Création d’applications et de plates-formes préservant la confidentialité
5 min readLes applications et plateformes numériques sont devenues incontournables pour les organisations, d’autant plus que le début de la pandémie de Covid-19 et les restrictions subséquentes imposées au public.
Les organisations évoluent rapidement vers la création de plateformes numériques de nouvelle génération pour alimenter les ventes et les services numériques, et ces plateformes prennent en charge tous les domaines : ventes, marketing, acquisition et service client, livraison de produits, ainsi qu’une variété de fonctions internes.
Alors que de plus en plus de services passent au numérique, confidentialité des données est devenu un aspect important pour les organisations, non seulement pour maintenir la confiance des clients et des employés, mais aussi pour s’assurer qu’ils se conforment aux diverses lois locales et internationales.
Comprenons l’architecture de la plate-forme numérique et la manière dont les pratiques de confidentialité doivent être intégrées. Une plateforme numérique est composée des couches suivantes :
- Passerelle d’entreprise pour se connecter à Internet et authentifier les utilisateurs.
- Couche de présentation pour présenter les applications aux utilisateurs.
- Couche d’intégration pour canaliser les appels de service.
- Couche applicative pour proposer des applications et des services métiers.
- Couche de données pour enregistrer et récupérer les éléments de données de base et les transactions.
Compte tenu de la complexité de l’architecture et des multiples trajectoires de données hébergées par toute plate-forme numérique moderne, préserver la confidentialité et la sécurité des données tout au long du cycle de vie des données – acquisition de données, stockage de données, manipulation de données, traitement de données, transfert de données et élimination de données – devient une tâche complexe.
Par conséquent, une expertise interfonctionnelle des professionnels de la confidentialité, de la sécurité de l’information, de l’architecture, du numérique, des données et des risques technologiques est nécessaire pour évaluer l’efficacité des contrôles de confidentialité pendant la conception de ces systèmes. En outre, il doit y avoir une documentation sur les données collectées via les plateformes numériques, pourquoi elles sont nécessaires et comment elles seront traitées et conservées dans l’organisation.
Le confidentialité dès la conception concept est nécessaire pour garantir que les pratiques de confidentialité sont construites dès la phase de conceptualisation et sont mises en œuvre tout au long du cycle de vie du développement et des opérations d’applications numériques. l’ISACA La vie privée en pratique 2021 rapport fournit de bonnes informations sur la manière dont les concepts de confidentialité doivent être construits dès le début des engagements et sur les types de compétences nécessaires pour développer une telle pratique.
Par exemple, l’un des résultats de l’enquête était que « les entreprises qui utilisent systématiquement la confidentialité dès la conception sont près de deux fois et demie plus susceptibles d’être totalement confiantes dans la capacité de leur équipe de confidentialité à garantir la confidentialité des données et à se conformer aux nouvelles règles de confidentialité. lois et règlements ».
Lors de l’évaluation des contrôles de confidentialité autour de la conception et du développement des plateformes numériques, les professionnels du risque doivent évaluer les domaines suivants (liste non exhaustive) :
- Quels éléments de données sont capturés via la plateforme numérique ? Par exemple, les informations personnellement identifiables (PII) d’un client ou d’un employé, des données biométriques, comportementales ou financières.
- Pouvons-nous minimiser les éléments de données demandés via les applications numériques, sauf si nécessaire ?
- Les applications collectent-elles des identifiants uniques à l’appareil, à moins qu’ils ne soient nécessaires au fonctionnement de l’application ?
- Existe-t-il un partage de données ou des liens profonds entre différentes applications ?
- S’assurer qu’aucune donnée PII n’est stockée dans les journaux d’application sauf si nécessaire et créer des contrôles pour la suppression rapide de celles-ci.
- Quels contrôles sont construits autour de l’accès aux informations sensibles stockées dans la bibliothèque numérique ?
- Les données des clients seront-elles utilisées à des fins de formation du système, ou y aurait-il recours à des capacités d’intelligence artificielle (IA) ou d’apprentissage automatique (ML) ?
- Des tests d’application seront-ils effectués sur des données synthétiques pour garantir la confidentialité des clients ?
- Comment le consentement du client/employé serait-il recueilli et le langage du consentement les sensibilise-t-il à l’utilisation possible de leurs données ?
- Quels contrôles sont conçus pour assurer la suppression des données à la fin de leur période de conservation ou le retrait du consentement du client ?
- Quels contrôles de surveillance et de journalisation sont intégrés pour assurer l’identification et le signalement en temps opportun des atteintes à la vie privée ?
- Avons-nous un langage contractuel tiers imposant des exigences de confidentialité chaque fois que des données sont exposées à l’extérieur ?
Bien que les contrôles ci-dessus soient illustratifs, une évaluation détaillée est nécessaire dans la phase de conception du système ou chaque fois que de nouvelles extensions ou modifications sont prévues autour des applications numériques. En plus des phases de conception et de développement, des contrôles de confidentialité doivent être exercés dans l’ensemble de l’architecture et des fonctionnalités de base de la plate-forme afin qu’ils soient profondément ancrés lors de l’exploitation de ces plates-formes mobiles.
Alors que nous vivons à l’ère numérique, la confidentialité est devenue un pilier important pour la création de plateformes numériques sécurisées et il n’y a pas d’approche unique. Pour bien faire les choses du premier coup, les organisations doivent prendre en compte tous les composants clés – avoir des politiques et des contrôles de confidentialité bien définis, l’inclusion de professionnels qualifiés de la confidentialité et des risques, la formation et la sensibilisation des équipes de projet, l’intégration d’un langage de confidentialité dans les contrats tiers. et avoir un processus de gestion des incidents solide pour gérer toute violation possible de la vie privée.
Comme on dit, la vie privée est un voyage, pas une destination. Les organisations ont commencé leur parcours pour intégrer la confidentialité dans leurs offres numériques.
Gaurav Deep Singh Johar, CISA, CISM, CRISC, CDPSE, est membre du groupe de travail sur les tendances émergentes de l’ISACA. Actuellement basé à Toronto, au Canada, il travaille en tant que responsable des risques liés aux technologies numériques dans une grande organisation de services financiers.