Les 6 étapes méthodologiques GDPR de la CNIL : nos conseils pour bien anticiper votre sécurité

Autorité de contrôle compétente de la GDPR ( ou RGPD en français), la CNIL a récemment communiqué sur les 6 étapes méthodologiques à mettre en œuvre pour aider les entreprises à assurer leur mise en conformité avant l’échéance du 25 mai 2018.

Étape 1. Designer un pilote

Avant la nomination d’un DPO (Délégué à la Protection des Données Personnelles), la CNIL préconise de nommer d’ores et déjà un “correspondant informatique et libertés“, qui de part sa fonction centrale, permettra d’anticiper les actions à mener. La GDPR impactant fortement la gouvernance des données, la nomination d’un responsable data en amont vous permettra d’y voir plus clair sur la localisation et la propriété des données et sur votre situation de sécurité. Cela permettra de réorienter les politiques ou de compléter les dispositifs in situ en collaboration avec la direction informatique après un audit de sécurité de votre système d’information.

Étape 2. Cartographier

Dans un deuxième temps, les entreprises devront recenser en détail les activités de traitement de données ainsi que l’ensemble des partenaires impliqués dans ces traitements, via l’utilisation d’un registre dédié. Cette étape sera ainsi l’occasion de notifier les mesures de sécurité précises déployées pour minimiser les risques d’accès non autorisés aux données, comme les technologies de chiffrement associées à la gestion des clés de chiffrement qui vont quant à elles, limiter le périmètre des accès aux données. De manière exhaustive, la confidentialité des données devra s’appuyer, outre le chiffrement,  sur un ensemble de contrôles de conformité impliquant la gestion des risques en temps réel, la surveillance globale de la sécurité du réseau, la réactivité automatique aux intrusions/incidents, la prévention multicouche des pertes de données (DLP), le contrôle des dispositifs et la protection antispam et anti-programmes malveillants de bout en bout.

Étape 3. Prioriser

Sur la base du registre qui aura été préparé, la CNIL recommande ensuite d’identifier, pour chaque activité de traitement, les actions qui devront être mises en œuvre pour se conformer aux obligations légales de protection des données. Une hiérarchisation devra être effectuée en tenant compte des risques pour les droits et libertés des personnes concernées. Lors de cette phase, vérifiez bien que l’ensemble de vos sous-traitants et partenaires soient bien responsabilisés quant à leurs nouvelles obligations.

Etape 4. Gérer les risques

Si, au cours de l’étape précédente, vous avez mis le doigt sur des activités de traitement de données susceptibles de constituer un risque élevé pour les droits et libertés des personnes concernées, vous devrez effectuer une analyse d’impact sur la vie privée («PIA») pour chacune de ces activités. Evaluez ici si vous devez implémenter des technologies de chiffrement mais également de solutions de prévention des pertes de données (DLP) qui permettront de protéger les datas, des endpoints jusqu’au cloud. Vous serez ainsi en mesure d’identifier, de traquer et de protéger toutes les données confidentielles à partir de nombreux points sans affecter la productivité ou les performances de vos employés. Pensez également à préserver la disponibilité de vos applications critiques avec le Virtual Patching.

Étape 5. Organiser

Lors de cette cinquième étape, vous devrez mettre en œuvre des procédures internes pour garantir la protection des données en permanence, en tenant compte des événements pouvant survenir pendant la durée de vie de l’activité de traitement  tels que des failles de sécurité, une demande de rectification ou d’accès,… Il faut 200 jours en moyenne avant qu’une entreprise ne détecte une cyber attaque. Pour être capable de notifier une compromission dans les 72 heures, une solution de protection qui détecte, analyse et neutralise les attaques ciblées à l’aide de moteurs de détection spécialisés et du sandboxing, le tout sur les périmètres les plus critiques de votre entreprise sera nécessaire.

 Étape 6. Documenter

Lors de l’étape finale, les entreprises devront être capables de prouver leur conformité au travers d’une documentation adéquate. Les actions et les documents produits à chaque étape doivent être régulièrement réexaminés et mis à jour afin d’assurer une protection continue des données. Pour être conforme à la loi, il faut donc que l’entreprise développe son propre plan de notification de violation et qu’elle soit capable d’identifier une attaque très en amont grâce à une solution de protection connectée et active sur tous les points critiques de l’infrastructure.

 

Leave a Reply

Your email address will not be published. Required fields are marked *