Protection des données et sécurité des données
La meilleure défense, c’est l’attaque
La protection et la sécurité des données revêtent une importance croissante dans le cadre de la numérisation. Nathanael Dänzer, responsable de la protection des données chez Swisscom Health, explique quelle est la différence entre protection et sécurité des données et pourquoi Swisscom Health fait pirater ses propres systèmes.
Texte: Swisscom, Image: Swisscom, 26 octobre 2021
La protection des données et la sécurité de celles-ci sont sur toutes les lèvres. Mais quelle est la différence entre ces deux termes?
Nathanael Dänzer:Ces deux termes ne sont pas totalement distincts, ils sont imbriqués l’un dans l’autre. Mais en résumé, la sécurité des données se réfère à l’infrastructure. Nous nous posons par exemple les questions suivantes: nos entrées sont-elles sécurisées afin que seules les personnes autorisées aient accès aux bureaux et autres locaux? Les centres de calculs se trouvent-ils dans un environnement sécurisé? Les systèmes informatiques sont-ils protégés par un firewall? Il s’agit de protéger les données contre tout accès non autorisé et toute perte. La protection des données, elle, concerne la manière dont les données sont traitées. En d’autres termes, dans quelles conditions les données personnelles peuvent-elles être collectées, traitées et utilisées?
Le facteur humain joue donc un rôle important dans la protection des données?
Oui. Toutes les personnes qui ont à traiter des données sensibles ou confidentielles doivent savoir comment ces données peuvent être traitées.
On entend de plus en plus parler d’attaques informatiques réussies. Comparis en constitue un exemple. De tels cas sont également connus dans des établissements de santé, comme récemment aux cliniques Pallas. Dans quelle mesure nos produits sont-ils protégés contre de telles attaques?
Nous ne pouvons pas protéger les produits des attaques, mais nous pouvons empêcher les pirates d’arriver à leurs fins. Nous ne restons pas les bras ballants et nos produits sont donc très sûrs. Chez Comparis, il s’agissait d’une attaque par ransomware. Ces attaques sont généralement dues à des failles de sécurité dans les systèmes ou à des collaborateurs négligents qui ouvrent des pièces jointes dangereuses, par exemple.
Concrètement, comment luttons-nous contre ces attaques?
Swisscom forme régulièrement ses collaborateurs sur le thème de la protection des données. Nous traitons les données qui nous sont confiées avec le plus grand soin et conformément aux directives légales. Un point crucial est également le concept de «Privacy by Design».
Qu’est-ce que cela signifie?
Il signifie que les principes de protection des données sont déjà pris en compte de manière adéquate lors du développement des produits et que de nombreuses mesures organisationnelles et techniques sont prises pour assurer la protection et la sécurité des données.
«Nous ne pouvons pas protéger les produits des attaques, mais nous pouvons empêcher les pirates d’arriver à leurs fins. Nous ne restons pas les bras ballants et nos produits sont donc très sûrs.»
Nathanael Dänzer, Délégué à la protection des données
Et que faisons-nous du point de vue de la sécurité des données?
Les données de Swisscom sont par exemple cryptées afin que des tiers ne puissent pasles consulter. En outre, en collaboration avec de nombreux spécialistes, nous surveillons la situation mondiale en matière de sécurité informatique ainsi que les risques informatiques pour le secteur de la santé. Les tests de sécurité constituent un moyen supplémentaire efficace de se protéger contre les cyberattaques et de vérifier les mesures de protection.
En quoi consistent ces tests de sécurité?
Ces tests réguliers ont lieu sous forme d’attaques intentionnelles sur notre propre infrastructure avant que les cybercriminels ne frappent. Ces attaques ne sont pas seulement réalisées par nos propres experts en sécurité. Nous collaborons avec plusieurs spécialistes externes afin d’élargir nos connaissances et donc la variété des formes d’attaque de ces tests d’intrusion.
Les brèches de sécurité sont-elles si fréquentes chez Swisscom Health?
Non. Mais bien sûr, de tels problèmes sont déjà survenus.
Que faites-vous lorsque vous découvrez une telle faille?
Nous améliorons nos produits et prenons des mesures de sécurité supplémentaires pour combler ces failles. Mais Swisscom Health ne peut pas garantir à elle seule la protection et la sécurité des données. En tant que fournisseur, nous assumons une grande responsabilité. Mais les utilisateurs de nos logiciels, c’est-à-dire nos clients, doivent également faire leur part du travail. Les contrats avec nos clients contiennent donc des obligations claires pour les deux parties en matière de protection et de sécurité des données.
Que doivent faire nos clients?
Par exemple, ils doivent maintenir leur système d’exploitation à jour, utiliser des mots de passe forts et recourir à l’authentification à plusieurs facteurs.
Penchons-nous maintenant sur la révision de la loi sur la protection des données. Elle entrera en vigueur au cours de la deuxième moitié de l’année 2022. Qu’est-ce que cela changera pour nous et nos clients dans le domaine de la protection des données?
Nos clients travaillent avec des données particulièrement sensibles, et nous aussi, par découlement. Nous avons donc toujours accordé la plus haute importance à la protection des données. Par conséquent, nous satisfaisons déjà à l’heure actuelle une grande partie des exigences de la révision de la loi sur la protection des données. Comme je l’ai mentionné ci-dessus, l’approche «Privacy by Design» est l’un de ces points. Jusqu’à ce que la révision de la loi sur la protection des données entre en vigueur, nous continuerons à réglementer le traitement des données relatives aux ordres avec nos clients. Nous les aiderons également à fournir aux personnes concernées les données les concernant dans un format électronique standard. Nous nous conformerons à toutes les exigences d’ici à l’entrée en vigueur de la loi et nous contacterons également nos clients à cet égard.
Contact
Vous avez des questions sur la protection et la sécurité des données et concernant la loi révisée sur la protection des données? Alors, envoyez-nous un e-mail à Datenschutz.Health@swisscom.com.
Vous souhaitez obtenir des informations générales sur la manière dont nous traitons les données qui nous sont confiées? Vous les trouverez dans notre politique de confidentialité sur notre site Internet.
