Le Règlement Général sur la Protection des Données (RGPD) impose les entreprises à mettre en place de mesures efficaces pour sécuriser les données personnelles qu’elles traitent. Tous les secteurs d’activité sont concernés. Grand angle sur les impacts du RGPD sur la cybersécurité de l’entreprise.
Les données doivent être plus sécurisées
Le RGPD a un but principal : encadrer l’exploitation des données à caractère personnel des citoyens européens. Et afin d’y arriver, un renforcement de la responsabilité des établissements (publics et privés) a été prévu. Dorénavant, ces derniers devront assurer une protection optimale des données et qu’ils manipulent et prouver leur conformité à tout moment. Le nouveau règlement sur la protection des données ne touche pas seulement la sécurité informatique. Il impose aux entreprises d’améliorer leur politique de protection des données personnelle. De plus, il ne faut pas attendre le 25 mai 2018 pour lancer son processus de mise en conformité. Une mise en conformité a posteriori coûtera toujours plus cher.
Les nouvelles responsabilités des employeurs
Le RGPD impose de nouvelles obligations aux employeurs. Ils doivent mettre en place des mesures techniques et organisationnelles garantissant la confidentialité et l’intégrité des données personnelles. Cela pour éviter que leur consultation non autorisée par des tiers porte préjudice aux personnes concernées.
Pour sécuriser leurs données, le RGPD rappelle que les entreprises devront s’appuyer sur diverses opérations dont voici les principales d’entre elles :
- Des méthodes de chiffrement des données et des connexions (conservation et transferts) ;
- Des mesures d’authentification plus fortes (utilisation de carte à puce, signature électronique…) ;
- Des mesures permettant d’accéder facilement aux données stockées en cas d’incident physique ou technique ;
- Des procédures permettant d’évaluer la performance des mesures techniques et organisationnelles de sécurisation des traitements ;
- -…
Mais avant la réalisation de toutes ses opérations, il faut d’abord faire la cartographie détaillée des supports internes et externes de stockage des données. L’expérience montre qu’encore peu d’entreprises possèdent une vision globale de leur système d’information. Or, sans une vision globale du système informatique, il sera difficile de mettre en place une politique de sécurité efficace et pérenne.
Les difficultés rencontrées par les entreprises
S’il est donc important pour l’entreprise d’avoir une vision globale du système informatique, la démarche n’est pas facile avec la multiplication du Shadow IT (les logiciels et matériels de l’entreprise ne sont pas sous la gestion du service informatique), et du BYOD (Bring Your Own Device) ou l’utilisation des terminaux personnels (tablettes, smartphone…) des collaborateurs de l’entreprise dans un contexte professionnel. Pour une vision fidèle du SI de l’entreprise, il sera alors nécessaire de recenser toutes les applications mise en place à l’insu du responsable informatique. Et pour limiter les risques de failles, une charte organisationnelle doit-être rédigée. Cette charte aura pour but de mettre en place de nouveaux garde-fous.
Dans tous les cas, la mise en conformité avec le RGPD nécessitera le déploiement d’un effort considérable des entreprises. Et surtout, il faudra faire suivre une formation RGPD aux collaborateurs.