Cette volonté de mise en conformité à cette nouvelle directive impacte directement les différentes politiques de sécurité informatique, demandant par là même à l’entreprise une implication de ses ressources sur ces problématiques jusqu’alors principalement gérées par les départements sécurité. C’est l’ensemble de l’environnement de l’organisation qui sera impacté. Comment les entreprises opèrent-elles ce virage ?

Moins de deux ans pour se mettre en conformité réglementaire

Le 25 mai 2018 est la date fixée à laquelle le règlement GDPR entrera en vigueur. Si pour la plupart des organisations on note une réelle volonté à construire des politiques et infrastructure sécuritaires conformes, le changement et la responsabilisation des acteurs peuvent en freiner d’autres. En effet, les cyberattaques sont l’un des plus grands risques auxquels les organismes sont confrontés aujourd’hui. Pourtant, à l’heure de la transformation digitale des entreprises, seules 7% des organisations considèrent la Cyber comme un sujet prioritaire et de premier ordre (Deloitte/Enquête 2016 « Enjeux Cyber »).
Dans notre monde numérique, le besoin de normes et de systèmes pour protéger la sécurité des informations n’a jamais été aussi important. En incluant cette date butoir, il est donc plus que nécessaire de prendre en considération le respect de la vie privée et la sécurité des données associées.

Les politiques de sécurité des systèmes d’information doivent être adaptées aux exigences du GDPR

Les politiques de sécurisation initialement fondées sur le traitement des risques pour l’entreprise et son activité doivent maintenant intégrer les risques impactant les libertés et droits de personnes physiques.

L’objectif 2018 pour les entreprises est d’établir dans leurs politiques globales en matière de sécurité mais aussi au plus tôt dans leurs projets - selon le principe de « Privacy by design » - toutes les mesures techniques, procédurales ou organisationnelles visant à traiter les risques encourus pour les personnes. Ici, c’est le responsable du traitement qui a autorité sur cet arbitrage « risques » vs « mesures ». Ce dernier doit être fondé sur une analyse d’impact relative a ? la protection des données . » qui est conduite sous la responsabilité du Délégué à la
Protection de Données.

La politique de cybersécurité englobant l’ensemble de ces mesures doit être réexaminée et actualise ?e régulièrement au même titre que la cartographie des risques de chaque traitement considéré comme sensible.

Une réalité terrain plutôt inquiétante

Face à une sanction pour non respect à la réglementation qui pourrait atteindre jusqu’à 4 % du chiffre d’affaires annuel mondial, les entreprises ont d’ores et déjà amorcé les premières mises à niveau nécessaires devant intégrer au cœur même du traitement de ses données une approche en matière de cybersécurité.
L’une des principales difficultés rencontrées par les organisations pour l’application du règlement GDPR est leur mise en conformité à l’article 35 qui, en cas de risques élevés, impose la réalisation d’études d’impact sur la vie privée et l’adaptation des politiques de sécurité associées.

Un rôle accru pour le Délégué à la Protection des Données

Dans la loi française du 06 janvier 1978 modifiée, les fonctions opérationnelles du CIL (Correspondant Informatique et Libertés) portaient essentiellement sur la tenue d’un registre des traitements pour permettre au responsable d’être exonéré de déclarations à la CNIL et un rôle de conseil sur la conformité des traitements.
A partir du 25 mai 2018, le Délégué à la Protection des Données doit remplacer le CIL. Le DPD, dont la désignation sera obligatoire dans certains cas, aura un rôle nettement accru. Il devra notamment mener des audits, tenir des comptes de risques pour la vie privée et pourra être consulté par le responsable de traitement en cas d’études d’impact. Un problème de taille se pose alors aux organisations : les ressources et les compétences de ces acteurs.

Quelles ressources pour la mise en conformité ?

La charge de travail est très importante car il faut, pour chaque traitement sensible identifié, faire une analyse de risques (une étude d’impact) qui peut s’étendre entre 5 à 10 jours de travail pour chaque analyse et nécessite une expertise dédiée. Pour exemple, si une entreprise compte 100 traitements sensibles : il faut compter 500 à 1000 jours/hommes. Dans la réalité, le DPD est souvent seul voire même dans certain cas seul et à mi-temps !

Par ailleurs, le DPD ne dispose pas toujours des compétences nécessaires à la réalisation des études d’impact qui sont ni plus ni moins des analyses de risques cybersécurité orientée « impact sur les personnes ». C’est un second problème important souligné ici. Ne maitrisant pas bien la méthode d’appréciation des risques (EBIOS, ISO27005), il doit faire appel à des compétences externes (cabinets spécialisés) afin de mettre en place un processus industrialisé d’analyse d’impact pour, peu à peu, prendre en charge ce processus en interne et en limiter le coût.

Cette méthodologie est souvent déjà maitrisée par le RSSI car assujettie à une règlementation similaire de type (homologation) ou parce qu’il a déployé une démarche conforme au standard ISO27001 supportée par le processus d’analyse de risque. Le RSSI réalisant des analyses de risques orientées « impact entreprise » et le DPD des analyses « impact sur les personnes ».

Tout l’enjeu réside ici à réussir à mettre en place un processus industrialisé des réalisations des EIVP et d’en assurer le suivi et le maintien dans la durée. Certaines solutions informatiques présentes sur le marché restent un bon moyen de répondre à cette problématique.