Se préparer au RGPD en 2017 – Deuxième partie : instaurer une culture de la protection de la vie privée et de la sécurité dès la conception

Cet article de blog est le deuxième d’une série dont le but est d’aider les dirigeants d’entreprise et les cadres responsables de la sécurité à se préparer au RGPD tout au long de l’année 2017.

 

Les amendes… Sans doute le nouveau règlement général sur la protection des données de l’Union européenne est-il pour vous une source d’angoisse. Pourtant, vous devriez saisir l’occasion pour instaurer une culture de la protection de la vie privée et de la sécurité dès la conception.

Qu’est-ce que cela signifie ? Certes, la protection des données à caractère personnel et la cybersécurité sont au cœur de cette approche. Mais cela ne se résume pas aux données et aux technologies, loin de là. Ce n’est pas parce que le « D » de RGPD signifie « données » qu’il vous suffira de déployer une solution de prévention des fuites de données (DLP) pour que le tour soit joué. Même si l’approche est technologique (et comprenez-moi bien, je n’ai pas dit qu’adopter d’autres technologies DLP n’était pas une bonne chose), toute entreprise doit réfléchir à plusieurs éléments. Pensez aux processus métier et aux processus de détection des violations qu’elle affecte, au personnel chargé de faire fonctionner ces technologies et aux citoyens dont les données sont traitées — car ces personnes encourent des risques sur le plan personnel.

En ce qui concerne le personnel, vous devez déterminer l’impact qu’auront les technologies sur les divers rôles au sein de l’entreprise. Autrement dit, les utilisateurs normaux, ceux avec privilèges, les cadres dirigeants et les dirigeants.

Viennent ensuite les processus métier. Quels sont les flux de données ? Et sur quoi la collecte, la conservation et l’utilisation des données à caractère personnel ont-elles une incidence ? Vous devez prendre les mesures appropriées en termes de technologies et de procédures.

Je vous recommande donc d’adopter un cadre tel celui décrit ci-dessous. Tout d’abord, lorsque vous songez à votre stratégie de sécurité, pensez gouvernance, ressources humaines, processus et technologies. Ensuite, réfléchissez aux objectifs de sécurité à atteindre pour être préparé au RGPD, ainsi qu’aux solutions à mettre en œuvre.

 

Refonte de votre stratégie de sécurité

Il est clair que le nouveau règlement place la barre plus haut en termes de protection des données. Pour l’entreprise numérique hyperdynamique et interconnectée, se préparer aux nouvelles exigences de protection et de reddition de comptes ne sera pas simple. Cela nécessitera un remaniement global de différents aspects de la stratégie de sécurité : gouvernance, ressources humaines, processus et technologies.

  • Bien souvent, pour préparer l’entreprise à la mise en œuvre de ce nouveau règlement, il sera nécessaire de nommer un délégué à la protection des données ; celui-ci sera responsable de la conformité opérationnelle et de la communication avec les autorités de contrôle. De plus, au vu des montants potentiels des amendes en cas de non-respect du RGPD, celui-ci suscite l’intérêt des conseils d’administration. Il nécessitera sans doute la mise en place de nouvelles structures internes de rapport et le développement d’une véritable culture de respect de la conformité. Ces structures sont indispensables à la création d’un programme de protection des données performant sur le long terme.
  • Ressources humaines.Au sein de l’entreprise, la protection des données est la responsabilité de chacun, pas seulement de l’équipe de sécurité. Il est essentiel que tous les intervenants, depuis les cadres dirigeants jusqu’aux utilisateurs, en passant par les administrateurs et les développeurs, soient formés à la protection des données et prêts à remettre en question les mesures de « raccourci » qui seraient proposées. Et les intégrer à la solution, plutôt que voir en eux un problème, contribue grandement à l’instauration d’une culture de la protection de la vie privée et de la sécurité dès la conception.
  • Plusieurs processus métier et de sécurité fondamentaux devront être analysés pour vérifier leur adéquation et évaluer leurs fonctions. Pour cela, il faudra examiner de façon approfondie la collecte, les flux, le traitement, la conservation et la gestion des données pour bien comprendre la portée du problème. Les processus clés de protection des données incluent notamment la classification et la surveillance, ainsi que le développement d’applications et les tests de sécurité.
  • Il convient d’envisager un système de sécurité permettant non seulement de protéger les données au repos, en mouvement et en cours d’utilisation, mais aussi de détecter rapidement les violations tout en limitant le délai de réponse. Les entreprises doivent déterminer si la stratégie de sécurité en place s’appuie sur des technologies suffisamment à la pointe et efficaces pour faire face aux menaces récentes et garantir l’efficacité opérationnelle nécessaire afin d’éviter tout dépassement de budget.

 

Mesure de l’efficacité de la sécurité

Pour évaluer son degré de préparation au RGPD, une entreprise doit examiner son programme de sécurité. Toute entreprise engagée dans un projet de transformation numérique doit impérativement disposer d’un dispositif de cybersécurité capable d’assurer les niveaux de fonctions et de performances ci-dessous, qui constituent les principaux piliers d’une bonne préparation au RGPD. Vos solutions de sécurité doivent permettre aux composants techniques situés au niveau du terminal, du réseau, du cloud et du centre d’opérations de sécurité (SOC) de fonctionner ensemble comme un système orchestré. Ce dernier doit offrir les fonctions de prévention, de détection et de réponse nécessaires à la réalisation des objectifs d’efficacité attendus.

  • Neutralisation des menaces émergentes.Les infections par des logiciels malveillants (malware) et les exploits tirant parti des vulnérabilités des applications comptent parmi les principaux vecteurs d’attaques qui conduisent à l’exfiltration de données. Des mécanismes de défense contre les menaces avancées déployés sur les terminaux et le réseau permettent de réduire la surface d’attaque en renforçant la protection contre les logiciels malveillants connus et inconnus. Au niveau du SOC, tirez parti d’une cyberveille sur les menaces issue de plusieurs sources pour traquer de façon proactive les auteurs d’attaques.
  • Protection des données critiques.Pour être efficace, un programme de sécurité des données doit permettre, d’une part, de détecter et de bloquer les fuites de données accidentelles et les tentatives de vol de données de nature malveillante et, d’autre part, d’appliquer les mesures correctives requises. Des technologies de chiffrement et de prévention des fuites de données (DLP) sont essentielles pour empêcher que des données ne s’échappent de l’entreprise par accident. Au sein du SOC, une solution SIEM et l’analyse avancée du comportement des utilisateurs offrent la combinaison stratégique nécessaire à l’identification et à l’analyse des menaces internes.
  • Protection des environnements de cloud.Les applications SaaS (Software-as-a-Service) et hébergées dans le cloud posent des difficultés particulières pour la préparation au RGPD. Bien souvent cependant, des solutions de sécurité d’entreprise et dans le cloud distinctes sont utilisées, ce qui peut créer des failles au niveau de la visibilité et de la protection. Envisagez un système de sécurité unifié qui vous permette d’étendre facilement les fonctions de protection, de détection et de correction aux environnements de cloud.
  • Optimisation des opérations de sécurité. De nombreux centres des opérations de sécurité ne disposent pas des fonctions nécessaires pour détecter les violations de données et réagir efficacement. Étant donné qu’une des exigences primordiales de la préparation au RGPD prévoit que l’entreprise notifie toute violation de données dans les trois jours, il est essentiel de développer pour ces centres un plan tactique de gestion de ces incidents. Des technologies d’orchestration peuvent également aider à colmater les failles et à accélérer la réponse aux incidents.

 

Tel est le cadre que je recommande : commencer par les quatre dimensions de la stratégie de sécurité pour parvenir à une culture de la sécurité et de la protection de la vie privée dès la conception.

La deuxième partie de ce cadre décrit la manière dont la sécurité doit être abordée pour obtenir les résultats voulus en termes de préparation au RGPD.

Se préparer pour l’entrée en vigueur du RGPD doit inévitablement compter parmi les grandes priorités des responsables de la sécurité et des cadres dirigeants tout au long de l’année. Ils devront orienter leurs investissements en conséquence et mettre en œuvre de nouveaux programmes ou solutions qui permettront à leur entreprise d’être en phase avec ce nouvel environnement réglementaire renforcé.

Dans quelle mesure êtes-vous prêt ?

Leave a Comment

4 × 5 =