RGPD : les données sont-elles au cœur de votre activité ?
Le Règlement général sur la protection des données (RGPD) entrera en vigueur dans environ un an. Certaines entreprises sont d’ores-et-déjà prêtes à faire face. D’autres, à l’inverse, doivent encore revoir entièrement la manière dont elles collectent, stockent, utilisent et sécurisent les données personnelles.
Mais d’après les experts en cyber sécurité, les entreprises doivent avant tout se poser une question : les données personnelles constituent-elles l’un des noyaux de leur activité ?
Le traitement des données personnelles implique certaines responsabilités et de nombreuses entreprises choisissent délibérément de ne pas en tirer profit. Il n’en reste pas moins qu’un jour, leur position sur le sujet pourrait bien changer. Chaque entreprise doit donc évaluer ses besoins actuels et futurs, avant de prendre une quelconque décision.
Celles qui n’ont pas besoin de données personnelles renonceront peut-être à les collecter, stocker et à les analyser. Pour elles, répondre aux exigences du RGPD s’avérera nettement plus simple. Pour les autres, expliquent les experts F-Secure, il est probable qu’émergent des « prestataires de conformité RGPD », spécialisés dans la gestion des données personnelles. Ce système serait alors similaire à celui des e-commerces qui sous-traitent les processus de paiement à des prestataires spécialisés pour assurer d’être conforme aux normes PCI DSS.
Pour le moment, il n’existe aucun prestataire spécialisé dans la conformité RGPD. La plupart des organisations gérant des données personnelles doivent donc se préparer seules (même si le risque financier associé peut, lui, être transféré à un tiers).
Si l’entrée en vigueur de ce nouveau règlement peut s’apparenter à une nouvelle contrainte pour les entreprises, Laura Noukka, Risk Management Consultant chez F-Secure, explique qu’il peut aussi avoir un impact positif : les entreprises ont là l’opportunité de perfectionner leurs process en la matière, ce que les commentaires alarmistes autour du RGPD semblent avoir oublié.
« Les entreprises doivent désormais se préparer à cette réglementation à venir », explique Noukka. « Bonne nouvelle : en apprenant à mieux gérer les données personnelles, ces organisations vont dégager du temps, qui pourra être consacré à leur propre croissance. Pour ce faire, elles ne doivent pas hésiter à réaliser les bons investissements leur permettant de collecter, stocker et protéger ces données. »
Alors que le RGPD a été largement présenté comme un ensemble de mesures punitives et coûteuses, Noukka et d’autres experts estiment qu’il peut aussi aider les entreprises à gérer les données personnelles de manière responsable et à les sécuriser.
La conformité RGPD n’est pas qu’une contrainte : il s’agit d’une approche de la gestion du risque
Partout ou presque, il est écrit que le RGPD pénalisera les entreprises qui ne répondent pas aux exigences de ce nouveau règlement. Toutefois, selon Noukka, les entreprises qui ne respectent pas les principes du RPGD s’exposeront à bien davantage que ces pénalités.
Le RGPD tente de répondre à deux types de risques : les vols de données et les violations de la vie privée. Dans le cas d’une intrusion informatique, vous perdez le contrôle de vos données et le risque se traduit par des coûts opérationnels et une atteinte à votre image de marque. Dans le cas de violations de la vie privée, les implications sont moindres au regard du RGPD car vous aurez conservé la maîtrise de ces données.
Dans un blog post publié il y a quelques semaines, Samu Konttinen, CEO chez F-Secure, expliquait, en citant le baromètre de risque Allianz 2016, que les cyber incidents représentent le troisième risque le plus important pour les entreprises. Le RGPD contraint les entreprises à investir davantage pour mieux gérer ces risques.
La conformité au RGPD, tout comme la cyber sécurité en général, ne se résume pas au simple achat de produits de sécurité. Voici quelques points importants sur lesquels doivent se pencher les entreprises se préparant à l’entrée en vigueur du RGPD :
La réorganisation des entreprises occupera un rôle-clé dans le succès de la mise en place des projets relatifs au RGPD
Une bonne préparation au RGPD passe par un changement dans la gestion des données personnelles. Et pas seulement sur le plan technique. Il s’agit de revoir les différents process, pour améliorer la manière dont les informations transitent au sein des différents services. Des changements d’ordre structurel doivent alors avoir lieu. De nombreux départements doivent être sollicités, en particulier les services juridiques et informatiques. Les architectes de l’entreprise ne doivent pas seulement être informés : ils seront à la base-même du processus, afin d’assurer la fiabilité, la durabilité des opérations et la maîtrise des coûts liés à cette transition.
Les opérations de cyber sécurité devront se structurer autour de la protection de la vie privée des individus
L’un des objectifs-clés du RGPD est de protéger les données personnelles. Cet objectif suppose un travail dit d’architecture (droits d’accès, capacité à répondre aux requêtes liées aux données, minimisation des données) et un travail de sécurité (minimiser sa surface d’attaque, amélioration des capacités de détection et de réponse…).
En répondant à ces deux types d’impératifs, les entreprises peuvent gérer les risques liés à la gestion des données personnelles, tels que les intrusions informatiques.
Détection des incidents et capacité à réagir : des éléments désormais essentiels
De nombreuses entreprises investissent dans la protection de leur périmètre (en utilisant, par exemple, des firewalls et autres outils de protection des postes de travail). Cela n’est pas suffisant pour le RGPD. En effet, la détection des incidents et la capacité à réagir, ainsi que le renforcement du réseau, jouent désormais un rôle tout aussi important dans la cyber sécurité des entreprises. Être capable de détecter les intrusions informatiques et de gérer les dommages que peuvent infliger les pirates doit désormais constituer l’une de vos priorités si vous souhaitez répondre aux exigences du RGPD.
Plus important encore, la détection des incidents et la capacité à réagir sont vitales en cas d’incidents de sécurité (notamment en cas d’intrusion informatique). Plus encore que d’autres manquements aux RGPD (comme la lenteur à répondre aux requêtes d’accès, par exemple), ce type de vulnérabilité vous met particulièrement en danger.
Conformité au RGPD : être préparé pour faire face au pire
Les responsables de l’organisation/architecture des entreprises doivent superviser les nouveaux process pour en garantir le bon déroulement. Un composant-clé du RGPD est la capacité à réagir, y compris en cas d’échec de ces process.
Voici quelques suggestions concernant les process que vous pouvez mettre en place pour être certain de pouvoir faire face en cas d’incident :
▪ Des tests dits de « Red Teaming » (mise à l’épreuve par une équipe chargée de jouer le rôle de pirates) peuvent aider les organisations à mettre en évidence leurs points faibles en matière de gestion des données personnelles, dans une optique d’amélioration des process.
▪ Une évaluation régulière du plan de gestion de crise de l’entreprise. Une fois le RGPD entré en vigueur, les entreprises disposeront de 72 heures pour faire état d’une intrusion, une fois celle-ci découverte. Utiliser intelligemment ces 72 heures peut permettre aux entreprises de limiter les dommages causés et de revenir à une activité normale aussi rapidement que possible.
▪ Des exercices de gestion de crise doivent être menés régulièrement. Durant ces exercices de simulation, l’équipe de gestion de crise doit faire face à un scénario de crise (une intrusion informatique, par exemple), afin de mettre leur à l’épreuve sa stratégie de résolution de problèmes. Ces exercices permettent d’être mieux préparé en cas d’événement inattendu, susceptible de paralyser l’activité de l’entreprise.
La conformité au RGPD implique des efforts sur le long-terme
De nombreuses entreprises pensent que la conformité au RGPD exige simplement un effort ponctuel de réorganisation. Elles considèrent le RGPD comme une contrainte, plus que comme une opportunité. C’est précisément cet état d’esprit qui minimisera le bénéfice qu’elles peuvent tirer du RGPD.
Catégories