Protection des données: un objectif d’importance vitale

mardi, 19.03.2019

Marie de Fréminville*

Marie de Fréminville

La protection des données est un enjeu essentiel pour l’entreprise: un enjeu d’éthique et de réputation (comment l’entreprise protège-t-elle les données de ses clients?), un enjeu stratégique (les données stratégiques sont-elles identifiées et protégées?), et un enjeu de conformité au RGPD (protection des données personnelles).

Certains secteurs d’activité (BtoC ou la santé, par exemple) sont plus exposés que d’autres. Néanmoins, l’entreprise, quel que soit son activité, doit mettre en place les processus qui garantissent la confidentialité, l’intégrité, la sécurité des données, une gouvernance appropriée (rôles et responsabilités: qui a accès, qui donne accès à quelles données, qui peut les transférer et à qui, qui les conserve…), la classification de ces données  (degré de confidentialité, sensibilité, intérêt pour le business), et le bon niveau de protection associé, à décider avec le RSSI (responsable de la sécurité des systèmes d’information).

La mission principale des équipes cyber sécurité est de protéger l’information numérique dans toutes ses dimensions: personnelles et stratégiques et de conseiller les directions opérationnelles dans le développement de nouveaux produits ou services, basés sur les données dont l’entreprise est propriétaire, tout en assurant leur protection. La maximisation du potentiel des données utilisées peut également se traduire par un gain financier, un gain de productivité, et une meilleure efficacité des collaborateurs.

Pour assurer la conformité avec les règlementations, il faut identifier les données collectées, vérifier qu’elles sont collectées avec le consentement des utilisateurs, et qu’elles sont stockées dans des conditions de sécurité (en lien avec le RSSI). Ces nouvelles règlementations, centrées autour de l’utilisateur final, peuvent être considérées comme des opportunités pour le business. Quelle que soit sa taille, l’entreprise est responsable: ses dirigeants et son conseil d’administration ne peuvent se défausser sur le DSI (directeur des systèmes d’information), le responsable de la sécurité des systèmes d’information ou ses prestataires informatiques, et doivent s’interroger sur l’organisation, les outils et les processus pour protéger leurs actifs stratégiques, leur réputation, et la confiance (numérique) dont l’entreprise (la fondation ou l’association) bénéficie de la part de ses clients et ses fournisseurs.

Une attaque informatique, une mauvaise manipulation, une gestion approximative des accès aux données, l’inexistence de classification des données, un manque de formation et de conscience sur la valeur des informations… peuvent avoir des conséquences graves! La confiance des clients et fournisseurs sera durablement détériorée!

Il est recommandé de recourir à des prestataires qualifiés (notamment pour les PME qui n’ont pas les ressources internes), pour auditer les systèmes, l’organisation et les processus, sensibiliser les acteurs en interne et en externe, recommander des plans d’actions, et suivre leur mise en place.

L’entreprise peut aussi recourir à des outils, qui peuvent servir à évaluer le niveau de conformité et de cybersécurité de la société que l’entreprise s’apprête à acquérir, ainsi qu’à piloter les indicateurs et les solutions de remédiation en accord avec les directions opérationnelles et fonctionnelles de l’entreprise, qui sont toutes détentrices de données, et donc concernées par leur protection!

* Starboard Advisory






 
 

AGEFI



...