Compte à rebours RGPD : connaissez-vous les trois principaux angles morts de votre entreprise ?

La majorité des entreprises ne sont pas techniquement en mesure de se conformer au RGPD. Pourtant ces organisations devront bientôt avoir une idée claire de l'endroit où leurs données sont stockées et de la manière dont elles sont protégées, de qui y accède et comment elles continueront de les protéger.

Le nouveau Règlement européen sur la protection des données concerne toutes les organisations, dans toutes les industries et dans toutes les régions. Y compris celles qui ne sont pas membres de l'UE et qui recueillent et stockent des informations personnelles sur les citoyens de l'UE. Toutefois, il reste difficile pour la plupart des organisations d’évaluer clairement les changements à apporter pour atteindre la conformité, la sévérité des pénalités et la manière dont les changements affecteront l'entreprise. Certaines luttent déjà pour maintenir un bon équilibre entre continuité des activités, administration sans faille et innovation. Le RGPD complique encore un peu plus cet équilibre.

Les angles morts du RGPD: anticiper l’inattendu

L'une des plus grandes craintes des organisations face au RGPD est le coût élevé des amendes. Les infractions, ou même l’impossibilité de produire les données nécessaires pour démontrer la conformité, peuvent entraîner de lourdes amendes pouvant aller jusqu' à quatre pour cent des recettes mondiales soit 20 millions d'euros. La meilleure façon de s'assurer que cela ne se produise pas est d'avoir une longueur d'avance et d’anticiper les problèmes. En discutant avec les chefs d'entreprise, les responsables de la protection des données (RPD) et les responsables informatiques, on se rend compte qu’au fur et à mesure que les stratégies de conformité sont élaborées, trois "angles morts organisationnels" reviennent de manière assez systématique. Ce sont des points de vérification importants que toutes les organisations doivent envisager.

Savoir-faire inadaptés

Auparavant, les entreprises considéraient le RPD comme rôle non critique qui pouvait être rempli par des employés avec une expérience et une expertise minimum en matière de risques ou de technologies de l'information. Désormais, un RPD doit avoir une connaissance fine des lois européennes et mondiales sur la protection de la vie privée, des opérations informatiques, y compris l'audit et suffisamment d'empathie pour traiter avec les clients. C’est un poste double. Tout d'abord, ils devront passer par une analyse pour comprendre la situation actuelle, l’objectif à atteindre et les manques à combler. Deuxièmement, ils devront s'assurer que l'entreprise comprend les risques et identifier les responsabilités conjointes, ce qui peut parfois révéler d'autres lacunes en matière de sécurité, de gestion des données ou de conformité.

La principale menace est interne

Plus de 70 % des violations de données impliquent un employé interne, et ce, en grande partie parce que la plupart des organisations concentrent leur efforts sur la protection contre sur les menaces externes. Pour renforcer la sécurité et la gouvernance internes, les organisations doivent mettre en place des contrôles stricts sur l'accès à leurs ressources sensibles. Les entreprises peuvent même mettre en place des contrôles proactifs et des alertes de violation de données en temps réel qui avertissent immédiatement les personnes en charge de la protection des données et d'autres parties prenantes clés pour éviter les amendes ou encore les dommages sur la réputation de l’entreprise.

Ne pas confondre devenir et rester conforme

L’entrée en vigueur du RGPD n'est pas une case à cocher qui le reste éternellement. Sans investissement dans la durée, les organisations peuvent tomber en défaut de conformité. Or, une fois le nouveau règlement appliqué, les entreprises doivent pouvoir démontrer leur conformité à tout moment. Une fois que les données sont recueillies, la production et la distribution de rapports lisibles et cohérent avec les méthodes d’audit exigent un investissement supplémentaire. C'est pourquoi la vérification en temps réel, l'expertise approfondie et la surveillance complète sont essentielles. Cela signifie que les organisations doivent être en mesure de détecter les activités suspectes ou l'accès non autorisé aux fichiers ou aux systèmes contenant des données à caractère personnel et de déterminer rapidement qui a effectué quels changements, quand, où et à partir de quel point d’entrée.

Ces trois points illustrent la manière dont les organisations peuvent être prises au dépourvu si les bons outils ou talents ne sont pas en place à temps. Qu'il s'agisse d'un environnement sur site, de cloud computing ou d'un environnement hybride, les dirigeants doivent s'assurer d'avoir une visibilité totale sur tous les systèmes de données non structurés. De plus, ils doivent évaluer régulièrement les politiques de sécurité existantes, les paramètres de configuration du système et les droits d'accès privilégiés pour réduire le risque de fuite des données internes et externes en identifiant les utilisateurs dont l'accès est inapproprié. La vie après la mise en application du RGPD n’est pas nécessairement difficile si ces mesures sont en place au préalable et continuent d’imprégner toute l'entreprise.

Importance de pérenniser

Rien qu'au cours du premier semestre 2017, on a dénombré près de 1 000 violations de données dans le monde, qui ont entraîné la perte ou le vol de plus de 10 millions d'enregistrements. Il ne fait aucun doute que le RGPD va remodeler la façon dont les organisations interagiront et fonctionneront. Les violations de données peuvent endommager les réputations de l’organisation, générer de lourdes amendes et gâcher des carrières à tous les niveaux.

La conformité n'est pas un exercice annuel ou mensuel, mais quotidien. Après mai 2018, les organisations devront procéder à des vérifications fréquentes du système à travers toutes leurs infrastructures pour s'assurer qu'il n’y a pas de vulnérabilités non documentées. L’apprentissage et la formation continue seront essentiels pour tous les départements, surtout pour les nouveaux employés qui doivent connaitre les processus de notification et de rapport d’incident.

Bien que de nombreuses entreprises restent à la traîne, il n'est pas trop tard pour ouvrir une nouvelle voie - celle qui promeut la sécurité des données dans la conception même des SI et défend les droits des individus, pas seulement ceux de l'entreprise.