GDPR, par où commencer ?

Juin 2017 : le compte à rebours GDPR a commencé et les entreprises se mettent en ordre de bataille pour garantir leur mise en conformité selon les délais établis par la Commission Européenne.

 

Mais avant de se lancer dans plusieurs projets en parallèle tête baissée, il est impératif de bien comprendre que la nouvelle loi de protection des données personnelles va d’abord révolutionner la façon dont les entreprises vont collecter, stocker, traiter et partager les données personnelles de leurs clients et de leurs collaborateurs. Cette nouvelle approche dans le traitement des données va nécessiter des entreprises une organisation interne ad hoc et des mesures adaptées pour répondre aux directives imposées par la loi. Alors GDPR, un vaste chantier ? Tout dépend de l’entreprise et de l’utilisation des données personnelles en sa possession mais, dans tous les cas, c’est un passage obligatoire qu’il faudra appréhender selon différentes étapes pour sécuriser ses données personnelles.

1ère étape : l’approche méthodologique ou l’engagement d’une première démarche

Comme l’entreprise va être jugée sur ses processus internes, il convient tout d’abord de mettre en place une démarche de réflexion pour s’interroger sur les politiques déjà en place et leurs capacité à répondre aux directives de la GDPR en impliquant l’ensemble des parties prenantes de l’entreprise. Quelles solutions de sécurité sont développées in situ? Sont-elles récentes et mises à jour régulièrement ? Répondent-elles aux besoins en protection contre les nouvelles menaces ? La conduite d’une analyse de risques en amont, permettra de mettre le doigt sur les failles potentielles de votre entreprise, de déterminer l’impact sur les droits et les libertés puis d’y associer les mesures adéquates. La notion de responsabilité étant également très poussée dans la GDPR, il est important de mener d’ores et déjà des formations internes du personnel pour les sensibiliser sur l’engagement de l’entreprise, les fuites de données et le paysage actuel des menaces.

2ème étape : l’approche juridique ou comment démontrer “une irréprochabilité” aux autorités de contrôle

Le responsable du traitement doit notifier la plupart des violations de données aux autorités de contrôle compétentes dans les 72 heures après en avoir pris connaissance. Pour être conforme à la loi, il faut donc que l’entreprise ait créé un plan de notification de violation fédérant l’ensemble des départements et qu’elle soit capable d’identifier une attaque très en amont. De plus,  l’article 32 indique que le responsable du traitement et le sous-traitant doivent, dans le cas d’un incident de sécurité,  informer les individus en plus des autorités compétentes si “la violation des données présente un risque élevé pour  leurs droits et libertés” excepté s’ils ont mis en œuvre les mesures techniques et organisationnelles de nouvelle génération appropriées pour garantir un niveau de sécurité adapté au risque, y compris la “pseudonymisation” et du chiffrement. Pour répondre aux différents articles édités par la loi, il sera donc  important de déployer une sécurité en profondeur qui accélèrera la prévention, la détection et la prise en charge des nouvelles menaces comme les ransomware tout en améliorant le contrôle global sur l’infrastructure de sécurité.

3ème étape : l’approche technologique ou le développement d’une ligne de défense holistique

Tandis que les techniques de protection des données personnelles doivent être implémentées par défaut selon les termes de la loi,  on sait que la «solution miracle», capable d’arrêter n’importe quelle menace, n’existe toujours pas. Par conséquent, il est indispensable de combiner plusieurs techniques avancées pour atteindre un niveau de protection maximal  – anti-malware, filtrage URL, analyse comportementale, contrôle applicatif, sandbox, signatures, … – à même d’opérer de manière coordonnée afin d’optimiser la prévention, la réaction et la visibilité vis-à-vis des menaces. Mettre en œuvre une approche de sécurité en profondeur basée sur une protection centrée sur les données intégrée dans toute l’entreprise, du chiffrement, du virtual patching et un puissant monitoring pour connaître en permanence l’état de sécurité de l’infrastructure informatique aidera à édifier de puissantes barrières de défense et à détecter les menaces de manière plus rapide et plus précise.

Respecter la GDPR est ainsi la première étape vers une meilleure sécurité de l’entreprise.

Leave a Reply

Your email address will not be published. Required fields are marked *