Cybersécurité : gouvernance des SI et relation avec les tiers

Souvent cité comme un risque clé de l’organisation, aussi appelé sécurité des SI (sécurité de l’information) ce risque s’illustre principalement par des attaques visant à obtenir des données pour les réutiliser illicitement.
L’information numérique est désormais présente partout dans nos systèmes : de la donnée client (adhérent) aux dossiers comptables, RH, etc. Tout nouveau projet, essentiel pour le développement du groupe, s’accompagne de risques inhérents à la gestion de projet intrinsèquement liée à l’informatique. De plus en plus de données, de données partagées, et certaines partagées sur le Cloud : on parle de modèle économique dépendant des données, basé sur le numérique. C’est pourquoi, les organisations en 2019 sont exposées, à la fois aux cybercriminels, aux pirates informatiques mais également aux collaborateurs malveillants ou négligents ne respectant pas les procédures.
Pour réduire ce risque, certaines organisations font le choix de réaliser une évaluation « Cyber Essentials » qui comporte des contrôles clés, ou pour les plus grandes entreprises, l’obtention de la certification ISO 27001.
Pour des organismes de notre taille, la dispense de sensibilisations relatives aux bonnes pratiques à l’ensemble des salariés est indispensable. Ces dernières sont décrites dans le « GUIDE DES BONNES PRATIQUES DE L’INFORMATIQUE » publié par la CPME et l’ANSSI.
Les tiers identifiés sont principalement les fournisseurs de services informatiques. Il faut donc, au même titre qu’en interne, au-delà d’une gouvernance et une surveillance suffisante des SI, s’assurer de leur RGPD-compliance, et exercer des clauses d’audit pour tester la robustesse de leurs systèmes de contrôle.

l

Pour maîtriser ce risque, il faut se poser les questions suivantes :

  • La sécurité est-elle un élément essentiel de la planification des SI et du développement du réseau ?
  • La gestion interne des cyber-risques est-elle suffisamment mature pour que l’attention nécessaire puisse être portée sur les tiers ?

Protection des données : stratégies post RGPD (réglement général sur la protection des données)

Les enjeux de le RGPD sont la protection des données et la conformité. Ce risque s’accentue compte tenu de l’évolution des organisations.
La donnée est notre coeur de métier. Nous traitons aujourd’hui une quantité considérable d’informations concernant nos adhérents, nos prospects, nos collaborateurs, etc. Le RGPD nécessite une plus grande confidentialité des données et ainsi une amélioration de la gestion des données (internes et externes).
Etroitement lié avec le risque précédent, le règlement prévoit un renforcement des dispositifs de maîtrise des données, comme la mise en place de pares-feux par exemple.
A noter en 2018, seules 2% des organisations semblaient être totalement en conformité avec le RGPD en début d’année (Source : Véritas), contre 27% en milieu d’année. D’ici fin 2019, 93% prévoient de se mettre en conformité (Source : TrustArc).
Le risque se matérialise principalement par la fuite des données : les données relatives à nos adhérents, aux personnels, aux projets stratégiques, les données financières, etc.
Toute donnée a potentiellement une bonne raison d’être qualifiée comme confidentielle, et en tout état de cause, toute donnée est à valoriser.

Les questions qu’il faut se poser (entre-autres) :

  • L’organisation a-t-elle cartographié ses données à caractère personnel ?
  • L’organisation a-t-elle nommé un DPO (Data Protection Officer) ?
  • Comment les données sensibles (personnel/métier/stratégique) sont partagées avec les tiers ? Comment s’assurer que les tiers les protègent ?

Enfin, il faut savoir que les impacts des deux risques de cet article peuvent non seulement être financiers mais aussi d’image et de performance. A vous de jouer maintenant !