Comment se préparer au GDPR

Le compte à rebours a commencé! Le règlement général sur la protection des données, alias GDPR, sera appliqué dans l'UE le 25 mai 2018, ce qui signifie que les entreprises n'ont même pas une année entière pour se préparer à son effet. Pour de nombreuses organisations, cela va être une tâche énorme car d'un côté, elles doivent modifier leurs processus et techniques actuels pour se conformer à la nouvelle réglementation. Cette dernière doit également faire quelque chose de plus pour faire face aux défis posés par cette nouvelle loi. produire.

Si votre entreprise travaille avec l’Europe ou s’occupe plus particulièrement des données à caractère personnel des citoyens de l’UE, il est temps de commencer à réfléchir aux moyens de faire face à cette situation. Non, le but de cet article n’est pas de vous effrayer, mais de ne pas oublier que les sanctions pour violation de cette loi peuvent être très lourdes. Cela peut même vous coûter 4% de votre chiffre d’affaires annuel international.

La préparation au GDPR devrait être une activité interfonctionnelle, car les domaines juridique, informatique et de la surveillance ont tous un rôle à jouer. La partie la plus difficile du cours consiste à comprendre et à comprendre les 99 articles et les 173 considérants (étant donné que le contenu est purement constitutionnel et prolixe, vos compétences en lecture ne peuvent pas faire grand chose). Oui, nous savons que c’est énorme, mais grâce au plan en 12 étapes de l’OIC, les entreprises peuvent désormais se préparer facilement à l’assistant.

Pourquoi le GDPR est-il important?

Nous vivons dans un monde où nous sommes supposés fournir des données personnelles de temps en temps dans le cadre d’une transaction en ligne. Que vous réserviez un vol en ligne ou que vous contactiez des connaissances sociales, que vous accédiez à votre compte ou que vous achetiez une petite chose (oui, même si vous achetez une paire de chaussettes en ligne, vous devez fournir au site votre identifiant de messagerie). pour transférer vos données personnelles.

Nous sommes d’accord sur le fait que nous vivons dans un monde connecté et que le partage de telles informations est inévitable, mais cela ne signifie pas nécessairement que nous ne devrions pas nous inquiéter pour notre vie privée. Le GDPR est présenté pour donner aux colons de l’UE plus de clarté et un meilleur contrôle sur cette préoccupation.

Cela simplifie non seulement l'environnement réglementaire, mais met également la sécurité de l'information au premier plan, ce qui n'est évidemment pas une mauvaise chose.

Nous espérons que si vous parcourez cet article, c’est uniquement parce que vous recherchez des solutions, de l’aide et des conseils pour vous aider à planifier et à poursuivre. Bien qu'aucun programme ou fournisseur de services spécifique ne puisse garantir un remède magique pour le GDPR, nous pouvons certainement vous aider à répondre à certaines des préoccupations fondamentales en matière de protection des données.

Un guide pour commencer

Se conformer au GDPR n’est pas une chose facile. C’est un processus complet qui exige que vous compreniez exactement le domaine dans lequel les données personnelles sont localisées, les groupes de données personnelles que vous avez acquis ou contrôlés, et par qui et par quelle méthode elles ont été abordées. Effectuer vos évaluations d'impact sur la vie privée est une excellente idée. En outre, les procédures permettant d’obtenir le contrôle, l’identification des incidents, les réactions, les avertissements en cas de violation, etc. devront également faire l’objet d’un réexamen et d’une pratique. Pénaliser avec une amende de 20 millions d’euros n’est pas quelque chose qu’une entreprise voudrait faire tourner. En fonction de la taille de votre entreprise, une pénalité de ce poids pourrait rapidement constituer un point de fermeture.

La bonne nouvelle est de prouver la conformité, de réduire les risques et d’établir des mesures de sécurité extraordinaires: voilà les aspects qui font l’objet d’une enquête si vous avez la malchance de subir une faille informatique. Mais, dans l’ensemble, ne pas être dissocié est une bonne chose, et nous sommes convaincus que vous l’admettrez, c’est donc exactement là que votre position en matière de sécurité intervient pour votre sauvetage.

Qui est responsable?

Se préparer pour le GDPR est une obligation pour l’ensemble de la société. Il influence les départements de différentes manières.

Département légal

Le plus important d'entre eux est un service juridique. Il serait crucial pour une équipe juridique de concentrer son attention sur des domaines particuliers au lieu d’essayer de tout gérer. Les négociations d'approvisionnement et le traitement des contrats doivent être effectués régulièrement pour s'assurer que les fournisseurs sont d'accord et que les choses se passent bien.

La finance

La réglementation récente aura également une grande influence sur le fonctionnement des procédures comptables et financières au sein d’une organisation. Des quantités énormes de données confidentielles peuvent passer sur ce département, et les lourdes sanctions du GDPR seront promulguées aux organisations qui ne parviennent pas à protéger ce pilier.

Ventes et Marketing

Le département des ventes et du marketing est censé être au premier plan en ce qui concerne le traitement des données client. Ce service doit sécuriser son équipe de marketing s’adresse aux clients qui ont choisi de récupérer le contenu contenant du texte clair et évident.

Ressources humaines

Le récent RGPD renforcera les droits des travailleurs en leur permettant de renforcer la sécurité de leurs données personnelles. L’ensemble de la division doit donc être en règle avec les données du travailleur.

Informatique

Ce département constitue la base du cadre général du GDPR. Les logiciels internes devront être faciles d'accès. La sécurité des données sera primordiale et ce secteur doit donc accorder une attention particulière au cryptage et à l'authentification des données.

Comment sécuriser votre environnement?

· Cryptage des données

Cela nécessite que vous vous concentriez sur les données au repos et en mouvement. En utilisant le cryptage des données, vous n’avez plus besoin d’informer les personnes concernées en cas de violation. Nous vous suggérons de parler à votre partenaire pour connaître les différentes solutions disponibles sur le marché. N'oubliez pas de consulter l'article 34 pour en savoir plus à ce sujet.

· Système de gestion de la vulnérabilité

Détenir un système de vulnérabilité vendu est une nécessité dans l’environnement complet, car il renforcera la confidentialité et la probité. Consultez l’article 32 pour mettre la main sur les détails.

Faire des sauvegardes

La sauvegarde et la restauration des données sont des aspects importants de la réussite d’une entreprise. Non seulement agit-il comme un ange gardien en cas d'intrusion inexorable dans une rançon, mais offre une protection générale contre les défaillances de stockage, les catastrophes naturelles et même une tasse de thé renversée sur le système (il est toutefois toujours préférable de guérir, il est donc bon idée si vous optez pour un canapé reposant miles de votre ordinateur portable pour boire votre boisson préférée). En outre, il est également important d’inclure la gestion de la reprise après sinistre dans votre liste, quelle que soit la réglementation à prendre en compte.

· Protégez vos applications Web

La confidentialité par conception devrait être intégrée à la structure et aux processus. N'oubliez pas que si vous collectez des données personnelles via une application Web et que vous utilisez toujours du texte en clair ou du code HTML, vous avez déjà de gros problèmes.

· Détecter rapidement les contrevenants

Détecter que vous avez été enfreint 4 mois après que cela se soit produit ne vous sera d'aucune utilité. Recherchez les options qui peuvent vous aider à identifier les informations d'identification compromises au début, afin de pouvoir interroger et restaurer rapidement.

· Tests de stylo

Conformément à l'article 32, vous devez vous doter d'un système d'examen de routine, d'évaluation et d'appréciation de l'efficacité des mesures de sécurité. Pour ce faire, vous pouvez opter pour des outils tels que Metasploit Pro ou engager une équipe de professionnels pour effectuer ces tests à votre place.

· Placez des pièges

L'utilisation des technologies de déception est également une excellente idée. Le déploiement de ces outils peut aider à détecter les attaquants dès qu'ils commencent à explorer votre système et à définir des procédures pour accéder à vos données personnelles importantes.

· Programmes basés sur le cloud

L’un des moyens de valider votre visibilité sur des services sanctionnés ou non autorisés consiste à opter pour des programmes en nuage qui non seulement aident à sécuriser ces services, mais également à protéger les données qu’ils contiennent.

· Prendre des mesures rapides

Une fois que vous savez que vous êtes au milieu d’une intrusion, contactez immédiatement une équipe de réponse aux incidents pour limiter les dégâts et accélérer le contrôle.

Se préparer au changement - Réflexion finale

Les modifications apportées aux pratiques actuelles prendront certainement du temps, en particulier pour les grandes installations et les grandes organisations. Qu'il soit grand ou petit, le fait est que vous ne pouvez pas ignorer cette loi et que vous ne pouvez pas vous permettre de vous tromper. En outre, il ne s'agit pas uniquement de pénalités et d'amendes lourdes, mais également de la protection des données personnelles de votre client.

Êtes-vous prêt à relever le défi? Quels préparatifs avez-vous préparés pour ce nouveau règlement? N'hésitez pas à laisser vos commentaires dans la section commentaires ci-dessous. Nous aimerions avoir de retour!

par Oleksandr Knyga, ingénieur logiciel
avec l'aide de Dima Dmytriienko, éditeur et spécialiste de la marque