Rendez-vous incontournable de la cybersécurité, le second ESET Security Days a réuni une centaine de décideurs en sécurité informatique au Mövenpick Hôtel du Lac, le jeudi 27 septembre, pour débattre de la protection de données personnelles en Tunisie et des meilleures pratiques pour y parvenir : l'Intelligence Artificielle et la classification des données, mais aussi ses aspects règlementaires. L'ère est à l'espionnage industriel, voire même espionnage tout court, comme le fait remarquer en guise d'introduction Benoit Grunemwald, cybersecurity leader chez ESET, en rappelant les nombreuses dernières affaires d'espionnage de corps diplomatiques étrangers à travers le monde, un domaine dans lequel ESET mène des recherches avancées. La donnée, ce « nouvel Or Noir du 21e siècle », est bien sûr au coeur de toutes ces affaires et de toutes les convoitises, mais aussi au coeur de la vie personnelle de millions de citoyens. Cela en fait un sujet absolument central aujourd'hui que ce second ESET Security Days a souhaité aborder. C'est pourquoi la table ronde consacrée au RGPD (la nouvelle réglementation de l'Union européenne qui s'applique à tous) et à la protection des données personnelles en Tunisie était très attendue. Le panel réunissait des experts du public, tels que Mr Fadhel Ghajati, Responsable SMSI à l'ANSI, l'Agence Nationale de la Sécurité Informatique, et Mr Chawki Gaddes, Président de l'INPDP « Instance Nationale de Protection des Données Personnelles », ainsi que du secteur privé Mr Nizar Alaya, Directeur Associé chez Devoteam Management Consulting, et Benoit Grunemwald, cybersecurity leader chez ESET. Deux notions étaient clés durant leurs échanges : comment la réglementation doit encadrer les entreprises afin qu'elles protègent mieux les données personnelles de leurs clients tout en modérant les ambitions des grands acteurs tels les GAFA, et comment la classification des données est une démarche essentielle au sein des entreprises pour se mettre en ordre de bataille ! Sur le plan règlementaire, les participants ont tout d'abord débattu de la notion de propriété de la donnée : qui est propriétaire de ses données personnelles ? L'INPDP, qui s'apprête à publier une prise de position très attendue sur le sujet, considère que la donnée personnelle est à l'image des organes du corps humain : incessibles ! « Elles font partie de la personne humaine et ne peuvent être vendues. Il n'y a pas de transfert de propriété possible. On peut la traiter, on peut donner l'autorisation de l'utiliser, mais on ne peut pas abandonner son droit sur sa donnée personnelle, comme cela est possible aux États-Unis », précise Mr Chawki Gaddes, Président de l'INPDP. Pour autant, c'est bien ce que font quotidiennement les milliers de citoyens qui confient leurs données personnelles aux GAFA en utilisant leurs services ! Mais est-ce pour autant raisonnable, par exemple, « d'arrêter d'utiliser Gmail par peur du Cloud Act américain ? », relance Benoit Grunemwald d'ESET. Car bien entendu, les officiels Tunisiens présents disposent tous d'un email chiffré et sécurisé. Mais comment peut faire la petite entreprise qui ne jouit pas des mêmes ressources ? D'ailleurs,comme le fait remarquer Mr Nizar Alaya, Directeur Associé chez Devoteam : eux-mêmes utilisent les outils Google ! « Oui, mais il faut savoir ce que l'on envoie, et ne pas utiliser ces services pour des choses stratégiques », répond Mr Chawki Gaddes, Président de l'INPDP. Les participants sont toutefois tous d'accord pour reconnaitre que les choses évoluent dans le bon sens. Des alternatives à ces services apparaitront, et, surtout, le cadre règlementaire s'adapte. Dès le début des années 2000, et en particulier avec la loi informatique de 2004, la Tunisie a ainsi été le premier pays du continent africain et du monde arabe à se doter d'une loi sur la protection des données personnelles. Et avec le projet de loi en cours, elle instaurera également le fameux « droit à l'oubli », qui permet à chacun de faire déréférencer ses données personnelles sur les différents moteurs de recherche. Par ailleurs, l'ANSI, qui oblige depuis la loi de 2004 les entreprises tunisiennes à réaliser un audit de sécurité informatique par an, s'apprête désormais à recevoir le renfort de l'INPDP, qui pourra signaler et sanctionner les entreprises réalisant des traitements de données personnelles sans avoir mené leur audit préalable. Mais alors, justement, comment les entreprises peuvent-elles protéger leurs données pour éviter d'être sanctionnées ? Sur ce point, les experts du panel sont unanimes : on ne peut bien protéger que ce que l'on voit ! La classification des données, qui permet de recenser toutes les données de l'entreprise, est donc une étape absolument vitale de toute stratégie de protection. La classification permet notamment de mettre les bons efforts (et les bons budgets !) sur les données qui doivent vraiment être protégées : « Il y a peut-être un SMIC, un minimum de sécurité, à appliquer à toutes les données, mais il y a aussi des données qui doivent, en raison de leur nature plus sensible, bénéficier d'un traitement particulier », explique Mr Nizar Alaya, Directeur Associé chez Devoteam. Et c'est d'ailleurs pour cela que Devoteam vient de créer des classes de données, qui aideront les entreprises à mieux qualifier leur « Or numérique » et donc mieux le garder ! Cette étape de classification est certes laborieuse, mais elle bénéficie aujourd'hui du renfort de l'Intelligence Artificielle, très adaptée à ce type de tâche et qui permet de trier plus aisément de grandes masses de données. À condition, toutefois, de veiller à entrainer les algorithmes de manière fiable et sécurisée, afin d'éviter leur manipulation par des attaquants (des attaques subtiles qui, généralement, passent inaperçues jusqu'à l'incident, comme l'a démontré ESET dans une présentation un peu plus tôt dans la journée) Enfin, et en guise de conclusion, nos experts ont souligné l'importance capitale de la sensibilisation et de la formation du personnel aux risques numériques. « C'est absolument vital, et lorsque ce n'est pas fait, ça peut mener, comme cela est déjà arrivé, à ce que le dossier médical d'un ancien président se retrouve dans la nature », conclut Mr Chawki Gaddes, Président de l'INPDP.
