COGNIZANT 20-20 INSIGHTS
GDPR : la norme Executive Summary
ISO 27001 peut
vous aider
Chers DPO, auriez-vous sans le
savoir un peu d’avance sur la
GDPR ? Tout un pan du nouveau
texte relève en effet directement
de la sécurité. Or la norme ISO/CEI
27001:2013, la référence en la
matière, recoupe sur bien des
points le règlement européen. Si
votre entreprise respecte déjà ce
standard, elle vous a mâché le
travail.
La 27001, un taux d’adoption en forte hausse. La
dernière version de l’enquête annuelle ISO1 est
parue en septembre 2017. Elle indique qu’en 2016,
33.290 entreprises étaient certifiées 27001, soit +
21% par rapport à l’année précédente. Dix ans plus
tôt, en 2006, ce chiffre se portait seulement à
5.797. 37,6% des entreprises actuellement
certifiées sont situées en Europe et 209 certificats
ont été délivrés en France, pour un total de 741
sites dans l’Hexagone.
La norme ISO 27001 est généralement pilotée par
le RSSI. Son pendant (ISO/CEI 27002), sous forme
de guide des bonnes pratiques, est très utile à
l’implémentation. Globalement, il s’agit d’une
norme « populaire », dont l’adoption est en
croissance continue pour répondre aux exigences
des appels d’offres. Mais attention, il ne suffit pas
de montrer patte blanche, ce qui compte, c’est
d’être efficace.
La 27001 passe en revue l’ensemble du sujet
sécurité, sans expliquer techniquement comment
mettre en œuvre - ce point est laissé à
l’appréciation de l’entreprise et pourra prendre des
formes différentes selon sa taille ou son budget,
Cognizant 20-20 Insights | Mars 2018
Cognizant 20-20 Insights
Tôt ou tard, vos clients vont exercer leurs droits. Et si ce ne sont
pas eux qui attaquent, ce seront vos compétiteurs.
mais surtout selon les risques et la criticité des données
qu’elle manipule. C’est la raison pour laquelle de
nombreuses entreprises sont conformes en apparence,
mais demeurent en réalité très vulnérables.
Pour donner un exemple concret, l’attaque WannaCry
l’été dernier est allée chiffrer des répertoires sur des
postes de travail, ainsi que des serveurs. Les pertes se
comptent en milliards d’euros. Pourtant, l’outil qui a
permis la création de Wannacry avait été publié un mois
avant l’attaque par le groupe Shadow Brokers. La
vulnérabilité était donc connue et les correctifs publiés
depuis le mois de mars... Les entreprises touchées
avaient « simplement » du retard dans l’application de
ces correctifs. C’est toute la différence entre conformité
et sécurité.
La GDPR s’inscrit tout-à-fait dans le même esprit et il
existe un certain nombre d’adhérences entre les deux
textes.
SIMILITUDE ET CONVERGENCE
Sur quels points la norme ISO et la GDPR se recouvrent-
elles ?
D’abord, sur la gouvernance.
La définition des responsabilités dans l’entreprise, le
contrôle des bonnes pratiques des prestataires, tout
comme la « séparation des pouvoirs » en matière de
gestion des données (par exemple, lorsqu’il vous faut un
tiers pour valider une demande d’accès aux données) se
retrouvent dans les deux textes. Là-dessus, une
entreprise qui respecte la 27001 est donc conforme
GDPR. Le principe est le même.
Deux autres piliers rapprochent les deux textes : la
gestion du risque et les contrôles.
En termes de gestion du risque, l’inventaire des données
sensibles de l’entreprise et l’évaluation de la criticité des
menaces sont un passage obligé pour la 27001 comme
pour la GDPR. Dans la 27001, les données sont
envisagées de manière extrêmement large, depuis la
R&D au service Communication qui annonce son futur
plan, en passant par les données financières.
GDPR : la norme ISO 27001 peut vous aider | 2
Une analyse de risques doit être menée pour chacun de
ces types de données ; et les données à caractère
personnel en font évidemment partie. Leur criticité va
d’ailleurs remonter avec l’entrée en vigueur du GDPR
puisque les manquements à leur sécurisation pourront
coûter très cher à l’entreprise : on évalue mieux leur
niveau de risque aujourd’hui. Les deux textes se
répondent.
Changement de gravité : la force centrifuge de la GDPR.
Pour estimer un niveau de risque, il convient de croiser la
vraisemblance et la gravité.Or la gravité des données à
caractère personnel vient de faire un bond. Jusqu’ici, les
amendes de la Cnil n’effrayaient pas grand monde.
Désormais, il y a ce fameux chiffre de 4% du CA mondial,
mais aussi les potentielles demandes de dommages et
intérêts de la part des utilisateurs. Imaginons que les
50 millions de clients d’Uber demandent tous 10
000 euros à l’entreprise en compensation du vol de leurs
données… Tôt ou tard, vos clients vont exercer leurs
droits. Et si ce ne sont pas eux qui attaquent, ce seront
vos compétiteurs. Un concurrent en mesure d’attirer sur
vous l’attention de la Cnil (sans la saisir directement,
puisqu’il n’en a pas le droit) et /ou de lancer une
campagne de presse défavorable ne s’en privera pas par
bonté d’âme.
Quatre options pour traiter les risques.
Autre exemple, on trouve dans la norme ISO 27001,
comme dans la GDPR, l’obligation de diminuer ces
risques au maximum. Cela se matérialise par quatre
grandes options :
• on le diminue (par exemple en installant des
badgeuses pour éviter les intrusions dans les
locaux) ;
• on l’accepte, quand on pense que tout a été fait
pour le minimiser ;
• on le rejette (en clôturant le projet) ;
• on le transfère afin qu’il soit pris en charge et
diminué par un tiers. Cette quatrième voie a pris de
l’ampleur, qu’il s’agisse d’une compagnie de vidéo
surveillance pour limiter les risques d’intrusion ou
d’un assureur. Attention toutefois, l’assureur
permettra de réduire les pertes financières
découlant d’une attaque mais ne réduira en rien le
risque de vol ou détérioration des données.
Cognizant 20-20 Insights

EN BREF

Implémentation de la GDPR
La mise en place de la GDPR doit être portée par le trio Data Protection Officer (DPO),
Directeur des Systèmes d’Information (DSI) et Responsable de la Sécurité des Systèmes
d’Information (RSSI). Leur collaboration est essentielle pour établir des processus
pérennes à l’échelle de l’entreprise. Le fait de combiner leurs expériences et de
mutualiser leurs connaissances est, qui plus est un facteur de succès d’un projet GDPR.
L’utilisation des référentiels de sécurité peut aider à la réalisation du Privacy Impact
Assessment (PIA) et au suivi des risques relatifs aux données à caractère personnel.

GDPR : la norme ISO 27001 peut vous aider | 3

Cognizant 20-20 Insights
D’autres notions présentes dans la norme ISO 27001 trouvent un
écho dans la GDPR ; c’est le cas du concept de sécurité dans les
projets que l’on retrouve dans le Privacy by Design.
Nouvelle règle de prévision et d’anticipation.
La GDPR pourrait cependant changer la donne : elle
devrait réduire le transfert de responsabilité vers les
assureurs, qui par définition ne paient qu’en cas de
problème, en aval. D’un point de vue consommateur, ce
n’est pas conforme à l’esprit du nouveau règlement. Et
ce n’est pas non plus satisfaisant en termes de sécurité,
puisque la vocation du transfert est avant tout de
diminuer le risque en amont. L’indemnisation ne règle
pas tous les problèmes de l’entreprise, comme on l’a vu
avec les problèmes d’image rencontrés par Orange ou
Yahoo. La GDPR contraindra désormais les sociétés à
communiquer sur le vol de données auprès des autorités
(tout comme l’ISO 27001), mais aussi auprès de leurs
clients concernés, au plus tard 72 heures après en avoir
eu connaissance.
Eviter les risques cachés et dérives.
Sur la partie contrôles, faites attention aux risques
cachés : la portabilité des données, notamment, ouvre la
porte à certaines dérives. Comment allez-vous vérifier
l’identité du client qui demande à récupérer ses
données ? Un scan de pièce d’identité pourrait ne pas
suffire : il est trop facile à usurper. Un marché illicite se
crée, autour de la récupération et de la revente de
données personnelles. L’authentification sera un point
central, y compris en interne : qui a accès à quoi ? Ces
protocoles doivent être mis à jour régulièrement, pour
suivre les changements de postes, départs, arrivées et
mutations des collaborateurs.
Privacy by Design.
D’autres notions présentes dans la norme ISO 27001
trouvent un écho dans la GDPR ; c’est le cas du concept
de sécurité dans les projets que l’on retrouve dans le
Privacy by Design, où le recouvrement est quasiment à
100%, ou encore du télétravail et de la sécurité des
données, évoqués en filigrane dans le nouveau texte et
déjà prévus par la norme.
GDPR : la norme ISO 27001 peut vous aider | 4
Penser à l’ensemble des canaux et supports.
Les deux textes tiennent compte des services de Cloud
public comme Google for Work ou la suite Microsoft. Mais
ils concernent aussi les réseaux sociaux d’entreprise (et
les réseaux sociaux tout court), les appareils connectés à
Internet, comme les caméras de surveillance, les
programmes d’analyse de Big Data, les médias amovibles
de type clef USD ou disque dur… Sans parler des
traitements RH, qui ouvrent un vaste champ
d’exploration, depuis le RIB de l’employé aux créations
d’emails, en passant par son numéro de sécurité sociale
ou par les informations sur sa carrière.
La GDPR, une réglementation transverse
On l’a compris, pour respecter la GDPR, il ne suffira pas
de cocher des cases : le texte invite à s’interroger sur
toutes ses pratiques et à mettre en place des solutions
concrètes.
La GDPR est transverse, elle concerne autant le Juridique
que l’IT, la Sécurité ou les Métiers. Le DPO joue un rôle de
chef d’orchestre. Or, sa tâche est complexe : dès que l’on
commence à « gratter » la surface du texte, en se
penchant sur un cas concret, on s’aperçoit que les
implications sont bien plus profondes qu’il n’y paraît. Pas
facile de répondre à une question précise d’un
collaborateur. Prenons l’exemple des sauvegardes : le
Juridique va s’intéresser à la protection des données
personnelles, l’IT pourra répondre techniquement en
indiquant sur quels serveurs se trouvent ces
sauvegardes, et la Sécurité va demander : « Mais as-tu
déjà testé la viabilité de tes sauvegardes ? Es-tu certain
que le Data Center de secours prend bien le relais ? »
Autant dire que l’approche « Sécurité » présente un
certain nombre d’avantages, ne serait-ce parce que ces
équipes-là sont accoutumées au risque en cas
d’insuffisance. L’explosion de la cyber-criminalité ces cinq
dernières années, avec des pertes vertigineuses pour les
entreprises, en termes financiers, mais aussi en termes
d’image de marque, a déjà confirmé les professionnels de
la Sécurité dans leur rôle de vigies.
Cognizant 20-20 Insights

EN BREF

Correspondances entre GDPR &

ISO 27001
ISO 27002 est le code de bonnes pratiques qui est le pendant d’ISO 27001. Il établit un
certain nombre de bonnes pratiques qui adressent des pans entiers de la mise en
conformité GDPR.

Certaines pratiques définies dans le cadre ISO 27002 permettent d’aider au traitement d’autres sujets GDPR sans
pour autant apporter une réponse complète. C’est le cas notamment des questions de : minimisation des données
(voir article 4), la finalité (voir articles 18.1.1 et 18.1.4), le choix (voir les articles 1.2 et 15.1.2), l’autodétermination (voir les
articles 7.1.2 et 15.1.2 d’ISO 27002) ou encore le consentement (voir l’article 7.3.1).

GDPR : la norme ISO 27001 peut vous aider | 5

Cognizant 20-20 Insights

A l’heure où la GDPR attire surtout l’attention des Quelques pistes à suivre :

entreprises par les nouveaux montants,
exceptionnellement élevés, des amendes en cas de faille, • La loi française de programmation militaire
il est intéressant que vous alliez interroger ceux qui (LPM) (et si l’on se projette dans l’avenir, la
vivaient déjà avec une épée de Damoclès au-dessus de la directive européenne « Network Information
tête. Security » en cours de transposition dans le
droit français).
CONCLUSION
D’autres textes font écho à la GDPR • La réglementation liée à la mise en place de
Au-delà de la norme ISO 27001, il est pertinent nouveaux processus de gestion de crise et de
de confronter le nouveau règlement continuité d’activité;
européen à d’autres obligations ou normes
antérieures. Ces rapprochements pourraient vous • n’oublions pas la loi Informatique et Liberté de
faire gagner un temps précieux et apporter 1978… ! Et ses modifications ultérieures - dont
une cohérence appréciable à votre démarche. celles liées à la récente Loi pour une République
Numérique – voir les publications de l’ANSSI2.

SOURCES UTILES
• L’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Informations) https://www.ssi.gouv.fr/administration/
bonnes-pratiques/

• The ISO Survey of Management System Standard Certifications (2006-2016)

https://www.iso.org/fr/isoiec-27001-information-security.html
- ISO 27001 – Technologies de l’information, techniques de sécurité, systèmes et management de l’information
- ISO 27002 – code de bonne pratique pour le management de la sécurité de l’information
- ISO 29151 (publié en août 2017) - code de bonne pratique proposant un cadre commun pour appréhender la protection
des données à caractère personnel dans un contexte GDPR. Attention toutefois à la définition anglaise de ce qu’est la
donnée personnelle sous-jacente à ce texte qui diffère de la nôtre. Vous pouvez le commander en ligne https://
www.iso.org/fr/isoiec-27001-information-security.html

GDPR : TRAVAUX PRATIQUES

Cet article s'inscrit dans le cadre d'un cycle de petits déjeuners organisés par Cognizant France
pour appréhender GDPR sous forme de « travaux pratiques » et échanges interactifs entre pairs
(DPO, CDO, directeurs Marketing et CRM, RSSI, DSI, Juridique…) . Leur objectif consiste à mettre en
avant les bonnes questions et avancer dans l’adoption du règlement. Du 19 janvier au 16 mars 2018,
ces petits déjeuners sont animés par Catherine Dardelet, Technology Consulting Head & Data Privacy
Subject Matter Expert Cognizant France, Sandra Azria, Avocate à la Cour certifiée par le Conseil de
l’Europe sur la RGPD et Julie Gommes, Responsable Cyber Sécurité, experte sécurité, certifiée ISO/CEI
27001 Lead Auditor, ex RSSI. Retrouvez toutes les informations concernant ce cycle sur :
https://www.cognizant.com/fr-fr/GDPR

6
 Á PROPOS DES AUTEURS
Julie Gommes
Expert Cybersecurité,
Cognizant Digital Technology
Consulting France
Catherine Dardelet
Technology Consulting Head
and Data Privacy Subject
Matter Expert Cognizant
France
Julie Gommes est en charge de la cybersécurité chez Cognizant
France. Elle fait partie du pôle Technology Consulting France.
Certifiée ISO 27001 Lead Auditor, elle intervient sur les questions de
gouvernance de la sécurité et sur la gestion du risque après avoir
travaillé plusieurs année en tant que RSSi et auditrice en sécurité. Julie
Gommes a rédigé divers papiers de recherche et donné des
conférences sur les thématiques suivantes : outils de
cryptographie des djihadistes, sécurité informatique pour les
journalistes, gestion de la sécurité au quotidien. Dans le cadre de son
rôle de formatrice, elle était invitée en novembre 2017 par l'UE à
donner une masterclass sur la cybersécurité pour des chefs
d'entreprises et décideurs.
On peut la joindre à Julie.Gommes@cognizant.com |
Linkedin: https://fr.linkedin.com/in/juliegommes
Catherine Dardelet a rejoint Cognizant en 2012 pour prendre la
responsabilité du pôle « Analytics & Information Management » et est à
présent dédiée aux sujets Data & Digital en tant que responsable de
l'équipe d'experts Technology consulting chez Cognizant France. La
protection et la législation des données personnelles dans les systèmes
d'informations (et plus particulièrement les CRM) est un sujet qu'elle
maîtrise depuis plus de 10 ans, c'est donc tout naturellement qu'elle
assure le lead sur ce sujet pour la France et est partie prenante dans
l'équipe GDPR pour Cognizant Europe. Catherine cumule plus de 25
années d’expérience dans la mise en œuvre de solution IT et de gestion
de programmes, que cela soit dans les métiers de la banque, grande
distribution, CPG, services ou industries, avec une expertise dédiée et
reconnue sur les domaines de la « Data » sous toutes ses formes :
gouvernance, analyse, qualité, législation… En parallèle de ses activités
professionnelles Catherine est également enseignante au sein de
l’université Paris II, sur le CRM incluant les Données personnelles.
On peut la joindre à Catherine.Dardelet@cognizant.com
7
A PROPOS DE COGNIZANT
Cognizant (NASDAQ-100 : CTSH) est l’une des principales sociétés de conseil et de services dans le monde. Elle accompagne les
entreprises dans leur transformation stratégique, opérationnelle et technologique à l’ère du digital. Avec son approche consultative
unique axée sur le secteur d’activité Cognizant aide ses clients à envisager, concevoir et opérer leurs activités en étant plus innovants et
plus efficaces. Son siège social se trouve aux Etats-Unis. Cognizant se classe au 205ème rang du palmarès Fortune 500 et fait partie du
«Fortune Magazine’s World’s Most Admired Companies ». Découvrez comment Cognizant aide les clients à se hisser au rang de leaders
sur le marché grâce au numérique sur www.cognizant.com ou suivez nous sur @Cognizant.

Siège mondial
500 Frank W. Burr Blvd.
Teaneck, NJ 07666 USA
Phone: +1 201 801 0233
Fax: +1 201 801 0243
Toll Free: +1 888 937 3277
Siège social européen Siège Opérationnel indien Siège social France
1 Kingdom Street #5/535 Old Mahabalipuram Road 50-52 boulevard Haussmann
Paddington Central Okkiyam Pettai, Thoraipakkam 75009 Paris, France
London W2 6BD England Chennai, 600 096 India Tel : +33 (01 70 36 56 57
Phone: +44 (0 20 7297 7600 Phone: +91 (0 44 4209 6000 Fax: +33 (01 47 22 79 24
Fax: +44 (0 20 7121 0102 Fax: +91 (0 44 4209 6060

© Copyright 2018, Cognizant. Tous droits réservés. La reproduction, le stockage dans un système de récupération ou la diffusion de cette publication, même partiellement, sous
quelle que forme que ce soit, électronique, mécanique, par photocopie ou enregistrement, est soumis à l’autorisation préalable de Cognizant. Les informations contenues dans ce
document peuvent être amenées à changer sans avertissement préalable. Toutes les marques qui sont mentionnées dans le document appartiennent à leurs propriétaires respectifs.