We’re available from 9 am to 6 pm on weekdays. Contact Us.
GDPR : dernière ligne droite pour les entreprises

Rencontre avec Jean-Yves MATHIEU, Head of Information Security chez Aubay Luxembourg, pour aborder l'arrivée prochaine du GDPR et ses implications pour les entreprises.

Le GDPR, le sujet au cœur des préoccupations des entreprises, comment le résumer en quelques idées clé ?

AUBAY et la GDPR ? Notre force est de proposer à nos clients un accompagnement de « bout en bout ».

Nous proposons un accompagnement sur la partie "théorique" à savoir le Readiness Assessment, le Binding Corporate Rules, le PIA et DPIA, Privacy by Design et by default.

Puis, nous intervenons également sur la partie "pratique" en leur proposant des solutions leur permettant de répondre aux prérequis de la GDPR à savoir :

• Solution Analyse de risque orientée GDPR avec la gestion des traitements à risque et la création automatique du registre.

• Solution Cartographie des données, qu’elles soient structurées ou non structurées ; catégorisation et classification de vos données, identification des données à caractère personnel, etc…

• Mise en place d’une solution IAG permettant de s’assurer que les données à caractère personnel sont bien accédées par les personnes autorisées, reporting et harmonisation des rôles, etc…

• Anonymisation de vos données.

 

Que conseiller aux entreprises qui ne se sont pas encore penchées sur le sujet du GDPR ?

Tout d’abord, les entreprises devraient débuter par la réalisation d’une évaluation de leur maturité par rapport au GDPR afin de dégager les grands axes de travail pour leur organisation.

La donnée et ses traitements est au cœur des préoccupations. Une des questions majeures est la réalisation d’une cartographie des données de l’entreprise. Il convient de cartographier les données structurées (bases de données, fichiers plats…), mais aussi les données non structurées (serveur de fichier, cloud …). Ces dernières représentent la majorité des données pour les entreprises ayant entamé leur transformation digitale et leur orientation vers de solutions dites "big data".

Ensuite, il convient de rester pragmatique et de mener une analyse de risques et d’impacts en regard au GDPR afin de traiter en priorité les risques les plus élevés pour l’organisation.

Enfin, la mise en place d’un processus de communication.

L’un des services offerts par Aubay Luxembourg est dédié à l’accompagnement des entreprises au GDPR au travers d’une analyse fonctionnelle et de propositions de solutions techniques avec des partenaires.

 

Comment la GDPR a-t-il fait évoluer le rôle du Chief Information Security Officer (CISO) ?

Au Luxembourg, le Chief Information Security Officer (CISO) et le Data Protection Officer seront deux fonctions séparées mais complémentaires dans une entreprise.

La compréhension de la sensibilité des données qu’il protège et des traitements associés est devenue une compétence clef pour le CISO.

Le CISO et le Data Protection Officer (DPO) travailleront de concert pour apporter les bons éléments de synthèse aux dirigeants responsables tels que définis par le GDPR.

 

Doit-on se préparer à affronter une crise en cas de fuite de données ?

Oui, il est conseillé de s’y préparer. En effet, la question à laquelle tous les CISO sont confrontés n’est pas de savoir si vos données ou votre système seront compromis, mais quand le seront-ils ?

Ceci signifie que le CISO doit se préparer à être confronté à une situation où des données seraient l’objet d’une fuite.

Le CISO doit donc se préparer. Cela passe par la mise en place des processus rodés : analyses techniques, mesures d’impacts et préparation des éléments nécessaires à la communication règlementaire imposée au DPO par le GDPR.

En cas de fuite de données, la communication sera essentielle. Le message devra être clair, concis, diffusé via les bons canaux de communication. Mais, surtout, le message devra être diffusé à temps.

Le GDPR impose au DPO une communication endéans les 72 heures en cas de fuite de données, week-end compris.

L’un des services offerts par Aubay Luxembourg est dédié à la préparation à la crise.

 

Aubay Luxembourg a présenté son offre de sécurité à la 10ème édition du Forum International de la Cybersécurité (FIC), pouvez-vous nous en toucher quelques mots ?

Nous étions pour la première fois présent sur le stand luxembourgeois au FIC à Lille pour ses 10 ans.

Ces 2 jours ont été très riches au niveau de nos rencontres avec les prospects éventuels, nos clients et des rencontres avec des potentiels partenaires très intéressants.

Nous planifions d’ailleurs d’être à nouveau présents l’an prochain.

 

Quelles tendances technologiques le CISO devra-t-il observer en 2018 ?

Le cloud serverless, ce terme très en vogue depuis deux ans, ne signifie pas la fin des serveurs mais plutôt la fin de la configuration et de la gestion des serveurs par les utilisateurs qui exécutent du code.

L’intelligence artificielle (IA) apporte son lot de solutions sous forme d’applications mobiles et d’objets connectés. Cependant, de nombreuses failles ont été découvertes. Il convient d’éviter tout déploiement hâtif et de bien mesurer les risques encourus. Néanmoins l’intelligence artificielle aide le CISO dans sa lutte quotidienne contre les menaces virales. Elle équipe déjà certains logiciels de protection contre les virus informatiques, les programmes malveillants, les ransomwares...

Le digital, au cœur de la révolution numérique des entreprises, s’accélère : il faut accéder en tous lieux à l’information, collaborer et innover toujours plus vite. Le digital crée de la valeur mais ouvre aussi de nouveaux risques. Le CISO devra se former pour les maîtriser.