Le Règlement général sur la protection des données (GDPR), dont l’entrée en vigueur est prévue en mai 2018, a pour objectif d’unifier la protection des données à caractère personnel au sein de l’Union européenne. Dans la mesure où le GDPR englobe également l’exportation des données personnelles à l’extérieur de l’UE, son impact et ses implications seront applicables au niveau mondial, couvriront un large spectre, et seront décisifs pour toutes les entreprises internationales.

À l’intérieur comme à l’extérieur de l’Europe, les entreprises commencent naturellement à se demander comment appliquer le GDPR avec le niveau de contrôle que requiert leur organisation.

Une question de timing

Se pose ici la question du calendrier. Si une entreprise sait que ses données ont été victimes d’une faille, elle doit pouvoir prouver que les mesures appropriées ont été prises en temps opportun pour y remédier — ce qui aura un impact sur le montant des amendes encourues.

Prenons l’exemple d’un géant du secteur pharmaceutique comme Reckitt Benckiser. Le rayon d’action de ses activités soulève de façon permanente un défi monumental en matière de gestion des identités sous l’angle de la gestion des données.

Dans le cas de Reckitt Benckiser, on constate qu’une grande quantité de données réside dans des systèmes de gestion de la relation client (CRM), des moteurs de recherche et diverses études concernant les acheteurs de ses produits.

Les questions à se poser sont par conséquent les suivantes : quelles données résident à quel endroit ? Qui peut y accéder ? Quelles règles régissent leur disponibilité et comment sont-elles gérées de façon courante ?

Réguler les règles

Le danger que rencontre cette catégorie d’entreprises face aux risques d’usurpation d’identités est pris en compte dans les mesures prévues par le GDPR. En d’autres termes, les entreprises doivent se demander si elles se sont dotées des règles nécessaires pour s’assurer que ce type d’information n’a pas été publié sur le marché ou sur le Web. Et si c’est effectivement le cas, les entreprises doivent également être responsables de l’emplacement où lesdites informations ont été publiées.

Alors, est-ce que les entreprises mettent tout en œuvre pour se conformer au GDPR et acceptent les responsabilités qu’elles doivent endosser pour verrouiller les informations et notifier efficacement les failles de sécurité ?

Nous savons que la notification des failles de sécurité a connu une sensible amélioration aux États-Unis et que les autorités de régulation ont estimé que la législation correspondante était quelque peu insuffisante en Europe et dans l’ensemble de la région EMEA. Mais cette inégalité ne fait que souligner le degré de disparité et de déconnexion de ce domaine.

Prenons à présent l’exemple de l’Australie, un pays qui s’est également doté depuis quelque temps d’une loi sur la protection des données. Une fois de plus, le sentiment général parmi les médias, les analystes, les partenaires et les acteurs de la sécurité eux-mêmes est que les contrôles et les pouvoirs qu’apporte cette loi ne sont pas à la hauteur.

Mesures concrètes concernant le GDPR

Transposons maintenant la législation émanant du GDPR aux méthodes utilisées par les entreprises pour protéger leurs données. Regardons ainsi quelle est la politique de mot de passe utilisée, quelles sont les techniques de chiffrement employées pour chaque type de données, quelle est la classification de chacun de ces types de données, etc…

Les entreprises pourront ainsi acquérir une notion à la fois qualitative et quantitative de ce qu’elles font effectivement avec les différents types de données. L’impact du GDPR est propre à chaque typologie de données. Par exemple, les données concernant l’avis d’une société de crédit à propos d’un client sont nettement plus sensibles que des informations plus générales telles que son nom et ses coordonnées. C’est précisément sur ce sujet délicat qu’il faut travailler, c’est-à-dire sur la possibilité pour une entreprise de classifier et gérer des flux d’information intervenant dans un processus IT quel qu’il soit.

7 étapes vers la conformité au GDPR

  1. Fondations — Il est nécessaire de procéder à une évaluation de la maturité pour aider une entreprise à savoir où elle se positionne en termes de conformité. C’est également lors de cette étape qu’il est vérifié si la société héberge des données concernant des ressortissants de l’UE.
  2. Règles — Les entreprises doivent établir ou modifier les règles et procédures organisationnelles pour s’adapter aux exigences du GDPR concernant la confidentialité, l’intégrité, la disponibilité et la résilience (CIAR).
  3. Personnel — Les sociétés doivent désigner un responsable DPO (Data Processing Agent), une mesure obligatoire dans toutes les entreprises. De plus, au niveau des effectifs, les entreprises doivent impliquer toutes les parties prenantes et obtenir leur adhésion afin de répondre avec succès au cahier des charges du GDPR.
  4. Détection — Les entreprises doivent être en mesure de détecter et d’évaluer à tout moment et en temps réel les modifications de leur statut en matière de sécurité des données et de gestion des risques. C’est ainsi qu’elles pourront, le cas échéant, analyser la gravité de toute faille de sécurité. Ce processus de détection permettra également aux entreprises de délimiter et de calculer le coût (et l’impact financier) d’une éventuelle faille.
  5. Réaction — Toutes les entreprises doivent mettre en place des contrôles réguliers et automatisés de conformité GDPR, et intégrer ces contrôles dans un plan d’audit du risque et

de la sécurité des données. À ce stade, les entreprises peuvent également accélérer les opérations de remédiation et d’orchestration grâce à l’automatisation.

  1. Surveillance — Pour évaluer le niveau de risque de chaque entreprise, il est réellement nécessaire de surveiller l’utilisation des données et de disposer d’une visibilité en temps réel de sa conformité. Il devient ainsi possible de suivre l’état des risques et déclencher les actions de rémédiation si nécessaires. Le processus de supervision nous permet d’évaluer rapidement les services métier les moins conformes et d’identifier les domaines soumis aux plus fortes contraintes afin de déterminer si le problème est d’ordre technique, pédagogique (formation) ou personnel.
  2. Optimisation et prévision — En progressant vers le GDPR, les entreprises doivent créer une base de connaissances dédiée pour aider les responsables à traiter rapidement les problèmes récurrents et à anticiper d’éventuelles menaces et failles de sécurité.

Périmètre de responsabilité des données

L’important est de comprendre l’applicabilité du GDPR pour l’ensemble des acteurs et des partenaires. Les entreprises doivent ensuite mettre en place les processus et les systèmes permettant de traiter les différents domaines affectés par la réalité du GDPR. Les entreprises mettent tout en œuvre pour favoriser la formation au règlement GDPR au sein de leur organisation ; à ce titre, elles doivent également comprendre le niveau de responsabilité des données dans l’ensemble de leur infrastructure.

En ce qui concerne la manière dont nous pouvons répondre aux exigences du GDPR, chaque client empruntera un parcours particulier en fonction de ses données, tout en prenant les mesures nécessaires pour se conformer à ce règlement. Ensemble, nous pouvons aller de l’avant et fournir une plateforme qui nous permettra de nous élever au-dessus des risques que représentent les failles de données.

 

__________
Matthieu de Montvallon est Directeur technique France, ServiceNow