En matière de confidentialité des données et de collaboration cloud, il peut être difficile d’identifier ce dont vous avez besoin pour atteindre vos objectifs. Une solution jugée conforme aux exigences de confidentialité dans un pays ou une région peut être considérée comme insuffisante dans un autre. Chaque juridiction a ses propres règles concernant la gestion des données dans le cloud. Il est important non seulement de respecter les obligations locales de conformité, mais aussi de mettre en place une démarche de gestion des données confidentielles conforme aux bonnes pratiques, qui sera adaptée partout dans le monde. La confidentialité des données s’impose comme une nécessité fondamentale pour toutes les organisations, dans le monde entier, car elles doivent être en mesure de respecter les exigences légales de confidentialité des données de leurs utilisateurs et de leurs clients. Mais les bonnes pratiques à suivre pour assurer la protection des données sont souvent sources de confusion. Devez-vous vous préoccuper de la résidence des données ? de la conformité ? des certifications ? Le plus important est de comprendre les objectifs de votre programme de confidentialité. Lorsque ceux-ci sont clairement définis, vous pouvez poser les bonnes questions et choisir une solution de collaboration cloud qui répond à vos besoins et assure la protection de vos données. Pour la plupart des organisations, 3 points essentiels sont à prendre en considération concernant la confidentialité des données dans un contexte de collaboration dans le cloud : N° 1 : Gouvernance organisationnelle des données : êtes-vous en mesure de contrôler les informations qui sont partagées au sein de votre organisation et en dehors ? N° 2 : Conformité réglementaire : êtes-vous en conformité avec les réglementations locales ou sectorielles ? N° 3 : Confiance à l’égard de votre fournisseur : votre fournisseur de solutions de collaboration peut-il démontrer sa capacité à protéger vos données ?
1. Gouvernance organisationnelle des données
Bénéficiez-vous d’un contrôle total sur vos données ? Les responsables de la sécurité affirment qu’une de leurs préoccupations essentielles est de pouvoir contrôler les informations qui sont partagées à partir de leur organisation. Ils tiennent à éviter absolument que des utilisateurs ne divulguent des informations sensibles, accidentellement ou de façon malveillante, lorsqu’ils utilisent leurs outils de collaboration. Il est extrêmement important de protéger le périmètre de votre organisation et de veiller à l’application de ses règles spécifiques, tout en permettant aux utilisateurs de collaborer de façon parfaitement fluide. En matière de gouvernance des données, il est primordial de pouvoir répondre à des questions importantes, telles que : · Qui peut collaborer avec qui ? · Qu’est-ce qui peut, ou ne peut pas, être partagé ? · Que se passe-t-il en cas de violation ? · Quels sont les types de contrôles mis à la disposition des responsables du traitement des données ?
Webex évite que des informations ne tombent entre de mauvaises mains et offre un contrôle total.
Grâce à la prévention des pertes de données en temps réel (DLP, Data Loss Prevention), les administrateurs IT peuvent empêcher n’importe quel utilisateur, interne ou externe, d’accéder à des données sensibles. Ces capacités reposent sur Cisco Cloudlock (et sont étendues à notre écosystème de partenaires). Elles signalent les contenus concernés dans un système de prévention des pertes de données (DLP), qu’il s’agisse d’informations communiquées oralement, partagées ou affichées. Notre fonctionnalité de barrières éthiques est un autre outil puissant qui permet aux administrateurs Webex d’interdire des interactions via Webex entre différents départements de leur organisation. Il est ainsi possible d’interdire à un département de communiquer avec cinq groupes distincts au total. En outre, grâce à Webex, les administrateurs gardent toujours le contrôle des règles de confidentialité de leur organisation, avec des contrôles des profils d’utilisateur qui suppriment les informations personnelles lorsque le service associé est déprovisionné, des contrôles sur les contenus générés par les utilisateurs qui définissent la durée de stockage des informations, des contrôles sur les systèmes de données associés à une période de conservation par défaut des métadonnées, et des informations de gestion des sous-traitants fournies par les fiches techniques de Cisco sur la confidentialité.
2. Conformité réglementaire
Les législations qui régissent votre activité peuvent intégrer des dispositions réglementaires concernant les communications à l’intérieur et à l’extérieur de votre organisation. Selon votre région, les gouvernements peuvent également exiger des mesures de protection et des engagements en matière de confidentialité des données. De plus en plus d’organisations souhaitent mettre en œuvre des programmes de localisation des données et veulent avoir la certitude que votre fournisseur de services est en mesure de stocker vos données localement. Selon une récente étude comparative de Cisco concernant la confidentialité des données, 92 % des professionnels de la sécurité estiment que la localisation des données est importante pour leur organisation et qu’elle est nécessaire pour protéger les données personnelles. Pour vous permettre d’atteindre vos objectifs de localisation des données, votre fournisseur doit être capable de conserver les données au sein de votre pays ou de votre région géographique. Cela ne signifie pas que votre fournisseur doit nécessairement disposer d’un centre de données dans votre région, mais plutôt qu’il doit être en mesure de stocker et de traiter les données dans la région en toute sécurité.
Webex a pour engagement d’intégrer les normes locales et régionales de confidentialité
Faire en sorte que les données des clients soient stockées localement, en raison d’exigences spécifiques en matière de localisation des données et de conformité locale, représente un facteur central dans l’approche de Webex. Grâce à nos centres de données de Francfort et Amsterdam, les clients de Webex implantés en Europe peuvent opter pour un stockage de leurs données au sein de l’UE. Les utilisateurs ont l’assurance que leurs données, y compris les artefacts des réunions, les messages, les fichiers et les tableaux blancs, ne quitteront jamais la région. De même, les utilisateurs de Webex situés au Canada peuvent choisir de conserver leurs contenus exclusivement dans leur pays. Par ailleurs, notre engagement à l’égard de la sécurité et de la confidentialité est attesté par de nombreuses certifications, telles que SOC2, CSA Star niveaux 1 et 2, ISO 27001, 27017 et 27018 ou les auto-évaluations HIPAA, ainsi que par des tests d’intrusion rigoureux, des audits indépendants et une multitude d’options supplémentaires assurant la confidentialité et la sécurité des appels et des réunions. Webex est le premier fournisseur de services cloud à être certifié conforme au Code de conduite de l’UE. Le Code de conduite cloud de l’UE a pour vocation de permettre aux fournisseurs de services cloud de s’assurer de leur conformité légale, en démontrant qu’ils respectent les règles de protection des données.
3. Confiance à l’égard de votre fournisseur
Votre fournisseur de services est généralement considéré comme un dépositaire des données, tandis que votre organisation est le responsable du traitement des données. Lorsque vos utilisateurs finaux ont des exigences en lien avec la confidentialité des données, votre fournisseur vous propose-t-il des contrôles suffisants, que vous pouvez appliquer afin de répondre à ces besoins ? Fait-il preuve d’une transparence adéquate à ce sujet ? Et qu’en est-il des sous-traitants ? Où les données sont-elles également transférées et dans quels buts sont-elles utilisées ? La confiance peut être instaurée via de nombreuses approches, y compris au travers des produits, des principes et de l’engagement. 1. Produit : les exigences de protection, de confidentialité et de sécurité des données doivent être intégrées au produit. Elles doivent être prises en compte dans les processus de conception et de développement, et tout au long du cycle de vie du produit. Nous avons pour habitude de dire qu’elles doivent intégrées, pas simplement ajoutées après coup. De plus, il est impératif d’appliquer au produit différents cadres de sécurité afin de protéger les données et les clients, tels que la sécurité « zéro confiance » de bout en bout.
La protection des données est une considération fondamentale dans Webex
Webex utilise diverses méthodes de protection des données, notamment le chiffrement de bout en bout « zéro confiance ». Toutes les communications sur la plateforme Webex Meetings sont réalisées sur des canaux chiffrés. Les organisations qui doivent absolument assurer la confidentialité des données voudront peut-être gérer leurs clés de chiffrement afin de contrôler qui dispose d’un accès à leurs clés et qui peut les utiliser pour déchiffrer le contenu. Nous proposons à ce type de clients un moyen simple de configurer et gérer leurs clés dans le cloud au travers de notre capacité BYOK (Bring Your Own Key). Ils peuvent utiliser les clés avec la messagerie Webex, y compris pour les messages, les fichiers et les tableaux blancs, ainsi que pour le contenu des réunions Webex, y compris les enregistrements, les transcriptions et les appels (messagerie vocale). 2. Principes : dans l’univers numérique d’aujourd’hui, les principes et les valeurs de chaque fournisseur doivent guider votre choix. Différents principes, notamment de transparence ou de respect des droits relatifs aux données, régissent le traitement des données à l’heure actuelle et continueront de s’appliquer aux évolutions futures de la technologie. Par exemple, alors que l’intelligence artificielle joue un rôle de plus en plus important dans la collaboration, les responsabilités et les obligations en matière de traitement des données seront dictées par ces principes. Webex applique les critères de traitement des données les plus avancés et les plus exhaustifs.
Webex fait preuve d’un engagement rigoureux en termes de transparence et de responsabilité dans la gestion des menaces
Depuis décembre 2017, Cisco met à la disposition de ses clients le Trust Portal, un référentiel en ligne unique centralisant toutes les informations relatives au traitement des données, qui inclut des fiches techniques et des cartographies de données sur la confidentialité. La réalisation d’évaluations d’impact sur la protection des données (DPIA, Data Protection Impact Assessments) fait partie intégrante du programme de confidentialité de Cisco et inclut des réévaluations régulières afin de tenir compte des évolutions des produits. Les fiches techniques sur la confidentialité, qui sont disponibles publiquement, sont essentiellement des synthèses de nos évaluations de la confidentialité qui servent d’avis de confidentialité à l’attention de nos clients. L’organisation de Cisco dédiée à la sécurité et à la confiance coordonne le processus de réponse aux incidents relatifs aux données et gère les réponses apportées à l’échelle de l’entreprise en cas d’incidents inhérents aux données. Ce groupe supervise les procédures de réception, d’investigation et de signalement public des failles de sécurité en lien avec les produits et réseaux de Cisco. L’équipe travaille en collaboration avec des clients, des chercheurs indépendants spécialisés dans les questions de sécurité, des consultants, des organismes du secteur et d’autres fournisseurs afin d’identifier les problèmes de sécurité potentiels qui peuvent affecter les produits et les réseaux de Cisco. 3. Engagement : les fournisseurs doivent démontrer qu’ils s’adaptent constamment aux défis que pose l’évolution des exigences de sécurité, de confidentialité et de conformité. Cette démarche implique d’obtenir et de renouveler les autorisations, les certifications et les attestations qui démontrent qu’ils respectent les réglementations en vigueur dans votre région ou secteur d’activité. Les obligations de conformité peuvent leur imposer de démontrer qu’ils sont en mesure de répondre aux exigences de localisation des données grâce à des centres de données situés dans votre pays.
La confidentialité et la sécurité de Webex sont intégrées dans tous les aspects de la conception
Cisco a toujours placé la sécurité et la confidentialité au premier plan. C’est pourquoi nous intégrons les exigences de protection, de confidentialité et de sécurité des données à la conception et aux méthodologies de développement de nos produits tout au long de leur cycle de vie et avons recours à divers cadres de sécurité pour protéger nos données et celles de nos clients. Nous concevons tous nos produits conformément au processus Cisco SDL (Secure Development Lifecycle), qui inclut des évaluations d’impact sur la confidentialité, des tests d’intrusion proactifs et des processus de modélisation des menaces.
Conclusion
Votre fournisseur de solutions de collaboration doit pouvoir démontrer sa capacité à mériter votre confiance sous de nombreux aspects différents. Il doit assurer la sécurité de vos données en transit et lorsqu’elles sont stockées dans le cloud, à l’emplacement que vous souhaitez. Webex applique des mesures proactives afin d’offrir les plus hauts niveaux de sécurité et de confidentialité. Ce processus débute par l’intégration des exigences de confidentialité dès les toutes premières phases de conception, et se poursuit par des démarches constantes de test et d’identification des menaces. L’avenir de Webex sera toujours synonyme d’avancées continues concernant la protection des données à tous les niveaux. Pour en savoir plus, veuillez contacter l’équipe commerciale Cisco Webex | Contacter le service commercial
About The Author
Thomas WingfieldConsultant Cisco
Tom Wingfield is a consultant to Cisco managing product marketing for Webex’s government and public sector markets.