Podcast : Aperçu de la conformité 2022 – Le RGPD se mondialise

Dans ce podcast, nous regardons ce qui se passe en 2022 en conformité, avec Mathieu Gorge, qui est PDG de VigiTrust.

Nous parlons de la façon dont les pays du monde entier sont en train de mettre en œuvre leurs propres versions du Règlement général sur la protection des données (RGPD). Cela inclut la propagation de la réglementation californienne de type Consumer Privacy Act (CCPA) de la Californie à d’autres États américains, mais aussi des normes similaires établies dans des régions aussi diverses que l’Afrique et la Chine.

En outre, Gorge, parle de la nécessité d’une « cyber-responsabilité » au niveau de la direction et de la façon dont les organisations peuvent y parvenir.

Antony Adshead : Où en sommes-nous en 2021 en ce qui concerne la conformité, les réglementations et les normes, et à quoi pouvons-nous nous attendre en 2022 ?

Gorges de Mathieu : 2021 a été une année incroyablement chargée en ce qui concerne la nouvelle réglementation et les mises à jour des normes et des cadres.

Certains des changements les plus importants incluent ceux qui ont été essentiellement mis en œuvre par la nouvelle administration Biden. Nous avons vu des décrets, non seulement sur la protection des infrastructures critiques, mais aussi nous avons vu une pression de l’administration pour plus de réglementation de la vie privée et nous savons qu’ils envisagent un équivalent du RGPD aux États-Unis, du point de vue du CCPA. L’idée serait d’avoir l’équivalent du CCPA à travers les États-Unis au niveau fédéral.

Il convient de noter que ce n’est pas la première administration qui essaie de le faire, mais ils essaient vraiment de faire pression pour cela. Entre-temps, certains États comme la Virginie ont poussé leur propre équivalent du CCPA, et nous savons qu’il y a cinq ou six autres États qui le font.

Pendant ce temps, à la fin de l’année dernière en Chine, le nouveau règlement sur la protection de la vie privée est sorti, et ce qui est vraiment intéressant à cet égard, du point de vue de la confidentialité des données, c’est qu’il a un certain niveau d’extraterritorialité comme le RGPD. Donc, en d’autres termes, cela pourrait s’appliquer à vous même si vous n’êtes pas en Chine. Nous ne savons pas encore exactement comment cela va être mis en œuvre, donc il n’y a pas eu d’amendes autour de cela, mais c’est quelque chose que nous devons absolument examiner.

Nous avons vu beaucoup d’activité en Afrique, en particulier en Afrique subsaharienne, avec le Kenya, le Ghana et l’Afrique du Sud qui ont spécifiquement mis en place une autre réglementation sur la protection de la vie privée.

Nous assistons à une sorte de convergence. Tout le monde semble avoir appris du RGPD et des bases de la protection des données en premier lieu, comprendre ce que sont les données, où vous les stockez, où vous pouvez et ne pouvez pas les transférer.

Je m’attends à ce que nous en voyions beaucoup plus en 2022. Du point de vue des normes, nous aurons PCI DSS 4.0 déployé au cours des deux prochaines années, ce qui représente un changement majeur en ce qui concerne la sécurité des paiements et le stockage des données pour les paiements.

Nous allons devoir surveiller cet espace. Je m’attends à ce que ce soit une année très chargée et qu’on demande aux entreprises de démontrer qu’elles sont responsables de la sécurité des données.

C’est le concept de cyberresponsabilisation dont nous devrions parler, à mon avis.

Antony Adshead : Qu’est-ce que la cyberresponsabilisation et quelles mesures les organisations peuvent-elles prendre pour y parvenir ?

Gorges de Mathieu : Cyber-responsabilité … est essentiellement l’idée qu’une entreprise et ses dirigeants – les principaux décideurs, actionnaires, dirigeants, conseils d’administration – doivent être en mesure de démontrer qu’ils savent d’où vient une transaction, qui l’a autorisée et ce qu’elle signifiait réellement pour les données. Les données ont-elles été modifiées, ont-elles été manipulées, ont-elles été volées, ont-elles été divulguées hors de l’entreprise ou quoi que ce soit d’autre?

Et donc ce concept de cyber-responsabilité signifie qu’une organisation doit être en mesure de démontrer à tout moment qu’elle prend la cyber-conformité au sérieux, qu’elle met en place les bonnes mesures techniques, les bonnes politiques et procédures, la bonne formation et qu’elle peut démontrer où elle en est et où elle ne l’est pas, et qu’elle dispose d’une feuille de route claire vers la conformité, opportune et efficace.

Le défi que nous avons à l’heure actuelle, c’est que lorsque nous entrons dans la salle de conférence, lorsque vous parlez à la haute direction de la cyberresponsabilisation, vous êtes confrontés à ce que j’appelle les cinq étapes du deuil de la cyberresponsabilisation.

La première étape est le déni. « Cela ne s’applique pas à nous, nous sommes ici pour construire l’entreprise, développer l’emploi, générer des profits pour les actionnaires – ne nous dérangez pas avec le cyber! »

L’étape suivante est la colère. « Nous vous avons donné de l’argent pour embaucher un RSSI, un responsable de la conformité, mettre en place des pare-feu, former des gens. Allez parler aux gens de la conformité; ils s’occuperont de vous.

Vient ensuite l’étape de la négociation. « Nous pouvons voir que nos concurrents sont audités par les régulateurs, nous pouvons voir que d’autres personnes ont été piratées. Alors, peut-être devrions-nous embaucher une grande entreprise pour venir et faites une évaluation et ce sera nous qui nous en sortirons.

C’est un bon début, pour obtenir de l’aide externe, mais cela ne vous donne pas une carte de sortie de prison.

Vient ensuite le stade de la dépression. « Nous devons vraiment faire quelque chose. Comment allons-nous le faire? »

Et enfin, l’étape d’acceptation, où vous réalisez que vous faites beaucoup de choses correctement, vous avez une politique de confidentialité des données, vous avez une politique de classification des données, vous savez en quelque sorte où les données sont stockées, vous savez comment elles sont éliminées. Tout ce que vous avez à faire est de mettre de l’ordre dans votre maison et de combler le fossé.

La cyberresponsabilisation repose en réalité sur ce concept selon lequel la sécurité est un voyage et non une destination.

Je couvre tous ces sujets dans mon livre – Le cyber-éléphant dans la salle de conférence – plus en détail, mais en un mot, ce que cela signifie n’est pas sorcier.

Le cyberrisque n’est qu’un risque commercial supplémentaire auquel le conseil d’administration peut faire face, car le conseil d’administration traite des risques jour après jour: financiers, RH, réputation, fusions et acquisitions, croissance. Ils font face au risque tout le temps.

Ce que nous devons faire en tant qu’industrie, c’est simplifier le message et leur expliquer pourquoi ils ont besoin d’une cyberresponsabilisation et comment ils peuvent la mettre en place. Et cela permet certainement de s’assurer que vous êtes conforme, de vous assurer que vous ne stockez que les bonnes informations au bon moment et dans les bonnes circonstances, et que vous disposez d’un système pour démontrer que vous le faites.

Je m’attendrais à ce que, avec tous ces nouveaux règlements, nous voyions beaucoup plus de cadres supérieurs et d’administrateurs tenus responsables dans le domaine public de la cybersécurité et de la conformité. Je pense que 2022 sera un tournant sur ce front.