#LeBlog

Confiance et souveraineté au service de la protection des données

Le 09.02.2022
Article | 8 min

Stockées, exploitées, parfois piratées, les données personnelles sont devenues une source de convoitise. Leur maîtrise est considérée comme un élément clé de la souveraineté par les États. Les données personnelles sont donc aujourd’hui au cœur des enjeux numériques : la sécurité des données est un premier enjeu et leur souveraineté en est un autre.

4 questions pour mieux comprendre.

 

1. Quel lien peut-on faire entre sécurité et souveraineté de la donnée ?

90% des données mondiales ont été créées durant les deux dernières années, selon l’agence Global Investor. Et, parmi celles-ci, se trouvent des données sensibles comme les données de santé. Dans ce secteur en particulier, on observe une hausse des attaques contre les services informatiques des hôpitaux : en France, ils ont fait l'objet de vingt-sept cyber-attaques majeures en 2020, selon le secrétaire d'État à la transition numérique, Cédric O, et on estime qu’il y en a eu une par semaine en 2021.

Cet état de fait a poussé les organismes hospitaliers à reconsidérer leurs niveaux de protection et à augmenter les objectifs de sécurité de leurs systèmes informatiques.

Ces successions d’attaques amènent les États et leurs citoyens à une véritable prise de conscience. En France, ce sujet est au centre des préoccupations gouvernementales, notamment celui de la vulnérabilité des SI, et plus particulièrement dans le milieu hospitalier.

Ainsi, en février dernier, le gouvernement a annoncé un plan visant à soutenir la sécurisation des établissements hospitaliers, en parallèle de son plan plus global de soutien à la filière cybersécurité dans son ensemble couvrant de nombreux autres secteurs comme l’industrie, les télécommunications, l’éducation ou les collectivités territoriales : 1 milliard d’euros, dont 720 millions de financements publics ont été mobilisés par le Gouvernement pour face à cette menace.

On peut donc affirmer que la sécurisation de la donnée devient un élément clé de la confiance. Mais qui dit sécurisation dit également maîtrise de la donnée et c’est là que la notion de souveraineté prend son sens.

C’est pourquoi l’Union européenne et la France ont décidé de reprendre le contrôle des technologies numériques qu’elles utilisent et celui de leurs propres données, tout en consolidant leur législation en la matière, dans une logique assumée de souveraineté numérique européenne. La réglementation européenne s’imposant à la réglementation française, plusieurs travaux sont, par exemple, menés au travers du règlement eIDAS, qui appelle à l’usage de normes et de standards pour mettre en œuvre ces réglementations.

En parallèle, l’absence de règlementation internationale du numérique et les risques d’influence des lois américaines et chinoises montrent à quel point l’Europe doit fortement s’affirmer pour préserver son modèle juridique et le contrôle des données de ses citoyens.

2. 2022, année capitale pour la souveraineté numérique européenne ? Quelle est la stratégie de la Commission européenne ?

On peut affirmer que l’année 2022 sera déterminante pour l’Union européenne qui semble résolue à renforcer sa souveraineté numérique. Sa stratégie a pour objectif de veiller à ce que les technologies du numérique, qui impactent directement le quotidien des citoyens comme des entreprises, leur soient profitables et plus sûres.

À cet effet, plusieurs textes fondamentaux pour l’avenir de l'Europe sont actuellement en négociation et voir le jour d'ici la fin de l'année :

  • Le Digital Market Act (DGA) qui a pour objectif de permettre une meilleure régulation concurrentielle des entreprises numériques, avec comme ligne de mire la réduction de l’avantage concurrentiel des GAFAM ;
  • Le Digital Service Act (DSA) qui a pour enjeu d’établir un nouveau cadre régulatoire des contenus en ligne en posant des nouvelles obligations pour les acteurs du numérique, ainsi que des sanctions adjacentes ;
  • Le Digital Governance Act (DGA) qui a pour ambition de définir un cadre qui va favoriser le partage de données tout en assurant le respect des valeurs européennes en matière de confidentialité ;
  • Le Data Act qui doit permettre d’aboutir à la création d’un marché unique des données qui devra favoriser la transformation numérique de l’UE ;
  • L’IA Act qui doit être un accélérateur de l’innovation européenne dans le secteur de l’IA tout en promouvant le respect des risques associés à cette technologie.

3. Comment s’assurer au mieux d’une protection des données optimale ?

Pour garantir la confiance sur l’ensemble de la chaîne de valeur dans le traitement de la donnée, il faut agir sur tous les niveaux de cette chaîne :

  • la sécurité dans le traitement des données : il est important que le traitement et l’analyse des données collectées et hébergées de manière sécurisée se fassent également en respectant un certain nombre de principes. Cela est d’autant plus vrai dans le cadre de traitement de données dites sensibles.
  • la confidentialité : lorsque j’échange et je stocke des données, personne d’autre ne doit y avoir accès.
  • l’intégrité : les données que j’utilise n’ont pas été modifiées par un tiers non autorisé. Ce que je vois correspond à ce que j’attends.

Avec l’utilisation grandissante du « cloud computing », la question de l’hébergement des données se pose de plus en plus. Cette problématique englobe le lieu de stockage des données et la nationalité des fournisseurs des services concernés.

Il est important de rappeler que la meilleure garantie en matière de protection des données passe par l’obtention de labels et de certifications en lien avec le milieu dont la donnée va être exploitée. Il est donc impératif pour une entreprise de veiller à bien choisir son prestataire de services numériques en s’assurant du pays où seront stockées ses données, d’une part, et qu’il dispose de toutes les certifications nécessaires, d’autre part.

En France, l’Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI) recommande d’utiliser les solutions disposant de son visa de sécurité. Elle a ainsi créé le référentiel SecNumCloud et une procédure de qualification pour bien distinguer les acteurs du numériques, opérateurs de cloud, qui respectent les bonnes pratiques en matière de sécurité. Par exemple, dans le secteur de la santé, la certification HDS (Hébergeur de Données de Santé) délivrée par l'Agence du numérique en santé (ANS), est la référence en matière de protection de données de santé. Tous les organismes publics ou privés qui hébergent, exploitent le SI de santé, ou réalisent des sauvegardes pour le compte d'un établissement de santé ou d'un tiers de santé doivent en effet être certifiés HDS.

4. Et la confiance dans tout cela ?

Dès lors qu’il y a utilisation de données personnelles, leur protection devient la clé de voûte de la confiance, c’est-à-dire leur sécurité sur toute la chaîne de la donnée.

La pandémie a définitivement situé cette confiance numérique comme filière essentielle au fonctionnement de l’économie. Son rôle clef est devenu tangible aux yeux des Français qui ont été 65% à avoir davantage utilisé internet lors du premier confinement d’après le Baromètre de la confiance des Français dans le numérique établi par l’ACSEL. Et pourtant, c’est là tout le paradoxe : ceux-ci ne sont que 42% à déclarer avoir confiance dans le numérique.

Dans le même temps, la croissance du secteur du numérique a fait mécaniquement grimper les risques cyber. Par exemple, les signalements de rançongiciels ont augmenté de 255% en 2020 par rapport à 2019 selon un rapport du Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques (CERT-FR), organisme rattaché à l’ANSSI. Il faut rappeler que l’objectif de la cyber malveillance est l’appât du gain. En d’autres termes, gagner de l’argent en attaquant ces données, en les rendant indisponibles en contrepartie d’une demande de rançon par exemple.

Selon le cabinet Wavestone, environ 20% des entreprises attaquées paient une rançon pour tenter de récupérer leurs données. Ces réactions alimentent malheureusement les opérations de ces “attaquants” et n’encouragent pas l’arrêt de leurs actions.

Ainsi, la confiance numérique porte un double enjeu : celui de la sécurité numérique, en particulier les dispositifs créant de la confiance entre les acteurs et celui de la cybersécurité, c’est-à-dire la protection des produits et services numériques contre la cybermalveillance.

Quoi qu’il en soit, la confiance se prouve ! Et cela passe par les certifications, les labels, les qualifications par des organismes reconnus, ainsi que par des normes internationales ou sectorielles reconnues.

Docaposte, filiale numérique du groupe La Poste, est un acteur référent de cette filière. Grâce à son socle technologique, ses infrastructures et ses solutions, en conformité avec la règlementation et les référentiels de la confiance numérique, Docaposte opère des services de confiance dans un environnement souverain assumé. Ces services associés entre eux permettent d’assurer une chaîne de confiance entièrement sécurisée sur les 3 étapes fondamentales qui concernent le traitement de la donnée :

  • l’identification : assurer la fiabilité d’une identité
  • la transaction : assurer la sécurisation des flux
  • la conservation : assurer l’hébergement des données et leur pérennité.

Ces exigences pour un numérique de confiance s’illustrent à travers le marqueur Tech&Trust par Docaposte qui rassemble les lignes de conduite internes, les labels et certifications obtenues et les règles éthiques, sociales et environnementales auxquelles Docaposte se subordonne. Aussi, Docaposte s’engage pour un numérique responsable fondé sur des valeurs d’éthique et de confiance.