Les enjeux de sécurité sont à intégrer dès les premières étapes de conception et tout au long du cycle du projet, on parle alors de « secure by design », afin de garantir le succès de la transformation digitale.

 

Optimiser votre cybersécurité

Alors que les entreprises adoptent des technologies telles que l’Internet des objets, le big data, le cloud et la mobilité, la valeur et le volume des données n’ont jamais été aussi élevés, et les points finaux sont plus vulnérables que jamais.

Mais à l’ère du numérique, l’attention doit passer de la sécurisation des périmètres réseau à la protection de la propagation des données entre les systèmes, les appareils et le cloud. Il ne faut pas perdre de vue que la protection des utilisateurs ne se limite pas à la sécurisation de l’infrastructure informatique.

Beaucoup d’attaques ciblent la naïveté des utilisateurs (phishing, arnaque au faux président, social engineering, …). C’est particulièrement le cas avec l’Internet des Objets (IdO), qui en est certes encore à ses balbutiements mais comme l’IdO s’étend à tout, des équipements industriels aux appareils grand public, les attaques ne se multiplient pas seulement en nombre, mais aussi en sophistication. Les dispositifs de prochaine génération sont maintenant déployés dans des environnements potentiellement vulnérables tels que les véhicules et les usines, ce qui augmente considérablement les risques.

Les entreprises ont intérêt à évaluer la fiabilité de leurs systèmes et réseaux via la réalisation de tests d’intrusion, d’un audit de configuration des serveurs, de code source et d’un scan de vulnérabilité des systèmes de manière récurrente. L’évaluation de la sécurité du Wifi et la mise en place d’architectures techniques permettant d’atteindre les objectifs de sécurité au niveau DICT (Disponibilité, Intégrité, Confidentialité, Traçabilité) sont tout aussi nécessaires.

Enfin, il est essentiel pour les entreprises de se faire accompagner dans la définition et la mise en place d’une stratégie de sécurisation de leurs systèmes d’information, de permettre aux collaborateurs de suivre une formation en cybersécurité afin d’être informés des risques.

 

Se conformer au RGPD

Le règlement général sur la protection des données (RGPD) impacte l’intégralité du cycle de la donnée, de sa collecte à son utilisation, en passant par son stockage. La mise en conformité a nécessité une transformation bien en amont des métiers liés au traitement des données : création d’un registre des traitements, définition du métier de DPO, règles à automatiser, … Une nouvelle donne omniprésente à intégrer pour chaque process métier utilisant des données personnelles.

Il est nécessaire de se conformer à la réglementation européenne si le traitement de données personnelles a pour effet la surveillance systématique à grande échelle d’une zone accessible au public, l’évaluation systématique et approfondie d’aspects personnels, y compris le profilage, sur la base de laquelle vous prenez des décisions produisant des effets juridiques à l’égard d’une personne physique ou l’affectant de manière significative et si vous transférez des données hors de l’Union européenne.

 

Définir un DPO

La conformité d’un organisme au RGPD est une démarche permanente et dynamique qui ne doit pas se limiter aux premiers jours de la prise de fonction du DPO dont les missions seront nombreuses :

  • Sensibiliser les collaborateurs,
  • Initier une réflexion globale sur la mise en place d’une politique et de procédures relatives à la protection des données dans votre structure,
  • Identifier les publics cibles en interne et les éventuels besoins particuliers en fonction des services (exemples : activités marketing, ressources humaines),
  • Créer des contenus thématiques.

 

La désignation d’un délégué est obligatoire dans trois cas de figure :

  • si le traitement est réalisé par une entité publique ;
  • si la structure a une activité l’amenant « à réaliser un suivi régulier et systématique des personnes à grande échelle » ;
  • si la structure effectue un traitement impliquant des données sensibles ou liées à des condamnations pénales et infractions.

Comme traitement de données à grande échelle, on peut citer : le traitement des données de géolocalisation en temps réel des clients et le traitement des données personnelles à des fins de publicité comportementale par un moteur de recherche, par exemple.