Actu
Protéger votre organisation en appliquant la nouvelle réglementation sur la protection des données
juin 2016 par Juliette Rizkallah, chief marketing officer, SailPoint
La bataille de la confidentialité sur les données personnelles a franchi un
nouveau cap avec l’accord de l’Union européenne sur la nouvelle réglementation sur
la protection des données. Cette loi modifie profondément l’approche des
entreprises en matière de protection des données clients. Non seulement elle donne
aux citoyens européens un meilleur contrôle sur le moment où les informations
personnelles seront recueillies, mais également sur la manière dont elles seront
utilisées. Elle prévoit par ailleurs de lourdes pénalités financières en cas
d’échec des entreprises à protéger correctement les données collectées. Ces
pénalités pouvant représenter jusqu’à 4 % du chiffre d’affaires annuel d’une
entreprise, elles serviront ainsi de piqûres de rappel aux équipes dirigeantes.
Bien qu’elle ne s’applique qu’aux données des citoyens européens, cette
réglementation s’adresse à toutes les entreprises qui disposent d’une
localisation en Europe, ce qui lui confère un véritable rayonnement à
l’international. Cette nouvelle loi entraînera des modifications matérielles par
rapport aux nouveaux usages et procédés de stockage des données clients, et
surtout sur la façon dont les entreprises prévoient de donner l’accès à ces
données à leurs employés, à leurs sous-traitants et à leurs partenaires
commerciaux.
Cette nouvelle réglementation impose aux entreprises de signaler toute violation de
données de ses comptes clients dans les 72 heures, ce qui les poussera à faire
évoluer leur système de sécurité de la simple prévention sur le réseau à la
détection des intrusions et leur correction en temps réel.
La mise en œuvre du règlement sur la protection des données se traduit par
d’importantes implications pour les programmes de gouvernance des identités des
entreprises. C’est l’occasion de mettre de l’ordre dans la gestion des identités
avant que l’application des pénalités prévues par cette loi n’entre en
vigueur. Par anticipation, les entreprises peuvent prendre des mesures
significatives, en se reconcentrant sur les priorités de la gouvernance des
identités :
– En premier lieu, répertorier les différents lieux de stockage au sein
de l’entreprise dans lesquels figurent les données clients à protéger selon la
réglementation sur la protection des données. Elles peuvent se trouver dans des
systèmes structurés, tels que les applications ou les bases de données, ou dans
des fichiers situés dans des des portails de collaboration (comme SharePoint) ou
même dans des systèmes de stockage dans le cloud (comme Box ou GoogleDrive).
– Ensuite, il convient d’identifier qui doit avoir accès aux données
clients et regrouper avec ceux qui y ont déjà accès. Cette démarche doit faire
l’objet d’une interrogation permanente, il ne s’agit pas d’un événement ponctuel.
Il est important de s’assurer de bien prendre en compte toutes les applications et
les plateformes de stockage de fichiers où sont stockées les données clients.
– Enfin, prévoir des contrôles de gouvernance des identités pour
protéger l’accès aux données en accord avec la réglementation sur la protection
des données, à mesure que les utilisateurs rejoignent, changent de fonctions ou
quittent l’entreprise.
Il n’est pas impossible de se sentir au début un peu dépassé par les exigences de
cette nouvelle réglementation sur la protection des données, en particulier
concernant les pénalités financières applicables en cas de non-conformité.
Toutefois, le fait de placer la gouvernance des identités au cœur de la stratégie
de sécurité, dans l’optique de protéger l’accès aux données clients, peut
contribuer de manière significative à atténuer le risque d’une potentielle
violation des données et d’éviter les pénalités qui en découleraient.
