Se prémunir contre les nouveaux cyber-risques. 2ème partie

Avec l’essor de l’intelligence artificielle, la prise en compte du CYBER-risque doit se renforcer chez tous les opérateurs de données sensibles pour acquérir une véritable culture du risque. Nous avons vu dans un article précèdent comment les cyber assurances peuvent offrir des solutions pour assurer la continuité des affaires mais regardons aujourd’hui comment sanctuariser ses données en interne.  

La peur du risque, l’augmentation de la protection,

 Les gouvernements des pays de l’OCDE renforcent tous les réglementations en matière de cybersécurité et de protection de la vie privée, comme le montrent les directives NIS2 (MonEspaceNIS2 – Directive NIS 2)  mais aussi DORA pour le secteur financier. Tous les secteurs manipulant de la donnée sensible sont particulièrement ciblés par ces protocoles draconiens car ce sont ceux que visent en priorité les hackers. 

Les fuites de données font fuir les clients.  

Les intrusions malveillantes sont toujours le fait d’une faille dans la gestion de son RGPD. Si l’enquête démontre que les causes relèvent d’une application sommaire des protocoles, d’un défaut de vigilance, d’un manque de formation des équipes, outre les possibles sanctions financières, la réputation de l’entreprise, basée sur un contrat de confiance quant à la gestion des données, sera sévèrement entachée.  

Le grand retour de la RGPD 

Revient donc la RGPD sur le devant de la scène. Avant toute action concrète, il convient de faire un rapide audit en inspectant ces quatre champs : 

1. Comment circulent vos données ? 
2. Etes-vous en conformité avec les principes nationaux du RGPD ?
3. Réviser ses protocoles et ses documents
4. Tenez-vous un journal de bord du travail d’étanchéification au quotidien ?   

Le ‘data flow’

Sur le premier point ‘Comment circulent vos données ?’ un travail de sensibilisation des équipes est primordial pour ancrer la donnée, ‘le data’ comme une matière hautement radioactive et développer autour de son maniement et stockage une culture de risque auprès de tous les collaborateurs habilités à la manipuler.

Un check-up en 10 points s’impose 

1. Les données de qui ? 
2. Quelle catégorie de données ? 
3. Quel degré de sensibilité à la donnée ? 
4. Comment la donnée est collectée ? 
5. Comment la donnée est stockée ?
6. Que fait-on de la donnée une fois stockée ? 
7. Quand est-elle effacée ? 
8. La donnée conservée est-elle à jour ? 
9. La donnée conservée est-elle partagée en dehors de l’U.E. ? 
10. Est-on un contrôleur ou un enregistreur de données ?   

Pliant ou compliant ? 

Sur la seconde question ‘conformité avec le RGPD ’ un audit interne doit comprendre : 

1. La base légale (consentements, contrats etc)
2. Le cadre de limitation de l’utilisation
3. L’exactitude des données fournies/stockées
4. Les limitations sur les durées de stockage des données
5. L’intégrité et la confidentialité des données collectées
6. En bonus : un historique de toutes les phases précédentes 

Checklist et Process 

Arrivé au 3ème point, l’assistance du RSSI, (Responsable de la Sécurité des Systèmes d’Information) devient cruciale pour passer en revue : 

1. Accords de confidentialité (clients et employés)
2. Politique de protection des données à l’attention des clients
3. Standard de confidentialité (en interne)
4. Contrats avec les sous-traitants
5. Gestion de l’incident
6. Existence d’un Plan de Continuation d’Activité
7. Archivage indépendant des preuves des points précédents 

Faire mémoire de sa bonne foi 

Si votre structure n’est pas proactive, vos donneurs d’ordre le seront qui exigeront des preuves de votre part d’étanchéité numérique. En cas d’attaque et de mise en danger de sa bonne réputation, il est donc vital d’être en mesure de prouver que tout de son côté a été fait dans les règles. Pour cela, des audits réguliers, internes ou externes, l’adoption de normes ISO, AFNOR, EURA etc permettent de se prévaloir d’une démarche volontariste.    

Les entreprises qui réussiront à équilibrer innovation, sécurité et agilité réglementaire seront celles qui prospéreront dans les années à venir.