Les nouvelles règles de confidentialité redistribuent les cartes de la cybersécurité
En parallèle avec l'apparition de nouvelles cybermenaces, le paysage réglementaire mondial évolue rapidement. De nombreuses normes, dont notamment le règlement général sur la protection des données (RGPD) et le California Consumer Privacy Act (CCPA), ont ainsi vu le jour pour répondre aux préoccupations croissantes en matière de confidentialité et d'utilisation abusive des données à caractère personnel.
Ces inquiétudes sont alimentées par le flot constant de brèches de données et d'abus de confiance envers les consommateurs ; comme le scandale ayant révélé que Cambridge Analytica avait collecté les données personnelles de millions d'utilisateurs Facebook sans leur consentement et à des fins de publicité politique. Cependant, ces nouvelles réglementations modifient les besoins des entreprises et obligent les équipes IT à repenser leurs stratégies en matière de cybersécurité et de conformité.
A la suite de l'entrée en vigueur du RGPD en mai 2018, la surveillance des entreprises s'est accrue afin de garantir un contrôle beaucoup plus strict qu'auparavant sur la manière dont elles stockent et gèrent les données des clients, ainsi que de mieux comprendre ce qu'il advient de ces données. Il existe en effet désormais des exigences en termes de traitement licite des données et de droits des personnes concernées, ce qui a engendré un changement dans l'attitude des organisations vis-à-vis de la confidentialité et de la conformité.
Les entreprises ont commencé à prendre la confidentialité plus au sérieux. Dans la mesure où l'incapacité à prouver que les données sont traitées en toute légalité peut donner lieu à des amendes, des litiges et des pertes d'opportunités commerciales, les organisations se préoccupent de plus en plus de savoir quelles données sont stockées réellement et où elles sont conservées. Elles doivent également savoir comment les données sont utilisées tout au long des processus commerciaux et, surtout, qui y a accès. Enfin, les entreprises sont de plus en plus soucieuses de garantir la sécurité des informations et de prouver aux auditeurs que les contrôles nécessaires ont bien été mis en place pour protéger les informations des personnes concernées.
La demande des outils de sécurité et de conformité est en hausse. En raison de la pression réglementaire, les entreprises acquièrent et utilisent de plus en plus les outils nécessaires pour se conformer à toute une série d'obligations et garantir la confidentialité et la sécurité.
Selon IDC, l'influence du RGPD sur le marché américain s'est même élevée à 416 millions de dollars en 2017, pour potentiellement atteindre 537 millions de dollars en 2022.
Les compétences en matière de conformité sont très demandées, de nouveaux rôles apparaissent. Étant donné que les nouvelles normes exigent des entreprises qu'elles fassent preuve de cohérence dans leurs efforts de mise en conformité, celles-ci doivent engager des professionnels capables d'alléger la charge que représente la mise en conformité et de les aider à éviter les pièges courants. Les nouvelles normes débouchent en outre sur la création de nouveaux postes.
Par exemple, le RGPD exige des entreprises qu'elles engagent des délégués à la protection des données (ou DPO pour Data Protection Officer), lesquels sont chargés de contrôler la conformité interne, de prodiguer des conseils sur les obligations en matière de protection des informations et d'agir en tant que point de contact pour les personnes concernées et les autorités de contrôle.
De nombreuses entreprises ont déjà satisfait à cette exigence : selon l'International Association of Privacy Professionals (IAPP), 500 000 entreprises ont enregistré des DPO à travers l'Europe, un chiffre bien supérieur aux prévisions de 2017.
Pour faciliter la conformité à ces réglementations, il est conseillé que les CIO et CISO adoptent des procédures qui garantiront la collecte et le traitement licites des données et, plus généralement, renforceront la sécurité des données dans l'ensemble de l'entreprise. Cela inclut notamment la gestion des risques, qui consiste à identifier, à évaluer et à répondre aux risques. En évaluant la probabilité que divers événements se produisent et leurs conséquences éventuelles, il est possible de mieux prioriser les activités et les investissements en matière de cybersécurité. Les risques peuvent aller du vol de données par les employés aux attaques provenant de l'extérieur.
En outre, les organisations ont aujourd'hui besoin de mieux connaître les données qu'elles détiennent, afin d'en assurer la sécurité et la conformité. La détection et la classification automatisées des données permettent alors aux entreprises de déterminer les données sensibles et réglementées dont elles disposent et l'endroit où elles se trouvent. Ainsi, les entreprises peuvent mettre en place des contrôles adéquats pour protéger les informations les plus critiques, et extraire ou supprimer des données sur demande de la personne concernée.
La gouvernance de l'accès aux données permet aussi aux entreprises de savoir qui a accès à quelles données et qui en est propriétaire ; et donc, au final, d'exercer un contrôle strict sur l'accès aux données, de prévenir les fuites d'informations critiques et de s'assurer que tous les droits d'accès sont conformes aux réglementations en vigueur. Plus important encore, il s'agit d'un excellent instrument pour fournir aux auditeurs la preuve que seuls les employés habilités ont l'autorisation de manipuler des informations sensibles.
De nombreuses réglementations comportent de plus des exigences en matière de consentement. Par exemple, le CCPA exige que les entreprises obtiennent le consentement du client lorsqu'elles ont l'intention de vendre ses données, et le RGPD permet aux entreprises de collecter et de traiter les données d'un client uniquement si celui-ci donne expressément son consentement.
Les entreprises chargent alors les DPO d'obtenir le consentement et de gérer les dossiers, pour fournir aux auditeurs des preuves suffisantes attestant l'obtention de tous les consentements requis. Autre processus à mettre en place : la collaboration avec les parties prenantes. Il s'agit de s'assurer que ces dernières comprennent parfaitement les risques commerciaux associés au stockage, au traitement et à la sécurisation des données personnelles.
Les entreprises doivent également investir dans des formations régulières dans le domaine de la cybersécurité, afin de sensibiliser les employés qui travaillent avec les données des clients à l'importance de la confidentialité, et engager des spécialistes de la cybersécurité ou développer des compétences internes.
En adoptant ces pratiques, les entreprises seront en mesure d'accroître l'efficacité de leurs efforts de mise en conformité, ainsi que d'améliorer la gestion et la sécurité globales des données. En outre, une approche holistique de la confidentialité et la mise en oeuvre des contrôles nécessaires permettront aux CIO de mieux faire comprendre comment l'investissement dans la cybersécurité contribue à optimiser les processus commerciaux et à obtenir un avantage concurrentiel par le respect de la confidentialité.
Sur le même thème
Voir tous les articles Cybersécurité