RGPD 2018 : les impacts sur la cybersécurité de l’entreprise

Le Règlement européen sur la protection des données, implique de mettre en place des process de sécurité précis, en particulier pour les données personnelles. Tous les métiers sont concernés, mais également vos sous-traitants. Un vaste chantier qu’il faut lancer sans tarder dans votre entreprise.

Confidentialité et intégrité

Le RGPD repose sur un principe majeur : l’exploitation des données à caractère personnel des citoyens doit être encadrée. Afin de respecter cette nécessité, « la responsabilité des organismes (entreprises et administrations) sera renforcée. Ils devront assurer une protection optimale des données à chaque instant et être en mesure de la démontrer en documentant leur conformité », rappelle la CNIL.

Même si le RGPD ne doit pas être vu uniquement sous l’angle de la sécurité informatique, il pousse les entreprises à améliorer la protection des données à caractère personnel en particulier. Et il ne faut pas attendre le 25 mai 2018, date de son entrée en application : intégrer la sécurité en amont est nécessaire et économiquement vertueux. L’intégrer a posteriori coûte plus cher et peut altérer la qualité des services numériques.

Responsabilité des employeurs

« Des mécanismes techniques et organisationnels garantissant la confidentialité et l’intégrité des données personnelles doivent être mis en œuvre pour éviter que leur consultation par des tiers non autorisés, des modifications ou encore leur perte portent préjudice aux personnes concernées », explique Sophie Nerbonne, Directrice de la conformité à la CNIL dans un entretien accordé à la Revue des collectivités locales (n° 485 en septembre 2017).

Sans être complet, le RGPD rappelle que les entreprises doivent s’appuyer notamment sur :

• des techniques de chiffrement des données et des connexions (stockage et échanges) ;
• l’authentification forte (certificat électronique, carte à puce…) ;
• des solutions permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique;
• des procédures visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

Mais pour qu’une politique de sécurité soit efficace, il est nécessaire d’avoir un préambule : une cartographie exhaustive des supports internes et externes stockant des données, et en l’occurrence, à caractère personnel. Combien en effet de dirigeants de PME ou de DSI de certaines ETI disposent d’une vision globale de leur Système d’Information (SI) ? Ils sont loin d’être majoritaires. Or, « l’employeur est responsable de la sécurité des données personnelles de son entreprise, y compris lorsqu’elles sont stockées sur des terminaux dont il n’a pas la maîtrise physique ou juridique », insiste la CNIL.
Sans une vision à 360° de son SI, une entreprise ne peut pas mettre en place une politique de sécurité qui soit pérenne.

Victime et responsable

Mais cette vision globale n’est pas toujours évidente à obtenir, surtout avec la multiplication du Shadow IT (lorsque les logiciels ou matériels de l’entreprise ne sont pas gérés par le service informatique/DSI en interne, sans l’approbation de ces derniers) – et notamment le recours à du SaaS – et du BYOD (“Bring Your Own Device” en anglais, quand les employés utilisent leurs terminaux personnels dans un contexte professionnel, tels que leurs smartphones, tablettes, ordinateurs portables ou même une clé USB). Il est indispensable de recenser, service par service, toutes les applications installées à l’insu du responsable informatique ou de la DSI.
Sur le plan organisationnel, la charte utilisateur doit être actualisée et introduire de nouveaux garde-fous.
Sur le plan technique, il est indispensable d’intégrer des solutions renforçant le contrôle des identités et des accès. Le but sera de « tracer » les flux afin d’être en conformité avec le RGPD et ainsi ne pas être condamné pour « négligence ». Dans ce cas, l’entreprise serait à la fois « victime » et « responsable ».

Ce cas de figure n’est pas hypothétique et il s’applique d’ores et déjà avec la Loi relative à l’informatique, aux fichiers et aux libertés. Ce texte du 6 janvier 1978 rappelle que le recours à des sous-traitants ne lève pas la responsabilité de l’entreprise.

Propriétaires des données

En avril 2014, Orange a en effet été victime d’une intrusion frauduleuse conduisant à la fuite de données de 1,3 million de personnes. À la suite de cette affaire, la CNIL avait rendu public un avertissement à l’encontre de l’opérateur. L’organisme lui reprochait notamment de ne pas avoir réalisé un audit de sécurité avant d’utiliser la solution technique de son prestataire qui présentait, selon la CNIL, une faille de sécurité.

Le RGPD accentue ce point. Les sous-traitants sont tenus de :

• mettre en place des mesures permettant de garantir une protection optimale des données ;
• tenir un registre des activités de traitement effectuées pour le compte de leurs clients ;
• conseiller leurs clients pour le compte desquels ils traitent des données.

Encore une fois, le RGPD est l’occasion de rappeler qu’une politique de sécurité doit être globale et qu’elle ne se délègue pas ; les entreprises restent propriétaires de leurs données. Elles doivent prendre toutes les mesures nécessaires à la fois pour être en conformité avec ce nouveau règlement, mais aussi pour assurer la sécurité des données de leurs employés et de leurs clients.