Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

GDPR 2018 – Le compte à rebours a commencé : Les recommandations des experts HTTPCS pour s’y conformer en moins de 10 mois !

juillet 2017 par HTTPCS France

Le GDPR (General Data Protection Regulation) ou RGPD (Règlement général de la protection des données) entrera en vigueur le 25 mai 2018. Pourtant 20% des cadres ignorent encore leurs obligations réglementaires en matière de cybersécurité : le travail de sensibilisation et de maitrise des cyber-risques reste à faire !

Ce règlement permettra enfin de synthétiser et harmoniser toutes les règles de cybersécurité. Il sera alors le seul règlement en vigueur pour la collecte et la gestion des données personnelles, il prévaudra sur toute directive nationale : Les organisations qui collectent, traitent et stockent des données doivent donc dès à présent amorcer leur politique de conformité.

Le français ZIWIT, également connu pour HTTPCS son produit phare permettant de réaliser soi-même des audits de sécurité web applicative, nous propose son expertise sur le sujet.

Réactivité VS Proactivité : Réglementer pour inverser la tendance !

Au sein des administrations et des entreprises, la cyber sécurité est souvent un sujet « non prioritaire » pour lequel les recrutements d’experts et les lignes budgétaires arrivent en dernier plan. Le GDPR pourrait bien inverser la tendance : son objectif étant d’obliger les organisations à assurer la protection des données et d’offrir aux ayants droits la garantie de pouvoir y accéder et exiger leur effacement.

Les pénalités financières prévues par le GDPR s’ajoutent aux préjudices importants liés au piratage informatique et aux vols de données (pertes financières, baisse de notoriété…). En effet, de l’ordre de 20 millions d’euros ou 4% du chiffre d’affaires mondial (le plus élevé étant retenu), ces amendes impressionnantes devraient éveiller les consciences. Elles visent à contraindre toutes les organisations à prendre les mesures nécessaires en matière de protection.

Des démarches nécessaires face à l’augmentation massive des actes de cyber malveillance toujours plus diversifiées : détournement d’e-mails, vols de cookies de navigations, propagation de fichiers malicieux, vol de coordonnées bancaires … Capables de paralyser durant plusieurs jours des services et organisations toutes entières, comme nous l’avons constaté avec WannaCrypt et Peyta.

Les conseils des experts HTTPCS pour se conformer sans plus attendre

Bien que le chantier soit vaste, il est possible d’amorcer efficacement la politique de conformité au GDPR en entreprenant 4 actions prioritaires :

-  Désigner le délégué à la protection des données : véritable pilote de la politique de sécurité à mettre en œuvre il exercera une mission d’information, de conseil et de contrôle en interne. En cas de contrôle il sera l’interlocuteur principal qui justifiera et documentera les procédures de sécurité mise en œuvre.

-  Recenser, catégoriser et protéger chaque donnée permettant d’identifier une personne, même de façon indirecte ! De leur création à leur effacement en passant par leur stockage, les données doivent être protégées quel que soit l’objectif de leur traitement et même si une partie du procédé est déléguée à un prestataire. L’utilisation de solutions automatisées quotidiennes est recommandée afin d’assurer une protection humainement impossible à contrôler dès la chaîne de développement jusqu’aux serveurs de production.

-  Connaitre les risques pour mieux les gérer : La réalisation de formations spécialisées et de campagnes de sensibilisation permettra de transmettre la notion de cyber risques et d’obligations. Cette démarche devra systématiquement être accompagnée d’analyse d’impact sur la protection des données (PIA) afin d’identifier des traitements de données personnelles susceptibles d’engendrer des risques élevés pour les droits et les libertés des personnes concernées.

-  Organiser et documenter les procédures internes jusqu’à la remédiation : Afin d’assurer proactivement un très haut niveau de protection il est nécessaire de réaliser une veille quotidienne et d’identifier les failles pouvant porter atteinte à la sécurité, à l’intégrité et à la disponibilité des données. Afin d’optimiser les délais de remédiation il est recommandé d’opter pour une solution garantie zéro faux positif détaillant chaque faille ainsi que le correctif à appliquer tout en prenant en compte l’ensemble des événements qui peuvent survenir au cours de la vie d’un traitement. Pour ce dernier point, l’enjeu majeur sera d’être en mesure de constituer et regrouper la documentation nécessaire afin de prouver à tout moment ses bonnes diligences en matière de protection continue des données : certifications délivrées par un tiers de confiance, rapports détaillés daté avec répartition des tâches aux interlocuteurs concernés…

Outre les obligations règlementaires du GDPR, la cybersécurité doit devenir une priorité car au gré des évolutions technologiques les cyber-attaques se multiplient et se diversifient.

Par le biais de solutions et services innovants et fiables HTTPCS vous accompagne pour vous préparer efficacement aux cyber risques et aux enjeux de conformité du GDPR.




Voir les articles précédents

    

Voir les articles suivants