L’intégrité des données, un concept qui aux premiers abords pourrait paraître des plus nébuleux pour les non-techniciens. Cependant, une fois que l’on explicite, l’on se rend vite compte qu’il est bien plus tangible qu’il n’y paraît.
Pour vous donner une première idée, sachez que l’intégrité des données « désigne l’état de données qui, lors de leur traitement, de leur conservation ou de leur transmission, ne subissent aucune altération ou destruction volontaire ou accidentelle, et conservent un format permettant leur utilisation », d’après la page dédiée sur Wikipédia.
Article 4 (f) du règlement européen n° 460/2004 du 10 mars 2004 instituant l’Agence européenne chargée de la sécurité des réseaux et de l’information : l’intégrité des données est « la confirmation que les données qui ont été envoyées, reçues ou stockées sont complètes et n’ont pas été modifiées ».
L’intégrité constitue alors un concept essentiel en matière de sécurité des systèmes d’information.
En s’intéressant à présent à la protection des données personnelles, le principe d’intégrité et de confidentialité des données constitue le sixième principe du RGPD (pour « Règlement Général sur la Protection des Données »). En pratique, il est généralement désigné comme le « principe de sécurité ».
Article 5 (1) (f) du règlement européen 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (« RGPD ») : les données à caractère personnel doivent être « traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures techniques ou organisationnelles appropriées (intégrité et confidentialité) ».
Nous vous proposons alors de revenir au socle étant à votre disposition pour parfaire vos connaissances et vos processus en matière de sécurité, pour ensuite vous plonger davantage dans les subtilités du concept d’intégrité et, enfin, de concrétiser tout cela en voyant comme protéger en pratique l’intégrité des données.
Avant de vous aider à comprendre ce qu’entend l’intégrité, il nous paraît nécessaire de vous intéresser aux différents piliers de la sécurité des données. Pour vous donner une première idée du langage et des mesures essentielles, nous vous proposons de débuter par la reprise des recommandations de la CNIL. Vous pourrez ensuite vous plonger davantage dans les thématiques allant concerner les opérationnels et dirigeants, puis les métiers de la sécurité des systèmes d’information grâce aux guides de l’ANSSI. Vous pouvez également consulter notre article sur la cryptologie, une science essentielle en matière de sécurisation des données.
La CNIL rappelle dans son guide de la sécurité des données personnelles les précautions élémentaires à mettre en place pour assurer l’intégrité et la confidentialité des données personnelles au sein des structures privées et organismes publics.
Ce guide constitue le b.a. ba des mesures techniques et organisationnelles de sécurité à mettre en place dans votre organisme. Il constitue un parfait support pour sensibiliser l’ensemble de vos équipes, vos collègues ou votre direction.
17 thématiques sont envisagées au sein du guide :
N’hésitez pas, avant de vous lancer dans des démarches de sécurisation, à utiliser les dernières pages du guide pour faire un état des lieux des mesures en place, en cours ou devant être mises en place au sein de votre structure.
5 documents mis à disposition par l’ANSSI nous paraissent essentiels afin de comprendre davantage les enjeux en matière d’intégrité et de confidentialité des données. Ces documents vont s’adresser tour à tour aux opérationnels, aux responsables d’organismes publics, sociétés et associations, mais aussi aux responsables de la sécurité des systèmes d’information.
Nous vous proposons de prendre connaissance de la documentation suivante, présentée dans un ordre de complexité croissante :
Enfin, pour parfaire vos connaissances, n’hésitez pas à suivre le cours gratuit mis en ligne sur le site dédié de l’ANSSI : le MOOC SecNumAcadémie. Un certificat vous sera transmis à la fin de ce dernier, une fois que vous aurez réussi à répondre aux questionnaires proposés au fil de ses modules.
Pour cerner davantage le concept d’intégrité, nous vous proposons d’en apprendre davantage sur les différents types d’intégrité, pour ensuite connaître les différentes menaces humaines ou techniques pouvant affecter l’intégrité.
On retrouve deux types d’intégrité, dont découlent un ensemble de méthodologies et processus. Ce sont l’intégrité physique et l’intégrité logique.
L’intégrité physique est la partie matérielle de ce concept. Elle va demander de s’intéresser au stockage des données, au stade de la conservation ou de l’archivage de ses données, ainsi qu’à la récupération de celles-ci.
L’intégrité logique est la partie immatérielle, relevant du fonctionnement des différents éléments des systèmes d’information (serveurs et réseaux ; ordinateurs, tablettes et smartphones ; logiciels et applications…). Ce concept, plus vaste, va être divisé en quatre sous-types :
Plusieurs types de menaces vont pouvoir affecter l’intégrité des données, nous pouvons citer les exemples suivants :
Il est alors essentiel d’avoir en tête ces différentes menaces afin de réfléchir aux mesures devant être mises en place afin de s’en prémunir.
Une fois la notion d’intégrité clarifiée, nous envisagerons pour finir comment assurer et contrôler l’intégrité des données. Deux finalités des mesures mises en place seront examinées : assurer la non-redondance des données et contrôler l’intégrité à l’aide de procédures.
Différentes mesures techniques vont permettre d’assurer la non-redondance des données, parmi lesquelles les mesures suivantes :
Différentes mesures organisationnelles seront nécessaires pour contrôler l’intégrité des données, les exemples suivants pouvant vous être proposés :
– Mathieu CANDES