Lors de l’événement « The importance of safeguarding your data », organisé par LuxTrust, DEEP by POST Group et Thales au nouveau siège de POST Luxembourg le 14 novembre 2024, Brice Legay, Senior Manager en cybersécurité chez PwC Luxembourg, et Aline Moyret, Practice Manager en Gouvernance, Risques et Conformité chez DEEP by POST Group, ont discuté de ces enjeux.

Agilité des données et sécurité

Les organisations accordent une priorité croissante à l’agilité des données, encouragées par l’adoption accrue des technologies et des outils collaboratifs modernes (comme les outils d'intelligence artificielle générative). Cette évolution permet aux entreprises d’exploiter leurs données de manière plus efficace. Cependant, selon Brice Legay, il est essentiel de trouver un équilibre entre l’agilité des données et leur sécurité.

Les défis identifiés incluent :

  • La protection des données contre les cyberattaques.
  • Le respect des réglementations.
  • La prévention d’une dépendance excessive à un seul prestataire critique de services TIC (Technologies de l'information et de la communication).
  • La préservation de la souveraineté des données.

Principales réglementations de l’UE : DORA, NIS 2 et RGPD

Brice Legay a mis en lumière trois réglementations majeures en matière de sécurité des données dans l’Union européenne :

  • DORA (Digital Operational Resilience Act) : Vise à renforcer la résilience numérique et la sécurité des entités financières.
  • NIS 2 (Directive sur les systèmes de réseau et d'information 2) : Une mise à jour de la directive NIS initiale, non encore entièrement transposée en droit luxembourgeois. Elle vise à améliorer la résilience et la capacité de réponse des entités critiques dans 11 secteurs, tels que l'énergie, les transports, la santé, l’eau, l’administration publique et les infrastructures numériques.
  • RGPD (Règlement Général sur la Protection des Données) : Connu pour protéger les données personnelles des citoyens de l’Union européenne (UE).

Malgré leurs différences, ces réglementations partagent des points communs :

  • La gestion des risques des services TIC.
  • L’identification et la protection des données (y compris le chiffrement).
  • La gestion des fournisseurs tiers et les stratégies de sortie des services TIC.

Le RGPD impose des exigences spécifiques sur la résidence des données personnelles, tandis que DORA inclut des dispositions visant à éviter une dépendance excessive à un seul prestataire.

Conseils pratiques

Brice Legay propose trois recommandations clés pour les organisations :

  1. Mettre en œuvre une gestion des risques TIC pour identifier les mesures de sécurité adaptées en fonction de la criticité des données et des réglementations.
  2. Adopter des contrôles de sécurité, tels que la classification des données, le chiffrement, la gestion des clés et une stratégie multi-fournisseurs.
  3. Évaluer l’impact de la dépendance aux prestataires TIC non européens en développant une stratégie interne de souveraineté des données basée sur la classification des données.

Une approche basée sur les risques

Pour Aline Moyret, il n’existe pas de solution unique applicable à toutes les organisations. « Il faut analyser le contexte spécifique de votre organisation et adopter une approche basée sur les risques », explique-t-elle. Cela implique d’identifier les données critiques, d’évaluer leur valeur et de déterminer comment les protéger tout en maintenant l’agilité. Elle insiste sur l’importance de définir l’appétence au risque, car cela influence directement l’approche de sécurité adoptée. Différents types de données nécessitent différents niveaux de protection, et si les réglementations offrent un cadre, chaque organisation doit adapter sa stratégie.

La protection des données ne se limite pas au chiffrement. Elle inclut également :

  • Le contrôle des accès.
  • Les opérations de sécurité.
  • La gestion des actifs.
  • Les tests de sécurité.

Ces éléments doivent être alignés sur des normes internationales comme l’ISO 27001. Le défi consiste à concevoir des contrôles suffisamment flexibles pour s’adapter à divers environnements, permettant ainsi aux entreprises de maintenir la sécurité sans compromettre leur agilité opérationnelle.

Gestion des clés de chiffrement

Aline Moyret souligne l’importance de la gestion des clés de chiffrement, qui doit être alignée sur les besoins métier. Cela inclut :

  • La séparation des tâches.
  • Le stockage sécurisé.
  • La rotation régulière des clés.

De nombreuses entreprises ont connu des interruptions de service dues à des certificats expirés ou obsolètes, ce qui met en évidence la nécessité de pratiques robustes de sauvegarde, d’archivage et de destruction sécurisée.

Elle recommande également de concevoir des processus de gestion des clés capables de gérer des environnements variés. Une solution clé est le Key Management as a Service (gestion des clés en tant que service), qui devient essentiel pour gérer des clés dans des environnements hétérogènes.

Pour conclure, Aline Moyret insiste sur l’importance de mener des évaluations régulières des risques afin d’identifier les actifs critiques, d’évaluer les besoins en sécurité et d’anticiper les menaces potentielles. L’objectif est de trouver un équilibre entre l’agilité, l’efficacité des coûts et les risques encourus

Découvrez ici et ici les autres moments forts de l'événement.

Cet article a été rédigé initialement en anglais, ensuite traduit et édité en français.