RGPD : Êtes-vous en conformité ?
En matière de politiques européennes, une date est à retenir : le 25 mai 2018. Ce jour-là, le Règlement Général sur la Protection des Données de l’UE entrera en vigueur.
De nombreuses discussions ont eu lieu sur le RGPD et la plupart des entreprises y sont préparées depuis déjà un certain temps. Beaucoup ont sollicité des cabinets d’avocats pour être certaines de répondre aux exigences de cette nouvelle règlementation. Elles ont souvent installé des solutions de sécurité professionnelles, reconnues mondialement. Bien qu’il s’agisse d’un excellent point de départ, plusieurs aspects du RGPD méritent encore d’être soulignés.
Tout d’abord, la sécurisation des données des clients nécessite une approche dite « à 360 degrés ». Pour se conformer aux exigences du RGPD, les organisations doivent connaître en détails leur propre mode de traitement des informations personnelles. Elles doivent connaître le cycle de vie de ces données (depuis la collecte jusqu’à leur suppression) et savoir exactement comment celles-ci sont protégées. Cette approche a des implications techniques, appelle à la création de nouveaux process et à une formation adéquate du personnel sur ces questions.
Le RGPD fait de la confidentialité des données une priorité : il doit guider la conception des applications métiers, des services, des réseaux et bases de données. Cela suppose des compétences spécifiques en matière de sécurité, tant sur le plan technique qu’informationnel. La sécurité ne vient pas simplement s’ajouter à l’infrastructure de l’entreprise. Elle doit s’intégrer au maillage de celle-ci, en faire partie intégrante.
Les intrusions informatiques sont rarement détectées immédiatement ; la plupart d’entre elles passent inaperçues durant des mois, voire des années. La déclaration des violations des données devra intervenir dans les 72 heures suivant la découverte d’une intrusion.
Toute entreprise se doit de prendre au sérieux le risque d’intrusion. Elle doit investir dans des outils de détection/gestion des incidents la protégeant 24h/24, 7j/7, et s’assurer que ses process de notification de ces incidents sont opérationnels. Notre expérience nous l’a enseigné : il est essentiel d’allier l’intelligence des machines et le savoir-faire des experts pour éliminer les faux-positifs et signaler rapidement les attaques. Il est désormais possible de détecter presque toutes les intrusions informatiques en moins de 30 minutes.
Selon le baromètre des risques Allianz 2016, le risque cybernétique représente le troisième risque le plus important pour le commercial mondial. Il se situe au-dessus des catastrophes naturelles, contre lesquelles la plupart des entreprises sont déjà lourdement assurées. Mais une cyber attaque est beaucoup plus probable qu’un incendie ou un tremblement de terre.
Aussi, prenez les précautions qui s’imposent pour éviter une cyber catastrophe :
- Pensez à investir dans une évaluation complète des process de confidentialité, portant aussi bien sur la gestion que sur les aspects techniques. Vous devez disposer d’une vision holistique des process relatifs à la confidentialité dans votre entreprise.
- Adoptez une approche proactive pour prévenir, détecter et répondre aux incidents. Cela nécessite d’allier la puissance des nouvelles technologies et le savoir-faire des experts, 24h/24, 7j/7
- Définissez votre plan de gestion de crise en cas d’intrusion. Personne ne le fera pour vous.
- Procédez à une analyse attentive de toute intrusion ou tentative d’intrusion.
- Envisagez une assurance contre les cyber-attaques. Une intrusion a des implications juridiques et peut entrainer le paiement d’amendes au montant significatif. Elle peut aussi avoir des effets considérables sur l’avenir de votre entreprise.
Les élections américaines et, avant cela, le piratage de Sony, auraient dû éveiller les consciences. La cyber sécurité n’est plus un détail. Elle est au cœur de la politique internationale, au cœur des pratiques commerciales. Elle définit l’avenir. Les gouvernements, les entreprises et les individus ne peuvent plus se permettre de l’ignorer. Aujourd’hui, nous sommes tous des cibles potentielles. Certains peuvent être visés par des attaques ciblées, d’autres par des attaques de masse.
Se tenir prêt : voilà la seule option.
Source image : Getty Images
Catégories