Comment créer une culture de la sécurité à l'ère du RGPD

Avec l'entrée en vigueur du RGPD, les entreprises devront mettre la donnée au coeur de leur politique de cybersécurité. Pour réussir, elles devront comprendre les flux de données afin de mieux les sécuriser, et valoriser les enjeux de sécurité à travers la culture d'entreprise.

Le Règlement général sur la protection des données (RGPD) entrera en vigueur le 25 mai 2018. Ce règlement, dont le but est de protéger la vie privée en contraignant les entreprises à prendre certaines mesures de sécurité, modifiera et harmonisera le cadre juridique régissant le traitement des données personnelles dans l'Union européenne.
 
Même si les analystes ont principalement souligné les aspects techniques et le nouveau délai de notification de 72 heures en cas de violation de données, il est important d'examiner la situation dans son ensemble. En effet, ce nouveau texte marque une évolution de l'approche de la protection et de la sécurité des données. C'est donc une opportunité pour les entreprises de passer d'une sécurité axée sur les systèmes à une sécurité axée sur les données.
Comprendre les flux de données pour mieux les sécuriser
Le RGPD encourage les entreprises à comprendre leurs données et à recentrer leur approche de la sécurité et de la confidentialité sur les données. Le principe de la "protection des données dès la conception", qui consiste à appréhender la problématique des données personnelles dès la conception d'un projet, donne l'occasion aux équipes informatiques de réévaluer leurs pratiques existantes dans un environnement où les attaques se multiplient et les utilisateurs sont de plus en plus exigeants et sensibles aux questions de sécurité des données.Évidemment, la compréhension des données de l'entreprise et des utilisateurs a toujours fait partie des priorités des équipes responsables de la sécurité. Toutefois, l'entrée en vigueur du RGPD signifie que la compréhension des flux de données deviendra une partie encore plus importante de leur travail. 
 
Traditionnellement, les équipes informatiques ont privilégié les systèmes pour garantir la sécurité des données, avec des outils tels que des pare-feux, des systèmes de détection des intrusions et des solutions antivirus pour protéger les serveurs d'entreprise. Ces pratiques resteront cruciales au vu de la multiplication et de l'évolution des menaces, mais le RGPD accélèrera la transition vers une approche différente. Cela commencera par la compréhension de l'ensemble du cycle de vie des informations personnelles des utilisateurs : où, comment et quand elles sont stockées et traitées, comment elles circulent entre les différentes parties et comment s'assurer qu'elles sont détruites lorsqu'elles cessent d'être utiles.
 
Une approche de la sécurité centrée sur les données permettra aux entreprises de se préparer aux exigences du RGPD et de garantir à leurs clients qu'un niveau de sécurité et de confidentialité adéquat est appliqué à leurs données personnelles. Le principe de proportionnalité est mis en avant à l'article 32 du RGPD, qui décrit les obligations des entreprises en matière de sécurité du traitement des informations. Toutefois, le seul moyen d'évaluer les risques et de prendre les précautions adaptées consiste à identifier tous les endroits où les données circulent et peuvent être vulnérables. 
Vers une culture de la sécurité
Pour faire face aux risques de sécurité après l'entrée en vigueur du RGPD, le directeur de la sécurité et le DSI devront faire équipe avec le responsable de la confidentialité, ainsi que, dans certains cas, le délégué à la protection des données. Ces fonctions continueront de jouer un rôle essentiel pour garantir que les systèmes de sécurité sont à jour et répondent aux besoins des clients, mais leur tâche sera facilitée si les enjeux de sécurité sont valorisés par la culture de l'entreprise. Ceci concerne en particulier les structures de taille plus modeste n'ayant pas instauré de processus de sécurité systématiques. 
 
Ces dernières devront réévaluer, et probablement modifier, la façon dont elles classent et gèrent les données personnelles, et comment elles se prémunissent contre les violations de sécurité. Heureusement, il existe de nombreux outils adéquats, et les fournisseurs peuvent contribuer à certaines modifications. Une culture de la sécurité simplifiera cette réévaluation et résoudra d'emblée certains problèmes (une proportion importante de failles résultant d'erreurs humaines). Une étude récente conduite par l'entreprise américaine de télécommunications Verizon a conclu que 25 % des failles de sécurité impliquent, de façon directe, un acteur interne à l'entreprise, généralement coupable de négligence, tout en constatant que 80 % des failles résultant de cyberattaques sont facilitées par des mots de passe volés ou faibles.
 
Chaque entreprise devra trouver ses propres solutions pour mettre en place une culture de la sécurité axée sur les données, mais certains principes sont universels : 
 Exploitez la télémétrie pour analyser les flux de données : grâce à la télémétrie, les entreprises peuvent suivre, enregistrer et analyser leurs flux de données conformément aux exigences du RGPD, en particulier celles des articles 32 à 34. Ceci devra également s'étendre aux fournisseurs externes afin de s'assurer que le traitement des données est contrôlé pendant tout le cycle de vie de ces dernières.

Gérez vos autorisations avec soin : une entreprise doit savoir qui a accès aux données qu'elle stocke et traite à chaque étape de leur cycle de vie. Le fait de limiter les autorisations d'accès aux employés qui en ont besoin est plus qu'une bonne pratique : c'est une pratique essentielle.
 
Développez la confiance par le dialogue : le RGPD décrit les relations entre les utilisateurs et les responsables du traitement des données en exigeant que tout traitement soit précédé par une communication transparente et qu'une entreprise ne puisse travailler qu'avec des fournisseurs aptes à garantir les mesures de protection des données appropriées. Le dialogue avec les consommateurs et les fournisseurs ne doit pas s'en tenir à ces exigences, mais s'inscrire dans une conversation continue visant à développer une confiance réciproque. 
 
Organisez régulièrement des simulations de faille de sécurité : les entreprises doivent profiter de l'importance accordée par le RGPD aux violations de sécurité et aux délais de notification en cas de violation pour organiser des simulations de failles à grande échelle. De tels exercices sont à prévoir au moins une fois par an et doivent aboutir à l'identification systématique de deux ou trois axes d'amélioration.
 
Suivez de près vos partenaires en amont et en aval : une faille chez un partenaire ou un fournisseur peut rapidement tourner au cauchemar pour une entreprise. Il est important de comprendre les contrôles d'accès des partenaires au réseau et aux entrepôts de données de l'entreprise en partant du principe qu'ils ont déjà été victimes d'une attaque. Votre défense doit être basée sur le scénario d'un attaquant ayant déjà franchi votre périmètre de sécurité.
Le RGPD est une opportunité pour renforcer votre sécurité
 Même si ce nouveau règlement porte avant tout sur la protection des données personnelles des résidents de l'Union européenne, il aura un impact global en transformant la manière dont les entreprises internationales gèrent les données et la confidentialité dans différents marchés.

La conformité avec le RGPD demandera du temps, des ressources, mais surtout un changement de culture. Ce texte, avec son principe de protection des données dès la conception, confirme que l'approche de la sécurité centrée sur les données, déjà adoptée par un grand nombre d'équipes de sécurité, est la voie à suivre.
 
Les conséquences positives du RGPD s'étendront bien au-delà de mai 2018. Dans une ère où les données prennent une place de plus en plus importante dans la vie moderne, ce nouveau cadre nous offre une opportunité précieuse de mieux comprendre ce qu'il advient de ces données, où elles sont stockées, où elles circulent et surtout comment faire pour assurer leur sécurité à chaque étape. Au-delà d'une sécurité centrée sur les données, il s'agit ici, à plus long terme, de notre engagement à renforcer cette sécurité en gagnant la confiance de nos utilisateurs.