What else: Le RGPD, parlons-en! - Sécurité des données et des sytèmes - Reciproc-It
16650
single,single-post,postid-16650,single-format-standard,ajax_fade,page_not_loaded,,qode-theme-ver-7.7,wpb-js-composer js-comp-ver-4.7.4,vc_responsive

What else: Le RGPD, parlons-en!

14 Mar What else: Le RGPD, parlons-en!

RGPD : la nécessaire évolution des organisations

 

L’entrée en vigueur du Règlement Général européen sur la Protection des Données (RGPD) le 25 mai dernier a entraîné une forte mise en visibilité des enjeux d’éthique, de respect de la vie privée des utilisateurs et de sécurité des systèmes d’information.

 

En effet, le volet sanction et la prise de conscience de l’opinion publique a conduit un certain nombre d’acteurs importants à s’engager dans une réflexion approfondie sur la gouvernance de leur système d’information. Mais le chemin est encore long et nombreuses sont les entreprises de plus petites tailles, PME et ETI, à ne pas encore s’être engagées sur le chemin de la mise en conformité RGPD faute de sensibilisation, de ressources humaines ou financières et/ou de réelle volonté organisationnelle.

 

Au sein de RECIPROC-IT, nous avons pu dresser un certain nombre d’observations en échangeant avec nos clients (actuels et futurs) :

  • Le projet interne RGPD est souvent décorrélé de la Sécurité du Système d’information
  • Les données personnelles sont protégées au regard de la loi, mais le périmètre applicatif n’est pas sécurisé de manière plus globale
  • La nomination ou le recrutement d’un Data Protection Officer (DPO) est parfois la clé du RGPD : « ouf nous sommes tranquilles, il s’occupera de tout ça » …
  • L’explosion de l’écosystème RGPD – solutions techniques, prestations de services pour accompagner un DPO, etc… – rend le marché trop complexe

 

Dans ce contexte, il nous semble urgent d’adopter une démarche véritablement globale, mixant l’organisationnel et l’humain pour mieux appréhender les risques et les enjeux de la sécurité de nos systèmes d’information et par ricochet des données personnelles.

 

Chez RECIPROC-IT nous voyons cette réglementation comme une opportunité, une étape charnière qui permet de se poser la question presque existentielle de l’entreprise à l’ère de la cybersécurité.

 

Nous proposons à nos clients, petites et moyennes entreprises, d’intégrer leur projet de conformité RGPD avec un objectif final de protection globale de leur activité, de tous leurs actifs, en y intégrant les données personnelles naturellement.

 

Quelques exemples de mesures prioritaires à prendre en compte dans cette démarche de réorganisation :

  • Mettre à plat ses actifs (les nommer, les lister et classer, documenter leurs utilisations, leurs stockage etc…)
  • Affecter les actifs en question à des responsables détenteurs (« owners »), sensibilisés aux enjeux de la data protection
  • Rédiger des procédures de gouvernance
  • Sécuriser les applications et infrastructures hébergeant ces actifs
  • Tracer les flux d’entrées et de sorties de ces actifs.

 

Le facteur humain est à la fois le plus impactant, et le plus complexe à adresser, tant il peut contribuer à la sécurisation des données et des systèmes dans certains cas, et les fragiliser dans d’autres. Focalisons-nous sur l’utilisateur, non nécessairement malveillant, mais qui doit être vigilant, doit adhérer et respecter les politiques et normes de sécurité mises en place. La vigilance, l’adhésion et la sensibilisation sont des incontournables, que certaines mesures et procédures (parfois basiques, mais insuffisamment diffusées au sein des organisations) doivent accompagner et renforcer :

  • Mettre à disposition des utilisateurs la politique interne de sécurité du système d’information
  • Veiller à ce que celle-ci soit respectée et que tous les utilisateurs internes et externes y aient non seulement accès, mais s’y soumettent en les signant
  • Mener de façon régulière des campagnes de sensibilisation, et intégrer celle-ci dans une vraie procédure interne suivie et contrôlée
  • Rédiger un Plan d’Assurance Sécurité à l’attention des utilisateurs et fournisseurs externes.

 

 

 

Nous sommes convaincus que c’est par la prise en compte des enjeux tant organisationnels que managériaux, de façon pragmatique et en y allouant les justes moyens nécessaires, que nous aboutirons à une conformité de fait dans nos organisations.

 

Il y a science des choses simples et art des choses compliquées.

Œuvres (édition 1960) – Paul Valéry

 

Pas de commentaires

Poster un commentaire

Our team is at your disposal.

Powered by themekiller.com anime4online.com animextoon.com apk4phone.com tengag.com moviekillers.com