|
Jamais auparavant les organisations européennes n'avaient eu à subir des attaques de sécurité aussi virulentes et persistantes. Le piratage, le vol d'identité, l'espionnage, l'accès non autorisé à des données et ainsi de suite sont des menaces de plus en plus présentes et pointues. Avec le nombre de transactions clients toujours en expansion, savoir comment protéger au mieux les données des clients est devenue la priorité. Nous avons tous lu les journaux et la seule chose dont nous sommes sûrs c'est que personne n'est à l'abri.
Les entreprises, qui ont le devoir de conserver de façon sécurisée les données des partenaires et des clients, sont aussi responsables de tout dommage provoqué ou de toute ramification financière qui pourrait en découler si des données venaient à tomber dans de mauvaises mains.
De nombreuses organisations à travers l'Union européenne se sont battues pour respecter la directive sur la confidentialité des données de l'Union européenne. Bien que plusieurs d’entre elles aient maintenant comblé les lacunes les plus évidentes en terme de stratégies d’anonymisation des données, certains points faibles pourraient encore les exposer à un scandale en matière de données.
Le test des applications est un de ces plus grands points faibles. Le problème est que les applications sont encore testées avec les données en direct des clients. Cette approche est intéressante dans la mesure où elle fournit les données valides requises pour des essais approfondis. Malheureusement, elle contrevient directement aux réglementations sur la confidentialité des données : l'utilisation de données dans l'environnement de test signifie, en général, que les sociétés utilisent les informations pour un but autre que celui approuvé par le client.
En outre, les essais avec des données réelles rendent les données vulnérables aux attaques. L'application des règles de protection des données à l'environnement de test interne est déjà assez difficile, mais le problème est aggravé par la tendance à externaliser le développement des applications – et des essais – hors de l'Union européenne.
Naturellement, les sociétés répondront qu'elles disposent de mesures pour protéger les données confidentielles lorsqu'elles les testent, de façon interne ou extraterritoriale. Toutefois, il est évident qu'un fraudeur émérite déterminé ou un employé peu scrupuleux peut contourner les mesures les plus strictes.
Les mesures de protection n'affectent en aucun cas le problème majeur qui est l'utilisation illégale des informations client dans des tests d'application. En outre, les règles de confidentialité des données stipulent clairement que bien que la libre circulation des données soit possible sans sauvegarde entre les États membres, le transfert des données n’est pas envisageable hors des frontières de l’Union sauf si le pays peut garantir des niveaux similaires de protection de la confidentialité. Des pays comme la Suisse, le Canada et les Etats-Unis sont officiellement reconnus comme fournissant des sauvegardes adéquates pour les données client, mais la plupart de l'externalisation se fait vers des pays qui ne sont pas reconnus.
La plupart des sociétés adoptent une solution relativement simple – elles laissent en blanc les données sensibles dans l'environnement de test. Cependant, un essai complet des applications requiert des données valides. La désensibilisation des données par l'occultation donne souvent un essai bien moins complet. En outre, du point de vue de la sécurité, l'occultation n'empêche pas l'accès illicite aux informations ; elles sont simplement vulnérables à une mauvaise utilisation à une étape précédente, car le processus d'occultation se fait normalement sous contrôle humain.
Une meilleure solution consiste à masquer les données. En remplaçant des données sensibles sur le dossier client, comme des adresses, par d'autres valeurs (pouvant être lues à partir d'un fichier), les données client peuvent être transformées dans un format non reconnaissable mais ayant encore du sens d'un point de vue système ; les champs utilisés pour le traitement, comme le code postal, peuvent être laissés intacts. Le masquage des données peut être automatisé, ce qui supprime entièrement le facteur risque humain ; tant que les données ne sont pas masquées, elles sont soumises aux mêmes mesures de sécurité que n'importe quelle donnée réelle.
Masquer des données peut aider les sociétés à ne pas s’enliser dans une crise de confidentialité des données et à éviter les coûts catastrophiques associés – ainsi que la publicité défavorable qui va avec. Personne n'aime voir ses clients partir vers la concurrence, mais si les organisations ne commencent pas à assumer des responsabilités quant à l'utilisation des données pendant les essais (internes ou extraterritoriaux), ce phénomène pourrait se répandre.
Pour les toutes dernières informations sur le transfert des informations personnelles hors de la zone économique européenne, consultez le site
|
