Comment se préparer à l’arrivée du DPO ?

DPO

Comment se préparer à l’arrivée du DPO ?

La masse de données que les entreprises traitent ne cessent d’augmenter. Le Cloud Computing et le Big Data permettent de gérer une quantité d’informations toujours plus importante pour mieux comprendre le comportement des consommateurs. Mais certaines de ces données sont très sensibles comme les identités personnelles, les adresses, numéros de carte bancaire … Il est donc nécessaire de renforcer la sécurité globale pour protéger les consommateurs.

Pour aider les entreprises, un nouveau métier s’impose : le Data Protection Officer en anglais (DPO) ou Délégué à la protection des données en français (DPD). C’est une évolution du Correspondant à la protection des données à caractère personnel, plus connu sous l’appellation de Correspondant Informatique et Libertés (CIL). Cette fonction de DPD est définie dans le Règlement général sur la protection des données (RGPD – 2016/679 du 27 avril 2016)

Quel est le rôle du DPO ?

La mission principale d’un DPO est de faire en sorte que l’organisme qui l’a désigné soit en conformité avec le cadre légal relatif aux données personnelles. Pour cela il doit, entre autres :

– Informer et sensibiliser, diffuser une culture « Informatique et Libertés »
– Veiller au respect du RGPD
– Informer, responsabiliser et alerter son employeur ou client
– Analyser, investiguer, auditer, contrôler
– Présenter un rapport annuel à son employeur ou client
– Interagir avec l’autorité de contrôle

 

Top 5 pour aider le DPO à assurer sa mission

1- Renforcer la visibilité du parc IT :

Faire un inventaire de ses actifs IT et connaître leur localisation pour mieux surveiller les données à caractères personnelles. Les environnements IT devenant de plus en plus dynamiques, notamment avec l’utilisation du Cloud, les équipes sécurité ont moins de visibilité sur les déploiements. Les départements (commerce, marketing, ressources humaines, …) ont plus de liberté pour choisir leurs outils et on constate que les solutions en mode SaaS sont de plus en plus utilisées. Plus de 80% des employés avouent utiliser une application Saas qui n’a pas été validée par son service informatique.

2- Connaître son niveau de cyber risque :

Faire un audit de sécurité pour connaître ses vulnérabilités et celles qui peuvent être rapidement exploitées. Avec une moyenne de 28 nouvelles vulnérabilités découvertes chaque jour en 2016 (50 par jours en 2017), il est nécessaire de faire un état des lieux pour connaître le niveau d’exposition de l’entreprise. Le DPO se doit de fournir des informations précises sur les actions mises en place dans son entreprise ou chez son client ainsi que de mesurer le risque que les données personnelles encourent.

3- Construire un plan d’action :

Établir un plan d’action pour réduire son niveau de risque rapidement en se concentrant sur les actifs les plus à risque. Le meilleur moyen pour construire son plan d’action est de s’appuyer sur des indicateurs de risque pertinents et compréhensibles. Ils permettront au DPO de voir là où le niveau de risque est le plus critique afin de prioritiser les actions à mener. Ils faciliteront également la communication avec l’employeur ou le client pour informer sur les possibilités de subir une cyber-attaque ainsi que leurs conséquences.

4- Automatiser la détection :

Mettre en place une solution d’analyse continue des failles de sécurité. Elle permettra au RSSI d’être alerté dès qu’une nouvelle vulnérabilité sera détectée afin que les équipes sécurité puissent appliquer les correctifs rapidement. Également, des tests effectués quotidiennement fourniront au DPO les données nécessaires pour veiller à ce que l’entreprise suive un plan d’action avec des résultats visibles sur la durée.

4- Tester son réseau en interne :

La crainte d’une entreprise est de subir une cyber-attaque externe de type ransomware ou malware. Mais elle ne doit pas oublier de vérifier les configurations sur son réseau qui pourraient donner de trop grands privilèges administrateurs à des personnes n’en ayant pas l’utilité. L’erreur humaine est en cause dans près de 83% des cyber-attaques. Le DPO doit donc insister sur la formation des employés. La connaissance et l’application des bonnes pratiques de sécurité par tous est nécessaire dans la démarche de conformité au RGPD.

 

Les solutions de sécurité qui aideront le DPO

Le RGPD imposant d’avoir un DPO dans chaque entreprise détenant des coordonnées personnelles, ces dernières doivent se préparer pour faciliter son travail. Pour les y aider, ces solutions être mises en place :

Scanner de vulnérabilités : véritable solution de sécurité préventive, elle permet de connaître ses failles pour intervenir dessus avant qu’une attaque ne se produise. Elle détectera si les solutions de sécurité en place (firewall, antivirus…) sont bien configurées.

SIEM : il permet d’analyser, gérer et corréler les logs en quasi-temps réel. Le personnel de sécurité peut ainsi prendre des mesures défensives plus rapidement. Il peut être couplé avec un SIEM pour tendre vers un SOC.

SOC : solution complète qui fait office de système de détection, d’analyse, de prévention de risques, de levées d’alertes et aussi, d’aide à la décision, de protection et d’exploitation d’éventualités.

 

Afin d’aider les entreprises à préparer le travail du DPO, nous vous offrons pendant 14 jours la mise sous surveillance de votre infrastructure IT. Vous pourrez découvrir votre niveau de risque ainsi que des rapports complets de vos vulnérabilités afin de préparer votre plan d’action.

Leave a Reply