Il est essentiel que toutes les organisations s’y préparent dès à présent, aussi bien pour échapper aux sanctions que pour se protéger des hackers.
Tout non-respect du RGPD exposera les entreprises à des amendes pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires mondial. En outre, alors que ce nouveau règlement est une avancée positive dans la protection des données, les organisations doivent avoir conscience que les cybercriminels peuvent profiter de la situation en utilisant de nouvelles méthodes. Comme l’ont démontré les récents événements liés à l’attaque WannaCry, le ransomware est une technique largement utilisée par les hackers, qui évolue et peut devenir encore plus dangereuse, notamment si un pirate réussit à accéder à un réseau et que l’organisation ciblée n’a pas les outils nécessaires en place pour détecter la faille, ou simplement pour la signaler.
Il pourrait alors, par exemple, menacer de la dénoncer auprès de la CNIL pour non-conformité, si elle ne paie pas la rançon. Est-il possible qu’une entreprise puisse préférer acheter le silence d’un hacker plutôt que de payer une amende pour ne pas avoir respecté le règlement ? Ainsi, pour éviter de se retrouver en mauvaise posture et être en phase avec le RGPD, les organisations devront être capables de détecter, se protéger, prédire et contenir les menaces au cœur de leur réseau. Cela leur permettra notamment de répondre à l’obligation de signaler toute vulnérabilité dans les 72 heures au plus tard après en avoir pris connaissance, et de sauvegarder les données de leurs clients dans un endroit sûr.
Et pour y parvenir, elles auront besoin d’une visibilité complète sur toutes les données qui transitent sur leurs réseaux, puisqu’on ne peut pas sécuriser ce qu’on ne voit pas. Par ailleurs, le nom donné au règlement a laissé penser à certaines entreprises basées en dehors de l’Union Européenne, et en particulier aux Etats-Unis, que ces changements ne les impacteraient pas. Toutefois, ces organisations outre-Atlantique font fausse route. Elles doivent en effet prendre les mesures nécessaires dès à présent au risque de ne pas être conformes d’ici la date de l’entrée en vigueur. Le RGPD s’applique à toute donnée en lien avec un résident de l’Union Européenne.
Par conséquent, une entreprise hors-UE qui effectue une vente auprès d’un client européen devra être en conformité avec le règlement en question. De la même manière qu’une organisation américaine qui détient les données personnelles de clients au sein de l’Union Européenne sera également tenue de respecter les dispositions du RGPD. Toutefois, les entreprises ne peuvent simplement pas être conformes ni sécurisées sans une visibilité permanente et complète sur l’ensemble de leur réseau.
C’est pourquoi, elles doivent adopter les outils de visibilité et de sécurité adéquats pour se protéger et ainsi éviter de faire la Une des journaux. Les 365 jours à venir sont donc l’occasion, pour celles qui ne l’ont pas encore fait, de renforcer leur architecture de sécurité, de réaliser des simulations de cyberattaque et de s’assurer que l’ensemble des collaborateurs connaissent les processus de notification dès qu’une faille est identifiée, et d’être ainsi prêtes une fois le RGPD en vigueur.