Rappel des faits

Cambridge Analytica est un cabinet spécialisé dans l’analyse de données ; l’entreprise a pour ambition de disposer d’une large base de données d’utilisateurs et ainsi revendre ses analyses et le profilage de différentes personnes à ses clients.

Dès lors, Aleksandr Kogan, psychologue sous contrat de prestation pour Cambridge Analytica, crée une petite application Facebook contenant un quiz de personnalité. Afin de réaliser ce test de personnalité, les utilisateurs de l’application doivent donner accès à leurs données Facebook ainsi que celles de leurs « amis » au psychologue. Il indique toutefois à Facebook et aux utilisateurs que leurs données ne sont collectées qu’à des fins de recherche.

Très rapidement, Kogan collecte les données Facebook de 87 millions de personnes à partir d’une base de 270 000 utilisateurs de son application. Kogan transmet ensuite à Cambridge Analytica l’ensemble de sa base de données à des fins de catégorisation en différents profils, trompant ainsi les utilisateurs sur l’utilisation de leurs données.

Qu’est ce qui pose problème dans ce transfert de données à Cambridge Analytica ?

En analysant cette affaire au regard des principes du RGPD, le fameux règlement européen sur la protection des données à caractère personnel qui entre en vigueur le 25 mai prochain, deux points majeurs posent problème pour la protection de la vie privée dans ce transfert de données à Cambridge Anaytica :

1. Le détournement de finalité de l’usage des données
2. L’absence de consentement pour transférer ces données à Cambridge Analytica

Le détournement de la finalité de l’usage des données

En effet, lors de la collecte initiale des données, Aleksandr Kogan indiquait que ces données ne seraient utilisées qu’à des fins de recherche académique. En pratique, Cambridge Analytica a utilisé cette base de données pour faire du profilage des personnes concernées et proposer des campagnes publicitaires ciblées à la demande de ses clients. Les utilisateurs ont donc vu leurs données utilisées à des fins qu’ils n’avaient pas envisagées, engendrant un vrai sentiment d’intrusion dans la vie privée.

L’absence de consentement sur le transfert des données

Autant les utilisateurs du quiz de personnalité avaient donné leur consentement pour que leurs données soient transmises à un tiers, autant les « amis » de ces utilisateurs n’ont jamais consenti explicitement à cela. C’est donc tout le système de gestion des consentements utilisateurs de Facebook qui est en cause.

En 2015, cette « faille » a été révélée à Facebook qui l’a corrigée par la suite. Cette approche de correction a posteriori est la posture adoptée par Facebook depuis des années. Rappelons que le modèle initial du site était très ouvert, avec la possibilité de voir les profils de tous à sa création. Petit à petit, les paramètres de confidentialité sont arrivés pour la plupart suite à des incidents ultérieurs.

Une prise de conscience aux Etats-Unis sur la nécessité de protéger la vie privée des personnes

80% des personnes concernées par cette fuite de données sont des citoyens américains. Cette affaire a de nombreuses répercussions aux Etats-Unis. Surtout, les autorités américaines tout comme le grand public prennent conscience de la nécessité de protéger la vie privée des citoyens américains. Ainsi, Mark Zuckerberg, CEO de Facebook, a été auditionné au Sénat américain (une première pour lui, plus habitué à faire témoigner ses lieutenants) pour s’expliquer sur le scandale ; mais ce sont aussi les pratiques et le business model de Facebook qui sont remis en cause au Sénat (par exemple pendant l’intervention du Sénateur Richard Blumenthal lors des auditions de Mark Zuckerberg).

Des voix s’élèvent aussi aux Etats-Unis pour demander un durcissement des lois sur la protection des données personnelles, notamment sur l’obligation de collecter le consentement pour certains traitements de données à caractère personnel. Certains voudraient même que le RGPD européen soit transposé dans la législation américaine. Ainsi, deux sénateurs américains ont déjà proposé un projet de loi nommé CONSENT Act qui reprend quelques grands principes du RGPD (opt-in ou consentement actif obligatoire, notification des autorités de contrôle et de personnes concernées en cas de fuite de données, transparence, etc.).

C’est donc une véritable prise de conscience qui s’opère aux Etats-Unis sur le sujet de la protection des données personnelles. C’est un changement majeur dans un pays qui traditionnellement a une faible sensibilité sur ces sujets.

Les utilisateurs doivent rester vigilants sur leurs consentements donnés sur Facebook

Plus largement, c’est aussi la gestion des consentements des utilisateurs de Facebook qui fait débat. Même si Facebook propose désormais un nouveau centre de confidentialité qui permet de gérer finement les consentements accordés à chaque application, l’utilisateur doit rester vigilant quant aux consentements qu’il a donné. En accordant un consentement assez permissif à une application Facebook, celle-ci pourra réaliser des opérations qui auront un impact important sur la vie privée de l’utilisateur sans que cela ne soit interdit par la loi (au sens du RGPD).

Alors que l’entrée en vigueur du RGPD au 25 mai prochain approche à grand pas, cette affaire tombe à point nommé pour rappeler la nécessité de prendre en compte les enjeux de protection de la vie privée.

Et Facebook réagit donc fortement, en mettant en avant les principes du RGPD durant ses auditions au Congrès mais aussi en déclenchant une campagne de publicité ad hoc et en avertissant tous ses utilisateurs quant aux changements dans la gestion des consentements. Cela sera-t-il suffisant pour restaurer la confiance et être en conformité aux nouvelles réglementations ? L’avenir nous le dira mais le chemin promet d’être long

Cet article Cambridge Analytica, quels enseignements peut-on en tirer ? est apparu en premier sur RiskInsight.

Cet article Cybercriminalité : et si ça nous arrivait ? est apparu en premier sur RiskInsight.

 Les données clients : un nouvel or numérique convoité

Quel que soit leur secteur, toutes les entreprises sont aujourd’hui exposées à la cybercriminalité. Certaines redoutent le vol de secrets industriels ou encore l’indisponibilité de leurs systèmes, mais ils partagent une crainte commune: le vol de données personnelles de clients, collaborateurs, prospects, partenaires…

Cette richesse des entreprises est particulièrement convoitée par certains cybercriminels, appâtés par le gain financier qu’elles peuvent représenter. En effet, sur les marchés parallèles, les données peuvent se monnayer jusqu’à plusieurs dizaines de dollars par enregistrement…

 Des obligations réglementaires et légales qui vont se renforcer

Les initiatives se multiplient pour protéger ces données et la vie privée des individus face à ces nouvelles menaces. La loi informatique et libertés, mise à jour en 2004, vise depuis de nombreuses années à protéger les libertés individuelles et les données à caractère personnel de traitement illicites.

Elle a été complétée en août 2011 par le Paquet Télécoms, qui a renforcé les obligations des opérateurs de télécommunications dans ce domaine en imposant notamment la notification des violations des traitements de données à caractère personnel aux victimes. En ligne de mire, permettre aux abonnés de connaître les risques qu’ils courent quand la sécurité de leurs données est en cause. Des premières notifications de faible ampleur ont déjà eu lieu. Cette obligation sera étendue à tous les secteurs avec le projet de règlement européen qui devrait être publié en 2014 ou début 2015.

Mais au-delà de la protection de la vie privée, les attaques sur les infrastructures critiques des états inquiètent également la France et plus largement l’Europe. Deux textes sont attendus pour y remédier : un texte français imposant aux Organismes d’Importance Vitale (OIV) un certain nombre d’exigences de sécurité et de notification, audit… et un texte européen définissant des sanctions minimales pour punir les cyberattaques. Attendus dans les prochains mois, ces textes doteront les états et les entreprises de nouvelles armes pour lutter contre la cybercriminalité.

Entre totale transparence et protection des intérêts de l’entreprise, quel équilibre ?

Ces derniers mois, de nombreuses entreprises ont révélé avoir été victimes de piratages : Apple, Ubisoft, OVH… L’enjeu de ces communications ? Prévenir les clients que la sécurité de leurs données a été remise en cause, pour leur permettre de prendre les actions adaptées. Bien souvent, il s’agit d’un changement de mot de passe sur le service, qui peut signifier pour  l’utilisateur un changement sur l’ensemble des services pour lequel il utilise le même mot de passe !

Il est intéressant d’observer les différences entre les notifications et ce que cela révèle sur la relation client des entreprises. OVH,  par exemple a fait preuve d’une grande transparence technique – ce qui est logique vus ses clients et leurs attentes. Apple, cohérent avec ses habitudes de communication, a été assez lapidaire dans les informations délivrées et a prévenu les utilisateurs plusieurs jours après l’arrêt du service. Ils n’ont mis en ligne qu’une page permettant de suivre la remise en service des différents sites touchés.
Ubisoft  a, quant à lui, eu une approche plus classique, proche de celles des grands acteurs du web qui ont connu des situations similaires (LinkedIn, Evernote…). Cependant, le groupe français a connu des soucis de surcharge de ces serveurs au moment de la communication des emails. Cela montre la nécessité et l’obligation de préparation face à ces évènements qui peuvent survenir à tout moment.

Et si les réglementations en place aujourd’hui imposent à ceux à qui elles s’appliquent une notification sans délai aux autorités et au plus tard dans les trois jours aux personnes, une question essentielle peut alors se poser : révéler les détails de l’attaque et les actions de sécurisation décidées ne peut-il pas permettre aux attaquants de poursuivre l’attaque en connaissance de cause ? Il s’agit dès lors d’une décision à peser soigneusement, en considérant à la fois les risques techniques et les risques réglementaires.

 Se préparer à notifier ses clients, sans attendre les obligations réglementaires

L’enjeu est donc aujourd’hui de se préparer à notifier ses clients d’une violation de traitement de données personnelles. Un projet qui concerne réglementairement les opérateurs télécommunication, mais plus largement toutes les entreprises qui veulent préserver leur relation client et leur image !

Si les attaques ne peuvent être anticipées précisément, un cadre de stratégie de notification peut dès maintenant être élaboré en associant juristes, RSSI, DSI et direction marketing pour élaborer les processus et procédures de notification, le plan de communication et la logistique associée. Et rien de tel qu’un exercice de gestion de crise pour tester ces processus !

Cet article Notification des fuites de données clients : vers une transparence systématique ? est apparu en premier sur RiskInsight.

Un apport des DLP complémentaire à la lutte contre l’intrusion et au contrôle d’accès

Une fuite d’information peut provenir de trois sources différentes. L’attaquant externe est souvent celui qui vient à l’esprit en premier. Cependant, l’expérience montre que ce sont les utilisateurs internes, autorisés ou non, qui font fuir le plus d’information.

Suivant la position de celui qui fait fuir l’information, trois grandes étapes peuvent être enchaînées : intrusion, accès à l’information, diffusion de l’information – dont la nécessité dépend des accès initiaux de l’acteur à l’origine de la fuite d’information. À chacune de ces étapes, des solutions de sécurité permettant de réduire le risque existent.

Il convient d’agir à toutes les étapes d’une fuite d’information en s’appuyant sur des mesures allant de la sécurité physique aux solutions de Digital Right Management (DRM), en passant par le chiffrement de flux, le cloisonnement, ou encore la gestion des accès et des habilitations…

Si de telles mesures sont déjà mises en œuvre, les outils de DLP permettent alors essentiellement de se prémunir contre des erreurs ou malveillances d’utilisateurs ayant un accès légitime à l’information. En ce sens, ils permettent d’apporter une protection au plus proche de la donnée.

Des solutions fonctionnellement matures

Les mécanismes de contrôle des DLP sont mis en œuvre à travers des règles ou politiques centralisées permettant d’analyser les traitements faits sur la donnée quelle que soit sa nature ou son support.

Grâce à des agents déployés sur le réseau et/ou sur les postes de travail, le DLP va pouvoir empêcher la copie d’un fichier sur un périphérique externe, l’envoi d’un document sensible par email, l’impression d’un document ou encore la publication d’une information confidentielle sur les réseaux sociaux.

Après analyse et filtrage des données par la solution DLP, différentes mesures de prévention peuvent être prises, avec un impact plus ou moins élevé pour l’utilisateur : alertes, demande de justification, blocage…

Enfin, il convient de noter que les acteurs du marché mettent de plus en plus l’accent sur le contexte d’utilisation de la donnée. Certains éditeurs proposent ainsi des fonctionnalités de gouvernance au sein de leur solution de DLP permettant par exemple de savoir exactement où se trouvent les données sensibles et qui y a accès.

Le marché des DLP est donc de plus en plus mature : la couverture fonctionnelle proposée est élevée et évolutive, la gestion de l’impact sur les collaborateurs de plus en plus souple. Néanmoins, les retours d’expérience restent limités par rapport à ce que l’on pourrait attendre.

La raison de ce paradoxe vient du fait que les métiers sont trop souvent insuffisamment impliqués dans les projets de DLP, alors même que ces projets n’ont que peu de chance d’aboutir sans eux, en particulier vu le volet RH nécessairement associé.

Adopter une approche par les résultats pour mobiliser les métiers

Il est illusoire de vouloir protéger toutes ses données dans tous les cas d’usage imaginables. Une approche purement technique visant un périmètre exhaustif n’a que peu de chance de convaincre, particulièrement dans la conjoncture économique actuelle.

Une approche par les résultats mêlant ciblage précis, démarche outillée, accompagnement et visibilité est donc à favoriser dès la sélection de la solution. Une fois les objectifs atteints sur un périmètre prioritaire, on peut envisager de l’élargir.

La première étape, primordiale, est donc la définition du périmètre prioritaire de données à protéger et des cas d’usage fonctionnels à traiter. Identifier les dix données les plus critiques, s’appuyer sur des situations fonctionnelles avérées, commencer par un nombre limités de supports pour réduire les aléas techniques sont autant de facteurs clés de succès.

La définition des processus de surveillance (politiques d’interaction avec les utilisateurs, processus en cas d’alerte…) ne doit également pas être négligée. Sur ce volet, et dès le début du projet, il est important de mobiliser les fonctions RH de l’entreprise pour valider le mode de mise en œuvre de la démarche DLP (alerte, blocage, journalisation…), construire les processus de gouvernance associés et au final envisager un passage devant les instances représentatives du personnel.

Lorsque le cadrage global du périmètre fonctionnel est effectivement achevé, la phase de sélection de la solution peut être entamée. Une démarche outillée impliquant la réalisation d’une maquette est indispensable pour s’assurer de l’adéquation de la solution aux cas d’usages fonctionnels identifiés et évaluer les résultats envisageables.

En cas de résultats satisfaisants, un déploiement progressif est à envisager avec un leitmotiv : la sensibilisation des utilisateurs.

Enfin, en mode récurrent, l’intégration à un SOC (Security Operation Center) peut permettre de bénéficier de la maturité de la gestion opérationnelle de la sécurité pour optimiser la surveillance d’une part et l’accompagnement et la visibilité fournis aux métiers d’autre part.

Cet article Le paradoxe des projets de Data Leak Prevention (DLP) : une problématique clé, des solutions matures… mais une mise en œuvre qui fait encore peur est apparu en premier sur RiskInsight.

Toutes les organisations sont aujourd’hui susceptibles d’être concernées pas des failles, voire des attaques, liées aux données à caractère personnel qu’elles manipulent. Les multiples exemples relayés ces dernières années par les médias l’illustrent : condamnation de la CNIL, failles révélées dans le SI, plaintes d’utilisateurs,… Même si une application scrupuleuse de la loi participe à la diminution du risque, elle ne peut garantir l’absence d’incident.

De ce fait, les organisations manipulant des données personnelles ne doivent plus se demander si ce type d’incident pourrait arriver, mais plutôt quand il va survenir et quels en seront les impacts.

La crise “données personnelles” doit être anticipée et préparée

Le récent « bug Facebook »  l’illustre bien, les impacts seront d’autant plus importants aujourd’hui que le grand public est attentif à ces problématiques.

Pour rappel, lors de l’activation de la nouvelle page Timeline, certains utilisateurs se sont plaints de la publication de messages privés sur leur mur. Une faille a d’abord été soupçonnée.. Après enquête de la CNIL, il s’agit d’anciennes publications de mur à mur quela Timeline a fait ressortir. Quelle que soit la cause, la réaction démesurée des utilisateurs à la possible publication non maîtrisée de données qu’ils considèrent comme privées montre bien la sensibilité quasi-épidermique du public sur le sujet.

Les multiples prises de position des utilisateurs, de la presse, ainsi que de la classe politique illustrent à quel point cette problématique est devenue médiatique. La ministre déléguée à l’économie numérique, Fleur Pellerin, a conseillé hâtivement de porter plainte si la faille était avérée. De son côté la CNIL, considérant que la confusion des utilisateurs est sans doute liée aux changements unilatéraux et récurrents des paramètres de vie privée en 2009 et2010, a demandé à Facebook de lui transmettre les mesures que l’entreprise américaine comptait mettre en œuvre afin de respecter ses recommandations.

Facebook s’est bien entendu défendu de toute « atteinte à la vie privée », expliquant avant la CNIL l’origine de la confusion. La rapidité de la prise de parole n’a cependant pas empêché que l’image du site et la confiance de certains utilisateurs ne soient écornées.

Cet exemple a permis de mettre en lumière que l’incident de confidentialité (fuite, mauvais traitements) de données personnelles est devenu un type de crise à traiter par les organisations. Elles doivent dès lors amender leurs dispositifs de gestion de crise afin d’y intégrer les dispositions propres à ce type de sujet (processus de détection et de qualification spécifique, experts juridique mobilisables, …). En particulier, au regard de la nouvelle, et forte sensibilité du public, une attention toute particulière devra être portée à la maîtrise de la communication de crise. Le « bug Facebook » l’a montré, la crise peut davantage être liée à la communication autour de l’évènement qu’à la faille en elle-même.

Il reviendra alors au Correspondant Informatique et Libertés de mobiliser les différents acteurs concernés (responsable du processus de crise, département relation client, service juridique, experts sécurité) au sein de groupes de travail afin de définir les processus et dispositifs à mettre en place le jour « J » (moyens d’alertes, plan de communication, …).

Le projet de règlement européen relatif  à la protection des données personnelles rendra d’ailleurs ces aspects d’autant plus essentiels, l’obligation de notification de toute fuite de données personnelles devant se traiter au sein d’un dispositif ad-hoc impliquant l’entreprise mais aussi des acteurs externes, afin d’éviter que la crise prenne une ampleur préjudiciable pour les personnes concernées et l’entreprise.

Seule une analyse de risques permettra d’anticiper au mieux la crise

Pour anticiper et traiter au mieux ces crises, l’organisme devra se poser la question des risques afférents à la manipulation des données personnelles, et construire des plans d’actions proportionnels aux impacts anticipés.

Cette démarche, en ligne avec les exigences de la loi informatique et libertés (cf. article 34 : Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement) et certainement du futur règlement européen, pourra être menée à l’aide des méthodes classiques d’analyse de risques bien connues des Responsable de la Sécurité des SI (les guides « Gérer les risques » et « Mesures pour traiter les risques » publiés par la CNIL pourront également être utilisés).

L’enjeu vis-à-vis de ces données personnelles ne sera donc plus uniquement de se conformer aux exigences de la loi mais bien d’identifier les risques potentiels et les crises probables. Il reviendra alors à l’organisme de traiter en priorité les traitements comportant le plus de risques, notamment ceux pouvant la mettre en péril en cas de fuite de données personnelles.

Cet article Protection des données personnelles : la conformité à la loi ne suffit plus ! est apparu en premier sur RiskInsight.