Vendredi 20 juil 2018
Le RGPD : 10 conseils pour être en conformité
Multiplication des plaintes auprès de la CNIL
Les plaintes déposées auprès de la CNIL visent fréquemment des entreprises accusées de recueillir les données de leurs utilisateurs de manière illégale et malhonnête. Quelques méthodes critiquées ? L’utilisation de cases pré-cochées, ainsi que les bandeaux indiquant que l’utilisation du site vaut acceptation.
Nouveau de terrain de jeu pour les pirates informatiques
Le RGPD prévoit des sanctions pour tout site non conforme, qui peuvent aller jusqu’à 4% du chiffre d’affaires. Les hackers l’ont bien compris : désormais, les entreprises non conformes sont susceptibles d’être victimes non plus de ransomware, mais de ransomhack.
A l’inverse du ransomware qui crypte les données et demande une rançon pour les rendre de nouveau lisibles, le ransomhack ne bloque pas leur accès : il suffit au hacker d’avoir accès aux données personnelles détenues par l’entreprise. Il menacera ensuite de les rendre publiques ou d’exposer l’entreprise non conforme si une rançon n’est pas payée.
Les amendes du CNIL pouvant atteindre jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires mondial, les entreprises préféreront sans doute payer la somme demandée qui sera moins élevée et passer l’incident sous silence.
Il est donc essentiel pour les entreprises d’être aux normes et protégées contre ces nouvelles arnaques : des professionnels peuvent vous y aider.
Quelques conseils pour être en conformité
Connaître la loi
En collaboration avec des experts juridiques il faut s’assurer d’avoir les bons systèmes et procédures en place pour assurer la conformité. Contrairement aux réglementations précédentes, le RGPD inclut des expertises spécifiques aux MSP et autres « gestionnaires de données ».
Identifier les données couvertes
Le RGPD remplace les réglementations qui variaient d’un pays membre de l’UE à l’autre, de sorte qu’il y a forcément une certaine confusion quant aux données couvertes. Il faut identifier les données couvertes, dont certaines peuvent ne pas être immédiatement évidentes. Les données personnelles couvertes par le RGPD incluent des informations qui peuvent être utilisées pour identifier une personne, y compris les adresses IP, les cookies, les ID d’appareils mobiles et les données de localisation.
Echanger sur la conformité
S’appuyer sur les connaissances d’un expert pour s’informer sur ce que couvre la loi et les responsabilités induites. Celui-ci va s’assurer qu’il dispose de la technologie et de l’expertise pour aider les clients à se mettre en conformité. Les clients n’ont pas besoin d’embaucher un professionnel de la sécurité ou un agent de conformité coûteux parce qu’un MSP par exemple est équipé pour le faire.
Surveiller les environnements informatiques
Le RGPD ne demande pas explicitement de surveillance, bien que les organisations doivent mettre en œuvre des contrôles de sécurité adéquats. Un moyen efficace d’afficher les contrôles et d’éviter une amende en cas d’incident consiste à se reporter au journal des événements d’un outil de surveillance. La surveillance de la sécurité 24h / 24 est donc un service essentiel dont il faut disposer afin de rester fidèles au RGPD.
Centraliser la gestion de la sécurité
La gestion de l’environnement de sécurité à partir d’un tableau de bord centralisé va de pair avec la surveillance. Les deux sont conformes à l’exigence de la RGPD selon laquelle les organisations doivent maintenir un cadre de conformité en matière de confidentialité. Les contrôles centralisés facilitent la gestion de l’environnement et permettent d’accéder aux données de journal et de les analyser si un fournisseur de services de messagerie doit prouver la conformité d’un client.
Mettre en œuvre des alertes en temps réel
Le RGPD exige que les organisations qui subissent une violation de sécurité le signalent aux autorités compétentes dans les 72 heures suivant la découverte et notifie les sujets concernés « sans retard injustifié ». Les alertes en temps réel peuvent faire la différence. Une plate-forme de sécurité avec une capacité d’alerte en temps réel permet non seulement de déclencher immédiatement une réponse à l’attaque, mais aussi d’émettre les notifications requises.
Mettre en œuvre une détection fiable des menaces
La compromission des données et des systèmes ne prend que quelques minutes. Les entreprises ont donc besoin d’une protection avancée contre les menaces dangereuses et à action rapide. Les outils de détection des menaces doivent capturer et intégrer des données sur des menaces connues et non détectées auparavant. Cela nécessite des capacités d’analyse de comportement finement affûtées, la collecte et l’interprétation de renseignements sur les menaces pour les identifier rapidement, initier une réponse si nécessaire, et assurer la conformité aux exigences strictes du RGPD.
Répondre rapidement en cas de violation de données
Lorsqu’une violation est détectée, un fournisseur de services de messagerie doit intervenir sans délai. Certaines infections peuvent se propager en un clin d’œil, de sorte qu’une identification et une analyse rapides des menaces sont absolument essentielles. Comme indiqué précédemment, le RGPD exige que certaines mesures soient prises, y compris la notification aux utilisateurs et aux régulateurs concernés. Il ne faut pas perdre de temps pour signaler la nature de la violation, quelles données ont été compromises, quels utilisateurs sont concernés et identifier quelles mesures à prendre pour atténuer l’attaque.
Préparer un plan d’intervention en cas d’incident
La meilleure réponse en cas d’incident est une réponse planifiée. Il faut éviter de créer un plan tout en répondant à un incident. Ce type de plan doit couvrir les actions à mener suite à une violation, qui sera en charge de ces actions, à qui s’adresser, comment maintenir l’activité et si d’autres sites seront nécessaires. Chaque étape du plan est pensée, documentée, communiquée aux parties prenantes et testée. Il faut mener des exercices périodiques pour s’assurer que chaque acteur comprend ce que l’on attend de lui.
Conclusion : des mesures parfois longues à mettre en place !
Le Règlement Général pour la Protection des Données s’est heurté à plusieurs conséquences à sa mise en application. Multiplication des plaintes, nouvelles arnaques avec les ransomhack, sites inaccessibles, il a énormément fait bouger l’univers du web.
Cependant, il a également contribué à une sensibilisation du grand public autour de la thématique de la protection des données personnelles. Le RGPD a même eu une influence à l’étranger : la Californie mettra en place sa propre loi, le California Consumer Privacy Act, le 1er janvier 2020.
