Les points essentiels du RGPD à vérifier

30 Juin 2017

4 min de lecture

Préparez votre service informatique pour 2018.

Les points essentiels du RGPD à vérifier (Desktop)

Le 25 mai 2018, le Règlement général sur la protection des données de l'UE (RGPD) remplacera l'ensemble des autres réglementations de protection des données en Europe. Ce Règlement peut imposer de lourdes amendes : jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires global, selon le montant le plus élevé.1 Les Pays-Bas ont une longueur d'avance puisqu'ils ont déjà mis en place le RGPD avec la Breach Notification Law (loi en matière de notification des violations), entrée en vigueur le 1er janvier 2016.2

Le RGPD a deux objectifs. Il protège les droits concernant les données des citoyens européens et leur confidentialité, c'est-à-dire leurs données personnelles. Toute personne exerçant une activité au sein du marché unique devra s'y conformer. Cela comprend également les entreprises hors UE qui travaillent avec des clients de l'Union européenne.

Ce dernier point relève clairement de la compétence des services informatiques. Mais il existe d'importants recoupements. Une sécurité solide et multicouche des points d'extrémité, destinée à protéger les données, qui fonctionne au niveau du réseau, de l'appareil et de l'utilisateur, contribue grandement à protéger les droits associés. La détection et la réponse doivent donc être privilégiées par rapport à la protection et la défense. Et cela commence par les points d'extrémité, qu'il s'agisse de l'appareil ou de l'utilisateur

À titre d'exemple, le droit à l'oubli oblige les organisations à effacer l'ensemble des données concernant un citoyen européen, y compris toutes les copies, s'il le demande. Ce processus nécessite une cartographie complète indiquant les données stockées, leur emplacement et les personnes y ayant accès. Il en va de même pour la cybersécurité.

Dans cette optique, voici les 10 mesures indispensables à mettre en place avant mai 2018.

Première étape : Contrôler votre situation

La première étape consiste à évaluer votre situation. En obtenant un aperçu réaliste de votre situation actuelle, vous aurez une meilleure idée des éléments à modifier pour vous conformer à la réglementation.

  1. Contrôler vos données

  2. Assurez-vous de bien connaître le lieu de stockage de vos données, les personnes qui y ont accès et sur quels appareils.

  3. Contrôler vos partenaires de service

  4. Assurez-vous que chacun de vos partenaires de service – stockage sur le cloud, SaaS, etc. – ayant accès à vos données se conforme également au RGPD ou à une autorité officiellement reconnue en matière de données.

  5. Vérifier tous les appareils autorisés ou non autorisés accédant aux données personnelles

  6. Assurez-vous d'avoir connaissance de chaque appareil accédant aux données personnelles, qu'il soit officiellement approuvé ou non.

Seconde étape : Contrôler l'accès

La deuxième étape consiste à contrôler l'accès aux données de l'entreprise, à effectuer le suivi des personnes y ayant accès et à éviter toute faille qui permettrait d'accéder à l'ensemble.

  1. Garantir le contrôle des droits administrateur

  2. Assurez-vous que les droits administrateur ne puissent être accordés qu'à quelques personnes sélectionnées afin de réduire le risque que d'autres personnes prennent le contrôle du réseau.

  3. Garantir un accès à plusieurs niveaux aux données personnelles

  4. Octroyez l'accès aux données uniquement aux personnes qui en ont besoin. Ce fonctionnement doit dépendre de l'utilisateur, de l'appareil et du réseau d'où provient la requête.

  5. Garantir l'accès à distance et les droits d'effacement pour les données de l'entreprise

Assurez-vous que vous êtes en mesure de récupérer et d'effacer les données depuis tous les appareils permettant d'accéder aux données personnelles, particulièrement en cas de perte ou de vol.

Troisième étape : Mettre en place une sécurité multicouche

L'étape finale consiste à mettre en place une sécurité solide permettant de détecter et de réagir aux failles. La prévention reste évidemment idéale, bien qu'irréaliste.

  1. Investir dans de nouveaux appareils mieux sécurisés, le cas échéant

  2. Authentification biométrique multifactorielle, verrouillage Bluetooth, écrans de confidentialité et réparation automatique du BIOS (une première mondiale chez HP) : tous ces éléments vous aident à protéger vos données au niveau de l'appareil.

  3. Mettre en place un scan régulier et une politique de mise à jour logicielle de sécurité

  4. Les défenses classiques du réseau – antivirus, anti-malware et pare-feu – ne sont certes pas infaillibles, mais elles restent importantes. Des mises à jour régulières sont essentielles.

  5. Mettre en place un logiciel de détection et de réponse en temps réel

  6. Sécurisez vos points d'extrémité grâce à des réponses en temps réel aux failles, par ex. la mise en quarantaine ou l'interruption de processus et d'appareils. Intégrez un outil de sécurité des informations et de gestion des événements (SIEM).

  7. Assurer la formation du personnel à la cybersécurité

  8. 62% des entreprises estiment que ses collaborateurs sont à l’origine de certaines attaques subies 3 . Proposez une formation active afin d'éviter les erreurs de base comme l'ouverture de pièces jointes inconnues.

Outre le renforcement de la sécurité, ces mesures vous aideront à vous conformer aux dispositions essentielles suivantes du RGPD :

Signalement des violations de données dans les 72 heures (et faire preuve de diligence raisonnable pour les éviter)
Droit à l'oubli : supprimer l'ensemble des données personnelles d'un citoyen européen à sa demande.
Portabilité des données : fournir l'ensemble des données personnelles relatives à un citoyen européen dans un format qui lui est accessible
Transferts au niveau international : s'assurer que les données ne sont transférées qu'à d'autres organisations soumises au RGPD ou jugées « appropriées » par leur juridiction

Le Centre pour la sécurité de l'Internet (CIS) a défini 20 contrôles de sécurité critiques (CSC) reconnus au niveau international. Ceux-ci ont été développés, affinés et validés par les meilleurs experts de la sécurité informatique du monde entier. Ils sont considérés comme des mesures importantes de « cyber-hygiène » pour chaque entreprise.

Notes

1https://www.nextinpact.com/news/98192-loi-numerique-cnil-pourra-infliger-amendes-20-millions-d-euros.htm

2http://www.peeters-law.be/documents/news-items/118-duty-of-data-breach-notification.xml?lang=fr

3https://h30657.www3.hp.com/t5/BusinessNow-fr/Les-risques-de-s%C3%A9curit%C3%A9-aux-points-d-extr%C3%A9mit%C3%A9-sont-en-hausse-y-%C3%AAtes-vous/ba-p/9044