Aperçu
Efficacité, flexibilité, vitesse, accroîsement des économies de coûts et sécurité accrue pour les données les plus sensibles sont des éléments qui restent très demandés par les utilisateurs des services eDiscovery. Répondant à ces demandes, la technologie du cloud permet d'offrir plusieurs de ces avantages.
La sécurité accrue des données dépend cependant de la façon dont le prestataire de services eDiscovery met en place, maitient et gère les données client sensibles.
Cette problématique a pris de l'ampleur dans la mesure où la majorité des travailleurs sont dispersés et travaillent souvent depuis l'environnement non-sécurisé de leur domicile, ce qui a entraîné une utilisation accrue des services du cloud. Cette augmentation de l'utilisation du cloud a ouvert la porte à des scénarios de stockages de données plus risqués qui peuvent ne pas être évidents pour les utilisateurs des services eDiscovery. De plus, les entreprises offrant ce type de services peuvent ne pas être bien au courant de tous les risques inhérents à leur activité.
Parce que le secteur a préféré la standardisation à la personnalisation, les effectifs de certains prestataires eDiscovery sont largement composés de membres junior devant suivre des protocoles et des procédures strictes lorsqu'ils sont au travail. Tandis que ces activités ont été testées et approuvées dans l'environnement de travail pour répondre aux normes de sécurité minimale, il y a de grandes chances pour que la majorité des employés ne soient pas attentifs aux risques en termes de sécurité inhérents au fait de travailler depuis chez eux.
Cet article passe en revue les risques inhérents qui pèsent sur la protection des données électroniques des clients et les plateformes basées dans le cloud résultant du travail à distance. Il explique également pourquoi il est important pour les utilisateurs des services eDiscovery d'analyser les capacités techniques, pratiques et l'expérience des professionnels qui seront amenés à traiter leurs données afin de s'assurer que les précautions nécessaires ont été mises en place.
De nombreux prestataires eDiscovery ont récemment transféré des données client hébergées dans des centres de données privés vers des clouds publics ou privés. Parallèlement à l'augmentation des volumes de données hébergées, se sont également accrue les difficultées à prendre la mesure des ressources physiques nécessaires pour maintenir des environnements d'hébergement privés répondant aux exigences clients en termes de rapidité, d'efficacité, de redondance et de sécurité. Par conséquent, les prestataires eDiscovery ont commencé à rééxaminer les risques et les coûts associés à leurs portefeuilles hébergés et beaucoup se sont tournés vers le cloud. Mais cela induit également d'autres problématiques dont la mesure n'a pas encore été prise à ce jour, et qui ont pu être exacerbées par la pandémie.
Securité
Il n'est pas rare de trouver les données les plus sensibles d'une organisation sur les plateformes eDiscovery. Ces données touchent souvent aux communications protégées par le secret professionnel, aux décisions stratégiques des entreprises, aux secrets commerciaux, aux communications personnelles potentiellement embarrassantes ou à d'autres communications confidentielles de ses employés, sa direction et de son conseiller juridique. Les services d'hébergement du cloud qui sont proposés par les prestataires eDiscovery offrent un éventail de capacités en matière de sécurité auquel, la plupart du temps, les utilisateurs eDiscovery ne prêtent pas attention.
Du fait de la sophistication accrue des hackers gouvernementaux et non-gourvernementaux, il existe un risque continu d'infiltration du process par des acteurs malintentionnés, et ce risque va en augmentant. Cela a été illustré par l'attaque SolarWinds de 2020 visant le gouvernement des États-Unis. Dans ce scénario, une entreprise de services technologiques de confiance chargée de la maintenance de l'environnement informatique de plusieurs des centres de données les plus sécurisés au monde a incarné la porte d'entrée qui a permis aux hackers d'accéder aux données les plus sensibles du pays.
Il y a ensuite les risques inhérents aux environnements de télétravail qui ont augmenté du fait de la pandémie de COVID-19. Avec les progrès et l'adoption continue de l'IdO (Internet des Objets) et l'expansion des services internet haut débit pour les ménages, il existe de nombreux passages pouvant compromettre des services domestiques pourtant fiables fonctionnant sur le WiFi du domicile via divers objets connectés (enceintes intelligentes, thermostats, systèmes d'alarme, TV, etc.), dans un environnement qui n'est souvent pas considéré comme propice à des activités malveillantes. Cela est encore amplifié lorsque les employés des prestataires eDiscovery manquent d'expérience et de connaissances quant aux risques en matière de sécurité des réseaux.
Fiabilité
Les services du cloud offrent aux utilisateurs d'eDiscovery la promesse d'une fiabilité inégalée et d'un degré d'indisponibilité limité pour les opérations d'examen de documents. Bien que des fenêtres d'informations concernant des opérations de maintenance programmées apparaissent régulièrement, des interruptions d'urgence se produisent de temps en temps. Prenons l'exemple de l'interruption des services de Google en décembre 2020. Les interruptions liées à des catastrophes naturelles impactant les utilisateurs de services eDiscovery hébergés sur le cloud, peuvent avoir de graves conséquences sur la capacité d'un client à respecter un délai imposé par un tribunal ou autre.
Préoccupations en matière de protection des données et de confidentialité
Les solutions d'hébergement sur le cloud peuvent et offrent souvent des services de stockage de données aux autorités locales et régionales nécessitant la rédaction et l'identification d'informations personnelles identifiables (personally identifiable information, PII) avant de pouvoir envoyer ces données dans un autre pays (tels que les États-Unis). Cela permet aux prestataires eDiscovery d'avoir accès à des espaces de stockage de données disponibles localement dans les régions exigeant le respect de la règlementation en matière de confidentialité.
Cependant, si l'on considère la multitude de régions du monde dotées de règlementations en matière de confidentialité, un utilisateur de services eDiscovery ne devrait pas assumer que ses données sont hébergées conformément à la règlementation locale. En règle générale, les utilisateurs de services eDiscovery devraient s'enquérir auprès de leurs fournisseurs de services de l'endroit où sont situés les serveurs physiques qui hébergeront les données qu'ils souhaitent protéger.
De plus, avec la majorité des effectifs des prestataires eDiscovery travaillant depuis leur domicile à cause de la pandémie, il peut être ingénieux de se demander comment mettre en place une approche attentive des règlementations internationales en matière de confidentialité des données.
Contexte mondial
Il semblerait que la cybercriminalité ait coûté à l'économie mondiale près de 1 trillion de dollars en 2020. De plus, les piratages et infiltrations d'entités gouvernementales et de sociétés sont de plus en plus considérés comme le meilleur moyen d'impacter leurs cibles par les pays et acteurs malintentionnés. Ce phénomène a été intensifié par la pandémie, dans la mesure où les environnements de télétravail et l'utilisation accrue d'ingénierie sociale au sein d'environnements non sécurisés, présentent des risques supplémentaires en matière de sécurité des données gérées.
Quels moyens les utilisateurs de services eDiscovery basés sur le cloud ont-ils de vérifier que la sécurité de leurs données est assurée ?
Sécurité du cloud
Une démarche importante à réaliser consiste à demander si la solution eDiscovery basée sur le cloud concernée répond à différentes normes de sécurité. Bien que cela ne garantisse pas que vos données ne soient pas exposées à des risques, il est rassurant de savoir que des protocoles de sécurité sont régulièrement testés par un tiers indépendant. Parmi les certifications pertinentes se trouvent : SOC2 Type 2, ISO 27001, ISO 27017, ISO 27018, de même que les certifications indiquant que l'hébergeur est soucieux de respecter la règlementation en matière de confidentialité des données et les exigences HIPPA.
Il est important de différencier les certifications qui sont attribuées au fournisseur de cloud de celles du prestataire de services d'hébergement de données. Par exemple, AWS, Google et Microsoft Azure dispose de nombreuses certifications sophistiquées en matière de sécurité des données pour leurs opérations en amont de l'environnement du cloud.
Cependant, il est important de savoir qu'une plateforme eDiscovery fonctionnant au sein de ce cloud emploie ses propres protocoles de sécurité pour permettre aux examinateurs d'accéder aux documents, et ne bénéficient ainsi pas de tous les contrôles de sécurité dédiés à la base de l'offre de services du cloud. Assurez-vous de savoir quels protocoles de sécurité et certifications l'application que vous utilisez peut elle revendiquer de façon directe.
Considérations de sécurité en matière de télétravail
Cette situation présente des considérations supplémentaires. De nombreux prestataires eDiscovery vous renverront dans un premier temps au manuel des employés et aux documents relatifs à la politique de l'entreprise, mais dans cette période sans précédent, il est peu probable que ces directives aient anticipé ce scénario, dans lequel la majorité des travailleurs ont été contraints à travailler depuis des environnements non-sécurisés, à l'extérieur du lieu de travail.
En fonction de l'environnement technique disponible pour le prestataire eDiscovery, des mesures peuvent être prises pour se rapprocher des restrictions de réseaux mises en place dans les bureaux. Aucune solution ne saurait être sans risque à 100 %, mais il existe de meilleures pratiques pouvant être mises en place pour limiter les risques majeurs. Par exemple, le prestataire peut adopter une approche de sécurité centralisée à travers l'utilisation d'une connexion RPV (réseau privé virtuel) à l'environnement du bureau, restreignant l'accès aux réseaux non-essentiels et empêchant les employés d'utiliser des ordinateurs non-fournis par l'employeur.
Il est également crucial d'être au fait des différents niveaux de restrictions de sécurité appropriés pour les employés en fonction des différents aspects du processus eDiscovery. Par exemple, une personne en train d'analyser un document a des chances d'avoir moins besoin d'accéder à des données client sensibles que le chef de projet en charge de l'organisation de l'analyse en elle-même. Il est nécessaire de comprendre les procédures que votre prestataire utilise lorsqu'il travaille depuis son domicile et en quoi cela affecte la sécurité et le risque d'exposition de vos données.
En dépit des problématiques soulevées, les solutions eDiscovery basées sur le cloud offrent aux utilisateurs de nombreux avantages pour faire face aux enjeux sans précédent du monde post-COVID. Il est néanmoins important pour les utilisateurs de comprendre et de connaître les mesures de protection mises en place par leurs prestataires de services pour protéger leurs données. Les solutions de stockage sur le cloud répondent aux problématiques présentées par les infrastructures techniques vieillissantes et peuvent renforcer leur cybersécurité pour fournir aux prestataires eDiscovery la flexibilité d'opérer dans un contexte mondial. Les risques supplémentaires posés par les environnements de télétravail découlant de la pandémie signifient que les personnes faisant appel à ces services se doivent de surveiller attentivement la localisation, le degré de protection et l'environnement technique des entreprises auxquelles ils confient leurs données sensibles.
Stephen O'Malley est directeur général principal et dirige les enquêtes numériques au sein du cabinet d'enquêtes internationales de J.S. Held. Il a participé à quelques-unes des plus grandes enquêtes internationales et a agit en temps que témoin expert sur des dossiers d'analyse et de restauration de données électroniques, de meilleures pratiques dans les domaines de la preuve électronique et de tests de logiciels informatiques associés. Il est un praticien expert de la preuve électronique et analyste de données. Stephen possède une grande expérience des enquêtes sur les fraudes et la corruption, concernant notamment la FCPA (Loi sur les pratiques de corruption à l'étranger), les systèmes de Ponzi, le département de la Justice des États-Unis et la SEC (Organisme fédéral américain de réglementation et de contrôle des marchés financiers) ; dans les litiges multi-juridictionnels ; la production de preuves pour l'assistance aux litiges ; et dans l'analyse avancée des données.
Stephen peut être contacté à l'adresse [e-mail protégé] ou au +1 718 510 5617.
Alors que nos vies et notre travail sont de plus en plus numérisés, il y a un chevauchement intrinsèque entre les programmes de confidentialité des données et de cybersécurité. Dans cet article, nous nous penchons sur la relation entre la confidentialité des données et la cyber…
Cet article aborde les applications de l'informatique judiciaire, les types de données que les experts informatiques judiciaires utilisent, le processus d'enquête et certains exemples de cas pour lesquels les experts en informatique judiciaire doivent évaluer l'impact de...