C’est l’un des revers de la transformation numérique, toutes les entreprises stockant et exploitant les données de leurs clients doivent impérativement se conformer à un certain nombre de normes. C’est ce que l’on appelle la Data compliance. RGPD, norme ISO 27701, norme ISO 27017/ISO 27018… Le tout, en consolidant la sécurité de leur système d’information pour faire face au développement croissant des cybermenaces. Le point sur les différentes normes et régulations entourant les données personnelles, et sur les nouvelles mesures de cybersécurité à mettre en place.
RGPD : Règlement Général sur la Protection des Données
Le RGPD est un règlement dont l’objectif est d’encadrer le traitement des données personnelles dans l’Union Européenne. En effet, face à l’essor important du commerce en ligne et de l’usage des outils numériques, ce règlement, entré en vigueur en 2018, permet de poser un cadre en s’inscrivant dans la continuité de la Loi française Informatique et Libertés de 1978.
L’objectif du Règlement Général sur la Protection des Données est avant tout de renforcer le contrôle qu’ont les utilisateurs au sujet de l’utilisation qui peut être faite de leurs données. Les règles européennes sont ainsi harmonisées.
Pour qu’une entreprise se mette en conformité avec le RGPD, elle doit entre autres :
- Recenser les traitements de données personnelles opérés dans ses locaux ;
- Identifier et maîtriser l’ensemble des sous-traitants ;
- S’équiper des outils nécessaires à la conformité (logiciels et autres solutions digitales) ;
- Mettre à jour ses supports de collecte de données et d’information
- Etc.
Tenir un registre des traitements est désormais obligatoire, ce qui permet d’identifier les catégories de données traitées, leur usage, la façon dont elles sont partagées, leur durée de conservation, etc. L’objectif du RGPD est d’offrir davantage de transparence aux utilisateurs, notamment en matière de cookies.
Norme ISO 27701 : norme internationale pour la protection des données
L’intégrité des données est désormais elle aussi régie par une norme : ISO 27701. Cette norme internationale définit la gouvernance ainsi que les mesures de sécurité à mettre en place pour une meilleure intégrité des données.
Mise en place à l’été 2019, la norme 27701 se base sur deux normes ISO de sécurité de l’information et étend leur action à la protection des données personnelles :
- ISO 27001 : qui établit un système de management de sécurité informatique
- ISO 27002 : qui décrit les bonnes pratiques en matière de mesures de sécurité et de conformité des données
La norme ISO 27701 a pour objectif de standardiser et de renforcer la protection et la conformité des données personnelles en reprenant les effets des normes ISO 27001 et ISO 27002 : droit des personnes, conformité aux exigences légales et réglementaires, gestion unifiée des risques informatiques, etc. Elle a été rédigée en partenariat étroit avec la CNIL (Commission nationale de l’informatique et des libertés) et en prenant en compte le RGPD. Des contraintes fortes à respecter pour les entreprises qui sont dans l’obligation de faire évoluer leur système d’information et leur infrastructure informatique dans ce sens.
Norme ISO 27017/ISO 27018 : norme internationale pour la sécurité des données dans le cloud
La norme ISO 27017/ISO 27018 a pour objectif d’encadrer les objectifs de contrôles et les grandes lignes directrices de la mise en œuvre des mesures de protection des données personnelles dans le cloud. Publiée en 2014 sous le nom français « Technologies de l’information, Techniques de sécurité – Code de bonnes pratiques pour la protection des informations personnelles identifiables (PII) dans l’informatique en nuage public agissant comme processeur de PII », elle s’appuie sur les normes ISO 177883, 291002 et 27002.
L’objectif de la norme ISO 27017/ISO 27018 est de davantage sécuriser les données stockées chez des fournisseurs de services publics et de services de cloud computing. Cette norme concerne les entreprises de toutes tailles, privées ou publiques, ainsi que les organisations à but non lucratif et les entités gouvernementales. Elle se base sur six notions clés :
- Le consentement
- Le contrôle
- La transparence
- La responsabilité
- La communication
- Un audit annuel indépendant
Dans un univers où le Big Data tient de plus en plus de place, la conformité des données ou Data Compliance n’est plus un enjeu isolé, du seul ressort de l’IT ou du service qualité, et fait aujourd’hui partie des priorités des directions pour placer la sécurité des données personnelles au cœur de chaque projet.
L’importance de la mise en place de mesures de cybersécurité appropriées autour des données du SI
La cybersécurité est une démarche globale, qui implique une approche stratégique basée sur une analyse des risques et la mise en place de mesures de protection adaptées. Ainsi, l’entreprise doit veiller à sécuriser l’ensemble de son système d’information, en prenant en compte aussi bien les aspects techniques que les aspects organisationnels et humains.
La gestion des risques est un aspect fondamental de la cybersécurité. Elle permet d’identifier les vulnérabilités potentielles du SI, d’évaluer les risques associés et de déterminer les mesures de protection les plus appropriées. C’est une démarche proactive, qui vise à anticiper les attaques potentielles et à minimiser leur impact.
En parallèle, l’analyse des risques est une étape cruciale dans la démarche de cybersécurité. Elle permet en effet de mesurer l’ampleur des menaces potentielles et d’évaluer l’efficacité des mesures de protection en place. Bien entendu, pour être efficace, elle doit être réalisée de manière régulière et systématique, afin de tenir compte de l’évolution constante des menaces et des technologies.
Les données sont au cœur du métier d’une entreprise
Il est toujours important de le rappeler, les données sont désormais la pierre angulaire de beaucoup d’entreprises. Elles permettent d’optimiser les processus de production, de prendre des décisions éclairées et de développer de nouvelles offres de produits ou services. En somme, elles constituent un véritable levier de compétitivité. C’est pourquoi leur protection contre les cyberattaques est devenu un enjeu majeur pour les entreprises.
Dans le même temps, les cyberattaques sont naturellement de plus en plus sophistiquées, ciblées et protéiformes, allant du simple vol de données à la paralysie du SI en passant par la manipulation des données. Face à ces menace, les entreprises doivent adopter une approche basée sur la prévention et la détection des attaques.
Cela passe notamment par la sensibilisation des collaborateurs (qui sont toujours le maillon faible en matière de cybersécurité). Ces derniers doivent être formés aux bonnes pratiques en matière de sécurité informatique et sensibilisés aux risques liés aux cyberattaques. De plus, des solutions de surveillance continue doivent être mises en place, afin de détecter toute activité suspecte et de réagir rapidement en cas d’attaque.
Les mesures préventives et proactives qui doivent être mises en place
Pour tous ces sujets, il est donc devenu vital pour les entreprises de mettre en place des mesures adaptées de cybersécurité. La mise en place de mesures préventives est donc une étape clé dans la démarche de cybersécurité. Elles visent à réduire la vulnérabilité du système d’information face aux cyberattaque, et peuvent prendre différentes formes, allant de la mise en place de systèmes de défense périmétrique à l’instauration d’une politique de sécurité informatique stricte.
Parmi ces mesures, l’audit de cybersécurité est le plus répandu, mais également le plus structurant. Il permet d’évaluer la robustesse du système d’information face aux cyberattaques, d’identifier les failles potentielles et de proposer des recommandations pour renforcer la sécurité. C’est un outil précieux pour élaborer une stratégie adaptée aux besoins de son entreprise.
En outre, les solutions de surveillance continue permettent de détecter en temps réel toute activité suspecte sur le réseau. Cela permet de réagir rapidement en cas d’attaque et de limiter les dégâts. C’est également un élément clé de la gestion des incidents de sécurité.