Préparatifs pour le Règlement général sur la protection des données (GDPR) : ne pas sous-estimer le risque associé aux tiers

Par Darron Gibbard, Directeur des technologies et de la sécurité (CTSO) chez Qualys

Si vous êtes en pleins préparatifs pour le Règlement général sur la protection des données (GDPR), vous êtes certainement très affairés à réorganiser de nombreux processus et systèmes. Néanmoins ne négligez pas pour autant un élément clé de votre conformité, à savoir le risque lié aux tierces parties.

En effet, le Règlement général sur la protection des données (GDPR) de l'Union Européenne (UE) exige des entreprises qu'elles protègent de manière adéquate les informations personnellement identifiables (IPI) de leurs clients européens. Et aussi qu'elles sachent où sont stockées chacune de ces données, ainsi que leur provenance et avec qui elles sont partagées.

Cette dernière précision, « avec qui sont-elles partagées ? » est fondamentale car le GDPR étend la responsabilité des données des clients aux tiers avec lesquels l'entreprise partage ces données. En d'autres termes, si un quelconque membre de votre réseau de tiers de confiance (fournisseurs, partenaires, sous-traitants, consultants, prestataires...) agit de manière irresponsable et compromet les informations IPI de vos clients, vous êtes également concernés par les pénalités et les amendes.

Et en matière de règlement GDPR, vous ne souhaitez certainement pas vous acquitter d'amendes pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’Affaires annuel mondial de l'entreprise. Par conséquent, il vous faut non seulement protéger les données de vos clients au sein de votre propre environnement IT, mais aussi veiller à ce que les processus et pratiques des tierces parties soient également conformes aux exigences du règlement GDPR.

Les évaluations manuelles sont dépassées

La traditionnelle méthode d'évaluation des risques fournisseurs avec envoi manuel de questionnaires par messagerie électronique, collecte des réponses, regroupement des résultats et suivi des réponses sur une feuille de calcul n'est plus adaptée. En effet, en plus d'être extrêmement laborieuse, coûteuse et fastidieuse, cette façon de faire est une source d'erreurs majeure.

Pour satisfaire aux exigences de conformité du règlement GDPR en matière de risques fournisseur, vous devez disposer d'un système vous permettant de réaliser votre propre évaluation de manière rapide, précise, fréquente et complète.

Chez Qualys, nous avons une solution pour adapter et accélérer les audits de sécurité de vos fournisseurs et vérifier si ces derniers se conforment bien à la réglementation et notamment au Règlement GDPR, aux recommandations du marché et aux politiques internes de votre entreprise.

Baptisé SAQ pour Security Assessment Questionnaire, ce service de questionnaire sur l'évaluation de la sécurité automatise et rationalise l'ensemble du cycle de vie de l'évaluation des risques tiers et notamment la conception de l'enquête, le suivi des réponses, le regroupement des données et la génération de rapports.

Basé dans le Cloud, le service SAQ épargne des tâches manuelles pénibles aux administrateurs chargés de l'évaluation des risques, garantit une précision sans égale et accélère les campagnes. Grâce au service SAQ, une entreprise peut identifier avec rapidité et précision les lacunes en matière de sécurité et de conformité des tiers avec lesquels elle travaille ainsi qu'en interne au niveau de ses employés.

En outre, Qualys a récemment développé un questionnaire dédié au Règlement GDPR pour le service SAQ qui simplifie encore plus la vérification par l'entreprise de l'état de la conformité à la réglementation de l'UE de son réseau de tiers.

Voici un aperçu détaillé des caractéristiques et fonctionnalités du service SAQ qui aidera les entreprises dans leur démarche de conformité au Règlement GDPR :

  • ● Conception intuitive et souple des questionnaires et des campagnes

L'assistant SAQ assiste les utilisateurs pour créer des campagnes et leur permet d'affecter des échéances et de définir des notifications. 

Les questions peuvent être posées dans différents formats tandis que les concepteurs de l'enquête peuvent exiger la communication de fichiers de preuve pour certaines réponses. Les questions peuvent être configurées pour être affichées ou masquées de manière dynamique selon qu'une ou plusieurs réponses sont possibles.

De même, les campagnes peuvent être conçues à l'aide de différents workflows. Une enquête est considérée comme bouclée une fois le questionnaire renseigné par son destinataire, sous réserve d'exigences supplémentaires telles que la révision ou l’approbation d'un expert.

  • ● Distribution simplifiée du questionnaire

Comme il dimensionne automatiquement les enquêtes, le service SAQ évite de devoir configurer des comptes utilisateurs. Les destinataires répondent à l'enquête via un formulaire Web et peuvent confier à d'autres personnes les questions auxquelles ils ne peuvent pas répondre. Les administrateurs peuvent envoyer des emails de rappel aux personnes interrogées et configurer des campagnes récurrentes.

  • ● Suivi automatisé des campagnes 

Le service SAQ capture les réponses en temps réel et les regroupe en un point unique pour permettre aux administrateurs de suivre la progression des campagnes.

SAQ affiche des tableaux actualisés en temps réel afin que les administrateurs puissent approfondir certains questionnaires spécifiques et découper et analyser les résultats. 

Le service SAQ fournit une preuve de conformité accompagnée de rapports détaillés qui s'adressent à différents types de destinataires, notamment à l'équipe dirigeante au moyen de tableaux de bord pour la Direction et aux auditeurs à l'aide de vues plus détaillées des données. 

Les administrateurs peuvent créer des tableaux de bord sur mesure et suivre et gérer en même temps plusieurs campagnes depuis la console centralisée.

  • ● Notation

Grâce au service SAQ, vous pouvez affecter dans les modèles de questionnaire des niveaux de criticité aux questions ainsi qu'une note aux différentes options de réponses. Le niveau de criticité de la question peut être personnalisé avec des étiquettes et une pondération des réponses. 

Lors de la génération des rapports, il est possible de filtrer selon le niveau de criticité de la question et la note attribuée à la réponse pour obtenir une note globale des risques ou identifier des zones à haut risque.

  • ● Modèle pour le règlement GDPR

Un modèle de questionnaire SAQ spécifique à GDPR permet d'automatiser la distribution, la gestion et la collecte des réponses au questionnaire.

Darron Gibbard, Directeur des technologies et de la sécurité (CTSO) chez Qualys