Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

1ère Forum du RGPD : il faut mettre le pied à l’étrier rapidement

février 2017 par Marc Jacob

Pour son premier Forum du RGPD organisé par Brainwave, Wallix et le concours de Global Security Mag, 130 RSSI, DSI, dirigeants d’entreprises ont fait le déplacement à la salle Wagram à Paris. Les différents intervenants ont mis en exergue les points forts du règlement européens qui entrera en vigueur le 25 mai 2018. Pour eux, il faut que les entreprises et en particulier leurs dirigeants prennent rapidement les bonnes décisions et agissent rapidement afin de se mettre en conformité au moins à cette date fatidique.

En préambule, notre rédaction a rappelé que le RGPD (Règlement Général pour la Protection des Données), qui entrera en vigueur le 25 mai 2018, confirme et renforce les dispositions qui existaient dans la Loi Informatique et Libertés. Ainsi, il devrait servir à conforter les droits des citoyens et à placer la protection des données et la conformité au cœur des pratiques des entreprises. Tout au long des 99 articles du règlement, que souvent personne n’a encore eu le temps de lire dans le détail, on note qu’il concerne toutes les entreprises au niveau mondial et pas seulement les entreprises européennes. Elles devront à l’aube du 25 mai 2018 se mettre en conformité sous peine d’une amende de 20 millions d’euros ou jusqu’à 4% du CA consolidé au plus fort des deux. Pour atteindre cette nécessaire conformité, il va s’agir de monter un véritable projet d’entreprise qui impliquera la Direction Générale, la DSI, le RSSI, le CIL en passe de venir le DPO, mais aussi et surtout les métiers qui détiennent les données.

La problématique va être d’une part de cartographier le SI afin de trouver ces fameuses données, d’identifier tous les détenteurs de ces données, de comprendre les processus autour des usages de ces données afin de pouvoir les protéger mais aussi et surtout d’être capable respecter le droit à l’oubli, c’est-à-dire d’être capable de les modifier sur la simple requête de son véritable détenteur qui est l’internaute. Ce dernier point, n’est pas anodin il est même quasi-centrale pour atteindre la conformité au RGPD.

Puis GS Mag et Jean-Yves Pronier ont annoncé le lancement du Baromètre du RGPD. Ce baromètre, réalisé en partenariat avec notre magazine, Brainwave, le CLUSIF, l’AFCDP, l’ADPO et le concourt de la CNIL va permettre aux internautes de mesurer leur compréhension du RGPD. Une analyse réalisée en commun sera publié dans les colonnes de GS Mag soit sur le site internet soit dans le magazine papier en fonction des cadences de parution.

RGPD un règlement dans le prolongement des législations françaises

Maître Garance Mathias a par la suite dressé un panorama des différents articles du RGPD. Elle a rappelé que le règlement 2016/679 (GPD) du 27 avril 2016 sera donc effectif le 25 mai 2018, est dans la droite ligne des législations françaises en matière de protection qui existe dans le droit français depuis 40 ans avec la Loi informatique et Liberté. Ce règlement permet une uniformisation de la protection des données à caractère personnel dans tous les États membres de l’UE. Il induit une extraterritorialité du règlement ce qui est dans la même veine que pour les échanges commerciaux. Les principaux changements concernent la conformité avec la responsabilité des entités qui implique des encadrements contractuelles et mettre en place des outils comme les registres des traitements tenus par les CIL. De plus, les entreprises auront des obligations et responsabilités à la charge du responsable de traitement, les obligations des sous-traitants sont précisées et renforcées. Enfin, déjà depuis la Loi pour la République Numérique a augmenté les sanctions jusqu’à 3 millions d’euros. Par contre, elles devraient atteindre 20 millions ou 4% du CA au plus fort des deux.

La conformité se traduira par des traitements respectueux des principes de Privacy by Design

Les entreprises devront démonter la conformité en mettant en place des traitements respectueux des principes de Privacy by Design, ou de Privacy by Default. Il va falloir utiliser ses produits conforment aux principes de Privacy by Design ou by Default. En outre, il faudra tenir un ou de registre des activités de traitement. Il faudra réaliser des impacts et de risques. Tout cela implique de se poser des questions sur la finalité, de la proportionnalité. Le règlement implique de mettre en place des méthodes d’analyse de risque.

De plus, le règlement induit une obligation de Sécurité pour le responsable de traitement et le sous-traitant en fonction de l’Etat de l’art, du degré de gravité qui peut varier d’une entreprise à l’autre. Dans ce règlement, il y a, en outre, une obligation de sécurité directement à la charge du sous-traitant. Il faudra donc prendre en compte ces enjeux dans les contrats avec les prestataires de Cloud, d’hébergement... les donneurs d’ordre devront procéder des audits de leurs fournisseurs ou mettre en place des procédures de contrôle des procédures. Garance Mathias rappelle que le DPO ne tient pas le registre, mais c’est le responsable de traitement qui doit le tenir. Quant aux transferts de données, les cadres sont toujours valident avec toutes leurs clauses contractuelles types. Dans le cadre de certaines activités des cadres juridiques vont devoir se construire.

Les points de vigilances concernent d’une part la localisation des données, la sous-traitance, les décisions de divulgation émanant d’une autorité judiciaire d’un pays tiers à l’UE ou d’une juridiction.

Enfin, dans le RGDP, l’instrument dissuasif reste la sanction qui peut intervenir dans certain cas absence de contrat avec un sous-traitant, absence de consentement.... en fait, les entreprises doivent réaliser un audit juridique et technique des traitements et des politiques interne pour définir un plan d’action de mise en conformité. La réalisation d’un audit des contrats conclus avec les sous-traitants, la définition d’une politique en ce domaine. Enfin avoir une politique de gouvernance en matière de protection des données.

Le RGPD va influencer la transformation numérique des entreprises

Raphaël Brun, Manager et expert RGPD et Patrick Marache, Senior Manager chez Wavestone expliquent que le RGPD a une influence sur la transformation numérique. Les entreprises doivent en premier lieu comprendre ce qui va changer avec le RGPD. Il faut en fait contrôler le principe de finalité. La transparence est un des maitres mots de ce règlement. Les entreprises doivent informer des actions, sécuriser et conserver les données pour une durée adéquate. Il faut organiser les transferts et enfin il faut prendre en compte les formalités nécessaires. Les entreprises vont devoir prendre en compte que les CNILs auront la possibilité de renforcer les contrôles. Il va leur falloir choisir la CNIL qui sera pour elle un guichet unique et enfin elles devront soit recruter un DPO ou choisir un DPO mutualisé.

Les entreprises devront intégrer la privacy by Design dans tous les nouveaux projets. Il va falloir documenter tous les projets en intégrant la mise en œuvre les traitements. Quant à la communication des failles de Sécurité des processus devront être mis en place. Enfin, on doit prendre en compte la modification des données.

Comment organiser ce type de programme. Il va falloir en premier lieu identifier les processus des traitements et toutes les non-conformités. Ainsi, un plan d’action devra être construit, et il faudra prioriser les actions là où il y a des données les plus vulnérables. Les équipes en charge de ce projet devront définir et mettre en œuvre une démarche centrée sur le traitement plus que sur la donnée. De ce fait, les métiers devront être impliqués. Enfin, il faudra concevoir un programme de mise en conformité et impliquer les collaborateurs. De nombreux acteurs pourront être porteurs de ces programmes. Certains pourront concerner les clients, donc les acteurs métiers, d’autre les employés, donc les RH.... il faudra travailler sur les projets d’anonymisation des données et d’accountabilité.

Une organisation en fonction des expertises nécessaire devra être déployée sur :

La gouvernant et le pilotage,
Le contrôle et l’audit,
L’accompagnement des projets,
La privacy au quotidien,
La privacy technique incluant l’apport et le maintien des outils techniques nécessaires dans le temps.

Les spécialistes en matière de Privacy, d’IT, de SSI et des métiers devront donc tous travailler ensemble de façon centrale et décentralisée en fonction ses types de programme.

Il va falloir déterminer qui est responsable de quoi en fonction des différents projets. Cela pourra être soit les équipes SSI, la DSI, les métiers, le DPO...

Il falloir très vite définir des Guidelines pour prendre en compte les spécificités locales et ajuster les Templates de ces guidelines. Les entreprises devront statuer sur les demandes ou contraintes spécifiques et avoir des relais locaux.

Les directions métiers devront être impliquées au plutôt. Il faudra plutôt communiquer sur la confiance et la vie privée numérique des clients que sur les sanctions. De ce fait, il est nécessaire d’insister sur le vol de données, la transmission à autrui ou encore les détournements des usages. Les principes clés dans ce cadre sont la transparence, la maîtrise, la minimisation et la désensibilisation et les modèles « Win Win ».

Il faudra se poser la question des outils pour éviter la désensibilisation et le détournement des usages. Les bons outils dans ces domaines doivent être adaptés à l’utilisateur. Les usages de l’entreprise devront être bien compris afin de limiter la surface de risques, accompagner les changements, avoir des moyens de détections qui permettent de produire des preuves des consentements.... comment détecter les détournements d’usages ? Comment détecter les atteintes aux informations collecter et leur donner du sens ? Ils ont donné au final une roadmap pour être conforme d’ici à fin 2018.

Brainwave des outils pour mieux maîtriser les violations de données

Jean-Yves Pronier de Brainwave a présenté la vision de son entreprise sur le RGPD. Il reste à aujourd’hui 450 pour ce mettre en conformité. Il s’est intéressé plus particulièrement au registre qui devrait permettre de mieux maîtriser les traitements. Cette dernière implique les processus, la cartographie, la sécurité, le contrôle et l’audit. Il a insisté sur le nécessaire contrôle des accès aux données. Quant aux violations, plusieurs cas sont possibles, la destruction, la perte, l’altération, la divulgation non consentie de données à caractère personnel, l’accès non autorisée à de telles informations. Selon lui, à chaque que fois l’on a constaté des pertes de données, il s’agissait de données structurées qui représentent 15% des données gérées par une entreprise le reste sont des données non structurées. Enfin, il y a aussi toutes celles qui se trouvent dans le Cloud. Environ 25% des entreprises sont susceptibles de subir une perte de données. Elles mettent en moyenne 201 jours pour s’en apercevoir et 70 jours pour la contenir.... il faut donc appréhender ce risque et le contenir. Ainsi l’offre de Brainwave permet de contenir ce risque, de mener des investigations et de protéger des violations. Ses solutions vont permettre d’aider les entreprises de réaliser des inventaires, de faciliter la capacité de savoir où se trouvent les données, de contrôler les mesures prises, de corriger les actions et de proposer une phase d’audit.

En conclusion pour Jean-Yves Pronier le RGPD, c’est l’opportunité de réinventer leur rapport à la donnée, d’adopter une meilleure gouvernance des données et des accès et d’ajouter plus de transparence dans la collecte et l’utilisation des données vis à vis des tiers. Au final il permet de créer un climat de confiance numérique et de tirer un avantage concurrentiel.

RGPD : les utilisateurs à privilège doivent être particulièrement surveillés

Xavier Lefaucheux, directeur commercial de Wallix, a mis l’accent sur la problématique des utilisateurs à privilèges. Ces derniers ont un rôle prédominant du fait de la complexité et des usages techniques de la numérisation des sociétés. En effet, un seul utilisateur à privilège peut remettre en cause tout un SI de façon volontaire ou fortuite. Toutes personnes qui a des accès à privilège et gère de la donnes pourraient générer des risques : les VIP, les RH, les métiers....

Ainsi, Wallix répond à cette problématique 4 points par :
Le contrôle pour rendre l’activité d’un utilisateur à privilège totalement transparent
La génération de tous les workflow
La documentation des événements qui ont été à l’origine d’un incident
La solution doit être en outre utilisée partout.

La mise en place d’un outil de contrôle comme celui de Wallix répond à ces points par l’enregistrement des sessions, la génération des mots de passe, la gestion centralisée et enfin la création des pistes d’audit sur tous ces accès.

En outre, il permet la gestion des identités, la traçabilité et la gestion des mots de passes des utilisateurs à privilège. Ainsi la politique de sécurité pourra être mieux appliquée par la gouvernance, le monitoring en temps réel des alertes, l’optimisation de la gestion des données et les rapports d’audit. Pour cela, il propose de réaliser une analyse de la maturité et de la performance de la politique de sécurité, d’appréhender les risques des SI, de permettre la valorisation des données, d’assurer la conformité par rapport au RGPD, de sensibiliser et de responsabiliser en faisant adopter de bonnes pratiques aux administrateurs a privilèges. En conclusion, une table ronde animée par Jean-Yves Pronier a réuni une Expert sécurité d’une banque, Chloé Torres, le secrétaire générale de l’Association des DPO (ADPO), un responsable applicatif d’un établissement bancaire et un RSSI d’un établissement de réassurance.

Chloé Torres rappelle que l’ADPO a été créé en janvier 2016, pour regrouper les DPO. Elle est organisée en différentes commissions qui traitent entre autre les grands thèmes du RGPD. Dans le règlement européen Le DPO a un mission d’information, de conseil et surtout d’audit. C’est un premier pas vers « un commissariat aux données ». Il doit vérifier que tous les processus mis en place dans les entreprises sont bien conforme au RGPD.

Pour cette Expert Sécurité selon les différentes entités de son groupe l’impact du règlement sera différent. Ainsi, l’application du GRPD sera complexe. Dans son entreprise, cette Expert Sécurité mentionne qu’une communauté a été mise en place dès la promulgation du règlement en 2016. Elle est constitué de représentants des grands métiers de l’entreprise avec des personnes des métiers, de la DSI, de la SSI, des juristes des RH... afin de travailler sur l’application du RGPD. Pour ce RSSI bien avant l’arrivée du GDPR, un travail sur la gestion des données avait été réalisé et ceux dès 2012. Cette démarche est dû aux règlements spécifiques auxquels sont confrontés son entreprise, mais aussi de l’émergence du risque cyber, sans compter les contraintes des autorités financière et des demandes de ses clients. Il s’est décliné en plusieurs phases, la sécurisation des SI, puis la classification des donnés, la revue des droits d’accès. De plus, un programme de consolidation a été mis place en depuis 2016. Depuis l’arrivée du GRPD ce dernier programme a été renforcé.

Chloé Torres explique que si le règlement n’impose pas systématiquement la nomination d’un DPO par contre on voit une tendance à la désignation de ce type de métier dans les grands groupes. Il semble que ces DPO seront plutôt rattachés aux services juridiques. Ils devraient travailler avec la DSI, la direction de l’audit. Pour ce RSSI, le comité d’audit fait des demandes de plus en plus prégnantes pour obtenir des informations sur les pertes de données. Chloé Torres rebondit en expliquant que les comités d’audit et de conformité s’intéressent de plus en plus à ce sujet. Ils souhaitent obtenir des rapports d’audit juridiques sur les écarts au RGPD.

Cette Expert Sécurité considère que son entreprise n’a pas attendu le règlement pour protéger les données de ces clients. Il s’agit aujourd’hui de mieux connaître les risques par rapport à la perte de données éventuelle des informations des clients. Il va lui falloir mieux cartographier l’implantation des données pour renforcer leur sécurité. Pour ce responsable des applicatifs, il s’agit entre autre de mieux contrôler les accès des administrateurs à privilège pour réduire les risques en ce domaine.

Selon ce RSSI, tous les projets en ce domaine sont validés par le COMEX et par la suite par les métiers. Ceci lui permet d’obtenir un appui pour faire appliquer les efforts implique une gouvernance forte avec une communication importante pour expliquer les objectifs, le pourquoi des mesures prises...

Pour cette Expert Sécurité, il faut rapidement trouver des compétences internes pour conduire ce projet et faire de la veille. Chloé Torres considère qu’il est nécessaire de présenter à la DG les impacts du règlement, prendre la conscience des risques et établir une cartographie. Pour ce responsable des applications, il est aussi important de se rapprocher de métiers pour évaluer les processus. Il ne faut pas attendre pour mener des actions et surtout beaucoup communiquer. Pour ce RSSI il faut obtenir le soutien de la DG, travailler avec les métiers et communiquer.


Articles connexes:


    

Voir les articles suivants