Le GDPR est-elle suffisamment contraignant ?

Tom Lacroix : « En soi, le GDPR est une bonne directive. Toutefois, les entreprises ne sont pas toujours en mesure de garantir ce qu’il impose, à savoir fournir le niveau requis de protection des données personnelles. En cause : le fait qu’elles n’ont pas une vue globale sur la localisation exacte, dans leurs systèmes, des nombreuses données dont elles disposent et sur la manière dont elles sont utilisées. Si un client les contacte pour leur demander de modifier ou de supprimer leurs données, je ne suis pas sûr que toutes les entreprises soient vraiment capables le faire. Les grandes entreprises ont déjà beaucoup investi dans ce domaine, mais les plus petites n’en sont pas encore là. »

 

Les entreprises ont dès lors tout intérêt à bien de se protéger d’attaques éventuelles…


La question n’est pas de savoir « si » on va un jour subir une attaque cybercriminelle mais bien « quand » et « quoi ».
 

T. C. : « Effectivement ! Elles doivent être suffisamment protégées et organisées en cas d’incidents. Elles doivent pouvoir déclencher les actions nécessaires qui empêchent toute perte de données et toute interruption de service. Dans ce cadre, une société comme la nôtre les aide notamment à classifier toutes leurs données et tous les risques associés à ces données. Ensuite, dans le cadre de la GDPR, nous définissons les plans et procédures à mettre en œuvre pour limiter les risques. »

 

Comment testez-vous le niveau de risque ?

T. C. : « En accord avec nos clients, nous menons entre autres des tests de pénétration de leurs systèmes pour identifier leurs faiblesses. L’objectif de ce « ethical hacking » n’est bien sûr pas de causer des dommages, mais bien d’évaluer la robustesse de leurs infrastructures, d’identifier et de résoudre leurs problèmes de sécurité. »

 

Les entreprises sont-elles suffisamment conscientes de ces risques ?

T. C. : « Pas toujours et, surtout, lorsqu’elles sont hackées, elles pensent souvent qu’il s’agit d’un problème de hardware alors que le problème est ailleurs. Par ailleurs, aujourd’hui, la question n’est pas de savoir « si » on va un jour subir une attaque cybercriminelle mais bien « quand » et « quoi » faire au moment où cela se produira. Plus personne ne peut échapper à ce type de comportement criminel ! »