Dans ce qui suit, nous allons voir comment vous pouvez utiliser le modèle d’évaluation des risques pour soutenir votre conformité au RGPD.
Comment utiliser le modèle d’évaluation des risques ?
Dans le cadre de votre travail de mise en conformité avec le RGPD, vous devriez déjà avoir cartographié toutes vos activités de traitement et les actifs utilisés pour ces activités. Cela signifie que vous avez répertorié où et comment les données à caractère personnel sont traitées, et quels systèmes, logiciels ou outils sont impliqués. Cette cartographie constitue le fondement de votre conformité au RGPD, mais aussi de votre évaluation des risques.
L’objectif d’une évaluation des risques est de déterminer si le traitement des données à caractère personnel est sûr pour les personnes dont vous traitez les données, et de garantir que votre organisation a mis en place des mesures appropriées pour les protéger. Pour ce faire, vous devez évaluer les risques liés à chaque activité de traitement ou actif.
Découvrez le modèle en action dans la vidéo suivante.
Quelle activité ou quel actif évaluez-vous ?
Commencez par sélectionner une activité de traitement ou un actif de votre cartographie qui fera l’objet de l’évaluation des risques. Dans cet exemple, nous utiliserons un bien appelé base de données clients, qui figure également sur la première ligne du modèle Excel d’évaluation des risques. Cette base de données clients contient des données personnelles sur les clients, telles que les noms, les coordonnées et l’historique des achats ou des transactions.
Identifier les menaces
La première étape de l’évaluation consiste à identifier les menaces potentielles qui pourraient affecter le bien.
Dans notre exemple, nous identifions une seule menace : l’accès non autorisé à la base de données des clients. Cette menace pourrait avoir un effet négatif sur les trois principes clés de la sécurité de l’information, que l’on appelle la triade CIA, c’est-à-dire la confidentialité, l’intégrité et la disponibilité. La confidentialité consiste à s’assurer que les données personnelles ne sont accessibles qu’aux personnes autorisées. Si un employé interne ou une personne extérieure, sans autorisation appropriée, accède à des données personnelles dans la base de données, la confidentialité est rompue. L’intégrité signifie que les données doivent rester exactes et inchangées, et que nous devons donc pouvoir nous fier à l’intégrité des données. Si un pirate manipule ou supprime des enregistrements dans la base de données, l’intégrité est perdue. La disponibilité signifie que les données doivent être accessibles lorsqu’elles sont nécessaires à des fins légitimes. Si le système est verrouillé, crypté ou mis hors ligne, la disponibilité est affectée. Ainsi, cette menace d' »accès non autorisé à la base de données clients » peut affecter les trois éléments de la triade de la CIA.
Identifier les vulnérabilités
Ensuite, vous devez identifier les vulnérabilités qui rendent cette menace plus probable. Une vulnérabilité est une faiblesse de votre système, de votre processus, du comportement de vos collaborateurs ou de vos contrôles qui pourrait être exploitée. Dans cet exemple, nous avons identifié la faiblesse des contrôles d’accès comme une vulnérabilité centrale. Cela peut signifier que tous les utilisateurs ne disposent pas d’un identifiant unique, que les mots de passe ne sont pas assez forts ou que les droits d’accès ne sont pas régulièrement révisés.
Évaluer l’impact d’une menace
Après avoir identifié la menace et la vulnérabilité, vous pouvez évaluer l’impact et la probabilité de la menace. L’impact décrit la gravité des conséquences pour les personnes concernées si la menace se concrétise. Si une personne non autorisée accède à la base de données des clients, elle risque d’exposer des informations personnelles et financières. Cela pourrait conduire à une usurpation d’identité, à une fraude ou à d’autres préjudices pour les personnes concernées. C’est pourquoi nous estimons que l’impact est élevé.
Évaluer la probabilité d’une menace
La vraisemblance décrit la probabilité que la menace se concrétise. Étant donné que nous avons identifié des contrôles d’accès faibles, il est réaliste de penser qu’un accès non autorisé pourrait se produire. Nous estimons donc que la probabilité est moyenne.
Niveau de risque
Maintenant que nous disposons d’une évaluation de l’impact et de la probabilité, nous pouvons calculer un score de risque. Pour ce faire, nous pouvons attribuer des chiffres à chaque niveau : faible = 1, moyen = 2 et élevé = 3. La note de risque est alors calculée en multipliant l’impact par la probabilité. Dans notre exemple, l’impact est élevé (3) et la probabilité est moyenne (2), ce qui donne un score de risque de 6.
Ce score numérique vous permet de comparer les risques au sein de votre organisation. Par exemple, vous pouvez voir quels sont les risques les plus critiques et ceux qui peuvent être gérés avec les mesures existantes. Dans le cas présent, un score de 6 est considéré comme élevé. Cela signifie que le risque doit être réduit pour atteindre un niveau acceptable avant que le traitement puisse être considéré comme adéquatement protégé.
Mesures de réduction des risques
Pour réduire le risque, vous devez examiner les contrôles que vous avez déjà mis en place et les mesures supplémentaires qui peuvent être prises.
Dans notre exemple, nous avons déjà mis en place un contrôle d’accès basé sur les rôles, ce qui signifie que seuls les employés ayant des fonctions spécifiques ont accès à la base de données clients. Cela permet de s’assurer que seul le personnel concerné peut voir et gérer les données des clients. Toutefois, il pourrait être utile de revoir cette mesure compte tenu des vulnérabilités identifiées. En outre, comme le risque reste élevé, nous décidons d’ajouter l’authentification multifactorielle (AMF). L’AMF ajoute une étape supplémentaire lors de la connexion, comme un code de vérification sur un appareil mobile, et réduit considérablement la probabilité qu’une personne puisse obtenir un accès non autorisé.
Mise en œuvre des contrôles
Chaque action de réduction des risques doit avoir un responsable clairement défini et une date limite de mise en œuvre. Cela garantit la responsabilité et permet un suivi pour confirmer que les mesures ont été appliquées de manière efficace. Ces détails peuvent facilement être enregistrés directement dans le modèle Excel dans les colonnes « Personne responsable » et « Délai ».
Mise à jour
En utilisant ce modèle d’évaluation des risques, vous rendez votre processus de conformité au RGPD à la fois structuré et transparent. Vous obtenez une vue d’ensemble de tous les risques identifiés, vous documentez votre raisonnement et vos décisions, et vous démontrez que vous travaillez activement à la protection des données personnelles que vous traitez.
Le modèle facilite également la révision et la mise à jour régulière de vos évaluations des risques. Au fur et à mesure que votre organisation se développe ou que vos activités de traitement changent, vous pouvez mettre à jour la feuille, ajouter de nouveaux risques et enregistrer la manière dont les risques existants ont été réduits au fil du temps. Ce processus continu vous aide à maintenir une approche cohérente de la protection des données et il documente vos efforts pour réduire les risques, ce qui est une exigence de la conformité au RGPD.
Téléchargez le modèle d’évaluation des risques Excel
Téléchargez le fichier excel avec le modèle d’évaluation des risques pour commencer à l’utiliser pour votre conformité au RGPD.
Il s’agit d’une simple feuille Excel sur laquelle vous pouvez dresser la liste de vos activités de traitement et de vos actifs, noter les menaces et les vulnérabilités qui y sont associées et enregistrer vos résultats et vos actions. Il vous permet de savoir ce qui doit faire l’objet d’une attention particulière, qui est responsable et quand les choses doivent être faites. Le modèle est facile à adapter à votre propre configuration, ce qui vous permet de l’adapter à votre organisation. Téléchargez-le ci-dessous et essayez-le.
