Académique Documents
Professionnel Documents
Culture Documents
ISO 27001 peut parue en septembre 2017. Elle indique qu’en 2016,
33.290 entreprises étaient certifiées 27001, soit +
vous aider
21% par rapport à l’année précédente. Dix ans plus
tôt, en 2006, ce chiffre se portait seulement à
5.797. 37,6% des entreprises actuellement
certifiées sont situées en Europe et 209 certificats
ont été délivrés en France, pour un total de 741
sites dans l’Hexagone.
Chers DPO, auriez-vous sans le
savoir un peu d’avance sur la La norme ISO 27001 est généralement pilotée par
GDPR ? Tout un pan du nouveau le RSSI. Son pendant (ISO/CEI 27002), sous forme
de guide des bonnes pratiques, est très utile à
texte relève en effet directement
l’implémentation. Globalement, il s’agit d’une
de la sécurité. Or la norme ISO/CEI norme « populaire », dont l’adoption est en
27001:2013, la référence en la croissance continue pour répondre aux exigences
matière, recoupe sur bien des des appels d’offres. Mais attention, il ne suffit pas
de montrer patte blanche, ce qui compte, c’est
points le règlement européen. Si d’être efficace.
votre entreprise respecte déjà ce
standard, elle vous a mâché le La 27001 passe en revue l’ensemble du sujet
sécurité, sans expliquer techniquement comment
travail. mettre en œuvre - ce point est laissé à
l’appréciation de l’entreprise et pourra prendre des
formes différentes selon sa taille ou son budget,
mais surtout selon les risques et la criticité des données Une analyse de risques doit être menée pour chacun de
qu’elle manipule. C’est la raison pour laquelle de ces types de données ; et les données à caractère
nombreuses entreprises sont conformes en apparence, personnel en font évidemment partie. Leur criticité va
mais demeurent en réalité très vulnérables. d’ailleurs remonter avec l’entrée en vigueur du GDPR
puisque les manquements à leur sécurisation pourront
Pour donner un exemple concret, l’attaque WannaCry coûter très cher à l’entreprise : on évalue mieux leur
l’été dernier est allée chiffrer des répertoires sur des niveau de risque aujourd’hui. Les deux textes se
postes de travail, ainsi que des serveurs. Les pertes se répondent.
comptent en milliards d’euros. Pourtant, l’outil qui a
Changement de gravité : la force centrifuge de la GDPR.
permis la création de Wannacry avait été publié un mois
avant l’attaque par le groupe Shadow Brokers. La Pour estimer un niveau de risque, il convient de croiser la
vulnérabilité était donc connue et les correctifs publiés vraisemblance et la gravité.Or la gravité des données à
depuis le mois de mars... Les entreprises touchées caractère personnel vient de faire un bond. Jusqu’ici, les
avaient « simplement » du retard dans l’application de amendes de la Cnil n’effrayaient pas grand monde.
ces correctifs. C’est toute la différence entre conformité Désormais, il y a ce fameux chiffre de 4% du CA mondial,
et sécurité. mais aussi les potentielles demandes de dommages et
intérêts de la part des utilisateurs. Imaginons que les
La GDPR s’inscrit tout-à-fait dans le même esprit et il 50 millions de clients d’Uber demandent tous 10
existe un certain nombre d’adhérences entre les deux 000 euros à l’entreprise en compensation du vol de leurs
textes. données… Tôt ou tard, vos clients vont exercer leurs
droits. Et si ce ne sont pas eux qui attaquent, ce seront
SIMILITUDE ET CONVERGENCE vos compétiteurs. Un concurrent en mesure d’attirer sur
Sur quels points la norme ISO et la GDPR se recouvrent-
vous l’attention de la Cnil (sans la saisir directement,
elles ?
puisqu’il n’en a pas le droit) et /ou de lancer une
campagne de presse défavorable ne s’en privera pas par
D’abord, sur la gouvernance.
bonté d’âme.
La définition des responsabilités dans l’entreprise, le
contrôle des bonnes pratiques des prestataires, tout Quatre options pour traiter les risques.
comme la « séparation des pouvoirs » en matière de Autre exemple, on trouve dans la norme ISO 27001,
gestion des données (par exemple, lorsqu’il vous faut un comme dans la GDPR, l’obligation de diminuer ces
tiers pour valider une demande d’accès aux données) se risques au maximum. Cela se matérialise par quatre
retrouvent dans les deux textes. Là-dessus, une grandes options :
entreprise qui respecte la 27001 est donc conforme • on le diminue (par exemple en installant des
GDPR. Le principe est le même. badgeuses pour éviter les intrusions dans les
locaux) ;
Deux autres piliers rapprochent les deux textes : la • on l’accepte, quand on pense que tout a été fait
gestion du risque et les contrôles. pour le minimiser ;
• on le rejette (en clôturant le projet) ;
En termes de gestion du risque, l’inventaire des données
• on le transfère afin qu’il soit pris en charge et
sensibles de l’entreprise et l’évaluation de la criticité des
diminué par un tiers. Cette quatrième voie a pris de
menaces sont un passage obligé pour la 27001 comme l’ampleur, qu’il s’agisse d’une compagnie de vidéo
pour la GDPR. Dans la 27001, les données sont surveillance pour limiter les risques d’intrusion ou
envisagées de manière extrêmement large, depuis la d’un assureur. Attention toutefois, l’assureur
R&D au service Communication qui annonce son futur permettra de réduire les pertes financières
découlant d’une attaque mais ne réduira en rien le
plan, en passant par les données financières.
risque de vol ou détérioration des données.
EN BREF
Implémentation de la GDPR
La mise en place de la GDPR doit être portée par le trio Data Protection Officer (DPO),
Directeur des Systèmes d’Information (DSI) et Responsable de la Sécurité des Systèmes
d’Information (RSSI). Leur collaboration est essentielle pour établir des processus
pérennes à l’échelle de l’entreprise. Le fait de combiner leurs expériences et de
mutualiser leurs connaissances est, qui plus est un facteur de succès d’un projet GDPR.
L’utilisation des référentiels de sécurité peut aider à la réalisation du Privacy Impact
Assessment (PIA) et au suivi des risques relatifs aux données à caractère personnel.
EN BREF
Certaines pratiques définies dans le cadre ISO 27002 permettent d’aider au traitement d’autres sujets GDPR sans
pour autant apporter une réponse complète. C’est le cas notamment des questions de : minimisation des données
(voir article 4), la finalité (voir articles 18.1.1 et 18.1.4), le choix (voir les articles 1.2 et 15.1.2), l’autodétermination (voir les
articles 7.1.2 et 15.1.2 d’ISO 27002) ou encore le consentement (voir l’article 7.3.1).
SOURCES UTILES
• L’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Informations) https://www.ssi.gouv.fr/administration/
bonnes-pratiques/
Cet article s'inscrit dans le cadre d'un cycle de petits déjeuners organisés par Cognizant France
pour appréhender GDPR sous forme de « travaux pratiques » et échanges interactifs entre pairs
(DPO, CDO, directeurs Marketing et CRM, RSSI, DSI, Juridique…) . Leur objectif consiste à mettre en
avant les bonnes questions et avancer dans l’adoption du règlement. Du 19 janvier au 16 mars 2018,
ces petits déjeuners sont animés par Catherine Dardelet, Technology Consulting Head & Data Privacy
Subject Matter Expert Cognizant France, Sandra Azria, Avocate à la Cour certifiée par le Conseil de
l’Europe sur la RGPD et Julie Gommes, Responsable Cyber Sécurité, experte sécurité, certifiée ISO/CEI
27001 Lead Auditor, ex RSSI. Retrouvez toutes les informations concernant ce cycle sur :
https://www.cognizant.com/fr-fr/GDPR
6
Á PROPOS DES AUTEURS
7
A PROPOS DE COGNIZANT
Cognizant (NASDAQ-100 : CTSH) est l’une des principales sociétés de conseil et de services dans le monde. Elle accompagne les
entreprises dans leur transformation stratégique, opérationnelle et technologique à l’ère du digital. Avec son approche consultative
unique axée sur le secteur d’activité Cognizant aide ses clients à envisager, concevoir et opérer leurs activités en étant plus innovants et
plus efficaces. Son siège social se trouve aux Etats-Unis. Cognizant se classe au 205ème rang du palmarès Fortune 500 et fait partie du
«Fortune Magazine’s World’s Most Admired Companies ». Découvrez comment Cognizant aide les clients à se hisser au rang de leaders
sur le marché grâce au numérique sur www.cognizant.com ou suivez nous sur @Cognizant.
Siège mondial Siège social européen Siège Opérationnel indien Siège social France
500 Frank W. Burr Blvd. 1 Kingdom Street #5/535 Old Mahabalipuram Road 50-52 boulevard Haussmann
Teaneck, NJ 07666 USA Paddington Central Okkiyam Pettai, Thoraipakkam 75009 Paris, France
Phone: +1 201 801 0233 London W2 6BD England Chennai, 600 096 India Tel : +33 (01 70 36 56 57
Fax: +1 201 801 0243 Phone: +44 (0 20 7297 7600 Phone: +91 (0 44 4209 6000 Fax: +33 (01 47 22 79 24
Toll Free: +1 888 937 3277 Fax: +44 (0 20 7121 0102 Fax: +91 (0 44 4209 6060
© Copyright 2018, Cognizant. Tous droits réservés. La reproduction, le stockage dans un système de récupération ou la diffusion de cette publication, même partiellement, sous
quelle que forme que ce soit, électronique, mécanique, par photocopie ou enregistrement, est soumis à l’autorisation préalable de Cognizant. Les informations contenues dans ce
document peuvent être amenées à changer sans avertissement préalable. Toutes les marques qui sont mentionnées dans le document appartiennent à leurs propriétaires respectifs.