Face à l’explosion des attaques et des vols de données, l’Union Européenne a imposé le RGPD - Règlement Général de Protection des Données – depuis le 25 mai 2018. Ce texte a pour objectif de protéger les données personnelles des citoyens européens collectées par les entreprises.
Toute organisation victime d’une attaque et qui n’aurait pas pris les mesures de protection et de conformité nécessaires risque une amende pouvant s’élever à 20 M d’euros.
Quelles sont les étapes clés de cette mise en conformité ?
Voici les 4 étapes à respecter :
Etape 1 : Répertorier les traitements de données personnelles
Etape 2 : Evaluer les risques provoqués par chaque traitement
Etape 3 : Installer et contrôler les mesures prévues
Etape 4 : Faire réaliser des audits de sécurité réguliers
Etape 1 : Répertorier les traitements de données personnelles
Cette étape permet dans un premier temps de répertorier les données qui incluent notamment :
Fichiers de données : Salariés, clients, prospects, fournisseurs, etc.
Factures, bons de commandes, devis, bulletins de salaire, etc.
Flux de communication Mail, stockage partagé, etc.
Ensuite, il s’agit de lister les supports :
Les matériels : Serveurs, ordinateurs portables, disques durs
Les logiciels : Système d’exploitation, logiciel métier
Les canaux de communication : Fibre optique, Wi-Fi
Les supports papier : Documents imprimés, photocopies
Etape 2 : Evaluer les risques provoqués par chaque traitement
Cette étape consiste à distinguer les impacts éventuels provoqués par l’accès illégal à des données, leur modification et leur suppression.
Dans un second temps, il faut reconnaitre les sources de risque en identifiant qui ou quoi pourrait être à l’origine du piratage : Utilisateur interne, virus informatique, etc.
Par la suite, il est nécessaire de déterminer les menaces et leurs parades. Les menaces sont nombreuses (vol d’un ordinateur portable, téléchargement d’un logiciel malveillant, etc). Il existe une parade pour chaque risque : Contrôle d’accès, traçabilité, sauvegardes, etc.
Il est également important d’estimer la gravité et la vraisemblance des risques.
Etape 3 : Installer et contrôler les mesures prévues
Cette étape consiste à mettre en place les protections adaptées. Il est ensuite indispensable de vérifier leur efficacité.
Etape 4 : Faire réaliser des audits de sécurité réguliers Chaque audit doit donner lieu à un plan d’action à respecter scrupuleusement.
En résumé, il faut :
Recenser les données personnelles
Déterminer les menaces potentielles et leurs parades
Mettre en place les protections et vérifier leur efficacité
Faire réaliser des audits réguliers