Le masquage des données consiste à remplacer ou modifier les informations sensibles par des données fictives mais réalistes, tout en préservant la structure et les caractéristiques nécessaires aux tests et au développement. L'ISO 27002 mesure 8.11 recommande trois contrôles principaux :

• Identification des données sensibles : déterminer quelles données doivent être masquées (données personnelles, financières, médicales, confidentielles)
• Choix des techniques de masquage : sélectionner les méthodes appropriées selon le niveau de sensibilité et les besoins fonctionnels
• Application systématique : masquer automatiquement toutes les données sensibles lors de leur copie vers les environnements non-production

Ces exigences visent à garantir que les données réelles de production ne sont jamais accessibles en dehors des environnements strictement nécessaires.

Conformité réglementaire

Le RGPD impose la minimisation des données et la limitation des finalités : les données personnelles ne doivent être accessibles que pour les usages légitimes. Utiliser des données clients réelles pour des tests ou de la formation viole ce principe. Le masquage permet de respecter la réglementation tout en conservant des données exploitables.

Réduction de la surface d'exposition

Chaque copie de la base de production multiplie les risques : un développeur dont le poste est compromis, une base de test accessible depuis Internet par erreur, un prestataire externe qui accède à l'environnement de développement. Le masquage limite l'impact d'une compromission de ces environnements.

Principe du moindre privilège

Les développeurs et testeurs n'ont pas besoin de connaître les vraies données clients pour effectuer leur travail. Ils ont besoin de données structurellement correctes et réalistes, mais pas des informations réelles. Le masquage applique le principe du moindre privilège aux données.

Protection contre les fuites accidentelles

Un développeur qui partage un extrait de base pour résoudre un problème, un testeur qui envoie une capture d'écran, ou un formateur qui projette l'application lors d'une session risque d'exposer des données sensibles. Avec des données masquées, ces fuites deviennent sans conséquence.

Substitution

Remplacer les données réelles par des données fictives de même format. Nom : "Dupont" devient "Martin", Email : "[email protected]" devient "[email protected]", Numéro de téléphone : "01 23 45 67 89" devient "06 98 76 54 32".

Avantage : données totalement fictives, aucun risque de ré-identification. Limite : perd les relations entre données (même personne sur plusieurs tables).

Brouillage (shuffling)

Mélanger les données au sein d'une même colonne. Les prénoms restent de vrais prénoms, mais sont associés aléatoirement à d'autres noms de famille. Résultat : "Jean Dupont" peut devenir "Sophie Dupont" ou "Jean Martin".

 Avantage : conserve la réalité des données (vrais prénoms, vrais noms). Limite : possibilité théorique de ré-identification si combiné avec d'autres sources.

Masquage partiel

Afficher seulement une partie de la donnée. Numéro de carte bancaire : "1234 5678 9012 3456" devient "XXXX XXXX XXXX 3456", Email : "[email protected]" devient "j***@example.com".

Avantage : conserve une partie de l'information pour le support ou le débogage. Limite : ne convient pas à tous les usages, données partiellement exposées.

Pseudonymisation

Remplacer les identifiants directs par des identifiants techniques. Nom : "Jean Dupont" devient "USER_12345", Client ID : conservé mais détaché des autres informations personnelles.

Avantage : permet de conserver les relations entre tables. Limite : nécessite une table de correspondance sécurisée pour retracer si besoin.

Génération synthétique

Créer des jeux de données entièrement artificiels mais réalistes. Générer 10 000 clients fictifs avec des noms, adresses, transactions cohérentes.

Avantage : aucune donnée réelle, volume contrôlable. Limite : peut ne pas refléter toutes les particularités des données réelles.

Données personnelles identifiantes

Obligatoire : nom, prénom, date de naissance, adresse postale, numéro de téléphone, email, numéro de sécurité sociale, photo.

Données financières

Obligatoire : numéros de carte bancaire, IBAN, montants de transactions individuelles, revenus, patrimoine.

Données de santé

Obligatoire : diagnostics, traitements, antécédents médicaux, prescriptions, résultats d'analyses.

Données professionnelles sensibles

Selon contexte : salaires, évaluations, données RH sensibles, secrets commerciaux, contrats clients.

Données techniques sensibles

Selon contexte : mots de passe (même hashés), clés API, tokens d'authentification, certificats.

1. Identifier les données sensibles

Cartographier toutes les bases de données et fichiers contenant des données sensibles. Lister précisément les tables et colonnes à masquer. Ne pas oublier les fichiers de logs, les exports, les archives.

2. Choisir les outils

Utiliser des outils spécialisés de masquage de données plutôt que des scripts manuels. Solutions disponibles : outils intégrés aux SGBD (Oracle Data Masking, SQL Server Dynamic Data Masking), solutions tierces (Delphix, Informatica, IBM Optim), scripts open source pour les petites structures.

3. Définir les règles de masquage

Pour chaque colonne sensible, documenter : technique de masquage à appliquer, format à respecter, règles de cohérence à maintenir (même client doit avoir le même nom masqué dans toutes les tables).

4. Automatiser le processus

Intégrer le masquage dans le processus de rafraîchissement des bases de test et développement. Toute copie de production vers un autre environnement doit automatiquement déclencher le masquage.

5. Contrôler et auditer

Vérifier régulièrement que le masquage fonctionne correctement : échantillonner les données masquées, vérifier qu'aucune donnée réelle n'apparaît, tester la ré-identification. Auditer les accès aux environnements non-production.

• Copier les données de production sans masquage : exposer les données réelles dans les environnements de test ou développement viole le RGPD et multiplie les risques. Masquer systématiquement.
• Masquage incomplet ou incohérent : oublier certaines tables ou colonnes, ou masquer différemment le même client dans différentes tables, rend les tests impossibles et laisse des fuites. Cartographier exhaustivement.
• Masquage réversible : si le masquage peut être inversé facilement (simple décalage, chiffrement avec clé accessible), il ne protège pas. Utiliser des techniques irréversibles.
• Négliger les logs et exports : les fichiers de logs, exports CSV, ou archives peuvent contenir des données réelles. Appliquer le masquage aussi à ces fichiers.

Le masquage des données protège les informations sensibles en remplaçant les données réelles par des données fictives mais réalistes dans les environnements de test, développement et formation. Les techniques disponibles incluent la substitution, le brouillage, le masquage partiel, la pseudonymisation et la génération synthétique.

Le masquage est obligatoire pour toutes les données personnelles identifiantes, financières et de santé utilisées hors production. La mise en œuvre nécessite une cartographie exhaustive des données sensibles, le choix d'outils adaptés, la définition de règles précises, l'automatisation du processus et des contrôles réguliers. Le masquage répond aux exigences du RGPD et limite considérablement les risques de violation de données.