CheckPoint Tribune RGPD septembre 2017

Idées Cyberisques News:  Thierry Karsenti, Vice Président Technique Europe chez Check Point

                                                                             

 

 

RGPD - Voici ce que vous devez faire dès maintenant

 

Septembre 2017.

Vous avez peut-être entendu parler du RGPD, le nouveau Règlement Général sur la Protection des Données de l'Union Européenne. C'est une loi complexe en pleine évolution qui entrera en vigueur en mai 2018. Peu importe que votre entreprise ait une présence ou non dans l'UE, ou que vos applications et vos données soient traitées et stockées ou non dans l’UE. Si votre entreprise détient ou contrôle des données relatives à un citoyen de l'UE, vous devez commencer à réfléchir à votre conformité avec le RGPD... le plus tôt sera le mieux.

Autrement dit, le RGPD exige que les entreprises mettent en œuvre des procédures et des processus entièrement nouveaux pour la collecte et le stockage d'informations personnelles identifiables (IPI). Il définit les IPI comme étant toute information relative à la vie privée, professionnelle ou publique d'un résident de l'UE (adresse IP, informations bancaires, adresses électroniques, réseaux sociaux, etc.). L'objectif du RGPD est d’assurer que les IPI soient stockées avec l'autorisation de la personne concernée, qu’elles soient utilisées aux fins spécifiées pour lesquelles elles ont été obtenues, et pour une durée correspondant à la raison initiale de l'obtention des données.

Les entreprises qui ne respectent pas le RGPD seront redevables de lourdes amendes : 20 millions d'euros ou 4 % de leurs chiffre d’affaires mondial par incident. Cela pourrait signifier des millions, voire des milliards d’euros d'amendes pour les grandes entreprises.

Une rapide recherche en ligne révèle qu'il n'y a pas de pénurie d'avocats, « d’experts » auto-proclamés et de prestataires fournissant des conseils sur ce que vous devriez faire au sujet de la conformité avec le RGPD. Cependant, nous constatons que beaucoup de ces conseils s’engagent directement vers des technologies et des activités. Il existe des étapes plus simples que vous devriez suivre avant de commencer à vous inquiéter de la façon dont le RGPD influera sur vos systèmes. Voici nos quatre étapes principales :

 

Sensibilisation et formation

Personne ne lèvera le petit doigt pour soutenir vos efforts en matière de RGPD sans savoir de quoi il s’agit. Commencez donc par formez vos collègues : Qu'est-ce que la loi exige et pourquoi est-ce pertinent pour nous ? Quelles sont les pénalités en cas de non-conformité ? Lesquelles parmi nos applications sont susceptibles d’entrer dans le champ d’application de la loi ? La formation de base est essentielle, non seulement pour sensibiliser les gens à la nouvelle réglementation, mais également pour commencer à réfléchir à la façon d'allouer du personnel et des ressources financières pour y faire face.

Surveillez la situation

Il est important de comprendre que le RGPD est totalement nouveau et encore vague, dans une certaine mesure. La façon dont il sera audité et appliqué doit encore être entièrement déterminée. Beaucoup d'informations sont disponibles, mais aucune d'entre elles ne peut être considérée comme étant définitive. Néanmoins, si vous avez un rôle clé dans la planification de la conformité avec le RGPD, vous devez essayer d’en savoir autant que possible afin d’en distinguer les points clés. Vous devriez également lire au moins des portions (idéalement toutes) du règlement lui-même. En fin de compte, le texte de la loi est ce qui compte, et en le comprenant, vous vous placez en bonne position pour travailler efficacement avec vos pairs, votre direction et vos prestataires.

Vous devez également savoir que différents organismes de l'UE tentent lentement de clarifier certaines parties de la loi et publient régulièrement des directives. Prenez donc un peu de temps chaque mois pour vérifier s'il existe de nouvelles informations, car elles permettront de clarifier la situation et vous aideront dans vos efforts de planification.

 

Commencez à rechercher les données

Votre stratégie finale pour la conformité avec le RGPD aura en général deux composantes : Les processus et les contrôles sur les applications existantes de votre entreprise et les processus qui seront requis lorsque de nouvelles applications seront déployées. Pour la première composante, vous devez commencer à rechercher les données dans vos systèmes informatiques existants entrant dans le champ d’application. Comme dans toutes les situations de conformité, plus vous identifiez de systèmes qui n’entrent pas dans le champ d’application, mieux cela vaut, car ceux-ci peuvent être exclus de vos activités de conformité.

Bien entendu, déterminer les données entrant dans le champ d’application reste au cœur du processus d'évaluation de vos activités de mise en conformité. À cette fin, les systèmes de classification de données (DLP) peuvent automatiser et accélérer cet effort.

 

 

Établissez une journalisation robuste et vérifiez-la

Tous les régimes de conformité font de la journalisation un contrôle clé, et les implémentations du RGPD n’y feront pas exception. Par conséquent, une étape initiale logique consiste à examiner et vérifier les activités de journalisation sur les applications clés et l'infrastructure de prise en charge. Cela doit inclure non seulement la journalisation elle-même, mais également les contrôles automatisés ou manuels permettant d’examiner périodiquement les journaux afin d’identifier les activités non autorisées ou malveillantes. Elles doivent également inclure la journalisation des activités des administrateurs sur les infrastructures critiques. (Ce mois-ci notamment, nous venons d’apprendre que les sites en ligne d'une banque sud-américaine ont été détournés pendant plusieurs heures par un pirate qui a compromis le compte d'administration du DNS de la banque.)

En mettant en œuvre les solutions technologiques dès maintenant, elles peuvent être utilisées pour découvrir des problèmes et y remédier avant la date limite de mise en conformité avec le RGPD en 2018.

 

BONUS: 

http://cyberisques.com/mots-cles-5/688-rgpd-et-textes-nationaux-vers-des-specificites-nationales

http://cyberisques.com/mots-cles-5/83-categorie-3/687-guide-pratique-rgpd-gdpr-dpo-news-fiche-2-quels-sont-les-chantiers-prioritaires-des-dpo

C5amMvcWQAAp7jG GF GF GF

 

Les dossiers de Cyber Risques News

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

Renseignements   Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

Informations supplémentaires