Juridique

Les nouveaux rôles du RSSI en lien avec le GDPR

Retrouvez cet article dans le CIO FOCUS n°136 !

Cybersécurité : Menaces évidentes, menaces cachées

Les entreprises sont menacées lorsque leur SI l'est. Si certaines menaces sont évidentes, d'autres le sont moins ou sont négligées. Et les risques encourus sont alors importants. Les très classiques attaques DDOS (par déni de service) ou les exploitations de failles pour pénétrer le SI demeurent...

Découvrir

---

Le 28 février, CIO a organisé une Matinée Stratégique « Cybersécurité : menaces évidentes, menaces cachées » à Paris. Trois RSSI ont témoigné des nouvelles réponses qu'ils se devaient d'apporter, notamment par la transformation de leur rôle en lien avec le GDPR : Arnaud Tanguy (CISO d'AXA Investment Managers), Philippe Fontaine (RSSI du Groupe SMA) et Farid Illikoud (CISO du PMU).

PublicitéLa conformité réglementaire est traditionnellement un sujet pour le RSSI mais limité à des réglementation en lien strictement avec la sécurité des données. Déjà, l'obligation de sécurité des données personnelles les a confrontés à la CNIL. La prochaine entrée en application du GDPR (Règlement Général européen sur la Protection des Données) étend leur rôle dans ce domaine mais sans les dispenser de leurs autres obligations. Sur la Matinée Stratégique « Cybersécurité : menaces évidentes, menaces cachées », organisée par CIO le 28 février 2017, trois RSSI ont témoigné sur ce sujet lors de la deuxième table ronde : Arnaud Tanguy (CISO d'AXA Investment Managers), Philippe Fontaine (RSSI du Groupe SMA) et Farid Illikoud (CISO du PMU).

Les trois RSSI couvrent trois marchés très différents les uns des autres mais les contraintes nouvelles qui pèsent sur eux sont autant importantes. Ainsi, le PMU propose des paris hippiques et sportifs mais aussi du poker en ligne. SMA est une mutuelle du bâtiment qui assure notamment la moitié des garanties décennales en France mais qui a aussi une activité bancaire et assurancielle. Enfin, AXA Investment Managers est la filiale de gestion d'actifs du groupe Axa, gérant ainsi 600 milliards d'euros. Le groupe Axa est de fait le principal client d'Axa IM mais des institutions tierces (fonds privés ou publics) ont également recours à ses services, pour un total d'environ 2000 clients.

L'inflation réglementaire doit être intégrée

« Il y a une véritable inflation réglementaire qui impacte lourdement l'activité de l'entreprise » a confirmé d'entrée de jeu Farid Illikoud. Au PMU, le réglementaire comprend aussi la conformité avec les règles de l'ARJEL (Autorité de Régulation des Jeux En Ligne). Il s'agit encore une fois, pour ce qui concerne l'IT, de règles de sécurité tant technologiques que procédurales. Farid Illikoud précise : « la finalité est la protection du joueur, y compris contre l'addiction ou la tentation de jouer alors qu'il n'en a pas le droit, parce qu'il est mineur par exemple ». Du coup, le PMU a l'obligation de s'assurer de l'identité des joueurs. Et l'ARJEL opère tous les ans un audit qui dure deux mois sur l'ensemble des processus de l'entreprise.

A cette spécificité sectorielle, le PMU ajoute toutes les contraintes générales. Au premier chef desquelles vient le GDPR (en Français, RGPD : règlement général européen sur la protection des données). La non-conformité entraîne le risque d'une amende se chiffrant à 4 % du chiffre d'affaires mondial. « Certes, c'est un chamboulement qu'on nous impose en deux ans, mais c'est une réglementation qu'on a vu venir » a modéré Arnaud Tanguy. Il restait les détails mais les grandes lignes étaient en effet connues depuis longtemps.

PublicitéDeux aspects : juridique et technique

Pour lui, il faut travailler deux aspects. D'une part, il faut commencer par une étude juridique approfondie pour examiner en quoi l'entreprise est impactée par le GDPR, clause par clause. D'autre part, il faut en tirer les conséquences techniques. « La préoccupation, en matière de protection des données, est très proche de la sécurité traditionnelle des données » constate Arnaud Tanguy. Classification des informations, inventaires des applications... choses normales pour identifier ce qu'il faut protéger et comment.

Philippe Fontaine a confirmé : « On suivait la promulgation du RGPD depuis le départ et c'était un sujet de discussion au ComEx, porté par le DSI auquel je suis rattaché ». C'est dès avant la promulgation que SMA a ainsi décidé de mener un audit avec Deloitte pour faire le point sur la situation des données personnelles au sein du groupe. Ce diagnostic a permis de ressortir les écarts potentiels. Le suivi de la mise en conformité a été ensuite assuré par une stagiaire du master spécialisé en formation continue de l'ISEP, juriste de formation initiale avec une expérience professionnelle dans ce domaine, mais avec la compétence informatique et liberté apportée par le master. Sa mission a été de construire le plan d'action pour être en conformité avant le 25 mai 2018. La mise en oeuvre du plan lui a également été confié au travers d'une embauche à l'issue du stage.

La sécurité, outil de la conformité

Au PMU, la démarche a débuté dès la promulgation du texte, à l'été 2016. « Il s'agissait déjà de comprendre le texte » a relevé Farid Illikoud. Il a fallu une collaboration entre la direction générale, la direction juridique et l'IT, en l'occurrence la sécurité informatique. Une analyse de la situation a permis d'isoler des écarts de conformité. Utilisant l'obligation de conformité, Farid Illikoud a lancé un chantier plus vaste : « classification des données, mise en place d'un DLP, etc. On en profite pour balayer tous les processus. La sécurité n'est qu'un moyen pour remplir des obligations essentiellement juridiques. »

Mais le chantier est en effet très vaste. Il faut de fait être en mesure d'identifier tout le circuit des données. Et le CIL est sans doute insuffisamment technicien pour y parvenir. Du coup, le sujet retombe sur le RSSI. « Nous n'avions pas forcément une cartographie précise de toutes les données, les contrats avec les fournisseurs impliqués, etc. Il y a donc un vaste chantier qui est naturellement confié au RSSI, celui qui est capable de parler avec les développeurs, les architectes, avec des juristes et des acheteurs » a pointé Farid Illikoud. Il a cependant précisé : « nous n'avons évidemment pas attendu GDPR pour protéger de la donnée client mais le risque pénal avec une amende de très fort montant est évidemment un facilitateur pour les discussions internes. » « Dans des petites sociétés de gestion d'actifs, avec les RSSI desquels nous discutons, le GDPR est un bon levier pour faire adopter des démarches de sécurité » a relevé Arnaud Tanguy.

Le DPO en question

Des points peuvent rester en suspens. Par exemple, au PMU, le choix n'est pas encore arrêté quant à savoir s'il faut ou non un DPO (Data Privacy Officer). Celui-ci ayant une dimension technique, le RSSI semble devoir être en charge de cette nouvelle mission. D'autres penchent pour une dominante juridique pour le profil du futur DPO. Mais, en tel cas, une dimension technique serait manquante. Chez Axa IM, la conformité GDPR a été lancée sous la forme d'un vaste programme commun entre la sécurité informatique, le juridique et la conformité réglementaire sous l'autorité directe de la direction générale. « Nous opérons dans un secteur très réglementé à la base et nos équipes de conformité réglementaire sont assez fortes » s'est réjoui Arnaud Tanguy. Il n'est en effet pas rare, dans ce secteur, que la mise en oeuvre de réglementations impactant lourdement le statu quo doive se faire en un an. En l'occurrence, le RSSI apporte donc son concours à cette équipe bien rodée.

« La cartographie des traitements est le nerf de la guerre » a insisté Philippe Fontaine. Celle-ci peut être issue des déclarations des uns et des autres, responsables de tels ou tels traitements. Pour garantir l'exhaustivité, se rapprocher de CIL de sociétés comparables permet de comparer les relevés et ainsi de voir les écarts pour compléter les inventaires. Dans l'assurance, une réglementation sectorielle, Solvency 2, impose une qualité des données qui permet, à partir de l'inventaire, de remonter aux traitements. Le DPO sera probablement la chargée de mission actuelle qui devrait être rattachée hiérarchiquement au RSSI. Philippe Fontaine a aussitôt précisé : « qui dit rattachement hiérarchique ne signifie pas rattachement fonctionnel ». Le DPO doit en effet rendre compte au seul responsable final des traitements et travailler en lien fort avec la direction juridique, d'où le choix, chez SMA, d'un profil juridique. Chez Axa IM, le profil du futur DPO n'est pas encore formellement choisi mais il serait logique qu'il appartienne à la cellule de conformité réglementaire, avec une expérience juridique et technique.

Cartographie des données et état des lieux semblent bien être au coeur de la démarche, comme l'a relevé en conclusion de la table ronde le Grand Témoin de la matinée, Olivier Ligneul, CTO et Group CISO chez EDF.

Article rédigé par

Bertrand Lemaire, Rédacteur en chef de CIO

Partager cet article