Le RGPD : 2 mois après, 10 conseils pour être en conformité
Une multiplication des plaintes auprès de la CNIL
Les plaintes déposées auprès de la CNIL visent fréquemment des entreprises accusées de recueillir les données de leurs utilisateurs de manière illégale et malhonnête. Quelques méthodes critiquées ? L’utilisation de cases pré-cochées, ainsi que les bandeaux indiquant que l’utilisation du site vaut acceptation.
Un nouveau terrain de jeu pour les hackers
Le RGPD prévoit des sanctions pour tout site non conforme, qui peuvent aller jusqu’à 4% du chiffre d’affaires. Les hackers l’ont bien compris : désormais, les entreprises non conformes sont susceptibles d’être victimes non plus de ransomware, mais de ransomhack.
A l’inverse du ransomware qui crypte les données et demande une rançon pour les rendre de nouveau lisibles, le ransomhack ne bloque pas leur accès : il suffit au hacker d’avoir accès aux données personnelles détenues par l’entreprise. Il menacera ensuite de les rendre publiques ou d’exposer l’entreprise non conforme si une rançon n’est pas payée.
Les amendes du CNIL pouvant atteindre jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires mondial, les entreprises préféreront sans doute payer la somme demandée qui sera moins élevée et passer l’incident sous silence.
Il est donc essentiel pour les entreprises d’être aux normes et protégées contre ces nouvelles arnaques : des professionnels peuvent vous y aider.
Quelques conseils de MSP (Managed Service Provider) pour être en conformité
1 – Connaitre la loi
En collaboration avec des experts juridiques il faut s’assurer d’avoir les bons systèmes et procédures en place pour assurer la conformité. Contrairement aux réglementations précédentes, la RGPD inclut des expertises spécifiques aux MSP et autres « gestionnaires de données ».
2 -Identifier les données couvertes :
La RGPD remplace les réglementations qui variaient d’un pays membre de l’UE à l’autre, de sorte qu’il y a forcément une certaine confusion quant aux données couvertes. Il faut identifier les données couvertes, dont certaines peuvent ne pas être immédiatement évidentes. Les données personnelles couvertes par RGPD incluent des informations qui peuvent être utilisées pour identifier une personne, y compris les adresses IP, les cookies, les ID d’appareils mobiles et les données de localisation.
3 – Échanger sur la conformité
S’appuyer sur les connaissances d’un expert pour s’informer sur ce que couvre la loi et les responsabilités induites. Celui-ci va s’assurer qu’il dispose de la technologie et de l’expertise pour aider les clients à se mettre en conformité. Les clients n’ont pas besoin d’embaucher un professionnel de la sécurité ou un agent de conformité coûteux parce qu’un MSP par exemple est équipés pour le faire.
4 – Surveiller les environnements informatiques :
La RGPD ne demande pas explicitement de surveillance, bien que les organisations doivent mettre en œuvre des contrôles de sécurité adéquats. Un moyen efficace d’afficher les contrôles et d’éviter une amende en cas d’incident consiste à se reporter au journal des événements d’un outil de surveillance. La surveillance de la sécurité 24h / 24 est donc un service essentiel dont il faut disposer afin de rester fidèles à la RGPD.
5 – Centraliser la gestion de la sécurité :
La gestion de l’environnement de sécurité à partir d’un tableau de bord centralisé va de pair avec la surveillance. Les deux sont conformes à l’exigence de la RGPD selon laquelle les organisations doivent maintenir un cadre de conformité en matière de confidentialité. Les contrôles centralisés facilitent la gestion de l’environnement et permettent d’accéder aux données de journal et de les analyser si un fournisseur de services de messagerie doit prouver la conformité d’un client.
6 – Mettre en œuvre des alertes en temps réel :
La RGPD exige que les organisations qui subissent une violation de sécurité le signalent aux autorités compétentes dans les 72 heures suivant la découverte et notifie les sujets concernés « sans retard injustifié ». Les alertes en temps réel peuvent faire la différence. Une plate-forme de sécurité avec une capacité d’alerte en temps réel permet non seulement de déclencher immédiatement une réponse à l’attaque, mais aussi d’émettre les notifications requises.
7 – Mener des audits réguliers :
Des audits et tests trimestriels sont conseillés pour évaluer l’efficacité des contrôles de sécurité mis en place pour les clients et fournir l’assurance que l’environnement est conforme aux normes et réglementations pertinentes. L’automatisation de ce processus est plus efficace pour réduire les tâches manuelles et le potentiel d’erreur.
8 – Mettre en œuvre une détection fiable des menaces :
La compromission des données et des systèmes ne prend que quelques minutes. Les entreprises ont donc besoin d’une protection avancée contre les menaces dangereuses et à action rapide. Les outils de détection des menaces doivent capturer et intégrer des données sur des menaces connues et non détectées auparavant. Cela nécessite des capacités d’analyse de comportement finement affûtées, la collecte et l’interprétation de renseignements sur les menaces pour les identifier rapidement, initier une réponse si nécessaire, et assurer la conformité aux exigences strictes de la RGPD.
9 – Répondre rapidement aux violations :
Lorsqu’une violation est détectée, un fournisseur de services de messagerie doit intervenir sans délai. Certaines infections peuvent se propager en un clin d’œil, de sorte qu’une identification et une analyse rapides des menaces sont absolument essentielles. Comme indiqué précédemment, la RGPD exige que certaines mesures soient prises, y compris la notification aux utilisateurs et aux régulateurs concernés. Il ne faut pas perdre de temps pour signaler la nature de la violation, quelles données ont été compromises, quels utilisateurs sont concernés et identifier quelles mesures à prendre pour atténuer l’attaque.
10 – Préparer un plan d’intervention en cas d’incident (IRP Incident Response Plan) :
La meilleure réponse en cas d’incident est une réponse planifiée, de sorte que les IRP sont en place pour le prestataire MSP et son client. Il faut éviter de créer un plan tout en répondant à un incident. Les IRP couvrent les actions à mener suite à une violation, qui est en charge de ces actions, à qui s’adresser, comment maintenir l’activité et si d’autres sites seront nécessaires. Chaque étape de l’IRP est pensée, documentée, communiquée aux parties prenantes et testée. Il faut mener des exercices périodiques pour s’assurer que chaque acteur comprend ce que l’on attend de lui.
Conclusion : une mesure longue à mettre en place
Le Règlement Général pour la Protection des Données s’est heurté à plusieurs conséquences à sa mise en application. Multiplication des plaintes, nouvelles arnaques avec les ransomhack, sites inaccessibles, il a énormément fait bouger l’univers du web.
Cependant, il a également contribué à une sensibilisation du grand public autour de la thématique de la protection des données personnelles. Le RGPD a même eu une influence à l’étranger : la Californie mettra en place sa propre loi, le California Consumer Privacy Act, le 1er janvier 2020.
Grandissez l’esprit tranquille en confiant à Quietic la conformité et la protection de votre système informatique.
Cet article vous a plu ? Abonnez vous à la Newsletter !
Inscrivez-vous pour recevoir une fois par mois les nouveaux articles et livres blancs pour améliorer votre gestion informatique, gagner du temps et développer votre TPE / PME !
