co-écrit par Florence Bonnet et Aymen Zribi @TNPconsultants
Outes les organisations, quelle que soit leur taille, sont confrontées à des enjeux de cybersécurité (résilience, protection de l’information, conformité…) ; les menaces évoluent constamment et de plus en plus rapidement, alors même que la complexité des systèmes d’informations ne cesse d’augmenter.
Le volet réglementaire/conformité (RGPD, NIS, LPM..) est un véritable catalyseur pour le renforcement des dispositifs de sécurité dans les organisations.
Les enjeux réglementaires liés à la protection des données personnelles et des systèmes d’information essentiels (SIE)
D’une part, les organisations ont l’obligation de mettre en place des mesures techniques et organisationnelles de sécurité, à savoir :
– Des moyens permettant de garantir la confidentialité, la disponibilité, l’intégrité et la résilience des systèmes et des services de traitement
– Des moyens permettant de rétablir la disponibilité des données
– Une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures de sécurité.
Ensuite, ces mesures doivent être appropriées i.e. qu’elles doivent garantir un niveau de sécurité adapté aux risques sur les données personnelles.
Enfin, en cas de violations de données personnelles, les organisations doivent notifier l’autorité compétente dans les 72 h ; cette notification porte notamment sur une description des catégories et du nombre approximatif de personnes et de données personnelles concernées, sur les conséquences probables et les mesures prises pour remédier à la violation de données.
L’insuffisance des mesures de sécurité est de plus en plus systématiquement sanctionnée par les autorités européennes de protection des données comme l’illustre la toute dernière amende de 650 K€ prononcée par l’autorité polonaise de protection des données pour absence de procédure d’urgence à déclencher en cas de trafic réseau inhabituel.
suite de l’article icisuite de l’article icisuite de l’article ici
