Dès la mi-2018, la nouvelle directive européenne baptisée GDPR est appelée à remplacer les dispositions de la loi « informatique et libertés ». Celle-ci va rendre obligatoire la nomination d’un DPO (« data protection officer ») dans de nombreuses organisations pour lesquelles la protection des données représente un enjeu majeur. Selon l’étude « CIO concern management » de Janco Associates, la sécurité arrive en tête des préoccupations des DSI à hauteur de 68 %. De la même manière, les fuites de données observées chez des majors du web et largement relayées dans les médias ont participé à construire ce climat anxiogène.

Pour être efficace, un DPO doit considérer les deux fonctions principales de sa mission que sont la protection des données personnelles et la protection de la confidentialité des données.

La protection des données personnelles fait appel à des exigences en termes de moyens et processus à mettre en œuvre qui peuvent être très variables d’un pays à l’autre. Dans un contexte de développement à l’international, le DPO sera un soutien précieux afin d’appréhender les différents aspects réglementaires.

La protection de la confidentialité des données, elle, est un peu plus poussée puisqu’il s’agit de garantir que chaque donnée soit protégée à hauteur de ses enjeux pour l’entreprise. Autrement dit, ce n’est plus la loi mais le client qui fixe les règles.

Toutes les données informatiques n’ont pas la même valeur. Une plaquette commerciale ou le plan détaillé d’un prototype en cours de conception n’aura pas le même effet s’ils se retrouvent révélés. Le DPO doit donc, avec son client, mesurer le risque de divulgation de chaque donnée et son effet pour l’entreprise. De données « publiques » à « très secrètes », il doit être capable de garantir au client que ses exigences soient remplies en termes de sécurité… Même si l’on met en place assez facilement des méthodes de chiffrements sur les disques, cela ne résout pas tout.

La plus grande faille sécuritaire qui puisse exister réside finalement dans l’humain lui-même. Pour être totalement rassuré quant à la confidentialité de ses données, le client doit être certain que même les équipes du système de son prestataire ne puissent pas les lire.

Chez One2Team, nous avons fait le choix d’aller vers plus d’automatisation en limitant l’action humaine sur les serveurs. Notre plate-forme bénéficiant de mises à jour hebdomadaires, nous avons rapidement saisi l’intérêt de la robotisation pour maximiser l’efficacité opérationnelle et nous nous appuyons aujourd’hui sur des technologies comme Docker ou encore Puppet. Ce n’est donc pas une démarche sécuritaire qui a, à l’origine, poussait One2Team à s’engager dans cette voie. Cette démarche nous a donc menés à automatiser également la maintenance. La connexion aux serveurs n’est aujourd’hui plus nécessaire pour y collecter des logs. Nous utilisons à la place des outils de supervision et de « business intelligence » (Logmatic dans notre cas).

En supprimant ce besoin de connexion, les administrateurs du système n’ont plus accès aux données de nos clients, ce qui nous permet d'offrir à ces derniers les garanties maximales en termes de sécurité et de confidentialité.

De plus, nos clients doivent être rassurés quant à notre capacité à connaître tout ce qui se passe et s’est passé dans nos infrastructures. Ils doivent savoir que nous en avons une vision claire nous permettant de les contrôler et de tracer l’ensemble des opérations qui s’y déroulent.

Le métier de DPO sera ce que chacun aura décidé d’en faire. Si certains y verront un champ d’action orienté vers quelque chose de très administratif, d’autre l’utiliseront comme une traction vers plus de technologie. Partisans de l’automatisation, chez One2Team, nous avons déjà fait notre choix !