AVIS D’EXPERT – En mai 2018, le règlement général sur la protection des données (RGPD) entrait en application. Porté par l’Union Européenne, le texte représentait un tournant dans la cybersécurité. Ce moment fort de la réglementation du traitement des données n’était cependant qu’une première étape. Depuis, de nouvelles réglementations ont été mises en place afin de renforcer le niveau de sécurité des entreprises, souvent mal protégées. Les nouvelles normes PCI DSS v4, ou encore la Loi [européenne] sur la cyber-résilience incitent de plus en plus d’entreprises européennes à repenser leur stratégie cyber. RGPD, PCI DSS, NIS 2 : “Privacy-by-design” et mise en conformité, on fait le point avec Hervé Hulin, directeur régional des ventes France de Jscrambler
Considéré par certains comme la pierre angulaire de la protection des données, le RGPD instaure, entre autres, le principe du Privacy-by-Design. Celui-ci consiste simplement à appliquer, dès la conception du projet, les principes de la protection des données. En termes d’actions, cela se traduit par l’implémentation de mesures techniques et organisationnelles adéquates telle que La pseudonymisation. En effet, dans un contexte de révolution numérique, les données personnelles constituent une matière première indispensable. Elles sont appelées à jouer un rôle semblable à celui du pétrole dans les sociétés du 20ème siècle. De fait, leur collecte, leur traitement et leur analyse représentent un enjeu majeur pour les entreprises se préparant à basculer dans cette nouvelle économie caractérisée, entre autres, par une hyperpersonnalisation des offres de biens, de services, et d’expériences. Le règlement RGPD est entré en vigueur à une période charnière de ce processus afin de poser les premières bases d’un cadre permettant de prévenir ou au moins de limiter les potentiels risques et dérives, actuels ou futurs. Les attaques de type “cross-scripting”, par exemple, continuent de faire des dégâts. Or, accomplir cette mission nécessite la participation de tous les acteurs intervenant dans la conception et le développement de projets numériques (logiciels, applications mobiles, sites web, etc.). Les développeurs sont en première ligne. Pour les aider à rentrer en conformité, la CNIL a publié un Guide RGPD, rappelant notamment l’importance de rester vigilant sur le contenu du code. Elle leur recommande notamment d’utiliser des outils de métriques pour vérifier la qualité du code mais aussi ajouter des scripts de contrôle de ces métriques.
Le code informatique : le premier rempart
Depuis l’entrée en vigueur du RGPD, le code a pris une place importante dans les politiques de protection des données. Son intégrité, sa qualité et sa maintenabilité sont autant de critères à prendre en compte pour que les données personnelles des utilisateurs soient moins vulnérables aux attaques des hackers. Un code de mauvaise qualité sera non seulement plus vulnérable aux attaques mais aussi plus difficile à maintenir. Le Règlement et les textes qui lui ont succédé ont fait émerger et mis en lumière deux concepts clés et souvent confondus : le “privacy-by-design” et “security-by design”. Protéger les données d’un utilisateur, c’est avant tout s’assurer qu’elles ne sont pas partagées avec un tiers sans son consentement ou à son insu. Sécuriser les données consiste à utiliser un système empêchant les personnes malveillantes de les récupérer. Les actions préconisées pour rentrer en conformité tendent à encourager la pratique du “security-by-design”. Outre Atlantique, l’agence américaine de la cybersécurité et de la sécurité des infrastructures (CISA) a récemment publié des directives visant à accélérer les changements culturels au sein de l’industrie technologique, nécessaires pour assurer un avenir sûr en ligne. Ces directives invitent notamment les éditeurs de logiciels à intégrer les principes du security-by-design dans leurs solutions. Parallèlement, les cyberattaquants rivalisent d’ingéniosité pour mettre la main sur ces précieuses informations. Ils ont recours à des techniques de plus en plus sophistiquées pour parvenir à leurs fins. Enfin, une technologie comme celle de ChatGPT pourrait en outre changer les règles du jeu en aidant les hackers peu qualifiés à programmer des malwares grâce à sa fonction de génération de code.
Objets connectés et navigateurs web : des cibles privilégiées des cyberattaquants
Alors qu’en 2022 40% des Français étaient équipés d’au moins un objet connecté dans leur foyer, ces appareils restent particulièrement vulnérables. Les “hackers” multiplient les attaques sur cette cible en exploitant les nombreuses failles persistantes. Leur sécurisation est un enjeu d’autant plus important que les appareils connectés les plus répandus sont ceux relatifs à la santé des utilisateurs (24%) et que ceux liés à la sécurité sont de plus en plus présents (21%). Face à ce constat, la Commission Européenne a présenté en septembre dernier le Cyber-résilience Act, une proposition de loi ciblant les fabricants d’appareils connectés et visant à renforcer la cyber-résilience de ces produits. Les applications web sont une autre cible de choix pour les cyberattaquants en quête de données sensibles. Pour se prémunir, les entreprises ont fait de la protection des serveurs – victimes habituelles – une priorité tandis qu’un nombre croissant d’acteurs malveillants exploitent désormais les vulnérabilités côté utilisateur, à savoir le navigateur et l’interface du site web. Grâce à une technique nommée Magecart, les hackers parviennent à extraire les données de carte bancaire. Pour ce faire, ils injectent des scripts JavaScript malveillants dans le code du site. Ils se positionnent ainsi en intermédiaires entre le navigateur et l’hébergeur légitime du site pour récupérer les données. Face à cette menace, aucune réglementation n’a adressé, à ce jour, la question de la sécurisation côté navigateur dans toute sa complexité. Toutefois, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) a publié un guide de recommandations pour la mise en œuvre d’un site web : maîtriser les standards de sécurité côté navigateur. Cinq ans après l’entrée en application du RGPD, le cadre réglementaire qui se dessine en matière de protection des données repose sur des textes qui se veulent préventifs. Cette approche précautionneuse est d’autant plus pertinente à l’heure de la montée en puissance de technologies s’appuyant sur les données. Nous sommes à une étape charnière du changement de paradigme. Dans ce nouveau modèle, les données seront une matière première indispensable. En conséquence, il est probable que les attaques ciblant cette précieuse ressource se multiplient. Leur protection et leur sécurisation passeront nécessairement par l’adoption de ces principes dès la conception des projets. Les entreprises ont tout intérêt à prendre le train en marche en se conformant dès aujourd’hui pour faire face aux menaces de demain. La qualité du code sera un critère déterminant en matière de sécurité et protection des données : elle doit devenir dès aujourd’hui une priorité pour les développeurs.
Hervé Hulin, Directeur régional des ventes France de Jscrambler