Il existe de nombreux facteurs de plus en plus nombreux qui incitent une organisation et sa chaîne d'approvisionnement à aborder le sujet de sécurité de l'information et la vie privée au sérieux. Il s’agit notamment des menaces majeures de cybercriminalité qui peuvent tuer des entreprises avec une simple violation de données. Malgré cette menace, toutes les organisations n’investissent pas ou ne se soucient peut-être pas de l’information comme d’un atout à entretenir et à protéger.
Il n'est donc pas surprenant qu'une réglementation comme celle RGPD a été créée pour la protection des données personnelles et l’amélioration de la vie privée des individus. Le RGPD est un puissant moteur externe qui oblige les organisations à améliorer leurs activités en matière de protection des données et de confidentialité.
Le RGPD est un événement incontournable en faveur du changement, mais malgré sa mise en œuvre le 25 mai 2018, toutes les organisations n'ont pas réalisé les mêmes progrès. Nous constatons actuellement 4 niveaux d’intention autour de cette nouvelle réglementation. Alors, où voyez-vous votre organisation et que pouvez-vous faire d’autre à ce sujet ?
Ceux qui pensent que le RGPD ne les concerne pas, ou ceux qui estiment que leur position actuelle est suffisamment bonne pour s'y conformer, même s'ils sont responsables du traitement et sous-traitants des données. Il n'est pas étonnant que le Bureau du commissaire à l'information (ICO) n’a probablement enregistré qu’une fraction des organisations. Nos enquêtes informelles suggèrent que de nombreuses organisations ne savaient même pas qu'elles devaient être enregistrées auprès de l'ICO et encore moins adopter le nouveau régime de confidentialité et de protection.
Ceux qui sont « consciemment incompétents » et (probablement) non conformes mais qui ne sont pas prêts à agir maintenant. Cependant, ils reconnaissent la nécessité de le faire dès que des amendes apparaissent dans leur secteur ou que les clients puissants et les parties prenantes du secteur exigent davantage de conformité.
Ceux-ci répondent généralement désormais aux demandes de clients puissants et d’acteurs internes inquiets autour du traitement des données personnelles. Ces organisations sont disposées à apporter les changements appropriés pour conserver leurs contrats et être conformes dans leur traitement. Beaucoup voient les avantages de « montrer leur travail » avec un SMSI visible pour gagner la confiance de leurs parties prenantes. Ils sont actuellement moins intéressés à aborder ouvertement d’autres domaines de gestion d’informations précieux comme les DPI, les contrats financiers et commerciaux, le code logiciel, les informations sur les plans d’affaires, etc.
Ceux qui voient le RGPD comme une opportunité d’aller de l’avant et d’améliorer globalement la sécurité de l’information (au-delà des données personnelles en soi), renforçant leur approche des parties prenantes comme un véritable atout organisationnel et non comme un handicap. Il garantit également la pérennité des investissements dans un système de gestion de la sécurité de l'information. (SMSI) et réduit le coût total d’exploitation. Ils voient l'avantage de travailler vers ou de suivre des normes reconnues telles que ISO 27001:2013 ou NIST Cyber Security parallèlement à la réglementation.
La plupart des organisations qui sont « dans le déni », et certaines autres, croient qu'elles le feront. être conforme au RGPD car ils ont une « politique de sécurité de l’information » documentée. Il est conservé dans un dossier partagé qu'ils envoient aux clients lorsque cela leur est demandé. Malheureusement, la réglementation spécifique elle-même est un peu plus complexe avec environ 180 exigences à prendre en compte, et les acheteurs deviennent de plus en plus intelligents ! Il doit sûrement exister une manière meilleure et plus pragmatique de montrer que l'on peut vous faire confiance avec (uniquement) des données personnelles, sans parler d'autres informations précieuses. actifs informationnels?
Le RGPD constitue également un défi un peu plus complexe, car il n'existe aucune base officielle de l'UE permettant de mesurer rigoureusement la conformité. Comme de nombreuses organisations demandent conformité de leur chaîne d'approvisionnement à quelque chose qui est « leur vision du RGPD » qui pourrait être sur ou sous-conçu pour le reste de la clientèle de ce fournisseur.
Pire peut-être, certains clients exigent un transfert de risque simple mais ignorant dans une mise à jour forcée du contrat et laissent au fournisseur le soin de déterminer comment s'y conformer. Les clients responsables et leurs fournisseurs importants travailleront ensemble sur ce qui est acceptable compte tenu des informations à risque et de la valeur de la relation (et de tout contrat).
Les sceaux de confidentialité et la certification RGPD autorisés par l’UE sont peut-être encore loin. Alors, que pouvez-vous faire en attendant pour montrer que vous pouvez faire confiance, au moins en ce qui concerne le RGPD, tout en restant pragmatique pour votre organisation et pour la plupart, sinon la totalité, de vos clients ? Un politique de sécurité de l'information le document ne suffit pas. Un SMSI est bien meilleur et au sein de ce SMSI, vous devriez idéalement suivre une méthode ou une structure de cadre reconnue à laquelle vos parties prenantes pourraient faire confiance et comparer les progrès.
Nous avions l'impression d'avoir
le meilleur des deux mondes. Nous étions
pouvoir utiliser notre
les processus existants,
& l'adopter, s'adapter
le contenu nous a donné de nouvelles
profondeur à notre SMSI.
Nous ne pouvons penser à aucune entreprise dont le service peut rivaliser avec ISMS.online.
L'Information Commissioner's Office est l'autorité britannique de surveillance du RGPD. Qu’on les aime ou qu’on les déteste, ils s’efforcent d’aider UK PLC à mettre en œuvre la réglementation et à développer une culture de protection des données et de confidentialité dès la conception.
La commissaire Elizabeth Denham a déclaré :
« …il est clair que certaines entreprises prospéreront dans cet environnement changeant. Ce seront eux qui examineront toute cette question avec un état d’esprit qui apprécie ce que veulent les consommateurs. Aujourd'hui, de nombreuses entreprises pensent que la protection des données est simplement une question de « conformité ». C'est un état d'esprit qui dit : « mon travail consiste à répondre aux exigences légales ». Tant que je coche les bonnes cases, tout ira bien.
Mais pour relever les défis… nous devons passer d’un état d’esprit de conformité à un état d’esprit d’engagement : l’engagement à gérer les données de manière sensible et éthique.
Non seulement parce que c'est la loi, mais parce qu'elle fait partie des bonnes pratiques commerciales de base… La responsabilité encourage un investissement initial dans les principes fondamentaux de la confidentialité, mais elle offre des bénéfices à long terme, non seulement par une meilleure conformité juridique, mais aussi par un avantage concurrentiel. C'est la carotte pour bien faire les choses. Et il y a aussi un assez gros bâton… »
L'ICO est l'autorité de surveillance du Royaume-Uni et l'organisme du Royaume-Uni qui imposera des amendes (du point de vue de la menace). Il est donc logique de savoir ce que signifie le RGPD sous leur angle si vous êtes au Royaume-Uni. Leurs 12 étapes initiales vers le RGPD étaient idéales pour les gros titres, mais tout simplement d'un niveau trop élevé pour une mise en œuvre par rapport à la norme. A ce titre, ils ont libéré sept listes de contrôle complètes qui ont été mis à jour et améliorés au cours des 6 à 12 derniers mois. Nous les recommandons à tout le monde.
Remplir ces listes de contrôle comme cadre pour démontrer la conformité et l’engagement est un excellent point de départ. Cela aidera à identifier les domaines de force et de vulnérabilité, puis à constituer la base d’un plan d’investissement hiérarchisé. Comme la réglementation est basée sur les risques (plutôt que de prescrire des contrôles très spécifiques), cela signifie que vous pouvez également prouver plus clairement pourquoi vous avez ou n'avez pas suivi une recommandation de l'ICO. Il offre également une perspective plus objective que celle de nombreuses sociétés spécialisées dans l’huile de serpent qui vendent actuellement sur le marché leurs propres méthodes, qui pourraient ne pas résister à un examen minutieux à l’avenir.
Les organisations qui peuvent facilement décrire et démontrer comment elles ont pris en compte et mis en œuvre le RGPD (soit avec les listes de contrôle de l'ICO, soit avec des alternatives suffisamment complètes) recevront presque certainement un meilleur accueil de la part du régulateur si quelque chose d'horrible comme une violation de données se produisait quand même. Ils auront également réalisé les « travaux » décrits ci-dessous et commencé à construire les bases d'un SMSI auquel d'autres peuvent avoir confiance !
Une séance pratique sur mesure en fonction de vos besoins et de vos objectifs
Bien qu'il y ait 120 activités à considérer dans le cadre des listes de contrôle de l'OIC 7, elles peuvent être globalement réparties comme suit :
| Travaux à accomplir pour le RGPD | Pouvez-vous en témoigner maintenant ? | |
|---|---|---|
| 1 | Informations que vous détenez :
|
Oui Non |
| 2 | Risques : Confidentialité, Intégrité, Disponibilité (CIA)
|
Oui Non |
| 3 | Gestion des politiques et des contrôles :
|
Oui Non |
| 4 | Évaluations et demandes pour garantir la confidentialité et la sécurité dès la conception :
|
Oui Non |
| 5 | Incidents et PCA :
|
Oui Non |
| 6 | Implication du personnel :
|
Oui Non |
| 7 | Chaîne d'approvisionnement:
|
Oui Non |
| 8 | Coordination et assurance de l’ensemble du système :
|
Oui Non |
100% de nos utilisateurs obtiennent la certification ISO 27001 du premier coup