Le RGPD, une contrainte ou un accélérateur de croissance ?
Par Jean-Philippe Sanchez, avant-vente HPE Software Security

Publié le 4 Juillet 2017
Le nouveau règlement général de l’Union européenne sur la protection des données personnelles (RGPD ou GDPR en anglais) est actuellement la réglementation phare en matière de protection des données personnelles.

Le Règlement Général sur la Protection des Données (RGPD) établit les fondements sur la manière dont les entreprises nationales et multinationales protègent les informations sensibles de leurs clients et les exploitent pour en tirer de la valeur.

Le nouveau RGPD, qui prendra effet en mai 2018, a une portée plus large que les directives précédentes en termes de nombre d'organisations et de types de données auxquelles elle s'applique. Les pénalités sont par ailleurs plus sévères en cas de non-conformité.


Une mise en conformité en plusieurs étapes

La première étape consiste à identifier les données personnelles concernées par le règlement.


- Identifier des données personnelles concernées par le RGPD : en rapprochant des silos de données auparavant distincts, les entreprises peuvent avoir une vue granulaire de ces informations et voir émerger uniquement les données les plus stratégiques et sensibles. Grâce à cette connaissance, les entreprises peuvent automatiser la classification et l’identification des informations appropriées afin que seules les données concernées soient gérées, sécurisées et régies conformément au RGPD.

Lorsque les données concernées par le règlement sont identifiées, il convient de les protéger, qu’elles soient en cours d’utilisation, en transit ou au hors ligne.

• Chiffrer et désidentifier les données personnelles afin que les données restent protégées même si une violation des données a lieu. Le RGPD fait mention du chiffrement comme moyen d’atténuer les risques associés au traitement des données sensibles, précisant que l’ensemble des informations, quel que soit leur format, doit être traité (support papier, audio, vidéo et données alphanumériques).

• Identifier rapidement, par la supervision de la sécurité, de l’analytique, du traitement Big Data par exemple, les tentatives de violation des contrôles de sécurité de l'information afin d’attirer l’attention des équipes opérationnelles sur les infractions. Le RGPD exige en effet que les violations soient notifiées sous 72 heures. Aujourd’hui, les entreprises prennent généralement connaissance des effractions plus de 150 jours après les faits.

• Améliorer de manière significative le niveau de sécurité du code de l'application (sur le Web, le mobile, les PC ou les serveurs) en identifiant le code vulnérable et en fournissant automatiquement des conseils détaillés pour son assainissement dans le but de prévenir ses attaques. Selon nos études[1], 84 % des violations sont généralement dues aux vulnérabilités sur les applications. Il est primordial d’identifier les vulnérabilités en auditant le code des applications, en réalisant des tests de pénétration et les étapes de correction du code source existant au fur et à mesure de son écriture, tout en étant capable de protéger les applications en cours d’exécution contre d’éventuelles attaques.


Des opportunités de croissance

Bien que le RGPD s’apparente à un cauchemar réglementaire, il comporte des avantages importants pour les entreprises exerçant leur activité en Europe.


Un avantage concurrentiel

Il y a une réelle opportunité pour les entreprises, au cours des 2 prochaines années, d’adopter une approche holistique de la sécurité informatique et des données, ainsi que de la gestion de l’information.

Dans l’univers économique actuel, une protection optimisée de l’entreprise numérique est vue comme un avantage concurrentiel. Les entreprises qui sauront saisir cette opportunité pourront accélérer leur activité numérique en toute confiance et mieux protéger leur marque et leur image.

Selon le cabinet Forrester[1], la confidentialité constitue un moyen pour les entreprises de bâtir une relation de confiance avec leurs clients ; elle permet de les fidéliser et d’accroître le chiffre d’affaires.


Refonte et homogénéisation du système de sécurité

Il s’agit d’une opportunité idéale pour les organisations de revoir leur politique de sécurité globale, en vue de comprendre les processus et les contrôles devant être mis en place pour la protection de la vie privée des citoyens de l'UE.
Le règlement peut en effet éliminer les nombreuses incohérences dans le patchwork des lois nationales sur la sécurité et la protection de la vie privée qui complexifient les affaires en Europe. Il peut également éliminer les coûts associés aux multiples autorités de protection des données.

En effet, les exigences réglementaires et législatives, variées et complexes, constituent un défi d’interprétation pour toute entreprise, et à fortiori tout individu. Si vous intervenez au-delà des frontières, cette complexité augmente de façon exponentielle. Ajoutez à cela des mandats plus stricts et des amendes reposant sur le chiffre d’affaires global : la nécessité de prouver sa conformité devient alors critique.

Enfin, le RGPD peut fournir la clarté nécessaire à l'utilisation des technologies que de nombreuses entreprises utilisent désormais, comme les réseaux sociaux, le cloud computing et le big data. Il peut fournir des conseils pour l'utilisation de nouvelles idées comme l'économie comportementale et le neuromarketing. Et du point de vue de vos clients, cela garantira une plus grande protection de leurs données personnelles.


[1] Source : State of Security Operations, 2017 report of capabilities and maturity of cyber defense organizations.

Contactez cette société ou un revendeur de ces produits.
Les 10 derniers articles
Les 10 derniers articles
Services
Ingram
Top 10Top 10 du jourTop 10 de la semaineTop 10 du mois
 La vidéo du moment
FlashITRmobilesITRgamesITchannel
Commentaires