Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Christophe Auberger, Fortinet : le RGPD est une opportunité et un facteur différenciant

janvier 2019 par Marc Jacob

L’édition 2019 du FIC sera l’occasion pour Fortinet de mettre l’accent sur la protection des données. Christophe Auberger, Directeur Technique France de Fortinet, le RGPD est une opportunité et un facteur différenciant.

GS Mag : Selon vous, qu’ils soient d’ordre psychologique, technique, humain ou financier, quels sont les défis liés à la sécurité et à la privacy « by-design », thème du FIC 2019 ?

Christophe Auberger : Le concept de “Privacy by Design” a pour objectif de garantir que la protection de la vie privée soit intégrée dans les nouvelles applications dès leur conception. Pour chaque nouvelle application, produit ou service traitant des données à caractère personnel, les entreprises et autres responsables du traitement devraient offrir à leurs utilisateurs ou clients le plus haut niveau possible de protection des données.

Ceci étant, force est de constater que la prise en compte de la protection des données à caractère personnel dès les phases amont d’un nouveau projet informatique n’est pas encore entrée dans les mœurs, ni des éditeurs de solutions, ni des donneurs d’ordre ou acheteurs. Les contrôles de conformité́ ou les audits de sécurité́ réalisés par les RSSI montrent que des efforts sont encore à consentir dans ce domaine. Mais l’origine de ce constat n’est pas unique, il dépend bien évidemment de l’organisme concerné, de sa maturité́ et des pratiques internes en matière de protection des données et des systèmes d’information.

Cependant, il est généralement admis qu’une absence de prise en compte ou une méconnaissance de ces sujets au plus haut niveau de l’organisation est souvent à l’origine d’une politique de protection insuffisamment adaptée aux enjeux, et aux risques. Il est indispensable pour l’amélioration de la situation de mettre en place une gouvernance adaptée aux nouveaux enjeux règlementaires et aux nouveaux risques. D’une manière générale, l’équipe projet devra formaliser un dossier de sécurité́ en vue d’une homologation par le responsable des traitements et/ou le dirigeant en complément d’un dossier d’évaluation d’impact sur la vie privée si des données sensibles ou perçues comme sensibles sont traitées.
Le RSSI coordonne les actions relatives au dossier de sécurité́, le DPO celles relatives à l’étude d’impact sur la vie privée.

Il s’agit donc de changements profonds aux impacts multiples sur l’organisme ou l’entreprise à la fois technique, organisationnel et même dans la manière de penser les projets.

GS Mag : Quels sont vos 3 conseils aux organisations pour relever ces défis ? Christophe Auberger : Prendre en compte les aspects protection des données à caractère personnel au plus haut niveau de l’organisation Mettre en place une gouvernance globale des projets en terme de sécurité et d’analyse des risques relatifs à ces données Former et sensibiliser l’ensemble des collaborateurs sur ce sujet

GS Mag : Qu’est-ce qui a changé pour les entreprises avec le RGPD et où en sont-elles dans leur mise en conformité ?

Christophe Auberger : Le règlement général sur la protection des données (RGPD) crée un cadre réglementaire unifié au niveau européen, participant ainsi à la volonté de créer un marché numérique unique au sein de l’Union, estimé à 415 milliards d’euros par an et permettant potentiellement de créer des centaines de milliers d’emplois. Mais ce marché unifié va de pair avec une demande de plus de responsabilités pour gagner la confiance des citoyens. Cette responsabilité pèse directement sur les entreprises qui doivent désormais grantir aux utilisateurs un certain nombre de droits : une information claire sur l’utilisation qui va être faite de leurs données, une possibilité pour eux de consulter les données utilisées, de les modifier ou de les supprimer, etc. Même si beaucoup de ces droits existaient déjà, leur exercice par les utilisateurs était jusque-là fastidieux. De plus les mesures contraignantes sont maintenant très significatives (amendes élevées) . Aujourd’hui toutes les entreprises sont très engagées dans la mise en conformité même si elles n’ont pas toutes atteintes l’objectif.

GS Mag : A quoi devons-nous, selon vous, nous attendre en 2019, que ce soit du côté de l’attaque ou de la défense ?

Christophe Auberger : Du côté des attaques il n’y a pas de raisons de voir des changements profonds. Le modèle économique de la cybercriminalité est tout à fait viable et pérenne et les organisations engagées dans cette voie disposent de moyens humains, technologiques et ont du temps. Peu d’espoir donc de voir la pression se relâcher d’autant qu’avec la transformation numérique la surface d’attaque des entreprises ne cesse d’augmenter.

Du côté de la défense, nous pouvons espérer qu’avec une prise de conscience de plus en plus généralisée des risques à laquelle le RGPD a participé de manière importante, nous verrons moins de données divulguées. Mais il ne faut pas oublié que malgré une considération de plus en plus stratégique de la cybersécurité, aujourd’hui majoritairement les budgets des entreprises ne sont pas au rendez-vous.

GS Mag : Quel est votre message à nos lecteurs ?

Christophe Auberger : La protection des données à caractère personnel est un enjeu majeur de l’économie digitale d’aujourd’hui, plutôt que de voir la réglementation comme une contrainte ou un frein, il faut la voir comme une opportunité et un facteur différenciant. L’économie numérique est basée sur la confiance, et celle-ci ne peut être obtenue qu’à travers une vraie approche de protection cyber de bout en bout. Les technologies de cybersécurité sont indispensables mais ne peuvent être efficaces que dans un contexte de prise en compte globale où la cybersécurité fait partie intégrante de l’organisation et des processus de l’entreprise.


Articles connexes:


Voir les articles précédents

    

Voir les articles suivants