Échec de l’industrie du logiciel en cybersécurité ?

Les violations de données ne sont plus des événements rares faisant les gros titres ; elles sont devenues une réalité malheureuse constante. Rien qu’en 2024, les Indiens ont subi une perte stupéfiante de près de ₹12 000 crores en raison d’escroqueries informatiques, plaçant l’Inde au dixième rang de l’Indice mondial des cybercrimes.

Le problème est flagrant : la manière dont l’industrie du logiciel gère les informations personnellement identifiables (IPI) est défaillante, et une trop grande dépendance à des pratiques de sécurité obsolètes a transformé l’IPI en une responsabilité numérique pour les entreprises indiennes.

La Loi sur la protection des données personnelles numériques (DPDP), dont les règles préliminaires ont été publiées le 3 janvier 2025, vise à protéger les données personnelles des plus de 1,4 milliard de citoyens indiens. Les règles DPDP imposent des obligations strictes aux entreprises pour garantir la confidentialité et la sécurité, notamment des données sensibles fréquemment partagées et stockées sur plusieurs systèmes, ce qui complique leur sécurisation efficace.

Cependant, la DPDP à elle seule n’est pas suffisante pour protéger les données sensibles. Nous devons être prêts à examiner de manière critique l’industrie de la cybersécurité et ses lacunes.

L’Échec de la Cybersécurité : La Valeur des Informations Est Équivalente

Imaginez une banque qui stocke de l’or, des documents importants et des héritages ensemble, sans mettre en place de mesures de sécurité supplémentaires pour les actifs les plus précieux. Malgré une sécurité forte à l’entrée et à la périphérie de la banque, un voleur pourrait contourner ces mesures et voler tous les objets de valeur à l’intérieur en l’absence d’une protection ciblée pour chaque actif.

De manière similaire, les IPI – qui peuvent inclure des noms, numéros de téléphone, adresses, coordonnées bancaires, etc. – sont souvent stockés et transmis avec des outils de sécurité généraux, mais sans protection spécifique pour chaque élément de donnée, laissant celles-ci vulnérables aux violations.

Malgré la reconnaissance de l’importance des IPI, la plupart des systèmes logiciels continuent de les traiter comme tout autre type de donnée, s’appuyant sur des mesures de sécurité externes telles que des pare-feux et des outils de chiffrement. Bien que ces solutions puissent dissuader certains attaquants, elles échouent souvent à protéger les IPI brutes lorsque des violations se produisent. Les organisations touchées se retrouvent alors à gérer les conséquences, payant des millions en amendes et perdant la confiance de leurs clients.

À mesure que les entreprises indiennes adoptent rapidement la technologie de l’IA générative, ces défis se compliquent davantage. Naviguer dans les réglementations de confidentialité de la DPDP est déjà un défi, mais une fois les données clients intégrées dans un modèle d’IA, le contrôle se perd. Il devient impossible de supprimer, suivre ou gérer qui y accède, quand et où.

L’approche réactive de l’industrie du logiciel en matière de cybersécurité – répondant aux violations après leur survenue – se concentre sur les symptômes, et non les causes profondes. Cette posture réactive est coûteuse et insoutenable, puisque les menaces informatiques dépassent les défenses traditionnelles. Les risques que représentent les insiders et les attaquants externes pour les IPI sont importants, et l’abus ou l’exploitation de données sensibles est inévitable tant que les systèmes collectent, stockent et transmettent des IPI brutes. Le problème central n’est pas seulement les attaquants ; c’est la donnée elle-même. Pour véritablement réduire les violations, l’industrie technologique indienne doit passer d’un mode de correction à une réflexion fondamentale sur la gestion des IPI.

La Vie Privée par Conception : Un Changement de Paradigme Nécessaire

Le futur de la confidentialité et de la protection des données repose sur la création de systèmes logiciels avec la sécurité en leur cœur – ce que nous appelons « la vie privée par conception ». Plutôt que de s’appuyer sur des mesures de sécurité externes, ces systèmes doivent être conçus pour minimiser la collecte, le stockage et l’exposition des IPI brutes.

Des entreprises technologiques comme Apple, Google et Netflix, qui traitent de grandes quantités d’IPI, ont adopté cette approche fondamentalement différente de la sécurité. Elles ont inversé le problème en utilisant une architecture à confiance nulle, où chaque utilisateur, application et API est considéré comme non fiable jusqu’à preuve du contraire. Seuls les privilèges et accès strictement nécessaires sont accordés, réduisant ainsi considérablement le risque.

De nombreuses entreprises technologiques de premier plan en Inde ont également largement adopté une philosophie de “vie privée par conception”, comprenant Zinc Money, Zluri Technologies, Equal India, Dezerv, ainsi que certaines des plus grandes entreprises de vente au détail et de commerce électronique en Inde, intégrant la protection des données dès le premier jour dans leur infrastructure.

Lorsque vous appliquez les principes de confiance nulle aux IPI, vous créez un coffre-fort de la vie privée des données, avec les IPI isolés des systèmes existants, rendant l’accès impossible pour les utilisateurs non autorisés et garantissant que seules les entités de confiance aient accès. Cela réduit les risques liés aux applications et à l’analyse des données, car aucune IPI n’est conservée dans ces couches.

Dans la pratique, la vie privée par conception se manifeste sous la forme :

• Stockage des IPI dans un coffre-fort de données : Les IPI sensibles sont conservées dans des environnements sécurisés et isolés, accessibles uniquement selon des conditions strictes et prédéfinies.
• Protection des données par tokenisation et chiffrement : Les IPI sont remplacées par des tokens non sensibles qui remplissent la même fonction sans exposer les données brutes.
• Gouvernance avec une architecture à confiance nulle : La confiance n’est jamais présumée ; chaque utilisateur, système et appareil est continuellement authentifié et vérifié avant qu’un accès soit accordé.
• Minimisation de la collecte de données : Seules les données essentielles sont collectées et stockées, réduisant l’exposition dès la conception.

L’avenir de la cybersécurité – ainsi que la conformité aux réglementations sur la vie privée – en Inde dépend des entreprises qui effectuent ce changement fondamental dans leur manière de collecter, protéger et utiliser les données sensibles. Investir dans la vie privée doit être vu comme un atout commercial, ouvrant la voie à de nouvelles innovations tout en protégeant les informations les plus sensibles de nos clients. Nous le devons à nos clients, à nos entreprises, et à l’ensemble de l’écosystème numérique de concevoir des logiciels qui protègent intrinsèquement les IPI, non pas comme une réflexion après coup, mais comme une valeur fondamentale.

Article original rédigé par : Anshu Sharma.

Bon à savoir

• La DPDP a pour but de renforcer la réglementation sur la protection des données à l’échelle nationale.
• Les violations de données peuvent engendrer des conséquences financières significatives pour les entreprises.
• Des entreprises technologiques dans le monde entier adoptent des architectures de sécurité à confiance nulle pour protéger les données.

La manière dont les entreprises gèrent la sécurité de leurs données a des implications considérables pour leur réputation et leur pérennité. À l’ère numérique, il est impératif de repenser notre approche face à ces défis liés à la protection des informations personnelles. Cela entraîne une réflexion sur la manière dont nous, en tant qu’individus et sociétés, valorisons notre vie privée et la sécurité de nos données dans un monde de plus en plus interconnecté.