Conformité RGPD et Cybersécurité

Audit et Conseil pour votre conformité RGPD et Cybersécurité

Atava Conseils vous propose des services d’Audit et Conseil pour votre conformité RGPD et Cybersécurité à Strasbourg en Alsace. Avant d’aller plus loin, donnons tout d’abord quelques définition.

Conformité RGPD

Depuis le mois de mai 2018, le règlement européen de protection des données personnelles est entré en vigueur validé en décembre 2018 par la nouvelle loi Informatique et Libertés 3. Le RGPD est applicable dans les pays de l’Union. A toute entreprise dans le monde qui collecte, stocke et traite des données personnelles de citoyens européens dont l’utilisation peut directement ou indirectement permettre de les identifier.

Ainsi, la réforme de la protection des données renforce les droits des personnes. Elle responsabilise les acteurs traitant des données et crédibilise la régulation.

Cybersécurité

La cybersécurité consiste à protéger les ordinateurs, les serveurs, les appareils mobiles, les systèmes électroniques, les réseaux et les données contre les attaques malveillantes. On l’appelle également sécurité informatique ou sécurité des systèmes d’information.

Entreprise de Conseils en Ingénierie et Services Numériques

Candidat ? 

Notre équipe s’agrandit de jour en jour ! N’hésitez pas à nous faire connaître votre talent.

Entreprise de Conseils en Ingénierie et Services Numériques

Entreprise ?

A la recherche d’experts pour vos projets ? N’hésitez pas à nous contacter. 

RGPD et Cybersécurité, quel est le lien ?

L’approche d’Atava Conseils en matière d’Audit et Conseil pour votre conformité RGPD et Cybersécurité repose sur l’analyse de la Commission nationale de l’informatique et des libertés, la CNIL.

Selon elle, le RGPD est un instrument au service de la cybersécurité. En effet, l’obligation de sécurité, inscrite dans la loi depuis plus de 40 ans, a été renforcée par le RGPD. Elle est complétée de nouvelles obligations. Mais aussi d’outils comme la notification des violations, l’analyse d’impact sur la protection des données, les codes de conduite ou la certification.

Atava Conseils vous accompagne en matière de RGPD et de cybersécurité car la sécurité des données personnelles est, au-delà d’une obligation légale, un enjeu majeur. Pour tous les organismes publics et privés, ainsi que pour tous les individus. 

RGPD et Cybersécurité : un accompagnement spécifique des TPE/PME

Le Règlement européen sur la protection des données, implique de mettre en place des process de sécurité précis. En particulier pour les données personnelles. Tous les métiers et toutes les entreprises sont concernés. C’est un vaste chantier qu’il faut donc lancer sans tarder dans votre entreprise.

Mais pour qu’une politique de sécurité soit efficace, il est nécessaire d’avoir en préambule, une cartographie exhaustive des supports internes et externes stockant des données. Mais s’il est donc important pour l’entreprise d’avoir une vision globale du système informatique, la démarche n’est pas facile. Combien en effet de dirigeants de TPE/PME disposent d’une vision globale de leur Système d’Information (SI) ? Pourtant, « l’employeur est responsable de la sécurité des données personnelles de son entreprise. Y compris lorsqu’elles sont stockées sur des terminaux dont il n’a pas la maîtrise physique ou juridique ».

Sans une vision à 360° de son SI, une entreprise ne peut pas mettre en place une politique de sécurité qui soit pérenne;

C’est pourquoi Atava Conseils, grâce à ses compétences en matière ITd’audit de site web, et de gestion de projets propose des services  de conseil pour votre conformité RGPD et Cybersécurité agile et adaptée aux TPE/PME.

RGPD et Cybersécurité.

Sans être exhaustif, le RGPD rappelle que les entreprises doivent s’appuyer notamment sur :

  • Des techniques de chiffrement des données et des connexions (stockage et échanges).
  • L’authentification forte (certificat électronique, carte à puce…).
  • Des solutions permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique.
  • Des procédures visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

RGPD et Cybersécurité : les enjeux.

Le RGPD est le seul texte qui impose des obligations de cybersécurité précises, de façon transversale, et soumises au pouvoir de contrôle et de sanction d’une autorité administrative.

Tous les organismes sont aujourd’hui touchés par les attaques, quels que soient leur taille ou leur secteur.

  • 5037 notifications de violation de données en 2021. + 79 % par rapport à 2020.
  • Plus de 2 150 notifications de violations reçues en 2021 résultent d’une attaque par rançongiciel, soit 43 % du volume total.
  • La moitié des sanctions prononcées par la CNIL en 2021 vise des manquements à l’obligation de sécurité.

En fait, selon les données de la CNIL, le piratage informatique en 2021 représente :

  • 59 % du total des notifications adressées à la CNIL, soit 3 000 notifications. (+ 128 % par rapport à 2020).
  • 43 % des notifications reçues concernent une attaque par rançongiciel.

RGPD et cybersécurité : les notifications de violation de données

Le RGPD définit une violation de données personnelles comme « une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données. »

Il s’agit en fait de tout incident de sécurité, 

  • D’origine malveillante ou non
  • Se produisant de manière intentionnelle ou non.
  • Ayant comme conséquence de compromettre l’intégrité, la confidentialité ou la disponibilité de données personnelles. 

Par exemple :

  • La suppression accidentelle de données médicales conservées par un établissement de santé et non sauvegardées par ailleurs.
  • La perte d’une clef USB non sécurisée contenant une copie de la base clients d’une société.
  • L’ntroduction malveillante dans une base de données scolaires et modification des résultats obtenus par les élèves.

Nature et causes des violations notifiées

80 % des notifications de violations reçues par la CNIL concernent une perte de confidentialité. C’est-à-dire une intrusion par un tiers qui peut prendre
connaissance des données, voire les copier.

Le RGPD considère qu’une violation de données personnelles peut aussi résulter d’un incident de sécurité engendrant une perte d’intégrité et de disponibilité. Pour autant, les statistiques montrent que ce type de violation de données reste encore méconnu des responsables de traitement.

Toutefois, même si elles demeurent marginales par rapport aux notifications de perte de confidentialité, la CNIL constate une nette progression des notifications liées à une perte d’intégrité (données modifiées illégiti- mement) et de disponibilité (données inaccessibles pendant un certain temps). Cette évolution est notamment due à la progression des violations résultant d’une attaque par rançongiciel.

Par ailleurs, l’obligation de notification à l’autorité de contrôle d’une violation de données concerne les violations ayant une origine accidentelle ou illicite. La majorité des notifications reçues par la CNIL en 2021 concerne une violation de données ayant pour origine un acte externe malveillant (piratage, vol d’un support physique ou les arnaques au faux support techniques).

Entreprise de Conseils en Ingénierie et Services Numériques

Candidat ? 

Notre équipe s’agrandit de jour en jour ! N’hésitez pas à nous faire connaître votre talent.

Entreprise de Conseils en Ingénierie et Services Numériques

Entreprise ?

A la recherche d’experts pour vos projets ? N’hésitez pas à nous contacter.