X

News Partenaire

Transformation numérique : Satisfaire au devoir de transparence et de confidentialité des conseils d’administration et comités exécutifs

Instances décisionnelles de grande envergure, les conseils et comités disposent de larges pouvoirs, mais doivent assumer en contrepartie des devoirs et des responsabilités et déterminer les orientations stratégiques qui assureront la croissance de l’entreprise. Un résultat concret ne peut se faire sans une prise de décision consentie, pesée et à l’abri des regards indiscrets. La transformation numérique et l’émergence de technologies innovantes  permettent aujourd’hui de sécuriser ces organes de gouvernance avec des outils dédiés et développés pour soutenir la mission des membres du conseil.

RGPD : Poser les bases de la mise en conformité
Christophe Guillemin / mercredi 18 octobre 2017 / Thèmes: Dossier, RGPD

RGPD : Poser les bases de la mise en conformité

Désigner un responsable de projet puis cartographier les traitements de données personnelles. Telles sont les premières étapes d’une bonne préparation à la mise en conformité avec le RGPD. Parmi les enjeux : dénicher les applications de Shadow IT qui ne peuvent plus échapper à la DSI.

L ’échéance approche à grand pas. Le 25 mai 2018, le Règlement général sur la protection des données (RGPD) entrera en vigueur. À cette date, les entreprises et administrations de l’Union Européenne devront s’être mises en conformité avec ce nouveau texte, destiné à renforcer et uniformiser la protection des données à caractère personnel sur le Vieux Continent. Mais par où commencer ? Avant même de se lancer dans les opérations de mise en conformité, d’importants préparatifs s’avèrent nécessaires.

Désigner le pilote  du projet

La première étape est sans conteste de désigner un « pilote » du projet. « Vous aurez besoin d’un véritable chef d’orchestre qui exerce une mission d’information, de conseil et de contrôle en interne », souligne ainsi la Commission nationale de l’informatique et des libertés (Cnil). Dans certains cas, la désignation de ce responsable deviendra de toute façon incontournable avec le RGPD. Le nouveau texte rend en effet obligatoire la nomination d’un « délégué à la protection des données » ou Data Protection Officer (DPO) pour les entités publiques et certaines entreprises. Il s’agit plus précisément des sociétés dont l’activité principale les amène à réaliser à grande échelle un suivi régulier et systématique des personnes (profiling), ou à traiter des données « sensibles » ou encore à exploiter des données relatives à des condamnations et infractions pénales. Parmi ces entreprises figurent par exemple des sociétés d’e-commerce, de marketing digital, des banques et assurances, des établissements de soins ou encore des entreprises du secteur des telecoms. Et même si elles ne tombent pas sous le coup de cette obligation, la majorité des entreprises ont tout intérêt à désigner un responsable des données personnelles. « Sur une base volontaire, il est fortement recommandé de désigner une personne, disposant de relais internes, chargée de s’assurer de la mise en conformité au règlement européen », poursuit ainsi la Cnil.

Ce « chef d’orchestre » est peut-être déjà en place dans l’entreprise. La Cnil recense ainsi près de 5 000 Correspondants informatique et libertés (CIL), déployés depuis 2005 dans des entreprises et entités publiques françaises. Ce CIL est tout à fait en mesure de poser les jalons pour la future mise en conformité avec le RGPD. Et il pourra évoluer ensuite vers le poste de DPO (lire L’Informaticien n°157, sur le métier du DPO). S’il n’y a pas de CIL dans l’entreprise, il est donc vivement recommandé d’en désigner un. Il peut être nommé en interne ou recruté. « Une nomination en interne offre l’avantage d’avoir un collaborateur qui connaît bien l’entreprise. Mais un recrutement externe permet aussi de limiter les pressions qui pourraient peser sur ses épaules du fait de son ancien poste », souligne Patrick Blum, CIL de L’École supérieure des sciences économiques et commerciales (Essec).

 Comment choisir son CIL ? Il ne s’agit pas d’un poste pour un « junior ». « Il faut une personne expérimentée et qui fait autorité sur le traitement des données car elle devra être en mesure de travailler avec de hauts niveaux de responsabilité », poursuit Patrick Blum. L’une des premières missions du CIL sera en effet de rencontrer toutes les directions de l’entreprise pour leur demander de lui fournir les informations nécessaires sur les logiciels qu’ils utilisent (lire ci-après). Il faut donc pouvoir « s’imposer ». « Il faut disposer d’un tiers de compétences juridiques, d’un tiers de compétences IT et d’un tiers de compétences en relations humaines », résume pour sa part Fortunato Guarino, CIL de l’éditeur américain Guidance Software. Notons que certains postes sont incompatibles avec une nomination au statut de CIL ou de futur DPO, car il y aurait alors un risque de conflits d’intérêts. C’est le cas du DG, du DSI, de la DRH ou encore de la direction métier. « Il ne faut pas une personne ayant autorité sur le traitement des données, sinon elle sera juge et partie », indique Patrick Blum.

Pour les petites et moyennes structures, ou les sociétés n’arrivant pas à trouver de CIL, il est possible de se tourner vers un prestataire externe qui assurera la mission. Avec l’échéance du RGPD, de plus en plus de cabinets d’avocats, de consultants et autres sociétés de conseil, proposent aujourd’hui ce type de prestations. Pour choisir ce prestataire : « Il faut lui demander ses références clients. Si elles sont nombreuses et anciennes c’est plutôt bon signe. Ensuite, il faut prendre contact avec certaines de ces références pour évaluer les compétences et le sérieux du prestataire », explique Bruno Rasle délégué général de l’AFCDP, association française représentant les CIL. « Nous fournissons sur notre site internet une liste de cabinets d’avocats et de sociétés de conseil. Il ne s’agit pas d’acteurs que nous avons audité et que nous recommandons, mais simplement d’une liste de contacts possibles. À chaque entreprise de vérifier si le prestataire correspond à ses besoins », précise le responsable.

Cartographier  les traitements  de données personnelles

Une fois le « pilote » désigné, la deuxième étape des préparatifs au RGPD est d’établir une carte des traitements de données personnelles utilisées par l’entreprise. Pour réaliser cette cartographie, le plus simple est de commencer par identifier les logiciels et services en ligne utilisés par les collaborateurs et ainsi d’établir un « patrimoine applicatif ». Le responsable des données personnelles va commencer par rencontrer toutes les directions de l’entreprise pour leur demander quels logiciels et services en ligne elles exploitent. Il s’agit notamment de la direction métier, du commerce, des RH, etc. « Mais le plus efficace est de commencer par la DSI qui normalement doit connaître les logiciels utilisés dans l’entreprise, du moins celles officielles », explique Arnaud Cassagne, directeur des opérations chez l’intégrateur et prestataire IT Newlode. Il faudra ensuite identifier parmi toutes ces applications, celles qui exploitent des données personnelles. Par « données personnelles », le RGPD entend : « Toute information se rapportant à une personne physique identifiée ou identifiable […], notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale. »

Cette phase de recherche d’informations se concrétise par un grand nombre d’entretiens, qui peuvent, si nécessaire, être en partie confiés à des consultants externes. Au-delà du déclaratif, le futur DPO et la DSI peuvent également s’appuyer sur des outils techniques permettant de lister les applications utilisées dans l’entreprise. Les solutions commerciales de sécurité réseau et de gestion de données intègrent ainsi de plus en plus des fonctions de ce type. Leur principe général est de suivre les flux de données échangées sur le SI pour identifier les logiciels ou services qui les exploitent.

« Nos outils de sécurité permettent de visualiser tous les flux qui passent entre les différentes zones du réseau et avec les connexions externes – Internet, MPLS, etc. Il permet donc de repérer toute connexion applicative et aidera à compléter un inventaire applicatif », explique Pascal Le Digol, Country Manager France de Watchguard, spécialiste américain des solutions sécurité réseau (lire en page 46). Même son de cloche chez Varonis, spécialiste américain de la gouvernance de données. Ces outils surveillent le SI en analysant le comportement des personnes et des machines qui accèdent aux données, et en signalant tout comportement anormal. « Nous collectons des méta-datas qui vont permettre de savoir où sont les données, qui les utilisent, qui en est le propriétaire et si leur traitement correspond à une activité normale », résume Christophe Badot, DG France.

L’éditeur français Easyvista, spécialiste des solutions de gestion de service IT (ITSM), propose également ce type de fonctionnalités. « Notre solution est un peu comme l’ERP de la direction informatique. Il intègre des fonctions de Software Asset Management permettant de dresser l’inventaire des logiciels utilisés dans l’entreprise. La solution va scanner le réseau, trouver les logiciels utilisés par les collaborateurs et les comparer avec une base de signatures afin d’identifier les différents programmes », explique Jamal Labed, co-fondateur de l’entreprise.

Au-delà des données transitant sur le réseau, le futur DPO et la DSI doivent également prendre en compte les données sédentaires, stockées sur les différentes espaces de stockage. « En fait, il faut traiter les trois différentes typologies de données dans leur ensemble : les données stockées – par scan de support de stockage comme les BDD par exemple –, les données en cours d’utilisation – maîtrise du copier-coller et de l’impression d’un document sensible par exemple – et les données en transit – données sensibles envoyées en WebPost sur un environnement cloud public par exemple », résume ainsi Laurent Maréchal, expert en cybersécurité chez McAfee.

Débusquer  le « Shadow IT »

L’inventaire applicatif doit bien entendu prendre en compte les services cloud. À ce niveau, l’un des principaux enjeux est de dénicher les services en ligne qui ont échappé à la connaissance de la DSI et qui forment le fameux « Shadow IT ». Ce phénomène est loin d’être marginal. Selon une récente étude de McAfee, «Building Trust in a Cloudy Sky », de janvier 2017, 40 % des services cloud utilisés en entreprise sont exploités par des collaborateurs en dehors de tout cadre définit par les équipes IT. Par ailleurs, ces mêmes équipes IT estiment qu’elles ont une visibilité de l’ordre de 47 % sur ces applications cloud, utilisées au sein de leur entreprise. « Cela signifie que 53 % des applications cloud introduites ne bénéficient d’aucun contrôle ! La maîtrise du Shadow IT devient un enjeu majeur pour la sécurité des données, et nul doute que le RGPD donnera un coup d’accélérateur dans la volonté des entreprises à sécuriser davantage l’usage de ces services cloud », poursuit Laurent Maréchal.

Un avis partagé par l’éditeur californien Skyhigh Networks spécialisé dans la sécurité des solutions SaaS. « Chez un de nos clients, possédant 15 000 utilisateurs, nous avons identifié 132 services cloud connus de l’IT et plus de 2 000 services qui avaient échappé à leur connaissance », explique Joël Mollo, directeur Europe du Sud.

Les solutions de sécurité et de gestion des données peuvent là encore être utilisées pour dénicher ce « Shadow IT ». La plateforme de Skyhigh Networks exploite ainsi les logs de connexion pour repérer les services cloud utilisés par les collaborateurs en les comparants avec une base de données d’environ 25 000 applications SaaS. Pour chaque service identifié, la solution donne un « score RGPD » mesurant l’adéquation avec le nouveau règlement européen (low, medium ou high). « Notre solution exploite l’historique des connexions et fonctionne ensuite au fil de l’eau. Il faut en effet que la cartographie des services cloud soit mise à jour régulièrement. Notre base compte 500 à 1 000 nouveaux services tous les mois », souligne Joël Mollo.

Parmi les exemples typiques de Shadows IT, figurent les solutions de stockage et de partage de fichiers (Dropbox, Box, Google Drive, iCloud, Oodrive, SugarSync, etc.). Mais l’on y trouve aussi des outils de création et de partage de présentations (Prezi) ou encore des convertisseurs ou compresseurs de PDF. « Certains outils de compression PDF en ligne indiquent dans leurs conditions d’utilisation qu’ils peuvent accéder aux informations contenues dans les fichiers exportés sur leur plate-forme. Cela peut poser de graves problèmes avec le RGPD », précise Joël Mollo.

Préciser les « finalités de traitement »

Une fois les logiciels ou services identifiés, le responsable des données personnelles doit détailler leur fonctionnement. Ces informations servent à établir un « registre » qui sera son principal support pour l’étape suivante qui est la mise en conformité. « Ce registre peut se présenter sous la forme d’un tableau Excel. C’est parfaitement suffisant », confie Arnaud Cassagne, directeur des opérations chez l’intégrateur et prestataire IT : Newlode.

La Cnil propose sur son site un modèle de registre compatible avec le règlement européen (https://www.cnil.fr/ fr/cartographier-vos-traitements-de-donnees-personnelles). Il est constitué de deux parties. La première correspond à la liste des traitements, avec leur nom, leur date de création, leur dernière mise à jour, le responsable du traitement, une indication si des données sont transférées hors EU (oui ou non) et une indication si le traitement concerne des données sensibles (oui ou non). En outre, cette liste intègre une colonne « finalité de traitement ». Celle-ci est très importante, car c’est elle qui est déclarée à la Cnil, et non le logiciel ou le service en tant que tel. Elle correspond à l’« objectif principal » de l’application. Parmi les finalités classiques : gestion des recrutements, gestion des clients, enquête de satisfaction, surveillance des locaux, etc.

Ce registre intègre également des fiches plus détaillées pour chaque traitement, avec des informations plus précises comme le lieu où les données sont hébergées, les pays où elles sont éventuellement transférées, leurs délais de conservation et les éventuelles mesures de sécurité mises en œuvre pour les protéger. « Au stade des préparatifs, il ne faut pas viser une cartographie exhaustive mais plutôt la plus complète possible », souligne Bruno Rasle, de l’AFCDP. Cela peut déjà prendre plusieurs mois à réaliser. « Nous recommandons ensuite une approche par “ passes ”, en se préoccupant d’abord des principaux traitements, puis, dans un second temps, en allant progressivement dans un plus haut niveau de détails », indique le responsable. Enfin, l’AFCDP rappelle que ce registre devra être mis à jour régulièrement. Dans l’idéal, la cartographie des traitements de données personnelles devrait même être totalement revue chaque année. « Ce n’est pas un document à réaliser une seule fois, mais bien un support de travail qui évoluera en permanence », conclut Bruno Rasle.


Pascal Le Digol, Country Manager France de Watchguard
« Commencer par répertorier  les applicatifs et données associées »

Qu’est-ce qu’une donnée sensible ?
Le RGPD traite des données personnelles au sens large, mais il est bien plus restrictif avec les données dites « sensibles », dont le traitement est interdit. Ces données concernent ce qu’il y a de plus privé chez un individu. Il s’agit des origines raciales, les convictions politiques, les orientations sexuelles, les activités syndicales ou encore les données de santé. La grande difficulté sera d’identifier les supports de ces informations qui peuvent être très diverses. Par exemple, une adresse électronique d’un client hébergée dans un logiciel de relation commerciale n’est pas une donnée sensible. Mais une adresse mail utilisée dans un logiciel RH, où il est indiqué que la personne est syndiquée, est en revanche une donnée sensible. Dans le même esprit, un numéro d’immatriculation de véhicule utilisé par un membre d’un parti politique, sera une donnée sensible.

Selon vous par où commencer pour réaliser la cartographie des traitements de données personnelles ?
Par les applications ou en cherchant directement les données ? Pour moi, les deux sont à rechercher dans le cadre de la RGPD, mais il y a néanmoins une priorité aux applicatifs. Les données liées à un applicatif font l’objet de risques dans le traitement, le déplacement réseau (interne ou externe) et aussi un risque lié aux vulnérabilités de l’applicatif même. Commencer pas répertorier les applicatifs et données associées me semble le plus logique dans un premier temps mais les deux sont à faire de toute manière.

Comment réaliser l’inventaire d’applications dans le Cloud ?
Nos outils de sécurité réseau permettent de repérer les flux d’échange avec ces services et applications cloud pour être sûr de ne pas oublier certains de ces flux dans l’inventaire. L’entreprise devra néanmoins investiguer ensuite pour savoir si ces services stockent de la donnée personnelle, si ces données restent en Europe, le niveau de sécurisation, etc.

Outre les flux de données, faut-il également scanner l’ensemble des supports de stockage du SI ?
Des données brutes sur un poste, même sans échange de données ou applicatifs associés, peuvent constituer un risque si un utilisateur de la structure est malveillant ou inconscient du risque dans la manipulation de ces données. Il me semble donc que, dans le cadre de la RGPD, il faut à la fois remonter les flux de données mais aussi faire l’inventaire des données sur les espaces de stockage.


Print
2604
Tags:RGPD

Name:
Email:
Subject:
Message:
x

News Mag-Securs
12345678

Retrouvez actualités, dossiers et communiqués sur la sécurité du système d'information sur le portail Mag-Securs

Offres d'emploi
RSS
12345678910Last

Lancez votre recherche sur notre rubrique Emploi avec notre partenaire