Pourquoi la cybersécurité est négligée dans la conformité au RGPD ?



En 2019, la CNIL a procédé à 300 contrôles et prononcé 8 sanctions, dont la plus lourde jamais prononcé par la CNIL (50 Millions € contre Google LLC). La sécurité des données personnelles était un des motifs principaux de sanctions.

Mais force est de constater que beaucoup d'entreprises, dans leur démarche de conformité au RGPD, néglige encore l'aspect sécurité des traitements.


Pourquoi la cybersécurité est négligée dans la conformité au RGPD ?


L'une des raisons de cette négligence est la constituion des équipes en charge de la mise en conformité.

Pour mener à bien un programme de mise en conformité au RGPD et pour assurer cette conformité dans le temps, il est indispensable de combiner des profils juridiques (le RGPD est un règlement) et techniques (en particulier sécurité, car la sécurité des traitements est l'un des points clés de la conformité).

Mais bien souvent, que ce soit par manque de moyen ou méconnaissance, le projet est confié à une équipe constituée uniquement de juristes, sans aucun apport de compétences cybersécurité.

Cela induit naturellement un biais dans la façon dont est abordée cette conformité, car de même que l'on ne s'improvise pas juriste ou avocat, il est difficile de compenser l'absence d'expérience en cybersécurité par quelques cours en ligne.


La seconde raison est bien souvent liée à la façon dont la cybersécurité est perçue. Pour encore beaucoup trop de personnes (y compris des professionnels IT), cybersécurité équivaut à installer des firewall et des antivirus. Pour d'autres encore, cybersécurité est équivalent à cyber attaque et de leur point de vue, leur activité n'intéresse pas les hackers.

Mais la cybersécurité est bien plus que cela. Pour faire court, cela implique aussi se prémunir contre les erreurs humaines (comme par exemple envoyer un fichier à la mauvaise personne ou donner accès à des informations sensibles à la mauvaise personne) ou la malveillance interne (l'ex-employé mécontent qui, avant de quitter la société, supprime des bases de données en production).

Enfin, l'un des problèmes récurrents est que la cybersécurité et vue comme un sujet qui ne concerne que l'équipe sécurité. Or, la contribution de tous, au sein de l'entreprise, est nécessaire pour garantir la sécurité des données. Chaque projet doit intégrer les règles et mesures de sécurité, pour garantir que les données et traitements sont toujours sécurisés. Chaque collaborateur doit, à son niveau, adopter les bons réflexes pour contrer les menaces cybersécurité, qu'elles soient internes ou externes, malveillantes ou non.



Comment y remédier ?


L'une des premières actions à mener, pour s'assurer que la sécurité des traitements est prise en compte dans votre conformité a RGPD, est de vous assurer que les experts cybersécurité sont bien impliqués dans les travaux de conformité au RGPD. Si en plus vous en avez la possibilité, mettez en place une équipe constituée à la fois de profils juridiques et cybersécurité, pour piloter cette conformité.


Vous pouvez aussi réaliser des actions de sensibilisation des collaborateurs. Mieux ils comprendront les enjeux et ce qui est attendu d'eux; mieux ils contribueront. En bonus, ces actions de sensibilisation serviront au-delà de la conformité au RGPD, car elles vous permettront de renforcer la cybersécurité de votre entreprise.


[Replay]Webinar : Fondamentaux de la cyber résilience

+33 1 73 29 32 04

©2020 par Stratechno.  Vos données