Pourquoi améliorer la conformité RGPD/sécurité

Quelques constations préalables sur le marché de la sous-traitance des services IT :

1. Depuis le changement de situation lié au Covid, les services d’audit interne des donneurs d’ordre multiplient leurs interventions et déplorent que les entreprises sous-traitantes ne respectent pas la réglementation et ne disposent pas de mesures de sécurité susceptibles de protéger leurs clients.
2. La concurrence entre entreprises sous-traitantes n’a jamais été aussi tendue, ce qui autorise les acheteurs à augmenter leur niveau d’exigence en imposant des demandes qui paraissaient déraisonnables il y a encore quelques mois.
3. Bon nombre de sinistres cyber analysés par les compagnies d’assurances ont fait apparaître des lacunes en matière de sécurité qu’elles refusent désormais de couvrir.

Depuis 2018, la cyber menace croît de manière exponentielle, avec un niveau maximum atteint au cours des années 2020-2021 marquée par le Covid-19. « Le nombre de victimes a ainsi été multiplié par quatre en un an », selon le rapport franco-allemand « Common Situational Picture », édité par l’Agence nationale de la sécurité des systèmes d’information (ANSSI) et son homologue, le Bundesamt für Sicherheit in der Informationstechnik (BSI).

En parallèle, le Groupement d’intérêt public et d’actions contre la cyber malveillance (GIP ACYMA), qui a en charge le portail Cybermalveillance.gouv.fr, relève aussi une baisse conséquente des appels à l’aide de particuliers : 491 en 2020 contre 2 972 l’année précédente. Une évolution symptomatique de la réorientation des cyberdélinquants vers les cibles les plus lucratives potentielles.

La facilité d’utilisation des ransomwares et d’autres méthodes d’extorsion ont permis à ces attaques d’être menées à grande échelle et sans coûts importants. Alors que la cyber économie s’épanouit, les occasions de criminalité augmentent et les chances de se faire prendre s’amenuisent. « La cybercriminalité offre une opportunité à haut rendement et à faible risque. » (Aatish Pattni, directeur sécurité de Check Point, Link11).

Les chiffres du GIP ACYMA sont encore plus inquiétants. Jérôme Notin, directeur général du GIP, fait ainsi état de 159 collectivités touchées en 2020 contre 103 en 2019, et de 837 entreprises, contre 667. (cf. Le Rapport 2020 du GIP)

La densité de l’actualité sur ce sujet au cours du mois estival d’août 2021 confirme également la croissance continue du phénomène et la diversité des cibles :

• Les serveurs Microsoft Exchange de six ministères des Affaires étrangères et de 8 sociétés spécialisées dans l’énergie ont été infiltrés par des cybercriminels. Des données hautement sensibles auraient été volées.
• Un hacker diffuse gratuitement pour la promotion de son black market un fichier contenant près d’un million de cartes bancaires. Au total, 40 000 Français seraient concernés par cette fuite.
• Deux importants cabinets comptables et d’avocats français piratés. Des milliers de données exfiltrés, mais pas un mot des entreprises impactées. Dans ces deux cas, un problème de communication : le premier sait, mais ne dit rien ; le second ne savait pas !

Les entreprises de moins de 50 salariés sont également directement impactées : 41 % des entreprises interrogées de moins de 9 salariés et 44% des entreprises de 9 à 49 salariés ont déjà subi une ou plusieurs attaques ou tentatives d’attaques informatiques (données 2019).

La position des assurances contre la cybercriminalité n’est pas non plus étrangère au durcissement des entreprises face au péril sécuritaire. Les tarifs augmentent considérablement à mesure que les attaques par ransomware explosent.

Pour certains experts, ce sont les assureurs eux-mêmes qui sont responsables de cette montée du risque et de la hausse conséquente des tarifs. Guillaume Poupard, ex Directeur de l’ANSSI, avait souligné lors d’une audition au Sénat le « jeu trouble » des assureurs qui, en facilitant le paiement des rançons, faisaient donc des entreprises françaises des cibles de choix pour les cybercriminels.

Face à cette explosion de la cybercriminalité, les entreprises du CAC40 et du SBF120 deviennent de plus en plus fébriles, les relations avec les fournisseurs et les conditions d’octroi de nouveaux marchés évoluent.  La conformité RGPD et la certification ISO27001 ou encore le « zero trust » leur apparaissent soudain comme des garanties crédibles. Les questionnaires fournisseurs RGPD et sécurité s’étoffent, deviennent plus fréquents et s’accompagnent le plus souvent d’une soutenance orale. Certaines entreprises vont jusqu’à demander la fourniture de documents et procédures internes RGPD et sécurité, telle que la politique de sécurité des systèmes d’informations (PSSI), phénomène qui tend à se généraliser. Un fournisseur n’étant pas en mesure de démontrer sa conformité RGPD ou prouver son niveau de sécurisation a toutes les chances de se voir fermer la porte au nez. Après plusieurs années d’atermoiement et de manière un peu inattendue, le RGPD agrémenté de mesures de cybersécurité vient de gagner ses lettres de noblesse.

Alors que bon nombre de PME et d’ETI témoignent de leurs difficultés à avancer sur leur mise en conformité RGPD, ces dernières se voient soudainement dans l’obligation d’intégrer ces nouvelles contraintes à marche forcée pour ne pas pénaliser leur activité commerciale.

L’analyse qui est faite de certains projets RGPD/Sécurité qui réussissent mieux que d’autres permet de tempérer les réticences à prendre le sujet à bras le corps.

• Un niveau de détail raisonnable : le RGPD comprend 99 articles de loi pas toujours faciles à transposer de manière opérationnelle. A vouloir établir un plan d’action trop détaillé, une mise en conformité peut très vite entrainer l’enlisement. Les équipes ont le sentiment d’être débordées par l’ampleur de la tâche alors qu’un certain recul permet de globaliser et de rendre visible la progression. Des objectifs courts et des utilisateurs au cœur du projet, la mise en conformité RGPD/Sécurité se révèle un bon champ d’application des méthodes agiles.
• Une mise à disposition des compétences nécessaires à la mise en œuvre du projet : expert RGPD, RSSI, avocat IT pour des interventions ciblées, chef de projet, … est essentielle pour maintenir le rythme de mise en œuvre.
• La prise en compte de l’humain est un facteur de succès : la mise en conformité RGPD/Sécurité est un projet de transformation avant tout. Souvent, on ne prête pas attention au facteur humain ou, plutôt, on considère que l’être humain concerné par ce mouvement va se comporter rationnellement et y adhérer naturellement. Dès lors, la résistance au changement peut aboutir au statu quo, voir même à unr régression.
• L’intégration de l’expérience utilisateur. Ajoutée aux métriques financières et temporelles qui vont bien à un projet habituel, dans le cas d’une transformation RGPD/Sécurité, comme dans tout projet de transformation digitale, il faut imaginer une métrique d’expérience client/utilisateur.

Il est ensuite important de respecter certaines modalités de mise en œuvre pour échapper à la fatalité de « l’usine à gaz ».

Dans un premier temps, il est nécessaire d’aborder le sujet dans sa globalité. Si le RGPD s’inspire en grande partie de la série de normes ISO 27000 pour son volet technique, la complexité de l’application de cette norme impose un réel pragmatisme pour aboutir. La certification ISO 27001 sera réservée pour les organisations techniques expertes. Pour les autres, un certain recul sera préférable pour identifier les objectifs prioritaires, engager la conformité RGPD puis compléter par quelques bonnes pratiques ciblées de la norme ISO 27002, par exemple en utilisant le guide d’hygiène informatique de l’ANSSI, le tout devant répondre aux objectifs prioritaires. Que ce soit en phase de démarrage ou de reprise d’une démarche laissée en jachère, un audit global et transversal est un réel atout pour clarifier la situation et partager avec les collaborateurs qui sont impliqués. Il évalue le volet RGPD et la sécurité sans oublier la résilience qui consiste à savoir comment se relever en cas d’attaque cyber réussie malgré les dispositions prises.

La seconde étape consiste à concentrer toutes les énergies sur un espace-temps court, idéalement de 2 à 3 mois, avec les moyens existants et l’aide d’un expert externe pour aboutir à un premier niveau RGPD/sécurité crédible pour une organisation partenaire/cliente. On n’oublie pas de privilégier les Quickwins pour motiver au plus vite les équipes. Cette étape doit aboutir à la production d’un dossier de conformité cohérent rassemblant 80% des documents imposés par le RGPD (registre des traitements, Data Processing Agreement, PIA, Plan d’action d’amélioration, procédure de Data Breach, …) et des documents principaux nécessaires pour la sécurisation du Système d’Information (cartographie technique et applicative, analyse de risque, analyse des SPOF, PSSI, Charte informatique, procédure d’exploitation, procédure de gestion de crise, …).

La dernière phase est confiée à un Référent interne ou externe en mesure d’assumer les responsabilités de préférence cumulées de DPO (Data Protection Officer) et de RSSI (CISO – Chief Information Security Officer) pour piloter la démarche dans le temps et démarrer la phase dite « privacy and security by design » sous-entendant que tous projets de l’organisation soit soumis en amont à une validation RGPD/sécurité avant implémentation.

En conclusion, la prise de conscience que la mise en conformité RGPD/sécurité est devenue incontournable pour conquérir de nouveaux marchés est récente. Ce phénomène ne doit toutefois pas être perçu comme une fatalité mais bien au contraire comme une opportunité de croissance. Aborder dans la globalité RGPD et cybersécurité, se donner quelques semaines pour aboutir à un premier niveau susceptible d’enrichir l’argumentaire commercial et appréhender la démarche comme un projet de transformation digitale sont autant de précautions qui doivent permettre aux organisations d’aboutir à des résultats encourageants susceptible de faire évoluer positivement le Chiffre d’Affaires des prestataires de service, mais aussi la mise en conformité des organisation face aux cyber menaces susceptibles de provoquer des grosses pertes d’exploitation.

Pour aller plus loin : MODÈLE DE MATURITÉ CNIL ET CYBERATTAQUES : 4 ACTIONS POUR RASSURER.