Le RGPD arrivera en mai. De nombreuses offres alléchantes se développent pour y répondre. Mais, contrairement à ce qu’elles prétendent, celles-ci ne sont pas toutes aux normes.
2018 est synonyme de mise en conformité règlementaire pour les entreprises européennes. MIFID II, NIS, RGPD… Quelques lettres aux grandes conséquences pour les entreprises, forcées de repenser la gouvernance des données internes. L’offre en termes d’outils et d’accompagnements est à géométrie variable. Et pour cause. Ces réglementations entraînent des changements bénéfiques dans les domaines de l’édition logicielle et du conseil informatique. D’après le Syntec Numérique, la croissance dans ce secteur devrait augmenter de 3,6% par rapport à 2017.
Les professionnels de la donnée saluent le climat de sensibilisation
« Le RGPD est un moteur pour nous, explique Yves Garagnon, PDG de DiliTrust, une entreprise spécialisée dans la gouvernance d’entreprise et le partage sécurisé des données sensibles par le biais de ses outils. Si l’entreprise devrait être peu impactée par le RGPD (ses solutions intègrent depuis le début une sécurité renforcée et un anonymat complet), le règlement européen semble développer un terreau fertile et favorable, porteur d’un certain dynamisme au sein du secteur de la protection des données. “Le RGPD sensibilise les entreprises aux enjeux de sécurité et les convainc de passer à une solution professionnelle. » confirme le patron de DiliTrust.
Des enjeux de sécurité qui bouleverseront tous les échelons des entreprises. Celles-ci seront obligées de repenser la manière dont elles gèrent toutes les informations sensibles. De concert avec les équipes IT et métiers, la définition de l’information stratégique doit faire l’objet d’un consensus. Un accord sur la maintenance et la surveillance des informations détenues par l’entreprise est alors essentiel.
L’entrée en vigueur prévue le 25 Mai prochain, s’accompagne de son lot d’obligations. L’absence de mise en conformité sera sanctionnée par des amendes comprises entre 2 et 4% du chiffre d’affaires global. De quoi motiver les entreprises à recourir à des cabinets spécialisés. Et c’est là que le bât blesse. Les cabinets aux discours prometteurs pullulent. Et les outils prêts à être déployés pour une conformité quasi “clés en mains” aussi.
RGPD : un miroir aux alouettes
Les éditeurs proposent des outils dont la structure même à un impact en termes de sécurité. L’évaluation des risques afférents est complexe. Saas, Paas, Iaas, difficile de s’y retrouver. Le modèle SaaS (Software as a Service) signifiant que le logiciel est hébergé sur des serveurs distants – est le support de logiciel le plus souvent proposé par les fournisseurs de services et solutions concernant le RGPD. L’avantage est son adaptabilité.
La sécurisation des données est prévue dès leur conception et tout au long de leur vie. Ce n’est en revanche pas le cas des solutions de type Cloud public. Selon le rapport Shadow Data Threat Report d’Elastica, « moins d’un pour cent des processus internes des fournisseurs de cloud sont conformes à la nouvelle législation. Moins de 3% appliquent des stratégies de mot de passe sécurisée pour répondre aux exigences du RGPD ».
C’est d’ailleurs un constat partagé. Certaines entreprises ont réalisé tardivement que le RGPD était bel et bien réel et qu’il fallait s’y conformer. D’autres ne comprennent pas les enjeux à déplacer les données dans le cloud au regard de la confidentialité des données.
Heureusement, le made in France secured by design a le vent en poupe. Certains éditeurs proposent des solutions d’avant-garde, peu connus du grand public, puisque adressée essentiellement à l’entreprise. Certaines comme DiliTrust offrent même la possibilité de gérer un conseil d’administration entièrement numérique via leur solution DiliTrust Exec, dans un environnement ultra sécurisé et dans lequel les données sont chiffrées.
#StopArnaque, la CNIL tire la sonnette d’alarme
Mais l’arrivée du RGPD est aussi synonyme d’opportunité pour des entreprises à la morale douteuse. C’est ce que dénonce la CNIL à travers le hashtag #StopArnaque. La Commission entend mettre en garde les entreprises contre les discours des commerciaux qui vendent des solutions prêtes à l’emploi et non adaptées à l’écosystème IT en vigueur. « Dans tous les cas, la mise en conformité au RGPD nécessite plus qu’un simple échange ou l’envoi d’une documentation sur le RGPD, rappelle la CNIL. Elle suppose un vrai accompagnement, par une personne qualifiée en protection des données personnelles, pour identifier les actions à mettre en place et assurer leur suivi dans le temps. »
De nombreux d’outils existent sur le marché et le marketing employé autour d’eux, souvent inexact, masque des enjeux importants en matière de sécurité. « Ces enjeux de sécurité sont des enjeux de gouvernance, pas seulement des enjeux techniques ! », martèle Guy Flament, délégué à la sécurité du numérique de l’Agence nationale de la sécurité des systèmes d’information (ANSSI) pour la région Nouvelle Aquitaine.
Le RGPD est exigeant pour les entreprises européennes et étrangères manipulant des données personnelles de citoyens européens. Elles devront être en capacité de prouver que leurs processus protègent la confidentialité des données, et ce dès la conception. D’où la pertinence des solutions Saas respectant les normes telles que ISO 27001.
