Comment protéger ses bases de données

Entreprise
Blog proposé par Hiscox

Vitales pour les entreprises, les bases de données stratégiques doivent faire l’objet du plus grand soin. L’attention doit à la fois se porter sur la protection des accès et sur le respect des règles qui visent à protéger les données personnelles qu’elles contiennent.

Les bases de données sont à la fois le cœur et le cerveau numériques des entreprises. C’est en elles et autour d’elles que se constitue leur richesse intellectuelle. Les protéger est donc essentiel. Mais, les protéger de qui ou de quoi au juste ? Il faut à la fois les défendre des agressions externes mais également internes à l’entreprise qui les détient. Si l’idée d’un vol de données vient tout de suite à l’esprit, il ne faut pas oublier les questions relatives à la violation des droits des personnes dont les données personnelles sont enregistrées dans une base. En plus d’une amende, la Cnil peut sanctionner l’entreprise victime d’une cyber-attaque, et qui n’aurait pas déclaré la détention de bases de données personnelles, en lui imposant une publication de la sanction dans la presse…

Une base de données au sens juridique du terme, c’est avant tout un investissement. Celui-ci doit être documenté. Autrement dit, il convient de garder une trace de la mise en place des outils de traitement et de collecte des données ainsi que de leur maintien en bon état opérationnel (mises à jour, upgrade, etc.).

L’ennemi, c’est la passivité

Le b.a.-ba de la sécurisation des bases des données porte bien sûr sur le contrôle et la limitation de leur consultation. Les codes d’accès sont la clé de voûte de ces mesures. L’heure n’est plus au “mot de passe”, mais à la “phrase de passe” dont seule la taille permet de résister à une attaque en force brute, lorsqu’un ordinateur hostile bombarde la cible de plusieurs milliers de combinaisons à la seconde. Mais, au quotidien, cette saisie est fastidieuse. Une fois mis en place, les systèmes à double identification cumulent l’avantage de la fiabilité sans l’inconvénient de la lourdeur de la procédure.

Face aux attaques, le point faible d’une défense est toujours sa passivité. En matière de gestion des droits d’accès, il convient donc d’instiller le plus de dynamisme possible. Cela revient à démultiplier les paramètres pour les autorisations : instaurer des accès uniques ou à durée limitée, identifier individuellement les utilisateurs, qu’ils soient ou non membres de l’entreprise, et circonscrire leurs droits d’utilisation à leurs stricts usages. Enfin, une gestion précise des plages horaires d’accès à la base permet aussi d’éviter les intrusions à des moments improbables, comme au milieu de la nuit ou durant les jours fériés.

Qui dit bases de données stratégiques, dit données personnelles. Dès lors que les données enregistrées permettent d’identifier des personnes physiques, l’existence et la gestion des bases sont soumises à des règles légales. La plus importante réside dans la déclaration auprès de la Cnil (Commission informatique et libertés). Manquer à cette obligation expose à des amendes qui peuvent dépasser allègrement la centaine de milliers d’euros. Depuis juillet 2014, les inspecteurs de la Cnil et ceux de la DGCCRF (Direction générale de la consommation et de la répression des fraudes) peuvent procéder à des contrôles inopinés.

Édictées dans le souci de protéger les personnes, les règles en vigueur imposent aux producteurs de bases de données un devoir d’information auprès de ceux dont ils collectent et traitent les données personnelles. Dans certains cas, leur consentement express est même requis (opt-in). La loi Informatique et libertés précise aussi que la collecte des données doit correspondre à un but précis et légitime. Une fois enregistrées, elles doivent être tenues à jour et ne peuvent être conservées pour une durée illimitée.

Les astuces pour tracer les pirates
Contrairement à celles du monde concret, les effractions numériques ne laissent que rarement des traces. Voici deux astuces simples pour être alerté si des données subtilisées ressurgissent. Glisser quelques coquilles ou des données fictives dans ses bases permet d’identifier l’origine d’une fuite. De même que l’ajout d’adresses mail factices créées pour surveiller l’envoi de mailing à partir d’une base.

 

Les textes en vigueur
La base de données est définie par l’article L.112-3 du Code de la propriété intellectuelle comme un “recueil d’œuvres, de données ou d’autres éléments indépendants, disposés de manière systématique ou méthodique, et individuellement accessibles par des moyens électroniques ou par tout autre moyen”.
Le producteur de base de données est celui qui “prend l’initiative et le risque des investissements correspondants”. Il bénéficie d’une protection du contenu de sa base “lorsque la constitution, la vérification ou la présentation de celle-ci atteste d’un investissement financier, matériel et humain substantiel” (article L.341-1 du Code de la propriété intellectuelle).

 

Selon l’article 34 de la loi Informatique et libertés, les entreprises, en tant que responsable des informations qu’elles recueillent, doivent en garantir la sécurité, notamment s’assurer qu’un tiers non autorisé ne puisse y avoir accès. L’entreprise est également tenue à un devoir vis-à-vis de ses clients et de ses employés afin de maintenir une relation de confiance.

La loi Informatique et libertés du 6 janvier 1978 modifiée
Loi relative à la consommation du 17 mars 2014 (dite loi Hamon)
Un PDF thématique et indexé de l’INC (Institut national de la consommation) facilite la consultation de cette loi (517 pages)
Loi du 1 juillet 1998 concernant la protection juridique des bases de données

Quelques sites à visiter
Sur Hiscox
Protégez vos bases de données (PDF de six pages)
La CNIL – Commission nationale informatique et libertés
Désigner un Correspondant informatique et libertés (CIL)
Déclarer un fichier
Guides de gestion des risques informatique et libertés Partie I : La méthode (PDF – 29pages)
Guides de gestion des risques informatique et libertés Partie II : Catalogue de mesures (PDF – 93 pages)
Le transfert de données hors Union européenne
Avec le dossier “Les transferts de données à caractère personnel hors Union européenne” (PDF – 38 pages)