Définition Data Masking
Les données sont de l’or pour les pirates. Très convoitée et à l’origine de nombreuses attaques de cybersécurité, la protection des informations sensibles et confidentielles est un véritable enjeu. Aujourd’hui, avec la mise en place du RGPD (règlement général sur la protection des données), le traitement des données est encadré par des lois et des obligations en Europe. Pour protéger votre data, les entreprises peuvent trouver dans le data masking une solution efficace. Le point sur cette méthode de protection.
Qu’est-ce que le data masking ?
Le data masking est une solution d’anonymisation des données. Elle consiste à masquer les données. Certains champs, ou caractères, sont effacés. Par exemple, lorsque vous consultez un site marchand sur lequel vous avez réalisé des achats, le numéro de votre carte bancaire est remplacé par des astérisques.
L’anonymisation des données consiste également à remplacer un nom d’utilisateur tout en conservant sa fiche d’informations. Ainsi, les données conservées ne peuvent identifier personne en particulier. L’objectif du data masking est d’assurer la protection des données et d’éviter toute exploitation par des pirates informatiques. Cette technique de sécurisation des données est conforme aux exigences du RGPD.
Comment fonctionne le data masking ?
Les entreprises souhaitant masquer leurs données doivent d’abord identifier les informations sensibles ou confidentielles qu’elles hébergent. Les données sont multiples et peuvent se présenter dans un tableur, un document ou une présentation. Il peut s’agir aussi bien d’un numéro de Sécurité sociale que d’une photocopie de carte d’identité.
Le processus de masquage de données consiste donc à appliquer un système de cache, soit par des croix remplaçant des caractères, soit par un surlignage noir, un remplacement ou un chiffrage des données sensibles. Ce sont les algorithmes d’un outil de data masking qui s’occupent de réaliser cette tâche selon la configuration mise en place.
Quels types de données sont généralement masqués ?
Le masquage des données concerne les informations sensibles. Ce sont tous les éléments qui peuvent identifier une personne ou qui peuvent être détournés. Il s’agit notamment :
- des données d’identité (nom, prénom, adresse, âge, genre, numéro de passeport, etc.) ;
- des informations de carte bancaire ou de compte bancaire ;
- des données sur la santé d’un individu ;
- le numéro de sécurité sociale, le numéro fiscal ;
- des données portant sur la propriété intellectuelle, etc.
Quels sont les différents types de masquage de données ?
Le data masking dispose de plusieurs approches pour masquer les données. Ces différentes méthodes s’adressent à des besoins multiples dans l’anonymisation des informations.
Le masquage statique des données (Static data masking)
Le masquage statique consiste à masquer les informations confidentielles dans une base de données ou un fichier statique. Le data masking sert ici à altérer des données, soit en les remplaçant par des éléments fictifs ou en anonymisant les données. Cette méthode assure une modification permanente des informations qui ne pourront pas être restaurées.
Le masquage dynamique des données (Dynamic Data Masking)
Contrairement au masquage statique, le masquage dynamique intervient à chaque fois qu’un utilisateur accède à une base de données. Selon la règle de DDM établie, la technique consiste à masquer les données sensibles. Selon le niveau d’autorisation des utilisateurs, la visibilité des informations est configurée pour être différente selon les personnes connectées. Le masquage opère de différentes façons : une table entière peut être masquée, les données sensibles remplacées par des valeurs fictives ou bien en modifiant les résultats des requêtes.
Le masquage préservant le format des données (Format Preserving Masking)
Ici, le FPM consiste à préserver la longueur, les types de caractères et la structure des données lorsqu’elles sont masquées. Cette méthode fait appel à un algorithme cryptographique pour transformer des données. Le changement est, ici aussi, définitif. Cependant les données conservent leurs caractéristiques initiales leur permettant d’être utilisées plus tard dans un process demandant un format précis.
Quelles sont les différentes techniques de masquage des données ?
Le Data Masking use de différentes techniques pour masquer les données. Citons, par exemple, parmi les process les plus courants :
- la substitution de données où les informations originales sont remplacées par des informations aléatoires de même format ;
- le mélange des données ;
- la suppression de données où les informations sensibles sont remplacées par une valeur « NULL »;
- l’occultation de données par un marquage rendant illisibles les informations ;
- le brouillage des données servant à mélanger les chiffres et caractères entre eux ;
- le cryptage des données, etc.
Il existe de très nombreuses méthodes pour masquer les données sensibles. Chaque entreprise puise dans ces différentes techniques pour répondre à des besoins précis.
Quels sont les avantages du data masking pour les entreprises ?
Toute entreprise stockant et traitant des données confidentielles est soumise à une mise en conformité avec les obligations du RGPD notamment. Le data masking est l’une des solutions assurant la sécurité des données.
Mise en conformité avec les lois sur la confidentialité des données
Le masquage des données assure la confidentialité des informations. Avec les différentes solutions mises en place par le data masking, les données ne sont plus exposées. Le respect de la vie privée est ainsi assuré. Les fonctions avancées du masquage rendent même les données inaccessibles aux utilisateurs selon leur niveau de privilège.
Protection des données contre les tentatives de vol
Les données masquées ou cryptées sont inutilisables pour les cybercriminels. Le pirate informatique peut voler les données, mais il ne sait pas retirer les différentes techniques de masquage. Le hacker se retrouve donc avec de la data qu’il ne peut ni revendre ni échanger contre une rançon.
Réduction des risques lors des transferts de données
Le transfert des données est un point sensible pour les entreprises. Les hackers peuvent en effet réaliser des attaques de type Man of the Middle et s’interposer lors d’un transit d’informations d’un point A à un point B. Les transferts concernent des données masquées. Si le pirate réussit à intercepter la data, cette dernière n’en reste pas moins inutilisable.
Quels défis peut-on rencontrer lors de l’implémentation du data masking ?
Le data masking n’est pas une solution miracle qui préserve les entreprises des vols de données et les place en conformité avec la loi. Il est nécessaire d’utiliser cette solution avec équilibre pour que les informations sensibles restent utilisables et confidentielles.
Le défi technique : entre sécurité des données et utilité pour les tests
Les données sont généralement collectées pour réaliser des tests, des campagnes, etc. Elles sont essentielles et servent de socles aux activités des entreprises. L’intégrité et la fonctionnalité des données doivent donc être conservées afin de les rendre utilisables pour des tests. Pour cela, le masquage des données se complexifie et doit donc être opéré par des experts. Il est donc nécessaire de trouver un juste équilibre entre la sécurisation des données et leur utilité.
Par ailleurs, le masquage des données nécessite des outils plus performants. Le processus lié au data masking demande plus de ressources et peut générer des ralentissements. Si les machines de travail ne sont pas assez puissantes, le data masking rend les phases de tests ou de développement beaucoup plus longues.
L’expertise sur le masquage des données pour assurer la maintenance et l’évolution
Le data masking demande une certaine expertise pour anonymiser des données tout en conservant leur fonctionnalité. Les mises à jour des bases de données et des différentes solutions de data masking sont également nécessaires pour conserver l’efficience de la méthode. Les gestionnaires du data masking doivent également s’intéresser à l’évolution des menaces pour adapter la sécurisation des données.
Quels conseils suivre pour une implémentation réussie du data masking ?
Si vous souhaitez implanter une solution de data masking au sein de votre entreprise, prenez le temps de définir vos besoins. La mise en place réussie du masquage des données ne repose que sur votre capacité à comprendre le processus, à le mettre en place et à le maintenir. Voici quelques conseils à suivre.
- Identifiez les données qui ont besoin d’être masquées, selon vos besoins et les attentes de la réglementation.
- Optez pour la stratégie de masquage à mettre en place : quelles sont les données masquées, qui a le droit d’y avoir accès, quelle technique utiliser, etc. ;
- Choisissez des outils de masquage de données adaptés à vos besoins. Il est nécessaire que vous disposiez des ressources humaines capables de prendre en main ces outils.
- Assurez-vous que le masquage des données permet à la fois de sécuriser les informations tout en les rendant fonctionnelles pour des tests.
- Testez vos méthodes de masquage des données.
- Assurez-vous que vos méthodes de masquage des données sont conformes avec les lois en vigueur.
- Assurez la maintenance de vos outils en fonction des réglementations, des menaces et des mises à jour de sécurité.
- Si votre budget alloué à la sécurité informatique le permet, réalisez des actions de pentesting afin de vérifier la robustesse de votre système.
Le data masking offre l’avantage de réduire les risques de compromission de vos données confidentielles. Son implantation dans votre stratégie de sécurité informatique nécessite une réelle expertise afin de trouver l’équilibre entre les obligations légales et vos attentes en matière d’utilisation de ces données.