Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Le 5 questions à de Frans Imbert-Vier, PDG d’UBCOM Conseils & astuces !

mai 2019 par Frans Imbert-Vier, Directeur Général d’UBCOM

Frans Imbert-Vier, le PDG de la société de conseil en cybersécurité UBCOM évoque les 1 an du RGPD. Il revient notamment sur le fait que les gros acteurs sont en défaut de conformité malgré un arsenal déployé et que les PME /TPE en sont toujours à se demander pourquoi faire ce changement ? Frans Imbert-Vier évoque également le fait que le secteur de l’industrie est paradoxalement le moins conforme au RGPD et pourtant le mieux protégé car peu visible sur le net !

Cartographie de la mise en application du RGPD  ?

La méthode officiellement proposée manque de pragmatisme et ne répond pas aux attentes de plus de 80 % des entreprises. Conçus par les Big Four et les grands cabinets d’expertises comptable, la méthode d’instauration de la conformité RGPD dans les entreprises est trop technocratique au point de nuire aux tentatives dites de “Best Effort“ que souhaitent apporter les dirigeants.

Est-ce vraiment pertinent pour sécuriser les entreprises  ?

Oui sans aucun doute, et grâce à l’Art. 32 (Obligation de Sécurisation du système d’information), l’entreprise réduit naturellement sa dette technique et augmente implicitement sa résilience.

On a vu qu’il pouvait y’avoir des «  alternatives  » au RGPD, comme la loi sur le secret des affaires pourquoi n’en entend t-on pas parlé  ?

Ce n’est pas une alternative, c’est complémentaire. La RGPD est une régulation, qui a pour but d’harmoniser les gouvernances de la gestion des données de l’entreprise avec un référentiel unique pour les acteurs de l’Europe. La Loi sur le Secret des Affaires est une réponse politique aux déclarations des lanceurs d’alertes et un frein au devoir d’investigation de la presse selon la Convention de Munich. Dans un cas on harmonise au bénéfice de l’intérêt général pour réguler la domination du GAFAM et des données que nous leur confions. Dans l’autre on défend l’intérêt individuelle d’une organisation en la protégeant d’une exposition judiciaire et publique si elle se rendait coupable d’actes délictueux et portant atteinte à sa réputation et aux intérêts généraux de la société civile.

Quelles sont les principales raisons évoquées pour ne pas être conformes au RGPD  ?

Le manque de ressources humaines, donc de compétence et implicitement de moyen financier constitue l’argument souvent entendu pour justifier une implantation tardive voir absente. Mais en réalité, c’est le changement de l’organisation qui est le plus gros frein. On entend souvent dire «  Avant on faisait comme ça et c’était bien, pourquoi on devrait changer  ? “. Souvent de très bonne foi, l’entrepreneur se voit contraint de remettre en cause des habitudes opérationnelles qui sont en places depuis plusieurs décennies parfois. C’est donc le facteur humain qui est avant tout le plus gros frein au déploiement de la régulation.

Le rapport de la CNIL mentionne qu’elle va ‘montrer les crocs’ est-ce judicieux d’aller sanctionner les PME /TPE quand aucun service n’est proposé à hauteur de leur moyen financier  ?

La CNIL doit défendre l’intérêt général et celui-ci comprend aussi l’intérêt économique. Il y a énormément de petites organisations qui ne peuvent pas se mettre en conformité, tout simplement parce que leur métier devrait être réinventé s’il devait se mettre en conformité. L’enjeu financier est lui aussi déterminant. Les organisations patronales, les Chambres de Commerce, le Medef, mais aussi Bercy et l’Etat n’ont proposé aucune aide financière pour accompagner les TPE/TPI à se mettre en conformité. La CNIL est essentielle, mais elle doit modérer son verbe et ne pas se prendre pour le gendarme du numérique avec des droits supérieurs. Le ton de l’accompagnement et de l’assistance est à mon avis plus payant que la menace.

Y’aura-t-il un abandon du RGPD au fil du temps  ?

Cela dépend de nos élus. Implicitement du résultat des élections européennes. Les lobbyistes du GAFAM déploient des trésors d’imagination pour démontrer, mot par mot, le bien-fondé de cette loi. Le député européen à un périmètre de défense limité et il est d’ailleurs dans autre chose. Pour lui la RGPD c’est du passé. Mais la question est bien posée, car il n’est pas impossible que l’on fasse machine arrière au nom du marché. Si la stratégie de l’Europe est de construire un message politique et fédéré, alors la RGPD pourrait même devenir un socle des régulations. Si elle reste technocratique, face aux Américains et à Xi Jinping, nous n’avons aucune chance.

Quels conseils pouvez-vous donner aux entreprises qui n’ont pas l’intention de se mettre en conformité au RGPD  ?

a. Quelles alternatives existent-ils pour être dans le respect des articles les plus ‘touchy’  ?
Le pragmatisme est une forme d’alternative. Si vous êtes une boulangerie avec un site internet et que vous mettez à disposition une fonction de commande en ligne, il faut vous appuyer sur des services clés en main qui prennent en charge la réglementation. S’appuyer sur son agence locale signifie que vous devrez maitriser le risque vous-même ce qui est inconcevable. Financièrement cela deviendra insupportable. J’invite donc les petites agences de communications et de développement et s’approprier l’expertise RGPD pour l’offrir à leurs clients et rester ainsi concurrentielle face aux grands acteurs comme Orange ou OVH.

b. Comment détecter une non-conformité au RGPD  ?
Quand on connaît bien la réglementation et son principe, c’est très facile. Nous en découvrant chaque jour. Mais c’est plus ennuyeux quand on le découvre auprès d’acteurs économiques qui ont fait l’effort de se mettre en conformité, mais en laissant un détail criant qui indique que rien n’est vraiment maitrisé. Paradoxalement, ce sont les plus grands acteurs qui sont le plus en défauts. Alors qu’ils dépensent des budgets énormes pour se mettre en conformités, ils s’appuient souvent sur des acteurs à périmètre réduit comme les avocats. Ces derniers vont parfaitement gérer le cadre contractuel, mais sans pouvoir détecter si l’informatique peut tenir la promesse qui est faite dans les contrats. La RGPD étant pluri disciplinaire et s’appuyant à la fois sur des compétences techniques, législative et informatique, un seul partenaire ne suffit pas pour gérer le périmètre de l’entreprise dans son entier.

c. Comment le hacker peut-il savoir que l’entreprise n’est pas protégée  ?
Comment le Client peut-il savoir s’il est protégé voulez-vous dire ? Un hacker n’est pas empêché de pénétrer une entreprise qui serait parfaitement conforme à la RGPD. Ce qui est important de savoir, c’est si le fournisseur a bien mis en place toutes les actions nécessaires pour garantir la protection de la donnée de ses clients. Personne n’est à l’abri du hacking. Le risque Zéro n’existe pas. Mais on sait que si vous êtes résistant, le hacker passera vite à l’entreprise suivante. Un hacker travail à l’heure. Il attaque donc les proies faciles. Les résistants ne l’intéressent pas.

d.L’utilisateur du service ou autre peut-il se retourner contre l’entreprise publique ou privée en cas de non-respect du RGPD  ? Où l’entreprise doit-elle simplement mentionner qu’elle n’applique pas encore les règles  ? L’entreprise ne peut pas dire qu’elle ne respecte pas les règles. Depuis le 26 mai 2018, la Loi lui impose le respect de la réglementation. Mais personne n’applique la règle au sens parfait. C’est impossible. Il y a des compensateurs qui sont proposés et que la réglementation prévoit d’accepter. Mais même l’État n’est pas conforme avec la RGPD. Regarder la base Ariane du Ministère des Affaires étrangères ou Facebook qui détourne impunément des milliards d’informations personnelles. Qui a attaqué le Ministère des Affaires étrangères pour le non-respect de l’Art. 32 de la RGPD (Défaut de sécurisation)  ? L’Etat devrait être systématiquement poursuivi, car c’est le meilleur moyen de générer du budget destiné à moderniser les services de ce dernier. Ce sera compliqué compte tenu de l’irresponsabilité politique du Secrétaire d’Etat au numérique sortant et du nouveau que personne ne croise. Il n’y a pas d’argent, mais pire encore, il n’y a pas de prise conscience, dans ces sphères, de la conséquence à ne pas respecter la régulation. Je crois que le seul responsable en poste ayant une parfaite conscience des enjeux, c’est Guillaume Poupard, patron le l’ANSSI et le Général Marc Watin-Augouard. Au-delà de la notion réglementaire, c’est une obligation engageant la souveraineté des citoyens et de l’État qui est en cause. Alors que cela devrait être une cause nationale, car elle prédit un avenir fort ou pas. Elle reste une cause secondaire compte tenu des évènements et de la situation politique. Mais l’État ne peut pas être partout et surtout pas dans l’action numérique. Si c’est une tendance, ce n’est pas encore une culture et la génération en place est encore trop dépassée pour que des actions rapides et fortes soient mises en œuvre. La grande difficulté dans la résolution de cet enjeu c’est que sa réponse est politique. Et le politique a un calendrier électoral à tenir. Le numérique, son calendrier, il est trimestriel. Tous les 3 mois, une révolution technologique ou une innovation majeure bouscule le monde digital doué d’une agilité incroyable.

Quel secteur est le moins conforme  ?

Sans doute l’industrie, car c’est le moins exposé au grand public et l’Etat qui a une dette technologique colossale. Entre l’inertie des organisations et la vulnérabilité des systèmes qu’il faut repenser pour les mettre à jour, le défi est terrible et les compétences sont rares, voir fuyantes pour le résoudre.

Quel secteur est aujourd’hui le plus vulnérable en termes d’attaques de cybersécurité  ? Ceux qui par leurs activités génèrent et traitent un nombre important de données personnelles. Ces données ont de la valeur pour la cybercriminalité. Elles sont donc attractives et génèrent de facto une exposition aux risques.

A contrario quel secteur semble le mieux protégé  ?

Encore une fois l’industrie, car son système et son environnement est peu inscrit sur le l’internet.

Les GAFAM jouent-ils le jeu  ?

Ils ne peuvent pas jouer le jeu. La RGPD tue leur mode économique dans l’œuf. La rémunération du GAFAM c’est la valorisation de vos données personnelles en vous offrant des nouveaux services (payant ou exclusif) et en partageant avec d’autres acteurs ces mêmes données pour enrichir et valoriser plus encore le service proposé. C’est la force du numérique et son marché qui imposent de proposer sans discontinuité des nouvelles fonctions, qu’elles soient applicatives (logicielles) ou technologiques (nouvel iPhone sans bouton par exemple !). Le GAFAM dépense des milliards pour promouvoir leurs business model et dans cet argent il y a un budget significatif destiné à accompagner nos élus européens dans le nécessaire assouplissement de la loi ou la production de nouvelles réglementations contradictoire.




Voir les articles précédents

    

Voir les articles suivants