Executive Summary

La 27001, un taux d’adoption en forte hausse. La dernière version de l’enquête annuelle ISO1 est parue en septembre 2017. Elle indique qu’en 2016, 33.290 entreprises étaient certifiées 27001, soit + 21% par rapport à l’année précédente. Dix ans plus tôt, en 2006, ce chiffre se portait seulement à 5.797. 37,6% des entreprises actuellement certifiées sont situées en Europe et 209 certificats ont été délivrés en France, pour un total de 741 sites dans l’Hexagone.

La norme ISO 27001 est généralement pilotée par le RSSI. Son pendant (ISO/CEI 27002), sous forme de guide des bonnes pratiques, est très utile à l’implémentation. Globalement, il s’agit d’une norme « populaire », dont l’adoption est en croissance continue pour répondre aux exigences des appels d’offres. Mais attention, il ne suffit pas de montrer patte blanche, ce qui compte, c’est d’être efficace.

La 27001 passe en revue l’ensemble du sujet sécurité, sans expliquer techniquement comment mettre en œuvre - ce point est laissé à l’appréciation de l’entreprise et pourra prendre des formes différentes selon sa taille ou son budget,

réalité très vulnérables.

Pour donner un exemple concret, l’attaque WannaCry l’été dernier est allée chiffrer des répertoires sur des postes de travail, ainsi que des serveurs. Les pertes se comptent en milliards d’euros. Pourtant, l’outil qui a permis la création de Wannacry avait été publié un mois avant l’attaque par le groupe Shadow Brokers. La vulnérabilité était donc connue et les correctifs publiés depuis le mois de mars... Les entreprises touchées avaient « simplement » du retard dans l’application de ces correctifs. C’est toute la différence entre conformité et sécurité.

La GDPR s’inscrit tout-à-fait dans le même esprit et il existe un certain nombre d’adhérences entre les deux textes.

GDPR : la norme ISO 27001 peut vous aider

Chers DPO, auriez-vous sans le savoir un peu d’avance sur la GDPR ? Tout un pan du nouveau texte relève en effet directement de la sécurité. Or la norme ISO/CEI 27001:2013, la référence en la matière, recoupe sur bien des points le règlement européen. Si votre entreprise respecte déjà ce standard, elle vous a mâché le travail.

COGNIZANT 20-20 INSIGHTS

Cognizant 20-20 Insights | Mars 2018

GDPR : la norme ISO 27001 peut vous aider | 2

Une analyse de risques doit être menée pour chacun de ces types de données ; et les données à caractère personnel en font évidemment partie. Leur criticité va d’ailleurs remonter avec l’entrée en vigueur du GDPR puisque les manquements à leur sécurisation pourront coûter très cher à l’entreprise : on évalue mieux leur niveau de risque aujourd’hui. Les deux textes se répondent.

Changement de gravité : la force centrifuge de la GDPR.

Pour estimer un niveau de risque, il convient de croiser la vraisemblance et la gravité.Or la gravité des données à

caractère personnel vient de faire un bond. Jusqu’ici, les amendes de la Cnil n’effrayaient pas grand monde. Désormais, il y a ce fameux chiffre de 4% du CA mondial,

mais aussi les potentielles demandes de dommages et intérêts de la part des utilisateurs. Imaginons que les 50 millions de clients d’Uber demandent tous 10 000 euros à l’entreprise en compensation du vol de leurs données… Tôt ou tard, vos clients vont exercer leurs droits. Et si ce ne sont pas eux qui attaquent, ce seront vos compétiteurs. Un concurrent en mesure d’attirer sur vous l’attention de la Cnil (sans la saisir directement, puisqu’il n’en a pas le droit) et /ou de lancer une campagne de presse défavorable ne s’en privera pas par bonté d’âme.

Quatre options pour traiter les risques.

Autre exemple, on trouve dans la norme ISO 27001, comme dans la GDPR, l’obligation de diminuer ces risques au maximum. Cela se matérialise par quatre grandes options :

Cognizant 20-20 Insights

Tôt ou tard, vos clients vont exercer leurs droits. Et si ce ne sont pas eux qui attaquent, ce seront vos compétiteurs.

mais surtout selon les risques et la criticité des données qu’elle manipule. C’est la raison pour laquelle de nombreuses entreprises sont conformes en apparence, mais demeurent en réalité très vulnérables.

Pour donner un exemple concret, l’attaque WannaCry l’été dernier est allée chiffrer des répertoires sur des postes de travail, ainsi que des serveurs. Les pertes se comptent en milliards d’euros. Pourtant, l’outil qui a permis la création de Wannacry avait été publié un mois avant l’attaque par le groupe Shadow Brokers. La vulnérabilité était donc connue et les correctifs publiés depuis le mois de mars... Les entreprises touchées avaient « simplement » du retard dans l’application de ces correctifs. C’est toute la différence entre conformité et sécurité.

La GDPR s’inscrit tout-à-fait dans le même esprit et il existe un certain nombre d’adhérences entre les deux textes.

SIMILITUDE ET CONVERGENCESur quels points la norme ISO et la GDPR se recouvrent-elles ?

D’abord, sur la gouvernance.

La définition des responsabilités dans l’entreprise, le contrôle des bonnes pratiques des prestataires, tout comme la « séparation des pouvoirs » en matière de gestion des données (par exemple, lorsqu’il vous faut un tiers pour valider une demande d’accès aux données) se retrouvent dans les deux textes. Là-dessus, une entreprise qui respecte la 27001 est donc conforme GDPR. Le principe est le même.

Deux autres piliers rapprochent les deux textes : la gestion du risque et les contrôles.

En termes de gestion du risque, l’inventaire des données sensibles de l’entreprise et l’évaluation de la criticité des menaces sont un passage obligé pour la 27001 comme pour la GDPR. Dans la 27001, les données sont envisagées de manière extrêmement large, depuis la R&D au service Communication qui annonce son futur plan, en passant par les données financières.

• on le diminue (par exemple en installant des badgeuses pour éviter les intrusions dans les locaux) ;

• on l’accepte, quand on pense que tout a été fait pour le minimiser ;

• on le rejette (en clôturant le projet) ;• on le transfère afin qu’il soit pris en charge et

diminué par un tiers. Cette quatrième voie a pris de l’ampleur, qu’il s’agisse d’une compagnie de vidéo surveillance pour limiter les risques d’intrusion ou d’un assureur. Attention toutefois, l’assureur permettra de réduire les pertes financières découlant d’une attaque mais ne réduira en rien le risque de vol ou détérioration des données.

Cognizant 20-20 Insights

EN BREF

Implémentation de la GDPR La mise en place de la GDPR doit être portée par le trio Data Protection Officer (DPO),

Directeur des Systèmes d’Information (DSI) et Responsable de la Sécurité des Systèmes

d’Information (RSSI). Leur collaboration est essentielle pour établir des processus

pérennes à l’échelle de l’entreprise. Le fait de combiner leurs expériences et de

mutualiser leurs connaissances est, qui plus est un facteur de succès d’un projet GDPR.

L’utilisation des référentiels de sécurité peut aider à la réalisation du Privacy Impact

Assessment (PIA) et au suivi des risques relatifs aux données à caractère personnel.

GDPR : la norme ISO 27001 peut vous aider | 3

Cognizant 20-20 Insights

D’autres notions présentes dans la norme ISO 27001 trouvent un écho dans la GDPR ; c’est le cas du concept de sécurité dans les projets que l’on retrouve dans le Privacy by Design.

Nouvelle règle de prévision et d’anticipation.

La GDPR pourrait cependant changer la donne : elle devrait réduire le transfert de responsabilité vers les assureurs, qui par définition ne paient qu’en cas de problème, en aval. D’un point de vue consommateur, ce n’est pas conforme à l’esprit du nouveau règlement. Et ce n’est pas non plus satisfaisant en termes de sécurité, puisque la vocation du transfert est avant tout de diminuer le risque en amont. L’indemnisation ne règle pas tous les problèmes de l’entreprise, comme on l’a vu avec les problèmes d’image rencontrés par Orange ou Yahoo. La GDPR contraindra désormais les sociétés à communiquer sur le vol de données auprès des autorités (tout comme l’ISO 27001), mais aussi auprès de leurs clients concernés, au plus tard 72 heures après en avoir eu connaissance.

Eviter les risques cachés et dérives.

Sur la partie contrôles, faites attention aux risques cachés : la portabilité des données, notamment, ouvre la porte à certaines dérives. Comment allez-vous vérifier l’identité du client qui demande à récupérer ses données ? Un scan de pièce d’identité pourrait ne pas suffire : il est trop facile à usurper. Un marché illicite se crée, autour de la récupération et de la revente de données personnelles. L’authentification sera un point central, y compris en interne : qui a accès à quoi ? Ces protocoles doivent être mis à jour régulièrement, pour suivre les changements de postes, départs, arrivées et mutations des collaborateurs.

Privacy by Design.

D’autres notions présentes dans la norme ISO 27001 trouvent un écho dans la GDPR ; c’est le cas du concept de sécurité dans les projets que l’on retrouve dans le Privacy by Design, où le recouvrement est quasiment à 100%, ou encore du télétravail et de la sécurité des données, évoqués en filigrane dans le nouveau texte et déjà prévus par la norme.

Penser à l’ensemble des canaux et supports.

Les deux textes tiennent compte des services de Cloud public comme Google for Work ou la suite Microsoft. Mais ils concernent aussi les réseaux sociaux d’entreprise (et les réseaux sociaux tout court), les appareils connectés à Internet, comme les caméras de surveillance, les programmes d’analyse de Big Data, les médias amovibles de type clef USD ou disque dur… Sans parler des traitements RH, qui ouvrent un vaste champ d’exploration, depuis le RIB de l’employé aux créations d’emails, en passant par son numéro de sécurité sociale ou par les informations sur sa carrière.

La GDPR, une réglementation transverse

On l’a compris, pour respecter la GDPR, il ne suffira pas de cocher des cases : le texte invite à s’interroger sur toutes ses pratiques et à mettre en place des solutions concrètes.

La GDPR est transverse, elle concerne autant le Juridique que l’IT, la Sécurité ou les Métiers. Le DPO joue un rôle de chef d’orchestre. Or, sa tâche est complexe : dès que l’on commence à « gratter » la surface du texte, en se penchant sur un cas concret, on s’aperçoit que les implications sont bien plus profondes qu’il n’y paraît. Pas facile de répondre à une question précise d’un collaborateur. Prenons l’exemple des sauvegardes : le Juridique va s’intéresser à la protection des données personnelles, l’IT pourra répondre techniquement en indiquant sur quels serveurs se trouvent ces sauvegardes, et la Sécurité va demander : « Mais as-tu déjà testé la viabilité de tes sauvegardes ? Es-tu certain que le Data Center de secours prend bien le relais ? »

Autant dire que l’approche « Sécurité » présente un certain nombre d’avantages, ne serait-ce parce que ces équipes-là sont accoutumées au risque en cas d’insuffisance. L’explosion de la cyber-criminalité ces cinq dernières années, avec des pertes vertigineuses pour les entreprises, en termes financiers, mais aussi en termes d’image de marque, a déjà confirmé les professionnels de la Sécurité dans leur rôle de vigies.

GDPR : la norme ISO 27001 peut vous aider | 4

Cognizant 20-20 Insights

EN BREF

Correspondances entre GDPR & ISO 27001 ISO 27002 est le code de bonnes pratiques qui est le pendant d’ISO 27001. Il établit un

certain nombre de bonnes pratiques qui adressent des pans entiers de la mise en

conformité GDPR.

Certaines pratiques définies dans le cadre ISO 27002 permettent d’aider au traitement d’autres sujets GDPR sans

pour autant apporter une réponse complète. C’est le cas notamment des questions de : minimisation des données

(voir article 4), la finalité (voir articles 18.1.1 et 18.1.4), le choix (voir les articles 1.2 et 15.1.2), l’autodétermination (voir les

articles 7.1.2 et 15.1.2 d’ISO 27002) ou encore le consentement (voir l’article 7.3.1).

GDPR : la norme ISO 27001 peut vous aider | 5

6

Quelques pistes à suivre :

• La loi française de programmation militaire(LPM) (et si l’on se projette dans l’avenir, ladirective européenne « Network InformationSecurity » en cours de transposition dans ledroit français).

• La réglementation liée à la mise en place denouveaux processus de gestion de crise et decontinuité d’activité;

• n’oublions pas la loi Informatique et Liberté de1978… ! Et ses modifications ultérieures - dontcelles liées à la récente Loi pour une RépubliqueNumérique – voir les publications de l’ANSSI2.

Cet article s'inscrit dans le cadre d'un cycle de petits déjeuners organisés par Cognizant France pour appréhender GDPR sous forme de « travaux pratiques » et échanges interactifs entre pairs (DPO, CDO, directeurs Marketing et CRM, RSSI, DSI, Juridique…). Leur objectif consiste à mettre en avant les bonnes questions et avancer dans l’adoption du règlement. Du 19 janvier au 16 mars 2018, ces petits déjeuners sont animés par Catherine Dardelet, Technology Consulting Head & Data Privacy Subject Matter Expert Cognizant France, Sandra Azria, Avocate à la Cour certifiée par le Conseil de l’Europe sur la RGPD et Julie Gommes, Responsable Cyber Sécurité, experte sécurité, certifiée ISO/CEI 27001 Lead Auditor, ex RSSI. Retrouvez toutes les informations concernant ce cycle sur : https://www.cognizant.com/fr-fr/GDPR

GDPR : TRAVAUX PRATIQUES

SOURCES UTILES

Cognizant 20-20 Insights

• L’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Informations) https://www.ssi.gouv.fr/administration/bonnes-pratiques/

• The ISO Survey of Management System Standard Certifications (2006-2016)https://www.iso.org/fr/isoiec-27001-information-security.html - ISO 27001 – Technologies de l’information, techniques de sécurité, systèmes et management de l’information - ISO 27002 – code de bonne pratique pour le management de la sécurité de l’information- ISO 29151 (publié en août 2017) - code de bonne pratique proposant un cadre commun pour appréhender la protection des données à caractère personnel dans un contexte GDPR. Attention toutefois à la définition anglaise de ce qu’est la donnée personnelle sous-jacente à ce texte qui diffère de la nôtre. Vous pouvez le commander en ligne https://www.iso.org/fr/isoiec-27001-information-security.html

A l’heure où la GDPR attire surtout l’attention des entreprises par les nouveaux montants, exceptionnellement élevés, des amendes en cas de faille, il est intéressant que vous alliez interroger ceux qui vivaient déjà avec une épée de Damoclès au-dessus de la tête.

CONCLUSION

D’autres textes font écho à la GDPR

Au-delà de la norme ISO 27001, il est pertinent de confronter le nouveau règlement européen à d’autres obligations ou normes antérieures. Ces rapprochements pourraient vous faire gagner un temps précieux et apporter une cohérence appréciable à votre démarche.

Julie Gommes Expert Cybersecurité, Cognizant Digital Technology Consulting France

Julie Gommes est en charge de la cybersécurité chez Cognizant France. Elle fait partie du pôle Technology Consulting France. Certifiée ISO 27001 Lead Auditor, elle intervient sur les questions de gouvernance de la sécurité et sur la gestion du risque après avoir travaillé plusieurs année en tant que RSSi et auditrice en sécurité. Julie Gommes a rédigé divers papiers de recherche et donné des conférences sur les thématiques suivantes : outils de cryptographie des djihadistes, sécurité informatique pour les journalistes, gestion de la sécurité au quotidien. Dans le cadre de son rôle de formatrice, elle était invitée en novembre 2017 par l'UE à donner une masterclass sur la cybersécurité pour des chefs d'entreprises et décideurs.

On peut la joindre à Julie.Gommes@cognizant.com |

Linkedin: https://fr.linkedin.com/in/juliegommes

Á PROPOS DES AUTEURS

Catherine DardeletTechnology Consulting Head and Data Privacy Subject Matter Expert Cognizant France

Catherine Dardelet a rejoint Cognizant en 2012 pour prendre la responsabilité du pôle « Analytics & Information Management » et est à présent dédiée aux sujets Data & Digital en tant que responsable de l'équipe d'experts Technology consulting chez Cognizant France. La protection et la législation des données personnelles dans les systèmes d'informations (et plus particulièrement les CRM) est un sujet qu'elle maîtrise depuis plus de 10 ans, c'est donc tout naturellement qu'elle assure le lead sur ce sujet pour la France et est partie prenante dans l'équipe GDPR pour Cognizant Europe. Catherine cumule plus de 25 années d’expérience dans la mise en œuvre de solution IT et de gestion de programmes, que cela soit dans les métiers de la banque, grande distribution, CPG, services ou industries, avec une expertise dédiée et reconnue sur les domaines de la « Data » sous toutes ses formes : gouvernance, analyse, qualité, législation… En parallèle de ses activités professionnelles Catherine est également enseignante au sein de l’université Paris II, sur le CRM incluant les Données personnelles.

On peut la joindre à Catherine.Dardelet@cognizant.com

7

Siège mondial

500 Frank W. Burr Blvd. Teaneck, NJ 07666 USA Phone: +1 201 801 0233 Fax: +1 201 801 0243Toll Free: +1 888 937 3277

Siège social européen

1 Kingdom Street Paddington Central London W2 6BD England Phone: +44 (0 20 7297 7600 Fax: +44 (0 20 7121 0102

Siège Opérationnel indien

#5/535 Old Mahabalipuram Road Okkiyam Pettai, Thoraipakkam Chennai, 600 096 IndiaPhone: +91 (0 44 4209 6000Fax: +91 (0 44 4209 6060

Siège social France

50-52 boulevard Haussmann 75009 Paris, FranceTel : +33 (01 70 36 56 57 Fax: +33 (01 47 22 79 24

© Copyright 2018, Cognizant. Tous droits réservés. La reproduction, le stockage dans un système de récupération ou la diffusion de cette publication, même partiellement, sous quelle que forme que ce soit, électronique, mécanique, par photocopie ou enregistrement, est soumis à l’autorisation préalable de Cognizant. Les informations contenues dans ce document peuvent être amenées à changer sans avertissement préalable. Toutes les marques qui sont mentionnées dans le document appartiennent à leurs propriétaires respectifs.

A PROPOS DE COGNIZANT

Cognizant (NASDAQ-100 : CTSH) est l’une des principales sociétés de conseil et de services dans le monde. Elle accompagne les entreprises dans leur transformation stratégique, opérationnelle et technologique à l’ère du digital. Avec son approche consultative unique axée sur le secteur d’activité Cognizant aide ses clients à envisager, concevoir et opérer leurs activités en étant plus innovants et plus efficaces. Son siège social se trouve aux Etats-Unis. Cognizant se classe au 205ème rang du palmarès Fortune 500 et fait partie du «Fortune Magazine’s World’s Most Admired Companies ». Découvrez comment Cognizant aide les clients à se hisser au rang de leaders sur le marché grâce au numérique sur www.cognizant.com ou suivez nous sur @Cognizant.