Vous êtes régulièrement en contact avec les clients. Quels sont leurs besoins en matière de GDPR ?
La principale demande de nos clients est de gagner en visibilité, c'est à dire de comprendre précisément ce qu'ils ont dans leur SI.
Nous leur proposons donc de réaliser un audit qui va permettre de déterminer où se trouvent leurs données à caractère personnel* et de préciser la nature exacte de leurs données sensibles.
Très souvent, les entreprises ne sont pas sensibilisées sur la sécurité et sur la traçabilité de leurs données ; il est fréquent que nos clients ne sachent pas combien de données de ce type sont stockées dans leur SI.
Il faut rappeler que la GDPR impose de déclarer la perte de données à caractère personnel à la CNIL, ce qui implique d'avoir une visibilité sur ces éléments afin de pouvoir communiquer leur perte éventuelle sous 72h.
L'audit répond ainsi à un double objectif : d'une part justifier auprès de la direction de l'entreprise les actions à mettre en place pour être en conformité avec la loi, et d'autre part, de justifier que l'entreprise a entamé les démarches nécessaires en engageant des moyens conformément aux obligations de la loi.
Nos clients nous sollicitent par exemple pour répondre à des besoins de classifications de données. C'est le cas notamment lorsqu'ils souhaitent isoler certaines données pour les sécuriser spécifiquement.
D'autres vont plus loin et souhaitent revoir intégralement leur stratégie de sécurisation pour protéger leurs données sensibles et confidentielles. On passe alors d'un besoin d'identification à un besoin de contrôle et de protection en auditant les droits d'accès.
Une fois l'audit réalisé, nos clients nous demandent de les accompagner dans la mise en place de solutions correctives afin de contrôler les données et de mettre en place une surveillance, une traçabilité continue sur leurs systèmes.
Mettre en place une traçabilité continue sur les données permet de savoir qui fait quoi et qui a accès à quoi et d'optimiser ainsi les droits et les comportements. Ces actions débouchent sur la mise en place de rapports récurrents et d'alertes permettant d'adresser la demande de déclaration de perte auprès de la CNIL.
D'autres enfin, nous demandent d'intervenir sur le chiffrement des données. Cette option présente un réel intérêt dans la mesure où les données non récupérables en clair sortent de la loi GDPR. En effet, si ses données sont chiffrées, l'entreprise n'est pas tenue de déclarer les incidents dont elle est victime dans les 72h.
Enfin, ces sujets débouchent sur des notions d'optimisation et dans ce cadre il arrive fréquemment que nos clients aient besoin de réorganiser leurs systèmes de stockage en fonction de la classification réalisée, pour être en conformité avec la loi.
Optrium intervient ainsi tout au long du process, de l'audit à l'intégration de solutions avec un accompagnement continu pour aider ses clients à se mettre en conformité.
(*nom, adresse mail, ip, n°SS, etc, tout ce qui permet de remonter à une personne physique, directement ou indirectement).
|
|
Vous accompagnez régulièrement les clients d'Optrium sur les problèmatiques liées à la GDPR, quels constats faites-vous lors de ces interventions ?La problématique est différente selon la taille de l'entreprise.
Dans les grandes entreprises, tout est souvent fragmenté, et personne n'a de visibilité globale. Les petites entreprises, elles, souffrent d'un manque de méthodologie. Les fonctionnalités du SI sont peu gérées en termes de sécurité (au sens GDPR) ou de conformité.
Le règlement GDPR/RGPD introduit une nouvelle obligation en ajoutant des contraintes au niveau législatif et financier, mais peut être vu également comme une opportunité pour les entreprises.
Optrium propose à ses clients de profiter du passage à la loi GDPR pour résoudre leurs problématiques antérieures. Nous apportons une méthodologie et une nouvelle façon de procéder. Il s'agit là de travailler un nouvel aspect du SI : la gouvernance des données, qui garantit la valeur de l'information et une meilleure protection.
Pour être en conformité avec la GDPR, il faut travailler sur les processus. L'audit technique répond au besoin de visibilité, révélant non seulement les failles mais également où se trouvent, entre autres, les données dites sensibles. C'est à partir de ce constat qu'Optrium initie les actions nécessaires à la remédiation et à la sécurisation.
Les outils fonctionnels dont sont équipées les entreprises ne proposent rien en matière de traçabilité, alors que les solutions proposées par les éditeurs ad hoc le permettent en s'appuyant sur de nouvelles technologies performantes qui font plus et mieux. L'audit réalisé par Optrium se fait à partir d'une solution de ce type.
Il est toujours suivi par une restitution écrite et orale permettant au client de décider du plan d'actions, à la fois pour se conformer à la GDPR et pour remédier aux failles détectées.
Optrium propose également d'effectuer les remédiations au travers de services professionnels ou via une formation sur la solution appropriée une fois acquise par l'entreprise.
Dans certains cas, la réponse à l'audit est purement du ressort de la méthodologie. L'entreprise devra alors changer ses comportements. Mais la solution peut également être technologique et une fois acquise, elle fait intégralement partie du process de contrôle des ressources.
Quand le traitement à effectuer au quotidien ne peut être effectué par l'IT, par manque de formation ou de ressources, Optrium propose un contrat en infogérance pour administrer et maintenir en conditions opérationnelles la gestion de la sécurité et de la conformité à la GDPR.
|