Respecter le RGPD et protéger les données une bonne fois pour toute

De nombreuses organisations ont rencontré, voire endurent toujours, des difficultés pour établir des dispositifs solides permettant de suivre les instructions européennes relatives au Règlement Général sur la Protection des Données.

Suite à l'entrée en vigueur du Règlement Général sur la Protection des Données en 2018, les entreprises, ainsi que le Comité Européen de Protection des Données (CEPD), ont appris comment cette législation s'applique au quotidien. Le CEPD a ainsi récemment publié des lignes directrices pour aider les personnes dans une entité chargées de déterminer la finalité et les moyens du traitement des données à caractère personnel à identifier et notifier tout manquement.

Plus largement, au regard de la multitude de cyberattaques et de violations qui se produisent actuellement, ces directives sont particulièrement utiles pour aider les organisations de tous secteurs.

La sécurité des données, les informations à caractère personnel, et les compromissions, peuvent être déconcertantes pour les non-initiés, car elles le sont même parfois pour les experts IT ; en effet de nombreuses organisations ont rencontré, voire endurent toujours, des difficultés pour établir des dispositifs solides permettant de suivre les instructions européennes relatives au RGPD.

Rendre chaque employé responsable

Le guide du CEPD met particulièrement l’accent sur les risques que les cybermenaces peuvent représenter pour les consommateurs finaux et sur la nécessité d’appliquer des mesures adéquates, notamment techniques, pour les atténuer. A juste titre, le CEPD qualifie les violations de données comme des symptômes caractéristiques d’une sécurité obsolète ou vulnérable. Par ailleurs, il fournit un argument incontestable : il est toujours préférable de prévenir les compromissions de données en s’y préparant en amont que de subir, dans le cas contraire, des conséquences pouvant être irréversibles.

Le rôle du responsable du traitement des données est de contrôler toutes les informations d’identification personnelle (IIP). L’attribution de cette tâche à une seule personne ou à une équipe dédiée peut involontairement accentuer la fausse idée que la gestion des informations personnelles ne concerne qu’un nombre restreint de salariés. En effet, l’éternel problème de la sécurité des données tient au fait que, au travers de cette idée reçue, les employés sont peu au fait des enjeux et pensent que les problématiques qui en découlent ne sont pas de leur prérogative.

Or, dès qu’un individu envoie ou reçoit un document contenant une liste de noms et d’adresses, ou tout autre information permettant d’identifier une personne, il endosse alors - sans le savoir - le rôle de responsable du traitement des données. La responsabilité de chacun doit donc être clairement expliqué à tous les collaborateurs concernés, surtout ceux non expérimentés sur ces sujets. Pour simplifier et vulgariser les directives, certaines entreprises font appel à des sociétés de conseil, qui mettent au point pour tous des consignes précises et claires afin de respecter les réglementations imposées.

Security by design

Les notions liées à la responsabilité et la protection de la sécurité des données dès la conception sont clé pour le respect du RGPD. En effet, les salariés se concentrent parfois sur un objectif ou un résultat sans avoir accordé dès le commencement de la mission une attention suffisante au traitement ou au stockage des informations à caractère personnel. Les employés se comportent alors comme de simples consommateurs de données, plutôt que comme des individus responsables de leur traitement et protection, même s’il ne s’agit pas de leur rôle principal.

Par ailleurs, l’authentification à multi-facteurs et le principe du moindre privilège sont des dispositifs qui permettent de limiter ou d’atténuer considérablement une violation. De même, l’approche zero trust repose sur le principe qu'aucun utilisateur ou système n'est totalement digne de confiance sur un réseau, et qu’il ne faudrait pas leur permettre d'accéder à des ressources sans avoir vérifié leur légitimité et leur autorisation. Des stratégies de sécurité à étudier sérieusement pour la cybersécurité fasse partie intégrante des process IT d’une organisation.

Etablir des stratégies de cybersécurité

Dans ce guide du CEPD, certaines recommandations manquent de précision pour des entreprises dont les stratégies de sécurité ne sont pas encore matures. Par exemple, "il faut veiller à ce que toutes les mesures raisonnables de sécurité IT soient en place, s’assurer qu’elles sont efficaces et les mettre régulièrement à jour lorsque le traitement ou les circonstances changent ou évoluent." Des passages comme ce dernier laissent place à l’interprétation de chacun. Dès lors, il convient de privilégier une approche sécurisée telle que l’application du principe du moindre privilège, suppose que les utilisateurs n’aient strictement accès qu’aux informations dont ils ont besoin pour mener à bien leur mission. Toutefois, le constat est que peu d’organisations disposent de ressources nécessaires pour automatiser la gestion des droits d’accès ainsi que des sous-systèmes d’identité, comme l’Active Directory, pour limiter ou contrecarrer les efforts déployés par les cybercriminels pour porter atteinte à la confidentialité des données. La segmentation des réseaux est aussi une approche primordiale pour limiter les déplacements des attaquants.

Ainsi, des choix difficiles doivent être opérés par les entreprises afin d’établir des priorités de sécurité bien définies ; des stratégies souvent influencées par différents critères, allant des budgets alloués, à la configuration organisationnelle du CIO et du RSSI par rapport au reste des cadres supérieurs et au conseil d’administration, ou encore à la relation entre les équipes opérationnelles de l’informatique IT, l’ingénierie et enfin, les fonctions de sécurité et de l’informatique.

Actuellement, la tendance est à un accroissement de la fréquence des cyberattaques, il est donc essentiel que les organisations soient bien préparées, et toute aide pour l’être est la bienvenue, dont celle du CEPD. Pour faire face à l’évolution des cybermenaces, les entreprises doivent donc responsabiliser l’ensemble des collaborateurs qui traitent des données sensibles, inclure la sécurité dès la conception de tout projet, et mettre en place des stratégies éprouvées et en phase avec les cyber-risques.