RGPD : Sécurité des données et démontrabilité

sécurité des données et RGPDRGPD : Sécurité des données et démontrabilité

La démontrabilité (ou « accountability ») est l’un des principes clés du Règlement Européen sur la Protection des Données (RGPD) : il consiste à documenter, en interne, les actions de mise en conformité, afin de pouvoir les justifier en cas de contrôle par les autorités.

Il est donc très important d’inclure dans le projet RGPD un historique complet des actions menées et de pouvoir mettre en évidence des indicateurs pertinents.

 

Faire un état des lieux de la sécurité des données

Avant de construire votre plan d’action pour respecter la RGPD, vous devez avoir une vue globale et précise de votre parc informatique. Or peu d’entreprises peuvent se targuer d’avoir une politique informatique susceptible de répondre aux exigences de ce nouveau règlement européen.

Afin de protéger les données de leurs clients, les entreprises doivent connaître la localisation de ces données. Depuis quelques années, l’avènement de solutions Cloud en services (logiciels SaaS) rend cette tâche particulièrement difficile pour la direction des systèmes d’information. Les déploiements sont facilités pour répondre à des besoins ponctuels. On observe un accroissement du nombre de serveur stoppé puis rallumé sans test préalable pour s’assurer de leur sécurité. De même, le nombre de shadow IT est beaucoup plus important que ce que les RSSI pensent : la partie immergée de l’icerberg doit être mieux appréhendée.

De plus, chaque département jouie d’une plus grande liberté pour choisir ses solutions de gestion de données. Le département commercial et/ou marketing sollicite de plus en plus de logiciels par abonnement comme les CRM (customer relationship management), lanceurs de mail ou de suivi des leads.

Toutes ces données ne sont plus stockées en interne mais bien chez un sous-traitant qui n’est autre que la société qui développe le logiciel utilisé. Dans le cas d’une cyber-attaque sur ce dernier, l’entreprise utilisant ses services peut être incriminées car ce seront les données de ses clients et prospects qui seront touchées. Il faut donc demander à vos prestataires des garanties sur les conditions de stockage des données.

Enfin, il est nécessaire de veiller à ce que les politiques de stockage des données soit respectées par les salariés. L’utilisation des appareils mobiles, tablettes et appareils personnels augmente d’autant le risque de cyber-attaque. Tous ces supports nécessitent une protection qui leur est propre et qui échappent aux entreprises. La formation auprès des salariés doit être renforcée pour restreindre le risque d’une faille humaine qui est la principale porte d’entrée utilisée par les hackers pour frapper.

 

Restreindre la charge administrative de la déclaration de perte de données

Les responsables de la sécurité des systèmes d’information (RSSI) militent pour obtenir un budget sécurité plus important. 52% des entreprises allouent moins de 3% de leur budget IT dans la sécurité. La conséquence directe est que les équipes sécurité ont connaissance de leurs failles et vulnérabilités mais n’ont pas les moyens nécessaires pour les traiter efficacement. Elles vont donc traiter en priorité celles qui sont le plus critiques. Beaucoup de RSSI aimeraient faire des analyses plus souvent de leur IT. Cependant, ils sont incapables de supporter la charge de travail qui en découlera pour effectuer toutes les remédiations efficacement.

La RGPD peut présenter un risque de surcharge pour l’équipe sécurité. En effet, l’entreprise devra nommer un responsable du traitement des données. Dans la plupart des cas, cette nomination se fera en interne. Le risque est de voir les ressources humaines destinées à la prévention réaffectée sur un autre poste.

Comme l’article 34 de la RGPD l’indique, le responsable du traitement des données désigné par l’entreprise doit communiquer toute violation de données à caractère personnel à la personne concernée dans les meilleurs délais. Or il pourra se subsister à cette tâche uniquement si l’une de ces conditions a été préalablement remplies :

a) le responsable du traitement a mis en œuvre les mesures de protection techniques et organisationnelles appropriées et ces mesures ont été appliquées aux données à caractère personnel affectées par ladite violation, en particulier les mesures qui rendent les données à caractère personnel incompréhensibles pour toute personne qui n’est pas autorisée à y avoir accès, telles que le chiffrement ;

b) le responsable du traitement a pris des mesures ultérieures qui garantissent que le risque élevé pour les droits et libertés des personnes concernées visé au paragraphe 1 n’est plus susceptible de se matérialiser ;

c) elle exigerait des efforts disproportionnés. Dans ce cas, il est plutôt procédé à une communication publique ou à une mesure similaire permettant aux personnes concernées d’être informées de manière tout aussi efficace. »

[Article 34 RGPD – Communication à la personne concernée d’une violation de données à caractère personnel]

Il est préférable d’agir sur la sécurité préventive pour ne pas être confronté à cette obligation. Elle représente une charge administrative importante qui est facultative si un plan d’action existe et qu’il est suivi par l’entreprise.

 

Comment respecter la sécurité des données et leur traitement ?

L’article 32 de la RGPD indique :

Le responsable du traitement et le sous-traitant doivent mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins :

a) la pseudonymisation et le chiffrement des données à caractère personnel ;

b) des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ;

c) des moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique ;

d) une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement »

[Article 32 RGPD – Sécurité du traitement]

L’investissement dans des solutions de sécurisation des données est donc un passage obligé pour respecter la RGPD et la démontrabilité. Les entreprises sont, pour la majorité, déjà équipées de ce type de solutions. La grande nouveauté est la mise en place d’une politique de mesure de leur efficacité sur la continuité. On pense souvent à veiller à ce que les solutions installées fonctionnent correctement à leur installation mais comme le parc informatique évolue, les configurations et solutions existantes doivent en faire de même.

Nous préconisons donc la mise en place d’une solution d’évaluation continue du niveau de risque des entreprises. Elle permet d’analyser les configurations des solutions en place pour veiller à ce qu’elles soient performantes et adaptées à l’IT.

Pour répondre aux exigences de la RGDP vous obtiendrez :

  • Un inventaire détaillé de tous vos actifs (serveurs stoppés inclus)
  • Des indicateurs de risque pertinents (basés sur l’ANSSI, OWASP et PCI)
  • Un historique détaillé des actions menées
  • Le niveau de risque de votre parc informatique
  • Des solutions de remédiation pour diminuer votre surface d’attaque
  • Vérification de la sécurité des données

 

Afin de vous préparer à la mise en place de la RGDP, nous vous offrons un diagnostic gratuit sur une de vos IP.

 

Sources :

CNIL

https://www.cnil.fr/fr/reglement-europeen-protection-donnees/

Statista

https://fr.statista.com/statistiques/581947/budget-securite-dans-budget-informatique-entreprises-france/

Leave a Reply