RGPD et cybersécurité : comment repenser sa stratégie

Les consommateurs renseignent de plus en plus de données personnelles sur les sites mobiles. Des données qui représentent aussi bien un gisement de valeur pour l’entreprise qu’une proie pour les hackers.

Les dernières évolutions technologiques, notamment le cloud et les technologies mobiles, ont favorisé la numérisation des usages, de l’employé qui travaille à distance au particulier qui gère son compte bancaire depuis son smartphone. Les consommateurs renseignent donc de plus en plus de données personnelles sur les sites mobiles. Toutefois, l’ensemble de ces données représente aussi bien un gisement de valeur pour l’entreprise qu’une proie de choix pour les hackers et les cybercriminels. En effet, garantir la protection des données personnelles de leur clientèle est de plus en plus difficile pour les entreprises, aussi bien en raison de la professionnalisation des hackers que des interactions croissantes entre leurs services et les smartphones des particuliers. D’où la mise en place du RGPD qui vise à :

• renforcer le droit des citoyens européens concernant l’accès et l’usage de leurs données personnelles où qu’ils soient dans le monde, même si le collecteur de data est situé hors du territoire européen
• favoriser l’unification des process de sécurisation de données pouvant en effet permettre aux entreprises d’épargner autour de 2,3 billions d’euros par an.

Se pose alors la question : comment adapter au mieux sa stratégie de cybersécurité pour transformer cette réglementation en bénéfice pour l’entreprise ?

I – Inclure la cybersécurité au cœur des enjeux business de l’entreprise

Le RGPD requiert des organisations qu’elles connaissent le lieu, la date et le type de données collectées, ainsi que leurs modalités de collecte et de stockage. Ces informations doivent également être partagées avec tous les dirigeants de l’entreprise. D’autre part, la conformité de l’entreprise au RGPD doit être constatée par un acteur indépendant, pour des raisons de légitimité.

Il est également primordial que les entreprises appréhendent les risques liés au RGPD sous l’angle business. Sans cette « traduction des risques », il sera difficile pour les chefs d’entreprises de prendre leurs décisions en connaissance de cause et d’estimer les ressources humaines et financières nécessaires à une bonne gestion de la protection des données. Dans le cadre du RGPD, la mise en place d’une stratégie de Sécurité étroitement liée à la stratégie Business pour le RGPD permettra d’éviter le problème et de promouvoir de meilleures techniques de management des risques, aussi bien auprès des Risk Managers que des chefs d’entreprise. A titre d’exemple, le fait de ne pas être en règle avec le RGPD peut coûter jusqu’à 4% du chiffre d’affaires annuel global.

II – Quels outils mettre en place pour appréhender au mieux le RGPD ?

Les outils de gouvernance et de gestion des risques seront appelés à jouer un rôle important pour que l’entreprise puisse remplir ses obligations vis-à-vis du RGPD. Deux types de mesures devront être mises en place. Des mesures techniques qui incluent la mise en place de technologies pour aider à protéger et arbitrer l’accès aux systèmes de l’entreprise, et organisationnelles qui impliquent des process de contrôle pour les tierces personnes en contact avec les données de l’entreprise, des modalités d’entrée de la donnée et du contrôle de son utilisation…

L’ensemble de ces mesures sera destiné à assurer la sécurité physique des données de l’entreprise et à les protéger de toute altération, divulgation ou diffusion illégale. Il est important d’enregistrer les résultats des mesures techniques et organisationnelles sur une période d’essai afin de s’assurer de leur efficacité.

Enfin, les politiques d’évaluation de risques et de contrôle des entreprises devront être perpétuellement révisées pour être au plus près des nouveaux usages, et ainsi rester conformes avec le RGPD. En effet, les risques liés à ce dernier seront amenés à évoluer en fonction des process de l’entreprise ou des habitudes des consommateurs.

III – Le risque d’usurpation d’identité, un risque majeur à prendre en compte dans le cadre du RGPD

L’identité est le plus grand vecteur de risques avec 63 % d’usurpation d’identifiants en 2015 fondées à 81 % sur l’usurpation ou le vol d’un mot de passe trop facilement identifiable (2017 Verizon Data Breach Investigations Report). Des chiffres qui soulignent l’urgence de mettre en place des process d’authentification plus exigeants qui, tout en restant pratiques pour l’usager, permettront de renforcer la sécurité des données tout en étant en règle avec la loi. Construire une solide politique de gestion des identités et des accès constitue une étape incontournable pour réduire le risque d’usurpation d’identité.

Cela peut également aider les entreprises à répondre à 3 questions phares pour protéger des données sensibles et/ou personnelles : les utilisateurs sont-ils bien ceux qu’ils prétendent être ? ; ont-ils le bon niveau d’accès et les accès sont-ils en règle avec la loi ?

En premier lieu, les entreprises doivent fournir un accès pratique mais sécurisé aux usagers pour qu’ils puissent correctement faire leur travail, tout en permettant aux organisations de s’assurer de leur identité. Cela implique une grande attention portée aux conditions d’accès aux données. Enfin, régulièrement prouver sa conformité aux exigences du RGPD sera chose aisée si l’entreprise a pris la précaution de mettre en place des contrôles d’identités réguliers et des process clairs de gouvernance de données.

Des comptes compromis ou des mots de passe volés peuvent être perçus comme une faiblesse dans la conformité au RGPD. Les entreprises doivent se montrer proactives dans le management de l’accès aux données personnelles. Dans le cadre d’une éventuelle infraction, de solides audits de sécurité témoigneront de la bonne volonté de l’entreprise pour s’aligner avec les exigences du RGPD.