Supply chain et RGPD : un enjeu de taille
Les organisations doivent prendre davantage en compte le risque cyber, et notamment au sein de la supply chain. Elles doivent évaluer scrupuleusement la sécurité de leurs partenaires, afin de mener une stratégie holistique de cybersécurité.
Alors que les cyberattaques sont de plus en plus récurrentes et sophistiquées, et que le quotidien des citoyens se digitalise toujours plus, la législation s'est adaptée en conséquence ces dernières années. Les entreprises sont ainsi davantage conscientes des risques cyber.
En effet, selon le World Economic Forum, 29 % d'entre elles souhaiteraient investir d'ici 2025 dans les technologies de chiffrement et la cybersécurité en général. Cependant, certains risques restent encore trop souvent éludés, dont celui de la vulnérabilité de la supply chain.
Le contexte juridique s'est adapté pour suivre les usages numériques accrus des citoyens dans leurs sphères personnelles comme professionnelles. En effet, selon la FEVAD, le marché de l'e-commerce en France ne pesait que 8 milliards d'euros en 2005, et a atteint 112 milliards en 2020. Les cybercriminels tirant profit de toute opportunité, le boom d'internet a été l'occasion de viser les organisations dont les pratiques de sécurité n'ont pas évolué au même rythme que leur adoption de l'économie numérique.
L'entrée en vigueur du RGPD
L'Union Européenne s'est donc dotée du Règlement Général sur la Protection des Données (RGPD) en mai 2018, ce qui a marqué un tournant dans la collecte, le stockage et la gestion de la data. Selon la CNIL (Commission nationale de l'informatique et des libertés), ce règlement a trois objectifs :
? Etablir des règles relatives à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et des règles relatives à la libre circulation de ces données.
? Protéger les libertés et droits fondamentaux des personnes physiques, et en particulier leur droit à la protection des données à caractère personnel.
? La libre circulation des données à caractère personnel au sein de l'Union n'est ni limitée ni interdite pour des motifs liés à la protection des personnes physiques à l'égard du traitement des données à caractère personnel.
Lire aussi : Avec l'AI Act, un nécessaire RGPD 2 ?
Si ce règlement peut paraître contraignant pour les entreprises, il s'est avéré nécessaire pour faire face aux cybermenaces.
La prise de conscience
L'entrée en vigueur du RGPD a encouragé les organisations à s'interroger sur leur niveau de sécurité et à évaluer les conséquences potentielles d'une attaque ; en termes financiers (amendes et perte d'exploitation), de réputation, ou encore la perte de données sensibles, comme celles liées à la propriété intellectuelle.
La CNIL communique aussi régulièrement des amendes qu'elle inflige aux organisations qui ne respectent pas le RGPD, avec des montants parfois très élevés, afin de mettre en garde celles qui ne seraient toujours pas conformes. Selon une étude menée par DLA Piper, les montants des amendes pour non-respect au RGPD ont ainsi progressé de 39 % en 2020, pour atteindre 158,5 millions d'euros.
En parallèle, les consommateurs sont également plus attentifs à l'utilisation de leurs données par les entreprises, ce qui incite encore davantage ces dernières à montrer patte blanche. En effet, d'après un sondage mené par l'IFOP pour OVHCloud, 66 % des Français se disent prêts à renoncer à un service numérique si ce dernier n'indique pas clairement comment les données personnelles sont utilisées et où elles sont stockées.
Cette demande des citoyens a par conséquent rebattu les cartes au sein même des entreprises : alors que le sujet demeurait auparavant une inquiétude des équipes IT, les directions en comprennent aujourd'hui davantage les enjeux et la nécessité d'inclure le risque cyber à leurs préoccupations quotidiennes.
La supply chain, encore vulnérable
Toutes les vulnérabilités ne sont pas prises en compte de manière égale par les décisionnaires. Ainsi, la supply chain est l'un des vecteurs actuellement les plus exploités, comme le prouve l'ampleur mondiale de l'attaque récente contre SolarWinds, qui a montré que les fournisseurs deviennent souvent la « porte d'entrée » pour les cybercriminels vers l'entreprise ciblée.
De plus, la collecte, le stockage et la gestion des données sont bien souvent sous-traités, car de nombreuses entreprises ne bénéficient pas en interne du savoir-faire et des infrastructures IT adéquats. Or, selon le RGPD, toute organisation doit être en mesure de démontrer que les traitements de données à caractère personnel sont effectués conformément au règlement, et ce, même si elle sous-traite ce service.
Le RGPD a donc contraint les organisations à prendre davantage en compte le risque cyber, et notamment au sein de la supply chain. Elles doivent évaluer scrupuleusement la sécurité de leurs partenaires, afin de mener une stratégie holistique de cybersécurité.
Ces audits sont à effectuer en amont, mais aussi tout au long de la collaboration pour s'assurer que le niveau de sécurité de leurs fournisseurs et partenaires réponde bien à leurs exigences. Il est en outre conseillé de contractualiser ces dernières, pour que chaque partie connaisse explicitement les responsabilités de chacun.
C'est l'ensemble de la supply chain qui a été bouleversé par le RGPD : d'une part, les processus d'achat ont été forcés d'évoluer du côté des entreprises ; et, d'autre part, les fournisseurs ont dû adapter leur processus pour y inclure le risque de conformité. La situation actuelle n'est néanmoins pas encore parfaite, car l'attention portée par les organisations à la cybersécurité de leurs parties tierces est bien souvent non optimale.
Si elles ne disposent pas des ressources nécessaires en interne, elles ne doivent pas hésiter à se faire épauler par des experts externes, pour évaluer le niveau de cybersécurité de leurs fournisseurs et s'assurer ainsi de leur respect du RGPD, avant toute collaboration, mais aussi tout au long de cette dernière.
Thibault Lapédagne, Directeur cybersécurité - CyberVadis.
Sur le même thème
Voir tous les articles Data & IA