La cybersécurité est une discipline large qui englobe de nombreux services dont l’objectif est l’élévation du niveau de sécurité des systèmes d’information. Il existe donc de nombreuses façons d’aborder le sujet de la cybersécurité au sein de votre organisation. Sa mise en conformité avec le règlement européen en matière de protection des données (RGPD) est une façon intéressante d’introduire de bonnes pratiques au sein de votre organisation.
Mettre en œuvre la cybersécurité dans mon organisation grâce à la conformité RGPD
Votre décision est prise ! Face à l’augmentation des cybermenaces, vous ne voulez pas être pris au dépourvu. Il est hors de question de payer une rançon à des hackers ou de subir un arrêt de vos systèmes d’information avec tout ce que cela implique en terme de chômage partiel, d’arrêt de votre activité et de perte de chiffre d’affaire.
Bien. Mais par où commencer ?
Comme vous le savez peut-être, on parle aujourd’hui de 50 à 60 % des entreprises qui feraient faillite après une cyberattaque. Si vous ajoutez à cela des difficultés économiques préexistantes, vous obtenez par exemple la cas emblématique de l’entreprise Camaieu qui a vu son site e-commerce être attaqué et fortement impacté au point que le site est resté plusieurs jours hors ligne.
Pour commencer à intégrer la cybersécurité à votre organisation, il peut être intéressant de commencer par traiter le sujet de la conformité au règlement général sur la protection des données (RGPD). Le RGPD est un sujet à part entière de la cybersécurité. Si vous n’avez pas encore saisi le sujet à bras le corps et que votre organisation traite de nombreuses données clients par exemple, c’est peut-être l’opportunité pour vous de mettre votre entreprise en conformité. Ce sera l’occasion de mettre en œuvre vos premières mesures de cybersécurité.
La mise en conformité avec le règlement européen va vous obliger à cartographier tous vos traitements de données personnelles, y compris les plus sensibles. Vous allez commencer à organiser une gestion de ces données et prendre des mesures pour les protéger. Il est important de rappeler que le RGPD vous demande d’adopter des mesures de sécurité à l’article 32 : « […] le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres selon les besoins:[...] ». S’ensuivent alors des recommandations pour la pseudonymisation et le chiffrement des données, la nécessité de mettre en place des mesures pour protéger la confidentialité, l’intégrité et la disponibilité de systèmes d’information, etc.
Cet article 32 revêt une grande importance et il n’est pas rare que des condamnations de la CNIL reposent sur le fait que l’organisation n’a pris de mesures suffisantes pour assurer la sécurité des données.
Dans certains cas, le RGPD exige que vous meniez une analyse d’impact sur la protection des données (AIPD). Cette analyse d’impact vous oblige à mener une première analyse de risques propre aux traitements de données personnelles. De cette analyse émergera un plan de traitement de ces risques et des propositions de remédiations des risques analysés. Cette analyse est l’occasion de prendre conscience des risques auxquels votre société est exposée et de prendre les moyens de les réduire.
Par la suite, cette analyse pourra être étendue à l’ensemble du système d’information de votre entreprise selon différentes méthodologies qui permettront de traiter les risques de façon adéquate.
Vous l’aurez compris, la mise en conformité de votre organisation avec le RGPD est une façon parmi d’autres de mettre en œuvre les bonnes pratiques et mesures en matière de cybersécurité au sein de votre organisation.