Accueil Sécurité et RGPD : les 7 questions à se poser

Sécurité et RGPD : les 7 questions à se poser

Ça y est, le règlement européen sur la protection des données personnelles est entré en vigueur. Dès le matin du 26 mai 2018 l’ensemble des entreprises européennes, et celles ayant affaire à des ressortissants de l’Union Européenne, étaient conformes et prêtes à reprendre leur activité.

 

Vraiment ? Non, pas vraiment ! Car si la date du 25 mai 2018 était certes une échéance juridique, toutes les entreprises étaient loin, au matin du 26 mai, d’être tout à fait prêtes. Et elles sont certainement encore nombreuses, aujourd’hui, à ne pas avoir tout à fait pris la mesure de ce nouveau texte et de leurs nouvelles obligations, en particulier parmi les PME et TPE.

Mais pas de panique ! Le nouveau règlement implique, entre autres, une bonne dose de protection de l’information à travers des mesures de cybersécurité. Ce guide, qui rassemble des solutions et des prestataires dans le domaine, est le bon moyen de commencer à se pencher sur le sujet, du moins pour le volet le plus technique de la conformité.

Voici donc les réponses aux questions les plus courantes que peuvent se poser les chefs de petites entreprises vis-à-vis de leur démarche de conformité au RGPD, et les chapitres qui vous permettront de trouver le bon prestataire pour vous aider à y répondre.

 

  1. Dois-je me faire aider ?

OUI – L’esprit du texte est de s’assurer que les entreprises qui traitent des données à caractère personnel le fassent de manière loyale, justifiée, transparente vis-à-vis des personnes concernées et que ces données soient sécurisées (protégées contre les accès illégitimes et le vol).

Cela peut concerner, de manière interdépendante, de nombreux pans de votre activité : le commercial, le marketing, la comptabilité, les ressources humaines et, bien sûr, l’informatique. Il y a de fortes chances que si vous n’avez pas encore vraiment commencé à vous pencher sur le sujet alors que votre entreprise est censée être dès à présent conforme, c’est probablement que vous êtes débordés !

Dans ce cas, s’il y a bien des initiatives que vous pourrez parfaitement mener en interne (nous en présenterons quelques-unes ici), il reste que se faire aider pour ne serait-ce qu’initier la démarche et disposer des bons jalons est une bonne idée.

Les consultants intervenant sur le sujet sont désormais bien rodés et une première mission courte permettra d’identifier les traitements de données potentiellement à risque et vous fournira une méthodologie pour les prendre en compte ensuite par vous-même.

 

  1. Dois-je réaliser une analyse de risque ?

OUI – L’un des objectifs du nouveau règlement est d’améliorer l’évaluation des risques concernant les données. Et cela ne peut bien entendu se faire sans avoir connaissance de ces risques ! Mais derrière ce terme qui pourrait effrayer un dirigeant de PME déjà bien occupé se cachent des réalités très différentes. Pour une petite structure, le périmètre des risques sera limité et la tâche généralement simplifiée. La démarche est très standardisée et peut très bien être réalisée en interne, à l’aide d’un peu de temps et de l’outil favori des consultants : un tableur ! Il vous faudra:

  • Définir les menaces spécifiques à votre entreprise et à votre activité. Ces « évènements redoutés » sont ce qui pourrait, si cela se produisait, nuire à votre activité : arrêt d’une machine-outil essentielle, interruption d’Internet, incapacité d’imprimer les étiquettes de livraison, etc. La difficulté, ici, est d’être complet sans pour autant faire preuve de trop d’imagination.
  • Au fil de vos scénarios, vous révélerez de façon naturelle vos « actifs stratégiques » : les éléments (informatiques, notamment) sur lesquels les menaces ci-dessous devront nécessairement s’exercer pour vous nuire, ainsi que les vecteurs des menaces.
  • D’évaluer pour chacune de ces menaces l’impact que cela aurait sur votre activité si elle s’exerçait réellement (par exemple selon une échelle à trois niveaux, faible, modéré, critique).
  • D’estimer la probabilité que chacun des scénarios identifiés précédemment, sur les actifs concernés, se réalise.
  • Mettre le tout dans un tableau, qui permettra de repérer les risques prioritaires à couvrir (ceux qui présentent un impact élevé et une occurrence forte)

Tout ceci peut se faire à l’aide d’un simple tableur et demandera quelques jours de réflexion et d’entretien sur le terrain, afin de solliciter les métiers – même si le chef d’entreprise devrait déjà avoir une bonne idée des points essentiels ! Evidemment, si les disponibilités font défaut pour mener ces démarches, il conviendra alors de déléguer en interne, ou se faire aider. L’analyse de risque est une prestation terriblement standard pour les cabinets de conseil en cybersécurité.

Une fois une telle réflexion aboutie, l’entreprise disposera d’une vision claire de ce qui doit être protégé, de ce qui est indument exposé, de ce qui peut attendre. Cela est une base solide et un premier pas essentiel dans une démarche de conformité RGPD, car l’analyse de risque aura au passage identifié les actifs stratégiques hébergeant ou traitant des données à caractère personnel, dont l’impact d’une compromission est désormais très élevé : ils apparaîtront très naturellement en rouge dans votre tableau !

À partir de cette analyse, et selon ses résultats, une seconde étude, plus spécifique au RGPD, sera peut-être nécessaire : il s’agit de l’analyse d’impact relative à la protection des données (AIPD, ou PIA en anglais). Celle-ci est obligatoire si une première étude fait apparaître « qu’un traitement de données personnelles est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées ». La CNIL a publié un mémo à ce sujet : https://www.cnil.fr/fr/RGPD-analyse-impact-protection-des-donnees-pia

 

  1. Dois-je faire auditer mon système d’information ?

PEUT-ÊTRE. Votre système d’information est le « contenant » des fameuses données personnelles que le RGPD vous oblige désormais à protéger. Il les héberge et il réalise les fameux « traitements » qu’elles subissent. Il est donc en première ligne. En cas d’incident, si des données à caractère personnel sont dérobées, vous devrez être en mesure de prouver que vous n’avez pas laissé votre système d’information à l’abandon : que vous n’étiez pas aveugle sur les vulnérabilités qui n’attendaient qu’un intrus pour être exploitées, incapable de savoir ce qu’il s’y passe chez vous ou d’en extraire la moindre trace une fois que le mal est fait.

Si tel est l’état de votre informatique aujourd’hui, alors oui, il sera nécessaire d’en passer par un premier diagnostic qui permettra d’identifier les axes prioritaires d’amélioration (dont beaucoup pourront être menés en interne, car il s’agit bien souvent de configurations à améliorer ou de bonnes pratiques à mettre en œuvre).

Bien entendu, un diagnostic n’est pas un audit (qui, lui, doit s’appuyer sur un référentiel donné). Et bien que le diagnostic soit généralement plus simple et plus rapide, il vous faudra évidemment disposer de compétences cybersécurité en interne… ce qui n’est probablement pas le cas si vous consultez ce guide ! Vous devrez alors certainement vous faire accompagner.

Mais vous pouvez déjà faire une partie du travail par vous-même en conservant une documentation claire sur vos pratiques de sécurité.

Ainsi, un document Excel (encore lui !) pourrait-il garder trace de pratiques élémentaires :

  • Quelle est votre politique de mots de passe (combien de caractères, changés à quelle fréquence, comment vous assurez-vous que cela est réalisé, etc.)
  • Quel est l’état des antivirus sur chacun de vos postes de travail (de quand date la dernière mise à jour, qui l’a contrôlée, etc.)
  • Qui a accès à quoi sur vos serveurs de fichiers ? (un rapport utilisateurs -> répertoires, par exemple). Et quand cela a-t-il été contrôlé pour la dernière fois ?
  • Quel est le niveau de fraîcheur de vos postes de travail (une liste des postes de travail avec leur niveau de mise à jour).
  • Une liste des comptes à privilège (les comptes d’administration) sur vos systèmes.
  • Une liste des mots de passe par défaut sur les systèmes installés et la preuve de leur changement.

Et si vous souhaitez aller plus loin, vous pourrez toujours vous appuyer sur le guide d’hygiène informatique publié par l’ANSSI, et tenter de créer une ligne dans votre tableur par conseil publié dans l’ouvrage, afin d’entamer une première démarche méthodique et documentée (le guide de l’ANSSI peut être téléchargé ici : https://www.ssi.gouv.fr/ guide/guide-dhygiene-informatique/)

 

  1. Dois-je sensibiliser mes collaborateurS ?

OUI. La sensibilisation est l’une des tâches de fond essentielles dans la création et le maintien d’une bonne culture de sécurité au sein de votre entreprise. Et en retour, une telle culture sécurité bien diffusée augmente de manière radicale vos chances d’échapper aux attaques récurrentes auxquelles sont désormais soumises toutes les entreprises, quelle que soit leur taille (courriers email piégés, tentatives de social engineering par téléphone, faux sites web, etc.).

Et puis dans l’optique d’une conformité au RGPD, l’existence d’un programme de sensibilisation à la cybersécurité sera un signe fort que le dirigeant se soucie du sujet et déploie les moyens nécessaires.

Pour cela, vous pourrez à minima investir dans des outils de sensibilisation récurrents qui permettent de diffuser de bonnes pratiques informatiques auprès de vos collaborateurs : des économiseurs d’écrans à thématique cybersécurité, des formats cours interactif à suivre en ligne depuis son poste de travail, etc. Le coût se décline généralement par utilisateur et par an, et ne représente généralement pas un budget important.

Ne négligez pas pour autant les séances d’information que vous pourrez faire réaliser en interne par un collaborateur de votre service informatique ou le cas échéant par un correspondant de la Gendarmerie Nationale ou un réserviste citoyen de la Réserve Citoyenne de Cyberdéfense, tous deux formés pour assurer des séances gratuites de sensibilisation à la cybersécurité auprès des petites entreprises.

 

  1. Dois-je souscrire à une assurance cyber ?

PEUT-ÊTRE. Vous êtes peut-être déjà en partie couvert par le volet « informatique » de votre police d’assurance traditionnelle.

Mais si vous souhaitez aller plus loin et souscrire une police exclusivement dédiée au risque cyber, alors il est plus simple de répondre à cette question par une autre question : pensez-vous qu’un assureur sera prêt, aujourd’hui, à s’engager sur le niveau de protection informatique de votre entreprise ? Si vous n’avez encore réalisé aucune démarche de cybersécurité et espérez pouvoir ainsi vous décharger de vos obligations et de la totalité de votre risque, la réponse est alors clairement non !

Une cyber-assurance va venir couvrir le risque résiduel : autrement dit ce qui demeure une fois que vous avez pris les mesures nécessaires pour le réduire. Si vous n’avez encore rien amorcé en matière de cybersécurité, il est peu probable qu’un assureur veuille de vous. Ou bien la prime sera tellement élevée qu’il sera plus rentable de vous sécuriser correctement !

Il est donc plus constructif d’entamer d’abord une démarche de cybersécurité – même à petits pas – en faisant la liste de vos risques (voir question 2) et en documentant vos progrès (voir question 3). C’est grâce aux avancées que vous ferez lors de cette démarche, et à la documentation que vous aurez constituée en chemin, qu’un assureur pourra évaluer le risque que vous courez et décider du montant de votre prime.

 

  1. Dois-je vraiment garder trace de tout ?

OUI. Entendons-nous : nous parlons ici de traces au sens informatique, c’est-à-dire des milliers de micro-événements qui se produisent à chaque instant, dès qu’un utilisateur ouvre une session de travail en arrivant le matin, qu’il navigue sur Internet ou envoie et reçoit des emails. Il ne s’agit donc pas de piétiner le droit à la vie privée en conservant le contenu des courriers reçus par les collaborateurs, par exemple !

Mais du point de vue informatique ces traces, généralement consignées dans des journaux informatiques, sont précieuses lorsqu’un incident survient, car elles permettent de remonter le temps et de mieux comprendre ce qui s’est passé. Elles aident aussi à se disculper, en prouvant, par exemple, que tel cheval de Troie qui a permis le vol de données personnelles dont l’entreprise avait la responsabilité a été introduit par un prestataire de maintenance à l’aide d’une clé USB infectée, et non par la négligence d’un salarié qui aurait cliqué n’importe où (un scénario hypothétique qui pourrait bien devenir courant sous l’ère du RGPD)

Si vous ne savez pas encore si vous conservez les traces, il est temps de poser la question à votre prestataire informatique ! Car la bonne nouvelle, c’est que la majorité des systèmes informatiques (dont évidemment Windows) peuvent être configurés pour journaliser toutes leurs opérations. C’est gratuit, c’est peu compliqué et cela devrait déjà être fait ! Pour les postes de travail et les serveurs sous Windows cela passe par le « Journal des événements », un outil intégré très simple à activer et à configurer.

L’étape suivante sera de bien recueillir, conserver et analyser ces journaux. Mais cela est une autre histoire, et l’apanage de solutions spécialisées ou de prestataires extérieurs. Mais tout commence par bien configurer vos journaux, et ça vous pouvez (devez !) le faire en interne !

Evidemment, une fois cela configuré vous pourrez toujours confier la supervision de ces journaux à un prestataire externe, ce qui n’est pas une mauvaise idée ! (voir encadré)

 

  1. Faut-il chiffrer ?

OUI. Ici, la réponse est claire: le chiffrement est explicitement mentionné par le RGPD comme une technique pouvant être mise en œuvre afin de protéger les données (article 32). Et au-delà de la vision purement juridique, s’il est bien mis en œuvre, le chiffrement des données est l’une des mesures les plus efficaces pour garantir la confidentialité et l’intégrité des données. Il n’y a donc aucune raison de s’en priver… d’autant qu’il existe désormais des solutions gratuites et d’autres, commerciales, très performantes !

La première étape, que vous pourrez faire en interne et sans assistance, sera d’activer le chiffrement du disque dur de vos ordinateurs portables et postes de travail. Sous Windows, les versions professionnelles des éditions récentes embarquent Bitlocker, un outil capable de chiffrer la totalité d’un disque de manière totalement transparente pour l’utilisateur. Il suffit pour cela de faire un clic droit sur chaque disque dur et de sélectionner l’option « Activer Bitlocker ». C’est véritablement le minimum à réaliser. Bitlocker pourra également être utilisé avec les serveurs de fichiers en le combinant avec les droits de chaque utilisateur sur l’annuaire Active Directory. Si vous disposez d’un tel annuaire (sur site ou en ayant souscrit à l’offre Cloud Azure Active Directory), c’est une bonne idée d’activer BitLocker pour protéger vos serveurs de fichiers et autres Sharepoint.

Pour une solution commerciale, française et visée par l’ANSSI, l’on pourra se tourner vers les outils de Prim’X, dont la gamme prend en charge les documents stockés sur des cloud publics tels Dropbox, les serveurs d’entreprise, les postes de travail, et même la création de container de chiffrements indépendants afin de pouvoir échanger des fichiers de manière sécurisée avec vos partenaires (Prim’X Zed! , dont une version gratuite est disponible).

 

 

Et si je suis pressé ?

Quelles options pour le chef d’entreprise pressé et non spécialiste ? Il n’a guère le choix : il devra consulter ! Le chemin le plus rapide vers une conformité RGPD et une cybersécurité maîtrisée passera par un audit purement RGPD (identification et évaluation des traitements de données personnelles, assistance à la documentation) et un autre, complémentaire, destiné à poser les bases de la protection du système d’information (se conformer aux règles d’hygiène proposées par l’ANSSI et le prouver). Sous la direction du conseil cybersécurité, un intégrateur choisi pourra alors procéder à l’installation et à la configuration des solutions additionnelles. Ensuite, un contrat d’Externalisation à un Prestataire d’infogérance (MSSP) permettra d’assurer que les équipements et les solutions mises en œuvre seront suivies et contrôlées, et il y ajoutera la supervision des événements et des alertes remontées par les équipements du système d’information (voir question 6).

 

Et le reste ?

Toutes les solutions présentées dans ce Guide de la cybersécurité ne sont pas mentionnées ici. Elles s’inscrivent pour la plupart dans une démarche de protection plus large et s’adressent ainsi à des entreprises dont le niveau de maturité est plus élevé que les questions fondamentales soulevées ici. On pense ici aux chapitres du Guide : Classification des données, Cartographie du réseau, Tests d’intrusion, voire même à la Threat Intelligence. Ou alors elles seront plus volontiers mises en œuvre par des professionnels qui pourront les proposer sous forme de service aux petites entreprises. Il s’agit ici de tout ce que pourront proposer des prestataires de type MSSP, depuis le pare-feu infogéré jusqu’au Security Operations Center complet, en passant par les Tableaux de bord sécurité, la Réponse à incidents ou encore la Supervision en continu.

Mais dans tous les cas, une entreprise qui aura déjà répondu de manière claire et documentée aux 7 questions de cette FAQ sera en bonne position pour aborder la suite de son chemin de cybersécurité et profiter de l’expertise des autres acteurs listés ici !