(0)
Bonnes pratiques

Qui sera vraiment garant de la protection des données au sein de l’entreprise ?

  • Fortunato Guarino
    Consultant cybercriminalité chez Guidance Software

En mai prochain, les entreprises françaises n’auront plus qu’un an pour se conformer au Règlement Général sur la Protection des Données (RGPD). Destiné à renforcer la protection des données personnelles numériques mises à mal par de nombreuses menaces liées à la montée en puissance du Cloud, la menace interne ou autres malwares, le RGPD est une évolution majeure de l’ère digitale dans laquelle nous vivons. Souvent critiquée, l’Europe a été capable de concevoir un règlement allant dans le sens de la protection de la vie privée de ses citoyens. Ce règlement va dans le bon sens, et nous ne pouvons qu’applaudir l’initiative.

Mais dans le monde formidable de la loi et de l’entreprise, nous savons bien que rien n’est jamais aussi simple. Ce Règlement ne fait pas exception : les exigences imposées aux entreprises sont bonnes, toutefois leur application ne sera pas si simple. Les failles de données ne seront pas mises aussi facilement du jour au lendemain sur la place publique.

Le RGPD, un bon texte en faveur de la protection de la vie privée numérique

Aux Etats-Unis, c’est une tout autre page de l’histoire numérique qui s’écrit. Le Sénat vient de valider le droit pour les fournisseurs d’accès Internet et Télécoms de vendre les données qu’ils détiennent sur leurs clients. Quel coup porté à la protection de la vie privée numérique ! En Europe, le RGPD devrait permettre l’inverse grâce à une série de mesures telles que le droit à l’oubli, ou encore l’obligation pour une entreprise d’informer ses clients de toutes failles ayant entrainé le vol de leurs données personnelles.

Pour les entreprises, l’incitation à déclarer les failles va être beaucoup plus importante. Et sur un plan financier, le Règlement va taper fort. Le RGPD va avoir un effet beaucoup plus dissuasif sur les entreprises françaises que les amendes infligées par la CNIL. En 2016, la plus grosse amende infligée par la CNIL pour un cas de fraude s’élevait à 150 000 euros. Pour une société comme Google, l’effet n’a pas de quoi être vraiment dissuasif. La loi d’Axelle Lemaire sur la République numérique a porté le montant des amendes à 3M€, ce qui est un premier pas en termes de relativisation du risque IT de non-conformité et de ses conséquences financières. Désormais lorsque l’on parle d’amendes pouvant atteindre 4 % de son chiffre d’affaires global, il y a de quoi commencer à faire sérieusement réfléchir un Directeur Administratif et Financier, un Directeur juridique ou un PDG.

La « révolution » va prendre du temps

Regardons maintenant le revers de la médaille, c’est à dire ce qui fait qu’en étant tout à fait pragmatique, le RGPD ne va pas révolutionner la protection des données personnelles du jour au lendemain.

Tout d’abord, comme c’est encore souvent le cas en matière de cybersécurité, les entreprises ont tendance à se dire que la probabilité qu’une faille et qu’une enquête viennent à les concerner est faible. Le montant des amendes va amener les entreprises à réfléchir, mais il y a fort à parier que celles qui vont réellement se pencher sur la mise en conformité avec le RGPD va rester minime dans un premier temps. A un an de la mise en application du règlement, le constat dans les entreprises françaises est qu’elles sont encore loin d’être prêtes, voire même inquiêtes de leur mise en conformité. Aujourd’hui, les entreprises n’ont pas pris la mesure de l’enjeu financier du RGPD. Reste à savoir si les autorités vont se montrer conciliantes dans un premier temps ou au contraire si elles vont vouloir montrer l’exemple ? Dans ce cas, mieux vaut être prêt dès mai 2018. L’exemple de Yahoo doit marquer les esprits : avec trois failles majeures détectées la même année, le RGPD en vigueur aurait coûter très cher, littéralement jusqu’à 60 millions de dollars ou 3 fois 4 % du CA global de la société.

  • Sans statut de salarié protégé, le DPO ne peut pas prétendre à des pouvoirs étendus :

Mais la principale problématique du RGPD se pose du côté du rôle du Data Protection Officer, ce nouveau poste dont toutes les administrations et les entreprises effectuant « du suivi régulier et systématique des personnes » (profilage par exemple) et « traitant des données sensibles à grande échelle », devront être pourvues à partir du 25 mai 2018. Le poste de DPO n’est pas complètement nouveau puisqu’il est l’évolution du poste de CIL actuel (Correspondant Informatique et Libertés).

Le RGPD prévoit que le DPO ait des pouvoirs étendus par rapport au CIL et qu’il soit un contact direct vers les autorités pour les problématiques de protection des données. Disons le franchement, ce point est totalement illusoire. Le DPO n’aura jamais plus de pouvoir que le CIL actuel, tout simplement car il n’est ni un lanceur d’alerte, ni un salarié protégé par la loi.

Concrètement, si un DPO dénonce une faille de données au sein de son entreprise auprès des instances judiciaires, il a peu de chance de conserver son poste sur le long terme. De la même manière, l’obligation de déclaration des incidents sous 72h est une bonne chose sur le papier. Mais le DPO ne pourra pas se permettre d’être le lanceur d’alertes aussi préjudiciables pour son entrepirse. De plus, avant de reporter un incident, l’entreprise va vouloir investiguer en interne, tenter de remédier l’incident elle-même pour éviter un scandale.

Sans un statut de salarié protégé, le DPO ne pourra pas mener le rôle qui lui est promis par le RGPD.

  • Chantage à la déclaration de failles, une dérive possible ?

Si le DPO n’a pas les mains complètement libres pour déclarer des failles, d’autres pourraient se servir de cette opportunité à des fins malveillantes. En effet, un peu à l’instar des ransomwares, des cybercriminels pourraient rechercher des failles de données ou créer ces failles, et réclamer des rançons auprès de l’entreprise, avec pour promesse de ne pas les dénoncer aux autorités. La détection des failles est tendance avec l’apparition des plateformes de bug bounty. Cette forme de cybersécurité va t-elle devenir demain une pratique criminelle ? Avec le montant des amendes établies dans le cadre du RGPD, la question se pose.

Le RGPD va certainement permettre d’infliger quelques amendes à des grands groupes ne respectant pas les règles et peut-être permettre une prise de conscience plus importante de la part des entreprises. Mais les entreprises ne respecteront pas le RGPD parce qu’il y a une loi, elles ne feront – si elles le font – parce que le principal enjeu pour elles reste leur crédibilité sur leur marché et leur image vis-à-vis de leurs clients. C’est un enjeu crucial pour les les banques, l’industrie, les télécoms par exemple.

La sécurité est un faire-valoir pour les entreprises aujourd’hui. C’est cela que les entreprises doivent comprendre et non pas juste voir ce règlement comme une énième sanction potentielle pour eux. Plutôt que d’infliger des amendes dès qu’une faille apparaît, le réel enjeu serait plutôt de se doter de moyens d’investigation numérique et de remédiation pour être capable de récupérer les preuves légales d’une attaque et de définir quelles ont été les failles et comment les combler rapidement

Biographie

Fortunato Guarino est Consultant cybercriminalité et protection des données, pour la région EMEA, au sein de la société Guidance Software depuis 2016. Avant de rejoindre Guidance, Fortunato a travaillé pendant plus de 18 ans dans le milieu de l’informatique, occupant plusieurs rôles, Responsable de la Sécurité des Systèmes d’Information (RSSI), Responsable division cybersécurité, Consultant eDiscovery et expert IT auprès de Cours de justice. Fortunato est titulaire d’un Master IT de l’Université de Jussieu, d’un master en politique de l’Université Sorbonne ainsi que d’un Master en économie également obtenu à La Sorbonne.

(0)

Commentaires (0)

Pas encore de commentaires

Commenter cette page

Votre adresse de messagerie ne sera pas publiée.