Avis d’experts – RGPD : la cyber sécurité au cœur du nouveau règlement européen

Politique de sécuritéSécurité
deloitte-breche-securite

Si le sujet de la sécurité est sorti de son cloisonnement technique, des efforts restent à faire. Notamment en intégrant la sécurité dans le projet de transformation digitale.

Toutes les études le montrent, les entreprises sont loin d’être prêtes pour l’entrée en vigueur du Règlement Général de Protection des Données (RGPD, connu aussi sous l’acronyme GDPR), programmée le 25 mai prochain. Il est vrai que les projets de conformité au RGPD sont complexes et impliquent de nombreux services dans l’entreprise : le service juridique bien sûr, mais aussi le marketing, directement concerné par les procédures de consentement client et les actions de profiling; les RH, car les données personnelles concernent aussi les salariés; et l’IT, qui va devoir intégrer ces nouvelles règles dans le SI, avec un focus particulier sur la sécurisation de la base de données. Mais avec une méthodologie pragmatique, il est possible d’avancer rapidement sur certaines étapes du projet.

La mise en conformité au RGPD, un projet sans frontière physique ni technologique

Le RGPD est un règlement européen dont les répercussions dépassent les frontières. Il concerne la gestion des données à caractère personnel. Dès lors, une entreprise, qu’elle soit ou non localisée en Union européenne, qui vend ou interagit avec des clients ou des employés en Union européenne est tenue d’appliquer ce règlement.

D’autre part, le RGPD concerne des données et traitements qui peuvent se trouver dans un grand nombre de systèmes et d’applications, et ces données devront maintenant être sécurisées, anonymisées, restituées et même détruites. Or, dans beaucoup d’entreprises, personne n’a une vision exhaustive et précise de l’endroit où se trouvent toutes les données personnelles.

La première étape est donc de cartographier finement son SI pour repérer où sont situées et par où transitent les données personnelles. Cette étape de « data discovery » prend du temps, mais des outils existent pour accélérer et faciliter cet inventaire. C’est à partir de ce recensement qu’une étude d’impact sur la protection des données pourra ensuite être menée.

Compte tenu de la complexité des systèmes d’information et des multiples traitements impliquant des données personnelles, les outils que l’entreprise doit utiliser pour réaliser ces premières étapes doivent s’appliquer à tous les systèmes, de tous les fournisseurs, et prendre en compte les différentes architectures à travers lesquelles transitent les données, on-premise ou dans le cloud, qu’il soit public ou privé.

Le volet sécurité au cœur du projet

Le sujet de la sécurité est sorti de son cloisonnement technique, mais des efforts restent à faire. Le digital a généré une multiplication des flux de données, augmentant ainsi le nombre de failles de sécurité, mais peu d’entreprises ayant lancé un projet de transformation digitale ont prévu un volet sécurité. Cependant, les récentes cyberattaques mondiales (Wannacry, Petya) qui ont paralysé l’activité de grands groupes, ont sensibilisé la planète au problème, et ont fait de la sécurité informatique un sujet stratégique, géré par les comités de direction.

Avec la nouvelle réglementation, la sécurité prend encore plus d’importance dans l’entreprise, car cette fois-ci, la non-conformité a un coût : les amendes prévues par le RGPD, à hauteur de 4% du chiffre d’affaires global de l’entreprise, ont sensibilisé les comités de direction aux risques financiers.

Pour gérer les aspects sécurité prévus par le RGPD, il est essentiel là aussi de bénéficier d’outils éprouvés, qui sauront gérer les multiples applications, environnements et architectures du SI.

La protection des données au cœur de l’ADN d’Oracle

La sécurité de la donnée est dans l’ADN d’Oracle. La base de données Oracle est la première brique technologique créée par l’éditeur, il y a maintenant 40 ans. Sa sécurisation fait l’objet d’une gamme exhaustive de solutions garantissant la confidentialité des données et la protection contre les menaces, favorisant une mise en conformité aux réglementations. Et ces solutions de sécurité s’appliquent à toutes les bases de données, pas seulement celles d’Oracle.

Que ce soit pour le processus de chiffrement et d’anonymisation des données, la gestion des accès aux données personnelles, la détection des failles de sécurité, les notifications en cas d’attaque, ou encore l’application des concepts de Security by Design, il est donc possible de mettre en place des solutions simples et pragmatiques, pour accélérer la mise en conformité avec le RGPD.

Protéger les données des attaques internes

Les récentes cyberattaques ont braqué les projecteurs sur les menaces des hackers, mais il ne faut oublier qu’une grande partie des menaces de sécurité provient de l’interne, que ce soit par malveillance ou simple erreur des utilisateurs. Les entreprises ont tout intérêt à mettre en place des systèmes de surveillance et d’alerte capables de gérer des environnements hybrides, car de plus en plus d’applications et de données critiques se trouvent aujourd’hui dans le cloud.

C’est ce type de sécurité que proposent les CASB (Cloud Access Security Broker). Ils fonctionnent comme des caméras de surveillance qui vérifient les usages des utilisateurs, détectent les comportements anormaux et proposent des actions de remédiation automatisées en cas d’alerte. Une solution qu’il est intéressant d’examiner dans le cadre de la mise en conformité au RGPD.

Auteur
En savoir plus 
Vice-Président Sécurité EMEA
Oracle
Franck Hourdin est Vice-Président Security pour la région EMEA chez Oracle. Après plus de 10 ans de Management au sein d’Oracle, dont la responsabilité de PeopleSoft en Europe, Franck Hourdin a pris, en 2011, la responsabilité de l’activité Middleware en France. De 2014 à 2016, il occupe la fonction de VP Europe du Sud Analytics et Security. Il occupe depuis 2016 ses fonctions actuelles au niveau EMEA.
En savoir plus 

Livres blancs a la une