RGPD : les technos pour respecter la réglementation

C'est un tournant majeur pour bon nombre d'entreprises ayant des activités numériques. Plus aucune fuite de données personnelles n'est désormais tolérée, sous peine d'une lourde amende. C'est ce que prévoit le règlement général sur la protection des données personnelles (RGPD), qui est entré en vigueur en Europe ce 25 mai 2018. Une échéance sur laquelle nous avons attiré l'attention de nos abonnés dès le mois de juin 2017. Nous vous proposons aujourd'hui de redécouvrir notre analyse des enjeux technologiques de cette réglementation, parue l'an dernier dans notre édition n°1000. 

Partager
RGPD : les technos pour respecter la réglementation
Internet security

Nous sommes fin 2016. Yahoo! confesse publiquement avoir subi en août 2013 un piratage qui a compromis les données personnelles d'au moins un milliard de comptes clients. C'est la seconde fois que la société référence un tel événement, puisque celle-ci avait également dévoilé un premier piratage de 500 millions de comptes utilisateurs. Même si Yahoo! enregistre le plus gros vol de données jamais connu, ce n'est pas la seule entreprise, loin s'en faut, à être victime de hackers. On peut parler également de MySpace, Sony Pictures et bien d'autres.

Si le règlement européen sur la protection des données (RGPD) était entré en vigueur à ce moment-là, les sociétés piratées auraient écopé d'une très lourde amende. En effet, à compter du 25 mai 2018, aucune erreur sera permise. Car il en va de la responsabilité des entreprises de protéger les données personnelles qui transitent par leur système d'information. Et pour responsabiliser ces acteurs « traitant ou sous-traitant » de la donnée, la peine financière pourra désormais s'élever jusqu'à 4 % de leur chiffre d'affaires. « La réglementation européenne est l'aboutissement d'une prise de conscience générale des enjeux de la vie privée qui est directement liée à la transformation digitale de la société. Les attaques qui ont eu lieu ont accéléré sa mise en place », explique Stanislas de Maupeou, responsable cybersécurité de Thales. « Sommes-nous en paix ou en guerre ? », s'interroge Cyrille Badeau, directeur Europe du Sud chez ThreatQuotient. « Si l'on recense un événement de sécurité tous les deux mois, on peut considérer que nous sommes en période de paix. En revanche, si on enregistre un incident toutes les semaines, on est en période de guerre et on a intérêt à avoir un pôle de renseignement opérationnel. »

S'armer d'outils de défense

L'analogie avec la guerre n'est pas anodine : les étapes de la chaîne de défense sont clairement calquées de la Défense nationale. Cyrille Badeau en énumère quatre : la défense en profondeur, la surveillance, le renseignement et la reconnaissance. « Tout le monde s'est arrêté au pilier de surveillance, mais la posture de défense correspond à une période de paix, souligne-t-il. Si on est en guerre, on a des adversaires et on ne va pas attendre une attaque pour décider de s'adapter. On va chercher à anticiper. »

Récemment, ThreatQuotient s'est armé de partenaires technologiques - Sopra Steria - qui utilise la plateforme ThreatQ. « Une solution de threat intelligence permet d'avoir une meilleure connaissance de la menace, des profils d'attaquants et des niveaux de détection », ajoute Stanislas de Maupeou, responsable cybersécurité chez Thales et également utilisateur de la plateforme. C'est aussi sur un terrain d'attaques informatiques que Vincent Riou, ancien de la défense et actuellement directeur du centre d'entraînement opérationnel à la cybersécurité Bluecyforce, forme ses stagiaires. Venant tous de services dédiés à la cybersécurité de leur entreprise, les collaborateurs s'entraînent sur des écrans. Les uns forment la « Blue team » et sont chargés de la protection. Face à eux, la « Red team » : des hackers éthiques, qui mettent leurs connaissances au service de la protection des entreprises.

Former à la gestion de crise

« Nous proposons de montrer aux employés ce que des hackers sont capables de faire sur de vrais systèmes informatiques, et on les forme à gérer la crise », précise Vincent Riou. « Le logiciel que l'on utilise provient d'ailleurs du ministère et y est encore utilisé. Ce sont des technologies éprouvées depuis une dizaine d'années. » Bluecyforce a été créé par le CEIS et la PME bretonne Diateam. Le centre collabore sur les parcours pédagogiques qu'il propose avec une vingtaine de partenaires technologiques français ou étrangers. L'homme nous confie qu'il existe un vrai défi sur la sécurité des usines équipées des systèmes Scada. « L'offre technologique est bien moindre sur la partie système industriel, même s'il existe de bonnes choses au niveau français. » Jean Larroumets, président et directeur général d'Egerie Software, confirme : « Les compétences et les interlocuteurs sur le domaine sont faibles. Les industriels vont devoir réaliser une analyse de risque pour connaître l'impact sur les processus des données personnelles, et la plupart d'entre eux n'ont pas encore commencé. » Une analyse de risque est une étude d'impact des dangers qui pèsent sur les systèmes d'information et peuvent aboutir à une fuite de données. « Pour s'en protéger, on peut mettre en place des mesures techniques, telles que l'anonymisation, le contrôle d'accès, le filtrage des flux, le chiffrement des données, l'authentification, le contrôle d'intégrité, ou encore la traçabilité. »

Pourquoi les données personnelles sont-elles particulièrement visées ? « Il existe des attaques dont l'objectif premier est d'avoir des données personnelles. Une fois obtenues, on va envoyer des attaques de phishing afin de piéger le collaborateur. On commence par les informations personnelles pour ensuite avoir d'autres informations par ailleurs. Plus exactement, plus on connaît la personne, plus on est crédible. Mais ensuite, il sera question d'attaquer l'entreprise. » Et pour se protéger, les solutions sont bien présentes. Ne reste plus qu'à mettre l'ensemble en place. Le compte à rebours est lancé...

EN CHIFFRES

80 % des entreprises ont été victimes d'au moins une cyberattaque. (Source : Cesin, 2016)

87 % des cyberattaques subies par des entreprises françaises proviennent de pirates agissant depuis la France. (Source : ThreatMetrix, 2015)

773 000 € C'est le coût moyen d'une cyberattaque pour une entreprise. (Source : NTT Com Security, 2016)

 

PARCOURIR LE DOSSIER

Tout le dossier

Sujets associés

NEWSLETTER L'hebdo de la techno

Nos journalistes sélectionnent pour vous les articles clés de l'innovation technologique

Votre demande d’inscription a bien été prise en compte.

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes...

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes du : Groupe Moniteur Nanterre B 403 080 823, IPD Nanterre 490 727 633, Groupe Industrie Service Info (GISI) Nanterre 442 233 417. Cette société ou toutes sociétés du Groupe Infopro Digital pourront l'utiliser afin de vous proposer pour leur compte ou celui de leurs clients, des produits et/ou services utiles à vos activités professionnelles. Pour exercer vos droits, vous y opposer ou pour en savoir plus : Charte des données personnelles.

LES ÉVÉNEMENTS L'USINE NOUVELLE

LES PODCASTS

Le rôle des jeux vidéo dans nos sociétés

Le rôle des jeux vidéo dans nos sociétés

Martin Buthaud est docteur en philosophie à l'Université de Rouen. Il fait partie des rares chercheurs français à se questionner sur le rôle du jeu vidéo dans nos...

Écouter cet épisode

Les coulisses d'un abattoir qui se robotise

Les coulisses d'un abattoir qui se robotise

Dans ce nouvel épisode de La Fabrique, Nathan Mann nous dévoile les coulisses de son reportage dans l'abattoir Labeyrie de Came, dans les Pyrénées-Atlantiques, qui robotise peu à peu...

Écouter cet épisode

La renaissance des montres Kelton

La renaissance des montres Kelton

Le designer Vincent Bergerat donne une nouvelle vie aux montres Kelton. Dans ce nouvel épisode du podcast Inspiration, il explique au micro de Christophe Bys comment il innove et recrée l'identité...

Écouter cet épisode

Connecter start-up et grands groupes

Connecter start-up et grands groupes

Dans ce nouveau numéro du podcast Inspiration, Thomas Ollivier, fondateur du Maif Start-up Club, répond aux questions de Christophe Bys. 

Écouter cet épisode

Tous les podcasts

LES SERVICES DE L'USINE NOUVELLE

Trouvez les entreprises industrielles qui recrutent des talents

BUREAU VERITAS

Expert(e) naval - Jauge (F/H)

BUREAU VERITAS - 11/06/2022 - CDI - Saint Herblain

+ 550 offres d’emploi

Tout voir
Proposé par

ARTICLES LES PLUS LUS