> Sécurité > Cambridge Analytica/Facebook : 5 leçons pour garder le contrôle des données

Cambridge Analytica/Facebook : 5 leçons pour garder le contrôle des données

Sécurité - Par iTPro.fr - Publié le 26 mars 2018
email

L’affaire Cambridge Analytica/Facebook fait couler beaucoup d’encre … voici cinq leçons pour mieux gouverner les données et en garder le contrôle selon MarkLogic. Sécurité, confiance, maturité, source, valeur, gouvernance, pertinence, responsabilité …. Autant de questions à se poser !

Cambridge Analytica/Facebook : 5 leçons pour garder le contrôle des données

Cambridge Analytica/Facebook : Leçon #1 – La notion de gouvernance va au-delà de l’importance de la sécurisation des données

Ces dernières années, nous entendons régulièrement parler d’atteintes à la sécurité des données et c’est un fait que le paysage des failles de sécurité se détériore. Le coût moyen d’une attaque de données aux Etats Unis est estimé à 7 millions $, et on estime qu’environ un tiers des entreprises dans le monde connaîtra au moins une violation matérielle impliquant plus de 10 000 dossiers dans les 24 prochains mois.

La situation autour de l’affaire liant Facebook à l’entreprise anglaise Cambridge Analytica doit marquer un moment significatif dans la prise de conscience des entreprises qu’au-delà de la sécurisation des données, la notion de confiance peut être fondamentale pour leurs clients et leurs utilisateurs.

Aujourd’hui, toute entreprise qui se voit confier des données clients, a ainsi l’obligation morale de gouverner ces données en allant au-delà de leur sécurisation.

Cela peut impliquer la mise en place de politiques complètes et bien pensées sur les modes de gestion de ces données et la mise en place de moyens de contrôle permettant d’appliquer et d’auditer ces politiques sur la durée.

Cambridge Analytica/Facebook Leçon #2 – La notion de pertinence d’utilisation sublime la qualité des données

La qualité des données est un sujet important et complexe relevant du domaine de la gouvernance. Si on se réfère au phénomène informatique appelé GIGO: Garbage In, Garbage Out, on peut conclure qu’en utilisant des données de qualité médiocre, on ne peut, en fait, qu’obtenir de mauvais résultats.

Mais attention, la notion de qualité des données peut être complexe à analyser car des données qui conviennent à un usage spécifique peuvent être impropres à un autre.

Aujourd’hui, l’industrie de la donnée arrive tout juste au niveau de maturité requis pour penser aux données en termes de pertinence, et non pas seulement en termes d’utilisation.

Il faut se challenger et aller plus loin. Comme le montre l’affaire impliquant Facebook et Cambridge Analytica, peut-être que les données utilisées étaient de qualité suffisante pour être utilisées, mais, des questions fondamentales se posent : « Est-il légal, éthique et approprié d’utiliser ces données à cet effet ? ».

Si une organisation gère des données qui lui sont confiées, au-delà de se soucier qu’elle a l’autorisation d’utiliser ces données, elle a également l’obligation à réfléchir à l’usage qu’elle fait de ces données dans un contexte de gouvernance multidimensionnel afin d’éviter les conflits.

Leçon #3 – Une fois les données partagées, attention elles sont envolées

Contrairement à un objet, les données sont les seuls objets qui peuvent être volés alors que vous les avez encore en votre possession. Et même si le voleur de ces données est identifié, vous ne pouvez jamais être vraiment sûrs que vous les avez récupérés entièrement. Ce principe est applicable non seulement aux données volées mais aussi aux données partagées.

Comme la valeur des données est basée sur ce que l’on en fait, on peut même aller plus loin en partant du principe qu’une donnée combinée à une autre donnée produit une nouvelle donnée qui sera restituée d’une autre façon. Dans ce cas par exemple, les données de profil Facebook brutes ont été utilisées pour créer des profils psychographiques.

De ce fait, même si les données brutes sont récupérées ou supprimées, ces profils existent encore. Les données ont la possibilité de se déplacer et de changer de mains rapidement.

Les entreprises doivent donc analyser avec précision les sources de leurs données mais aussi examiner très attentivement les utilisations faites avec ces données, et ce surtout si ces données ont été partagées car une fois que le génie est sorti de la lampe d’Aladin, il est impossible de le remettre !

Leçon #4 – Vous êtes responsable de vos données, même si quelqu’un d’autre est responsable de leur violation

Pour être clair, si on abuse de données appartenant à quelqu’un d’autre, ou si on partage ces données avec une entreprise qui en fait une mauvaise utilisation, on ne peut pas se dégager de toute responsabilité et on est tenu responsable.

Cela peut sembler déraisonnable, mais c’est la réalité. Par exemple, les utilisateurs de Facebook ne se soucient pas de savoir si quelqu’un a violé les termes d’utilisation de Facebook. Ils se soucient que leurs données ont été récoltées de façon inappropriée – et ils blâment Facebook pour avoir recueilli et donc géré leurs données sans les respecter.

Pour résumer, si votre entreprise utilise des données client, vous êtes responsable aux yeux de vos clients que vous ayez recueilli ces données vous-même ou que vous les ayez acquis de quelqu’un d’autre.

Il est donc fondamental de pondérer avec précaution la planification d’une stratégie de données et de bien choisir ses partenaires.

Leçon #5 – La notion de gouvernance est importante

L’enjeu de gouvernance est probablement la leçon principale que nous allons devoir réapprendre. L’affaire Cambridge Analytica/Facebook nous rappelle à l’ordre en soulignant l’importance du rôle joué par la gouvernance des données.

Il existe beaucoup de définitions fantaisistes quand il s’agit de gouvernance des données. Mais en fait, la plus simple est probablement la plus efficace : la gouvernance des données est nécessaire pour appliquer une politique de gestion des données.

Cette politique doit pouvoir définir comment l’entreprise source, gère et utilise les données et doit prévoir non seulement la façon dont on communique sur le sujet mais aussi et surtout comment on applique les règles que l’on s’impose et comment on vérifie que celles-ci sont respectées.

Trop d’entreprises voient encore la notion de gouvernance des données comme une obligation. Il faut plutôt la voir comme une assurance prévoyance : peu d’investissement qui peut permettre de prévenir une catastrophe importante.

Téléchargez cette ressource

Comment sécuriser une PME avec l’approche par les risques ?

Comment sécuriser une PME avec l’approche par les risques ?

Disposant de moyens financiers et humains contraints, les PME éprouvent des difficultés à mettre en place une véritable stratégie de cybersécurité. Opérateur de services et d’infrastructures, Naitways leur propose une approche pragmatique de sécurité « by design » en priorisant les risques auxquelles elles sont confrontées.

Sécurité - Par iTPro.fr - Publié le 26 mars 2018