Nous tenons à remercier Christian Lecret et Julia Marcombe pour leur contribution.
Le cadre règlementaire autour de la donnée n’a jamais été aussi riche qu’aujourd’hui : le règlement général sur la protection des données (RGPD) pour les données à caractère personnel, le référentiel général de sécurité (RGS) pour la sphère publique, ou encore la certification des hébergeurs de données de santé (HDS) pour le domaine de la santé, pour ne citer qu’eux. Et à raison : l’augmentation des quantités de données traitées, les nouvelles technologies telles que l’Intelligence Artificielle (IA), et les nouvelles méthodes de travail des entreprises apportent leurs lots de risques. Qu’ils soient opérationnels, décisionnels, légaux, ou autres, ces risques ne sont pas totalement inédits mais se présentent sous de nouvelles formes.
Pour autant, les organismes ne restent pas les bras croisés et cherchent à atténuer ces risques en faisant appel à des cabinets de conseil.
En conséquence, notre raisonnement est construit autour de défis et situations auxquels nos consultants sont confrontés, auprès de structures allant de la TPE à l’ETI. Nous vous proposons d’étudier plus en profondeur les liens entre conformité à la règlementation, cybersécurité, ainsi que transformation digitale et data.
Le RGPD : un outil au service de la cybersécurité
Lorsque l’on parle de règlementation concernant la donnée, le premier mot prononcé est toujours le même depuis sa publication en 2016 : RGPD.
Le RGPD représente un outil fondamental pour renforcer la cybersécurité d’un organisme. Ce texte impose à tout type d’acteur, privé comme public, un ensemble de règles à respecter en matière de collecte, d’utilisation et de stockage de données à caractère personnel. Il contribue à mettre en évidence les points de risque et le niveau de maturité cyber d’un organisme.
En effet, la cybersécurité doit être appréhendée au-delà de la simple mise en place de mesures de sécurité techniques. Certes cruciales pour réduire les risques de cyberattaques, ces mesures techniques ne jouent pleinement leur rôle que lorsqu’elles sont imbriquées dans un dispositif plus large. Global et transverse, il s’agit d’un dispositif de gouvernance des risques relatifs au patrimoine informationnel de l’organisme, au sein duquel les données personnelles figurent en première ligne.
La cyberattaque doit également être approchée du point de vue du risque sur les données à caractère personnel. Les risques sur ces données, dont l’accès illicite, la perte ou encore l’indisponibilité, entrainent des conséquences certaines sur l’activité de l’organisme et sa compétitivité sur son marché.
C’est un premier chemin que nous parcourons avec nos clients : dans quelle mesure doivent-ils prendre en compte ces risques et quelle est la manière la plus optimale et efficiente de les maîtriser ? En effet, il est important de garder en tête qu’une intervention en cybersécurité ou en transformation digitale repose autour d’un arbitrage entre coûts, risques, et valeur.
RGPD et cybersécurité : un enjeu essentiel pour les établissements de santé
En 2023, le nombre de cyberattaques visant les établissements de santé a atteint un niveau alarmant. A l’échelle mondiale, le secteur de la santé a subi en moyenne 1684 attaques par semaine au cours du premier trimestre 2023, selon Check Point, fournisseur mondial de services de sécurité SI. Ce qui correspond à une augmentation de 22% par rapport à la même période en 2022. Cela fait de la santé le troisième secteur le plus ciblé en 2023, devant la finance et les assurances.
On se souvient, encore récemment de l’attaque par rançongiciel du centre hospitalier d’Armentières ayant entrainée la diffusion d’une centaine d’identifiants d’employés de l’hôpital sur le darkweb et la fermeture temporaire de certains services de l’établissement. On peut également évoquer l’attaque informatique dont ont été victimes les opérateurs de tiers payant Viamedis et Almerys, en ce début d’année. Cette dernière fuite de données concerne plus de 33 millions de personnes. Cette attaque a visé notamment les numéros de sécurité sociale, numéro unique et permanent, utilisés dans de nombreux contextes comme moyen d’authentification. Ces attaques ont mis en évidence des défaillances dont souffre le monde de la santé en matière de cybersécurité et de protection des données personnelles des patients.
Du point de vue des patients, les préjudices associés à ces attaques sont indéniables : une violation de leur vie privée et une grave atteinte à la continuité de leurs soins – par exemple, un rançongiciel bloquant l’accès aux données patients. Par ricochet, cela engendre des conséquences fortes pour les organismes de santé eux-mêmes : des coûts financiers et humains colossaux pour rétablir les systèmes d’informations, et un impact réputationnel parfois dévastateur.
Comme le souligne le panorama de la cybermenace 2023 de l’ANSSI, il est impératif de développer et de mettre en œuvre des solutions robustes pour contrer ces menaces. La conformité au RGPD et plus globalement la conformité règlementaire offrent un cadre permettant une meilleure gestion de la confidentialité, de l’intégrité et de la disponibilité des données. Conformité règlementaire et cybersécurité sont donc indissociables, et doivent être appréhendés comme une priorité incontournable à l’ère du numérique.
Les nouveaux risques de la donnée : les exemples de l’IA et de la fuite de données
Au-delà des risques encourus liés aux données personnelles, de nouveaux risques sont générés par les évolutions technologiques et transformations de processus des entreprises.
Au-delà des risques encourus liés aux données personnelles, les évolutions technologiques et les transformations des processus en entreprise qu’elles apportent génèrent de nouveaux risques. L’IA, dernière technologie à la mode – et on comprend pourquoi –, transforme rapidement de nombreuses professions tout en apportant son lot de défis. L’IA Act vient d’être adopté et entrera pleinement en vigueur en 2026. Il s’agit d’une première ébauche de législation sur l’IA à l’échelle européenne visant à limiter ses dérives tout en soutenant l’innovation. Cependant, il existe déjà des menaces desquelles il faut se prémunir.
Parmi celles-ci, on retrouve des menaces connues prenant de nouvelles formes. En effet, les données à caractère personnel, protégées par le RGPD, sont anonymisées avant d’être traitées par certaines IA : par exemple dans le cadre de l’usage d’IA pour aider au diagnostic à partir d'imagerie médicale. Mais le développement de l'IA dans de nombreux domaines et l'intérêt qu'elle suscite donne lieu à des risques moins visibles, notamment celui de la fuite de données.
Elargissons notre réflexion à toute donnée qu'une organisation pourra considérer comme “à risque” : données produits, ventes, financières, etc. Prenons un exemple de risque de fuite de données dans le cadre de l’usage d’une IA générative – comprenez : ChatGPT. Un collaborateur demande à une IA générative en ligne de rédiger un texte de présentation d’un nouvel outil en cours de développement. Pour cela, il renseigne des informations telles que : le nom de son entreprise, de collègues ayant travaillés sur le projet, des spécifications fonctionnelles et techniques, voire des informations sur les performances financières de son département. Ces informations risquent ensuite se retrouver dans la base de données de l'IA, et être réutilisées comme intrants dans la production de contenus destinés à d'autres utilisateurs. L’entreprise hébergeant l’IA pourrait même avoir directement accès à ces données.
Un usage non-maîtrisé de tels outils équivalant à une fuite de données, il apparaît donc comme nécessaire de mettre en place des processus et outils de limitation des risques. Certaines entreprises limitent déjà l’utilisation de ces IA en ligne, préférant celles intégrées aux outils payants qu’elles utilisent. Un organisme évoluant au sein de l’écosystème Microsoft optera par exemple pour Copilot, censé respecter la confidentialité des données qui lui sont fournies et ne pas les réutiliser.
Les problématiques de transformation des SI, de gouvernance des données, et de cybersécurité se multiplient à l’ère du Big Data. S elon un rapport d’IDC , la quantité de données créées et consommées à l’échelle mondiale aura été multipliée par 3 entre 2020 et 2025. Cette augmentation a certes permis le développement et la mise en place de plus en plus d'outils reposant sur l'IA, mais pose aussi la question de la gestion des données. En effet, il est de plus en plus complexe de bien connaître ses données – toujours plus nombreuses – et de les mettre en qualité, sécurité, ou conformité règlementaire.
Repenser son rapport à la donnée à l’ère du Big Data
Après des années passées à parler de Big Data jusqu’à plus soif, les entreprises réalisent qu'ingérer et stocker de grandes quantités de données n'est utile que si elles savent les contrôler. En effet, une donnée se doit de pouvoir apporter de l'information, et donc de la valeur, lorsqu'elle est traitée. Sinon, elle n’est qu’une source de coût de stockage, voire un risque. Les problématiques data en entreprise ne sont donc pas que techniques, mais aussi organisationnelles.
Lors de la construction de plans de transformation, Avangarde Consulting cherche à s'assurer de la qualité et de la finalité de la donnée en étudiant comment elle peut apporter une valeur concrète à l'organisation ainsi que sa place dans les processus de cette dernière. Pour commencer, s'agit-il d'une donnée à portée opérationnelle ou décisionnelle ? Quel est son niveau de sensibilité ? De criticité ? Puis, quels sont ses utilisateurs, dans quel contexte ? Comment ces utilisateurs sont-ils outillés et quels sont leurs besoins ? Les processus métier qu’elle traverse doivent-ils être repensés ? Et ainsi de suite.
Après l’analyse du cadre dans lequel la donnée évolue, les organisations repensent leurs stratégies de données afin de définir une cible de valeur claire par persona (utilisateur, collaborateur, RH, etc.). Par exemple, nos consultants ont été amenés à travailler sur la stratégie Data d’un acteur du retail sportif. Des stratégies de données évoquées pour les clients et les collaborateurs sont : « nous proposerons à nos clients une expérience utilisateur personnalisée à partir de conseils et ressources concernant leur activité sportive et suivi de santé, reposant sur les données collectées ou volontairement partagées », ou encore « nous faciliterons l’accès de nos collaborateurs à leur avantages et solutions RH en ligne, tout en leur proposant un modèle de carrière évolutif adapté à leurs besoins et compétences ».
Une fois le cap fixé, nous accompagnons l’entreprise pour repenser son organisation afin d’atteindre les objectifs posés par la stratégie. Cela mène à la construction d’une gouvernance de la donnée et d’une feuille de route composée de cas d’usages apportant de la valeur. Par exemple, pour atteindre l’objectif de proposer aux collaborateurs un modèle de carrière sur-mesure, une réflexion s’impose sur plusieurs éléments et leur mise en place : un référentiel de compétences, un suivi des résultats, des entretiens réguliers, un catalogue de formations, et bien sûr la gestion de toutes les données impliquées. Nos consultants aident les organisations à définir et mettre en branle les processus métiers et data requis dans ce contexte. Il en va de même pour les règles, outils, rôles, et responsabilités permettant de gouverner avec pragmatisme les données nécessaires au bon déroulement du projet.
Ces initiatives de transformation s’accompagnent d’efforts de conduite du changement : en tant que concept abstrait, la valeur de la donnée a bien souvent besoin d’être explicitée auprès des équipes afin de les convaincre du bienfondé du changement. Une transformation sans embarquement donne souvent lieu à des résistances de la part de collaborateurs ne comprenant pas pourquoi les processus métiers sont modifiés. C’est pourquoi nos consultants aident à les sensibiliser à travers différents canaux – outils de communication de l’entreprise, formations, ou encore construction de communautés regroupant les acteurs moteurs du changement.
Finalement, l’intervention d’experts RGPD et cybersécurité permet d’assurer la protection des données de l’organisation face aux multiples menaces et canaux d’intervention à la disposition de personnes mal intentionnées. A travers un audit des bonnes pratiques et du SI – si besoin à l'aide de nos experts qualifiés PASSI –, la réalisation de tests d’intrusion, ainsi que la sensibilisation des collaborateurs, nos équipes accompagnent nos clients dans la maîtrise des risques et la protection de leurs données. In fine, ce sont à la fois l'image du client et le bon déroulement de ses opérations qui sont assurés.
Face à l’ampleur des cyberattaques et à la complexité de la protection des données, il est essentiel de s’associer à des experts en la matière. C’est ici qu’interviennent les cabinets de conseil, capables de guider leurs clients dans leur transformation en alliant des expertises en cybersécurité, en protection des données, et en transformation digitale pour répondre aux préoccupations et spécificités de tous types d’organismes. Les organismes sont accompagnés sur les plans organisationnel, opérationnel, et technique, avec pour objectif de réinventer leur rapport à la donnée pour en faire une source de valeur.