RGPD : repensez votre approche en matière de protection des données
L’entrée en vigueur du Règlement général sur la protection des données (RGPD) marquera un véritable tournant en matière de sécurité des données. Ce nouveau règlement prévoit notamment des sanctions financières en cas de non-conformité et de nouvelles règles à suivre pour les entreprises confrontées à une fuite de données. Le bien-fondé de cette nouvelle réglementation n’est pas à remettre en cause, mais elle doit vous amener à bien comprendre vos données et à mettre en place des mesures pour les protéger. Le RGPD représente donc une véritable opportunité pour les responsables de la sécurité informatique et leurs équipes.
Pour de nombreuses entreprises, la nouvelle réglementation implique une remise en question et une vigilance accrue en matière de protection des données. Mais dans les faits, le RGPD ne fait que refléter la façon dont les équipes en charge de la sécurité fonctionnent déjà.
Dans un précédent article de blog , nous soulignions à quel point il était important pour les entreprises de bien comprendre leurs données dans le cadre de la conformité avec le RGPD. Elles doivent connaître leur nature, savoir où elles sont traitées et par qui, et connaître les mesures de sécurité mises en place pour les protéger.
Il ne s’agit pas seulement de limiter les risques de fuites de données ou de sanctions financières. En effet, cette approche permettra aux entreprises d’adopter définitivement le principe de la « protection des données dès la conception » qui est inscrit dans le RGPD.
Par le passé, les équipes en charge de la sécurité ont préféré protéger les serveurs d’entreprise à l’aide de pare-feux, de systèmes de détection des intrusions et de logiciels antivirus. Avec le RGPD, c’est une autre approche qui est envisagée, qui a pour objectif de comprendre le cycle de vie complet des données utilisateur. Où sont-elles stockées ? Comment et quand les informations personnelles de vos clients sont-elles enregistrées et traitées ? Comment sont-elles transférées entre les différents responsables de leur traitement ? Enfin, comment vous assurer qu’elles sont bien détruites ?
Grâce au RGPD, la sécurité des données fait désormais partie des priorités des entreprises de tout type et de toutes tailles, aux plus hauts niveaux de la hiérarchie. Toutefois, la compréhension et la protection des données utilisateur ont toujours été au centre des priorités des équipes en charge de leur sécurité, car cette mission est au cœur de leur fonction.
L’un des moyens dont ces équipes disposent pour protéger les données détenues par leurs organisations est de mettre en place un système d’autorisations permettant d’accorder aux utilisateurs habilités un niveau d’accès approprié aux données.
Pour cela, elles doivent savoir exactement en quoi consistent les données dont elles ont la charge, et connaître leur cycle de vie complet.
Les équipes de sécurité doivent également être en mesure d’effectuer un suivi de ces données, afin de savoir vers quelles destinations elles transitent et d’identifier les personnes ayant accès. Seuls des outils de télémesure performants permettent de contrôler, consigner et évaluer les données au regard des règles énoncées par le RGPD. Par conséquent, la mise en place de ces outils est cruciale dans le cadre de la mise en conformité avec la nouvelle réglementation. Les prestataires externes devront eux aussi adopter ces pratiques afin de garantir la traçabilité du traitement des données tout au long de leur cycle de vie. Les entreprises qui auront une connaissance approfondie de leurs flux de données pourront détecter les violations de données rapidement et y répondre de façon efficace.
Le RGPD et son principe de protection des données dès la conception ne font que formaliser une approche qu’ont déjà adoptée de nombreuses équipes de sécurité. C’est une excellente opportunité, non seulement pour favoriser les investissements dans le domaine de la sécurité, mais aussi pour permettre à la communauté des professionnels de la sécurité de passer d’un schéma de protection basé sur des systèmes à une protection basée sur les données en elles-mêmes. Les entreprises doivent également saisir cette occasion pour améliorer leur compréhension des données en leur possession et élaborer de nouvelles mesures de protection.
Pour obtenir d’autres conseils pour préparer l’entrée en vigueur du RGPD et savoir comment Dropbox peut vous aider à protéger et contrôler vos données, cliquez ici.