Depuis le scandale autour de Facebook et Cambridge Analytica, la data privacy ne fait plus débat. Les risques liés à de mauvaises pratiques en matière de données ne sont plus un secret pour personne. Le Règlement Général sur la Protection des Données personnelles (RGPD) est attendu plus que jamais. Les banques, naturellement collecteurs de données personnelles et confidentielles de leurs clients, sont parmi les plus concernées par cette nouvelle règlementation. Quelle est l’approche des banques pour s’adapter aux nouvelles exigences en matière de sécurité des données et que reste-t-il à faire ?

Réputation ou données : qu’est-ce que vous êtes prêts à perdre ?

Après les révélations sur une exploitation abusive des données personnelles de 50 millions de membres de Facebook, le cours de Bourse du réseau social a décroché. Les interviews accordées par son dirigeant à la presse n’ont pas suffi à complètement restaurer la confiance. Si les données sont devenues le nouveau pétrole dans la « trust economy » numérique, elles n’ont pas pour autant remplacé la réputation, une valeur qui vaut plus cher que jamais.

De ce point de vue, le RGPD arrive au bon moment, car il renforce les droits de personnes physiques et pousse les entreprises, dont les banques, à repenser leurs dispositifs de conformité. Le règlement sert avant tout d’outil organisationnel, basé sur une logique proche de la gestion des risques. Contrairement aux textes précédents qui imposaient déjà des contrôles et des autorisations préalables, son objectif consiste à mesurer et améliorer les comportements à travers une plus grande responsabilisation des organisations et de leurs salariés, ainsi qu’une relation plus transparente avec les clients. Il ajoute un suivi régulier et un perfectionnement permanent.

RGPD : plusieurs niveaux de protection

RGPD va au-delà de la conformité : il contrôle les comportements. L’objectif du RGPD consiste à contrôler qui accède aux données personnelles, quand, comment et dans quelles conditions, et de pouvoir prouver la légitimité de ces actions afin d’assurer la sécurité des données personnelles, la traçabilité de leurs usages et la transparence dans la relation entreprise-client. Contrairement à d’autres normes de cadrage prescriptives, ce règlement n’impose aucun outil ou méthode en particulier, mais laisse un champ large d’organisation. Chaque entreprise devra définir le dispositif à mettre en œuvre, adapté et intégré à l’organisation existante de sécurité numérique. Ce dispositif comprendra 4 axes :

  1. Gouvernance: la protection des données est un aspect primordial de la gestion des risques.  Il est donc important de mener un audit de sécurité numérique et de protection des données pour instaurer une politique cohérente et définir les responsabilités.
  2. Organisation: revoir les règles et les procédures, mettre en place une organisation de sécurité de l’information et nommer un Data Protection Officer (DPO).
  3. Gestion des risques et contrôle: définir et mettre en œuvre les méthodes et les outils nécessaires pour protéger les applications, les systèmes, les réseaux, les identités, les données et les postes utilisateurs (ordinateurs, smartphones, tablettes).
  4. Sensibilisation et formation: expliquer les enjeux de la protection des données aux salariés et les former à l’utilisation des outils.

Ce qui prend encore plus d’ampleur avec la nouvelle règlementation c’est la « user awareness ». La conduite du changement devient un des piliers de RGPD : si vous n’avez pas mis en place une gouvernance, une organisation et des process, si vous n’avez pas sensibilisé votre personnel à la protection des données, vos outils ne servent à rien.

Méthodologie : Security by design 

Depuis bien longtemps sensibilisées aux sujets de conformité, les banques possèdent la majorité des outils nécessaires, maîtrisent l’implémentation de grands projets règlementaires et sont globalement mieux préparées en la matière que les entreprises d’autres secteurs. Pour réussir la mise en conformité avec les exigences du RGPD, elles devront donc tenir compte de la base existante et la faire évoluer.

Le RGPD étant un processus continu, il n’est pas nécessaire d’envisager l’évolution immédiate et instantanée de l’entièreté du système d’informations. Avant de missionner un audit général par un grand cabinet, je préconise de mener des audits de sécurité numérique par un prestataire spécialisé et ce, dans une approche cartographiée sur des axes précis – bases de données, postes de travail, outillage, réseaux, etc.  L’objectif est d’analyser des failles de sécurité potentielles (dans les flux, les applications, les accès, etc.) et les réparer selon les bonnes pratiques et avec les bons outils, cela afin de répondre rapidement au besoin de « Security by design » présent dans le règlement.

La méthodologie préconisée serait de démarrer par une phase de diagnostic pour évaluer les étapes nécessaires, les prioriser et évaluer leur mise en œuvre en termes de coûts et de délais. Par exemple, une évaluation de l’impact de la protection des données (data protection impact assessment) sert à vérifier les environnements dans lesquels se trouvent les données et mettre en place un plan d’action qui comprend une analyse de risques et une mise aux normes : clés de chiffrement, dissociation entre la base qui contient la donnée d’identification et le reste des données (pseudonymisation), gouvernance des identités. Ensuite un prestataire externe peut intervenir dans la mise en place de moyens de contrôle des appareils connectés (ordinateurs, smartphones, tablettes), des accès, de la gestion des identités, de la protection des assets, etc.

Au-delà des obligations de conformité, la nouvelle règlementation représente pour les banques une opportunité de transformation et de modernisation. Dans un monde gouverné par la donnée, dans le contexte de changement technologique permanent et avec l’arrivée à maturité des nouveaux usages, les banques doivent utiliser la protection des données comme levier pour accélérer leur mutation et renforcer leur image de tiers de confiance.

___________
Laurent Benoît est manager au Pôle Sécurité d’Avanade