Le Règlement Général sur la Protection des Données fait désormais partie intégrante des stratégies de sécurisation des entreprises.
Le RGPD élargit le rôle des responsables de la sécurité des systèmes d’information (RSSI). En plus du rôle habituel, centré sur la sécurité informatique, leur fonction s’est étendue avec entre autres :
- Le travail en partenariat avec le Data Protection Officer (DPO),
- Du conseil et de la sensibilisation auprès des collaborateurs…
Entretien avec Steve HERVE, RSSI pour Cultura sur la vision à 360° de son métier.
Qu’est-ce la mise en place du RGPD a changé dans votre mission ?
Steve Hervé : Arrivé fin 2016 chez CULTURA, j’ai commencé à évoquer le sujet RGDP début 2017. L’objectif était d’appuyer les projets de sécurisation de l’entreprise en profitant “du buzz” généré autour la mise en application du RGPD en mai 2018. Le règlement général de la protection des données est un outil de communication et sensibilisation efficace, qui prolonge ma mission première de RSSI : la sécurisation de nos infrastructures et de nos applications.
Le RGPD est venu légitimer l’importance de la sécurité informatique dans le contexte de l’entreprise.
DPO et RSSI même objectifs ?
S.T : Pour rappeler le contexte, le RGPD intègre la nécessité la nomination d’un Data Protection Officer obligatoire dans les entreprises qui traitent des données sensibles. Il est le chef d’orchestre de la mise en œuvre du RGPD. Une de ses missions est d’intégrer au mieux les notions de conformité et de sécurité informatique en amont de tous les projets. Cela rend donc cette démarche plus naturelle.
Chacun se nourrit des compétences techniques ou juridiques de l’autre pour mettre en place des mesures de sécurisation adaptées à chaque projet :
- chiffrement des données,
- protection physique,
- protection logique,
- et mesures associées.
Avec ce binôme, nous rencontrons ainsi les équipes projets pour les informer sur les risques, les conseiller et coordonner leurs actions. Pour chaque nouveau projet, nous fixons un cadre légal afin de rester dans la conformité. On gagne du temps et de l’argent sur leur réalisation.
Quels sont les types de projets sur lesquels vous intervenez ?
S.T : Tous les projets qui intègrent de l’informatique, et naturellement dès que l’on parle de données personnelles. Cela concerne les données de nos clients et de nos collaborateurs.
On ne sensibilise pas de la même manière les équipes communication, marketing, e-commerce que les équipes RH et informatiques.
Notre mission d’accompagnement (DPO et RSSI) est complète :
- en phase projet, nous travaillons sur l’aspect réglementaire, et la gestion des risques informatiques
- lorsque le projet est déployé, nous nous assurons du respect de la conformité et de la sécurité auprès des équipes techniques.
Cultura a choisi de sensibiliser ses collaborateurs avec la vidéo dessinée, pourquoi ce choix ?
S.T : La vidéo, c’est dans l’air du temps. Une vidéo est plus “sexy” qu’un document figé. Son format court permet de diffuser les messages plus rapidement.
Chez Cultura, un portail de formation est à la disposition de tous les collaborateurs. On y trouve des tutos, des vidéos de formations.
La vidéo dessinée s’intègre parfaitement bien à notre dispositif existant.
C’est le support idéal pour toucher facilement les équipes distantes, celles que l’on ne voit pas tous le jours, notamment en magasin.
À ce jour, nous avons réalisé avec Toolearn deux vidéos dessinées.
La première détaille très concrètement les gestes du quotidien à adopter en matière de sécurité informatique : mot de passe, messagerie, utilisation d’internet.
La seconde donne plus de sens au rôle du RGDP, explique les enjeux et conséquences en cas de non-respect de ce règlement. Cette vidéo dessinée invite chacun à solliciter notre binôme DPO et RSSI.
Ces 2 vidéos sont le point d’entrée pour sensibiliser en matière de sécurité informatique et RGPD.
Alors “sécurité informatique et RGPD” sont intimement liés ?
S.T : Oui, et nous menons aussi d’autres actions pour informer les utilisateurs. On se sert de l’actualité pour appuyer nos messages via une lettre de diffusion mensuelle. On y présente des exemples concrets en insistant sur les points précis qui ont vocation à marquer les esprits :
- Les sanctions financièrement lourdes assujetties au non-respect de la RGPD (4 % du chiffre d’affaires de la société).
- Le risque cybersécurité est considéré en 2019 comme le plus important sur la cartographie des risques.
Y-a-t-il un changement du comportement de vos utilisateurs ?
S.T : Il y a plus de vigilance, et une vraie prise de conscience. Nous sommes régulièrement associés aux nouveaux projets qui touchent à la protection des données personnelles, notamment avec les équipes e-commerces et marketing.
Nous accompagnons ce changement en formant les nouvelles équipes d’encadrement de magasin. Nous les aidons à se prémunir de tout type de risque comme le social engineering.
Toutefois, nous nous ne pourrons jamais empêcher un collaborateur d’ouvrir une pièce jointe et certains sont plus exposés que d’autres comme les équipes RH qui en reçoivent beaucoup.
Notre posture et notre discours au quotidien : « La sécurité et la conformité ne sont pas des freins mais des leviers business avec un gage de confiance et qualité pour nos clients »
Propos recueillis par Isabelle VIALA FAURE
Vous souhaitez renforcer la culture sécurité de vos collaborateurs ? La vidéo dessinée est le support adéquat pour réussir vos actions de sensibilisations. Facile à déployer, ludique, son format court impacte les collaborateurs efficacement.
Contactez-nous…