De nouvelles données à protéger
Vos budgets sécurité ont jusqu’ici été affectés à la protection des processus vitaux, susceptibles de paralyser votre activité en quelques heures. Avec le GDPR, de nouvelles exigences apparaissent et les données personnelles deviennent, elles aussi, un essentiel à protéger. Selon une enquête Proofpoint de 2017, 57 % des décideurs informatiques affirment que les exigences de conformité ont dynamisé leurs programmes de sécurité. Votre entreprise peut donc faire du GDPR une opportunité de booster votre politique de cybersécurité, à condition de faire les bons choix parmi les multiples solutions ! Il est en effet tentant d’adopter de nouveaux dispositifs : chiffrement, pare-feu applicatif, DLP (Data Leak Protection), etc. Mais faut-il vraiment investir dans tous ces outils ? Pouvez-vous facilement doubler votre budget sécurité ? Est-il vraiment judicieux de mettre en place toutes ces solutions ? Vos techniciens sauront ils les gérer au quotidien ? Soyons clair : une entreprise ne peut pas tout sécuriser, cela reviendrait trop cher, et certains risques encourus n’en valent pas totalement la peine.
Il est temps de remettre à plat votre politique de cybersécurité
« Avant d’investir, il faut comprendre son besoin », observe Christophe Brunet, Digital Advisor Cyber & Cloud chez Orange. « Seule une analyse poussée des risques et des compétences internes, au regard des exigences du GDPR, permet de choisir les solutions qui s’intègrent le mieux à votre environnement technique et humain. » Côté systèmes, votre entreprise peut procéder à des audits de sécurité : questionnaires adressés aux responsables du SI, tests d’intrusion, analyse des traces dans les systèmes pour observer d’éventuelles malveillances et vérifier que les outils de sécurité sont correctement exploités… Les résultats de ces analyses permettent de voir plus clairement s’il est préférable d’opter pour des mises à jour des solutions existantes, ou d’éventuellement compléter son système avec des solutions nouvelles. Au final, l’acquisition d’une solution nouvelle est seulement nécessaire si elle vient combler des risques importants. Car l’empilement des solutions peut au contraire rendre les systèmes difficiles à gérer et les outils coûteux à orchestrer. « Au-delà des questions technologiques, c’est bien souvent la réactualisation des process humains associés qui est prioritaire et cadre l’efficacité globale du système », complète Christophe Brunet.
Quelles solutions choisir ?
Beaucoup de fournisseurs de sécurité utilisent le règlement européen comme un outil marketing, en proposant des solutions « spécial GDPR ». Cela n’est pas du tout indispensable ! Au-delà de mentionner l’importance de la pseudonymisation, du chiffrement et de la gestion forte des droits d’accès aux données, le GDPR ne précise pas de dispositif technique concret.
Parmi les solutions adoptées et reconnues, citons :
- le WAF (Web Application Firewall), pour protéger les sites web des attaques visant à exploiter leur failles de sécurité, soit pour les rendre inopérants, soit pour y dérober des informations (données personnelles, données commerciales, données bancaires etc.) ;
- le CASB (Cloud Access Service Broker), pour découvrir les applications cloud utilisées dans l'entreprise hors du cadre fixé par la DSI (shadow IT), et contrôler les données stockées dans les applications cloud ;
- la pseudonymisation pour rendre anonyme des données personnelles, tout en permettant et revenir en arrière (réversibilité) pour identifier la personne si besoin critique ;
- l’anonymisation qui permet de sortir du champ de GDPR (sans réversibilité) et de procéder à des analyses prédictives.
Des prestations de consulting pour faire les bons choix
L’étude « Fact or Fiction, the state of GDPR compliance » menée par Forrester en 2017 montre qu’au fur et à mesure de leur mise en conformité au GDPR, les entreprises ont besoin de plus de conseils de la part de leurs partenaires, afin d’avoir une vision globale de leurs besoins de sécurité plutôt que de pousser des solutions ponctuellement.
Vous l’avez compris, votre entreprise ne doit pas se précipiter sur les nouveautés, mieux vaut d’abord consulter les organismes de référence : l’ANSI, qui a étendu son référentiel à l’ensemble des types de données utilisées en entreprises, la CNIL, qui a édité un guide sur la protection des données avec différentes solutions, ou encore les branches sectorielles qui émettent elles-aussi des recommandations spécifiques.
Il est ensuite recommandé de faire appel à un professionnel pour mener des analyses de risque approfondies et ainsi comprendre quelles solutions s’intègrent le mieux à son environnement technique et humain.
>> La protection des données concerne tous les types de plateforme : sur site, sur poste utilisateur, ou dans le cloud. Il est donc essentiel de négocier le virage de votre entreprise vers le Cloud en sécurisant les migrations de données et les processus de stockage des fournisseurs.
Pour aller plus loin
- Tirer profit du GDPR
- RGPD : les RH en première ligne !