Protection des données : Comment répondre à une obligation de notification en 24h ?

Écrit par Jean-Pierre CARLIN le . Rubrique: Editorial

CR83-JPCarlinPar Jean-Pierre CARLIN, directeur Europe du Sud et Benelux, LogRhythm
Les dernières propositions relatives à la révision de la directive européenne 95/46/CE de 1995 sur la protection des données ont été au cœur de nombreux débats depuis leur publication le  25 janvier 2012. Cette nouvelle législation [en projet] porte particulièrement à controverse car elle imposera une  « notification de violation de données obligatoire » dans les organisations publiques et privées.

Cette législation obligera les entreprises à informer les autorités de supervision compétentes de toute violation, et à en informer toutes les personnes pouvant en être gravement affectées, le tout en moins de 24 heures. À l’avenir, les organisations qui n’alerteront pas les autorités d’une violation de données en temps voulu ou selon la procédure prévue, recevront des amendes qui iront jusqu’à 2% de leurs revenus annuels globaux.

Accroissement des contraintes

Le problème est qu’il sera extrêmement difficile pour les entreprises d’identifier correctement les systèmes et les données clients ayant été affectés par une violation dans un délai de 24 heures.  Ce délai très court pourrait facilement mener à un problème de « divulgation mensongère », un problème qui est déjà source d’inquiétude dans certains pays comme les États-Unis, qui disposent de lois sur la notification de violations depuis quelques années. Comme son nom l'indique, la « divulgation mensongère » se présente lorsque des organisations sont forcées de révéler davantage d’informations que celles strictement nécessaires. Elles peuvent par exemple être tenues d’identifier toutes les personnes individuelles qui auraient pu être affectées par une violation, plutôt qu’uniquement celles qui l’ont été assurément, et si elles ne peuvent clairement identifier les informations perdues, elles pourront être poussées à exagérer la gravité de l’incident. La publication de notifications de violation aussi complètes aura inévitablement des répercussions négatives sur l’organisation affectée – ceci pouvant entraîner une perte de confiance au sein de la clientèle potentielle et existante. En outre, chaque interaction avec un client engendre un coût ; il est donc absolument essentiel de ne le dire qu’aux personnes ayant été réellement touchées par une violation.

Si les organisations se voient obligées d’envoyer des rapports complets aux victimes de violation de données plusieurs mois, voire plusieurs années après la découverte de cette violation, de nombreuses entreprises devront sans aucun doute lutter pour se conformer au règlement de notification proposé par la Commission Européenne, même si, comme le prédisent de nombreux analystes, ces règles étaient en fin de compte assouplies. (…)

Tracer les anomalies

Les entreprises étant de plus en plus dépendantes de la technologie, les infrastructures IT augmentent rapidement en taille et deviennent toujours plus disparates. Les organisations n’ont jamais généré autant de fichiers log qu’à l’heure actuelle, certaines en produisant plus d'un milliard par jour. Hélas, de nombreuses organisations n'ont toujours pas saisi à quel point ces ressources critiques peuvent les aider à mieux comprendre les réseaux d'entreprise. En réalité, s’ils sont correctement collectés et analysés, les fichiers log peuvent fournir les informations nécessaires pour obtenir un parfait aperçu de tous les niveaux d'activité.

Le problème est que de nombreuses organisations ne disposent pas des outils adéquats pour comprendre les diverses informations générées par les différentes solutions de sécurité du réseau. Par conséquent, le contrôle et l’analyse de ces informations, dans le but d’évaluer la situation, peuvent prendre des jours ou des semaines. Ce qui constituerait non seulement un non-respect de règles de la politique de notification telle que la règle du délai de 24 heures, mais ferait également de l’analyse et de l’identification de la source du problème un véritable cauchemar. (…)

Les outils qui peuvent automatiquement rassembler et analyser 100% des fichiers log informatiques en temps réel, comme les solutions de nouvelle génération de gestion de l'information et des événements de sécurité (SIEM), peuvent offrir la traçabilité nécessaire pour identifier les anomalies.  Ceci permet de mettre en place des stratégies de limitation des dégâts et de générer des notifications de violation précises, le tout en temps réel. À long terme, cette approche fournira aux organisations non seulement la visibilité nécessaire pour vraiment comprendre comment les attaques pénètrent dans les systèmes et compromettent les données, mais aussi tout ce qui leur permettra de se conformer aux législations en matière de protection des données, qui se montrent de plus en plus rigoureuses et restent un point essentiel des agendas législatifs partout dans le monde.