Didier Guyomarc’h, Directeur Régional Europe du Sud, Zscaler
Depuis l’introduction de ce nouveau règlement, les contraintes qui y sont liées ont largement alimenté les discussions concernant notamment les coûts supplémentaires associés à la mise en œuvre de nouveaux processus et les amendes pour non-conformité. Toutefois, le RGPD ne devrait pas être uniquement perçu comme une exigence réglementaire supplémentaire à respecter mais aussi comme une étape positive permettant d’améliorer l’équilibre de la confidentialité et la protection des données entre les particuliers et les entreprises, ainsi que les pratiques de gestion des données et la sécurité globale pour toutes les parties concernées.
Mise en conformité : les défis
La mise en conformité peut être une tâche complexe, nécessitant une collaboration et une coordination entre les différents départements chargés de planifier et d’exécuter les processus et les technologies nécessaires.
Dans certains cas, le premier obstacle à la mise en conformité consistera simplement à définir les prérequis. Par exemple, dans l’article 25, « Protection des données dès la conception et protection des données par défaut », les directives indiquent que « l’état des connaissances » relatif au traitement des données doit être pris en compte lors de la planification des étapes nécessaires pour assurer la mise conformité. Toutefois, l’expression « état des connaissances » n’est pas définie dans le règlement et cette ambiguïté soulève de nombreuses questions.
Le traitement des données personnelles constitue une autre problématique. Aujourd’hui, compte tenu de la facilité avec laquelle les entreprises peuvent récupérer des données sur les clients, elles en collectent plus que jamais. Souvent, la collecte est effectuée à une telle échelle qu’il peut y avoir un manque de supervision entravant la gestion et le stockage sécurisé d’informations sensibles. Le RGPD impose des règles de sécurité plus strictes pour renforcer les droits des clients sur leurs données. Les entreprises seront tenues de consigner toutes les données personnelles collectées, en indiquant l’origine des données, les raisons pour lesquelles elles sont collectées et où elles sont stockées.
Ne serait-ce que pour déterminer comment les données sont compilées et stockées, les entreprises vont devoir réaliser des investissements IT importants. Or, les amendes pour violation de la protection des données, pouvant s’élever jusqu’à 4 % du chiffre d’affaires global annuel des entreprises ou 20 millions d’euros (le montant le plus élevé étant retenu), seront trop coûteuses pour ne pas réaliser ces investissements. En conséquence, la protection des informations personnelles passera d’une responsabilité du département IT à une priorité pour le comité de direction.
Pour respecter l’exigence du RGPD imposant la notification d’une violation dans un délai de 72 heures, les entreprises devront également mieux connaître leurs flux de données, tout en ayant une vue plus complète des menaces. Les entreprises devront mettre en œuvre des plans structurés de réponse aux cyberattaques destinés à reproduire les attaques, à comprendre les responsabilités et à transmettre les informations rapidement et avec précision. Bien que cela soit complexe et difficile à réaliser, ces plans devront être mis en place dans les douze mois à venir, avant mai 2018.
Les entreprises, et pas seulement les particuliers, pourront tirer parti du RGPD
Il a fallu beaucoup de temps pour trouver le juste équilibre entre la confidentialité et la protection des données dans le sillage de la montée en puissance des réseaux sociaux, mais il est aujourd’hui généralement reconnu que la modernisation des lois n’a que trop tardé.
Selon la Commission européenne, le RGPD permettra aux particuliers de mieux contrôler la protection de leurs données personnelles ; de plus, ils auront le droit de savoir comment elles sont utilisées et par qui, et d’être informés en cas de violation de données. Plutôt que de lutter contre ces développements, les entreprises ont tout intérêt à considérer le RGPD comme un moyen d’améliorer la gestion des données tout en renforçant la sécurité globale de leur infrastructure informatique.
Étapes nécessaires pour améliorer la gestion des données
Pour tirer pleinement parti de l’opportunité d’améliorer leurs pratiques en matière de gestion des données, les entreprises doivent adopter une approche plus proactive de la protection et de la gestion des données numériques. Cela signifie qu’elles doivent mettre en place une technologie qui les aide à contrôler et à protéger leurs ressources numériques, et à harmoniser les approches hétérogènes des départements afin d’établir une vision commune nécessaire pour actualiser leur stratégie de sécurité.
Pour ce faire, elles doivent tenir compte des aspects suivants :
1) Pour commencer, les entreprises doivent évaluer si leur niveau de sécurité est suffisant pour protéger leurs données contre les menaces modernes et les techniques courantes utilisées par les attaquants pour récupérer des informations critiques. Elles doivent examiner leur stratégie de sécurité actuelle et se demander comment savoir si les données ont été compromises et si elles sont en mesure d’identifier efficacement les périphériques infectés.
2) Le cas échéant, une approche de défense en profondeur et multicouche doit être mise en place pour détecter et bloquer les attaques les plus difficiles à détecter. L’inspection SSL et l’analyse comportementale sont des éléments essentiels de cette approche.
3) Les entreprises doivent savoir où sont stockées les données personnelles, en particulier dans ce contexte où les infrastructures hybrides se multiplient. Nombreux sont les employés qui téléchargent et installent des applications externes à l’insu du département IT (« Shadow IT »). Ainsi, de plus en plus de données personnelles échappent au contrôle de l’entreprise. Le problème est que ces applications contournent les mesures de sécurité normales et constituent une menace tant pour l’utilisateur que pour la capacité de l’entreprise à se protéger et à respecter les exigences du RGPD. Pour reprendre le contrôle, les entreprises doivent tenir compte des besoins des employés et adopter de nouvelles technologies qui simplifient les processus et améliorent la productivité, sinon les employés se tourneront de plus en plus vers ce type d’applications qui échappent aux contrôles de sécurité du réseau de l’entreprise. La première étape consiste à obtenir une vue d’ensemble de toutes les applications Cloud utilisées au sein de l’entreprise et à s’appuyer sur des concepts tels que le CASB (Cloud Access Security Broker) pour éliminer les failles de sécurité.
4) Ensuite, les entreprises doivent s’assurer que les informations protégées ne sont pas exposées par le biais du stockage en mode Cloud, des sites de partage de fichiers, des blogs, des applications de messagerie Web, des réseaux sociaux, de la messagerie instantanée et d’autres canaux Internet. La plupart des entreprises ont investi dans une défense périmétrique, mais le niveau de sécurité assuré est insuffisant contre les menaces actuelles. Certaines ont créé des contrôles pour les données résidant au sein du réseau et de nombreuses autres ont déployé la technologie de prévention des pertes de données au sein de leurs réseaux pour empêcher tout accès non autorisé. Cependant, entre les effets néfastes des actions involontaires des utilisateurs, les activités malveillantes et le simple manque de sensibilisation, ces mesures de sécurité sont probablement encore insuffisantes pour éviter que les données sensibles ne soient divulguées sur Internet. La mise en œuvre de systèmes de prévention des pertes de données qui surveillent les données Internet en mouvement permet de réduire considérablement ce risque et d’améliorer la gestion des données.
Les entreprises doivent renforcer la protection des données pour respecter les exigences du RGPD. La législation présente un certain nombre de difficultés pour les entreprises qui traitent les données des clients, mais elle offre également d’importantes opportunités. En homogénéisant la gestion des données à l’échelle de l’entreprise, il est possible d’être protégé tout en regagnant la confiance de ceux dont nous avons le plus besoin : les clients.
Mise en conformité : les défis
La mise en conformité peut être une tâche complexe, nécessitant une collaboration et une coordination entre les différents départements chargés de planifier et d’exécuter les processus et les technologies nécessaires.
Dans certains cas, le premier obstacle à la mise en conformité consistera simplement à définir les prérequis. Par exemple, dans l’article 25, « Protection des données dès la conception et protection des données par défaut », les directives indiquent que « l’état des connaissances » relatif au traitement des données doit être pris en compte lors de la planification des étapes nécessaires pour assurer la mise conformité. Toutefois, l’expression « état des connaissances » n’est pas définie dans le règlement et cette ambiguïté soulève de nombreuses questions.
Le traitement des données personnelles constitue une autre problématique. Aujourd’hui, compte tenu de la facilité avec laquelle les entreprises peuvent récupérer des données sur les clients, elles en collectent plus que jamais. Souvent, la collecte est effectuée à une telle échelle qu’il peut y avoir un manque de supervision entravant la gestion et le stockage sécurisé d’informations sensibles. Le RGPD impose des règles de sécurité plus strictes pour renforcer les droits des clients sur leurs données. Les entreprises seront tenues de consigner toutes les données personnelles collectées, en indiquant l’origine des données, les raisons pour lesquelles elles sont collectées et où elles sont stockées.
Ne serait-ce que pour déterminer comment les données sont compilées et stockées, les entreprises vont devoir réaliser des investissements IT importants. Or, les amendes pour violation de la protection des données, pouvant s’élever jusqu’à 4 % du chiffre d’affaires global annuel des entreprises ou 20 millions d’euros (le montant le plus élevé étant retenu), seront trop coûteuses pour ne pas réaliser ces investissements. En conséquence, la protection des informations personnelles passera d’une responsabilité du département IT à une priorité pour le comité de direction.
Pour respecter l’exigence du RGPD imposant la notification d’une violation dans un délai de 72 heures, les entreprises devront également mieux connaître leurs flux de données, tout en ayant une vue plus complète des menaces. Les entreprises devront mettre en œuvre des plans structurés de réponse aux cyberattaques destinés à reproduire les attaques, à comprendre les responsabilités et à transmettre les informations rapidement et avec précision. Bien que cela soit complexe et difficile à réaliser, ces plans devront être mis en place dans les douze mois à venir, avant mai 2018.
Les entreprises, et pas seulement les particuliers, pourront tirer parti du RGPD
Il a fallu beaucoup de temps pour trouver le juste équilibre entre la confidentialité et la protection des données dans le sillage de la montée en puissance des réseaux sociaux, mais il est aujourd’hui généralement reconnu que la modernisation des lois n’a que trop tardé.
Selon la Commission européenne, le RGPD permettra aux particuliers de mieux contrôler la protection de leurs données personnelles ; de plus, ils auront le droit de savoir comment elles sont utilisées et par qui, et d’être informés en cas de violation de données. Plutôt que de lutter contre ces développements, les entreprises ont tout intérêt à considérer le RGPD comme un moyen d’améliorer la gestion des données tout en renforçant la sécurité globale de leur infrastructure informatique.
Étapes nécessaires pour améliorer la gestion des données
Pour tirer pleinement parti de l’opportunité d’améliorer leurs pratiques en matière de gestion des données, les entreprises doivent adopter une approche plus proactive de la protection et de la gestion des données numériques. Cela signifie qu’elles doivent mettre en place une technologie qui les aide à contrôler et à protéger leurs ressources numériques, et à harmoniser les approches hétérogènes des départements afin d’établir une vision commune nécessaire pour actualiser leur stratégie de sécurité.
Pour ce faire, elles doivent tenir compte des aspects suivants :
1) Pour commencer, les entreprises doivent évaluer si leur niveau de sécurité est suffisant pour protéger leurs données contre les menaces modernes et les techniques courantes utilisées par les attaquants pour récupérer des informations critiques. Elles doivent examiner leur stratégie de sécurité actuelle et se demander comment savoir si les données ont été compromises et si elles sont en mesure d’identifier efficacement les périphériques infectés.
2) Le cas échéant, une approche de défense en profondeur et multicouche doit être mise en place pour détecter et bloquer les attaques les plus difficiles à détecter. L’inspection SSL et l’analyse comportementale sont des éléments essentiels de cette approche.
3) Les entreprises doivent savoir où sont stockées les données personnelles, en particulier dans ce contexte où les infrastructures hybrides se multiplient. Nombreux sont les employés qui téléchargent et installent des applications externes à l’insu du département IT (« Shadow IT »). Ainsi, de plus en plus de données personnelles échappent au contrôle de l’entreprise. Le problème est que ces applications contournent les mesures de sécurité normales et constituent une menace tant pour l’utilisateur que pour la capacité de l’entreprise à se protéger et à respecter les exigences du RGPD. Pour reprendre le contrôle, les entreprises doivent tenir compte des besoins des employés et adopter de nouvelles technologies qui simplifient les processus et améliorent la productivité, sinon les employés se tourneront de plus en plus vers ce type d’applications qui échappent aux contrôles de sécurité du réseau de l’entreprise. La première étape consiste à obtenir une vue d’ensemble de toutes les applications Cloud utilisées au sein de l’entreprise et à s’appuyer sur des concepts tels que le CASB (Cloud Access Security Broker) pour éliminer les failles de sécurité.
4) Ensuite, les entreprises doivent s’assurer que les informations protégées ne sont pas exposées par le biais du stockage en mode Cloud, des sites de partage de fichiers, des blogs, des applications de messagerie Web, des réseaux sociaux, de la messagerie instantanée et d’autres canaux Internet. La plupart des entreprises ont investi dans une défense périmétrique, mais le niveau de sécurité assuré est insuffisant contre les menaces actuelles. Certaines ont créé des contrôles pour les données résidant au sein du réseau et de nombreuses autres ont déployé la technologie de prévention des pertes de données au sein de leurs réseaux pour empêcher tout accès non autorisé. Cependant, entre les effets néfastes des actions involontaires des utilisateurs, les activités malveillantes et le simple manque de sensibilisation, ces mesures de sécurité sont probablement encore insuffisantes pour éviter que les données sensibles ne soient divulguées sur Internet. La mise en œuvre de systèmes de prévention des pertes de données qui surveillent les données Internet en mouvement permet de réduire considérablement ce risque et d’améliorer la gestion des données.
Les entreprises doivent renforcer la protection des données pour respecter les exigences du RGPD. La législation présente un certain nombre de difficultés pour les entreprises qui traitent les données des clients, mais elle offre également d’importantes opportunités. En homogénéisant la gestion des données à l’échelle de l’entreprise, il est possible d’être protégé tout en regagnant la confiance de ceux dont nous avons le plus besoin : les clients.