Dès la mi-2018, la nouvelle directive européenne baptisée GDPR est appelée à remplacer les dispositions de la Loi Informatique et Libertés. Celle-ci va rendre obligatoire la nomination d’un DPO (Data Protection Officer) dans de nombreuses organisations pour lesquelles la protection des données représente un enjeu majeur. Selon l’étude « CIO Concern Management » de Janco Associates, la sécurité arrive en tête des préoccupations des DSI à hauteur de 68%. De la même manière, les fuites de données observées chez des majors du Web et largement relayées dans les médias ont participé à construire ce climat anxiogène.
Pour être efficace, un DPO doit considérer les deux fonctions principales de sa mission que sont la protection des données personnelles et la protection de la confidentialité des données.
La protection des données personnelles fait appel à des exigences en termes de moyens et processus à mettre en œuvre qui peuvent être très variables d’un pays à l’autre. Dans un contexte de développement à l’international, le DPO sera un soutien précieux afin d’appréhender les différents aspects réglementaires.
La protection de la confidentialité des données est quant à elle un peu plus poussée puisqu’il s’agit de garantir que chaque donnée soit protégée à hauteur de ses enjeux pour l’entreprise. Autrement dit, ce n’est plus la loi mais le client qui fixe les règles !
Toutes les données informatiques n’ont pas la même valeur. Une plaquette commerciale où le plan détaillé d’un prototype en cours de conception n’auront pas le même effet s’ils se retrouvent révélés. Le DPO doit donc, avec son client, mesurer le risque de divulgation de chaque donnée et son impact pour l’entreprise. De données « publiques » à « très secrètes », il doit être capable de garantir au client que ses exigences soient remplies en termes de sécurité… et même si l’on met en place assez facilement des méthodes de chiffrements sur les disques, cela ne résout pas tout !
La plus grande faille sécuritaire qu’il puisse exister réside finalement dans l’humain lui-même. Pour être totalement rassuré quant à la confidentialité de ses données, le client doit être certain que même les équipes système de son prestataire ne puisse pas les lire.
Chez One2Team, nous avons fait le choix d’aller vers plus d’automatisation en limitant l’action humaine sur les serveurs. Notre plateforme bénéficiant de mises à jour hebdomadaires, nous avons rapidement saisi l’intérêt de la robotisation pour maximiser l’efficacité opérationnelle et nous nous appuyons aujourd’hui sur des technologies comme Docker ou encore Puppet. Ce n’est donc pas une démarché sécuritaire qui a, à l’origine, poussé One2Team à s’engager dans cette voie. Cette démarche nous a donc amenés à automatiser également la maintenance. La connexion aux serveurs n’est aujourd’hui plus nécessaire pour y collecter des logs. Nous utilisons à la place des outils de supervision et de Business Intelligence (Logmatic dans notre cas).
En supprimant ce besoin de connexion, les administrateurs système n’ont plus accès aux données de nos clients ce qui nous permet de leur offrir les garanties maximales en termes de sécurité et de confidentialité.
En plus de tout ça, nos clients doivent être rassurés quant à notre capacité à connaitre tout ce qui se passe et s’est passé sur nos infrastructures. Il doit savoir que l’on en a une vision claire nous permettant de les auditer et de tracer l’ensemble des opérations qui s’y déroulent.
Le métier de DPO sera ce que chacun aura décidé d’en faire. Si certains y verront un champ d’action orienté vers quelque chose de très administratif, d’autre l’utiliseront comme une traction vers plus de technologie. Partisans de l’automatisation, chez One2Team, nous avons déjà fait notre choix !