L'e-privacy est une réalité !

 
Le 9 août dernier, nous évoquions la sécurité des données et nous nous demandions s’il fallait se soucier de la nouvelle loi européenne de protection des données personnelles (e-privacy protection ou GPDR) censée entrer en vigueur le 25 mai 2018. Après avoir démontré le pourquoi du comment, nous répondions de façon claire et nette: oui, la e-privacy nous concerne tous et oui, il convient de se soucier de la GPDR.
Prenez le Cottage Health System (ou CHS) de Santa Barbara, en Californie : ils auraient dû justement mieux se soucier de la sécurité de leurs données. En 2013 un de leurs serveurs contenant les dossiers médicaux de plus de 50’000 patients a été connecté à Internet sans cryptage ni protection. Le CHS ne s’était rendu compte de rien. Ce n’est qu’en décembre 2013 qu’il a été informé (par un acteur externe) que des informations médicales confidentielles concernant des patients étaient consultables en ligne et qu’il fallait songer à y remédier.
CHS
https://www.cottagehealth.org/
Après l’agitation classique (et attendue) de la Direction du CHS, de façon tout aussi prévisible un audit de sécurité fut décidé. Ce dernier révéla des lacunes dans les pratiques et les procédures de sécurité visant à protéger les données sensibles contre tout accès et/ou divulgation non autorisés. Des mesures de correction furent décidées. Des rapports attestant que tout était désormais en règle furent pondus. La sécurité des données devenait effective, tout était revenu à la normale et on allait pouvoir (enfin) se consacrer aux choses sérieuses.

Las

Si l’erreur est humaine, persévérer est diabolique, comme dit l’adage. En 2015, lors de l’enquête du procureur général sur la violation de sécurité de 2013, les équipes IT du CHS ont frappé encore plus fort en exposant malencontreusement les dossiers de 4’596 patients. Ces dossiers sont devenus accessibles en ligne pendant près de deux semaines, sans restriction ni contrôle d’accès, tout cela durant l’enquête ! Ô ironie, quand tu nous tiens …
 
Ce qui pourrait prêter à sourire doit en fait nous ouvrir les yeux: les systèmes générant et utilisant des données se multiplient et interagissent de plus en plus. Ces données sont accédées ou copiées sans réel contrôle ni contrainte. La sécurité des données est loin d’être assurée sur toute la chaîne de valeur et la menace plane sans cesse. Sans une stratégie data claire ainsi qu’une politique de sécurité applicable et appliquée par tous, il devient compliqué de palier aux (plus grosses) menaces, mais surtout il est impossible de sensibiliser les gens et les former à éviter les fuites (plutôt que d’essayer de les combattre après coup).
 
Quoiqu’il en soit, le bureau du procureur général a conséquemment déclaré (faits à l’appui pour le coup) que les manquements à la sécurité des données du CHS violaient la loi sur la confidentialité de l’information médicale, et la loi sur la concurrence déloyale, de même que la loi fédérale US sur la transférabilité  ainsi que la responsabilité en matière d’assurance maladie.
 
Malaise dans les strates de la Direction, re-agitation et, gestion de crise oblige, un porte-parole du CHS déclare à qui veut l’entendre qu’une fois les incidents connus, « le CHS a tout fait pour éradiquer le problème. Ainsi les experts en sécurité du CHS ont utilisé cet apprentissage pour renforcer les couches de sécurité du système afin d’améliorer la détection et l’atténuation des vulnérabilités. ». Le porte-parole poursuit en déclarant que rien ne prouve que « les données aient été utilisées à des fins frauduleuses ». Il conclut en soulignant que « le CHS s’est engagé […] à protéger la confidentialité des patients tout en fournissant aux prestataires de soins (dûment authentifiés et autorisés) les données nécessaires pour leurs activités. ».

La pression s’accroît sur la sécurité des données

Belle déclaration, tout encline à rassurer. Mais qui ne convainc guère le procureur qui persiste et poursuit le CHS pour n’avoir pas mis en œuvre des « garanties raisonnables pour protéger les informations médicales des patients » et garantir la sécurité des données in fine.
 
State of California Department of Justice
https://oag.ca.gov/
Est-il nécessaire de revenir sur les déclarations sibyllines du CHS ? Surtout pas, d’autant plus qu’elles ressemblent furieusement à toutes les déclarations de ceux qui se sont retrouvés à justifier un (ou plusieurs) vol de données (évidemment) sensibles. Non, aucun intérêt. Par contre, revenons au procureur général Becerra qui ne s’en est pas laissé conter. Ce dernier a notamment déclaré que « lorsque les patients vont à l’hôpital pour obtenir des soins médicaux, la dernière chose à laquelle ils doivent s’inquiéter, c’est d’exposer leurs informations médicales personnelles. La loi exige des fournisseurs de soins de santé qu’ils protègent la vie privée des patients ». Il conclut en précisant que « sur ces deux points, le CHS a échoué ».
 
La pression est donc maintenue tant et si bien qu’un accord a été trouvé pour clore cette affaire touchant à la sécurité des données (accord à l’américaine cela va sans dire) : pour commencer, règlement d’une amende de 2 millions de dollars par le CHS au bureau du procureur. En sus de l’amende, le CHS doit également mettre à niveau ses pratiques de sécurité pour protéger les informations médicales des patients contre l’accès non autorisé et/ou la divulgation, doit maintenir un programme de sécurité de l’information et doit désigner un employé qui agira à titre de chef de la protection de la vie privée et qui effectuera des évaluations périodiques des risques. Des vérifications indépendantes seront aussi effectuées par le bureau du procureur régulièrement.
Cet exemple récent illustre parfaitement le changement de paradigme actuellement à l’œuvre : la donnée n’est pas « juste de la donnée ». Elle est devenue un enjeu majeur et fait l’objet d’une attention de plus en plus soutenue, de toute part (légale ou pas). La sécurité qui en découle n’est donc pas une affaire à prendre à la légère.

La sécurité des données, un défi permanent !

C’est pourquoi trois sénateurs démocrates – Bill Nelson en Floride, Richard Blumenthal du Connecticut et Tammy Baldwin au Wisconsin – ont présenté une loi exigeant que les entreprises signalent rapidement les violations de sécurité des données et imposent de nouvelles sanctions pénales aux dirigeants qui tentent délibérément de dissimuler les atteintes aux données.
 
Ce projet de loi a été notamment introduit à la suite de la divulgation récente par Uber d’une violation majeure des données en 2016. Selon Uber, les pirates ont accédé à l’information personnelle de 57 millions d’utilisateurs l’année dernière, une violation que la société n’a pas divulguée publiquement dans un premier temps. Au contraire, au moment de la violation, Uber a payé 100 000 USD aux pirates pour détruire les données et n’a pas dit à l’organisme de réglementation ou aux utilisateurs que leurs données avait été volées
 
Cette nouvelle législation exigerait, entre autres, que les entreprises informent les utilisateurs d’un vol de leurs données dans les 30 jours; et en faire un crime – passible d’une peine pouvant aller jusqu’à cinq ans de prison – pour avoir sciemment dissimulé un vol ou une violation d’intégrité.
 
« Nous avons besoin d’une loi fédérale forte pour tenir les entreprises responsables de ne pas sauvegarder les données ou d’informer les utilisateurs lorsque des informations les concernant ont été volées par des pirates », a déclaré le sénateur Nelson dans un communiqué. « Le Congrès peut soit prendre des mesures maintenant pour faire passer ce projet de loi depuis longtemps attendu, soit continuer à faire plaisir aux intérêts privés qui font obstacle à cette proposition de bon sens. Quand il s’agit de faire ce qu’il y a de mieux pour les consommateurs, le choix doit être clair. ».
 
Si cette loi venait à passer la rampe, il y a fort à parier que l’Europe (et donc la Suisse) s’y intéresse et fasse de même. Même si on doit s’attendre à des résistances de la part de certains (notamment les GAFAM), ceci va dans le bon sens. Mais cela ne doit pas nous empêcher de rester vigilants. Au contraire ! La donnée est un actif de valeur qui nécessite une attention particulière et requiert une gestion adéquate. La sécurité des données est un défi devenu permanent : ne pas en tenir compte est une erreur majeur, en sous-estimer les impacts une faute grave.
 
KABE

Vos données ont de la valeur !

La Data Intelligence est destinée aux gestionnaires, décideurs et dirigeants d’entreprise. Il s’agit de la mise en œuvre des moyens, outils et méthodes destinés à fournir l’information utile pour décider et agir en toute connaissance de cause. Mettez-toutes les chances de votre côté en vous appuyant sur des professionnels de la donnée.

Les experts CALYPS sont là pour vous aider