fr
Publications

Comment assurer et contrôler l’intégrité des données ?

Publié le 5 octobre 2022
intégrité des données

L’intégrité des données, un concept qui aux premiers abords pourrait paraître des plus nébuleux pour les non-techniciens. Cependant, une fois que l’on explicite, l’on se rend vite compte qu’il est bien plus tangible qu’il n’y paraît.

Pour vous donner une première idée, sachez que l’intégrité des données « désigne l’état de données qui, lors de leur traitement, de leur conservation ou de leur transmission, ne subissent aucune altération ou destruction volontaire ou accidentelle, et conservent un format permettant leur utilisation », d’après la page dédiée sur Wikipédia.

Article 4 (f) du règlement européen n° 460/2004 du 10 mars 2004 instituant l’Agence européenne chargée de la sécurité des réseaux et de l’information : l’intégrité des données est « la confirmation que les données qui ont été envoyées, reçues ou stockées sont complètes et n’ont pas été modifiées ».

L’intégrité constitue alors un concept essentiel en matière de sécurité des systèmes d’information.

En s’intéressant à présent à la protection des données personnelles, le principe d’intégrité et de confidentialité des données constitue le sixième principe du RGPD (pour « Règlement Général sur la Protection des Données »). En pratique, il est généralement désigné comme le « principe de sécurité ».

Article 5 (1) (f) du règlement européen 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (« RGPD ») : les données à caractère personnel doivent être « traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures techniques ou organisationnelles appropriées (intégrité et confidentialité) ». 

Nous vous proposons alors de revenir au socle étant à votre disposition pour parfaire vos connaissances et vos processus en matière de sécurité, pour ensuite vous plonger davantage dans les subtilités du concept d’intégrité et, enfin, de concrétiser tout cela en voyant comme protéger en pratique l’intégrité des données.

1. Reprendre les bases en matière de sécurité

Avant de vous aider à comprendre ce qu’entend l’intégrité, il nous paraît nécessaire de vous intéresser aux différents piliers de la sécurité des données. Pour vous donner une première idée du langage et des mesures essentielles, nous vous proposons de débuter par la reprise des recommandations de la CNIL. Vous pourrez ensuite vous plonger davantage dans les thématiques allant concerner les opérationnels et dirigeants, puis les métiers de la sécurité des systèmes d’information grâce aux guides de l’ANSSI. Vous pouvez également consulter notre article sur la cryptologie, une science essentielle en matière de sécurisation des données.

1) Sensibiliser : le guide de la sécurité des données personnelles de la CNIL

La CNIL rappelle dans son guide de la sécurité des données personnelles les précautions élémentaires à mettre en place pour assurer l’intégrité et la confidentialité des données personnelles au sein des structures privées et organismes publics.

Ce guide constitue le b.a. ba des mesures techniques et organisationnelles de sécurité à mettre en place dans votre organisme. Il constitue un parfait support pour sensibiliser l’ensemble de vos équipes, vos collègues ou votre direction.

17 thématiques sont envisagées au sein du guide :

Sensibiliser les utilisateurs
Sécuriser les postes de travail
Sécuriser l’informatique mobile
Sécuriser les échanges avec d’autres organismes
Encadrer les développements informatiques
Authentifier les utilisateurs
Gérer la sous-traitance
Chiffrer, garantir l’intégrité ou signer
Sauvegarder et prévoir la continuité d’activité
Gérer les habilitations
Protéger les locaux
Archiver de manière sécurisée
Protéger le réseau informatique interne
Sécuriser les serveurs
Sécuriser les sites web
Tracer les accès et gérer les incidents
Encadrer la maintenance et la destruction des données

N’hésitez pas, avant de vous lancer dans des démarches de sécurisation, à utiliser les dernières pages du guide pour faire un état des lieux des mesures en place, en cours ou devant être mises en place au sein de votre structure.

2) Approfondir : la documentation proposée par l’ANSSI

5 documents mis à disposition par l’ANSSI nous paraissent essentiels afin de comprendre davantage les enjeux en matière d’intégrité et de confidentialité des données. Ces documents vont s’adresser tour à tour aux opérationnels, aux responsables d’organismes publics, sociétés et associations, mais aussi aux responsables de la sécurité des systèmes d’information.

Nous vous proposons de prendre connaissance de la documentation suivante, présentée dans un ordre de complexité croissante :

Enfin, pour parfaire vos connaissances, n’hésitez pas à suivre le cours gratuit mis en ligne sur le site dédié de l’ANSSI : le MOOC SecNumAcadémie. Un certificat vous sera transmis à la fin de ce dernier, une fois que vous aurez réussi à répondre aux questionnaires proposés au fil de ses modules.

2. Mieux comprendre le concept d’intégrité

Pour cerner davantage le concept d’intégrité, nous vous proposons d’en apprendre davantage sur les différents types d’intégrité, pour ensuite connaître les différentes menaces humaines ou techniques pouvant affecter l’intégrité.

1) Les différents types d’intégrité

On retrouve deux types d’intégrité, dont découlent un ensemble de méthodologies et processus. Ce sont l’intégrité physique et l’intégrité logique.

L’intégrité physique est la partie matérielle de ce concept. Elle va demander de s’intéresser au stockage des données, au stade de la conservation ou de l’archivage de ses données, ainsi qu’à la récupération de celles-ci.

L’intégrité logique est la partie immatérielle, relevant du fonctionnement des différents éléments des systèmes d’information (serveurs et réseaux ; ordinateurs, tablettes et smartphones ; logiciels et applications…). Ce concept, plus vaste, va être divisé en quatre sous-types :

  • Intégrité de l’entité : Cette intégrité nécessite la mise en place de valeurs uniques permettant d’identifier les données, ceci afin de garantir que les données ne seront répertoriées qu’une seule fois. C’est une fonctionnalité relevant des systèmes relationnels, afin de stocker des données pouvant être reliées et utilisées de diverses manières.
  • Intégrité référentielle : Cette intégrité requiert qu’une série de processus soit réalisée afin de garantir le stockage et l’utilisation homogène des données. Ces règles garantissent que seul(e)s les ajouts, modifications ou suppressions approprié(e)s puissent être exécutées.
  • Intégrité de domaine : Cette intégrité permet de s’assurer que les données au sein d’un domaine restent exactes, grâce à un ensemble de processus. Le domaine correspond à un ensemble de valeurs acceptables pour les données, autorisées au sein d’un ensemble de champs.
  • Intégrité définie par l’utilisateur : Cette intégrité relève entièrement des choix de l’utilisateur, celui-ci fixant alors les règles et contraintes s’appliquant aux données afin de satisfaire ses besoins. Cette intégrité pourra également dépendre de règles et contraintes choisies par l’entreprise de l’utilisateur.

2) Les menaces pour l’intégrité des données

Plusieurs types de menaces vont pouvoir affecter l’intégrité des données, nous pouvons citer les exemples suivants :

  • Les erreurs humaines : Chaque utilisateur des systèmes d’information peut commettre une erreur et saisir la mauvaise donnée, dupliquer involontairement un élément ou effacer la mauvaise information.
  • Les erreurs lors du transfert de données : Il peut arriver que des données ne soient pas transférées convenablement, les informations étant alors partiellement ou entièrement fausses. Les données originelles pouvant également être, selon les cas, maintenues ou supprimées de la première base de données.
  • Les bugs affectant les outils informatiques : Une erreur dans le fonctionnement des logiciels et applications peut engendrer la modification ou la perte de données.
  • Les virus attaquant les outils informatiques : Différents virus et logiciels malveillants peuvent affecter les outils informatiques, permettant alors aux attaquants d’altérer ou d’effacer les données.
  • La compromission des systèmes d’information : Les pannes ou les problèmes de fonctionnement des ordinateurs ou des serveurs constituent les premiers indices de compromission des appareils. Cette compromission peut alors rendre les données incorrectes, en limiter l’accès ou les effacer.

Il est alors essentiel d’avoir en tête ces différentes menaces afin de réfléchir aux mesures devant être mises en place afin de s’en prémunir.

3. Assurer et contrôler l’intégrité des données en pratique

Une fois la notion d’intégrité clarifiée, nous envisagerons pour finir comment assurer et contrôler l’intégrité des données. Deux finalités des mesures mises en place seront examinées : assurer la non-redondance des données et contrôler l’intégrité à l’aide de procédures.

1) Assurer la non-redondance des données

Différentes mesures techniques vont permettre d’assurer la non-redondance des données, parmi lesquelles les mesures suivantes :

  • Fiabiliser la collecte d’informations : A chaque fois qu’une donnée sera entrée, il faudra qu’elle passe une étape de vérification et de validation ;
  • Mettre en place des outils de détection d’erreurs : Pour s’assurer de l’intégrité des données, des logiciels dédiés pourront détecter les erreurs dans les informations entrées ;
  • Centraliser les données : Afin de s’assurer de l’intégrité des données, il faudra éviter que les informations ne soient éparpillées, aussi bien au niveau des applications et logiciels, qu’au sein du réseau ou des serveurs ;
  • Surveiller les modifications : Il sera nécessaire d’avoir une trace des connexions et modifications effectuées par les utilisateurs des systèmes d’information, afin d’obtenir également un historique complet des opérations réalisées ;
  • Sauvegarder les données et en permettre la restauration : Des sauvegardes régulières devront être mises en place, afin de pouvoir à tout moment procéder à la restauration des données dont l’intégrité aurait pu être violée.

2) Contrôler l’intégrité grâce à la mise en place de procédures

Différentes mesures organisationnelles seront nécessaires pour contrôler l’intégrité des données, les exemples suivants pouvant vous être proposés :

  • Former et sensibiliser le personnel: Des formations régulières devront être mises en place pour l’ensemble des équipes de votre organisme, afin qu’elles prennent également conscience des enjeux en matière d’intégrité des données et s’en assurent lors de la réalisation de leurs missions ;
  • Définir des droits d’accès et de modification : Chaque personne pouvant accéder aux données ou les modifier devra avoir reçu, au préalable, une autorisation pour accéder ou modifier ces informations ;
  • Mettre à jour rapidement les permissions : Après un changement de poste ou un départ de la structure, les permissions devront être mises à jour au plus vite, afin d’éviter tout accès, modification ou suppression non autorisé(e)s ;
  • Auditer régulièrement les systèmes d’information : Les SI devront faire l’objet d’audit régulier, aussi bien pour vérifier l’intégrité en elle-même, que pour confirmer que les mesures mises en place correspondent bien aux risques pouvant se réaliser.

– Mathieu CANDES