RGPD et cybersécurité

Le Règlement général sur la protection des données (RGPD) est entré en vigueur dans tous les pays de l’Union européenne le 25 mai 2018. Tous les organismes (entreprises, associations, administrations…) qui traitent des données à caractère personnel sont concernés.

Ce règlement a pour but de « redonner aux citoyens le contrôle de leurs données personnelles » (Conseil européen).

Conformité RGPD et sécurité informatique

Avec l’application du RGPD, l’acquisition de bases de données personnelles tierces est devenue plus difficile, voire illégale. Mécaniquement, la valeur de ces données a augmenté. Il est donc de plus en plus tentant pour certains pirates informatiques de tenter de voler ces données.

Si l’on imagine mal un cambrioleur casser une fenêtre pour s’introduire dans les bureaux d’une entreprise et emporter les classeurs de dossiers clients, l’informatisation et la dématérialisation des données ont créé de nouvelles « fenêtres » vulnérables aux cyberattaques.

Les étapes de la mise en conformité RGPD

La CNIL est l’organisme de contrôle du RGPD en France. Elle propose une mise en conformité RGPD en quatre étapes :

1. constituer un registre des traitements de données personnelles
2. trier les données personnelles
3. respecter les droits des personnes
4. sécuriser les données

Ce dernier point concerne, entre autres, les risques de vol de données suite à une intrusion sur votre réseau informatique.

La sécurité du réseau local

Le service PROHACKTIVE identifie en temps réel les différentes vulnérabilités, vous alerte et vous propose la liste des professionnels proches de chez vous. En fonction de vos compétences informatiques, vous pouvez corriger les failles ou faire appel à un expert local.

Sécurité des systèmes d’information

Le RGPD cherche à responsabiliser chacun vis-à-vis de la protection des données personnelles. Ainsi, elles doivent être « traitées de manière à garantir une sécurité appropriée ». Si la perte ou la corruption accidentelle de ces données sont visées, le RGPD insiste aussi sur la lutte contre la cybercriminalité (« le traitement non autorisé ou illicite [des données personnelles] », article 5).

Le responsable du traitement (le représentant légal de l’organisme) doit mettre en place des mesures techniques de protection, notamment contre le piratage informatique. Il doit pouvoir fournir la preuve de la pertinence et de l’efficacité des mesures prises à l’organisme de contrôle (la CNIL en France). Ces mesures sont évidemment diverses et en adéquation avec les risques encourus en terme de cybersécurité (article 24).

Protection des données par défaut

Une des notions fondamentales du RGPD est la sécurisation des données par défaut ou « dès la conception » (article 25). Pour minimiser les risques de vol de données, il faut :

• traiter le plus petit volume de données personnelles possible
• conserver ces données le moins longtemps possible
• autoriser l’accès à ces données qu’au plus petit nombre possible

Sur ce dernier point, le responsable du traitement porte donc la responsabilité de verrouiller son réseau contre les intrusions et les cyberattaques. Anticiper les risques cyber permet donc d’optimiser la sécurité des données et d’améliorer votre conformité RGPD.

Le European Data Protection Board (EDPD) encourage le responsable du traitement à mettre en place des outils et des indicateurs de performance pour mesurer l’efficacité des mesures de protection des données par défaut*.

Sherlock vous permet un contrôle permanent de tous les appareils sur le réseau

Tout appareil connecté au réseau est audité et une alerte est émise dès qu’une faille est détectée sur celui-ci. Ceci permet de corriger la faille sans être sous la pression d’une attaque en cours. L’identification préventive des points de faiblesse du réseau permet de limiter l’impact des attaques éventuelles et de planifier les chantiers d’amélioration informatique au sein de la société.

Audit en continu de l’état de votre réseau

Le responsable du traitement doit s’assurer de la pérennité des mesures de sécurité informatique mises en place. Elles permettent de garantir la confidentialité et l’intégrité des systèmes informatiques. Pour ce faire, le RGPD demande l’élaboration d’une procédure d’évaluation régulière de l’efficacité de ces mesures techniques (article 32).

Le Dashboard PROHACKTIVE est une interface web sécurisée qui permet de consulter les résultats des audits et qui vous informe en temps réel des objets connectés présents sur votre réseau et des failles de sécurité qu’ils peuvent présenter.

Des sanctions dissuasives

Il est prévu jusqu’à 20 millions d’euros d’amende (ou 4 % du CA) en cas de violation du RGPD (article 83). En pratique, de telles sanctions n’ont été prononcées que contre de grosses structures (publiques ou privées) dont les torts ont été conséquents. Les organismes de contrôles privilégient en général les actions pédagogiques.

Les sanctions sont en revanche conditionnées, entre autres, aux mesures techniques mises en œuvre. L’organisme de contrôle tiendra compte des mesures de sécurité, notamment en terme de diagnostic réseau et de cybersécurité, pour déterminer l’ampleur de la sanction ou son absence.

La solution PROHACKTIVE permet une quantification du risque cyber. Cartographier les failles de sécurité de votre réseau et les corriger sera preuve de bonne volonté.

Plus d’informations : https://prohacktive.io

Auteur : Pierre Kessler (Référent DPO ProHacktive)

Liens RGPD :

CNIL : www.cnil.fr

texte du RGPD : https://www.cnil.fr/fr/reglement-europeen-protection-donnees

recommandations EDPB : https://edpb.europa.eu/sites/edpb/files/consultation/edpb_guidelines_201904_dataprotection_by_design_and_by_default.pdf