L’anonymisation des données personnelles, ou masking, consiste à modifier le contenu ou la structure des données de manière à ce qu’il soit difficile ou impossible d’identifier les personnes ou entités auxquelles se rapportent ces données. Découvrez comment anonymiser vos données avec la solution Data Masking & Substetting :
Rendez-vous Oracle Technology - Faire de la Cybersécurité un avantage compétitif, avec le témoignage de Discngine
Temps de lecture : 2 mn
L’anonymisation des données a pour objectif de transformer des données de manière à ce qu’on ne puisse plus les rattacher à une personne. Or quotidiennement, des milliards de données personnelles sortent des environnements de production sans être protégées… Anonymiser ses données a pour objectif de les protéger.
Les principales exigences de l’anonymisation sont :
Les principaux défis auxquels doit répondre l’anonymisation :
a. Est-ce que l’anonymisation peut être dynamique ?
En anglais, le terme « redaction » est utilisé pour désigner l’anonymisation dynamique. A contrario, le terme « masking » désigne l’anonymisation statique.
*Anonymisation statique : l’anonymisation statique est « un aller sans retour ». En anonymisant, la donnée d’origine est alors perdue. L’anonymisation statique ou le masking, est utilisée dans les environnements qui ne nécessitent pas des données de production, par exemple pour le développement, les tests ou la formation. Ainsi, on ne peut pas accéder à des informations de la personne concernée.
*Anonymisation dynamique : l’anonymisation cache la donnée sans altérer la possibilité de la voir dans un autre contexte. Concrètement, la donnée n’est pas masquée dans la base, le fichier ou le disque dur mais à l’affichage, la donnée est rendue invisible à l’utilisateur avec un filtre de masquage. En fonction de mon habilitation – suis-je un call center, un marketing, DAF, RH ?- selon mon profil, je vois ou je ne vois pas la donnée. Par exemple, lorsqu’on veut effectuer un paiement en ligne, le numéro de Carte Bancaire est précédé de XXX. La vraie donnée est en base mais l’affichage est masqué.
b. Quelle est l’utilité de l’anonymisation dans le cadre réglementaire ?
Le RGPD cite le masking pour anonymiser les données, de manière à ce que ces dernières ne soient alors plus soumises au RGPD. En voici un extrait :
« Il n’y a dès lors pas lieu d’appliquer les principes relatifs à la protection des données aux informations anonymes, à savoir les informations ne concernant pas une personne physique identifiée ou identifiable, ni aux données à caractère personnel rendues anonymes de telle manière que la personne concernée ne soit pas ou plus identifiable. Le présent règlement ne s’applique, par conséquent, pas au traitement de telles informations anonymes, y compris à des fins statistiques ou de recherche. »
Parmi toutes les données de l’entreprise, on estime que 75% d’entre elles sont hors production et peuvent être anonymisées. Il ne reste donc que 25% de données sur lesquels appliquer les mesures de protection appropriées (chiffrement, droit d’accès etc.)
a. Anonymiser une base de données avec Data Masking & Substetting
La solution Data Masking & Substetting d’Oracle se résume en 4 étapes :
1.Découvrir les données personnelles et spécifier les contraintes d’intégrité qui les concernent
2. Définir les critères d’échantillonnage et les modèles de masquage
3. Tester et valider par prévisualisation des données
4. Exécuter les transformations en Base, ou en Export, puis les mettre à disposition.
Oracle Data Masking & Substetting est à la fois :
- Rapide : le masquage et l’échantillonnage peuvent être effectués sur une copie clonée des données originales, éliminant ainsi toute surcharge des systèmes de production.
-Sécurisée : Alternativement, le masquage et l’échantillonnage peuvent être effectués pendant l'exportation de la base de données, éliminant ainsi le besoin de serveurs intermédiaires.
- Efficace : le masquage et l’échantillonnage peuvent être effectués sur des données non-Oracle en transférant les données d’une technologie à l’autre manuellement via une passerelle.
Oracle Data Masking Factory fonctionne avec ODI (un ETL) et un framework de manière à être multi-sources et donc multicibles. En 2 clics, la politique de masking est installé.
b. Comment généraliser l’anonymisation à toutes les bases de données ?
Face à la complexité et l’hétérogénéité des systèmes d’informations des entreprises, le projet d'anonymisation dans son ensemble relève d’un véritable défi et nécessite généralement d’acquérir plusieurs solutions technologiques provenant d’éditeurs différents. De plus, il est essentiel de préserver une intégrité référentielle sur l’ensemble de données indépendamment de la nature de vos sources de données.
Grace au Framework Oracle Data Masking Factory (DMF), chaque client peut masquer toutes ses données provenant des technologies hétérogènes, sachant que les données qui résident dans des systèmes non-Oracle doivent aussi être conformes aux mêmes normes d’anonymisation et d’exigences réglementaires.
Oracle Data Masking Factory comporte plusieurs avantages :
Oracle Data Safe : Protéger vos bases de données Oracle
Observatoire de la Tech: Cybersécurité, où en sont les français ?
Adopter Oracle Cloud Infrastructure, conçu selon une architecture “security first”
Cloud de confiance : Sur quels critères objectifs se reposer ?