responsabilité des entreprises gérant des données personnelles. Elle prévoit également des droits nouveaux et renforcés pour les résidents de l’UE, dans une formulation simple et explicite. Toutes les entreprises qui collectent, conservent et traitent les données personnelles de résidents de l’UE sont concernées, y compris hors des frontières européennes.

Cette harmonisation européenne des principes de base concernant la protection des données rappelle simplement que la protection n’est pas facultative ; elle se situe, au contraire, au cœur de tout nouveau développement de l’activité financière. Au-delà des données personnelles, nous savons tous que ces mêmes principes devraient s'appliquer à toutes les données manipulées par nos entreprises : respect de la vie privée, transparence et proportionnalité font partie des règles et directives locales et européennes depuis de nombreuses années. Considérons ces données comme une partie intégrante de nos activités quotidiennes et comme des informations partagées avec nos clients.

la protection n’est pas facultative elle se situe, au contraire, au cœur de tout nouveau développement de l’activité financière

Partenaires de confiance sur la durée, les banques et institutions financières offrent à leurs clients un niveau de sécurité adéquat, afin de protéger tous les types d'actifs, à toutes les étapes de l'activité : conservation et sécurisation des transactions

Une entente mutuelle avec les banques

L’économie numérique contraint les banques et les institutions financières à réviser leurs modèles de sécurité, afin que leurs systèmes et les processus liés à la dématérialisation de l’information soient dignes de confiance. Plusieurs cas de fraude ont récemment montré que la protection des données n'était pas juste un combat entre pirates informatiques et spécialistes de la cyberprotection et qu’elle pourrait devenir le principal risque pesant sur le coffre-fort d'une entreprise. La protection des données, bien commun à manier avec prudence, relève de la responsabilité de tous, des hauts dirigeants jusqu’aux opérateurs de nos systèmes.

Le périmètre de l’environnement qu’il convient de sécuriser évolue en outre rapidement, incluant tous les partenaires de la chaîne de valeur, des producteurs aux consommateurs finaux. Il ne s’agit pas d’effrayer tout le monde et d’arrêter de faire des affaires en tentant d’éviter l’échange de données. Au contraire, l’objectif consiste à accroître le nombre des échanges et à partager la valeur économique découlant de la qualité des données que nous échangeons. Mais à le faire avec prudence, en gérant la bonne proportion de sécurité et de confiance entre les partenaires.

La stratégie de protection de société générale

Au niveau de la Société Générale, de nombreuses actions ont été engagées pour sécuriser les données : création du CERT (analyse en temps réel de l’activité, des fraudes et attaques potentielles, analyse des signaux faibles grâce à l’IA et à l’apprentissage automatique), développement des programmes de sensibilisation et de formation de l'ensemble du personnel sur les nouveaux cas de fraude (menaces persistantes avancées, ingénierie sociale), enquêtes permanentes sur les flux de données entrants et sortants, amélioration de la gestion des identités.

L’identification des parties prenantes dans un échange électronique constitue un moyen d’atteindre le niveau de confiance approprié et d’ouvrir les accès aux vrais amis. La protection des données engage tous les intervenants de la chaîne, de manière consciente.

Pour faire une analogie avec l'intelligence artificielle, ne craignez pas d'être laissé pour compte, car nous devenons plus intelligents en améliorant nos systèmes et en protégeant nos actifs. Il faut simplement garder à l’esprit que Darwin est toujours vivant : ceux qui n’adaptent pas la protection des données aux risques actuels s’exposent à de graves problèmes.

(1) Data Age 2025: The Evolution of Data to Life-Critical (Les données deviennent vitales), Livre blanc d’IDC, avril 2017. (2) Magazine SGSS Tech, numéro spécial 2017. (3) Les Échos, 23 janvier 2018, « Cybercriminalité : nette augmentation des attaques en France en 2017 » ; www.lesechos.fr/tech-medias/hightech/0301193349879-cybercriminalite-nette-augmentation-des-attaques-en-france-en-2017-2147347.php

Vous avez aimé cet article ?
+1
0