GDPR: ceci n’est pas un oiseau de mauvaise augure mais une opportunité

Craignez-vous, vous aussi, l'arrivée du GDPR? Ou ignorez-vous ce qu'implique réellement ce Règlement général européen sur la protection des données (GDPR, en anglais) et ce que vous devez modifier d'ici le 25 mai 2018? Hésitez-vous à investir dès à présent du temps et de l'argent pour vous préparer à cette échéance parce que vous estimez que le vol ou la fuite de données personnelles n'aura de toute façon pas d'impact pour vous? C'est compréhensible mais il est toutefois plus malin de saisir l'occasion de cette nouvelle règlementation pour modifier et améliorer la protection des données, des systèmes et des produits IT.

Privacy & security by design

A l'occasion d'une table ronde lors de notre événement 'Co-Thinking about the Future' organisé avec l'Université de Gand, le professeur Bjorn De Sutter a défendu le concept de 'privacy and security by design'. Il consiste à tenir compte, lors du développement de services, de produits ou de systèmes, des paramètres de sécurisation et de protection des données personnelles et ce, dès le stade de l'idée de base et de la conception. Ces éléments font dès lors partie intégrante du concept-même.

« Soyez prêts à voir vos produits ou systèmes être attaqués - tôt ou tard », indiquait le professeur Bjorn De Sutter.

Et oui, cette préparation peut s'avérer onéreuse mais elle sera toujours moins chère et exigera moins de temps que toute tentative de rafistolage a posteriori. Ce principe fut illustré et confirmé lors de l'échange de vues intervenu, lors de la table ronde qui réunissait des responsables informatiques de plusieurs sociétés, le professeur Bjorn De Sutter et l'un de nos experts en sécurité.

Le blockchain est-il fait pour vous?

Dans certains secteurs, tels que le notariat, le blockchain ne constitue pas une solution de remplacement pour un registre central auquel vous confiez vos données afin qu'elles y soient conservées en toute sécurité. Par contre, le blockchain peut s'avérer intéressant pour des acteurs ne se faisant pas réellement confiance et pour ceux pour qui l'anonymat n'est pas un problème. Son avantage est d'éviter les coûts élevés que représentent une solution bricolée, les suppressions de données ou les modifications non autorisées. Les risques d'incidents portant atteinte à la vie privée s'en trouvent sensiblement minimisés.

De bonnes et de mauvaises nouvelles

La responsabilité légale qui incombe immanquablement aux fournisseurs de logiciels de sécurité ou d'autres produits ou services qui nécessitent une protection robuste est une arme à double tranchant. Votre société ou votre organisation seront, elles aussi, bientôt concernées par cette responsabilité légale. Quiconque collecte des données ou commercialise des produits ou des services doit être en mesure, à partir du 25 mai 2018, de garantir que ces données, produits et services sont correctement protégés. Vos clients ou vos prospects l'exigeront. Cette évolution se calque sur ce qui est déjà de mise dans le secteur aéronautique où un sous-traitant d'un constructeur d'avion ne peut être considéré comme fournisseur qu'à la condition qu'il soit en possession des certifications nécessaires prouvant qu'il ne risque pas de devenir le maillon faible dans la chaîne de fabrication de l'avion.

Le faire soi-même n'est pas synonyme de meilleure qualité

Le dernier conseil donné par le professeur De Sutter était de se faire assister par un spécialiste professionnel de la sécurité. Il faut être paré pour tous les scénarios et être prêt à gérer toute catastrophe éventuelle. Appuyez-vous sur des principes généralement reconnus et n'imaginez pas vous-même des montages créés de toutes pièces. Vous êtes loin d'être le seul à encore devoir prendre des mesures d'ici le 25 mai. Même si d'autres ont certainement pris de l'avance…

Vérifications et ceintures de sécurité

Soyons clairs: le GDPR est un excellent levier pour instaurer davantage de protection. Nous en avons d'ailleurs besoin, avec ou sans GDPR, ne pensez-vous pas? Se protéger est quelque chose d'aussi naturel que de mettre sa ceinture de sécurité: si vous ne le faites pas, vous en serez tenu responsable parce que l'abstention n'est désormais plus acceptable. De très nombreuses ressources existent qui peuvent vous expliquer comment mieux vous protéger. Il existe par ailleurs des outils qui vous permettent de vérifier que vous êtes suffisamment protégé et quels sont vos points faibles de telle sorte que vous puissiez les renforcer avant qu'un hacker ou qu'un collaborateur négligent ne vous oblige à faire face à la réalité 'the hard way'.