La deuxième édition de l'ESET Security Days, rendez-vous annuel de la cybersécurité en Tunisie, s'est déroulée le jeudi 27 septembre à Tunis en réunissant plus d'une centaine de décideurs en sécurité informatique. L'objectif de cette rencontre ? Débattre de la protection de données personnelles en Tunisie et des meilleures pratiques pour y parvenir : l'Intelligence Artificielle et la classification des données, mais aussi ses aspects réglementaires. «L'ère est à l'espionnage industriel, voire même espionnage tout court», a fait remarquer en guise d'introduction Benoit Grunemwald, cybersecurity leader chez ESET, en rappelant les nombreuses dernières affaires d'espionnage de corps diplomatiques étrangers à travers le monde, un domaine dans lequel ESET mène des recherches avancées. Pire : selon le spécialiste, «300 mille menaces sont injectées chaque jour dans le monde numérique avec pour objectif de recueillir les données personnelles des internautes qui se retrouveront ensuite en vente sur le darknet par des cybercriminels !». La donnée, ce « nouvel Or Noir du 21e siècle », est bien sûr au cœur de toutes ces affaires et de toutes les convoitises, mais aussi au cœur de la vie personnelle de millions de citoyens. Cela en fait un sujet absolument central aujourd'hui que ce second ESET Security Days a souhaité aborder. C'est pourquoi la table ronde consacrée au RGPD (la nouvelle réglementation de l'Union européenne qui s'applique à tous)et à la protection des données personnelles en Tunisie était très attendue. Le panel a réunit des experts du public, tels que Fadhel Ghajati, Responsable SMSI à l'ANSI, l'Agence Nationale de la Sécurité Informatique, et Chawki Gaddes, Président de l'INPDP « Instance Nationale de Protection des Données Personnelles », ainsi que du secteur privé Nizar Alaya, Directeur Associé chez Devoteam Management Consulting, et Benoit Grunemwald, cybersecurity leader chez ESET. Deux notions ont principalement émergé durant leurs échanges : comment la réglementation devrait encadrer les entreprises afin qu'elles protègent mieux les données personnelles de leurs clients tout en modérant les ambitions des grands acteurs tels les GAFA, et comment la classification des données serait une démarche essentielle au sein des entreprises pour se mettre en ordre de bataille ! Sur le plan réglementaire, les participants ont tout d'abord débattu de la notion de propriété de la donnée : qui est propriétaire de ses données personnelles ? L'INPDP, qui s'apprête à publier une prise de position très attendue sur le sujet, considère que la donnée personnelle est à l'image des organes du corps humain : incessibles ! « Elles font partie de la personne humaine et ne peuvent être vendues. Il n'y a pas de transfert de propriété possible. On peut la traiter, on peut donner l'autorisation de l'utiliser, mais on ne peut pas abandonner son droit sur sa donnée personnelle, comme cela est possible aux Etats-Unis », a précisé à cet effet Chawki Gaddes, Président de l'INPDP. Pour autant, c'est bien ce que font quotidiennement les milliers de citoyens qui confient leurs données personnelles aux GAFA en utilisant leurs services ! Mais est-ce pour autant raisonnable, par exemple,« d'arrêter d'utiliser Gmail par peur du Cloud Act américain ? », relance Benoit Grunemwald d'ESET. Car bien entendu, les officiels Tunisiens présents disposent tous d'un email chiffré et sécurisé. Mais comment peut faire la petite entreprise qui ne jouit pas des mêmes ressources ? D'ailleurs, comme l'a fait remarquer Nizar Alaya, Directeur Associé chez Devoteam: eux-mêmes utilisent les outils Google ! « Oui, mais il faut savoir ce que l'on envoie, et ne pas utiliser ces services pour des choses stratégiques » a répondu Chawki Gaddes, Président de l'INPDP. Les participants étaient toutefois tous d'accord pour reconnaître que les choses évoluent dans le bon sens. Des alternatives à ces services apparaîtront, et, surtout, le cadre réglementaire s'adaptera. Dès le début des années 2000, et en particulier avec la loi informatique de 2004, la Tunisie a ainsi été le premier pays du continent africain et du monde arabe à se doter d'une loi sur la protection des données personnelles. Et avec le projet de loi en cours, elle instaurera également le fameux « droit à l'oubli », qui permet à chacun de faire déréférencer ses données personnelles sur les différents moteurs de recherche. Par ailleurs, l'ANSI, qui oblige depuis la loi de 2004 les entreprises tunisiennes à réaliser un audit de sécurité informatique par an, s'apprête désormais à recevoir le renfort de l'INPDP, qui pourra signaler et sanctionner les entreprises réalisant des traitements de données personnelles sans avoir mené leur audit préalable. Mais alors, justement, comment les entreprises peuvent-elles protéger leurs données pour éviter d'être sanctionnées ? Sur ce point, les experts du panel étaient unanimes : on ne peut bien protéger que ce que l'on voit ! La classification des données, qui permet de recenser toutes les données de l'entreprise, est donc une étape absolument vitale de toute stratégie de protection. La classification permet notamment de mettre les bons efforts (et les bons budgets !) sur les données qui doivent vraiment être protégées : « Il y a peut-être un SMIC, un minimum de sécurité, à appliquer à toutes les données, mais il y a aussi des données qui doivent, en raison de leur nature plus sensible, bénéficier d'un traitement particulier » a expliqué Mr Alaya, Directeur Associé chez Devoteam. Et c'est d'ailleurs pour cela que Devoteam vient de créer des classes de données, qui aideront les entreprises à mieux qualifier leur « Or numérique » et donc mieux le garder. Cette étape de classification est certes laborieuse, mais elle bénéficie aujourd'hui du renfort de l'Intelligence Artificielle, très adaptée à ce type de tâche et qui permet de trier plus aisément de grandes masses de données. À condition, toutefois, de veiller à entraîner les algorithmes de manière fiable et sécurisée, afin d'éviter leur manipulation par des attaquants (des attaques subtiles qui, généralement, passent inaperçues jusqu'à l'incident, comme l'a démontré ESET dans une présentation). Enfin, et en guise de conclusion, les experts présent ont souligné l'importance capitale de la sensibilisation et de la formation du personnel aux risques numériques. « C'est absolument vital, et lorsque ce n'est pas fait, ça peut mener, comme cela est déjà arrivé, à ce que le dossier médical d'un ancien président se retrouve dans la nature », a conclut Mr Gaddes.
