Le Règlement Général sur la Protection des Données (RGPD) est entré en vigueur depuis un mois maintenant et de nombreuses entreprises s’efforcent de se conformer à cette nouvelle réglementation, même si elles disposent encore de cinq ans pour se préparer et s’y conformer.
Les nouveaux règlements législatifs entraînent toujours des coûts supplémentaires et beaucoup d’initiatives de gestion. Cependant, ils offrent également de nouvelles opportunités pour les professionnels avertis, les entrepreneurs et les pirates informatiques.
Au fur et à mesure que les gestionnaires de dossiers de Niveau C discutent de l’impact du RGPD sur leur organisation, tandis que d’autres personnes évaluent les moyens d’en tirer des avantages financiers.
Le Délégué à la Protection des Données (DPD)
Si vous allez sur Indeed.co.uk et cherchez « Data Protection Officer », vous trouverez plus de 3 000 offres d’emploi, rien qu’en Angleterre.
En effet, les offres d’emploi de DPD sur le site de recherche d’emploi Indeed ont augmenté de plus de 700 % au cours des 18 derniers mois. Si vous avez la base de connaissances requise et les compétences décrites pour ce poste, alors le moment est propice pour vous y lancer.
L’article 37 du RGPD exige que les entreprises qui collectent ou traitent les données des citoyens de l’UE disposent d’un DPD. Selon l’Association internationale des professionnels de la protection de la vie (IAPP), plus de 28 000 DPD seront nécessaires en Europe et aux États-Unis et jusqu’à 75 000 dans le monde. La demande est particulièrement forte dans certains secteurs comme le marketing numérique, la finance, les soins de santé et la vente au détail.
De grandes sociétés technologiques comme Microsoft, Twitter, Facebook et Airbnb recrutent des DPD. Selon ITJobsWatch, le salaire moyen des professionnels intervenant dans le domaine du RGPD, y compris les DPD, s’élève à 71 584 euros par an. Le poste de DPD bénéficie d’un salaire médian de 106 500$. Aux États-Unis, un DPD peut toucher des salaires allant jusqu’à 150 000$.
L’article 37 du RGPD précise les pouvoirs exacts qu’un Délégué à la Protection des Données à caractère personnel doit détenir. Parmi tant d’autres, le niveau d’expertise du DPD « doit être déterminé notamment en fonction des traitements de données effectués et de la protection requise pour les données à caractère personnel traitées par le responsable ou le sous-traitant ». Cet article donne également un aperçu de certaines des responsabilités du DPD, à savoir :
- Sensibiliser le responsable du traitement ou le sous-traitant et ses employés aux obligations qui leur incombent en matière de respect des règles du RGPD
- Former le personnel chargé du traitement des données à une bonne hygiène en matière de cybersécurité
- Surveiller la conformité au RGPD
- Effectuer des vérifications et régler les problèmes éventuels de façon proactive
- Servir de point de contact entre l’organisation et l’autorité de contrôle du RGPD
- Servir de point de contact pour les demandes de renseignements des personnes concernant leurs données à caractère personnel et la manière dont elles sont utilisées, les pratiques en matière de protection des données et leurs droits personnels.
- Tenir des registres complets de toutes les activités de traitement de données.
Le RGPD, une opportunité de piratage et d’augmentation des cyberattaques
Il existe un autre aspect du RGPD qui préoccupe les gestionnaires de fichiers de niveau C. Il s’agit de l’imposition éventuelle d’amendes en raison du manque de diligence raisonnable de la part d’une entreprise en matière de prévention ou de réaction contre l’atteinte à la protection des données personnelles d’un tiers.
Dans le cadre du RGPD, les entreprises peuvent se voir infliger des amendes allant jusqu’à 20 millions d’euros ou jusqu’à 4% de leur chiffre d’affaires annuel global pour les infractions les plus graves, le montant le plus élevé étant retenu.
Un palier inférieur impose une amende de 2% pour les infractions moins graves. Cependant, le grand public estime que de telles amendes devraient être substantielles afin de motiver les entreprises à prendre au sérieux leurs obligations en matière de protection des données personnelles. Cependant, l’ampleur colossale de ces amendes constitue une opportunité pour la communauté des pirates informatiques.
Les entreprises seront encouragées à effectuer régulièrement des tests d’intrusion par des pirates expérimentés, ou pirates white hat, qui peuvent fournir des informations sur la manière dont une personne malveillante pourrait violer leur infrastructure de stockage de données. À l’autre bout du spectre, les pirates informatiques aux intentions malveillantes reconnaîtront l’opportunité de cibler les entreprises conformes au RGPD.
Les pirates pourraient attaquer les entreprises dans le but de confisquer des données et imposer à la direction des frais d’extorsion afin de dissimuler l’infraction plutôt que de se voir infliger des amendes punitives qui pourraient se chiffrer en dizaines de millions de dollars. Comme avec les ransomwares, les cybercriminels essayeront de trouver l’endroit idéal où les entreprises seraient les plus susceptibles de payer volontiers la rançon pour éviter les amendes.
Les amendes potentielles liées aux infractions dont nous avons été témoins ces dernières années concernaient Equifax et Yahoo. Nous avons également vu des entreprises comme Uber travailler en coopération avec des pirates informatiques pour dissimuler les failles et les faire disparaître.
Le piratage d’Uber est l’exemple parfait de la façon dont les pirates pourraient tirer profit du RGPD. Suite au vol de données de plus de 57 millions de clients, les pirates ont fait chanter Uber, lequel a choisi de payer 750 000£ pour garder l’infraction secrète. Au regard du RGPD, Uber aurait enfreint la réglementation.
Une grande partie de l’attention médiatique autour du RGPD s’est concentrée sur les amendes potentielles, à savoir de 2 jusqu’à 4% du chiffre d’affaires global, mais moins sur les exigences de déclaration strictes définies par l’Organisation internationale du commerce ou (OIC). Les pirates pourront profiter de cette opportunité potentielle pour réaliser des gains rapides et substantiels.
La sécurité multicouche est la réponse
Aucune entreprise ne peut protéger ses données contre toutes les attaques possibles et garantir la sécurité des données qu’elle héberge. Ce que vous pouvez faire, c’est faire preuve de diligence raisonnable pour mettre en œuvre un plan de sécurité à plusieurs niveaux — y compris la couche vitale de protection DNS — pour combattre les attaques probables.
Deux des outils les plus efficaces dans l’arsenal de sécurité d’une entreprise sont les solutions de filtrage du courrier électronique et du contenu web. L’email continue d’être la principale méthode utilisée par les pirates informatiques pour lancer leurs sinistres attaques contre l’entreprise ciblée.
Le web occupe la deuxième place, derrière les pirates informatiques qui hébergent leurs propres sites de déploiement de malwares ou endommagent des sites légitimes avec des codes malveillants. Un pare-feu entreprise robuste est essentiel, ainsi que des pare-feu locaux activés sur tous vos périphériques, lesquels sont protégés avec une solution sécurité des nœuds d’extrémité.
Les opportunités se présentent sous de nombreuses formes. Non seulement les professionnels de la cybersécurité, mais aussi les pirates informatiques trouveront donc des récompenses potentielles avec le RGPD.