Accueil RGPD un an après : cours de rattrapage

RGPD un an après : cours de rattrapage

Le règlement européen sur la protection des données personnelles est entré en vigueur il y a un an. Mais pas de panique ! Si vous n’êtes pas encore tout à fait dans les clous de la législation, voici par où commencer, avec des références utiles vers les catégories de fournisseurs qui, dans ce guide, sauront vous aider !

 

  1. Dois-je me faire aider ?
    OUI – Il y a de fortes chances que si vous n’avez pas encore vraiment commencé à vous pencher sur le sujet alors que votre entreprise est censée être dès à présent conforme, c’est probablement que vous êtes débordés !Dans ce cas, se faire aider pour ne serait-ce qu’initier la démarche et disposer des bons jalons est une bonne idée.

    Les consultants intervenants sur le sujet sont désormais bien rodés et une première mission courte permettra d’identifier les traitements de données potentiellement à risque et vous fournira une méthodologie pour les prendre en compte ensuite par vous-même.

 

  1. Dois-je réaliser une analyse de risque ?
    OUI – L’un des objectifs du nouveau règlement est d’améliorer l’évaluation des risques concernant les données. Et cela ne peut bien entendu se faire sans avoir connaissance de ces risques !
    Mais pas de panique ! Pour une petite structure, le périmètre des risques sera limité et la tâche généralement simplifiée. Vous pourrez démarrer une analyse simplifiée rapidement :
  • Définissez les menaces spécifiques à votre entreprise et à votre activité. Ces « évènements redoutés » sont ce qui pourrait, si cela se produisait, nuire à votre activité : arrêt d’une machine-outil essentielle, interruption d’Internet, etc. La difficulté, ici, est d’être complet sans pour autant faire preuve de trop d’imagination.
  • Au fil de vos scénarios, vous révélerez de façon naturelle vos « actifs stratégiques » : les éléments (informatiques, notamment) sur lesquels les menaces ci-dessous devront nécessairement s’exercer pour vous nuire, ainsi que les vecteurs des menaces.
  • Évaluez pour chacune de ces menaces l’impact que cela aurait sur votre activité si elle s’exerçait réellement (par exemple selon une échelle à trois niveaux, faible, modéré, critique).
  • Estimez la probabilité que chacun des scénarios identifiés précédemment, sur les actifs concernés, se réalise.
  • Mettre le tout dans un tableau, qui permettra de repérer les risques prioritaires à couvrir (ceux qui présentent un impact élevé et une occurrence forte)

Tout ceci peut se faire à l’aide d’un simple tableur et demandera quelques jours de réflexion et d’entretien sur le terrain, afin de solliciter les métiers — même si le chef d’entreprise devrait déjà avoir une bonne idée des points essentiels !

À partir de cette analyse, et selon ses résultats, une seconde étude, plus spécifique au RGPD, sera peut-être nécessaire : il s’agit de l’analyse d’impact relative à la protection des données (AIPD, ou PIA en anglais). Celle-ci est obligatoire si une première étude fait apparaître « qu’un traitement de données personnelles est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées ».

La CNIL a publié un mémo à ce sujet :
https://www.cnil.fr/fr/RGPD-analyse-impact-protection-des-donnees-pia

 

  1. Dois-je faire auditer mon système d’information ?
    PEUT-ÊTRE. Votre système d’information est le « contenant » des fameuses données personnelles que le RGPD vous oblige désormais à protéger, et des « traitements » qu’elles subissent. Il est donc en première ligne. En cas d’incident, si des données à caractère personnel sont dérobées, vous devrez être en mesure de prouver que vous n’avez pas laissé votre système d’information à l’abandon : que vous n’étiez pas aveugle sur les vulnérabilités qui n’attendaient qu’un intrus pour être exploitées, incapable de savoir ce qu’il s’y passe chez vous ou d’en extraire la moindre trace une fois que le mal est fait.Mais vous pouvez déjà faire une partie du travail par vous-même en conservant une documentation claire sur vos pratiques de sécurité.

    Ainsi, un document Excel (encore lui !) pourrait-il garder trace de pratiques élémentaires :

  • Quelle est votre politique de mots de passe (combien de caractères, changés à quelle fréquence, comment vous assurez-vous que cela est réalisé, etc.)
  • Quel est l’état des antivirus sur chacun de vos postes de travail (de quand date la dernière mise à jour, qui l’a contrôlée, etc.)
  • Qui a accès à quoi sur vos serveurs de fichiers ? (un rapport utilisateur -> répertoires, par exemple). Et quand cela a-t-il été contrôlé pour la dernière fois ?
  • Quel est le niveau de fraicheur de vos postes de travail (une liste des postes de travail avec leur niveau de mise à jour)
  • Une liste des comptes à privilège (les comptes d’administration) sur vos systèmes
  • Une liste des mots de passe par défaut sur les systèmes installés et la preuve de leur changement

Et si vous souhaitez aller plus loin, vous pourrez toujours vous appuyer sur le guide d’hygiène informatique publié par l’ANSSI, et tenter de créer une ligne dans votre tableur par conseil publié dans l’ouvrage, afin d’entamer une première démarche méthodique et documentée (le guide de l’ANSSI peut être téléchargé ici :
https://www.ssi.gouv.fr/guide/guide-dhygiene-informatique/)

 

  1. Dois-je sensibiliser mes collaborateurs
    OUI. La sensibilisation est l’une des tâches de fond essentielles dans la création et le maintien d’une bonne culture de sécurité au sein de votre entreprise. Et en retour, une telle culture sécurité bien diffusée augmente de manière radicale vos chances d’échapper aux attaques récurrentes auxquelles sont désormais soumises toutes les entreprises, quelle que soit leur taille (courriers email piégés, tentatives de social engineering par téléphone, faux sites web, etc.).

Et puis dans l’optique d’une conformité au RGPD, l’existence d’un programme de sensibilisation à la cybersécurité sera un signe fort que le dirigeant se soucie du sujet et déploie les moyens nécessaires.

La section du guide concernée :
sensibilisation/entrainement

 

  1. Dois-je souscrire à une assurance cyber ?
    PEUT-ÊTRE. Il peut être rassurant de souscrire une police exclusivement dédiée au risque cyber. Mais posez-vous cette question : pensez-vous qu’un assureur sera prêt, aujourd’hui, à s’engager sur le niveau de protection informatique de votre entreprise ? Si vous n’avez encore réalisé aucune démarche de cybersécurité et espérez pouvoir ainsi vous décharger de vos obligations et de la totalité de votre risque, la réponse est alors clairement non !

Il est donc plus constructif d’entamer d’abord une démarche de cybersécurité — même à petits pas — en faisant la liste de vos risques (voir question 2) et en documentant vos progrès (voir question 3). Ce n’est qu’avec tous ces éléments que vous pourrez évoquer l’intérêt d’une police d’assurance cyber.

La section du guide concernée :
cyber assurance

 

  1. Dois-je vraiment garder trace de tout ?
    OUI. Entendons-nous : nous parlons ici de traces au sens informatique, c’est-à-dire des milliers de micro-événements qui se produisent à chaque instant, dès qu’un utilisateur ouvre une session de travail en arrivant le matin, qu’il navigue sur Internet ou envoie et reçoive des emails. Rien de personnel, donc.
    Du point de vue informatique ces traces, généralement consignées dans des journaux informatiques, sont précieuses lorsqu’un incident survient, car elles permettent de remonter le temps et de mieux comprendre ce qui s’est passé.

Si vous ne savez pas encore si vous conservez les traces, il est temps de poser la question à votre prestataire informatique ! Car la bonne nouvelle, c’est que la majorité des systèmes informatiques (dont évidemment Windows) peuvent être configurés pour journaliser toutes leurs opérations. C’est gratuit, c’est peu compliqué et cela devrait déjà être fait ! (et un prestataire pourra ensuite les surveiller pour vous !)

La section du guide concernée :
Log Management

 

  1. Faut-il chiffrer ?
    OUI. Ici, la réponse est claire : le chiffrement est explicitement mentionné par le RGPD comme une technique pouvant être mise en œuvre afin de protéger les données (article 32). Et au-delà de la vision purement juridique, s’il est bien mis en œuvre, le chiffrement des données est l’une des mesures les plus efficaces pour garantir la confidentialité et l’intégrité des données. Il n’y a donc aucune raison de s’en priver… d’autant qu’il existe désormais des solutions gratuites et d’autres, commerciales, très performantes !Avant d’envisager d’acquérir une solution de chiffrement, cependant, assurez-vous d’avoir fait le minimum syndical : activez le chiffrement du disque dur de vos ordinateurs portables et postes de travail (Bitlocker sous Windows – qui peut aider à protéger vos serveurs de fichiers et autres Sharepoint, ou File Vault sous Mac).

 

Pour une solution commerciale, privilégiez une solution bénéficiant d’un Visa de sécurité délivré par l’ANSSI.

La section du guide concernée :
Protection/protection de la donnée

 


Et si je suis pressé ?

Quelles options pour le chef d’entreprise pressé qui n’y connaît rien ? Il n’a guère le choix : il devra consulter ! D’abord en lançant un audit purement RGPD(identification et évaluation des traitements de données personnelles, assistance à la documentation) puis un autre, complémentaire, destiné à poser les bases de la protection du système d’information (se conformer aux règles d’hygiène proposées par l’ANSSI et le prouver).

Ensuite, sous la direction du conseil cybersécurité, un intégrateur choisi pourra alors procéder à l’installation et à la configuration des solutions additionnelles. Et enfin celles-ci pourront être supervisées par un prestataire d’infogérance.