20.04.2020. #Bretagne Telecom

Paroles d'expert

Alexandre Rendour
Responsable Sécurité des Systèmes d'Information chez Bretagne Télécom

 

  1. Qu’est-ce qu’une donnée sensible ?

Une donnée sensible est une donnée à caractère personnel : carte d’identité, date de naissance, adresse email, contrat de travail… tout ce qui relève d’une donnée personnelle et donc par définition qui appartient à un utilisateur final. C’est tout simplement une information ou un ensemble d’informations successif qui permet d’identifier quelqu’un.

  1. Quel(s) est/sont le(s) risque(s) pour les données sensibles ?

Le risque principal c’est qu’elles soient volées, dérobées, et se retrouvent sur internet ou sur le Darkweb. Elles peuvent-être publiées sur des sites publics sans aucune autorisation de l’utilisateur final. Si c’est le cas, elles sont exposées à de nombreux autres actes de malveillance comme l’usurpation d’identité, des achats en ligne non autorisés…

  1. Comment peut-on les protéger ?

On peut les protéger de plusieurs manières. La première protection réside dans la prévention et l’anticipation. Nous devons être capables de répondre à ces questions pour toutes les données sensibles : Quelles sont les personnes qui ont accès à ces données ?  Où sont-elles ? Comment y a-t-on accès ? Quand peut-on les consulter/modifier ?

Pour les sécuriser, il faut mettre en place un bastion* d’accès afin d’établir une traçabilité de consultation, traitement, stockage et divulgation des données. Chaque opération menée sur une donnée sensible doit être enregistrée.

Lorsque cela est possible, activez le système de double authentification
Avec cette fonctionnalité, vous serez prévenu par sms ou par email si quelqu'un essaie de se connecter à votre compte depuis un terminal non connu.

Il y a également le procédé de chiffrement des données qui permet de rendre illisible tout contenu tant que "la clé" (ou une action spécifique) qui autorise l'accès n'est pas saisie, réalisée.

Le mot de la fin...

Pour résumé, nous devons CONTRÔLER de manière exhaustive les données sensibles, pour être en capacité de TRACER tous mouvements qui pourraient avoir lieu dessus et cela dans l’unique but de les SECURISER.

En cas de divulgation, il faut être très prudent sur le canal utilisé, et l’audience qui va avoir accès à ces informations.
Par exemple, l’utilisation d’outils collaboratifs doit être très surveillée car les données peuvent facilement circuler et être enregistrées sans qu’on le veuille.

Enfin, un autre point important : en cas de partage de ces données avec des partenaires, il faut impérativement savoir comment ils vont les traiter et les utiliser, pour être conforme au RGPD (Règlement Général sur la Protection des Données).

* Un bastion informatique : il permet de fournir un point d'entrée unique pour effectuer l'administration d'une plateforme informatique. Cela permet d'avoir une visibilité sur : qui a accès à quoi, quand, quelles actions ont été réalisées

Partager l’article sur :
Autres articles
Contactez-nous par mail
+33 (0)2 30 30 00 00 Afficher le numéro